Video: Kurzeinführung Datenschutz
Kurzeinführung in den Datenschutz
Ein Schnelleinstieg in den Datenschutz für Mitarbeiter
Die Folien und das Video sowie seine Inhalte stehen unter der CC-BY 4.0 International-Lizenz. Das bedeutet, Sie können dieses Video unter der Nennung und Verlinkung unseres Namens für eigene Zwecke nutzen.
Die Folien können Sie hier downloaden.
Wenn Sie einzelne Punkte nachlesen möchten, schauen Sie einfach in unser untenstehendes Transkript des Videos. Wenn Sie mehr über Datenschutz erfahren möchten, schauen Sie auch gerne in unseren Blog oder auf unsere Datenschutz-Seite!
Transkript des Videos:
Kurzeinführung Datenschutz
Moin und herzliche Willkommen zu unserem Video „Kurzeinführung in den Datenschutz“
Ziel des Videos ist es, neue Mitarbeiter in den Datenschutz einzuführen, solange bis diese ihre erste persönliche und umfangreiche Schulung erhalten.
Gemäß unseres Mottos „Open Source, Open Science, Open Knowledge“ steht dieses Video unter der CC-BY 4.0 International-Lizenz. Das bedeutet, Sie können dieses Video unter der Nennung und Verlinkung unseres Namens für eigene Zwecke – auch kommerziell – nutzen.
Die Folien und ein Transkript des Videos verlinke ich auch nochmal hier und unten in der Beschreibung des Videos.
Zu mir: Ich bin Georg Rasch und zusammen mit Dr. Uwe Szyszka Geschäftsführer der DSS IT Security GmbH. Wir sind tätig als externe Datenschutzbeauftragte, als IT-Projektmanager sowie als IT-Sicherheitsberater und IT-Sicherheitstechniker im Open Source-Umfeld.
Inhalt
Wir gucken uns zunächst einmal an:
– was Datenschutz überhaupt ist
– was passiert, wenn man den Datenschutz missachtet
– wozu wir den Datenschutz brauchen
– dann gucken wir uns Gesetze und Begriffe an
– die Gewährleistungsziele – das sind die Ziele, die der Datenschutz mit seinen Maßnahmen erreichen will
– die Rechte von Betroffenen und
– und am Ende das Wichtigste: was ist bei der Umsetzung des Datenschutzes zu beachten
Hier sehen wir erst mal einen Comic, wo ein App-Entwickler neben den Downloadgebühren auch die Daten (der Nutzer) heimlich weiter verkauft.
Auch vor dieser Datenschutzschulung ist uns allen hoffentlich bewusst, dass das eine rechtswidrige Datenverarbeitung ist, die so nicht okay ist!
Was ist nun eigentlich Datenschutz?
Datenschutz ist der Schutz personenbezogener Daten. Das bedeutet Daten, die einer natürlichen Person zuzuordnen sind.
Das bedeutet nicht, den Schutz von z.B. juristischen Personen oder Sachdaten.
Natürlich kann ich mit den Methoden des Datenschutzes auch genauso gut beispielsweise Geschäftsgeheimnisse schützen. Denn: Datenschutz guckt sich im Rahmen der Umsetzung der technischen Maßnahmen die IT-Sicherheit und die Datensicherheit an. Und er guckt sich die Prozesse an, im Rahmen der Umsetzung der organisatorischen Maßnahmen. Das können zum Beispiel sein: Prozessanalysen oder auch ganz praktische Dinge, wie die Datenschutzschulung, die sich ja nun gerade angucken.
Kontrolliert wird der Datenschutz von der jeweils zuständigen Landesbehörde und zwar in dem Bundesland, wo das Unternehmen seinen Hauptsitz hat.
Ganz wichtig ist hier auch zu erwähnen: Datenschutz ist Grundrechtsschutz! Denn der Datenschutz leitet sich ab von Grundgesetz Artikel 1 und Artikel 2.
Ohne Angst machen zu wollen, müssen wir uns jetzt einmal kurz angucken, was passiert, wenn man den Datenschutz missachtet:
Bekannt geworden sind in den Medien natürlich die großen Fälle, wie das Bußgeld gegen Berlin Wohnen mit 14mio. Euro, oder die 10mio. Euro Bußgeld gegen Notebooksbilliger.
Grundsätzlich ermöglicht die DSGVO Bußgelder bis 20mio. Euro oder 4% des weltweiten Jahresumsatzes. In der Regel – bei kleineren Unternehmen, fallen die Bußgelder natürlich wesentlich geringer aus.
