Grundlagenwissen Datenschutz PDF

„Basiswissen DSGVO“ Hier erfahren Sie, welche Bedeutung der Datenschutz in Ihrem beruflichen Leben hat. Sie lernen, welche Daten dem gesetzlichen Schutz unterliegen, wann die Regeln beachtet werden müssen und welche Folgen bei Verstößen drohen. Jede Person lässt sich anhand von Daten beschreiben. Je persönlicher und umfassender diese Daten sind, umso genauer ist das Bild, das sich dadurch ergibt. Wenn Sie etwa in einem Online-Shop bestellen, eine Zeitschrift abonnieren, einen Vertrag bei einem Mobilfunkanbieter abschließen oder eine Reise buchen, dann geben Sie auch immer Ihre persönlichen Daten an Unternehmen. Der Datenschutz soll einen Missbrauch dieser Daten verhindern und damit das Persönlichkeitsrecht des Einzelnen schützen. Dieses Grundrecht basiert sowohl auf dem deutschen Grundgesetz als auch auf der EU Grundrechte Charta. Gerade im beruflichen Alltag ist die Beachtung des Datenschutzes von immenser Bedeutung. Schwerwiegende Folgen bei einem Verstoß, z. B.: ▪ empfindlicher Imageschaden ▪ wirtschaftliche Schädenhohe ▪ Geldbußen ▪ Schadenersatzansprüche ▪ arbeitsrechtliche Konsequenzen Welche Daten sind geschützt? Der gesetzliche Schutz gilt für „personenbezogene Daten“. Das sind alle Informationen, die geeignet sind, eine natürliche Person („betroffene Person“) zu identifizieren. Der Schutz umfasst im Kern alle automatisierten Datenverarbeitungen, also vor allem IT- Applikationen, die Kunden- oder Mitarbeiterdaten verarbeiten sowie Ton- und Videoaufzeichnungen. Nicht geschützt: anonyme Daten In dieser Lektion haben Sie gelernt, … ▪ dass der gesetzliche Datenschutz beim Umgang mit personenbezogenen Daten immer beachtet werden muss. ▪ dass personenbezogene Daten alle Informationen umfassen, die geeignet sind, eine natürliche Person zu identifizieren. ▪ welches die rechtlichen Grundlagen sind. ▪ dass Verstöße gegen Datenschutzgesetze ernste Folgen für Unternehmen haben können. ▪ Eine Zusammenfassung dieser Lektion wurde nun für Sie im Materialteil, den Sie von der Menüseite aus erreichen, freigeschaltet. „Die europäische Datenschutz-Grundverordnung – Auf einen Blick“. Hier werden Sie erfahren, was die EU-Datenschutz-Grundverordnung ist und welche Neuerungen und Änderungen sie mit sich bringt. In dieser Lektion haben Sie gelernt, … ▪ dass die Datenschutz-Grundverordnung (DSGVO) eine bindende Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in allen EU-Mitgliedsstaaten ist. ▪ dass die DSGVO dafür sorgt, dass in allen EU-Staaten einheitliche Standards für den Datenschutz gelten. ▪ dass Mitgliedsstaaten durch Öffnungsklauseln Spielraum für nationale Regelungen haben. ▪ welche wesentlichen Neuerungen und Änderungen die DSGVO mit sich bringt. Eine Zusammenfassung finden Sie auch im Materialteil, den Sie von der Menüseite aus erreichen können. „Prinzipien DSGVO“ Hier erfahren Sie, welche Grundsätze bzw. Prinzipien es zur Verarbeitung von personenbezogenen Daten gibt und was diese im Einzelnen bedeuten. Abschließend vertiefen Sie die Grundsätze bzw. Prinzipien anhand von alltagsnahen Beispielen. Bei der Verarbeitung personenbezogener Daten sind die nationalen und europäischen Datenschutzvorschriften zu beachten. Aber keine Sorge, deswegen müssen Sie nicht zum Rechtsexperten werden. Die DSGVO gliedert die Pflichten im Umgang mit personenbezogenen Daten in sieben Grundsätze. Wenn Sie sich konsequent an diese halten, bleiben Sie im sicheren Rahmen der geltenden Vorschriften. Grundsatz 1: Rechtmäßigkeit, Treu und Glauben, Transparenz Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Alle Informationen und Mitteilungen zur Verarbeitung von personenbezogenen Daten sind leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst. Das heißt: ▪ Die konkreten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Datenerhebung