Daten­schutz unter­stützt Menschen darin, ihre Persön­lich­keits­rech­te wahr­zu­neh­men bzw. durch­zu­set­zen. Es stärkt also jeden einzel­nen Menschen im Umgang mit den eige­nen Infor­ma­tio­nen (den jewei­li­gen perso­nen­be­zo­ge­nen Daten).

Grund­la­ge hier­für ist das Grundgesetz

(Art. 2 GG)

Das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung sieht vor, frei über die eige­nen perso­nen­be­zo­ge­nen Daten entschei­den zu können. Im Rahmen von Verträ­gen, die man mit Unternehmen/Einrichtungen abschließt, erge­ben sich folgen­de Fragen:

1. Welches Unter­neh­men erhält persön­li­che Daten über mich?
2. Welche Daten erhält das Unternehmen?
3. Von wem erhält das Unter­neh­men meine Daten?
4. Was macht das Unter­neh­men mit meinen Daten?
5. An welche ande­ren Unter­neh­men oder öffent­li­che Stel­len werden meine Daten weitergegeben?

Die DSGVO verbie­tet grund­sätz­lich die Erhe­bung, Verar­bei­tung und Nutzung perso­nen­be­zo­ge­ner Daten, erlaubt diese aber unter bestimm­ten Voraus­set­zun­gen (Verbot mit Erlaubnisvorbehalt).

1. durch ein Gesetz vorschrie­ben ist,
   Beispiel: Handels­ge­setz­buch / Abgabenordnung
2. durch eine andere Rechts­vor­schrift erlaubt ist,
   Beispiel: AVR-Richt­li­ni­en, Dienstvereinbarungen
3. durch die Einwil­li­gung der/des Betrof­fe­nen erlaubt ist,
   Beispiel: Einwil­li­gung zur Veröf­fent­li­chung von Fotos
4. die Verar­bei­tung ist zur Erfül­lung der Aufga­ben der verant­wort­li­chen Stelle erfor­der­lich
   Beispiel: Bank­da­ten für die Über­wei­sung des Gehalts
5. die Verar­bei­tung ist für die Erfül­lung eines Vertrags, dessen Vertrags­par­tei die betrof­fe­ne Person ist, oder zur Durch­füh­rung vorver­trag­li­cher Maßnah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Person erfolgt
   Beispiel: Anfra­ge für eine Wohnung

Für die Über­mitt­lung muss von der/dem Betrof­fe­nen eine Einver­ständ­nis­er­klä­rung zur Daten­über­tra­gun­g/-weiter­ga­be einge­holt werden, es sei denn die verant­wort­li­che Stelle ist zur Weiter­ga­be gesetz­lich verpflich­tet. Die/Der Betrof­fe­ne muss dabei über den Zweck der Daten­über­mitt­lun­g/-weiter­ga­be, sowie über die Empfän­ger aufge­klärt werden.

Des weite­ren können die Daten an soge­nann­te Auftrags­ver­ar­bei­ten­de weiter­ge­ge­ben werden. Das sind Unter­neh­men, die wir mit der Verar­bei­tung von pb Daten beauf­tra­gen (z.B. Software-Anbieter).

Ein : e DSB wirkt auf die Einhal­tung des Geset­zes und ande­rer Vorschrif­ten zum Daten­schutz hin (Arti­kel 39 DSGVO) und ist für die Zusam­men­ar­beit mit Aufsichts­be­hör­den zuständig.

Das heißt, dass es über­ge­ord­ne­te Insti­tu­tio­nen gibt, wie etwa eine : n Bundes- oder Landes­da­ten­schutz­be­auf­trag­te : n der einzel­nen Länder, die gege­be­nen­falls Anfra­gen an ein Unter­neh­men stel­len, welche ein : e Daten­schutz­be­auf­trag­te : r entspre­chend mit dem Unter­neh­men zusam­men beantwortet.

Den Aufsichts­be­hör­den Rede und Antwort zu stehen, fällt also in den Aufga­ben­be­reich eine : r Datenschutzbeauftragten.

Als „Doppel­rol­le“ ist er/sie einer­seits umfas­send zur Zusam­men­ar­beit mit der Aufsichts­be­hör­de verpflich­tet, ande­rer­seits darf er/sie nicht für das Unter­neh­men nach außen auftre­ten. Er/sie ist ein Organ der Selbst­kon­trol­le des Verant­wort­li­chen und soll durch Bera­tung und Über­wa­chung einen effek­ti­ven Schutz perso­nen­be­zo­ge­ner Daten sicherstellen.