Weniger bekannt, aber für Firmen oft schmerzlicher als Bußgelder, ist das unbegrenzte Verbot der Datenverarbeitung, welches durch die Aufsichtsbehörde ausgesprochen werden kann. Das heißt, die Aufsichtsbehörde kann Prozesse oder IT-Systeme im Betrieb still legen.
Zivilrechtlich ist es möglich, Schadensersatz oder Schmerzensgeld geltend zu machen.
Bei Fällen in der Vergangenheit gab es zum Beispiel bereits Schadensersatz von 100 Euro für unerlaubte Werbemails. Dabei muss man sich überlegen: 100 Euro pro Fall, nicht pro Verteiler. Wenn Sie einen Newsletter haben und dort unerlaubte Werbemails versenden an 100 Empfänger, kann das 100 mal 100 Euro kosten.
Außerdem: wenn Sie meinen, sie möchten Daten – wie unser App-Entwickler in dem Comic – kommerziell und illegal weiter verkaufen, kann das nach Bundesdatenschutzgesetz sogar in Haftstrafen von 2 Jahren oder, wenn es regelmäßig passiert, bis zu 3 Jahren münden.
Und das sehen wir hier auch mit unserem unglücklichen App-Entwickler, der mit seinem illegalen Datenverkauf nicht ganz so gut gefahren ist, wie er sich vorgestellt hat.
Wie ich anfangs sagte, Datenschutz ist Grundrechtsschutz!
Und da möchte ich zitieren das Urteil des Bundesverfassungsgerichts zur Volkszählung von 1983. Da schrieb das Verfassungsgericht in der Begründung:
„Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht GG Art. 2 Abs. 1 in Verbindung mit GG Art. 1 Abs. 1 umfasst.“
Das ist fundamental wichtig. Denn Datenschutz ist in unserer Verfassung ganz vorne im ersten und zweiten Artikel verankert. Da kommt der Datenschutz in Deutschland her!
Wozu brauchen wir Datenschutz?
Datenschutz brauchen wir, um Personen, mir, Ihnen,…, den Schutz ihrer Privatsphäre garantieren zu können. Dafür brauchen wir ein Recht auf Vertaulichkeit. Notwendig ist das – und das ist in vielen psychologischen Studien bewiesen – zur freien Entfaltung der Persönlichkeit.
Außerdem gibt es noch große Teile, die besonders im Bundesdatenschutzgesetz – also im deutschen Datenschutzgesetz – noch verschärft sind: Arbeitnehmerrecht, wenn sie 40 stunden die Woche im Büro sitzen, dort nicht der willkürlichen Kontrolle durch den Betrieb ausgesetzt sind.
Im Bereich öffentlicher Einrichtungen soll der Datenschutz auch zur Transparenz demokratischer Strukturen mit hinwirken.
Außerdem ist er wichtiger Bestandteil im Qualitätsmanagement nach ISO 9001, wenn Sie sich da zertifizieren lassen möchten, und im Servicemanagement.
In diesem Comic sehen wir einen App-Entwickler, der sagt: „Wir entwickeln unsere Apps sicher und datenschutzkonform. Unsere Kunden wissen, dass sie uns vertrauen können.“
Für diesen App-Entwickler sollten Sie sich entscheiden, wenn Sie im Auftrag Ihres Unternehmens eine App entwickeln lassen sollen. Mit ihm werden Sie viel Freude und wenig Ärger haben.
Gucken wir uns nun wichtige Gesetze und Begriffe zum Datenschutz an. Dabei möchte ich vorweg sagen:
Sie müssen das nicht alles auswendig lernen! Sondern wichtig ist, dass sie die Begriffe schon mal gehört haben, sodass, wenn diese im beruflichen Kontext auftauchen, Sie die grob zuordnen können. Und wenn sie später im Detail fragen haben, haben sie dafür ja einen betrieblichen oder externen Datenschutzbeauftragten, den sie immer fragen können!
Von den Gesetzen ist ihnen auf jeden Fall die Datenschutzgrundverordnung (DSGVO) bekannt, die für jede nicht-private Datenverarbeitung in der EU gilt. Zusätzlich gibt es noch nationale Gesetzgebung. Da gilt in Deutschland das Bundesdatenschutzgesetzt (BDSG), das für deutsche Unternehmen und für öffentliche Stellen des Bundes gilt. Jedes Bundesland hat zudem noch ein Landesdatenschutzgesetz (LDSG), was nicht für wirtschaftliche Einrichutngen gilt, sondern für öffentliche Stellen des Landes.
