Grundlagenwissen Datenschutz PDF
Document Details
Uploaded by ThumbUpDialogue4138
Tags
Related
Summary
This document provides basic knowledge about the GDPR, explaining its significance in professional life, regulations, and potential consequences. It details what constitutes protected data and outlines general principles for handling such data. Covers crucial topics for businesses and individuals.
Full Transcript
„Basiswissen DSGVO"**\ \ **Hier erfahren Sie, welche Bedeutung der Datenschutz in Ihrem beruflichen Leben hat. Sie lernen, welche Daten dem gesetzlichen Schutz unterliegen, wann die Regeln beachtet werden müssen und welche Folgen bei Verstößen drohen. Jede Person lässt sich anhand von Daten beschre...
„Basiswissen DSGVO"**\ \ **Hier erfahren Sie, welche Bedeutung der Datenschutz in Ihrem beruflichen Leben hat. Sie lernen, welche Daten dem gesetzlichen Schutz unterliegen, wann die Regeln beachtet werden müssen und welche Folgen bei Verstößen drohen. Jede Person lässt sich anhand von Daten beschreiben.\ \ Je persönlicher und umfassender diese Daten sind, umso genauer ist das Bild, das sich dadurch ergibt. Wenn Sie etwa in einem Online-Shop bestellen, eine Zeitschrift abonnieren, einen Vertrag bei einem Mobilfunkanbieter abschließen oder eine Reise buchen, dann geben Sie auch immer Ihre persönlichen Daten an Unternehmen. Der Datenschutz soll einen Missbrauch dieser Daten verhindern und damit das Persönlichkeitsrecht des Einzelnen schützen. Dieses Grundrecht basiert sowohl auf dem deutschen Grundgesetz als auch auf der EU Grundrechte Charta. Gerade im beruflichen Alltag ist die Beachtung des Datenschutzes von immenser Bedeutung.\ \ \ **Schwerwiegende Folgen bei einem Verstoß, z. B.:** - empfindlicher Imageschaden - wirtschaftliche Schadenshöhe - Geldbußen - Schadenersatzansprüche - arbeitsrechtliche Konsequenzen **Welche Daten sind geschützt?**\ \ Der gesetzliche Schutz gilt für „personenbezogene Daten".\ \ Das sind alle Informationen, die geeignet sind, eine natürliche Person („betroffene Person") zu identifizieren. Der Schutz umfasst im Kern alle automatisierten Datenverarbeitungen, also vor allem IT-Applikationen, die Kunden- oder Mitarbeiterdaten verarbeiten sowie Ton- und Videoaufzeichnungen. **Nicht geschützt:\ **[anonyme Daten] In dieser Lektion haben Sie gelernt,... - dass der gesetzliche Datenschutz beim Umgang mit personenbezogenen Daten immer beachtet werden muss. - dass personenbezogene Daten alle Informationen umfassen, die geeignet sind, eine natürliche Person zu identifizieren. - welches die rechtlichen Grundlagen sind. - dass Verstöße gegen Datenschutzgesetze ernste Folgen für Unternehmen haben können. - Eine Zusammenfassung dieser Lektion wurde nun für Sie im Materialteil, den Sie von der Menüseite aus erreichen, freigeschaltet. „Die europäische **[D]**aten**[s]**chutz-**[G]**rund**[v]**er**[o]**rdnung -- Auf einen Blick".\ **\ **Hier werden Sie erfahren, was die EU-Datenschutz-Grundverordnung ist und welche Neuerungen und Änderungen sie mit sich bringt. In dieser Lektion haben Sie gelernt,... - - - - „Prinzipien DSGVO"\ **\ **Hier erfahren Sie, welche Grundsätze bzw. Prinzipien es zur Verarbeitung von personenbezogenen Daten gibt und was diese im Einzelnen bedeuten.\ \ Abschließend vertiefen Sie die Grundsätze bzw. Prinzipien anhand von alltagsnahen Beispielen. Bei der [Verarbeitung personenbezogener Daten] sind die nationalen und europäischen Datenschutzvorschriften zu beachten.\ \ Aber keine Sorge, deswegen müssen Sie nicht zum Rechtsexperten werden.\ \ Die DSGVO gliedert die Pflichten im Umgang mit personenbezogenen Daten in sieben Grundsätze.