+49 6201 8725124 info@suhling.biz

Frequently asked questions

Finden Sie die Antworten auf Ihre Fragen. Häufig gestellte Fragen zum Thema Datenschutz, Informationssicherheit und Managementsysteme.

Was ist Datenschutz?

Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre.

Wie bereite ich mein Unternehmen am besten auf die EU-Datenschutzgrundverordnung vor?

Hierzu wenden Sie sich an einen Datenschutzberater. Dieser kann mit Ihnen einen Datenschutz-Check durchführen, um die wichtigsten Aspekte der EU-Datenschutzgrundverordnung zu klären.

Ab wann gilt die EU-Datenschutzgrundverordnung?

Ab dem 25.05.2018.

Was bedeutet EU-DSGVO?

Die Datenschutz-Grundverordnung ist eine Verordnung des Europäischen Parlaments, sowie des Europäischen Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Was sind die Ziele und Grundsätze der EU-DSGVO?

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

#gdpr01 #dsgvo01

Gibt es einen Zeitplan für die EU-Datenschutz-Grundverordnung?

25. Mai 2018: Anwendbarkeit der EU-Datenschutz-Grundverordnung inklusive weiterer Gesetze wie das BDSG-neu.

Welche Rechte hat der Betroffene einer Datenverarbeitung?

Er hat folgende Rechte: Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung, Recht auf Datenübertragbarkeit.

#gdpr20 #dsgvo20

Wann muss der Betroffene über die Datenverarbeitung informiert werden?

Direkt bei Erhebung der Daten beim Betroffenen. Dies kann zum Beispiel bei der Bestellung eines Newsletters sein, oder auf einem Personalbogen bei der Einstellung eines Mitarbeiters.

#dsgvo13 #Informationspflicht-bei-Erhebung-von-personenbezogenen-Daten-bei-der-betroffenen-Person #gdpr13 #Information-to-be-provided-where-personal-data-are-collected-from-the-data-subject

Welche KRITIS-Betreiber sind/werden konkret betroffen?

Betreiber kritischer Infrastrukturen sind alle jene Infrastrukturen, deren Ausfall eine große Auswirkungen auf die öffentliche Sicherheit bzw. das staatliche Gemeinwesen haben können.

Folgende Sektoren sind betroffen: Energienetzbetreiber (Zertifizierung bis 31.01.2018), Wasserversorgung, Ernährung (Lebensmittelhandel), Informationstechnik und Telekommunikation, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung.

#enwg11 #itsikat

Was sollen Betreiber kritischer Infrastrukturen unternehmen?

Nach einer festgelegten Vorgehensweise wie beispielsweise der ISO 27001 (Informationssicherheitmanagementsystem) sollten die kritischen Bereiche der IT-Infrastruktur im Unternehmen analysiert werden, danach der Schutzbedarf und das Angriffsrisiko, sowie deren Qualitätsklassen festgelegt werden.

Der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001:2013 oder des IT-Grundschutzes sind danach erforderlich sein.

Für die Umsetzung wenden Sie sich an einen ISMS-Berater, der bei der Implementierung, also beim Aufbau des ISMS, unterstützt.

#itiskat #enwg§11 #27001 #27019 #itsig

Wie kann ich mich bei einem US-amerikanischen Unternehmen beschweren

Wer sich zum Thema Datenschutz bei einem US-amerikanischen Unternehmen beschweren möchte, kann dieses Formular verwenden. Außer Beschwerden stehen den Betroffenen das Recht auf Informationen, das Recht auf Berichtigung, sowie das Recht auf Löschung zu.

Weitere Informationen zum Thema EU-US-Privacy Shield können hier geladen werden.

#privacyshield

Was ist der Unterschied zwischen einer Verfahrensanweisung und einem Verfahrensverzeichnis?

Eine Verfahrensanweisung ist ein Dokument, das durch verschiedene Normen gefordert wird. Mit einer VA wird die Umsetzung von normativen Anforderungen in einem Unternehmen festgelegt und – im Sinne einer verbindlichen Vorschrift – nachvollziehbar dokumentiert.

Die jeweiligen Verfahren müssen festgelegt, dokumentiert, verwirklicht und aufrechterhalten werden. Dieser Anspruch zieht die Tätigkeiten der Freigabe, Schulung sowie Prüfung bzw. Auditierung nach sich, deren Durchführung ihrerseits mit Aufzeichnungen nachvollziehbar nachgewiesen werden muss.

Verfahrensanweisungen sind eine Möglichkeit, die für ein Qualitätsmanagementsystem notwendigen dokumentierten Verfahren umzusetzen. Aktuelle Normen (z. B. ISO/TS 16949, DIN EN ISO 9001:2015) erlauben einige Freiheitsgrade in Bezug auf Dokumentationstiefe, Art und Umfang sowie Wahl der Medien (Papier, elektronische Daten etc.) in Abhängigkeit von der Organisationsstruktur und -Größe. (Quelle)

Ein Verfahrensverzeichnis (§ 4d, § 4e des Bundesdatenschutzgesetzes) stammt aus dem Datenschutz und heißt mit der EU-Datenschutzgrundverordnung Verarbeitungstätigkeit nach Artikel 30.

#dsgvo30 #gdpr30

Wie erreiche ich das BSI – Bundesamt für Sicherheit in der Informationstechnik?

Was sind Kritische Infrastrukturen?

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

#kritis

Was bedeutet „besonders strenger“ Datenschutz?

Es bedeutet, dass der Datenschutz im Unternehmen oder der Organisation scheinbar nicht angemessen ist. Denn nach § 64 BDSG sind die technisch und organisatorischen Maßnahmen zu treffen, die erforderlich sind. Und Maßnahmen sind nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Wenn Sie also „besonders strenger“ Datenschutz hören, fragen Sie einfach nach der Angemessenheit und warum man mit Kanonen auf Spatzen plant zu schießen.

#bdsg§64, #AnforderungenandieSicherheitderDatenverarbeitung

Wie werden Verfahrensverzeichnisse nach der EU-DSGVO erstellt?

Nach der EU-Datenschutzgrundverordnung (EU-DSGVO) werden die bisherigen Verfahrensverzeichnisse (das Öffentliche bzw. Jedermann Verzeichnis und die internen Verfahrensverzeichnisse) abgelöst durch die Verarbeitungstätigkeiten.

Verfahrensbeschreibungen = Verarbeitungstätigkeiten
Verfahrensverzeichnis = Verzeichnis der Verarbeitungstätigkeiten

Geregelt ist dies in der EU-DSGVO in Artikel 30. Nützliche Hinweise zu diesem Thema gibt es vom Datenschutz Sachsen Anhalt hier.

#dsgvo30 #gdpr30

[cleverreach_signup]

Kann man sich nach der EU-DSGVO zertifizieren lassen?

Am Markt existieren viele Siegel und Zertifikate, mit denen sich Unternehmen zum Datenschutz zertifizieren lassen können. Derzeit ist es jedoch nicht möglich, sich von einer Zertifizierungsstelle „akkreditiert“ von der DAkkS (Deutsche Akkreditierungsstelle) zertifizieren zu lassen. Hier ist ein Auszug der Stellungnahme der DAkkS vom 10.04.2018:

Deshalb gilt im Hinblick auf Datenschutzzertifikate:

Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Konformitätsbewertungsaussagen (Zertifikate), die eine Konformität mit den Anforderungen der EU-DSGVO bestätigen, vor dem 25. Mai 2018 weder wirksam ausgestellt noch erworben werden.

Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Zertifikate, die eine Übereinstimmung (Konformität) mit den Anforderungen der EU-DSGVO bestätigen, nur auf Grundlage genehmigter Kriterien und von akkreditierten privaten Zertifizierungsstellen ausgestellt werden. Zertifikate, die diesen Anforderungen genügen, tragen das Akkreditierungssymbol der DAkkS.

Eine Zertifizierung nach der DSGVO ist für viele Unternehmen sinnvoll. Diese Themen sind bereits in den Art. 42 DSGVO (Zertifizierung) und Art. 43 DSGVO (Zertifizierungsstellen) beschrieben. Ebenfalls wird im Erwägungsgrund 100 (Zertifizierung) das Thema angeregt.

#dakks #dsgvo42 #dsgvo43 #dsgvoeg100 #gdpr42 #gdpr43 #grprr100

Genügt es nach DSGVO, wenn mein Aktenvernichter Streifen erzeugt?

Bitte sehen Sie sich dazu diesen Beitrag an: https://www.wired.com/2011/12/darpa-shredder-challenge-2/

Die Antwort können Sie sich dann selbst geben, ob Sie weiterhin einen Aktenvernichter (Shredder) verwenden, der Streifen erzeugt oder einen, der Partikel erzeugt.

#din66399 #dsgvo #gdpr #shredder

Was versteht man unter ISO 27001?

Unter ISO 27001 versteht man eine internationale Norm, mit der die Informationssicherheits-Managementsysteme definiert werden. Diese wurde von der Internationalen Organisation für Normierung = ISO herausgegeben.

#27001 #27k1

Welcher Zweck soll durch die Umsetzung der Norm ISO 27001 erzielt werden?

Durch die ISO 27001 werden Risiken, die in Verbindung mit Vertraulichkeit, Verfügbarkeit und Integrität von Informationen im Unternehmen intern entstehen, reduziert. Die Unternehmen und Organisationen sind aufgrund dieser Norm in der Lage, mehr Gesetze einzuhalten, die in Verbindung mit dem Schutz von vertraulichen Informationen bzw. personenbezogener Daten stehen. Auch werden dadurch die Betriebskosten gesenkt, weil weniger Störfälle anfallen. Außerdem sollte beachtet werden, dass Unternehmen mit der Einhaltung der Norm werben können, der Verbraucher erhält mehr Sicherheit.

#27001 #27k1 #27k16.1.2 #informationssicherheitsrisikobeurteilung

Besteht ein Unterschied zwischen der ISO 27001 und 27002?