Daneben gibt es „kleinere“ Gesetze, die Teilberieche des Datenschutzes regeln. Zum Beispiel das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), wo unter anderem das Fernmeldegeheimnis geregelt ist, Sozialgesetzbücher (SGB), wo der Sozialdatenschutz geregelt ist, und weitere, beispielsweise für den kirchlichen Datenschutz.
Ein wichtiger Begriff ist das Verzeichnis von Verarbeitungstätigkeiten. Man sagt, es ist das „Herzstück des Datenschutzes“, denn es ist eine umfangreiche Dokumentation, die alle datenverarbeitenden Verfahren im Unternehmen auflistet. Ein Verfahren ist dabei eine Verarbeitung von personenbezogenen Daten. In diesem Verzeichnis sind Zweck und Rechtmäßgikeit aufgelistet, also die Gesetzesgrundlage der Verarbeitung, die Abläufe der Datenverarbeitung, die Übermittlungen und Speicher-/Löschfristen, organisatorische und technische Sicherheitsmaßnahmen, Rollen und Berechtigungen und Zuständigkeiten sowie die regelmäßigen Überprüfungen durch den Datenschutzbeauftragten.
Dann gibt es noch die Datenschutzfolgenabschätzung (DSFA), auf die möchte ich nicht näher eingehen. Das ist eine Art umfängliche Risikoanalyse und -abschätzung plus Bewertung ergänzender Sicherheitsmaßnahmen. Eine DSFA führt man dann durch, wenn man eine große Anzahl an Daten nach Art.9 DSGVO, zum Beispiel Gesundheitsdaten hat – da kommen wir auch gleich noch zu – oder wenn man eine so große Menge an „normalen“ Daten hat, dass eine enorme Schadenshöhe (Eingriffsintensität) daraus resultiert.
Dann gibt es den Datenschutzbeauftragten (DSB). Das kann ein interner betrieblicher Datenschutzbeauftragter sein oder ein externer Datenschutzbeauftragter. Der Datenschutzbeauftragte ist zuständig für die Umsetzung des Datenschutzes im Unternehmen. Allerdings ist er nicht verantwortlich, sondern er gehört der erweiterten Geschäftsführung an, hat direktes Vortragsrecht gegenüber der Geschäftsführung, ist auch nicht weisungsgebunden gegenüber der Geschäftsführung im Rahmen seiner Tätigkeit, allerdings auch nicht weisungsbefugt! Das heißt, er darf wirklich nur beraten und kontrollieren. Natürlich ist er auch Ansprechpartner für die Mitarbeiter, wenn diese Fragen zum Datenschutz haben. Sowohl, was den eigenen Datenschutz als Mitarbeiter angeht, wie auch zu den Prozessen, die man als Mitarbeiter im Betrieb durchführt.
Der Verantwortliche ist eine natürliche oder juristische Person, Stelle oder Einrichtung, die alleine oder gemeinsam über die Verarbeitung von Daten entscheidet. Die also Weisungen geben darf. Das ist auf höchster eben natürlich immer die Geschäftsführung.
Ein Betroffener ist die bestimmte oder bestimmbare natürliche Person, mit deren Daten irgendetwas gemacht wird. Bestimmbar bedeutet, ich muss ein Datum nicht unbedingt einem konkreten Namen zuordnen und es kann trotzdem ein personenbezogenes Datum sein!
Standardbeispiel ist: jedes Unternehmen hat eine Website, die im Internet steht. Ein Websitebesucher surft diese Website an und die Website registriert die IP-Adresse, also die digitale, vom Provider zugeordnete Netzwerkadresse des Besuchers. Da steht zunächst kein Name dran, trotzdem könnte man diese IP einer natürlichen Person zuordnen und damit ist sie ein personenbezogenes Datum.
Dann gibt es den Auftragsverarbeiter. Der Auftragsverarbeiter ist eine externe Firma oder eine externe Person, die im Auftrag des Verantwortlichen Daten verarbeitet. Dieser Auftragsverarbeiter ist weisungsgebunden gegenüber dem Verantwortlichem – das ist das Wichtige – und muss durch einen Auftragsverarbeitungsvertrag (AVV) auf die Einhaltung des Datenschutzes und vieler Maßnahmen, die in Artikel 28 DSGVO beschrieben sind, verpflichtet werden.
