Artikel freundlicherweise zur Verf√ľgung gestellt von CGLorenzo.
Dieser Beitrag wurde im “IT-Administrator-Portal” bisher 11641 mal aufgerufen (Juli 2008) und gelesen.
Geschrieben von CGLorenzo am 22.03.2007 um 13:04:17 Uhr.

Lektion 1: Ist ein Datenschutzbeauftragter zu bestellen? (geschrieben am 2007-03-22)

Lektion 2: Die Bestellung des Datenschutzbeauftragten (geschrieben am 2007-03-25)

Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden (geschrieben am 2007-03-25)

Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben ab 2007-04-01 bis 2007-04-09)

=====================================================

Lektion 3: Grundbegriffe zum Datenschutz kennen und richtig verwenden

(geschrieben am 2007-03-25)
=====================================================

Frei nach dem Motto: Sage mir wie du heißt und ich sage dir wer du bist >>> ODER <<< je öfters du falsche Datenschutzbegriffe an falschen Stellen und umgekehrt und verkreuzt umgekehrt verwendest, desto schneller bist du als nicht-fachkundig entlarvt.

Mir ist doch regelm√§√üig der Tag versaut, wenn ich von der Telefonzentrale dieses h√∂re: ...ich darf Sie aus Datenschutzgr√ľnden nicht zu Herrn XYZ durchstellen... > so ein Schwachsinn > da hat der DSB gepennt. Tats√§chlich handelt es sich um eine interne Anweisung - nur, wie soll man die nach au√üen begr√ľnden?
 

Schauen wir uns einmal die Datenschutzgrundbegriffe an, damit wir bei anderen glänzen können.


Datenschutz

Mit Datenschutz werden Handlungen beschrieben, die rund um Menschen und deren personenbezogene Daten stattfinden.
Merke: "Datenschutz ist der Schutz des Menschen vor dem Computer."

Ziel des Datenschutzes ist es, die Beeintr√§chtigung schutzw√ľrdiger Belange der Betroffenen, welche durch Informationsverarbeitung ausgehen kann, zu verhindern.

##1: Wir reden von Datenschutz, wenn wir etwas tun, wo der Mensch und seine Daten im Vordergrund stehen: wir unterweisen im Datenschutz; wir beantworten eine Anfrage aus der Abteilung X zum Datenschutz; wir f√ľhren das Verfahrensverzeichnis; wir verpflichten einen Mitarbeiter auf das BDSG; wir verfassen den Jahresbericht; wir setzen Datenschutz-Ma√ünahmen um;...


Datensicherheit

Mit Datensicherheit werden Handlungen beschrieben, die rund um die IT-Infrastruktur und alle Daten stattfinden.
Merke: "Datensicherheit ist der Schutz des Computers vor dem Menschen."

Also die Aussage dar√ľber, wie und mit welchen Mitteln die Daten im Computer vor unberechtigtem Zugriff gesch√ľtzt werden k√∂nnen. Dazu sind personelle, technische und organisatorische Voraussetzungen zu schaffen.

##2: Wir reden von Datensicherheit, wenn wir etwas tun, wo der Computer und seine Daten im Vordergrund stehen: wir f√ľhren ein Backup durch; wir retten verlorene Daten durch ein Restore; wir sichern ein Netzwerk ab; wir installieren einen Virenschutz; wir √ľberpr√ľfen die Zugriffsrechte auf den Server; wir erstellen ein IT-Sicherheits-Konzept; wir installieren an der T√ľr zum Rechnerraum einen Kartenleser;...

##3:
Wenn du das nächste Mal von Backup redest, dann verwendest du den Begriff Datensicherheit - nicht Datenschutz.


Datenverarbeitung

ist jeder Vorgang, bei dem der Bestand oder der √∂rtliche, zeitliche oder logische Zusammenhang von Informationen eine √Ąnderung erfahren. Dabei wird keine R√ľcksicht auf die Art der Verarbeitung, also manuell oder maschinell, genommen.