Ja, die ISO 27001 enthält neben dem Normenkoerper 114 Maßnahmenziele zur Umsetzung von Sicherheitsrisiken. Die Richtlinien zur Umsetzung sind in der internationalen ISO 27002 festgelegt (Leitfaden für das Informationssicherheitsmanagementsystem), hier finden Sie Details, wie die Maßnahmenziele umzusetzen sind. Die Zertifizierung erfolgt jedoch nach ISO 27001. Alle ISO-Normen, die auf einer 1 enden, sind meistens zertifizierbare Normen.

#27002 #27k2

Welche Bedeutung hat die BS 25999-2?

Die BS 25999-2 ist eine britische Norm, in der eine Definition des betrieblichen Kontinuitätsmanagements enthalten ist. Diese wurde jedoch 2012 durch die ISO 22301 ersetzt.

#22301 #bcm

Die ISO 9001 wurde bereits umgesetzt. Gibt es Vorteile bei der Umsetzung der ISO 27001 / ISO 22301?

Ja, diese beiden sind zum Teil inhaltlich gleich. Die internen Audits, das Dokumentationsmanagement, u.a. Hierbei handelt es sich um den Aufbau eines integrierten Managementsystems. Viele neuen ISO-Managementnormen beinhalten die HLS, die High Level Structure. Mit dieser einheitlichen Struktur ist der Aufbau jeder weiteren ISO-Managementnorm einfacher.

#9001 #9k1 #27001 #27k1 #hls #22301

Wieviel Zeit braucht es, um die ISO 27001 umzusetzen?

Das kann man nicht generell festlegen. Es hängt sehr stark vom Anwendungsbereich ab. Als Anhaltspunkt kann man sagen, dass kleine Unternehmen zur Umsetzung etwa 6-12 Monate benötigen, mittlere Unternehmen mit ca. 500 Mitarbeitern brauchen 10 Monate bis 1,5 Jahren und große Unternehmen müssen mit mindestens 12 Monaten Umsetzungsdauer rechnen. In jedem Fall sind die bereits erstellten Dokumente in diese Betrachtung einzubeziehen.

#27k1 #anwendungsbereich

Ist die ISO 27001 für das gesamte Unternehmen umzusetzen?

Nein, das ist nicht notwendig. Die Umsetzung kann auch auf einen bestimmten Teil des Unternehmens beschränkt werden. Gerade bei großen Unternehmen mit mehreren Standorten macht dies Sinn. Allerdings ist es bei kleineren Unternehmen sinnvoller, das gesamte Unternehmen mit einzubeziehen.

#27001 #27k1 #anwendungsbereich

Stimmt es, dass die ISO 27001 umfassend dokumentiert werden muss? Behindert das nicht unser Tagesgeschäft?

Je nach Größe des Unternehmens ist dies richtig. Zwar erfordert die ISO 27001 eine Dokumentation, aber dies wird ein kleineres Unternehmen kaum beeinträchtigen.
Bei einem großen Unternehmen werden mehrere Dokumente benötigt, was schon einen kleinen Eingriff in das Tagesgeschäft bedeuten kann. Sie können jedoch davon ausgehen, dass darauf geachtet wird, dass nur die wirklich benötigten Dokumente verlangt werden, die zur Zertifizierung benötigt werden, um Ihren Geschäftsablauf so wenig wie möglich zu beeinträchtigen.

Letztlich ist es Aufgabe des Beraters, die Dokumentation so einfach und knapp wie möglich zu halten.

#27001 #27k1

Besteht ein Unterschied zwischen IT-Sicherheit und Informationssicherheit?

Ja, unter IT-Sicherheit versteht man zum Beispiel den Einsatz einer Firewall. Unter Informationssicherheit sind Arbeitsabläufe, Sicherheitsverantwortlichkeiten usw. gemeint.

#27001 #27k1

Was kostet mich die Umsetzung der ISO 27001?

Dies ist leider erst abschätzbar, wenn die Risikoeinschätzung gemacht wurde. Die größten Kosten entstehen meistens nicht durch Hard- und Software, sondern durch die Verfahrensentwicklung (Abläufe, Dokumentation), sowie Mitarbeiterschulungen usw. Dies ist natürlich alles ebenfalls von der Größe des Unternehmens abhängig. Hier ist zu beachten, dass nicht alle notwendigen Sicherheitsmaßnahmen gleich umgesetzt werden müssen. Einige können auch später erfolgen, solange den eigenen Sicherheitsmaßnahmen und dem Stand der Technik genügen.

#27001 #27k16.1.2 #27k16.1.3 #27k18.2 #27k18.3

Was ist denn nun ab dem 25.05.2018 gültig – DSGVO oder BDSG-neu?

Beides, jedoch bildet die DSGVO die Grundlage und ist gültig in ganz Europa. Die DSGVO hat ein sogenanntes Unionsrecht, was vor dem nationalen Recht steht.

Gilt in Europa ein einheitlicher Datenschutz?

Die Intention der DSGVO ist, das europäische Datenschutzrecht zu vereinheitlichen. Das ist aber nur zum Teil der Fall. Für die Mitgliedstaaten gibt es jedoch einige Möglichkeiten, eigene Vorschriften zu erlassen.

#dsgvo  #gdpr #bdsg #fdpr

Ab wann bin ich in der EU nach der EU-DSGVO betroffen?

Sobald Sie als Verantwortlicher bzw. Auftragsverarbeiter einer Niederlassung in der EU den Zweck verfolgen, Daten zu verarbeiten und zu speichern (Niederlassungsprinzip). Sollten Sie keine Niederlassung in der EU haben, sind Sie nur der DSGVO unterworfen, wenn Sie Ihre Produkte oder Dienstleistungen in der EU anbieten (Marktortprinzip).

#dsgvo3a2 #gdpr3a2 #bdsg1 #fdpa1

Hat der Betroffene ein Widerrufsrecht gegenüber einer Einwilligung?

Ein Betroffener kann seine Einwilligung gem. Art. 7 Abs. 3 DSGVO jederzeit widerrufen. Durch einen solchen Widerruf dürfen keine zukünftigen Verarbeitungen mehr erfolgen, die bisher erfolgten Verarbeitungen jedoch dürfen bestehen bleiben.

#dsgvo7a3 #dgvoeg32 #dsgvoeg33 #dsgvoeg42 #dsgvoeg43 #gdpr7 #gdprr32 #gdprr33 #gdprr42 #gdprr43

Was bedeutet eine Auftragsverarbeitung?

Ein Auftragsverarbeiter ist:
– eine natürliche Person
– eine juristische Person
– eine Behörde
– eine Einrichtung oder andere Stelle
,

die personenbezogene Daten verarbeitet und dafür von einem Verantwortlichen beauftragt wurde. Beispiele hierfür sind Datenauslagerung in einer Cloud oder Aktenvernichter, DV-technische Arbeiten für die Lohn- und Ge- haltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren, Werbeadressenverarbeitung in einem Letter- shop, Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort, Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenträgerentsorgung durch Dienstleister, Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbe- zogene Daten nicht ausgeschlossen werden kann, Zentralisierung bestimmter „Shared Services- Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekosten- abrechnungen (jedenfalls sofern kein Fall ge- meinsamer Verantwortlichkeit nach Art. 26 DS- GVO vorliegt)

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

Welche Voraussetzungen gelten für eine Auftragsverarbeitung?

Die Datenverarbeitung ist „weisungsgebunden“. Die Verantwortung liegt beim Verantwortlichen. Dieser hat den Auftragsverarbeiter genauestens zu prüfen, auszuwählen und zu kontrollieren. Der Auftragsverarbeiter hat dem Verantwortlichen Nachweise seiner Pflichten zur Verfügung zu stellen. Zwischen den beiden muss ein Vertrag geschlossen werden, in dem alle Rechten und Pflichten festgehalten sind. Zwingend ist, dass der Vertragsabschluss vor Beginn der Datenverarbeitung stattfindet.

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

In welcher Form ist ein Auftragsverarbeitungvertrag (AVV) abzuschließen?

Der Auftragsverarbeitungsvertrag ist schriftlich abzufassen, ebenso ist aber auch ein Vertrag in elektronischem Format gültig.

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

Wer sollte nicht als Datenschutzbeauftragter benannt werden?

…Als Faustregel lassen sich zu den mit Interessenkonflikten einhergehenden Positionen solche des leitenden Managements (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT- Abteilung) zählen, jedoch auch hierarchisch nachgeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen…

Quelle: ARTIKEL-29-DATENSCHUTZGRUPPE

…Insbesondere darf er als Datenschutzbeauftragter mit Kontrollfunktionen nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Nicht jede weitere Aufgabe, die mit der Verarbeitung personenbezogener Daten verbunden ist, ist mit dem Amt eines Datenschutzbeauftragten unvereinbar. Interessenkonflikte können aber insbesondere dann auftreten, wenn der Datenschutzbeauftragte gleichzeitig Aufgaben in den Bereichen
– Personal,
– Automatisierte Datenverarbeitung (ADV) /Informationstechnik (IT) oder in
– Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder
– Geheimschutzbeauftragter ist.

Eine Beschäftigung im Personalbereich ist regelmäßig mit eigenverantwortlichen Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amtes eines Beauftragten für den Datenschutz ist daher grundsätzlich ausgeschlossen.
Das Gleiche gilt für den IT-Bereich. Der Leiter der IT-Abteilung oder ein sonst maßgeblich für die IT Verantwortlicher kann keinesfalls zugleich Datenschutzbeauftragter sein. Wegen seiner umfassenden Einsichtsmöglichkeiten in personenbezogene Daten ist eine Kontrolle durch eine andere Person zwingend geboten.
Der Beauftragte für den Datenschutz kann grundsätzlich nicht zugleich IT-Sicherheitsbeauftragter sein. So zählt es oftmals gerade zu den Aufgaben des IT-Sicherheitsbeauftragten, auch das IT-Sicherheitskonzept zu erstellen und zu aktualisieren. Das würde aber bedeuten, dass sich der IT-Sicherheitsbeauftragte dann als Beauftragter für den Datenschutz selbst kontrollieren müsste. Eine solche In-Sich-Kontrolle wäre unzulässig und das Erfordernis der objektiven Zuverlässigkeit des Datenschutzbeauftragten wäre nicht erfüllt…

Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

#dsgvo38a2 #bdsg6 #gdpr38p2 #fdpa6

Für wen gilt überhaupt das IT-Sicherheitsgesetz?