Und gibt es noch den sogenannten Dritten. Das ist ein rechtmäßiger Datenempfänger, der kein Auftragsverarbeiter oder Mitarbeiter des Verantwortlichen ist. Also jemand, an den ich Daten schicke, was ich auch darf, und der die Daten eigenverantwortlich verarbeitet.
Wir alle kennen zum Beispiel: beim Arzt, der mir Blut abnimmt, wird dann die Blutprobe ans Labor geschickt, das die Probe untersucht. Da gibt mein Hausarzt dem Labor nicht Anweisung, wie das Labor das zu tun hat. Da habe ich vorher unterschrieben, dass ich mit der Übersendung der Probe einverstanden bin. Das ist eine Einwilligung als Rechtsgrundlage und dann darf der Arzt Daten an einen Dritten übermitteln und dieser Dritte handelt jetzt eigenverantwortlich mit diesen Daten.
Hier sehen wir eine Mindmap, die unser guter App-Entwickler erstellt hat, um sich selber erst einmal klar zu machen, welche Rollen es aus Datenschutzsicht bei der App-Programmierung gibt:
– Den Verantwortlichen. Das ist hier der CIO, also der technisch verantwortliche Geschäftsführer
– Als Auftragsverarbeiter ist da natürlich er selbst als App-Entwicklungsfirma
– Betroffen sind die Kunden mit Smartphone, die seine App benutzen
– Ein Dritter könnte beispielsweise der App Store sein, der sieht welcher Betroffene (also welcher Smartphone-Benutzer) die App herunterlädt und benutzt
– Außerdem ist unser App-Entwickler so klug, dass er auch gleich den Datenschutzbeauftragen mit einbezieht! Man spricht da von Privacy by Design. Es spart im Nachgang viele Kosten, wenn man einfach von Anfang an gleich datenschutzkonform entwickelt!
Unser Beispiel mit der Arztpraxis, wo das Labor die Daten verarbeitet, das sind besondere personenbezogene Daten. Diese sind in der DSGVO in Artikel 9 festgelegt. Es sind Daten über die ethnische Herkunft, politische Meinung, philosophische und religiöse Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, genetische Daten, biometrische Daten. Also alles, wo der Gesetzgeber sagt, das es einen besonders hohen Schutzbedarf gibt. Denn wenn mit diesen Daten irgendetwas passiert, ist die Schadenshöhe automatisch viel höher, als bei anderen Datenkategorien (zum Beispiel wie viele Brötchen Herr Meier heute morgen beim Bäcker bestellt hat).
Auch hier sehen wir ein bekanntes Beispiel mit unserem App-Entwickler, eine besondere Datenkategorie: der Fingerabdruck zum Entsperren.
Oder, gesetzt den Fall, die App sei eine Fitness-App und eine Smartwatch sendet den Puls direkt an das Telefon und das macht eine Auswertung: „wie gesund sind Sie?“. Da hätten wir eine Verarbeitung von Gesundheitsdaten oder beim Fingerabdruck von biometrischen Daten.
Wir sprechen schon die ganze Zeit von „mit Daten was machen“ und „Daten verarbeiten“. Was bedeutet Verarbeitung personenbezogener Daten?
Es gibt das Erheben von Daten. Das ist das Beschaffen der Daten über den Betroffenen.
Das Verarbeiten hingegen subsumiert alles, was ich mit diesen Daten machen kann: das Speichern (auf einen Zettel schreiben, auf dem Computer ablegen, im Word-Dokument speichern, …), das Verändern von Daten, das Übermitteln von Daten (auch das Übermitteln an Dritte), das Sperren von Daten (also das nicht mehr zugänglich machen) und das Löschen von Daten – auch das Löschen ist ein datenschutzrelevanter Aspekt, da kommen wir gleich bei den Gewährleistungszielen zu – und allgemein alles was ich sonst noch machen kann, also das „Nutzen“ der Daten.
Was sind Gewährleistungsziele?
Da gibt es das Gewährleistungsziel Datenminimierung, auch Datensparsamkeit genannt. Das bedeutet, ich darf nur Daten erheben und verarbeiten, die ich für meine Zwecke wirklich benötige. Diese Zwecke muss ich im Vorhinein festlegen und darf sie im Nachhinein nicht (ohne Weiteres) ändern!
