1. Kopf
  2. Navigation
  3. Inhalt
  4. Marginalspalte Rechts
Inhalt

Betrieblicher Datenschutz­

Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten? Beachten Sie die Datenschutzpflichten!

Mit personenbezogenen Daten verantwortlich umgehen

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (wie etwa Name, Anschrift, Familienstand, Geburtsdatum, Grundbesitz), unabhängig von ihrer Sensitivität.

Generell gilt, dass Unternehmen so wenig wie möglich personenbezogene Daten erheben, verarbeiten und nutzen sollen. Personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit das nach dem jeweiligen Verwendungszweck möglich ist und im Vergleich zum Schutzzweck keinen unverhältnismäßig hohen Aufwand erfordert.

Um die Bürger vor missbräuchlicher Verwendung ihrer Daten zu schützen, dürfen Unternehmen personenbezogene Daten nur erheben, verarbeiten oder nutzen, wenn dies gesetzlich erlaubt ist oder die Betroffenen eingewilligt haben. Grundsätzlich müssen Sie als Unternehmerin oder Unternehmer die Betroffenen informieren, wenn Sie ihre Daten verarbeiten. Nur in Ausnahmefällen kann davon abgesehen werden, etwa wenn der Betroffene bereits auf andere Weise Kenntnis davon erlangt hat. Unter "Verarbeiten" zu verstehen ist das Speichern, Verändern, Übermitteln, Sperren oder Löschen personenbezogener Daten.


WICHTIG! Sie sind nicht nur verpflichtet, Anfragenden Auskunft zu geben, ob und welche persönlichen Daten über sie in Ihrem Unternehmen gespeichert sind, sondern Sie müssen diese Daten gegebenenfalls auch berichtigen oder unter bestimmten Voraussetzungen auch löschen.

Meldung zum Verfahrensregister abgeben

Unternehmen, die personenbezogene Daten automatisiert verarbeiten, müssen in bestimmten Fällen ihre Datenverarbeitungsverfahren der Datenschutzaufsichtsbehörde – in Sachsen ist dies der Sächsische Datenschutzbeauftragte – melden. Die Unternehmen werden dann mit den betreffenden Verfahren ins Verfahrensregister eingetragen.

DETAILS:

Datenschutzbeauftragte bestellen

"Betriebliche Beauftragte für den Datenschutz" wirken auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hin. Einen Datenschutzbeauftragten müssen Sie schriftlich bestellen, wenn Sie in Ihrem Unternehmen

  • personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen und dabei ständig mindestens zehn Personen beziehungsweise bei einer Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen oder
  • automatisierte Verarbeitungen von personenbezogenen Daten vornehmen, die besondere Risiken für die Rechte und die Freiheiten der Betroffenen aufweisen (Derartige Verarbeitungen müssen von der oder dem Datenschutzbeauftragten in einer Vorabkontrolle vor Beginn der Verarbeitung überprüft werden.) oder
  • automatisierte Verarbeitungen vornehmen, in denen personenbezogene Daten geschäftsmäßig zum Zwecke der (gegebenenfalls auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (wie beispielsweise bei Auskunfteien oder Markt- und Meinungsforschungsinstituten der Fall).

MEHR ZUM THEMA:

Technische und organisatorische Maßnahmen treffen

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten dabei wirksam zu schützen. Dazu schreibt das Bundesdatenschutzgesetz folgende Maßnahmen vor:

  • Zutrittskontrolle
    Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben.
  • Zugangskontrolle
    Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungssysteme zu nutzen.
  • Zugriffskontrolle
    Personen, die zur Benutzung der Datenverarbeitungssysteme berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Weitergabekontrolle
    Personenbezogene Daten dürfen während der elektronischen Übertragung oder ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Eingabekontrolle
    Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle
    Werden personenbezogene Daten im Auftrag verarbeitet, darf dies nur den Weisungen des Auftraggebers folgend geschehen.
  • Verfügbarkeitskontrolle
    Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein.
  • Trennungsgebot
    Zu unterschiedlichen Zwecken erhobene Daten müssen auch getrennt verarbeitet werden.

HINWEIS: Zu den Aufgaben eines Datenschutzbeauftragten gehört im Rahmen der Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme auch die Kontrolle, ob ausreichende technische und organisatorische Maßnahmen getroffen worden sind. Falls Sie keinen Datenschutzbeauftragten bestellen müssen, haben Sie als Unternehmerin oder Unternehmer diese Aufgabe selbst wahrzunehmen.