Ferner hat ein : e DSB auf Anfra­ge zu bera­ten, wenn ein : e Mitar­bei­ten­de : r oder die Unter­neh­mens­lei­tung Fragen bezüg­lich der Daten­schutz­the­men im Unter­neh­men stellt. Hier­bei wird ein : e DSB entspre­chend Hilfe­stel­lung leisten.

Fälsch­li­cher­wei­se wird oft ange­nom­men, dass ein : e Daten­schutz­be­auf­trag­te : r für den Daten­schutz im Unter­neh­men verant­wort­lich ist. Dies trifft aller­dings nicht zu. Ein : e DSB besitzt eine rein bera­ten­de Funktion.

Wird jedoch eine falsche Bera­tung nach­ge­wie­sen, etwa, dass ein : e DSB Maßnah­men empfoh­len hat, die den Daten­schutz nicht einhal­ten, kann diese : r hier­für zur Verant­wor­tung gezo­gen werden.

Jedoch entbin­det ein : e DSB nicht die verant­wort­li­che Stelle im Unter­neh­men davon, den Daten­schutz zu gewährleisten.

Das heißt: Die Unter­neh­mens­lei­tung als verant­wort­li­che Stelle ist grund­sätz­lich für die Einhal­tung des Daten­schut­zes verant­wort­lich, nicht ein : e Daten­schutz­be­auf­trag­te : r.

Zusam­men­fas­send lässt sich sagen, dass folgen­de Tätig­keits­schwer­punk­te in den Aufga­ben­be­reich eine : s DSB fallen:

• Wachen über die Einhal­tung der Vorschriften
• Heraus­ga­be von Empfehlungen
• Erstel­lung von Gutachten
• Sensi­bi­li­sie­rung und Schu­lung der Mitar­bei­ten­den zum Datenschutz
• Hilfe­stel­lung bei Daten­schutz­ver­let­zun­gen (Verlet­zung der Vertrau­lich­keit), gegen­über der Aufsichts­be­hör­de und den betrof­fe­nen Personen
• Hilfe­stel­lung bei Kontrol­len durch die Aufsichtsbehörde
• Anlauf­stel­le für Mitar­bei­ten­de bei Fragen zum Thema Datenschutz

1. Es sind indi­vi­du­el­le Kennun­gen und Pass­wör­ter zu verwen­den. Jeder Benut­zer erhält ein eige­nes Pass­wort, das nur von ihm benutzt werden darf. Grup­pen­pass­wör­ter sind zu vermeiden.
2. Ein Pass­wort muss geheim gehal­ten werden. Es darf nirgend­wo aufge­schrie­ben und keiner ande­ren Person – auch nicht dem System­ver­wal­ter oder dem dienst­li­chen Stell­ver­tre­ter – mitge­teilt werden. Eine Ausnah­me gilt ledig­lich für betriebs­wich­ti­ge Pass­wör­ter wie Admi­ni­stra­tor-Pass­wör­ter; diese können in einem verschlos­se­nen Umschlag in einem Tresor aufbe­wahrt werden.
3. Trivia­le Pass­wör­ter sind zu vermei­den. Dazu zählen etwa Namen oder Vorna­men, die Benut­zer­ken­nung, das Geburts­da­tum, das Kfz-Kenn­zei­chen, die Tele­fon­num­mer oder andere Anga­ben aus dem persön­li­chen Umfeld des Benut­zers, die auch ande­ren Perso­nen bekannt sein können. Solche Pass­wör­ter sind leicht zu erraten.
4. Ein Pass­wort muss aus minde­stens 10 Zeichen bestehen. Inner­halb des Pass­worts sollte minde­stens ein Sonder­zei­chen (wie z.B. ?, #, !) enthal­ten und sowohl Groß- als auch Klein­buch­sta­ben sowie Ziffern enthal­ten. Dadurch wird es erschwert, Pass­wör­ter durch Auspro­bie­ren herauszufinden.
5. Ein Pass­wort sollte bei der Einga­be nicht am Bild­schirm ange­zeigt werden. Es könnte sonst leicht jeman­dem bekannt werden, der den Bild­schirm einse­hen kann.
6. Die Pass­wör­ter sind im Compu­ter verschlüs­selt zu spei­chern. Dies verhin­dert, dass System­ver­wal­ter und andere Perso­nen, die zumin­dest lesend auf die Pass­wort­da­tei zugrei­fen können, die darin gespei­cher­ten Pass­wör­ter im Klar­text zur Kennt­nis nehmen und sich unter frem­der Benut­zer­ken­nung anmel­den können.
7. Hat ein System­ver­wal­ter einem Benut­zer ein neues Pass­wort einge­rich­tet, so muss der Benut­zer dieses Start-Pass­wort bei seiner ersten Anmel­dung ändern.
8. Ein Pass­wort muss umge­hend geän­dert werden, wenn der Verdacht besteht, dass es einer ande­ren Person bekannt wurde.
9. Nach mehre­ren fehler­haf­ten Anmel­de­ver­su­chen unter dersel­ben Benut­zer­ken­nung sollte die Kennung für die weite­re Benut­zung gesperrt werden. Nicht erfolg­rei­che Anmel­de­ver­su­che soll­ten proto­kol­liert werden.
10. Alle Pass­wör­ter von System- oder Anwen­dungs­soft­ware, die vom Herstel­ler vorein­ge­stellt wurden, soll­ten nach der Instal­la­ti­on des Systems umge­hend geän­dert werden. Da die Herstel­ler oft die glei­chen Pass­wör­ter bei der Auslie­fe­rung ihrer Produk­te vorein­stel­len, sind diese einem großen Perso­nen­kreis bekannt. Zudem sind die entspre­chen­den Kennun­gen viel­fach mit umfas­sen­den Berech­ti­gun­gen verbun­den. Deshalb soll­ten die Pass­wör­ter umge­hend geän­dert werden.
11. Bei der Nutzung von Anwen­dun­gen ist darauf zu achten, dass keine auto­ma­ti­sche Pass­wort­spei­che­rung hinter­legt ist. Das Pass­wort sollte bei jeder Nutzung neu einge­ben werden.

