Datenschutz in KMUUnser Logo
HomeÜber unsProzesseIT-BeratungLogistikNewsKontakt Print PDF
Beratungstehmen: BeratungProjektleitungSchulungNetzwerkHardwareSoftwareLinux
Sie sind hier: > Startseite: IT-Beratung: Datenschutz in KMU
Ein nettes Bild
Links zu dieser Seite
Der Datenschtzbeauftragte in KMU.
Informationen zur Dokumentationspflicht.
Unser Service: Externer betrieblicher Datenschutzbeauftragter.
Weiter Informationen
Das aktuelle Bundesdatenschutzgesetz beim Datenschutzbeauftragten Schleswig-Holsteins.
Neues Datenschutzrecht für die Wirtschaft von Duhr, Naujok, u.a.
siehe auch
10.05.2004 : Warum haben alle die Fristen des neuen Bundesdatenschutzgesetzes "übersehen" - von: Ulrich Giesen
Das Bundesdatenschutzgesetz in KMU
Datenschutzanforderungen
Das Bundesdatenschutzgesetz soll die Menschen vor der Beeinträchtigung ihrer Persönlichkeitsrechte durch die Erhebung, Speicherung, Verarbeitung und Nutzung ihrer personenbezogenen Daten bewahren.
Dieser Schutz soll allen Individuen zugute kommen, weshalb die hier vorgestellten Regelungen auch alle Unternehmen und Behörden betreffen, die personenbezogene Daten verarbeiten.
Gesetzliche Anforderungen
Grundlage für die Erlaubnis zur Erhebung, Speicherung und Verarbeitung geschützter Daten bildet in der BRD das Bundesdatenschutzgesetz. Entgegen der geläufigen Meinung, dieses gelte nur für Behörden, benennt §1 Abs. 2 Nr. 3 BDSG ausdrücklich nichtöffentliche Stellen, zu denen neben Unternehmen, Vereinen und Verbänden auch die Angehörigen der freien Berufe zählen.
Ausgenommen wird lediglich die private und familiäre Verarbeitung personenbezogener Daten. Damit betreffen die Regelungen des BDSG praktisch jedes in Deutschland tätige Unternehmen.
Durch die Vermischung von Vorschriften für Behörden und Private ist das BDSG äußerst kompliziert und schwer verständlich aufgebaut und erschwert so seine Verwendung. Es erlaubt aber den Datenschutzbehörden jederzeit die Einhaltung in den Betrieben zu kontrollieren und droht mit empfindlichen Strafen bei der Mißachtung von Datenschutzvorschriften.
Besonders für kleine und mittlere Unternehmen mit nur wenigen Angestellten stellt das Gesetzt Hürden auf, die mit eigenem internen Know-How nur schwer zu überwinden sind.
Schutzvorschriften
Das BDSG regelt neben der Anforderung der Datenvermeidung und -sparsamkeit in §3a insbesondere in den §§ 4 bis 6 sowie für Unternehmen in §§ 27 bis 31 die Zulässigkeit der Erfassung, Speicherung, Verarbeitung und Weitergabe personenbezogener Daten.
Ganz wesentlich ist dabei die Forderung, dass regelmäßig die Zustimmung der Betroffenen für die Verarbeitung vorliegen muß und die Daten möglichst auch bei diesen direkt erhoben werden sollen.
Besondere Hürden werden noch einmal bei der Verarbeitung bestimmter Persönlichkeitsmerkmale wie Rasse, Religionszugehörigkeit oder auch Informationen, welche die Persönlichkeit bewerten, aufgestellt.
Betroffene Datenverarbeitung
Vom Gesetz erfaßt wird jede Verarbeitung personenbezogener Daten, die automatisiert erfaßt oder ausgewertet werden können. Dabei ist es unerheblich, ob die Daten in einer Datei oder einer Datenbank verarbeitet werden. Es kommt lediglich auf die Möglichkeit an, die Daten automatisiert bearbeiten zu können.
Zu den relevanten Daten zählen neben Adressinformationen, wie sie beispielsweise für Kunden- oder Kontaktdaten erfaßt werden, besonders auch Personaldaten oder automatisch erfaßte Arbeitszeiten und Leistungsdaten.
Meldepflicht
Sofern Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, sind diese vor Inbetriebnahme der zuständigen Datenschutzbehörde zu melden. Ausgenommen sind nur Betriebe, die einen Datenschutzbeauftragen bestellt haben oder in denen weniger als 5 Mitarbeiter mit der Bearbeitung und Auswertung der Daten beschäftigt sind und bestimmte weitere Voraussetzungen nach § 4d erfüllt werden.