Dieses Gesetz ist am 25.07.2015 in Kraft getreten und gilt für folgenden Personenkreis:
– Online-Shops und andere Betreiber von Webangeboten
– Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit und Betreiber von Kernkraftwerken.

Als Betreiber können Sie in entsprechenden Rechtsverordnungen prüfen, ob sie in diesen Kreis fallen. Der Versorgungsgrad wird für jede Kategorie im jeweiligen Bereich anhand von Schwellenwerten bestimmt. In der Regel beträgt dieser 500.000 versorgte Personen.

#kritis

Unterliegt meine Anlage einer kritischen Infrastruktur, wenn meine Anlage über dem Schwellenwert liegt, die Anlage aber weniger als 500.000 Personen versorgt?

Als kritische Infrastruktur gilt eine Anlage, sobald sie den Schwellenwert erreicht oder darüber liegt. Dieser Schwellenwert ergibt sich aus der BSI-KritisV der entsprechenden Anlagenkategorie. Sie beziehen sich auf die Regelschwelle von 500.000 versorgten Personen – dies ist aber nur eine Orientierungsgröße und wird nicht zu einer konkreten Bemessung herangezogen.

#kritis

Welcher Zeitpunkt zur Schwellenwert-Bemessung ist ausschlaggebend?

Maßgebend ist das Kalenderjahr, das für die Produktion/Leistung anzugeben ist.
 Außer Acht zu lassen sind buchhalterische Anhaltspunkte.

#kritis

Werden ein Betrieb, Unternehmen, Konzern, Standort als kritische Infrastruktur eingestuft, wenn der Schwellenwert der betriebenen Anlagen zusammen überschritten wird?

Der Schwellenwert nach BSI-KritisV wird pro Anlage festgelegt. Dies bedeutet, dass jede Anlage im Einzelnen bewertet wird – wenn also keine der einzelnen Anlage den vorgegebenen Schwellenwert überschreitet, zählen sie nicht als „kritische Infrastruktur“.
Ausnahme: die „gemeinsame Anlage“, sollte diese für jeden Sektor der BSI-KritisV definiert sein.

#kritis

Ich bin Webseiten-Betreiber – was muss ich beachten?

Webseiten-Betreiber müssen entsprechend dem „Stand der Technik“ geeignete technische und organisatorische Maßnahmen ergreifen, damit unerlaubte Zugriffe auf Daten und die technischen Einrichtungen verhindert werden. Dies kann beispielsweise SSL-Verschlüsselung sein.

#dsgvo #gdpr #itsicherheitsgesetz

Gemäß §8b (3) BSIG muss der KRITIS-Betreiber jederzeit erreichbar sein. Was bedeutet dies konkret?

Unter „jederzeit erreichbar“ versteht das BSI, dass ein Betreiber rund um die Uhr (24/7) in der Lage sein muss, über die registrierte Kontaktstelle BSI-Produkte, also Cyber-Sicherheitswarnungen, Lageinformationen usw. entgegenzunehmen. Diese sind unverzüglich zu sichten und zu bewerten.

Eine Cyber-Sicherheitswarnung wird von der BSI so gestaltet, dass man aus dem E-Mail-Betreff die Dringlichkeit und den eventuellen Handlungsbedarf sofort erkennt. Geschulte Ansprechpartner können sofort erkennen, ob akuter Handlungsbedarf besteht, können den konkreten Vorfall beurteilen und sind in die Vorfallsbewältigung eingebunden.

#kritis #cyber

Muss ich Anzeige erstatten, wenn ein IT-Angriff stattgefunden hat?

Ja, IT-Angriffe müssen in die Kriminalstatistik aufgenommen werden. Wenden Sie sich daher an den BKA bzw. auf der Internetseite finden Sie hilfreiches Material.

#bka #kritis

Innerhalb welcher Frist muss dem BSI eine Störung gemeldet werden?

Sobald eine IT-Störung erkannt wurde, ist diese unverzüglich dem BSI zu melden. Die zu diesem Zeitpunkt vorliegenden Erkenntnisse sind vollständig zu melden. Allerdings gilt für die Erstmeldung: Schnelligkeit vor Vollständigkeit. Sollten noch Informationen fehlen, bzw. diese erst später bekannt werden, ist eine Folgemeldung zu machen. Nach der vollständigen Umsetzung aller notwendigen Maßnahmen, ist eine Abschlussmeldung abzugeben. Mit dieser Meldung ist die Meldepflicht seitens des Betreibers gegenüber dem BSI vollständig erfüllt.

#kritis

Wird meine Störungsmeldung ausreichend durch das BSI geschützt?

Ihre Meldung wird vertraulich behandelt, gem. § 8d BSIG ist die Weitergabe an Dritte eingeschränkt. Das BSI darf nur dann Auskünfte erteilen, wenn dadurch die Sicherheitsinteressen des Betreibers gewahrt bleiben und seinen schutzwürdigen Interessen nichts entgegensteht. Personenbezogene Daten werden nicht zugänglich gemacht.

Aufgrund einer Störungsmeldung wird das BSI eine anonymisierte Information erstellen, ohne dabei den Betreibernamen zu nennen. Dies wird auch dann nicht geschehen, sollte der Betreibername bereits über andere Wege öffentlich gemacht worden sein.

#kritis #bsi #bsig8d

Was bedeutet beim Auditergebnis NC1, NC2 und OFI?

NC1 ist eine Abkürzung für „non conformity 1“ und bedeutet Hauptabweichung oder Abweichung,
NC2 ist eine Abkürzung für „non conformity 2“ und bedeutet Nebenabweichung oder Beanstandung,
OFI ist eine Abkürzung für „opportunity for improvement“ und bedeutet Verbesserungspotenzial oder Verbesserung.

Verbesserungen müssen nicht zwingend umgesetzt werden, jedoch muss das Unternehmen damit rechnen, dass im nächsten Audit danach gefragt wird. Bei Nebenabweichungen müssen die Korrekturmaßnahmen akzeptiert werden, bei Abweichungen die Wirksamkeit der Korrekturmaßnahmen bestätigt werden.

#conformity #nonconformity #19011

Was bedeutet Stand der Technik?

Hierzu gibt es viele Interpretationen. Eine aktuelle Handreichung gibt es hier von der TeleTrusT:

TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

Sind Datenschutzmaßnahmen auch bei papiergebundenen Daten (z. B. Schülerakten, Klassenbücher) zu ergreifen?

Ja, auch für die personenbezogenen Daten, die in papiergebundener Form festgehalten sind, müssen Datenschutzmaßnahmen ergriffen werden. Diese Akten müssen vor Einblick von Unbefugten geschützt werden, z. B. bei der Bearbeitung, bei der Aufbewahrung in einer abgeschlossenen Schublade, Zimmer, Tasche usw., bei der Vernichtung oder bei einem Transport.

Gelten für schulische Unterlagen auch Aufbewahrungsfristen?

Ja, für öffentliche Schulen gelten Aufbewahrungsfristen für alle gespeicherten Daten sowohl in digitaler als auch in analoger Form.
Die Löschung der personenbezogenen Daten haben folgende Aufbewahrungsfristen:
– Schülerkarteikarten/-listen: 50 Jahre nach Verlassen der Schule
– Abschlusszeugnisse: 50 Jahre nach Verlassen der Schule
– Klassenbücher: 5 Jahre nach Ablauf des Schuljahres
– Einwilligungserklärung zur Veröffentlichung von Fotos: 5 Jahre nach Veröffentlichung
– Klassenarbeiten: nach Ende des nächsten Schuljahres
– Notenübersicht: nach Ende des nächsten Schuljahres
– Prüfungsunterlagen: 5 Jahre nach Feststellung des Prüfungsergebnisses
– Personenbezogene Daten auf privaten Datenverarbeitungsgeräten, die im Besitz von Lehrkräften sind: nach Ende des nächsten Schuljahres

Im Laufe dieser Aufbewahrungsfristen hat die Schulleitung die Pflicht des Schutzes der personenbezogenen Daten vor unbefugtem Zugriff.

Was muss die Schulleitung tun, wenn die personenbezogenen Daten nicht intern gespeichert werden?

Falls die Daten von einem Dritten, einem sogenannten Auftragsverarbeiter, bearbeitet und/oder gespeichert werden (z. B. in einem Rechenzentrum oder bei einem Cloud-Anbieter), ist ein entsprechender Vertrag abzuschließen.
Zu beachten: auch Wartungsarbeiten, Betreuung des Betriebssystems o. ä. fällt unter „Datenverarbeitung im Auftrag“ und somit ist auch hier ein Auftragsverarbeitungsvertrag abzuschließen.

Übrigens: auch die Durchführung von Wartungsarbeiten oder vergleichbarer Hilfstätigkeiten, also z.B. Hardwarewartung an Servern oder Festplattensyste­men, Betreuung des Betriebssystems usw. gilt als Datenverarbeitung im Auftrag, sofern dabei der Auftragsverarbeiter auf personenbezogene Daten zugreifen könnte.

Was muss ich machen, wenn ich eine Cyber Attacke entdeckt habe?

Verwenden Sie das Formular vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und füllen Sie die Online-Meldung aus unter:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Online_Meldung/onlinemeldung.html

Wie melde ich eine Datenpanne in Rheinland Pfalz?

Eine Datenpanne kann in Rheinland Pfalz unter folgender Webadresse gemeldet werden:

https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/

Gibt es Altersgrenzen bei den Social Media Kanälen?

Ja! Bei Facebook, Instagram, Whatsapp usw. ist eine Altersgrenze von 16 Jahren festgelegt.

#dsgvo8 #gdpr8

Wie kann ich meine Einwilligung zur Daten-Nutzung widerrufen?

Ein Widerruf der Speicherung und Verwendung von personenbezogenen Daten kann jederzeit, formlos und ohne Kündigungsfrist erfolgen.

#dsgvo07 #dsgvo17 #gdpr07 #gdpr17

Wie kann ich meine Daten erfragen, wenn das Unternehmen seinen Sitz in einem anderen europäischen Land hat?

