Unterstütze uns! Spende jetzt!

Datenschutz

Aus PiratenWiki
Wechseln zu: Navigation, Suche

Der folgende Artikel steht zur Diskussion und darf gerne in sachlich und fachlich geeigneter Form ergänzt werden. -- Bastian 13:00, 21. Aug. 2010 (CEST)

Kommentare bitte auf die Diskussionsseite

Grundsätzliches:

Es steht einer Partei, die für die Einhaltung des Datenschutzes eintritt, gut an, selbst mit gutem Beispiel voran zu gehen.

Hierzu darf es der Einhaltung von Regeln (und nicht nur von Gesetzen und Verordnungen).

Daher die sind folgende Punkte umzusetzen:

1. Beauftragter für Datenschutz

Es ist ein Datenschutzbeauftragter (DSB) für den Landesverband Brandenburg zu bestellen, der die Voraussetzungen nach § 4f BDSG erfüllt. Der Wirkungsbereich des DSB erstreckt sich auch auf die unterordneten Gliederungen, es sei denn, diese bestellen selbst eine geeignete Person zum DSB ihrer Gliederung.

Die Vergangenheit hat gezeigt, dass die Pflichtgrenze von 9 Personen hinsichtlich der Bestellungspflicht bereits überschritten war, da alle Personen, die mit der Verarbeitung von Daten beschäftigt sind, mitzuzählen sind.

Ein DSB ist schon zu bestellen, da nur besondere Daten i.S.v. § 3 Abs. 9 BDSG verarbeitet werden.

Im Übrigen sind bei Fehlen eines DSB alle Verfahren der Aufsichtsbehörde zu melden, welches die Sache ausdrücklich nicht vereinfacht.

Die Aufgaben, die ein DSB zu erfüllen hat, ergeben sich aus dem Gesetz.

2. Datenschutzverpflichtung

Jeder, der mit Verarbeitung von sensiblen Daten zu tun hat, hat eine Datenschutzverpflichtung (DSV) abzugeben. Der Abgabe einer DSV hat eine Belehrung durch eine sach- und fachkundigen Person vorauszugehen (üblicherweise ein DSB), es sei denn, die Person verfügt selbst über den Nachweis der Sach- und Fachkunde. Personen, die trotz fehlender Datenschutzverpflichtung (DSV) mit Einwilligung der verantwortlichen Stelle mit personenbezogenen Daten in Verbindung gekommen sind, sind auch nachträglich auf die Einhaltung des BDSG seit dem Zeitraum ihrer Tätigkeit und darüber hinaus zu verpflichten.

3. Umgang mit Daten

Die Speicherung von sensiblen Daten auf Medien, die nicht der Kontrolle der verantwortlichen Stelle unterliegen, ist unzulässig. Widrigenfalls hat die verantwortliche Stelle (bei Kenntnis) alle rechtlichen Mittel auszuschöpfen, damit diese Daten von fremden Medien gelöscht werden. Die Speicherung von sensiblen Daten ist ausschließlich in verschlüsselter Form, die dem Stand der Technik entspricht, zulässig. Eine Versendung von Daten, z.B. per E-Mail, darf nur verschlüsselt erfolgen. Die Daten und Systeme sind durch sich selbst aktualisierende Virenscanner, die auf dem Stand der Technik sind, zu schützen.

Für alle Verfahren und den sonstigen Umgang mit Daten sind Verfahrensverzeichnisse bzw. Richtlinien zu erstellen.

Daten, die auf externen Medien gespeichert sind, sind sicher zu verwahren.

4. Software

Der Einsatz von nicht lizenzierter Software ist auf allen Systemen der verantwortlichen Stelle unzulässig. Bei Kenntnis ist diese unverzüglich von der verantwortlichen Stelle bzw. demjenigen, der die Installation bewirkt hat, zu löschen. Für Ansprüche Dritter haftet derjenige, der die Installation bewirkt hat.

5. Beachtung der Persönlichkeitsrechte

Die Veröffentlichung von Inhalten auf Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, erfolgt unter Beachtung des Gebotes der Datensparsamkeit und des Schutzes der Persönlichkeitsrechte (§3 a BDSG). Insbesondere ist die Verwendung von Klarnamen unzulässig. Anstelle von Klarnamen ist entweder der Wiki-Benutzername oder ein hinreichend anonymisierter Name zu verwenden. Es bleibt einem Autor unbelassen, seinen Klarnamen zu verwenden und/oder im Wiki zu hinterlegen. Allerdings ist auf darauf hinzuwirken, dass dies sparsam geschieht, damit kein unzulässiger Gruppendruck entsteht.

Insofern sind die Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, auf die Anwendung dieser Regeln zu untersuchen und zu berichtigen.

Für Mitglieder in Vorständen der Gebietsverbände können Ausnahmen gelten, da sie zu Personen des öffentlichen Lebens gezählt werden.

6. Wahrung der Persönlichkeitsrechte bei Nachrichten

Die Verbreitung von Inhalten von persönlichen Nachrichten und/oder vertraulichen Informationen sind ohne ausdrückliche Zustimmung des Autors ist unzulässig. Die verantwortliche Stelle hat dafür Sorge zu tragen, dass Verstöße hiergegen in geeigneter Weise geahndet werden.

Sofern eine Wiederholungsgefahr seitens des Verletzers besteht, sind die Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen unterliegen, zu moderieren. Im äußersten Fall ist der Zugang des Verletzers zu diesen Medien zeitweise oder dauerhaft zu sperren. Von einer Wiederholungsgefahr wird regelmäßig dann nicht ausgegangen, wenn der verantwortlichen Stelle eine strafbewehrte Unterlassungserklärung vorliegt.

Derartige, unzulässige Nachrichten bzw. Inhalte sind von den o.a. Medien durch die verantwortliche Stelle oder dem Verletzer unverzüglich zu löschen. Sollte eine Historie gespeichert sein, ist diese vom Systemadministrator auf Anweisung zu löschen.

7. Nutzung von Medien

Einträge in Medien, die der Kontrolle der verantwortlichen Stelle und/oder der ihr untergeordneten Gliederungen, sind nur durch berechtigte Personen zulässig. Insbesondere im Wiki haben Benutzer grds. nur Leserecht. Nur Benutzer, die weitere Angaben in ihrem Wiki-Profil macht, die auf eine gewisse Ernsthaftigkeit schließen lassen, erhalten auch die Rechte, die mindestens der Gruppe der „Normaluser“ vorbehalten ist.

Neue Benutzer sind zu begrüßen und mit den Regeln vertraut zu machen.

Notwendigkeit eines DSB


Original-Nachricht --------

Sehr geehrter Herr .....

für Ihre Anfrage danke ich Ihnen,

Zunächst ist festzustellen, dass nichtöffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, nach § 4 f Abs. 1 BDSG einen Beauftragten für den Datenschutz schriftlich zu bestellen haben. Die Datenerhebung ist deshalb grundsätzlich auch in den Fällen von Bedeutung, in denen sie auf mehrere Personen aufgeteilt wird, die diese Tätigkeit jeweils nur untergeordnet wahrnehmen. Das Gefährdungspotential bei der automatisierten Datenverarbeitung ist nicht davon abhängig, in welchem Umfang eine Person personenbezogene Daten automatisiert verarbeitet, da eine Verletzung datenschutzrechtlicher Vorschriften auch bei einem geringen Anteil grundsätzlich nicht ausgeschlossen werden kann.

Wesentliches Ziel der Änderung von § 4 f Abs. 1 Satz 4 BDSG im Jahre 2007 war die Erhöhung des Schwellenwerts von damals vier Arbeitnehmern auf neun Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Durch die Neuregelung sollte u.a. sichergestellt werden, dass allein die Anzahl der "Personen" entscheidend ist, die sich im Rahmen ihrer Aufgabenerfüllung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten, und zwar unabhängig von ihrem arbeitsrechtlichen Status. Nicht nur "Arbeitnehmer", auch freie Mitarbeiter oder Auszubildende müssen bei der Bestimmung der Anzahl der mit der automatisierten Datenverarbeitung Beschäftigten berücksichtigt werden. Im Gegenzug wurde klargestellt, dass aus datenschutzrechtlicher Sicht die Personen, die nicht "in der Regel" mit der automatisierten Verarbeitung personenbezogener Daten "ständig" beschäftigt sind, unberücksichtigt bleiben können. Unternehmen, die z.B. nur kurzzeitig den Schwellenwert überschreiten, sind nicht zur Bestellung eines Beauftragten für den Datenschutz verpflichtet. Die Neuregelung sollte vermeiden, dass Unternehmen nur deshalb einer anderen Kategorie zugeordnet werden, weil sie die maßgebliche Personengrenze für die Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz nur kurzzeitig überschreiten. Auch sind Personen, die nur gelegentlich, z.B. als Urlaubsvertretung, personenbezogene Daten automatisiert verarbeiten, nicht mitzuzählen.

Personen, die in der Regel mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, sind unabhängig vom quantitativen und qualitativen Anteil - wie bisher - in die Berechnung des Schwellenwertes einzubeziehen. Eine andere Beurteilung kann nur in den Fällen in Betracht kommen, in denen bei den Vor - und Nacharbeiten vom Inhalt der aus der automatisierten Verarbeitung stammenden Daten, z.B. Adressen, keine Kenntnis genommen werden kann und sich deshalb auch keine Gefährdung durch den Umgang mit den nach dem Bundesdatenschutzgesetz zu schützenden personenbezogenen Daten und für das informationelle Selbstbestimmungsrecht ergibt.

Das Innenministerium Baden-Württemberg führt in seiner Broschüre "Datenschutz im Verein" zu diesem Thema Folgendes aus:

"Sind mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, hat der Verein einen Datenschutzbeauftragten zu bestellen (§ 4f BDSG). Zur Vermeidung einer Interessenkollision dürfen die Aufgaben des Datenschutz-Beauftragten nicht vom Vereinsvorstand oder dem für die Datenverarbeitung des Vereins Verantwortlichen wahrgenommen werden, da diese Personen sich nicht selbst wirksam überwachen können. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Er muss nicht Mitglied des Vereins sein."

Ergänzend möchte ich Sie noch auf die Info Nr. 4 des BfDI hinweisen:

http://www.bfdi.bund.de/cln_134/DE/Oeffentlichkeitsarbeit/Infomaterial/BfDInformationsbroschueren/BfDInformationsbroschueren_node.html

Ich hoffe, Ihnen mit diesen Informationen geholfen zu haben.

Mit freundlichen Grüßen Im Auftrag

P.

Ministerium des Innern Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich Referat II/3