FAQ | Datenschutz WIKI

Die häufigsten Fragen an uns:

Muss ein Datenschutzbeauftragter bestellt werden?

  • Antwort: Wenn Sie mehr als 20 Mitarbeiter haben,  die mit EDV arbeiten oder wenn Sie besondere Daten verarbeiten. Besondere Daten sind: Gesundheitsdaten, politische oder religiöse Meinungen, sexuelle Orientierung, ethnische Herkunftsdaten.

Was muss ich Bewerbern antworten?

  • Antwort: Sie müssen direkt nach bzw. bei Bewerbungseingang auf Speicherfristen, Verwendungszweck, Empfänger und Betroffenenrechte sowie Widerrufs-/spruchsrechte zur Datenverarbeitung hinweisen. Eine mögliche Standardantwort habe ich für Sie in der Datenschutzwerkstatt / Personal „Muster_Antwort Bewerber.docx“ hinterlegt.

Mit wem muss ich ADV Verträge abschließen?

  • Antwort: Mit den Lieferanten / Dienstleistern, die Ihre unternehmerischen Datenverarbeitungsprozesse in Ihrem Auftrag als externe Dienstleister weisungsgebunden bearbeiten (Stichwort: outgesourcte Prozesse). Aber nur, sofern personenbezogene Daten betroffen sind. Nicht gemeint sind reine Liefer- oder Postdienste. Nein, der Floristiker der die Deko für das Firmenjubiläum kreiert und aufstellt benötigt keinen ADV Vertrag! Auch nicht Ihr Lieferant, der die Heizung auf die Baustelle fährt. Auch dann nicht, wenn der Privatkunde die Lieferung annimmt. Ja, der externe IT-Administrator ist Auftragsverarbeiter – definitiv. Ja, die Wartungsfirma mit Zugriff auf Ihre Bild- und Zutrittsprotokollspeicher der Objektschutz-Anlage auch.

Ich hatte bisher eine saubere Datenschutzorganisation, was ändert sich für mich am 25.05.2018?

  • Sie müssen mehr Aufwand in Informationspflichten stecken. Sie sollen transparent sein was Ihre Datenverarbeitungsprozesse angeht. Transparent gegenüber Kunden, Mitarbeitern, Betroffenen. So gut wie möglich, aber in einem sinnvollen und prozessangepassten Rahmen. Ganz genau und vollständig beschreibt das die DSGVO in Kapitel 3 Artikel 13,14.
  • Sie brauchen eine wirksame Einwilligung für Datenverarbeitungen, die nicht im direkten Zusammenhang mit der Auftragserfüllung stehen.  Brauchten Sie aber schon immer. Wer einen Kühlschrank liefern soll, darf eben nicht die Schuhgröße abfragen, es sei denn, der Betroffene willigt ein.
  • Denken Sie risikobasiert! Schauen Sie Ihre Prozesslandschaft an: Wo erheben Sie Daten, wie mit wem und an wen? Sind die Wege sicher? Gibt es Risiken für Betroffene? Können Betroffene durch Ihren Prozess Schaden nehmen? Wenn ja, abschalten. Wenn abschalten nicht geht, holen Sie sich eine Rechtsberatung.
  • Nehmen Sie Verantwortung an, denken Sie nach: Was brauchen Sie für Ihren Betriebszweck wirklich? Analysetool Ihrer Webseite: wirklich toll und supernützlich? Web-Eingabeformulare: Wirklich nützlich? Kommen darüber tolle Anfragen? Die interne Statistik XY die 8.: Wirklich sinnvoll und notwendig? Alles ewig archivieren müssen?Geht das nicht noch besser? Kann das ERP nicht doch trennen? Kümmern Sie sich! Datensparsamkeit & Datensicherheit sind wichtig. Dafür muss man sorgen, dafür sind Sie haftbar.

Was sind personenbezogene Daten?

  • „Personenbezogene Daten“ sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Kontext auch als „betroffene Person“ oder „Betroffener“ bezeichnet.

Was darf ich wie lange speichern?