Auch Unternehmen mit einem Sitz in einem anderen EU-Land müssen in klarer und einfacher Sprache Auskunft erteilen, und zwar in der Muttersprache des anfragenden Kunden.

#dsgvo15 #gdpr15

An wen muss ich denn eine Beschwerde zum Thema Datenschutz richten?

An den Datenschutzbeauftragten des Unternehmens.

#dsgvo39 #gdpr39

Was bedeutet Need-to-know-Prinzip?

Kenntnis nur bei Bedarf.

#27k1a912

Wo kann ich ISO27k-Standards erhalten?

ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002 und alle anderen veröffentlichten ISO27k-Normen können direkt im ISO-Geschäft oder bei den verschiedenen nationalen Normungsgremien und Handelsorganisationen erworben werden. Stöbern Sie nach dem besten Angebot.

Es lohnt sich, nach lokalisierten / nationalen Versionen der Standards zu suchen. Mehrere nationale Normungsgremien veröffentlichen übersetzte Versionen der Normen in ihrer Landessprache. Sie unternehmen große Anstrengungen, um sicherzustellen, dass die Übersetzungen den Originalen treu bleiben, obwohl dies natürlich einige Zeit in Anspruch nimmt.
ISO27k-Standards können als elektronische Dokumente oder gedruckte Ausdrucke erworben werden. Zusätzlich zu Einzelbenutzer-PDFs können Normungsgremien elektronische Versionen der Normen für den unternehmensinternen Mehrbenutzergebrauch lizenzieren – praktisch, um die endgültigen Normen in Ihrem Intranet verfügbar zu machen.

#27k1

Sollten personenbezogene Daten verschlüsselt werden?

Gute Frage. Hierzu sollte man sich den Artikel 32 DSGVO durchlesen, der unter anderem sagt:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

Damit sollte klar sein, dass vertrauliche Informationen und personenbezogene Daten pseudonymisiert oder verschlüsselt werden sollten. Wie dies in der Praxis umzusetzen ist, sollte mit einem Experten geklärt werden.

#dsgvo32

Was bringt dir ein Informationssicherheits-Management (ISMS)?

  • Bedienung: Informationsstrukturen und -prozesse werden dokumentiert. Sie erhalten Kenntnis über eventuelle Risiken und können gewollt gegensteuern.
  • Mitarbeitersensibilität: Ihre Angestellten erlangen ein gesteigertes Sicherheitsbewusstsein.
  • Risikoeinschätzung: Sie kennen Ihre Gefahrensituationen und werden in die Lage versetzt jene zu minimieren.
  • Schutz: Informationssicherheit wird zum integralen Bestandteil Ihrer Geschäftsprozesse.
  • Kostensenkung: Sie schaffen klare Strukturen und senken mögliche Versicherungsprämien.
  • Wettbewerbsvorteile: Sie verschaffen sich Nutzeneffekte im nationalen und internationalen Wettbewerb, da die ISO 27001 weltweit anerkannt ist.
  • Kontinuität: Sie stellen sicher das es geregelte Abläufe gibt für einen verlässlichen Informationsaustausch

    #ISMS #27k1

Was bedeutet der Begriff „personenbezogene Daten“?

Gemäß Artikel 4 DSGVO sind es sämtliche Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person betrachtet, die einfach oder indirekt, speziell mit Hilfe Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder vielerlei speziellen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, ökonomischen, kulturellen oder sozialen Identität jener natürlichen Person sind, identifiziert werden kann. Beispiele für personenbezogene Daten sind E-Mail-Adresse, Kontonummer, Augenfarbe, Kleidergröße, IP-Adresse, KFZ-Kennzeichen, Arbeitszeugnisse und viele Weitere.

Besondere personenbezogene Daten sind Fakten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, ebenso die Verarbeitung von genetischen Wissen, biometrischen Fakten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Informationen zum Sexualleben oder der sexuellen Orientierung.

#dsgvo #27k1

Wer kontrolliert, dass ich die DSGVO einhalte?

Innerhalb eines Konzerns prüft der Datenschutzbeauftragte die Einhaltung der DSGVO, sofern die Anforderungen für eine Bestellpflicht gegeben sind. Obendrein überprüfen die „Aufsichtsbehörden“ der Bundesländer die Einhaltung der DSGVO. Die sich dort im Amt befindenden Landesbeauftragten für den Datensicherheit und die Informationsfreiheit haben die Application der DSGVO zu checken und durchzusetzen.

#dsgvo #27k1

Welche Fragen sind für Unternehmen wichtig?

Stimmen die Voraussetzungen dazu, dass Wissen exakt, völlig und richtig verarbeitet wird?
Ist sichergestellt, dass bloß autorisierte Menschen Wissen haben über sensible Daten?
Sind die kritischen Daten bekannt?
Können autorisierte Anwender auf Fakten und Systeme zugreifen, wenn ebendiese gebraucht werden?
Sind Gefahrensituationen für die Informationssicherheit systematisch identifiziert?
Ist die Urheberschaft von Daten über deren kompletten Lebenszyklus hinweg schlüssig?

#27k1

Welchen Mehrwert bringt mir das Informationssicherheitsgesetz?

  • Frühzeitige Warnung vor Missbrauch der Daten.
  • Vermeidung von Gefahren per Cyberangriffe auf das Gemeinwesen.
  • Wirtschaftliche Schäden können gesenkt oder vermieden werden.
  • Die Einführung eines Mindestniveaus an Informationssicherheit.
  • Der illegale Zugriff auf sensible Informationen wird unterbunden.
  • IT-Risiken können leichter identifiziert und somit vermieden werden.#27k1 #ISMS

Was steckt hinter dem Zertifizierungsprozess der ISO 27001?

Vorbereitung von Seiten des Auftraggeber:

– Festlegung des Anwendungsbereiches des ISMS
– Definition einer Informationssicherheits-Richtlinie und der Ziele
– Richtung einer Risikobewertungs- und Risikobehandlungsmethodik
– Erstellung einer Anwendbarkeitserklärung
– Erstellung eines Risikobehandlungsplans und eines Risikobewertungsberichts
– Definition der Sicherheits-Rollen und Verantwortlichkeiten
– Erstellung eines Verzeichnisses der Assets
– Sicherstellung der akzeptablen Verwendung des Assets
– Definition von Richtlinien wie z.B. für die Zugriffskontrolle laut Annex A der ISO 27001

Durchführung des Zertifizierungsaudits:

Stufe 1:
Prüfung der ISMS- Dokumentation und Feststellung, ob der Betrieb zur Zertifizierung parat ist (Bereitschaftsanalyse) mit Begehung des Unternehmens und Interview mit dem ISMS Verantwortlichen.

Stufe 2:
Audit zur Kontrolle der Wirksamkeit des ISMS mit Interviews der verantwortlichen Leitung sowohl Mitarbeitern in den verschiedenen Bereichen Ihres Unternehmens.
– Die Auditoren erzeugen einen Auditbericht mit Dokumentation des Audits und Bewertung des ISMS Ihres Unternehmens.
– Folgend geschieht die Ausstellung des Zertifikates und des Siegels mit maximal drei Jahren Laufzeit.
– Innerhalb eines Annos geschieht das erste Überwachungsaudit und im Folgejahr das zweite Überwachungsaudit.
– Vor Ablauf der Gültigkeitsdauer des Zertifikats von drei Annos muss ein Rezertifizierungsaudit erfolgen und abgeschlossen sein.
– Daran danach erfolgen wiederum ein erstes und zweites Überwachungsaudit wie zuvor beschrieben.

#27k1 #ISMS

Das IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Für wen gilt dieses Gesetz?

Das IT-Sicherheitsgesetz umfasst mehrere Personenkreise:

  • Für Betreiber von Webangeboten wie exemplarisch Online-Shops gelten mit Inkrafttreten fortan erhöhte Erfordernisse an die technischen und organisatorischen Maßnahmen zur Sicherheit ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
  • Telekommunikationsunternehmen sind ab jetzt verpflichtet, ihre Auftraggeber zu warnen, wenn sie sehen, dass der Anschluss des Käufer – beispielsweise als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Im gleichen Augenblick sollen die Provider ihre Abnehmer auf realisierbare Wege zur Beseitigung der Störung hindeuten.
  • Mit Inkrafttreten des IT-Sicherheitsgesetzes werden die Autorisierungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erhebung der Sicherheit von IT-Produkten wie ebenfalls die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung ausgebaut.
  • Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste obligatorische IT nach dem Stand der Technologie angemessen abzusichern und – sofern nicht zusätzliche Spezialregelungen bestehen – ebendiese Sicherheit immerhin sämtliche zwei Jahre überwachen zu lassen. Außerdem müssen die Betreiber dem BSI immense IT-Sicherheitsvorfälle melden. Die aus diesen Berichten, allerdings gleichwohl aus einigen anderen Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Bereitschaft, hierdurch ebendiese ihre IT angemessen beschützen können. Die Meldepflicht von deutlichen IT-Sicherheitsvorfällen bezieht sich die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, sowohl die in der seit dem 3. Mai 2016 gültigen ersten KRITIS Verordnung geregelten KRITIS-Betreiber der Sektoren Energie zum Betrieb, Informationstechnik und Telekommunikation, Ernährung und Wasser. Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für KRITIS-Betreiber der Sektoren Finanz- und Versicherungswesen, Transport und Verkehr ebenso Gesundheit besteht seit Inkrafttreten der ersten Änderungsverordnung der BSI-Kritisverordnung am 30. Juni 2017.

    #dsgvo #27k1

Droht ein Bußgeld, wenn die IT-Sicherheitsstandards nicht sofort erfüllt werden?

Die Pflicht zur Beachtung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach der Rechtmässigkeit der Verordnung, aus der der Kreis der tatsächlich Betroffenen bemessen werden kann.

Daher gelten auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.

#27k1 #dsgvo

Was muss man als Webseitenbetreiber beachten?

Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technologische und organisatorische Maßnahmen nach dem Stand der Technologie ergreifen, um ebenso nicht erlaubte Zugriffe auf ihre technischen Organisationen zu vermeiden.

Das BSI stellt häufig fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist ebendarum das regelmäßige und fixe Einspielen von Software-Updates und Sicherheitspatches, die jeder Dienstleister eines Telemediendienstes
beachten sollte.

#dsgvo #27k1

Geht es bei der Thematik nach § 8a BSIG um Krisen- oder Normallagen?

Als erstes geht es innerhalb den Erfordernisse entsprechend § 8a BSIG darum, den normalen Betrieb einer Kritischen Infrastruktur abzudecken, also Normallagen. Der Reaktion auf gezielte Vorkommnisse ist hierbei ebenso Rechnung zu tragen (z. B. Fortsetzen des Betriebs innerhalb eines Stromausfalls). Krisenlagen müssen getreu § 8a BSIG ausdrücklich dort adressiert werden, wo zusätzliche gesetzliche Vorgaben von den betroffenen Kritischen Infrastrukturen gleichfalls ein Funktionieren in Krisenlagen erwarten.

suhling tooling #bsig08 #kritis #b3s #27k1

Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

Zur Corona-Prävention wird von vielen (Berufs-) Verbänden der Aufbau eines auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfohlen, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Eine solche Empfehlung spricht auch das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe aus.

Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.

Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden.

 

suhling tooling #dsgvo09 #dsgvo28

Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.

Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten. Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.

Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?

Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen. Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen. Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.

Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Behördliche Maßnahmen vor dem Hintergrund der Corona-Pandemie können, je nach der spezifischen Regelung der Länder, meist durch die jeweilige Ortspolizeibehörde oder das zuständige Gesundheitsamt erlassen werden. Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG (zu diesen siehe noch die nächste Frage). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.

Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.

Dürfen Unternehmen (z. B. Messeveranstalter, Theater usw.) auf Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern von Veranstaltungen erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?

Gem. § 16 Absatz 1 IfSG gilt: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“

Für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DS-GVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.

Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in den von ihr zu erteilenden Informationen nach Artikel 13, 14 DS- GVO angeführt wird und andernfalls eine Anpassung vornehmen.

Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DS-GVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.

Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?

Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG (Infektionsschutzgesetz) in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).

Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:

• Name und Vorname,

• Geschlecht,

• Geburtsdatum,

• Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,

• weitere Kontaktdaten,

• Diagnose oder Verdachtsdiagnose,

• Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,

• wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in

Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.

Demnach sind Ärzte aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u. a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.

Die Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Informationen gemäß Artikel 13 und 14 EU-DSGVO enthalten ist.

suhling tooling: #dsgvo13 #dsgvo14 #CoronaVMeldeV #ifsg

Ab welchen Zeitpunkt benötige ich einen Datenschutzbeauftragten?

Die Klauseln zur Bestellpflicht für einen Datenschutzbeauftragten sind in Ausprägung. 37 DSGVO und § 38 BDSG (n.F.) enthalten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich grundsätzlich aus 3 Punkten:

– Spezielle Kategorien von Daten entsprechend Artikel 9 EU-DSGVO werden verarbeitet oder

– Die „Haupttätigkeit“ macht eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erforderlich

– es gibt (als Angestellte oder gleichfalls freie Mitarbeiter) mehr als 19 Menschen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

Sobald einer der Punkte zutrifft, wird ein Datenschutzbeauftragter benötigt. Dieser ist schriftlich als DSB zu benennen.

suhling tooling: #dsgvo37 #gdpr37 #bdsg38 #fdpa38

Wie wird mit externen Dienstleistern umgegangen?

Im Zuge des Zusammenwirkens mit dritten Dienstleistern ist zu prüfen, ob eine Auftragsverarbeitung vorliegt. Signifikant für Auftragsverarbeitung ist, dass ein Firmen außenstehende Dienstleister hiermit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Ebenfalls wenn die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Adressaten verbleibt, haftet trotzdem genauso derjenige, der die Informationen im Auftrag verarbeitet (Verantwortlicher). Und zwar genau gegenüber dem Betroffenen, wenn er mit dem Wissen nicht gesetzeskonform vermeidet und sie exemplarisch für eigene Zwecke verarbeitet oder an Dritte weitergibt. Gleichermaßen innerhalb Datenpannen haftet ebenso der Auftragsverarbeiter.

Ein Auftragnehmer darf lediglich mit Auftragsverarbeitern funktionieren, die „hinreichende Garantien“ dazu bieten, dass geeignete technologische und organisatorische Maßnahmen in dieser Art eingesetzt werden, dass die Verarbeitung im Einklang mit den Voraussetzungen der EU-DSGVO geschieht und die Sicherheit der Rechte der betroffenen Person eingehalten wird.

Grundlage für die Auftragsverarbeitung ist ein schriftlicher Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Dies kann gleichwohl in einem elektronischen Format erfolgen, jedoch müssen die Voraussetzungen aus Artikel 28 DSGVO erfüllt sein. Unterschriften sind laut herrschender Meinung nicht zwingend erforderlich.

Der Datenschutzbeauftragte ins rechtzeitig in dieses Thema einzubinden.

suhling tooling: #dsgvo28 #gdpr28

Was genau ist die Verarbeitungstätigkeit und das dazugehörige Verzeichnis?

Die Datenschutz-Grundverordnung verpflichtet nach Artikel 30 EU-DSGVO hierzu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, im Zuge deren personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung vorgetragen werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Menschen, der Vorsatz der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde völlig zur Bereitschaft zu stellen.

Das Verarbeitungsverzeichnis gestattet den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten binnen der Initiative zu überschauen. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse. Die Verantwortlichen erstellen die Verarbeitungstätigkeiten, der Datenschutzbeauftragte überwacht das Verzeichnis der Verarbeitungstätigkeiten.

suhling tooling: #dsgvo30 #gdpr30

Wie muss man seine Mitarbeiter informieren?

Eine bedeutsame Aufgabe des Datenschutzbeauftragten stellt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Betriebsangehöriger dar (Art. 39 Abs. 1 lit. b DSGVO).

Alle Betriebsangehöriger, die in Ihrem Firmierungen mit personenbezogenen Wissen, exemplarisch von Adressaten, Anbieter, Kollegen oder Bewerbern wirken, haben die DSGVO sowohl nationale Vorschriften, Gesetze und vergleichbare Richtlinien und Klauseln des Unternehmens einzuhalten!

Auch aus den Meldepflichten der verantwortlichen Lokalität gem. Artikel 33 und 34 DSGVO ergibt sich die Notwendigkeit von geschulten Mitarbeitern um dem Schutzbedarf der Fakten entsprechen zu können.

Neben turnusmäßigen Awarness-Maßnahmen sind Präsenzschulungen und / oder e-Learning Tools das geeignete Mittel um gleichfalls den Nachweis führen zu können.

#dsgvo39 #dsgvo33 #dsgvo34

Welche Aufgaben hat der Datenschutzbeauftragte?

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DS-GVO festgelegt. Der Datenschutzbeauftragte muss über datenschutzrechtlichen Pflichten unterrichten und beraten, die Einhaltung der Vorgaben der DS-GVO und des BDSG-neu überwachen, die Mitarbeiter schulen und mit der Aufsichtsbehörde zusammenarbeiten.

#dsgvo #dsgvo39

Muss die Ernennung des Datenschutzbeauftragten veröffentlicht werden?

Der Unternehmensinhaber muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Dies kann z. B. auf der Homepage geschehen. Zudem muss er diese Kontaktdaten der Aufsichtsbehörde mitteilen (Art. 37 Abs. 7 DS-GVO). Die Mitteilung gegenüber der Aufsichtsbehörde soll über das elektronische Portal der Aufsichtsbehörde des jeweils zuständigen Landes erfolgen. Dort stehen standardisierte Formulare zur Anmeldung oder auch Abmeldung des Datenschutzbeauftragten bereit.

#dsgvo37 #dsgvo #Datenschutzbeauftragter

Wem ist das Verarbeitungsverzeichnis vorzulegen?

Das Verarbeitungsverzeichnis bzw. „das Verzeichnis der Verarbeitungstätigkeiten“ muss vom Unternehmer auf Anfrage der Aufsichtsbehörde vorgelegt werden, damit die Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können (Art. 30 Abs. 4 DS-GVO, Erwägungsgrund 82).

#dsgvo #dsgvo38

Wie vereinbart sich das Recht auf Löschung mit gesetzlichen Aufbewahrungsfristen?

Gesetzliche Aufbewahrungsfristen (z. B. nach AO, HGB) gehen datenschutzrechtlichen Löschpflichten vor. Soweit solche Aufbewahrungsfristen bestehen, dürfen personenbezogene Daten nicht gelöscht werden (Art. 17 Abs. 3 lit. b DS-GVO).

#dsgvo17 #dsgvo #aufbewahrungsfristen

Welche Art von Weiterbildungen muss der Datenschutzbeauftragte eines Unternehmens besucht haben, um anerkannt zu werden?

Nach Art. 37 Abs. 5 DSGVO ist ein betrieblicher Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und besonders seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Art. 39 DSGVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
Darüber hinausgehende Vorgaben zum Fachkundeerwerb hat der Verordnungsgeber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der zu bestellende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.

#dsgvo #dsgvo37

Ist aufgrund der Corona-Epedemie eine Verarbeitung der personenbezogenen Daten zulässig?

Aus Anlass der Corona-Pandemie kann die Verarbeitung personenbezogener Daten, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun hat – wie z.B. die Bitte um Angabe einer Handynummer -, erforderlich sein.

#Corona #dsgvo

Darf man im Zusammenhang mit der Corona-Epidemie weiter Daten verarbeiten?

Maßstab jeder Datenverarbeitung ist weiterhin die Erforderlichkeit für die vorgenannten Zwecke (Gesundheitsschutz der Angestellten und Bediensteten sowie die Erfüllung gesetzlicher Meldepflichten) und die Orientierung am Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

#dsgvo #dsgvo5

Können Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als Legitim betrachtet werden?

Ja, die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen zählt dazu. Auch zählen insbesondere Informationen zu den Fällen:
– in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat
– in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob dieseselbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen gehören auch dazu. Sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben ist ein wichtiger Faktor. Sowie auch die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber allerdings nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

#dsgvo

Ist Telearbeit/Home-Office mit dem Datenschutz vereinbar und was muss dabei beachtet werden?