feststehen. ▪ Für betroffene Personen muss klar und deutlich sein, dass ihre personenbezogenen Daten verarbeitet werden und in welchem Umfang dies erfolgt. ▪ Betroffene Personen haben das Recht, Auskunft zu erhalten, welche ihrer personenbezogenen Daten verarbeitet werden. ▪ Es soll eine Aufklärung über die Risiken, Vorschriften und Rechte der betroffenen Personen vorgenommen werden. Beispiel: Wir müssen auf unserer Internetpräsenz Informationen über die Identität des Verantwortlichen und über die Verarbeitungszwecke von Daten bereitstellen. Das schließt eine Aufklärung darüber ein, dass z. B. Cookies gesetzt, IP-Adressen verarbeitet oder Analysetools eingesetzt werden. Auch bei der Weitergabe von personenbezogenen Daten ist der Grundsatz der Rechtmäßigkeit zu beachten. Gleich, ob diese zwischen Konzerngesellschaften weitergegeben werden sollen oder an ein Unternehmen, das nicht zur Deutsche Post DHL Group gehört. Stets ist danach zu fragen, ob es für die beabsichtigte Weitergabe eine Rechtsgrundlage gibt. Wenn personenbezogene Daten an Unternehmen mit Sitz außerhalb der Europäischen Union bzw. des europäischen Wirtschaftsraums weitergegeben werden sollen, müssen zusätzliche Anforderungen erfüllt werden, um das europäische Datenschutzniveau auch im sogenannten Drittland gewährleisten zu können. Innerhalb des Konzerns hilft hier die DPDHL Data Privacy Policy weiter: sofern die angestrebte Datenverarbeitung und -weitergabe grundsätzlich zulässig ist, stellt die DPDHL Data Privacy Policy die Grundlage für eine Datenweitergabe in ein Drittland dar. Für die Weitergabe an nicht konzernangehörige Unternehmen sind zusätzliche vertragliche Regelungen zu treffen, wie z. B. in den Standardvertragsklauseln der EU Kommission. Rechtmäßig ist die Verarbeitung von personenbezogenen Daten dann, wenn sie auf einer gesetzlichen Erlaubnis beruht. Die DSGVO sieht hierfür verschiedene Gründe vor, z. B. den, dass die Verarbeitung der Erfüllung eines Vertrages dient (z. B. bei der Lieferung von Waren, der Zustellung einer Sendung oder der Durchführung eines Arbeitsvertrages) oder auf Grundlage einer Einwilligung der betroffenen Person für einen oder mehrere konkrete Zwecke erfolgt. Voraussetzungen für eine wirksame Einwilligung: ▪ Informiert Der betroffenen Person muss bewusst sein, dass sie eine Einwilligungserklärung abgibt und ihr muss der Zweck oder die Zwecke der beabsichtigten Datenverarbeitung in einer klaren und leicht verständlichen Sprache dargestellt werden. ▪ Freiwillig Die Einwilligung muss auf der freien Entscheidung der Person beruhen. D. h. ihre Daten dürfen nicht unter Drohung oder gegen ihren Willen erlangt werden. ▪ Widerrufbarkeit Die betroffene Person hat zudem das Recht, die Einwilligung zu widerrufen. Vor Abgabe der Einwilligung muss sie über die Widerrufbarkeit unterrichtet werden. Grundsatz 2: Zweckbindung Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Weiterverarbeitung muss mit den Erhebungszwecken vereinbar sein. Beispiel: Deutsche Post DHL Group erhebt Daten, um einen neuen Mitarbeiter einzustellen. Dafür werden unter anderem sein vollständiger Namen, das Geburtsdatum und die Steuernummer benötigt. Die Erhebung der Privatadresse zur Zusendung von Drittwerbung würde dem Zweckbindungsgrundsatz jedoch nicht entsprechen. Grundsatz 3: Datenminimierung Es dürfen ausschließlich die Daten erhoben und verarbeitet werden, die für den angegebenen Zweck tatsächlich erforderlich sind. Beispiel: Sie kaufen Lebensmittel im Internet. Für die Bestellung darf Ihre Kundenadresse erhoben werden, da diese für die Lieferung benötigt wird. Die Erhebung von Angaben zu Ihrem Familienstand, also ob Sie verheiratet sind oder nicht, wäre zur Vertragserfüllung hingegen nicht erforderlich. Grundsatz 4: Richtigkeit Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Um unrichtige Daten unverzüglich zu löschen oder zu berichtigen, müssen alle angemessenen Maßnahmen ergriffen werden. Beispiel: Die Kontoverbindung eines Mitarbeiters hat sich geändert. Um das Gehalt zu überweisen, muss Deutsche Post DHL Group als sein Arbeitgeber die gespeicherten Daten aktualisieren. Grundsatz 5: Speicherbegrenzung Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Werden die personenbezogenen Daten also nicht mehr benötigt, ist für die Zukunft auszuschließen, dass sie der betroffenen Person weiterhin zugeordnet werden können. Das kann erfolgen, indem die Daten vollständig gelöscht werden oder rein statistische Angaben übrig bleiben. Beispiel: Sie haben sich zu einer DPDHL Konferenz oder einem Workshop angemeldet und hierzu Ihren Namen und Ihre eMail Adresse angegeben. Da nach Durchführung der Veranstaltung Ihre Daten grundsätzlich nicht mehr benötigt werden, müssen sie aus dem jeweiligen Event Management System gelöscht werden. Grundsatz 6: Integrität und Vertraulichkeit Es muss eine angemessene Datensicherheit bei der Verarbeitung von personenbezogenen Daten gewährleistet werden. Durch geeignete technische und organisatorische Maßnahmen muss etwa der Schutz vor unbefugter Verarbeitung, vor unbeabsichtigtem Verlust und unbeabsichtigter Zerstörung sichergestellt werden. Dazu gehören: ▪ die Pseudonymisierung und Verschlüsselung ▪ Zugangskontrollen ▪ Zugriffskontrollen ▪ Kontrollverfahren Grundsatz 7: Rechenschaftspflicht Für die Einhaltung der sechs bisherigen Grundsätze und den Nachweis über diese Einhaltung ist der für die Datenverarbeitung Verantwortliche zuständig. Im Konzern Deutsche Post DHL Group bedeutet dies, dass jede einzelne Konzerngesellschaft für die Umsetzung und Einhaltung der für sie geltenden Datenschutzbestimmungen zuständig ist. In der DPDHL Data Privacy Policy ist festgelegt, welche Rollen und Verantwortlichkeiten die Konzerngesellschaften bei der Wahrnehmung des Datenschutzmanagements unterstützen. Beispiele für Aufgaben des Verantwortlichen: ▪ Dokumentation von Verfahren und Ergebnissen zur Kontrolle einer angemessenen Sicherheit der Verarbeitung von personenbezogenen Daten ▪ Regelmäßige Kontrolle einer zweckgebundenen und erforderlichen Datenverarbeitung ▪ Sensibilisierung der Beschäftigten durch Schulungen ▪ Betreiben eines Datenschutzmanagement-Systems Die sieben Grundsätze sind also zusammengefasst: 1. Rechtmäßigkeit, Treu und Glauben, Transparenz 2. Zweckbindung 3. Datenminimierung 4. Richtigkeit 5. Speicherbegrenzung 6. Integrität und Vertraulichkeit 7. Rechenschaftspflicht „Datenverarbeitung im Auftrag“ Hier erfahren Sie, was eine Datenverarbeitung im Auftrag ist, welche Datenschutzregeln zu beachten sind und wer für die Einhaltung der Regeln verantwortlich ist. Alle Informationen, mit denen sich eine Person identifizieren lässt („personenbezogene Daten“), unterliegen dem gesetzlichen Datenschutz. Die Verantwortung für die Einhaltung der Regeln liegt bei der Stelle, die die Daten verarbeitet. Oft wird die Datenverarbeitung ausgelagert, z. B. an ein Call Center, eine Firma zur Softwarewartung oder einen Cloud-Anbieter. Dann spricht man von „Datenverarbeitung im Auftrag“. Das Unternehmen, das den Auftrag zur Datenverarbeitung an einen Dritten vergibt, … ▪ ist zu besonderer Sorgfalt bei der Auswahl dieses Auftragnehmers verpflichtet und hat darauf zu achten, dass der Auftragnehmer hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Datenverarbeitung im Einklang mit dem Datenschutz erfolgt. ▪ ist gemeinsam mit dem Auftragnehmer für die Rechtmäßigkeit der Datenverarbeitung und für den Datenschutz verantwortlich. Der Auftragnehmer darf die Verarbeitung der Daten nur gemäß den Weisungen des Auftraggebers durchführen und die Auftragsverarbeitung muss in einem Vertrag geregelt sein. Stellen Sie sich nun vor, die Server des Auftragnehmers waren unzureichend gesichert und empfindliche Kundendaten wurden gestohlen. Es gibt einen handfesten Skandal und nicht nur der Auftraggeber, sondern auch die betroffenen Kunden geraten in große Schwierigkeiten. Nachdem sich das Unternehmen für einen Dienstleister entschieden hat, müssen diese beiden als Auftraggeber und -nehmer einen schriftlichen Vertrag abschließen, der den gesetzlichen Anforderungen genügt. Unter anderem sind der genaue Geltungsbereich sowie Rechte und Pflichten der Vertragspartner festzulegen. Die Erfüllung des Vertrags und die Abwicklung des Auftrags müssen durch den Auftraggeber überwacht werden. In dieser Lektion haben Sie gelernt, dass … ▪ bei einer Auslagerung der Verarbeitung personenbezogener Daten der Auftraggeber gemeinsam mit dem Auftragnehmer verantwortlich ist für die Einhaltung der Datenschutzregeln. ▪ der Auftraggeber verpflichtet ist, den Auftragnehmer sorgfältig auszuwählen und mit ihm einen schriftlichen Vertrag abzuschließen. ▪ der Auftraggeber auch nach Vertragsabschluss seiner Kontrollpflicht nachgehen muss, indem er z. B. regelmäßig Protokolle des Auftragnehmers einsieht. „Datenschutzrollen im Unternehmen“ Hier erfahren Sie, wer bei Deutsche Post DHL Group für den Datenschutz Verantwortung trägt, wie dieser organisiert ist und welche Pflichten ein Datenschutzbeauftragter hat. Für Deutsche Post DHL Group ist es wichtig, sicherzustellen, dass die Grundsätze des Datenschutzes eingehalten werden, um rechtliche Sanktionen zu vermeiden, die eigenen Unternehmenswerte zu schützen und als sicherer und vertrauenswürdiger Geschäftspartner und Arbeitgeber wahrgenommen zu werden. Damit dies der Fall ist, muss jede Konzerngesellschaft dafür Sorge tragen, dass alle Mitarbeiter ausreichend informiert sind, einen Ansprechpartner bei Fragen haben und eine geeignete technische und personelle Infrastruktur bereitsteht. Die DPDHL Data Privacy Policy unterstützt hierbei, indem sie Rollen und Verantwortlichkeiten im Datenschutzmanagement festlegt. Bei Deutsche Post DHL Group unterstützt die Konzerndatenschutzbeauftragte ein effizientes Datenschutzmanagement und gibt insgesamt die datenschutzrechtlichen Leitlinien vor. Für die Konzerngesellschaften sind Datenschutzansprechpartner (Data Protection Officials, DPO) benannt. Wo dies gesetzlich geregelt ist, ist der Datenschutzansprechpartner als Datenschutzbeauftragter formell bestellt und muss die Einhaltung weiterer Anforderungen (z. B. Fachkunde, Weisungsfreiheit etc.) nachweisen können. ▪ Unterrichtung ▪ Datenschutzkonformitätsprüfung / PIA ▪ Überwachung ▪ Anlaufstelle ▪ Sensibilisierung Die Konzerndatenschutzbeauftragte, die DPOs und die Country Data Protection Officials (CDPCs) stehen Ihnen natürlich jederzeit gern zur Seite, bedenken Sie jedoch, dass die Verantwortung für die Einhaltung der Regeln in erster Linie immer bei Ihnen selbst liegt. So tragen auch Sie zum Schutz unseres Unternehmens bei. Wenn Sie unsicher sind, wie Sie sich in einer bestimmten Situation verhalten sollen, wie ein Sachverhalt zu beurteilen ist oder Sie eine generelle Frage haben, scheuen Sie sich bitte nicht, Ihren Vorgesetzten und/oder den zuständigen DPO zu kontaktieren. Sie finden eine Liste der Ansprechpartner auf der MyNet-Seite des Konzerndatenschutzes. In dieser Lektion haben Sie gelernt, … ▪ dass die DPOs im Unternehmen auf die Einhaltung aller Datenschutzvorschriften hinwirken und für Sie als Ansprechpartner zur Verfügung stehen. ▪ welche Aufgaben der DPO typischerweise wahrnimmt. ▪ dass Sie selbst auch immer für die Einhaltung von Regeln zuständig sind.

Grundlagenwissen Datenschutz PDF

Document Details

Tags

Related

Summary

Full Transcript