Datenschutz
Der folgende Artikel steht zur Diskussion und darf gerne in sachlich und fachlich geeigneter Form ergänzt werden. -- Bastian 13:00, 21. Aug. 2010 (CEST)
Kommentare bitte auf die Diskussionsseite
Grundsätzliches:
Es steht einer Partei, die für die Einhaltung des Datenschutzes eintritt, gut an, selbst mit gutem Beispiel voran zu gehen.
Hierzu darf es der Einhaltung von Regeln (und nicht nur von Gesetzen und Verordnungen).
Daher die sind folgende Punkte umzusetzen:
1. Beauftragter für Datenschutz
Es ist ein Datenschutzbeauftragter (DSB) für den Landesverband Brandenburg zu bestellen, der die Voraussetzungen nach § 4f BDSG erfüllt. Der Wirkungsbereich des DSB erstreckt sich auch auf die unterordneten Gliederungen, es sei denn, diese bestellen selbst eine geeignete Person zum DSB ihrer Gliederung.
Die Vergangenheit hat gezeigt, dass die Pflichtgrenze von 9 Personen hinsichtlich der Bestellungspflicht bereits überschritten war, da alle Personen, die mit der Verarbeitung von Daten beschäftigt sind, mitzuzählen sind.
Ein DSB ist schon zu bestellen, da nur besondere Daten i.S.v. § 3 Abs. 9 BDSG verarbeitet werden.
Im Übrigen sind bei Fehlen eines DSB alle Verfahren der Aufsichtsbehörde zu melden, welches die Sache ausdrücklich nicht vereinfacht.
Die Aufgaben, die ein DSB zu erfüllen hat, ergeben sich aus dem Gesetz.
2. Datenschutzverpflichtung
Jeder, der mit Verarbeitung von sensiblen Daten zu tun hat, hat eine Datenschutzverpflichtung (DSV) abzugeben. Der Abgabe einer DSV hat eine Belehrung durch eine sach- und fachkundigen Person vorauszugehen (üblicherweise ein DSB), es sei denn, die Person verfügt selbst über den Nachweis der Sach- und Fachkunde. Personen, die trotz fehlender Datenschutzverpflichtung (DSV) mit Einwilligung der verantwortlichen Stelle mit personenbezogenen Daten in Verbindung gekommen sind, sind auch nachträglich auf die Einhaltung des BDSG seit dem Zeitraum ihrer Tätigkeit und darüber hinaus zu verpflichten.
3. Umgang mit Daten
Die Speicherung von sensiblen Daten auf Medien, die nicht der Kontrolle der verantwortlichen Stelle unterliegen, ist unzulässig. Widrigenfalls hat die verantwortliche Stelle (bei Kenntnis) alle rechtlichen Mittel auszuschöpfen, damit diese Daten von fremden Medien gelöscht werden. Die Speicherung von sensiblen Daten ist ausschließlich in verschlüsselter Form, die dem Stand der Technik entspricht, zulässig. Eine Versendung von Daten, z.B. per E-Mail, darf nur verschlüsselt erfolgen. Die Daten und Systeme sind durch sich selbst aktualisierende Virenscanner, die auf dem Stand der Technik sind, zu schützen.
Für alle Verfahren und den sonstigen Umgang mit Daten sind Verfahrensverzeichnisse bzw. Richtlinien zu erstellen.
Daten, die auf externen Medien gespeichert sind, sind sicher zu verwahren.
4. Software
Der Einsatz von nicht lizenzierter Software ist auf allen Systemen der verantwortlichen Stelle unzulässig. Bei Kenntnis ist diese unverzüglich von der verantwortlichen Stelle bzw. demjenigen, der die Installation bewirkt hat, zu löschen. Für Ansprüche Dritter haftet derjenige, der die Installation bewirkt hat.
Die informationstechnischen Systeme (vulgo: Computer), auf denen sensible Daten vorgehalten und verarbeitet werden, sind nach dem Stand der Technik sicher zu betreiben, insbesondere, wenn die Systeme Teil eines Netzwerkes sind und/oder Zugriff zum Internet haben. Ist der Betreiber des Systems selbst dazu nicht in der Lage, hat er sich fachkundiger Hilfe zu bedienen. Zum sicheren Betrieb gehört zumindest:
- Zeitnahes Einspielen von Patches/Sicherheitsupdates des Herstellers
- Einrichtung und regelmäßige Aktualisierung eines Virenscanners wenn vom Hersteller empfohlen
- Einrichtung einer Firewall wenn Netzzugriff besteht.
- Abschalten aller nicht notwendigen extern erreichbaren Dienste wenn Netzzugriff besteht
- Sicherung gegen lokales Eindringen mit geeigneten Mitteln (z.B. abgeschlossener Raum / Festplattenverschlüsselung / Passwort beim Anmelden)
- sowie weitere vom Hersteller empfohlene Sicherungsmaßnahmen
Diese Liste erhebt keinen Anspruch auf Vollständigkeit.
5. Beachtung der Persönlichkeitsrechte
Die Veröffentlichung von Inhalten auf Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, erfolgt unter Beachtung des Gebotes der Datensparsamkeit und des Schutzes der Persönlichkeitsrechte (§3 a BDSG). Insbesondere ist die Verwendung von Klarnamen unzulässig. Anstelle von Klarnamen ist entweder der Wiki-Benutzername oder ein hinreichend anonymisierter Name zu verwenden. Es bleibt einem Autor unbelassen, seinen Klarnamen zu verwenden und/oder im Wiki zu hinterlegen. Allerdings ist auf darauf hinzuwirken, dass dies sparsam geschieht, damit kein unzulässiger Gruppendruck entsteht.
Insofern sind die Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, auf die Anwendung dieser Regeln zu untersuchen und zu berichtigen.
Für Mitglieder in Vorständen der Gebietsverbände können Ausnahmen gelten, da sie zu Personen des öffentlichen Lebens gezählt werden.
6. Wahrung der Persönlichkeitsrechte bei Nachrichten
Die Verbreitung von Inhalten von persönlichen Nachrichten und/oder vertraulichen Informationen sind ohne ausdrückliche Zustimmung des Autors ist unzulässig. Die verantwortliche Stelle hat dafür Sorge zu tragen, dass Verstöße hiergegen in geeigneter Weise geahndet werden.
Sofern eine Wiederholungsgefahr seitens des Verletzers besteht, sind die Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, zu moderieren. Im äußersten Fall ist der Zugang des Verletzers zu diesen Medien zeitweise oder dauerhaft zu sperren. Von einer Wiederholungsgefahr wird regelmäßig dann nicht ausgegangen, wenn der verantwortlichen Stelle eine strafbewehrte Unterlassungserklärung vorliegt.
Derartige, unzulässige Nachrichten bzw. Inhalte sind von den o.a. Medien durch die verantwortliche Stelle oder dem Verletzer unverzüglich zu löschen. Sollte eine Historie gespeichert sein, ist diese vom Systemadministrator auf Anweisung zu löschen.
7. Nutzung von Medien
Einträge in Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen, sind nur durch berechtigte Personen zulässig. Insbesondere im Wiki haben Benutzer grds. nur Leserecht. Nur Benutzer, die weitere Angaben in ihrem Wiki-Profil macht, die auf eine gewisse Ernsthaftigkeit schließen lassen, erhalten auch die Rechte, die mindestens der Gruppe der „Normaluser“ vorbehalten ist.
Neue Benutzer sind zu begrüßen und mit den Regeln vertraut zu machen.