In den letzten Jahren stieg ständig die Anzahl der Arbeitsplätze die aus dem Büroraum nach Hause verlagert werden. Sei es komplett oder nur teilweise im Rahmen neuer Arbeitszeitmodelle. Um den technischen und organisatorischen Anforderungen hinsichtlich des Datenschutzes und der Datensicherheit zu entsprechen, sind dazu jedoch einige Maßnahmen umzusetzen.

Kein Telearbeitsplatz ohne schriftliche Vereinbarung

Als Arbeitgeber oder Arbeitnehmer sollte unbedingt darauf achten werden, dass die Tätigkeit am Heimarbeitsplatz schriftlich (Betriebs-/Dienstvereinbarung) vereinbart ist. In einer solchen Vereinbarung wird der Umfang der alternierenden Telearbeit aber auch die räumlichen und technischen Voraussetzungen genau geregelt. Der Heimarbeitsplatz ist dabei genauso zu behandeln, wie der Büroarbeitsplatz in der Firma!

suhling tooling #homeoffice #dsgvo09 #dsgvo28 #sgbx80 #dsgvo32 

Was sind angemessene Maßnahmen für Unternehmen die Mitarbeiter zu schützen?

Unternehmen haben angemessene Maßnahmen zu ergreifen, um Mitarbeiter und Dritte vor einer möglichen Ansteckung zu schützen.

Die verpflichtende Abfrage von Daten aller Mitarbeiter von Informationen zu Reisezielen und Reisezeiten, Gesundheitszuständen oder gar die Mitteilung über das pauschale Vorkommen von Grippe-Symptomen gegenüber anderen Mitarbeitern ist in Ermangelung einer datenschutzrechtlichen Rechtsgrundlage unzulässig.

Es steht Unternehmen frei, strengere Regeln zum Beispiel für die Einlasskontrolle festzulegen und beispielsweise Fiebermessungen durchzuführen. Solange keine Speicherung der Messergebnisse stattfindet, unterfällt dies wohl nicht dem Datenschutzrecht. Fiebermessen dürfte aber wohl ohnehin nur eine Datenverarbeitung darstellen, wenn die Messergebnisse aufgezeichnet werden. Der bloße temporäre Messvorgang ist eventuell keine Datenverarbeitung und würde demnach nicht unter die Anforderungen des Datenschutzrechts fallen. Wenn Messdaten länger aufgezeichnet werden sollen, bedarf es einer Rechtsgrundlage für die Datenverarbeitung der systemischen Erfassung.

Bei Torkontrollen lässt sich die Verarbeitung „normaler“ personenbezogener Daten, wie des Namens eines Besuchers, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Sofern auch Fiebermessungen vor dem Einlass stattfinden sollen, gilt das Vorerwähnte. Ohne eine Speicherung der Messergebnisse bedarf es keiner datenschutzrechtlichen Erlaubnisnorm. Wenn die Daten gespeichert werden sollen, bedarf es einer ausdrücklichen Einwilligung der betroffenen Person nach Art. 9 Abs. 1 lit. a DSGVO oder einer behördlichen Anordnung nach Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG.

Die Abfrage von Risikodaten mittels einer Excelliste, ob Personen in den letzten 2 Wochen (also der max. Inkubationszeit) in einem Risikogebiert waren oder Kontakt mit einem Infizierten hatten, lässt sich in Bezug auf die „normalen“ personenbezogener Daten, wie den Namen, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Die Abfrage der Risikokriterien sollte idealerweise negativ formuliert werden (z.B.: Ich war in den letzten zwei Wochen nicht in einem der Risikogebiete) und binär mittels ja oder nein zu beantworten sein. In dieser Variante lässt sich die Angabe nämlich aller Voraussicht nach noch nicht als Gesundheitsdatum ansehen. Dann wäre auch keine zusätzliche Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich.  Die Abfrage der Risikokriterien wird auch seitens der irischen Aufsichtsbehörde als zulässig erachtet.

Aufgrund der Risikolage einer möglichen Infektion im Falle der Erfüllung der örtlichen und personellen Risikokriterien ließe sich aus Sicht eines Arbeitgebers eine Datenverarbeitung auch von Gesundheitsdaten der Mitarbeiter wohl auf Grundlage von § 26 Abs. 3 BDSG (zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis) rechtfertigen. Eine Abwägung mit den Persönlichkeitsrechten der Mitarbeiter ist aber durchzuführen.

suhling tooling #dsgvo09 #corona #dsgvo06

Was versteht man unter der ISO 19011?

Darunter versteht man den Leitfaden zur Auditierung von Managementsystemen. Korrekt ausgeschrieben heißt diese ISO
DIN EN ISO 19011:2018

Diese Norm ist nicht nur für Zertifizierungsgesellschaften wichtig, sondern ebenfalls für Auditoren.

suhling tooling #19011

Was versteht man unter Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person?

Damit ist Artikel 12 der DSGVO gemeint:

1Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. 2Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. 3Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
1Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. 2In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
1Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 2Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. 3Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. 4Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
1Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. 2Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
sich weigern, aufgrund des Antrags tätig zu werden.
3Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
1Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. 2Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

 

#dsgvo12 #gdpr12

Was versteht man unter Rechtmäßigkeit der Verarbeitung?

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
Unionsrecht oder
das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. 4Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

#dsgvo06 #gdpr06

Was versteht man unter Sicherheit der Verarbeitung?

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

#dsgvo32 #gdpr32

Was versteht man unter einem Auftragsverarbeiter?

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
1Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. 2Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

1Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

1Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. 2Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

#dsgvo28 #gdpr28

Was sind die Neuerungen und Ziele der Datenschutz-Grundverordnung?

Die europäische Datenschutzrichtlinie aus dem Jahr 1995 (RL 95/46/EG) mit dem Ziel der Harmonisierung und Modernisierung des europäischen Datenschutzrechts wird abgelöst von der Verordnung  (EU) 2016/679 (EU-Datenschutz-Grundverordnung).

In dieser geht es um den Schutz der Betroffenen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Artikel 1 Absatz 1 DSGVO)

Die Datenschutzrichtlinie, welche bis 25. Mai 2018 galt, hatten die Mitgliedstaaten sehr unterschiedlich umgesetzt. Dieser Flickenteppich mitgliedstaatlicher Klauseln hinderte den grenzüberschreitenden Datenverkehr in der EU. Die Datenschutz-Grundverordnung bildet einen homogenen und rasch geltenden Rechtsrahmen, der den freien Verkehr personenbezogener Fakten in der Europäischen Union garantiert. Dies ist eine elementare Voraussetzung für die Vollendung des digitalen Binnenmarkts und für gleiche Wettbewerbsbedingungen in der Europäischen Union. Zu einer vergleichbaren Rechtsanwendung trägt der Europäische Datenschutzausschuss, der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten auf der Ebene der Europäischen Union, während. Dieser entscheidet in nächster Zeit verbindlich über wesentliche Fragestellungen der Datenschutz-Grundverordnung. Mit der federführenden Aufsichtsbehörde am Ort der Hauptniederlassung steht Firmen mit grenzüberschreitenden Datenverarbeitungstätigkeiten in naher Zukunft ein zentraler Ansprechpartner zur Auswahl (sog. One Stop Shop-Prinzip).

Zeitgleich wird das europäische Datenschutzrecht überarbeitet und das Grundrecht auf Sicherheit der personenbezogenen Informationen aus Artikel 8 der europäischen Grundrechtecharta gestärkt. Die Betroffenen erhalten mehr Gewalt und Klarheit während der Datenverarbeitung, genauso und gerade im digitalen Zeitalter. Mittels die Datenschutz-Grundverordnung werden die Erfordernisse an eine rechtswirksame Einwilligung der betroffenen Menschen vermehrt und deren Rechte, im Besonderen auf Information und Auskunft, ergänzt. Die Datenschutzbehörden erhalten weit reichende Abhilfebefugnisse; während Verstößen gegen die Datenschutz-Grundverordnung können sie Geldbußen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes verhängen. Ebenso Firmierungen extern der Europäischen Union unterliegen der Datenschutz-Grundverordnung, wenn sie Waren oder Services in der Europäischen Union anbieten oder das Verhalten von Menschen in der Europäischen Union beobachten (sog. Marktortprinzip).

 

suhling tooling: #dsgvo01

Für wen gilt der neue Rechtsrahmen der Neuerungen?

Die Datenschutz-Grundverordnung gilt allgemein für jegliche Verarbeitung personenbezogener Daten. Details regeln die Artikel 2 und 3 Datenschutz-Grundverordnung.

Sowohl öffentliche (Behörden, Gerichte und andere öffentliche Stellen ungeachtet ihrer Rechtsform) als auch nicht-öffentliche (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts) Stellen haben die Forderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.

Ausnahmen gelten insbesondere

– bei der nicht automatisierten Verarbeitung personenbezogener Daten, die nicht in einem
Dateisystem gespeichert sind oder gespeichert werden sollen

– beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind;
für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten

– beispielsweise privater Schriftverkehr, Adressbücher oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen persönlicher oder familiärer Zwecke; für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen

– insbesondere die nationale Sicherheit betreffende Tätigkeiten;
für die Datenverarbeitung zum Zwecke der Strafverfolgung und Gefahrenabwehr durch die zuständigen Behörden

– hier gilt die zeitgleich mit der Datenschutz-Grundverordnung verabschiedete Richtlinie (EU) 2016/680.

Die Datenschutz-Grundverordnung findet Anwendung auf die Verwendung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union erfolgt oder im Bezug mit dem Angebot von Waren oder Dienstleistungen in der Europäischen Union steht (sog. Marktortprinzip). Dies gilt unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet. Die Datenschutz-Grundverordnung gilt zudem auch dann, wenn das Auffallen betroffener Personen in der Europäischen Union beobachtet werden soll oder die Verarbeitung an einem Ort erfolgt, der aufgrund völkerrechtlicher Bestimmungen dem Recht eines Mitgliedstaats der Europäischen Union unterliegt. Es spielt hierbei keine Rolle, ob die verarbeiteten Daten einen Bürger der Europäischen Union betreffen oder nicht.

