Sollte es für das Unter­neh­men erfor­der­lich sein, eine Verar­bei­tung von perso­nen­be­zo­ge­nen Daten an eine exter­ne Firma zu über­tra­gen, so arbei­tet diese als Auftrags­ver­ar­bei­ter. Die verant­wort­li­che Stelle muss vor Vertrags­ab­schluss prüfen, ob dieser Auftrags­ver­ar­bei­ter hinrei­chend Garan­tien dafür bietet, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maßnah­men durch­ge­führt werden, um eine Verar­bei­tung im Einklang mit den Anfor­de­run­gen der DSGVO zu sichern, und dem eige­nen Sicher­heits­ni­veau gerecht wird.

• Rechen­zen­tren, Hoster, E‑Mail-Provi­der
• Perso­nal-Firmen (Lohn­ab­rech­nung)
• IT-Dienst­lei­ster (mit Zugriff auf die gespei­cher­ten Daten)
• Soft­ware­fir­men (Termin­ver­wal­tung, Abrech­nungs­soft­ware für Kassen, etc)
• Werbe­agen­tu­ren (Betreu­ung der Website)
• Backup-Sicher­heits­spei­che­rung und ande­rer Archivierungen
• exter­ne Datenträgervernichtung

Für diese Zusam­men­ar­beit ist ein Vertrag zur Auftrags­ver­ar­bei­tung zu schließen. 

• Rechen­zen­tren, Hoster, E‑Mail-Provi­der
• die perso­nen­be­zo­ge­nen Daten nur auf doku­men­tier­te Art und auf Weisung des Verant­wort­li­chen verarbeitet
• die zur Daten­ver­ar­bei­tung befug­ten Perso­nen zur Vertrau­lich­keit verpflichtet
• die nach Arti­kel 32 DSGVO erfor­der­li­chen Maßnah­men einhält
• die Bedin­gun­gen für die Inan­spruch­nah­me der Dien­ste weite­rer Auftrags­ver­ar­bei­ter einhält
• unter Berück­sich­ti­gung der Art der Verar­bei­tung und der ihm zur Verfü­gung stehen­den Infor­ma­tio­nen den Verant­wort­li­chen bei der Einhal­tung seiner Pflich­ten unterstützt
• nach Abschluss der Erbrin­gung der Verar­bei­tungs­lei­stun­gen aller perso­nen­be­zo­ge­nen Daten nach Wahl des Verant­wort­li­chen löscht oder zurückgibt
• dem Verant­wort­li­chen alle erfor­der­li­chen Infor­ma­tio­nen zum Nach­weis der Einhal­tung seiner Pflich­ten zur Verfü­gung stellt

Arti­kel 88 DSGVO in Verbin­dung mit § 26 BDSG regelt die Daten­ver­ar­bei­tung im Beschäftigtenkontext. 

Das Erhe­ben, Verar­bei­ten und Nutzen von Beschäf­tig­ten­da­ten für Zwecke des Beschäf­tig­ten­ver­hält­nis­ses ist zuläs­sig, wenn dies erfor­der­lich ist für:

• die Entschei­dung über die Begrün­dung eines Arbeits­ver­hält­nis­ses (Bewerbungsverfahren/ Einstellung)
• die Durch­füh­rung eines Arbeits­ver­hält­nis­ses (Arbeits­ver­trag)
• die Been­di­gung des Arbeits­ver­hält­nis­ses (Kündi­gung)

Darüber hinaus können Kollek­tiv-Verein­ba­run­gen (Betriebs­ver­ein­ba­run­gen) als Grund­la­ge für die Daten­ver­ar­bei­tung geschlos­sen werden. 

Zur Aufdeckung von Straf­ta­ten dürfen Beschäf­tig­ten­da­ten nur unter folgen­den Voraus­set­zun­gen verwen­det werden:

• wenn doku­men­tier­te tatsäch­li­che Anhalts­punk­te für den Verdacht einer Straf­tat bestehen
• wenn die Erhe­bung, Verar­bei­tung oder Nutzung der Daten zur Aufdeckung erfor­der­lich ist
• Schutz­wür­di­ges Inter­es­se des Betrof­fe­nen nicht überwiegt

Eine Über­mitt­lung von Daten an künf­ti­ge Arbeit­ge­ber ist nur mit Einwil­li­gung des Betrof­fe­nen (Beschäf­tig­ten) zuläs­sig!

