Nur mit Zustimmung des Kunden

bermittlung oder Weitergabe von DatenDatenschutz, Teil 9

Der wohl heikelste Punkt im Datenschutz ist die Regelung, wie und für wen die Weitergabe von persönlichen Kunden-Daten organisiert ist. Der neunte Teil unserer Datenschutz-Serie gibt die wichtigsten Antworten.

Brief oder Kuvert? Die Entscheidung darüber, welches das geeignete Medium ist, dürfte nicht schwerfallen: Informationen, die nicht von jedem gelesen werden sollen, gehören ins Kuvert, unverfängliche Urlaubsgrüße passen auf eine Postkarte. Genauso verhält es sich auch beim Datenschutz.

Auch Datenschutz erfordert das Einrichten von konkreten Maßnahmen in bestimmten Bereichen. Das Bundesdatenschutzgesetz (BDSG) benennt in §9 und der Anlage zu §9 die einzelnen Teilbereiche ganz konkret, für die jedes Unternehmen seine „technischen und organisatorischen Maßnahmen (TOM)“ definieren und umsetzen soll. In letzten Monitor-Beitrag haben wir den dritten Bereich Zugriffskontrolle eingehend beleuchtet.

Der nächste konkrete Kontrollbereich in der Anlage zu §9 BDSG, für die Maßnahmen zu definieren sind, ist die Weitergabekontrolle. Sie ist da um ..

.. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung der Datenübertragung vorgesehen ist

Der Gesetzestext lässt sich in zwei Hälften aufteilen, die jeweils unterschiedliche Aspekte bei der Weitergabe von Daten beleuchten. Im ersten Teilsatz geht es hauptsächlich um den Übertragungsweg, den Transport oder einfach nur um die Speicherung auf Datenträger. Um Daten auf einem Datenträger gegen unbefugtes Lesen oder Verändern zu schützen, empfiehlt sich der Einsatz von Passwörtern und die Verschlüsselung. Wenn es sich jedoch um einen mobilen Datenträger, wie beispielsweise einen USB-Stick handelt, und dieser geht verloren, wird es schon deutlich kritischer. Denn in dem Falle, dass jemand die Daten findet und missbraucht, setzt der Gesetzgeber Weitergabe und Verlust gleich. Und wenn sie in diesem Fall sogar ausschließlich auf dem USB-Stick gespeichert waren, sind sie nicht nur weitergegeben sondern sogar auch unbefugt gelöscht worden.

Genau wie beim eingangs erwähnten Brief im geschlossenen Kuvert, sollten also auch die Daten auf dem Transportweg bzw. bei der elektronischen Übertragung geschützt sein. Eine unverschlüsselte Email mit unverschlüsseltem Anhang ist wie eine Postkarte.

In der zweiten Hälfte der gesetzlichen Erläuterung der Weitergabekontrolle liegt der Fokus auf dem Empfängerkreis von Informationen innerhalb der Datenverarbeitungsprozesse eines Unternehmens. Bei der Beschreibung der Prozesse sind diese Stellen zu definieren und festzulegen. Das heißt, der Betroffene bekommt die Information, wohin seine Daten weitergeleitet werden müssen, bereits rechtzeitig mitgeteilt. Wenn seine Einwilligung notwendig ist, kann er mit diesen Informationen entscheiden, ob er die Zustimmung erteilen oder verweigern möchte. Wenn die Einwilligung nicht notwendig ist, hat er dennoch alle Fakten vorliegen.

Wichtig ist auch bei den Überlegungen zur Weitergabekontrolle, dass sich das Unternehmen die möglichen Risiken (in diesem Falle bei der Weitergabe von Daten) bewusst macht, dann abwägt, welche Risiken minimiert werden sollten und dann die notwendigen Maßnahmen definiert und umsetzt, um genau diese größten Risiken möglichst zu verhindern.

Wichtiger Hinweis:

EU-DSGVO: Was ist das und was ändert sich damit?

Die EU hat sich mit allen Mitgliedsstaaten nach mehrjähriger Beratung darauf verständigt, eine EU-weit einheitliche Datenschutzrichtlinie einzuführen. Diese EU-Datenschutzgrundverordnung (EU-DSGVO) ist vor wenigen Tagen veröffentlicht worden. Alle Unternehmen haben jetzt noch zwei Jahre Zeit, den Datenschutz in ihrem Unternehmen auf die neuen Regelungen anzupassen und so ab dem Inkrafttreten der EU-DSGVO im Mai 2018 wieder komplett gesetzeskonform aufgestellt zu sein. Welche konkreten Punkte sich ändern und vor allem wie sich die deutlich verschärften Sanktionen auswirken können, wird in einem der nächsten Beiträge behandelt.

 

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de