 

Wo findet man die wichtigsten Begriffserklärungen?

Im Artikel 4 Datenschutz-Grundverordnung gibt es die zentralen Definitionen. Zukünftig finden sich die Begriffsbestimmungen zu personenbezogenen Daten, Verantwortlichen oder der Verarbeitung somit unmittelbar und abschließend in der Datenschutz-Grundverordnung.

 

Wie verhält es sich mit den Einwilligungen der Betroffenen nach dem altem Recht?

Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn „die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.

 

Was genau sind die Änderungen bei Betroffenenrechten?

Um größere Klarheit in der Handhabung mit personenbezogenen Daten zu schaffen, erweitert die Datenschutz-Grundverordnung im Kapitel III die bestehenden Betroffenenrechte und führt zugleich neue Rechte ein. Einzelheiten regeln die Artikel 12 bis 23.

Artikel 12 enthält grundsätzliche Verfahrensvorschriften für die Kommunikation mit den Betroffenen, Bearbeitungsfristen und Fragen der Entgeltlichkeit. Anträge der betroffenen Personen sind allgemein kostenfrei innerhalb eines Monats in klarer und einfacher Sprache zu beantworten.
Artikel 13 und 14 Datenschutz-Grundverordnung regeln die Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen. Im Vergleich zur bisherigen Rechtslage weitet sich nicht nur der Umfang, sondern auch der Anlass der Information aus.

Die betroffenen Personen sind nicht nur bei der erstmaligen Erhebung, sondern grundsätzlich bei jeder beabsichtigten Weiterverarbeitung für andere Absichten über die aufgeführten Aspekte zu unterrichten. Die Informationen hat der Verantwortliche eigenständig, d.h. ohne einen Antrag der betroffenen Person, zur Verfügung zu stellen. Die Abgrenzung, wann Daten bei der betroffenen Person erhoben werden oder nicht, ist im Einzelfall nicht leicht. Die Ansicht, wonach Artikel 13 Datenschutz-Grundverordnung voraussetzt, dass sich die betroffene Person der Datenerhebung bewusst sein muss, erscheint vorzugswürdig. Dies führt im Fall von Videoaufzeichnungen oder Fotoaufnahmen zu praxisgerechten Ergebnissen.

Neben den Informationspflichten steht der betroffenen Person nach Artikel 15 Datenschutz-Grundverordnung ein umfangreiches Auskunftsrecht über die sie betreffenden personenbezogenen Daten zu. Das Auskunftsrecht umfasst auch den Anspruch, eine kostenfreie Kopie der verarbeiteten Daten zu erhalten.

Unter den Voraussetzungen der Artikel 16 bis 18 Datenschutz-Grundverordnung kann der betroffene Personenkreis die Berichtigung, Löschung und Einschränkung der Verarbeitung verlangen. Das Recht auf Vernichtung umfasst zugleich das sog. „Recht auf Vergessen werden“: Hat der Verantwortliche die personenbezogenen Daten öffentlich und damit anderen Verantwortlichen zugänglich gemacht, hat er im Falle einer Löschverpflichtung angemessene Maßnahmen zu treffen, um die anderen Verantwortlichen darüber zu informieren, dass eine betroffene Person die Löschung aller Links zu bzw. Vervielfältigungen dieser personenbezogenen Daten verlangt.

Artikel 20 räumt den betroffenen Personen erstmals den Anspruch auf Datenübertragbarkeit ein. Betroffene haben demnach in bestimmten Fällen das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt zu erhalten, um sie von einem Verantwortlichen ohne Behinderung auf einen anderen (privaten) Anbieter übertragen zu lassen. Ausweislich der Norm geht es um die Daten, die der Betroffene „aktiv“ bereitgestellt hat und nicht auch um solche, die der Verantwortliche erst erzeugt hat, wie z.B. Standortdaten. Bei dem Anspruch ist zu beachten, dass bei der Übertagung der Daten von einem auf einen anderen Verantwortlichen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Dies kann z.B. der Fall sein, wenn auf einem Foto nicht nur die betroffene Person, sondern auch Dritte abgebildet werden.

Artikel 21 verleiht den betroffenen Personen den Anspruch, gegen eine (rechtmäßige) Datenverarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch einzulegen.  Zudem besteht ein jederzeitiges Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung. Auf das Widerspruchsrecht sind die betroffenen Personen spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen.
Die Betroffenenrechte gelten nicht, wenn die Datenschutz-Grundverordnung unmittelbare Ausnahmen vorsieht oder die Mitgliedstaaten über Artikel 23 Datenschutz-Grundverordnung Beschränkungen der Betroffenenrechte vorgesehen haben. Das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG 2018) enthält in den §§ 32-37 für den öffentlichen wie auch den nicht-öffentlichen Bereich weitere punktuelle Beschränkungen der Betroffenenrechte.

Welche zukünftige Rolle spielen Verhaltensregeln und Zertifizierungen?

Die Anpassung bietet enorme Chancen für die Wirtschaft, insbesondere für grenzüberschreitend tätige Unternehmen, da in der gesamten Europäische Union die gleichen Regeln gelten; der hohe Abstraktionsgrad der Datenschutz-Grundverordnung stellt die Wirtschaft jedoch auch vor Rechtsunsicherheit.

Von großer Bedeutung sind daher die Mechanismen, die die Wirtschaft befähigen, in eigenen Regie zur Konkretisierung der Datenschutz-Grundverordnung beizutragen. Die Instrumente der Verhaltensregeln, so genannte Codes of Conduct, und der Datenschutz-Zertifizierung werden durch die Datenschutz-Grundverordnung gestärkt und dienen als wichtiges Werkzeug zur Schaffung von Rechtssicherheit. Sie sind ein wichtiger Gesichtspunkt, um Datenschutz-Konformität nachzuweisen und hierdurch Vertrauen zu schaffen. Die Aufsichtsbehörden sind in die Ausarbeitung von Verhaltensregeln und der Zertifizierungskriterien eng einzubinden und genehmigen diese, so dass es sich um Instrumente der „regulierten“ Selbstregulierung handelt.

Genehmigte Verhaltensregeln und Zertifizierungsmechanismen können Teil geeigneter Garantien für Datenübermittlung in Drittländer sein (Artikel 46 Absatz 2 Buchstabe e) und f) Datenschutz-Grundverordnung).
Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überprüfung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Bestimmungen und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.

Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt von der durch die nationalen Aufsichtsbehörden oder – im Falle eines EU-weiten europäischen Datenschutzsiegels – durch den europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Berücksichtigung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).
Für den in der Praxis sehr bedeutsamen Bereich der Auftragsverarbeitung im Rahmen von Cloud Computing steht mit dem Trusted Cloud Datenschutz Profil für Cloud-Dienste (TCDP) ein Zertifizierungsstandard auf der Basis des geltenden Bundesdatenschutzgesetzes zur Verfügung, von dem Hersteller und Nutzer von Cloud-Diensten gleichermaßen profitieren.

Der Prüfstandard wurde im Rahmen des Technologieprogramms „Trusted Cloud“ des Bundesministeriums für Wirtschaft und Energie entwickelt und wird durch die Stiftung Datenschutz verwaltet. Durch das vom Bundesministerium für Wirtschaft und Energie geförderte Forschungsprojekt AUDITOR wird der Standard derzeit an die Datenschutz-Grundverordnung angepasst und fortentwickelt. Ziel des Projektes ist insbesondere die Erstellung eines durch den europäischen Datenschutzausschuss nach Artikel 42 Absatz 5 Datenschutz-Grundverordnung genehmigten Kriterienkatalogs für die Zertifizierung und die Entwicklung eines Prüf- und Zertifizierungsverfahrens.

 

suhling tooling: #coc #dsgvo46 #dsgvo40 #dsgvo41 #dsgvo42 #dakks #bdsg39 #27701

Wer kontrolliert, dass die DSGVO eingehalten wird?

Die Erfüllung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch autonome Aufsichtsbehörden kontrolliert und durchgesetzt.
In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Länder. Die BfDI ist zuständig für die Überwachung über die öffentlichen Stellen des Bundes, die gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Bundesländer zuständig.

Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website der BfDI.
Die Aufsichtsbehörden verfügen über die umfangreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse des Artikels 58 Datenschutz-Grundverordnung. Sie können gegenüber dem Verantwortlichen insbesondere Einschränkungen oder Anordnungen aussprechen und Bußgelder verhängen. Sie besprechen zudem die nationalen Parlamente und Regierungen und gehen Beschwerden betroffener Personen nach. Bei der Erfüllung ihrer Aufgaben sind die Aufsichtsbehörden völlig unabhängig; sie unterstehen insbesondere keiner Rechts- oder Fachaufsicht.

Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen. Wichtige Auslegungs- und Anwendungsfragen, insbesondere solche mit grenzüberschreitendem Bezug, werden im europäischen Datenschutzausschuss, dem Zusammenschluss aller Aufsichtsbehörden der Mitgliedstaaten auf EU-Ebene, beraten und verbindlich entschieden. Der europäische Datenschutzausschuss trägt mit diesem Kohärenzverfahren zu einer EU-weit einheitlichen Anwendung der Datenschutz-Grundverordnung bei.

Die Aufsichtsbehörde am Ort der Hauptniederlassung oder der einzigen Niederlassung eines Unternehmens in der Europäischen Union handelt bei den Abstimmungsprozessen mit den Aufsichtsbehörden der übrigen Mitgliedstaaten als federführende Aufsichtsbehörde. Sie ist für Fragen grenzüberschreitender Datenverarbeitung einziger Ansprechpartner des Verantwortlichen (Artikel 56 Datenschutz-Grundverordnung). Dieses „One Stop Shop-Prinzip“ bewirkt für Daten verarbeitende Unternehmen eine erhebliche Vereinfachung.

Wie ist das Verhältnis der Datenschutz-Grundverordnung zu bestehenden Datenschutzregelungen im nationalen Recht?