Dann gibt es das Gewährleistungsziel Verfügbarkeit. Das meint: wenn die Daten gebraucht werden, müssen sie auch da sein. Wenn Ihre Lohnbuchhaltung Ihr Gehalt überweisen soll, darf die Lohnbuchhaltung nicht sagen: „Oh! Wir haben leider ihre Kontonummer vergessen und der zuständige Bearbeiter ist vier Wochen im Urlaub.“ und sie bekommen ihr Gehalt nicht und können Ihre Miete nicht zahlen. Die Daten müssen also verfügbar sein, wenn sie gebraucht werden!
Die Datenintegrität bedeutet, die Daten müssen korrekt sein und man muss sicherstellen, dass sie vor und auch nach der Verarbeitung noch korrekt sind, das also in der Verarbeitung keine Fehler passieren!
Die Integrität beim erheben ist meistens schwierig. Da kann man oft nicht ganz sicherstellen, dass jemand, der zum Beispiel seinen Namen und Adresse in eine Liste einträgt, sich nicht irgendwo verschreibt. Dort macht man häufig Standardmaßnahmen, zum Beispiel Prüffelder wie „ist die Postleitzahl wirklich eine 5-stellige Zahl?“
Die Vertraulichkeit ist das wichtigste Gewährleistungsziel und sie ist das, was man sich zuerst unter Datenschutz vorstellt. Das Gewährleistungsziel Vertraulichkeit verlangt, dass die Daten sicher sind, dass keiner an die Daten herankommt, der nicht die Erlaubnis hat. Dass nicht ein Betrüger die Akte klaut, dass nicht ein Hacker in das System eindringt und Daten manipuliert oder herunterlädt.
Dann gibt es die Nicht-Verkettbarkeit: Wenn ich über eine Person verschiedene Daten zu verschiedenen Zwecken erhebe, darf ich diese Daten nicht zusammenführen.
Die Transparenz. Damit ist einmal gemeint, dass jeder Betroffene das Recht zu wissen hat, was mit seinen Daten passiert – da kommen wir gleich zu bei den „Rechten des Betroffenen“ zu – und es bedeutet, dass der Verantwortliche für seine Entscheidungen wissen muss, wer welche Befugnisse in der Firma, in dem Unternehmen für die Datenverarbeitung hat und wer ist für welchen Teilbereich zuständig ist.
Das letzte Gewährleistungsziel ist die Intervenierbarkeit. Es gibt dem Betroffenen das Recht, Widerspruch gegen die Datenverarbeitung einzulegen oder die Berichtigung seiner Daten zu fordern, wenn die Integrität (siehe oben) verletzt ist. Die Intervenierbarkeit gibt ihm auch das Recht, seine Daten löschen zu lassen, allerdings eingeschränkt: nur in dem Maße, wie das technisch und rechtlich und vertraglich für ihr Unternehmen möglich ist.
Der zweite Aspekt der Intervenierbarkeit ist, dass Sie bei Gefährdungen in ihrem Unternehmen reagieren können. Dass sie ein Notfallplan vorbereitet haben, den sie anwenden können, wenn in ihrem unternehmen etwas nicht richtig funktioniert. Wenn beispielsweise ein Serversystem abstürzt oder wie bei unserem Beispiel vorhin die Lohnbuchhaltung einen Zahlendreher in ihrer Kontonummer hat. Dass da also ein Prozess ist, Sie direkt zu kontaktieren, Ihre Kontonummer zu berichtigen und einen Tag später ist Ihr Gehalt auf dem Konto.
In diesem Comic sehen wir gleich mehrere Gewährleistungsziele verletzt: Da fragt ein Betroffener nach einer Datenauskunft und der App-Entwickler antwortet: „Da kann ich Ihnen so nicht weiterhelfen, aber geben Sie einfach Ihren Namen bei Google ein, dann sehen Sie alles was wir über Sie gespeichert haben. Das laden wir nämlich gleich alles dort hoch.“
So darf es natürlich nicht sein! Da ist die Vertraulichkeit gestört, und der Auskunftsprozess ist auch nicht optimal.
Welche Rechte hat der Betroffene?
Da ist die Informationspflicht zum Zeitpunkt der Datenerhebung. Das gilt nur bei der Ersterhebung. Man kennt dieses Informationsblatt, dass man zum Beispiel beim Arzt bekommt und wo man unterschreiben muss, dass man die Informationen erhalten hat. Dort müssen die Kontaktdaten des Datenschutzbeauftragen hinterlegt sein, die Rechtsgrundlage und der Zweck müssen genannt sein. Wie vorhin gesagt darf der Zweck im Nachhinein nicht mehr geändert werden, man muss am Anfang aushändigen, wofür man die Daten erhebt, ob eine Datenübermittlung stattfindet, wer die Empfänger sind, und weitere Punkte.
