Datenschutz Grundschulung

EINFÜHRUNG

               Worum geht es?

Personenbezogenen Daten


Was ist damit gemeint?       

 

PERSONENBEZOGENE DATEN sind alle
Angaben, die sich auf eine identifizierte (z.B. Name) oder aber
auch nur identifizierbare (z.B. IP Adresse, Kontonummer, Adresse) Person beziehen.

Besondere Arten personenbezogener Daten unterliegen weitaus
strengeren Regeln, da diese besonders schützenswert sind (Weiterverarbeitung nur mit Einwilligung des Betroffenen):

Rassische/ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Sexualleben/sexuelle Orientierung.

Ihre Pflichten

Was müssen Sie beachten?

Der Umgang mit pbD wird durch das Datenschutzrecht geregelt.

Datenschutz = Aufgabe des gesamten Unternehmens

    • Geschäftsführung trägt die Verantwortung
    • Führungskraft setzt Regelungen zum Datenschutz um
    • Mitarbeiter schützen Daten vor unbefugten Zugriff
    • Datenschutzbeauftragter berät alle Beteiligte

Pflichten als Mitarbeiter

    • Vertraulicher Umgang
    • Aufgabenkonformer Umgang
    • Sicherer Umgang
Unternehmensrichtlinien

Regeln zum Umgang mit pbD die Ihnen durch den  Verantwortlichen zur Verfügung gestellt wurden.

Schutz der Daten 

Wie können Sie ihn gewährleisten?

WÄHREND IHRER TÄGLICHEN ARBEIT
KÖNNEN SIE VIEL FÜR DEN DATENSCHUTZ TUN:

      • Geben Sie niemals Ihre Benutzerkennung weiter!
      • Schließen Sie Räume, die länger unbesetzt sind ab!
      • Sperren Sie Ihren Arbeitsplatzrechner durch „Windows + l “!
      • Verwenden Sie sichere Passwörter!
      • Verwahren Sie Daten, Datenträger und Ausdrucke stets sicher!
      • Schreddern Sie nicht mehr benötigte Dokumente!
      • Verwehren Sie Unbefugten Einsicht in die vertraulichen Unterlagen!
      • Clean Desk Prinzip: Aufräumen und Abschließen!
      • Achten Sie besonders auf die Wahrung der Vertraulichkeit beim Einsatz mobiler Geräte wie Smartphone, Notebook oder Tablets!
      • Melden Sie unverzüglich den Verlust personenbezogener
        Daten, z. B. wenn Sie mobile Geräte oder Speicher wie USB-Sticks verlieren!
      • Machen Sie sich mit den Regelungen zu Datenschutz und IT-Sicherheit im Unternehmen und in ihrem Fachbereich vertraut!

Geben Sie unbefugt keine Informationen an Dritte weiter.

Bleiben Sie verschwiegen bezüglich der Informationen und           Angelegenheiten des Unternehmens, die Ihnen im Rahmen Ihrer Tätigkeit zur Kenntnis gelangen.

Beachten sie die Weisungen des Verantwortlichen!

Umgang mit E-Mails

Meldepflichtige Datenpannen vermeiden

Fehlversand                                                                                   

E-Mail-Adressen allein zählen bereits zu den personenbezogenen Daten.

Es ist sehr wichtig, vor dem Klicken auf den Button (Senden) noch einmal sorgfältig zu kontrollieren, ob alle Empfänger tatsächlich erforderlich sind (Datenminimierung) und ob es sich um die richtigen Empfänger handelt (Vertraulichkeit).

    • Achtsam beim Versenden –  die richtigen Adressdaten auswählen!
    • Achtung bei der Abkürzungsfunktion für Adressen –  je mehr Empfängeradressen ein Anwender eingetragen hat, desto mehr Mailclients werden angezeigt – evtl. die Autovervollständigung ausschalten!
    • Vorsicht bei Antwort auf eine vertrauliche Anfrage „an alle Empfänger“!
    • Versenden einer Massen–Mail an „BCC“ anstelle „CC“!
    • Eintragen falscher bzw. zu vieler Empfänger in „CC“

