Änderungen

<strike>Der Einsatz von nicht lizenzierter Software ist auf allen Systemen der verantwortlichen Stelle unzulässig. Bei Kenntnis ist diese unverzüglich von der verantwortlichen Stelle bzw. demjenigen, der die Installation bewirkt hat, zu löschen. Für Ansprüche Dritter haftet derjenige, der die Installation bewirkt hat.</strike> Die informationstechnischen Systeme (vulgo: Computer), auf denen sensible Daten vorgehalten und verarbeitet werden, sind nach dem Stand der Technik sicher zu betreiben, insbesondere, wenn die Systeme Teil eines Netzwerkes sind und/oder Zugriff zum Internet haben. Ist der Betreiber des Systems selbst dazu nicht in der Lage, hat er sich fachkundiger Hilfe zu bedienen. Zum sicheren Betrieb gehört zumindest: * Zeitnahes Einspielen von Patches/Sicherheitsupdates des Herstellers* Einrichtung und regelmäßige Aktualisierung eines Virenscanners wenn vom Hersteller empfohlen* Einrichtung einer Firewall wenn Netzzugriff besteht.* Abschalten aller nicht notwendigen extern erreichbaren Dienste wenn Netzzugriff besteht* Sicherung gegen lokales Eindringen mit geeigneten Mitteln (z.B. abgeschlossener Raum / Festplattenverschlüsselung / Passwort beim Anmelden)* sowie weitere vom Hersteller empfohlene Sicherungsmaßnahmen Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Für Mitglieder in Vorständen der Gebietsverbände können Ausnahmen gelten, da sie zu Personen des öffentlichen Lebens gezählt werden. ''das sehe ich ein wenig kritisch, auch wenn man inhaltlich damit übereinstimmen kann [[user:puck.152|puck.152]]''

-------- Original-Nachricht --------Sehr geehrter Herr .....  für Ihre Anfrage danke ich Ihnen,  Zunächst ist festzustellen, dass nichtöffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, nach § 4 f Abs. 1 BDSG einen Beauftragten für den Datenschutz schriftlich zu bestellen haben. Die Datenerhebung ist deshalb grundsätzlich auch in den Fällen von Bedeutung, in denen sie auf mehrere Personen aufgeteilt wird, die diese Tätigkeit jeweils nur untergeordnet wahrnehmen. Das Gefährdungspotential bei der automatisierten Datenverarbeitung ist nicht davon abhängig, in welchem Umfang eine Person personenbezogene Daten automatisiert verarbeitet, da eine Verletzung datenschutzrechtlicher Vorschriften auch bei einem geringen Anteil grundsätzlich nicht ausgeschlossen werden kann.  Wesentliches Ziel der Änderung von § 4 f Abs. 1 Satz 4 BDSG im Jahre 2007 war die Erhöhung des Schwellenwerts von damals vier Arbeitnehmern auf neun Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Durch die Neuregelung sollte u.a. sichergestellt werden, dass allein die Anzahl der "Personen" entscheidend ist, die sich im Rahmen ihrer Aufgabenerfüllung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten, und zwar unabhängig von ihrem arbeitsrechtlichen Status. Nicht nur "Arbeitnehmer", auch freie Mitarbeiter oder Auszubildende müssen bei der Bestimmung der Anzahl der mit der automatisierten Datenverarbeitung Beschäftigten berücksichtigt werden. Im Gegenzug wurde klargestellt, dass aus datenschutzrechtlicher Sicht die Personen, die nicht "in der Regel" mit der automatisierten Verarbeitung personenbezogener Daten "ständig" beschäftigt sind, unberücksichtigt bleiben können. Unternehmen, die z.B. nur kurzzeitig den Schwellenwert überschreiten, sind nicht zur Bestellung eines Beauftragten für den Datenschutz verpflichtet. Die Neuregelung sollte vermeiden, dass Unternehmen nur deshalb einer anderen Kategorie zugeordnet werden, weil sie die maßgebliche Personengrenze für die Verpflichtung * [[Datenschutzbeauftragter/Notwendigkeit | Informationen zur Bestellung Notwendigkeit eines Beauftragten für den Datenschutz nur kurzzeitig überschreiten. Auch sind Personen, die nur gelegentlich, z.B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen.  Personen, die in der Regel mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, sind unabhängig vom quantitativen und qualitativen Anteil - wie bisher - in die Berechnung des Schwellenwertes einzubeziehen. Eine andere Beurteilung kann nur in den Fällen in Betracht kommen, in denen bei den Vor - und Nacharbeiten vom Inhalt der aus der automatisierten Verarbeitung stammenden Daten, z.B. Adressen, keine Kenntnis genommen werden kann und sich deshalb auch keine Gefährdung durch den Umgang mit den nach dem Bundesdatenschutzgesetz zu schützenden personenbezogenen Daten und für das informationelle Selbstbestimmungsrecht ergibt.  Das Innenministerium Baden-Württemberg führt in seiner Broschüre "Datenschutz im Verein" zu diesem Thema Folgendes aus:  "Sind mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, hat der Verein einen Datenschutzbeauftragten zu bestellen (§ 4f BDSG). Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutz-Beauftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden, da diese Personen sich nicht selbst wirksam überwachen können. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Er muss nicht Mitglied des Vereins sein."  Ergänzend möchte ich Sie noch auf die Info Nr. 4 des BfDI hinweisen:  http://www.bfdi.bund.de/cln_134/DE/Oeffentlichkeitsarbeit/Infomaterial/BfDInformationsbroschueren/BfDInformationsbroschueren_node.html  Ich hoffe, Ihnen mit diesen Informationen geholfen zu haben.  Mit freundlichen GrüßenIm Auftrag ]]

Ministerium des Innern<!-- Kategorien -->Aufsichtsbehörde für den [[Kategorie:Datenschutz im nicht-öffentlichen BereichReferat II/3]]