Themenbereich: 6.1. Datenschutzpflichten von Unternehmen

Unternehmen sollten so wenig wie möglich personenbezogene Daten erheben, verarbeiten und nutzen. Jedenfalls müssen Sie personenbezogene Daten ohne Namen oder mit falschem Namen speichern, soweit dies nach dem jeweiligen Verwendungszweck möglich ist und im Vergleich zum Schutzzweck keinen unverhältnismäßig hohen Aufwand erfordert. Welche weiteren Pflichten mit der Verarbeitung personenbezogener Daten verbunden sind, lesen Sie in den Unterkapiteln.

6.1.2 Technische und organisatorische Maßnahmen

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Dazu schreibt das Datenschutzgesetz folgende Maßnahmen vor:

• Zutrittskontrolle
  Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben.
• Zugangskontrolle
  Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen.
• Zugriffskontrolle
  Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.
• Weitergabekontrolle
  Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden.
• Eingabekontrolle
  Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.
• Auftragskontrolle
  Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen.
• Verfügbarkeitskontrolle
  Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein.
• getrennte Verarbeitung
  Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können.

Hinweis: Diese Maßnahmen werden üblicherweise von der oder dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die Unternehmensleitung sicherstellen, dass diese Anforderungen erfüllt werden. Falls Sie automatisierte Verarbeitungen anwenden, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten immer Pflicht.

Vorabkontrolle durch den Datenschutzbeauftragten

Falls durch automatisierte Verarbeitungen die Rechte und Freiheiten der Betroffenen besonders gefährdet sind, muss vor Beginn der Verarbeitung eine Vorabkontrolle stattfinden. Dies gilt, wenn

• Sie besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) verarbeiten oder
• die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten.

Von der Vorabkontrolle dürfen Sie nur absehen, wenn eine gesetzliche Verpflichtung oder eine Einwilligung der Betroffenen vorliegt oder die Datenverarbeitung für die Begründung, Durchführung oder Beendigung eines Rechtsgeschäfts mit den Betroffenen erforderlich ist.

Verfahren

• Datenschutzbeauftragten bestellen