Die Phasen der Datenverarbeitung sind:

- erheben - speichern - ver√§ndern - sperren - l√∂schen - √ľbermitteln.

Gehe grundsätzlich davon aus, dass Datenverarbeitung nichts mit "EDV" zu tun haben muss!

Wenn du eine Rechnung oder eine Lohnsteuerkarte zerreißt, betreibst du Datenverarbeitung.
Wenn du eine Rechnung oder eine Lohnsteuerkarte in den Papierkorb wirfst, betreibst du Datenverarbeitung.
Wenn du eine CD (mit Daten!, nicht nur mit personenbez. Daten) an einen Mitarbeiter √ľbergibst, betreibst du Datenverarbeitung.
Wenn du Daten sicherst (Backup) ist dies Datenverarbeitung.
Als du mit 120 km/h in der Autobahnbaustelle "geblitzt" wurdest, wurden deine Daten verarbeitet.
Wenn du eine Liste in den Papierkorb wirfst, hast du Daten verarbeitet.
Wenn du mit deiner Scheckkarte beim Lebensmittelgeschäft nebenan den Einkauf bezahlst, werden deine Daten verarbeitet.

Verstanden? Noch einmal:
Datenverarbeitung ist alles ... wobei Daten (informationen) ... eine √Ąnderung erfahren



Speichern

ist das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke Ihrer weiteren Verwendung.

Datenträger sind u.a.:

Disketten, Magnetplatten, Magnetbänder, Mikrofilme (Fiches) aber auch Karteikarten, Lohnsteuerkarten, Bilder, Filme...

Ist ein Notizblock ein Datenträger? Ja, wenn Informationen draufstehen.



Verändern

ist das inhaltliche Umgestalten gespeicherter Daten.

Wir ändern im PC die Lieferanschrift eines Alt-Kunden; er ist umgezogen.

Wir √§ndern im Telefon-B√ľchlein die Faxnummer von CGLorenzo von 1234 in 1235 indem wir die 4 ausradieren und daf√ľr die 5 hinschreiben.



Sperren

ist das Kennzeichnen der Daten, um die weitere Nutzung der Daten einzuschränken.

Der Personalchef setzt ein "J" in die Abfrage seines Computer-Programms "Stammsatz sperren? (J/N) _". Das Personal-Informations-System wird diesen Stammsatz nicht mehr ohne weiteres anzeigen.

Wir f√ľhren unsere Klientendaten noch im Kartei-Kasten. Ich nehme die Karteikarte "Georg Meyer" mit den Anlage-Karten aus dem Kasten, lege ein festes Gummiband um diesen Karten-Pack ... unter das Gummiband schiebe ich einen kleinen Zettel mit der Aufschrift "GESPERRT !!! Bitte R√ľckfrage bei xyz".



Löschen

ist das Unkenntlichmachen gespeicherter Daten.

Bei manuellen Verfahren gilt ein Datum (Datenfeld) als gelöscht, wenn es durch Überschreiben unlesbar wird.
Bei maschinellen Löschverfahren wird häufig das betreffende Datenfeld oder der Datensatz als gelöscht gekennzeichnet. Bei diesem Verfahren bleibt also die Information tatsächlich voll erhalten.

Ich streiche in meinem Telefonb√ľchlein die Faxnummer von Hanna Schneider-M√ľller 12345 durch.

Ein Computer-Programm hinterlegt die Informationen mit einem Vorspann von "system-notwendigen" Erkennungsdaten. Ein Rechnungsdatensatz wird nicht nur mit den Rechnungsdaten

1000 Euro 4.9.06 59010066 24-5678

gespeichert, sondern (vereinfacht dargestellt) beispielsweise so

@06 1000 Euro 4.9.06 59010066 24-5678

Das Zeichen @ zeigt der Software an, dass dieser Datensatz g√ľltig ist. 06, dass er in 2006 angelegt wurde.

Wird dieser Satz im Computer-Programm gelöscht, entfernt das Programm lediglich das @ und schreibt die verbleibenden Daten wieder auf den Datenträger. Nun ist folgendes gespeichert.