Je vertraulicher eine E-Mail ist – umso höher ist der Schaden.
Bei Versand von besonderen Arten pbD ist an eine Verschlüsselung zu denken (z.B. durch Verschlüsselung des Anhangs – PDF -)

 

Umgang mit E-Mails bei Urlaub oder Abwesenheit

    • Bei Abwesenheit die E-Mails nicht an einen Kollegen/Vertreter weiterleiten – Absenderdatenschutz!
    • Zugangsdaten nicht an Kollegen weitergeben

Best Practice

    • Nutzung eines Auto-Responders, der informiert wer während der Abwesenheit Ansprechpartner ist
    • Bei zwingend notwendiger Bearbeitung der E-Mails Nutzung von Funktions-E-Mail Adressen

Krankheitsfall

Im Krankheitsfall dürfen Arbeitgeber unter Umständen auf das elektronische Postfach zu greifen!

Datenschutz am Arbeitsplatz

Der „aufgeräumte  Arbeitsplatz“?                                

 

 

Ein unaufgeräumter Schreibtisch ist Datenschutz pur

nichts mehr zu finden“  

!! FALSCH !!

 

 

Datensicherheit und Vertraulichkeit haben höchste Priorität!

 

   2 Grundregeln des Clean Desk Prinzip

          •    Aufräumen – muss das hier „rumliegen“?
      •    Abschließen – Schlüssel nicht stecken lassen!

 

 

Eigenes Verhalten

      • Arbeitsplatz aufräumen
      • Informationen niemals ungeschützt auf dem Schreibtisch zurücklassen (z.B. umdrehen der Dokumente)
      • Vorsicht bei Auskünften am Telefon
      • Sensible Akten gehören verschlossen verwahrt
      • Müll – Datenmüll von Restmüll/Papiermüll getrennt aufbewahren und entsprechend datenschutzkonform entsorgen (z.B. Schredder, Aktentonne) – Achtung bei Leerung der Papierkörbe durch Reinigungskräfte!
      • Elektronische Datenträger immer professionell entsorgen!
      • Einblick durch Dritte von außen verhindern (Fenster, Glastür, Besucher)
      • Keine Unterlagen mit personenbezogenen Daten außerhalb der Arbeitszeit ober bei Besprechungen mit unbeteiligten Dritten offen herumliegen lassen
      • Achtung bei Ausdrucken – Unbefugte, auch andere Abteilungen, dürfen keinen Zugriff auf vertrauliche Unterlagen haben
      • Passwörter merken – nicht notieren!
      • Bildschirm sperren beim Verlassen des Arbeitsplatzes (Windows/L)

Wenn notwendig Büro verschließen – unbefugten Zutritt vermeiden!

        

IT-Systeme und Telefon
      • Sicheres Passwort benutzen
      • Passwort vertraulich behandeln – nicht weitergeben
      • Keine Nutzung öffentlicher W-LAN Netzwerke
      • Keine unbekannten USB Sticks verwenden
      • Verdächtige E-Mails oder Anhänge nicht öffnen – sofort dem IT Verantwortlichen melden

Zusätzlich zu den genannten allgemeinen Maßnahmen, die jede und jeder Mitarbeitende ergreifen kann, um die Sicherheit der Verarbeitung personenbezogener Daten am Arbeitsplatz zu erhöhen, gibt es natürlich auch noch spezielle datenschutzrechtliche Pflichten, die vom Arbeitgeber vorgegeben werden –  beispielsweise an die Einhaltung der Löschfristen für nicht mehr benötigte Datensätze oder auch die Zurverfügungstellung von Datenschutzinformationen an Dritte.

Datenpannen                                                                        

Umgang mit Datenpannen

 

 

Datenpannen nicht verschweigen!

Jeder Mensch macht Fehler –                                                 

um Schäden für Betroffenen und das Unternehmen zu verhindern bitte eine Datenpanne sofort an den Vorgesetzten melden!

 

UNVERZÜGLICHE MELDUNG – AN BETRIEBLICHE MELDESTELLE

Auskunftsanfragen

Umgang mit Auskünften an Betroffene !