Bei der Verarbeitung besonders schützenswerter Daten ist darüber hinaus auch noch eine Vorabkontrolle der Verfahren auf Zulässigkeit durchzuführen. Dieses trifft z.B. zu wenn die Datenverarbeitung der Bewertung von Fähigkeiten, Leistungen oder des Verhaltens der betroffenen Personen durch Vorgesetzte oder Personalabteilungen dient. Auch die Auswertung von Zeiterfassungssystemen zählt zu dieser Gruppe von Verarbeitungen.
Der Datenschutzbeauftragte
§4f sieht ferner vor, dass Unternehmen einen Beauftragten für den betrieblichen Datenschutz schriftlich zu bestellen haben, wenn mehr als 4 Personen mit der Bearbeitung oder Auswertung personenbezogener Daten beschäftigt sind. Wenn besondere Daten verarbeitet werden, entfällt aber auch diese Freigrenze der 4 Mitarbeiter.
An den Datenschutzbeauftragten werden hohe Ansprüche an die geforderte Fachkunde und Zuverlässigkeit gestellt. Auch können keine Personen benannt werden die in einem Interessenskonflikt stehen könnten. So scheiden z.B. Geschäftsführer, Inhaber, Familienangehörige oder EDV-Verantwortliche für diese Aufgabe aus.
Mehr Informationen zum Datenschutzbeauftragten - z.B. auch eine Beschreibung der Aufgaben des DSB innerhalb des Unternehmens - können Sie hier finden.
Die Verfahrendokumentation/Organisation
Die von der Meldepflicht erfaßten Verarbeitungen sind innerhalb der Unternehmen umfassend zu dokumentieren und teilweise auch öffentlich zugänglich zu machen.
So sind bspw. alle Verfahren der Datenverarbeitung detailliert zu beschreiben und die mit der Verarbeitung beauftragten Personen zu benennen. Außerdem müssen die Dokumentationen unabhängig von der Mitarbeiterzahl von allen Unternehmen angefertigt werden.
Neben den Dokumentationspflichten sieht die Anlage zum BDSG aber auch weitere organisatorische Maßnahmen vor, die die Datensicherheit gewährleisten und die Daten vor unauthorisiertem Zugriff schützen sollen. Je nach Verhältnismäßigkeit sind Räume entsprechend zu sichern, die EDV-Anlagen gegen unberechtigten Zugriff zu schützen und Daten zum Schutz vor Veränderung oder Verlust entsprechend zu sichern.
Selbstzweck
Allerdings sollten betroffe Unternehmen nicht nur die Verpflichtungen aus dem BDSG sehen, sondern auch die Vorteile eines organisierten Datenschutzes schätzen. Neben gesetzlichen Folgen können aus der Mißachtung des Datenschutzes auch erhebliche betriebswirtschaftliche Nachteile entstehen, wenn schützenswerte persönliche Informationen unbeabsichtig nach Außen dringen und die Reputation des Unternehmens nachhaltig schädigen.
Effizienzgewinne
Auch die geforderten Dokumentations- und Organisationsmaßnahmen können bei einer planmäßigen Analyse und Umsetzung der im Betrieb eingesetzten Verfahren zu Rationalisierungseffekten führen.
Durch die Straffung von Abläufen und die eindeutige Zuordnung von Aufgaben und Verantwortung lassen sich, gezielte Beratung vorausgesetzt, darüber hinaus Effizienzgewinne innerhalb der Gesamtorganisation erzielen.
Unser Angebot
Unternehmen, die bisher noch keine Maßnahmen zur Umsetzung des Gesetztes getroffen haben, sollten sich dringend mit der Materie befassen. Die Mensinck Consulting kann Sie bei der Analyse Ihrer Datenverarbeitung unterstützen und Ihnen helfen, die Anforderungen des BDSG zu erfüllen.
Neben der Erstellung von Verfahrensdokumentationen und der Analyse der Zugangs- und Zugriffskontrollen für Ihre schützenswerten Daten übernimmt die Mensinck Consulting auch die Aufgabe eines externen Datenschutzbeauftragten für Unternehmen. Für weitere Informationen stehen wir Ihnen gerne beratend zur Seite.
Dabei können Sie von der Mensinck Consulting konkrete Lösungen und deren Umsetzung erwarten. Wir unterstützen Sie nicht nur bei der Analyse Ihrer Systeme sondern begleiten Sie darüber hinaus aktiv bei der Umsetzung aller notwendigen Maßnahmen und der Pflege Ihres Organisationskonzeptes.
Kontaktieren Sie uns unverbindlich damit wir Ihnen kostengünstige, auf Ihr Unternehmen zugeschnitte Lösungen vorstellen können.
See Impressum. Valid HTML 4.01!Valid CSS!© 2003 - 2007 by Mensinck Consulting, Germany