Sind die Hardware-Komponenten und alle Software-Systeme inventarisiert, beginnt für Datenschutzbeauftragte erst die eigentliche Arbeit: Es gilt, alle datenschutzrechtlichen Fragen zu klären, die im Zusammenhang mit Software oder Hardware entstehen, etwa bei der Wartung.
Ein Vereinsmitglied möchte wissen, wer dem Verein noch angehört. Er bittet den Vorstand um eine Mitgliederliste – vergeblich. Begründung des Vorstands: Das verstößt gegen den Datenschutz! Trifft das zu?
Beschäftigte in Arztpraxen wissen natürlich, wie wichtig die Verschwiegenheit in ihrem Job ist. Sollte man jedenfalls meinen. Was ist dann von einer Arzthelferin zu halten, die es als völlig normal ansieht, ihrer Tochter per WhatsApp Daten über eine Patientin mitzuteilen? Nicht viel, befanden die Gerichte und bestätigten die fristlose Kündigung der Frau.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.
Die Frage, ob Minderjährige wirksam in den Umgang mit ihren Daten einwilligen können, wurde schon unter dem Bundesdatenschutzgesetz diskutiert. Die Datenschutz-Grundverordnung sieht dazu nun zumindest bei internetbasierten Diensten Regelungen vor, die Klarheit schaffen.
Leitlinien der Art.-29-Gruppe zur Datenschutz-Folgenabschätzung (DSFA) und zur Risikoeinordnung, angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017.
Ohne Überblick kein Datenschutz - so lässt sich die Notwendigkeit einer Liste aller vorhandenen Software in der Behörde oder im Unternehmen kurz und knapp begründen. Die Checkliste zeigt, wie Sie sich diesen Überblick verschaffen.
Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?
Sie sind Mitglied eines Vereins. Können Sie verlangen, dass Ihnen Namen und Anschriften sämtlicher Vereinsmitglieder herausgegeben werden? Angenommen, Sie wollen stattdessen die Mailadressen sämtlicher Mitglieder in Form einer Datei. Können Sie auch das verlangen? Was die Gerichte dazu sagen - und was die DSGVO.
Kaum ein Unternehmen verfügt über eine aktuelle und v.a. vollständige Liste der gesamten Hardware. Zu oft können DSBs so ihren Prüfungspflichten – gleich ob nach BDSG oder DSGVO – nur schwer nachkommen. Ändern Sie diesen Zustand.