Jeder Mitar­bei­ter ist in der Verant­wor­tung, bei Kennt­nis­er­lan­gung einer Daten­pan­ne oder auch nur bei dem Verdacht, dass eine solche vorlie­gen könnte, sofort den Verant­wort­li­chen über diesen Vorfall zu infor­mie­ren. Der Veratnwort­li­che infor­miert umge­hend den Daten­schutz­be­auf­trag­ten über den vorlie­gen­den Sach­ver­halt und lässt Ihr alle rele­van­ten Infor­ma­tio­nen zur Bewer­tung zukom­men. Der Verant­wort­li­che leitet umge­hend Gegen­maß­nah­men ein und doku­men­tiert diese auf geeig­ne­te Art und Weise. Daten­pan­nen, welche von unbe­rech­tig­ten Drit­ten ausge­hen (z. B. einem Hacker­an­griff), sollte der Verant­wort­li­che Straf­an­zei­ge gegen den Verur­sa­cher stel­len. Die Meldung wird an die zustän­di­ge Aufsichts­be­hör­de über­mit­telt, dies erfolgt in Abspra­che mit der Daten­schutz­be­auf­trag­ten durch die Geschäfts­füh­rung. Die Infor­ma­ti­on an die Betrof­fe­nen der Daten­schutz-Verlet­zung ist durch die verant­wort­li­che Stelle vorzu­be­rei­ten (in Abspra­che mit der Daten­schutz­be­auf­trga­ten) und der Daten­schutz­auf­sicht eben­falls zu über­sen­den. Wenn einem Autrags­ver­ar­bei­ter eine Verlet­zung des Schut­zes perso­nen­be­zo­ge­ner Daten bekannt wird, meldet er dies dem Verant­wort­li­chen unverzüglich.

• Eine Beschrei­bung der Art der Verlet­zung, soweit möglich mit Anga­ben der Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen Perso­nen, der betrof­fe­nen Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen perso­nen­be­zo­ge­ner Datensätze
• Den Namen und die Kontakt­da­ten des Datenschutzbeauftragten
• Eine Beschrei­bung der wahr­schein­li­chen Folgen der Verlet­zung des Schut­zes der perso­nen­be­zo­ge­nen Daten
• Eine Beschrei­bung der von dem Verant­wort­li­chen ergrif­fe­nen oder vorge­schla­ge­nen Maßnah­men zur Behe­bung der Verlet­zung und ggf. Maßnah­men zur Abmil­de­rung ihrer mögli­chen nach­tei­li­gen Auswirkungen