Dann gibt es als Informationspflicht die Data Breach Notification. Da muss ein Unternehmen an die Aufsichtsbehörde melden, wenn eine Datenpanne passiert ist. Je nach der Schwere der Datenpanne muss vom Unternehmen allen Betroffenen Bescheid gegeben werden und, falls es nicht geht, dass man dem Einzelnen Bescheid sagt, muss man öffentlich machen, dass da eine Datenpanne war. Facebook musste europaweit in jeder Zeitung inserieren, dass sie eine Datenpanne hatten. Das ist natürlich ein Worst Case-Szenario, weil das in aller Öffentlichkeit ein extrem schlechtes Licht auf ein Unternehmen wirft.
Dann hat jeder Mensch das Recht, nach Auskunft zu verlangen über seine Daten, bei jeder Firma, bei jedem Unternehmen und jeder Stelle. (D.h. jede Stelle im Unternehmen muss das Auskunftsersuchen entgegennehmen und an den Verantwortlichen weiterleiten.) Außerdem hat man das Recht auf Berichtigung und Löschung seiner Daten. Daraus folgt auch, dass man Einwilligungen zur Datenverarbeitung jederzeit widerrufen kann. Der Löschung, wie vorhin gesagt, muss man nur nachkommen, wenn keine vertraglichen Zwecke oder Rechtsgrundlagen entgegenstehen.
Außerdem hat jeder Betroffene das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren.
Im Gegensatz zu dem Comic eben mit dem Negativbeispiel sehen wir jetzt unseren guten App-Entwickler bzw. Mitarbeiter der App-Entwicklerfirma dem um Datenauskunft bittenden Menschen antworten: „Sehr gerne, wenden Sie sich einfach an unseren Datenschutzbeauftragten, der antwortet immer schnell. Seine Kontaktdaten stehen auf diesem Infoblatt.“ Dabei händigt er dem Betroffenen die Datenschutzhinweise aus. Das ist ein gutes Beispiel für gutes Servicemanagement. Jetzt kann der Betroffene sich direkt an den Datenschutzbeauftragten wenden und bekommt schnell eine vollumfängliche und DSGVO-konforme Datenauskunft.
Was ist zu beachten, wenn Sie personenbezogene Daten verarbeiten?
Das mehrfach angesprochene Verbot mit Erlaubnisvorbehalt: Sie dürfen die Daten nur zu einem vorher festgelegten Zweck, auf einer Gesetzesgrundlage als Rechtmäßigkeit beruhend, verarbeiten!
Sie müssen Verschwiegenheit über die Daten bewahren.
Beim Erheben von Daten müssen Sie den Erstinformationspflichten nachkommen und die Datenschutzhinweise aushändigen, in technischer oder analoger Form.
Sie sollten – und das ist das Ziel dieser Schulung – personenbezogene Daten erkennen und entsprechende Verfahren, die Ihr Unternehmen mit Ihrem Datenschutzbeauftragten festlegt, einhalten. Das gilt nicht nur für festangestellte Mitarbeiter, das gilt auch für Praktikanten, für ehrenamtliche Mitarbeiter etc. Sie alle gelten als Mitarbeiter im Sinne des Datenschutzes.
Alle Verpflichtungen und Gesetze gelten über Ihr Beschäftigungsverhältnis hinaus. Wenn Sie den Arbeitgeber wechseln oder in Rente gehen, müssen Sie weiterhin zum Beispiel Verschwiegenheit und Vertraulichkeit wahren. Die Gewährleistungsziele – soweit die über Ihr Beschäftigungsverhältnis hinaus nachwirken – müssen weiter gewahrt bleiben.
Jetzt haben Sie es geschafft! Natürlich ersetzt dieser kurze Überblick keine ausführliche Einführung in den Datenschutz. Eine persönliche Datenschutzschulung, wo Sie direkt Rückfragen an Ihren Datenschutzbeauftragten stellen können, wo Ihr Datenschutzbeauftragter direkte Beispiele aus Ihrem Arbeitsalltag nennen kann, bleibt natürlich immer noch am Besten.
Ich hoffe, dass Sie mit diesem Video trotzdem einen guten Einstieg in den Datenschutz gefunden haben und sage:
VIELEN DANK und bis zum nächsten Video!