Das EU-Recht steht über dem nationalen Recht. Es genießt einen Anwendungsvorrang. Datenschutzrechtliche Regelungen im nationalen Recht sind aber auch nach dem 25. Mai 2018 grundsätzlich weiterhin einsetzbar. Der Gesetzgeber ist dabei, sein Fachrecht an das neue allgemeine Datenschutzrecht bestehend aus Datenschutz-Grundverordnung und BDSG 2018 anzupassen.

Im Einzelfall kann es zu Auslegungsfragen kommen, da die bestehenden Gesetze vor Abschluss der Anpassungsarbeiten keine spezifischen Bezüge auf die Datenschutz-Grundverordnung enthalten. Die nationalen Normen sind insofern EU-rechtskonform auszulegen.

suhling tooling: #dsgvo #oeffnungsklauseln #gdpr

Wird es eine Welle von Geldbußen geben?

Um dem Grundrecht auf Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten besondere Wirksamkeit zu verleihen, drohen bei widerrechtlichen Handlungen gegen die wichtigsten Regelungen der Datenschutz-Grundverordnung Geldbußen von bis zu 20 Mio. € oder bis zu 4 Prozent des gesamten weltweit erzieltes Jahresumsatzes des vorangegangenen Geschäftsjahrs (Artikel 83 Datenschutz-Grundverordnung).

Die Verhängung von Geldbußen bei Datenschutzverstößen steht im pflichtgemäßen Ermessen der Aufsichtsbehörden. Zusätzlich zu oder anstelle von einer Geldbuße kommen die übrigen Abhilfebefugnisse der Aufsichtsbehörden nach Artikel 58 Absatz 2 Datenschutz-Grundverordnung in Betracht. Die Höhe der Geldbuße muss verhältnismäßig sein. Sinn und Zweck der von der Datenschutz-Grundverordnung festgelegten Obergrenze ist die Abschöpfung des durch den Rechtsverstoß erlangten Gewinns, nicht jedoch die Insolvenz eines Unternehmens. Es soll verhindert werden, dass Unternehmen, die mit der Verarbeitung personenbezogener Daten hohe Gewinne erzielen, Datenschutzverstöße „aus der Portokasse“ bezahlen. Eine Mindesthöhe schreibt die Datenschutz-Grundverordnung nicht vor.

Bei dem Entschluss über die Verhängung einer Geldbuße und deren Höhe sind die in Artikel 83 Absatz 2 genannten Aspekte, u. a. die Art, Schwere und Dauer des Verstoßes, die Vorsätzlichkeit oder Fahrlässigkeit, die getroffenen Maßnahmen zur Schadensminderung und -prävention, das Ausmaß der Zusammenarbeit mit den Aufsichtsbehörden sowie alle erschwerenden und mildernden Umstände des jeweiligen Einzelfalles zu berücksichtigen. Insbesondere bei geringfügigen Verstößen oder unverhältnismäßigen Belastungen sieht die Datenschutz-Grundverordnung anstelle einer Geldbuße die Möglichkeit einer Verwarnung vor (Erwägungsgrund 148).

Gegen den Bußgeldbescheid einer Aufsichtsbehörde stehen das Verfahren und die Rechtsbehelfe des Gesetzes über Ordnungswidrigkeiten (OWiG) zur Verfügung.

suhling tooling: #dsgvo83 #dsgvo58 #dsgvoeg148 #owig

Was macht ein Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragte beantwortet Fragestellungen zum Datenschutz aus dem Unternehmen heraus. Er berät die Geschäftsführung im Umgang mit personenbezogenen Daten nach der EU-DSGVO bei der Einführung neuer Prozesse, schreibt Stellungnahmen über die Zulässigkeit von geplanten oder schon durchgeführten Datenverarbeitungen. Der Datenschutzbeauftragte ist zudem die Anlaufstelle im Datenschutz für die Aufsichtsbehörde. In dieser Position kommuniziert er mit der Aufsichtsbehörde bei Fragestellungen gegenüber dem Unternehmen oder im Rahmen von datenschutzrechtlichen Überprüfungen. Eine wiederholende Aufgabe des Datenschutzbeauftragten ist die Unterstützung des Unternehmens bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Der interne oder externe Datenschutzbeauftragte gibt entscheidenden Rat bei der Beurteilung, ob eine DSFA durchzuführen ist, er berät über die Strategie bei der Durchführung und im Nachgang, ob die DSFA richtig vorgenommen wurde und, ob die Schlussfolgerungen mit den Datenschutzgesetzen übereinstimmen.

Die stetige Weiterbildung im Datenschutz stellt ebenfalls einen wichtigen Aspekt im Alltag eines externen Datenschutzbeauftragten dar. Zum einen bildet er sich stetig zu Fragen des Datenschutzes und der Datensicherheit weiter und zum anderen schult er Ihre Mitarbeiter nach der EU-DSGVO und sensibilisiert diese auf aktuelle Anforderungen an eine Datenverarbeitung. Darüber hinaus steht der Datenschutzbeauftragte betroffenen Personen als Ansprechpartner im Unternehmen für sämtliche Fragen rund um die Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte im Datenschutz zur Verfügung.

Für die Einhaltung der DSGVO im Unternehmen ist der Datenschutzbeauftragte persönlich dafür verantwortlich?

Datenschutzrechtlich verantwortlich für die Einhaltung der DSGVO ist diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Dies ist nie der Datenschutzbeauftragte, immer das Unternehmen.

Dem internen oder externen Datenschutzbeauftragten obliegt gem. Art. 39 DSGVO die Aufgabe, das Unternehmen und deren Beschäftigte, über ihre datenschutzrechtlichen Pflichten zu unterrichten und im Datenschutz beratend tätig zu sein. Hier ist der Datenschutzbeauftragte gefordert, nicht lediglich die einschlägigen Vorschriften nach der DSGVO wiederzugeben, sondern das Unternehmen aktiv beim Lösen von konkreten Problemen zu unterstützen, die bei der Umsetzung von Maßnahmen auftauchen können. Der interne oder externe Datenschutzbeauftragte haftet bei vorsätzlicher oder grober Fahrlässigkeit in vollem Umfang. Bei normaler Fahrlässigkeit kommt es zu einer prozentualen Verteilung zwischen Arbeitgeber und Arbeitnehmer. Eine Haftung des internen Datenschutzbeauftragten bei leichter Fahrlässigkeit scheidet regelmäßig aus. Anders stellt sich die Lage beim externen Datenschutzbeauftragten dar. Kommt dieser seinen vertraglichen Beratungspflichten nicht im erforderlichen Umfang nach, etwa aufgrund einer Falschberatung, sind vertragliche Schadensersatzansprüche in vollem Umfang denkbar. Auch aus diesem Grund ist die Bestellung eines externen Datenschutzbeauftragten für Unternehmen vorteilhaft.

Wie gestaltet sich die Zusammenarbeit des Datenschutzbeauftragten mit der Aufsichtsbehörde?

Die Pflicht zur Zusammenarbeit und Kooperation mit der Aufsichtsbehörde nach der DSGVO stellt im Vergleich zu der alten Rechtslage eine wichtige Neuerung im Datenschutz dar. Es sind nun interne oder externe Datenschutzbeauftragte berechtigt, direkt mit der Aufsichtsbehörde in Kontakt zu treten. Diese Tatsache ist auch für die Aufsichtsbehörde von Bedeutung, die sich in der Vergangenheit in erster Linie an die Unternehmensleitung zu wenden hatte.

Der interne oder externe Datenschutzbeauftragte pflegt dabei eine enge Bindung mit der Geschäftsführung, sodass eine gute Kommunikation mit der Aufsichtsbehörde stattfinden kann.

Was ist eine Cyber-Sicherheitsstrategie?

Die Bundesregierung hat im Februar 2011 die Cyber-Sicherheitsstrategie für Deutschland beschlossen. Ziel der Cyber-Sicherheitsstrategie ist es, Cyber-Sicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informationsinfrastrukturen angemessenen Niveau sicherzustellen, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.

Wichtige Elemente der Strategie sind der Schutz der IT-Systeme in Deutschland, insbesondere im Bereich kritischer Infrastrukturen, die Sensibilisierung der Bürgerinnen und Bürger zum Thema IT-Sicherheit, der Aufbau eines nationalen Cyber-Abwehrzentrums und die Einrichtung eines nationalen Cyber-Sicherheitsrates. Zudem beschreibt die vorrangig auf präventive und reaktive Schutzmaßnahmen ausgerichtete Strategie die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung, den Einsatz verlässlicher und vertrauenswürdiger Informationstechnologie, die wirksame Kriminalitätsbekämpfung auch im Cyber-Raum sowie ein effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit.

Was sind die Aufgaben des Computer Emergency Response Teams (CERT-Bund) für die Bundesbehörden?

Ziel von CERT-Bund ist die Gewährleistung einer zentralen Anlaufstelle für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevanten Ereignisse in Computer-Systemen.

Inwieweit sind die SARS-CoV-2 Arbeitsschutzstandards verbindlich?

Im Fall einer Pandemie ist die Einleitung angemessener Abwehrmaßnahmen eine staatliche Aufgabe des Bevölkerungsschutzes. Aus betrieblicher Sicht ist die von den staatlichen Stellen festgestellte Infektionsgefährdung zugleich auch eine Gefährdung für die Sicherheit und die Gesundheit der Beschäftigten. Die Infektionsgefährdung wird damit Bestandteil der Gefährdungsbeurteilung des Arbeitgebers zur betrieblichen Pandemieprävention. Der SARS-CoV-2-Arbeitsschutzstandard des Bundes gibt dem Arbeitgeber Schutzbei der Auswahl und Umsetzung geeigneter Maßnahmen zum betrieblichen Infektionsschutz, wie z.B. zusätzliche Hygieneregeln, Abstandsgebote und organisatorische Regelungen zur Kleinhaltung von Kontakten zwischen Beschäftigten sowie zu Kunden und Geschäftspartnern.

Er ist zugleich Richtschnur für die Aufsichtsbehörden/Aufsichtsdienste bei der Beratung und Überwachung der Unternehmen, für ggf. erforderliche Anordnungen zur Sicherstellung des betrieblichen Infektionsschutzes und notfalls auch für eine Sanktionierung bei Verstößen.

#45001