Rechte der Betroffenen –

 

 


TRANSPARENZPFLICHTEN DES UNTERNEHMENS
    • INFORMATIONSPFLICHTEN

Bereits bei der Datenerhebung muss das Unternehmen die betroffene Person über die Verarbeitung und alle ihre Rechte Informieren.

    • BENACHRICHTIGUNG

Bei Datenanforderung über die betroffene Person durch Dritte.

    • AUSKUNFT

Verpflichtung zur Auskunft über die gespeicherten Daten, deren Herkunft und Empfänger.

Es ist davon auszugehen, dass ein Betroffener, der Auskunft über die Verarbeitung seiner pbD verlangt, einen bestimmten Beweggrund hat –

      • z.B. Verärgerung, benötigt Informationen, Verunsicherung

Die meisten Beschwerden bei der Aufsichtsbehörde erfolgen aufgrund nicht oder nicht fristgerecht beantworteter Auskunftsanfragen.

 

Deswegen ist es wichtig, dass jeder Mitarbeiter weiß, wie er mit einer Anfrage umzugehen hat!

 

Auskunftserteilung

Nach DSGVO Art 15 Abs. 1 hat jeder Betroffene das Recht auf Auskunft.

    • Auskunftsverlangen muss nicht begründet werden
    • Es muss auch kein berechtigtes Interesse vorliegen
    • Jeder Verantwortliche ist verpflichtet einer Auskunftsanfrage zu entsprechen!
    • Sollten keine pbD des Anfragenden gespeichert sein, so muss eine Negativauskunft erteilt werden.
    • Die anfragende Person muss eindeutig Identifiziert werden.

Auskunftserteilung hat innerhalb von vier Wochen zu erfolgen!

Umfang der Auskunft

Der Umfang der Auskunft ist in 2 Ebenen gegliedert.

    1. Sind überhaupt pbD zu der Person gespeichert
    2. Auskunft über diese Daten
      • Gespeicherte Daten
      •  Verarbeitungszwecke
      •  Datenkategorien
      •  Empfänger dieser Daten
      •  Geplante Speicherdauer, falls bestimmbar
      •  Betroffenenrechte
      •  Herkunft der Daten
      •  Informationen über automatisierte Entscheidungsfindung
      •  Informationen über die Übermittlung in Drittstaaten
  • Alle gespeicherten Einzeldaten müssen mitgeteilt werden (z.B. Max Mustermann, Hauptstr. 1, 08762 Neustedt, Telefon 123456 ect)
  • Auskunft ist in der Regel in Textform mitzuteilen und unentgeltlich
  • E-Mail transportverschlüsselt und bei sensiblen Daten Ende zu Ende verschlüsselt

Umfang der Auskunft

Achtung bei Erteilung von Kopien auf Antrag

Das Unternehmen muss der betroffenen Person ferner eine
Kopie „der personenbezogenen Daten, die Gegenstand der
Verarbeitung sind“, zur Verfügung stellen.
Der Umgang ist rechtlich vage geregelt und derzeit umstritten.

Meinung 1:

Unternehmen sollen Betroffenen von der Verarbeitung ihrer
personenbezogenen Daten umfassende Unterlagen zur Verfügung
stellen müssen. Dies könne sogar die Überlassung von E-Mail-Kommunikation betreffen.

Meinung 2:

Das Recht auf Kopie bezieht sich eher auf eine Übersicht der
wesentlichen von einer betroffenen Person verarbeiteten Daten.

 

Im Zweifelsfall gilt es mit der Aufsichtsbehörde zusammen zu arbeiten.

 

 Tipps im Umgang mit Anfragen
    • Immer freundlich sein!
    • Zunächst nach dem Grund der Auskunft fragen!
    • Auskunft soll nicht abschließend sein –
      bei Auskunftserteilung immer weitere Zusammenarbeit anbieten
    • Negativauskunft nicht vergessen
    • Fristen einhalten (im begründeten Ausnahmefall kann die Frist um 2 Monate verlängert werden)
    • Datensicherheit einhalten

Verstöße

Wird die Auskunft nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt, kann Beschwerde bei der zuständigen Aufsichtsbehörde eingereicht werden.

 

 

Bitte klicken Sie auf den Begriff Datenschutz um an der Prüfung für diese Unterweisung teilzunehmen.

Datenschutz