\ \ Wenn Sie sich konsequent an diese halten, bleiben Sie im sicheren Rahmen der geltenden Vorschriften. Grundsatz 1: Rechtmäßigkeit, Treu und Glauben, Transparenz\ \ Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Alle Informationen und Mitteilungen zur Verarbeitung von personenbezogenen Daten sind leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst. **Das heißt:\ ** - - - - **Beispiel:**\ Wir müssen auf unserer Internetpräsenz Informationen über die Identität des Verantwortlichen und über die Verarbeitungszwecke von Daten bereitstellen. Das schließt eine Aufklärung darüber ein, dass z. B. Cookies gesetzt, IP-Adressen verarbeitet oder Analysetools eingesetzt werden. Auch bei der Weitergabe von personenbezogenen Daten ist der Grundsatz der Rechtmäßigkeit zu beachten. Gleich, ob diese zwischen Konzerngesellschaften weitergegeben werden sollen oder an ein Unternehmen, das nicht zur Deutsche Post DHL Group gehört. Stets ist danach zu fragen, ob es für die beabsichtigte Weitergabe eine Rechtsgrundlage gibt. Wenn personenbezogene Daten an Unternehmen mit Sitz außerhalb der Europäischen Union bzw. des europäischen Wirtschaftsraums weitergegeben werden sollen, müssen zusätzliche Anforderungen erfüllt werden, um das europäische Datenschutzniveau auch im sogenannten Drittland gewährleisten zu können.\ \ Innerhalb des Konzerns hilft hier die **DPDHL Data Privacy Policy** weiter: sofern die angestrebte Datenverarbeitung und -weitergabe grundsätzlich zulässig ist, stellt die DPDHL Data Privacy Policy die Grundlage für eine Datenweitergabe in ein Drittland dar. Für die Weitergabe an nicht konzernangehörige Unternehmen sind zusätzliche vertragliche Regelungen zu treffen, wie z. B. in den Standardvertragsklauseln der EU Kommission. Rechtmäßig ist die Verarbeitung von personenbezogenen Daten dann, wenn sie auf einer gesetzlichen Erlaubnis beruht. Die DSGVO sieht hierfür verschiedene Gründe vor, z. B. den, dass die Verarbeitung der Erfüllung eines Vertrages dient (z. B. bei der Lieferung von Waren, der Zustellung einer Sendung oder der Durchführung eines Arbeitsvertrages) oder auf Grundlage einer **Einwilligung** der betroffenen Person für einen oder mehrere konkrete Zwecke erfolgt. Voraussetzungen für eine **wirksame** **Einwilligung**: - - - Grundsatz 2: Zweckbindung**\ **\ Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Weiterverarbeitung muss mit den Erhebungszwecken vereinbar sein. **Beispiel**:\ Deutsche Post DHL Group erhebt Daten, um einen neuen Mitarbeiter einzustellen. Dafür werden unter anderem sein vollständiger Namen, das Geburtsdatum und die Steuernummer benötigt.\ \ Die Erhebung der Privatadresse zur Zusendung von Drittwerbung würde dem Zweckbindungsgrundsatz jedoch nicht entsprechen. Grundsatz 3: Datenminimierung**\ **\ Es dürfen ausschließlich die Daten erhoben und verarbeitet werden, die für den angegebenen Zweck tatsächlich erforderlich sind. **Beispiel**:\ Sie kaufen Lebensmittel im Internet. Für die Bestellung darf Ihre Kundenadresse erhoben werden, da diese für die Lieferung benötigt wird. Die Erhebung von Angaben zu Ihrem Familienstand, also ob Sie verheiratet sind oder nicht, wäre zur Vertragserfüllung hingegen nicht erforderlich. Grundsatz 4: Richtigkeit\ \ Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Um unrichtige Daten unverzüglich zu löschen oder zu berichtigen, müssen alle angemessenen Maßnahmen ergriffen werden. **Beispiel**:\ Die Kontoverbindung eines Mitarbeiters hat sich geändert. Um das Gehalt zu überweisen, muss Deutsche Post DHL Group als sein Arbeitgeber die gespeicherten Daten aktualisieren. Grundsatz 5: Speicherbegrenzung\ \ Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Werden die personenbezogenen Daten also nicht mehr benötigt, ist für die Zukunft auszuschließen, dass sie der betroffenen Person weiterhin zugeordnet werden können. Das kann erfolgen, indem die Daten vollständig gelöscht werden oder rein statistische Angaben übrig bleiben. **Beispiel**:\ Sie haben sich zu einer DPDHL Konferenz oder einem Workshop angemeldet und hierzu Ihren Namen und Ihre eMail Adresse angegeben. Da nach Durchführung der Veranstaltung Ihre Daten grundsätzlich nicht mehr benötigt werden, müssen sie aus dem jeweiligen Event Management System gelöscht werden. Grundsatz 6: Integrität und Vertraulichkeit\ \ Es muss eine angemessene Datensicherheit bei der Verarbeitung von personenbezogenen Daten gewährleistet werden. Durch geeignete technische und organisatorische Maßnahmen muss etwa der Schutz vor unbefugter Verarbeitung, vor unbeabsichtigtem Verlust und unbeabsichtigter Zerstörung sichergestellt werden. **Dazu gehören**: - - - - **Beispiele für Aufgaben des Verantwortlichen:** - - - - Die sieben Grundsätze sind also zusammengefasst: ================================================ 1. 2. 3. 4. 5. 6. 7. Das Unternehmen, das den Auftrag zur Datenverarbeitung an einen Dritten vergibt,... - - Nachdem sich das Unternehmen für einen Dienstleister entschieden hat, müssen diese beiden als Auftraggeber und -nehmer einen schriftlichen **Vertrag **abschließen, der den gesetzlichen Anforderungen genügt. Unter anderem sind der genaue Geltungsbereich sowie Rechte und Pflichten der Vertragspartner festzulegen. Die Erfüllung des Vertrags und die Abwicklung des Auftrags müssen durch den Auftraggeber überwacht werden. In dieser Lektion haben Sie gelernt, dass... - - - „Datenschutzrollen im Unternehmen"\ **\ **Hier erfahren Sie, wer bei Deutsche Post DHL Group für den Datenschutz Verantwortung trägt, wie dieser organisiert ist und welche Pflichten ein Datenschutzbeauftragter hat. Für Deutsche Post DHL Group ist es wichtig, sicherzustellen, dass die Grundsätze des Datenschutzes eingehalten werden, um rechtliche Sanktionen zu vermeiden, die eigenen Unternehmenswerte zu schützen und als sicherer und vertrauenswürdiger Geschäftspartner und Arbeitgeber wahrgenommen zu werden. Damit dies der Fall ist, muss jede Konzerngesellschaft dafür Sorge tragen, dass alle Mitarbeiter ausreichend informiert sind, einen Ansprechpartner bei Fragen haben und eine geeignete technische und personelle Infrastruktur bereitsteht. Die DPDHL Data Privacy Policy unterstützt hierbei, indem sie Rollen und Verantwortlichkeiten im Datenschutzmanagement festlegt. Bei Deutsche Post DHL Group unterstützt die Konzerndatenschutzbeauftragte ein effizientes Datenschutzmanagement und gibt insgesamt die datenschutzrechtlichen Leitlinien vor. Für die Konzerngesellschaften sind Datenschutzansprechpartner (Data Protection Officials, DPO) benannt. Wo dies gesetzlich geregelt ist, ist der Datenschutzansprechpartner als Datenschutzbeauftragter formell bestellt und muss die Einhaltung weiterer Anforderungen (z. B. Fachkunde, Weisungsfreiheit etc.) nachweisen können. - Unterrichtung - Datenschutzkonformitätsprüfung / PIA - Überwachung - Anlaufstelle - Sensibilisierung Die Konzerndatenschutzbeauftragte, die DPOs und die Country Data Protection Officials (CDPCs) stehen Ihnen natürlich jederzeit gern zur Seite, bedenken Sie jedoch, dass die Verantwortung für die Einhaltung der Regeln in erster Linie immer **bei Ihnen selbst** liegt. So tragen auch Sie zum Schutz unseres Unternehmens bei. Wenn Sie unsicher sind, wie Sie sich in einer bestimmten Situation verhalten sollen, wie ein Sachverhalt zu beurteilen ist oder Sie eine generelle Frage haben, scheuen Sie sich bitte nicht, Ihren Vorgesetzten und/oder den zuständigen DPO zu kontaktieren. Sie finden eine Liste der Ansprechpartner auf der [MyNet-Seite des Konzerndatenschutzes]. In dieser Lektion haben Sie gelernt,... - - -