06 1000 Euro 4.9.06 59010066 24-5678

Beim nächsten Einlesen der Rechnungsdaten wird dieser Satz vom Programm wohl noch gelesen, aber nicht mehr bereitgestellt.



√úbermitteln

ist das Bekanntgeben von Daten an Dritte.

Dies ist auch dann bereits der Fall, wenn die Daten zur Einsicht oder zum Abruf bereitgehalten werden.

Was ist bekanntgeben?

Beispiele:

Du richtest einem neuen Personalsachbearbeiter das Personalverwaltungsprogramm auf seinem Rechner ein und gibst ihm Zugriff auf die Personaldaten.
Du bist Vertriebsmitarbeiter und legst eine Liste (eine CD) mit personenbez. Daten auf deinen Schreibtisch! STOP: hast du was gemerkt? Da stand nicht, dass du die Liste irgendjemand √ľbergeben hast ... aber durch das Hinlegen auf den Schreibtisch hast du die Daten zur Einsicht bereitgehalten und lt. Gesetz bekanntgeben!

Was/wer ist Dritter?

Dritter ist JEDER, JEDER, JEDER (Mensch) innerhalb und außerhalb der speichernden Stelle (aber nicht der Betroffene und ebenso nicht der Auftragsdatenverarbeiter).

Ein ganz wichtiger Begriff!

Beispiele:

F√ľr die Meyer GmbH ist die Sparkasse Buxdehude Dritter,
ebenso das Finanzamt Buxdehude,
ebenso die Muttergesellschaft Meyer GmbH & Co.KG, die irgendwo anders ihren Standort hat,
f√ľr den Personalsachbearbeiter der Meyer GmbH ist der Vertriebssachbearbeiter der Meyer GmbH Dritter.

Speichernde Stelle

ist jede juristisch selbstständige Einheit (z.B.: GmbH, KG, AG usw.), also deine Firma ist eine speichernde Stelle.



Erheben

ist das Beschaffen von Daten √ľber den Betroffenen.

Solche Datenerhebungen sind beim Betroffenen selbst durchzuf√ľhren - er soll dir seine Daten geben. Dem Betroffenen ist der Zweck der Erhebung anzugeben.

 

Personenbezogene Daten und Betroffener

Personenbezogene Daten sind Angaben √ľber pers√∂nliche und sachliche Verh√§ltnisse, die sich auf eine nat√ľrliche Person beziehen lassen. Diese Person wird Betroffener genannt.

Personenbezogene Daten sind nicht nur persönliche Daten, wie z.B.:

- Name - Beruf - Geburtsdatum - Schulbildung - Einkommen usw.

sondern auch Daten √ľber:

- Lieferanten - Kunden - Mitarbeiter - Bewerber - Pensionäre - Patienten - Klienten usw., usw.

Personenbezogene Daten sind z.B:

Der Kreditrahmen, den man dir bei deinem Kreditinstitut eingeräumt hat.
Die auf deiner EC-Karte hinterlegte Geheimnummer.
Die Geschwindigkeit mit der du in der Autobahnbaustelle mit dem Fahrzeug XYZ gefahren bist, als du von der Polizei fotografiert wurdest.
Fingerabdr√ľcke in der Verbrecher-Kartei.
Die Einkaufskonditionen des Malers M√ľller bei dem Malerei-Gro√ühandel Schmitt, wenn M√ľller ein Gewerbebetrieb hat oder eingetragener Kaufmann ist - nicht wenn M√ľller eine GmbH/KG usw. hat.
Der Gesamtbetrag des Pfändungsbeschlusses gegen Herr X.
Die Fehltage die der Abteilungsleiter Fritz von seinen Mitarbeitern in einer Liste in seinem Schreibtisch einträgt.
Die Anzahl der Abmahnungen eines Mitarbeiters; die Krankengeschichte des Herrn M√ľller; usw.

Der Betroffene muss bestimmbar sein (ist er nicht bestimmbar, greift das BDSG nicht -warum auch-). Das "bestimmen" kann geschehen durch Identifikationsschl√ľssel wie:

- Personalnummer - Kundennummer - Lieferantennummer - Rentenversicherungsnummer - Krankenversicherungsnummer - laufende Zählnummer.