Vorabkontrolle durch den Datenschutzbeauftragen

Sind durch automatisierte Verarbeitungen die Rechte und Freiheiten der Betroffenen besonders gefährdet, muss vor Beginn der Verarbeitung eine Vorabkontrolle durchgeführt werden. Dies gilt insbesondere, wenn

  • besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) verarbeitet werden oder
  • die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten.

Von der Vorabkontrolle kann nur abgesehen werden, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Zuständig für die Vorabkontrolle ist der betriebliche Datenschutzbeauftragte. Gegebenenfalls ist er daher noch entsprechend zu bestellen.

Auf das Datengeheimnis verpflichten

Das Datengeheimnis gemäß Bundesdatenschutzgesetz verbietet es Personen, die bei der Verarbeitung personenbezogener Daten beschäftigt sind, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Verbot besteht nach Beendigung der Tätigkeit fort.

Die Mitarbeiter sind bei Aufnahme einer entsprechenden Tätigkeit (vorzugsweise schriftlich) auf das Datengeheimnis zu verpflichten. Die vorgenommene Verpflichtung ist zu dokumentieren. Den Mitarbeitern soll eine Kopie der Verpflichtungserklärung ausgehändigt werden.

MEHR ZUM THEMA:

Datenschutz auch bei der Datenvernichtung

Auch das Löschen personenbezogener Daten und das Vernichten elektronisch oder manuell lesbarer Datenträger (beispielsweise CD-ROMs, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne des Bundesdatenschutzgesetzes. Als bei der Datenvernichtung beschäftigt gilt, wer in irgendeiner Form mit den zu vernichtenden Daten in Berührung kommt. Dazu zählen beispielsweise auch Beschäftigte, die die Datenträger transportieren oder bis zur Vernichtung einlagern.

Datenlöschung oder Datenträgervernichtung im eigenen Unternehmen

Sie müssen sicherstellen, dass angemessene technische und organisatorische Maßnahmen zum Schutz der Daten umgesetzt werden. Auch müssen Sie die betreffenden Mitarbeiter auf das Datengeheimnis verpflichten.

Datenträgervernichtung durch ein gewerbliches Spezialunternehmen

Nach dem Bundesdatenschutzgesetz müssen Sie den Auftrag schriftlich mit gesetzlich vorgegebenen Mindestinhalten erteilen und sich davon überzeugen, dass der Auftragnehmer ausreichende technische und organisatorische Maßnahmen getroffen hat und diese auch einhält.

Der Dienstleister muss technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Dazu zählen vor allem Zutrittkontrolle, Weitergabekontrolle und Organisationskontrolle.

MEHR ZUM THEMA:


ACHTUNG! Bis die Datenträger endgültig vernichtet sind, verantworten Sie als Auftraggeber die Einhaltung der Datenschutzanforderungen. Auch wenn Sie Ihre Datenträger regelmäßig demselben Dienstleister zur Vernichtung überlassen, müssen Sie daher regelmäßig überprüfen, ob die Maßnahmen eingehalten werden, und das Ergebnis Ihrer Kontrollen dokumentieren.

Informationen und Links

Datenschutzbehörden und –institutionen

Informationsmaterialien

Formulare

Gesetzliche Grundlagen zum Datenschutz


VERWANDTES THEMA:

 

Impressum  (Freistaat Sachsen)

Freistaat Sachsen
Sächsisches Staatsministerium des Innern

Der Freistaat Sachsen ist eine Körperschaft des Öffentlichen Rechts. Er wird vertreten durch den Ministerpräsidenten Stanislaw Tillich.

Verantwortlich im Sinne von § 55 Abs. 2 RStV:
Andreas Kunze-Gubsch (Pressesprecher des Sächsischen Staatsministeriums des Innern)

Wir bemühen uns intensiv, auf dieser Website richtige und vollständige Informationen zur Verfügung zu stellen. Wir übernehmen jedoch keine Haftung oder Garantie für die Aktualität, Richtigkeit oder Vollständigkeit der auf dieser Seite bereitgestellten Informationen. Dies gilt auch für alle Verbindungen (Hyperlinks), auf die diese Website direkt oder indirekt verweisen. Der Freistaat Sachsen hat keinen Einfluss auf die aktuelle und zukünftige Gestaltung und auf Inhalte der verlinkten Seiten. Wir sind für den Inhalt einer Seite, die mit einem solchen Link erreicht wird, nicht verantwortlich.

 
 

Marginalspalte

Verfahren & Dienstleistungen

Kontakt zur Redaktion

Sie brauchen weitere Informationen?

Fragen Sie Amt24!

freigegeben durch:

Sächsische Staatskanzlei, unter Beteiligung des Sächsischen Datenschutzbeauftragten

   05.01.2016

Bundesweit Informationen und Leistungen der öffentlichen Verwaltung finden