  • Niemals länger als es die Erfüllung des Zwecks bedarf (ggf. zzgl. etwaiger Widerspruchsfristen)! Was für Bewerbungen beispielsweise nach 3-6 Monaten spätestens der Fall ist.
  • Es sei denn, eine weitere Rechtsvorschrift fordert eine längere Speicherung. (Erkläre mal dem Finanzamt: „Die Rechnung haben wir aus Datenschutzgründen sofort gelöscht.“)

Was ist bei „bring your own device“ zu beachten?

„Bring your own device“ ist grundsätzlich möglich, sollte aber:

  • klar geregelt sein z.B. in Ihrer IT-Richtlinie.
  • mit einer entsprechenden Unterweisung/Sensibilisierung der Belegschaft verbunden sein. (Stichworte: Passwort vertraulich behandeln, Bildschirmschoner mit Passwortsperre, aktuelle Virenscans, keine vertraulichen/geheimen Informationen verarbeiten, Verlust melden damit der Zugang gesperrt werden kann, Vorsicht vor Spammails, etc.)
  • mittels Ihrer IT-Sicherheit so gut es geht unterfüttert sein. Zum Beispiel sollte der Exchange-Zugang von Ihrer Seite aus gekappt werden können.

Zu Dokumentationszwecken (Arbeitssicherheit) werden Fotos von Baustellen erstellt. Müssen die Gesichter geschwärzt werden, wenn Personen zu sehen sind?

  • Fallbeispiel: Eine nicht abgeschrankte Baugrube wird für die Gefährdungsanalyse (GA) und Einsatzbesprechung fotografiert und das Bild in dem Dokument GA verwendet. Die Verarbeitung ist zum Zwecke der Arbeitssicherheit notwendig. Im Hintergrund des Bildes sind mehrere Arbeiter eines Fremdgewerkes zu sehen, teilweise erkennbare Gesichter.
  • Problematik: Ein Schwärzen der Unbeteiligten wäre im Sinne der DSGVO richtig. Jedoch ist dies in der Praxis administrativ nicht umsetzbar, da zu zeitintensiv und Programmwechsel nötig wären. Die einfache Abfrage der Einwilligung scheitert oft an der Sprachbarriere, da die meisten Mitgewerke aus internationalem Umfeld stammen.
  • Die Rechtslage: Die Erstellung der Bilder fußt auf dem Erlaubnistatbestand 6 (1) f DSGVO sowie 6 (1) c DSGVO, da die Erstellung von bebilderten GAs sowohl ein berechtigtes Interesse darstellen als auch gesetzlich verlangt sind. Grundsätzlich ist die Verarbeitung also erlaubt. Die Zugänglichkeit unberechtigter Dritter an die Bilddateien ist ausgeschlossen, da die GAs nur auf den hierzu ordnungsgemäß zur Verfügung gestellten Netzlaufwerken gespeichert werden und entsprechende Zugriffsrechte vergeben sind.
    Das Mitfotografieren Unbeteiligter müsste aber eigentlich auf einer bildrechtlichen Einwilligung des Betroffenen beruhen, diese muss nicht schriftlich erfolgen.
  • CB Praxistipp:
    A) Wenn möglich, die Betroffenen im Hintergrund kurz über das „Fotografieren für die GA“ informieren und die Chance zum Abwenden geben.
    B) Wenn möglich, den Bildausschnitt so festlegen, dass erst gar keine unbeteiligten Personen erkennbar mit darauf sind.
    C) Ist A und B gescheitert, hilft in der Praxis nur Augen zu und durch. „Beifang“ soweit vom Aufwand umsetzbar ausschneiden, einschwärzen oder eben einfach mit dem –sind wir mal ehrlich überschaubarem- rechtlichen Restrisiko leben. Am Ende sind wir nämlich alle nur Menschen und wollen einfach unseren Job machen. Solange die Bilder nicht zweckentfremdet oder irgendwo veröffentlicht werden ist die Sache im Rahmen des berechtigten Interesses absolut angemessen.

….

http://www.cb-consult.org/category/wiki/