Die Zugriffs­kon­trol­le stellt sicher, dass ausschließ­lich befug­te Perso­nen Zugriff auf perso­nen­be­zo­ge­ne Daten, Program­me, und Doku­men­te erhal­ten. Die Berech­ti­gung ergibt sich aus der Aufga­ben­zu­wei­sung und der Orga­ni­sa­ti­on des Betrie­bes. Wich­tig: Der Vorge­setz­te des Berech­tig­ten ist nicht auto­ma­tisch auch Befug­ter. Ein unbe­fug­tes Lesen, Kopie­ren, Verän­dern oder Löschen perso­nen­be­zo­ge­ner Daten während ihrer Verar­bei­tung, Nutzung oder Spei­che­rung soll ausdrück­lich verhin­dert werden. Hierzu gehört eben­falls das (verse­hent­li­che) Mithö­ren von Gesprä­chen und die daraus folgen­de Offen­le­gung persön­li­cher Infor­ma­tio­nen der Betrof­fe­nen. Achten Sie daher darauf, dass Sie bei persön­li­chen Gesprä­chen aber auch bei Tele­fo­na­ten Diskre­ti­on bewah­ren. Dies gilt insbe­son­de­re für den Eingangs- und/ oder Warte­be­reich, in dem bereits perso­nen­be­zo­ge­ne Daten erho­ben werden (z.B. Empfangs­tre­sen im Kosmetiksalon).

Maßnah­men:

• Einrich­ten von Administratorenrechten
• Verschlüs­se­lung der Datenträger
• Rege­lun­gen für den Gebrauch von mobi­len Daten­trä­gern und Endgeräten
• Verschlüs­se­lung des WLAN
• Löschung wieder­be­schreib­ba­rer Datenträger
• daten­schutz­kon­for­me Vernichtung

Jeder Mitar­bei­ter hat beim Verlas­sen der Arbeits­stät­te dafür Sorge zu tragen, dass Doku­men­te mit Perso­nen­be­zug, wie z.B. Kunden­be­stel­lun­gen, Ange­bots­an­fra­gen, Rech­nun­gen, Kredit- und / oder EC-Karten­be­le­ge sowie Noti­zen zu Termin­an­fra­gen und Termin­ka­len­der sicher verwahrt sind und kein Drit­ter unbe­rech­tigt Zugriff darauf erhal­ten kann.

Das heißt:

• Alle Doku­men­te müssen in einem abschließ­ba­ren Schrank oder Schreib­tisch­schub­la­de gela­gert werden und dürfen nicht offen auf dem Schreib­tisch liegen
• Alle PC‘s und sonsti­gen DV-Anla­gen sind durch ein Pass­wort zu sperren
• Es dürfen keine Notiz­zet­tel mit Perso­nen­be­zug auf dem Schreib­tisch verblei­ben (denken Sie auch an die Schreib­tisch-Unter­la­ge aus Papier)

Beschäf­tig­te die gene­rell im Außen­dienst arbei­ten oder von Berufs­we­gen viel unter­wegs sind, müssen sich beson­de­ren daten­schutz­recht­li­chen Verpflich­tun­gen unter­wer­fen. Es ist mitt­ler­wei­le üblich, dass zur Arbeits­er­leich­te­rung eine Viel­zahl an mobi­len Endge­rä­ten (z. B. Tablett, Smart­pho­ne) einge­setzt werden und diese wieder­um mit beson­de­ren Daten­si­che­rungs­maß­nah­men für die Unter­neh­mens­da­ten (z. B. E‑Mails, Kontak­te, Kalen­der­ein­trä­ge, Noti­zen, Aufga­ben und Doku­men­te) ausge­stat­tet sein müssen. Für die IT-Abtei­lung stellt dies genau­so wie für die inter­ne Verwal­tung eine Heraus­for­de­rung dar.

Grund­sätz­lich soll­ten alle ausge­ge­be­nen mobi­len Endge­rä­te verwal­tungs­in­tern erfasst und perso­nen­be­zo­gen regi­striert werden. Die mobi­len Endge­rä­te soll­ten vor unbe­rech­tig­ten Zugrif­fen geschützt werden, welches in der Regel durch eine Pass­wort­sper­re umge­setzt werden kann.