Der Begriff -bestimmbar- wird weit ausgelegt.

Beispiel: Der Gruppenleiter M√ľller f√ľhrt auf seinem Arbeitsplatz-PC eine Krankenliste seiner Mitarbeiter. Er ist sich unsicher, ob dies alles so mit dem Datenschutz vereinbar ist und f√ľhrt deshalb in der Liste keine Namen oder Personalnummern mit, sondern nur laufende Z√§hlnummer. Er meint damit sei alles in Ordnung. Die Namen zu den einzelnen Nummern hat er getrennt von der Liste in einem Aktenordner im Schrank abgelegt.
Da die Nummern in der Liste denselben Nummern im Ordner zugeordnet werden können -und somit auch den Namen die dahinterstehen-, wurde der Betroffene bestimmbar. Das BDSG greift.



Datengeheimnis

Den Personen, die personenbezogene Daten maschinell verarbeiten oder die Daten in nicht automatisierten Verfahren verarbeiten und an Dritte √ľbermitteln, ist untersagt, gesch√ľtzte personenbezogene Daten zu verarbeiten, bekanntzugeben, zug√§nglich zu machen oder sonst zu nutzen. Befugnis besteht im Rahmen Ihrer rechtm√§√üigen Aufgabenerf√ľllung.



Datei

Personenbezogene Daten werden nur gesch√ľtzt, soweit sie in Dateien gespeichert sind - aber Vorsicht: sie werden auch dann gesch√ľtzt, wenn sie nicht in Dateien sind - aber aus Dateien stammen.

Den Dateibegriff erf√ľllt eine Sammlung von Daten, die

- gleichartig aufgebaut
- nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet

werden können.

Bei automatischer Datenverarbeitung treffen diese Kriterien immer zu.
Bei manueller Datenverarbeitung können diese Bedingungen zutreffen auf:

- Lohnkartei - Kundenkartei - Fehlzeitkartei - Patientenkartei usw.

Listen, die aus Dateien erstellt werden, sind selbst zwar keine Dateien, unterliegen aber dem Bundesdatenschutzgesetz (BDSG).

Lernkontrolle: du speicherst ja t√§gliche neue Infos zu Menschen in deinem Gehirn. Was meinst du - gilt f√ľr diese Daten in deinem Kopf das BDSG? Sind diese Daten gesch√ľtzt? Antwort: JA, wenn die Daten auch in (Computer-)Dateien gespeichert sind und du sie dort her hattest.



Speicherstelle

Speicherstelle ist:

- jede Behörde
- jede öffentliche Stelle
- jede nat√ľrliche Person
- jede juristische Person, Gesellschaft und andere Personenvereinigung des privaten Rechts,

die Datenverarbeitung

- f√ľr eigene Zwecke oder
- geschäftsmäßig

betreibt.



==========================================================
Lektion 4: Die Aufgaben des Datenschutzbeauftragten (geschrieben am 2007-04-01 bis 2007-04-09)
==========================================================

Die Aufgaben des Datenschutzbeauftragten (DSB)



Leider stoße ich gerade an die 64K-Grenze und muss nun splitten.
Wenn ich mal herausgefunden habe wie ein weiteres Tutorial angelegt wird, folgt dann Lektion 4 im zweiten Tutorial


"Datenschutzbeauftragter und Datenschutz-Umsetzung II"
 

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbehörde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittländer
Datenträgerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabwägung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxgeräte
Laptops/Notbeooks/Blackberry
Letter Shops
Löschungskonzept
Meldepflicht
nicht-öffentliche Stelle
öffentliches Verfahrensverzeichnis
Organisationskontrolle
öffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Maßnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
√úbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs√ľbersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, öffentliches
Verfahrenverzeichnis
Verf√ľgbarkeitskontrolle
Vernichtung von Schrifgut und Datenträgern
Video-Beobachtung und Video√ľberwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung