/* Barrierefreiheit Assistent */
24 / 100

Wir begleiten Sie durch das Audit für die DSGVO
und betreuen Sie als Datenschutzbeauftragter

Gerald Oswald
Zertifizierter Datenschutzbeauftragter

Gerne übernehme ich für Sie die Aufgabe des Datenschutzbeauftragten in Ihrem Unternehmen. Wir erstellen für Sie die nötigen Verzeichnisse und Formulare wie zum Beispiel das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Verpflichtung von Beschäftigten, Verträge zur Auftragsverarbeitung, Datenschutz-Folgeabschätzung, Hinweisbeschilderung zur Videoüberwachung und vieles mehr. Kurz gesagt, “ich kümmere mich um Sie“!

Bayerisches Landesamt für Datenschutzaufsicht

Hausanschrift
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27 (Schloss)
91522 Ansbach

Erreichbarkeit
Telefon: +49 (0) 981 53 1300
Telefax: +49 (0) 981 53 98 1300
E-Mail: poststelle@lda.bayern.de

Zum Beschwerdeformular

Einleitend muss ich erwähnen, dass ich kein Jurist bin und auch mit meinen Beiträgen keine Rechtsberatung geben kann/darf. Ich kann daher weder eine Haftung übernehmen, noch eine Vollständigkeit garantieren.

Hier geht es zu unserem passwortgeschützten Bereich.

Unsere DSGVO-Vertragskunden habe hier Zugang zum geschützten Bereich.
Dort stehen für unsere Kunden exklusiv bereit:

Aktuelles, Musterverträge, Checklisten, Vorlagen usw.

Zugang geschützter Bereich DSGVO

Weiterbildungen / Schulungen

E-Mail-ArchivierungDas Sorgenkind im Unternehmen

Was ist eine »E-Mail-Archivierung«?

Wir sprechen hier von manipulationssicherem Speichern der eMails. Darüber hinaus ist eine Signierung ebenso wichtig wie ein Zeitstempel und die Einhaltung gesetzlicher Aufbewahrungsfristen.

Dies lässt sich nicht durch das speichern der E-Mails auf Ihrem Rechner in Ihrem E-Mailprogramm realisieren!
In Ihrem Mailprogramm können Sie jederzeit E-Mails löschen – das ist NICHT manipulationssicher und einen rechtskonformen Zeitstempel haben Sie dort auch nicht.

Ihre Lösung zur »E-Mail-Archivierung«!

Bei kleinen Unternehmen empfehle ich die rechtskonforme E-Mailarchivierung in der Cloud auf einem Server in Deutschland oder der EU.
Bei größeren Unternehmen oder Unternehmen mit eigenem Server mit Virtualisierung empfehle ich das Speichern in einem lokalen Archiv mit einer passenden BSI zertifizierten Software. Wir empfehlen hier die Softwarelösung der Securepoint GmbH (UMA – Unified Mail Archive).

Gerne Beraten wir Sie, was für Ihr Unternehmen geeignet ist.
Oder Sie wenden Sich an ah Computerbusiness GmbH, unser Partner in Sachen IT. Hier geht es zum IT-Unternehmen.

Diese FAQ stellt keine Rechtsberatung, im Sinne des Rechtsdienstleistungsgesetzes, dar.
Wir empfehlen immer die Konsultation eines Rechtsanwaltes.
Wir hegen weder Anspruch darauf, vollständig noch fehlerfrei zu sein.

Wann wird ein Datenschutzbeauftragter benötigt?

Die EU DS-GVO legt für bestimmte Konstellationen unmittelbar die Pflicht zur Bestellung eines Datenschutzbeauftragten fest (Art. 37 Abs.1). In Ergänzung zur EU DS-GVO legt darüber hinaus das BDSG-neu weitere Konstellationen fest (§38).

BDSG-Neu
„…soweit Sie in der Regel min. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

„Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutzfolgeabschätzung nach Art. 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten Sie personenbezogene Daten geschäftsmäßig…haben Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.“

Welche Konzepte zum Datenschutz sind zwingend notwendig?

Grundlegende Konzepte des technischen Datenschutzes sind:

1. Clean-Desk-Policy
2. IT-Sicherheitskonzept
3. Berechtigungskonzept
4. Passwortrichtlinien
5. Datensicherungskonzept
6. Kryptografiekonzept
7. Fernwartungskonzept
8. Löschkonzept
9. Wieder-Anlauf-Konzept
10. Konzept für Leasing- und Mietgeräte
11. Mobile Device Konzept
12. Konzept für Home-Office-Arbeitsplätze
13. Etc.s.

Wer sorgt für Datenschutz?

Geschäftsführer
Die Geschäftsführung unterliegt einer besonderen Verantwortung bei der Umsetzung des Datenschutzes. Dies gilt nicht für die Haftung der Geschäftsführung, sondern auch für das Erstellen und Transportieren einer Datenschutzkultur im eigenen Unternehmen sowie jeglicher Geschäftsbeziehungen. Hier müssen Entscheidungen getroffen werden, Budgets berücksichtigt und Richtlinien definiert werden.

Mitarbeiter
Der Verantwortliche (Geschäftsführung) hat die, bei der Verarbeitung von personenbezogenen Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz vertraut zu machen. Hier ist ein wichtiger Baustein die Fortbildung der entsprechende Mitarbeiter. Dies kann u. a. auch durch Ihren Datenschutzbeauftragten (durch Belehrung und Schulung) geschehen. Nur wenn die Mitarbeiter sensibilisiert wurden und über das notwendige Wissen verfügen, kann ein Datenschutz auch konsequent abgebildet werden.

Datenschutzbeauftragter
Der Datenschutzbeauftragte hat Pflichtaufgaben zu erfüllen, die sich aus der EU DS-GVO herleiten lassen. Er ist für die Organisation und Überwachung zuständig, allerdings obliegen die Entscheidungen zur Ergreifung von Maßnahmen dem Verantwortlichen. Er ist in seiner Funktion weisungsfrei und darf keinem Interessenskonflikt unterliegen.

Wer ist Ansprechpartner für Betroffene?

Die EU DS-GVO betont die Funktion des Datenschutzbeauftragten (DSB) als Anlaufstelle für Betroffene (betroffene Personen). Betroffene haben das Recht, den DSB zu allen Fragen “zu Rate zu ziehen”, die mit “der Verarbeitung Ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte” gemäß der EU DS-GVO im Zusammenhang stehen (Art. 38 Abs. 4 EU DS-GVO).

Damit Betroffene diese Kontaktmöglichkeit nutzen können, muss der Verantwortliche bzw. der Auftragsverarbeiter die “Kontaktdaten des DSB” veröffentlichen (siehe Art. 37 Abs. 7 EU DS-GVO).

Wann ist die Verarbeitung von personenbezogenen Daten rechtmäßig?

Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung erteilt
2. Die Verarbeitung ist notwendig um einen gemeinsamen Vertrag zu erfüllen
3. Die Verarbeitung ist zur rechtlichen Erfüllung notwendig
4. Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte des Betroffenen, die dem Datenschutz unterliegen, überwiegen

In der täglichen Praxis wird es in den allermeisten Fällen um die Punkte 1-3 gehen. Bei Punkt 1 ist wieder wichtig, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten freiwillig eingewilligt hat!

Wenn man die Einwilligung schriftlich abfragt, muss die Formulierung in einfacher verständlicher Sprache geschrieben sein und in leicht zugänglicher Form vorliegen. Das gilt selbstverständlich auch für das Recht auf Widerruf dieser Einwilligung.

Welche gesetzliche Grundlagen gibt es?

Gesetzliche Grundlagen des Datenschutzes

Datenschutzgesetze und Verordnungen
• EU-DSGVO
• BDSG (alt & neu) (Deutschland)
• DSG 2018 (Österreich)

Andere Gesetze
• TMG
• TKG
• BetrVG

Was sind personenbezogene Daten?

Personenbezogene Daten (Art. 4, Abs. 1)

Definiert Daten die eine natürliche Person direkt identifizieren (Vorname, Name) oder Daten die eine natürliche Person identifizierbar machen. Z. B. unter der Hinzunahme / Kombination anderer Daten. Also z. B. Adressen.


Besondere Kategorien personenbezogener Daten (Art. 9)

Die DSGVO definiert so genannte besondere Kategorien personenbezogener Daten. Darunter werden Daten verstanden aus denen
• die rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• die Gewerkschaftszugehörigkeit hervorgeht,

sowie durch die Verarbeitung von
• genetischen Daten
• biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Was sind die Ziele des Datenschutzes?

Viele der folgenden Ziele verbinden technische und organisatorische Maßnahmen. Dabei greifen diese wie Zahnräder ineinander. Das Erreichen einzelner Ziele ist zudem meist ohne die Erreichung anderer Ziele überhaupt nicht möglich.

• Authentizität
• Datensparsamkeit
• Integrität
• Intervenierbarkeit
• Nichtverkettbarkeit
• Privacy by Design / Privacy by Default
• Verbindlichkeit
• Verfügbarkeit
• Vertraulichkeit
• Zurechenbarkeit

Sicherheitsstufen der Aktenvernichtung
  • Sicherheitsstufe 1 gilt für allgemeines Schriftgut: bei Streifenschnitt max. 12 mm Streifenbreite und bei Partikelschnitt max. 1000 mm² Partikelfläche
  • Sicherheitsstufe 2 gilt für internes, nicht besonders vertrauliches Schriftgut: bei Streifenschnitt max. 6 mm Streifenbreite und bei Partikelschnitt max. 400 mm² Partikelfläche
  • Sicherheitsstufe 3 gilt für vertrauliches Schriftgut empfohlen: bei Streifenschnitt max. 2 mm Streifenbreite und bei Partikelschnitt max. 4 mm Breite auf max. 60 mm Partikellänge (240 mm² Partikelfläche); bei Kunststoffen gilt jedoch (wie Kreditkarten oder Mikrofilm): max. 1 mm² Partikelfläche
  • Sicherheitsstufe 4 gilt für geheimzuhaltendes Schriftgut: bei Partikelschnitt max. 2 mm Breite auf max. 15 mm Partikellänge (30 mm² Partikelfläche); bei Kunststoffen gilt: max. 0,5 mm² Partikelfläche
  • Sicherheitsstufe 5 gilt für maximale Sicherheitsanforderungen: bei Partikelschnitt max. 0,8 mm Breite auf max. 15 mm Partikellänge (12 mm² Partikelfläche); bei Kunststoffen gilt: max. 0,2 mm² Partikelfläche; auch zerkleinerte feine Asche, Suspension, Lösung und Fasern sind erlaubt
  • Sicherheitsstufe 6 gilt für geheimdienstliche Sicherheitsanforderungen: Cross Cut: max. 1,0 mm Breite auf max. 5,0 mm Partikellänge (5 mm² Partikelfläche) und zerkleinerte feine Asche, Suspension, Lösung und Fasern sind erlaubt

Quelle: aktenvernichter-schredder.de