Eine zentra­le Verwal­tung der einge­setz­ten Betriebs­mit­tel, um eine Kontrol­le hinsicht­lich der IT-Sicher­heit (z. B. regel­mä­ßi­ge Sicher­heits­up­dates, Defi­ni­ti­on Zugriffs­rech­te) gewähr­lei­sten zu können. Zudem soll­ten eine Sensi­bi­li­sie­rung der Mitar­bei­ter hinsicht­lich des Daten­schut­zes und der Daten­si­cher­heit erfolgen.

Perso­nen­be­zo­ge­ne Daten dürfen im Außen­dienst nur aufge­nom­men werden, wenn bei Erst­kon­takt eine nach­weis­ba­re Einwil­li­gung des Betrof­fe­nen vorliegt oder es zur Erfül­lung der vertrag­li­chen oder im Einzel­fall gesetz­li­chen Verpflich­tun­gen notwen­dig ist:

• keine Spei­che­rung von priva­ten Daten oder Nutzung zu priva­ten Zwecken auf den betrieb­li­chen Geräten;
• betrieb­li­che Geräte dürfen nur nach Abspra­che mit dem IT-Verant­wort­li­chen bzw. der fach­ver­ant­wort­li­chen Stelle außer­halb des Unter­neh­mens mitge­nom­men werden; der Zugriff auf die betrieb­li­chen Geräte sollte nur erfol­gen, wenn es hinsicht­lich der orga­ni­sa­to­ri­schen Rahmen­be­din­gun­gen möglich erscheint (z. B. Unbe­fug­te dürfen keine Einsicht bekom­men, bei Tele­fo­na­ten darf niemand mithören);
• die betrieb­li­chen Geräte dürfen nicht unbe­auf­sich­tigt gelas­sen werden und auch beim Trans­port sind sie sorg­sam zu verwahren;
• ein Verlust oder Defekt an betrieb­li­chen Gerä­ten ist unver­züg­lich dem IT-Verant­wort­li­chen zu melden;
• unter­neh­mens­frem­de Verbin­dun­gen (z.B. Hotspot Öffent­lich­keit, priva­tes W‑LAN) sind nicht zu nutzen und die Daten dürfen nur über siche­re Verbin­dun­gen auf den Unter­neh­mens­netz­lauf­wer­ken abge­legt werden;
• Sicher­heits­ein­stel­lun­gen (z. B. Fire­wall) dürfen nicht geän­dert, deak­ti­viert oder umgan­gen werden und Soft­ware­instal­la­tio­nen, Patches und Updates sowie Wartung und Repa­ra­tu­ren sind nur durch den IT-Verant­wort­li­chen vorzunehmen;
• Wech­sel­da­ten­trä­ger (z.B. USB-Stick, Spei­cher­kar­te, CD/DVD) dürfen nur nach Geneh­mi­gung durch den IT-Verant­wort­li­chen genutzt werden.

Grund­sätz­lich soll­ten die betrieb­li­chen Endge­rä­te nur für den betrieb­li­chen Einsatz verwen­det werden, da sich anson­sten weit­rei­chen­de Schwie­rig­kei­ten bei der priva­ten Nutzung erge­ben können und eine Abgren­zung der Daten schwie­rig ist. Zudem ist der Arbeit­ge­ber dann stark in seinen Hand­ha­bun­gen einge­schränkt (z. B. Zugriff, Archivierung).

Jeder Verant­wort­li­che und ggf. seine Vertre­ter führen ein Verzeich­nis aller Verar­bei­tungs­tä­tig­kei­ten, die ihrer Zustän­dig­keit unterliegen.

• Name und Kontakt­da­ten des Verantwortlichen
• Zweck der Verarbeitung
• Beschrei­bung der Kate­go­rien betrof­fe­ner Perso­nen und der Kate­go­rien perso­nen­be­zo­ge­ner Daten
• Kate­go­rien von Empfän­gern, gegen­über denen die perso­nen­be­zo­ge­nen Daten offen­ge­legt worden sind oder noch offen­ge­legt werden, einschließ­lich Empfän­ger in Drittländern
• Die vorge­se­he­nen Fristen für die Löschung der verschie­de­nen Datenkategorien
• Wenn möglich, eine Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen