Aspects of daily life

Technische und organisatorische Maßnahmen

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Dazu schreibt das Datenschutzgesetz folgende Maßnahmen vor:

  • Zutrittskontrolle
    Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben.
  • Zugangskontrolle
    Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen.
  • Zugriffskontrolle
    Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Weitergabekontrolle
    Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden.
  • Eingabekontrolle
    Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.
  • Auftragskontrolle
    Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen.
  • Verfügbarkeitskontrolle
    Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein.
  • getrennte Verarbeitung
    Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können.

Hinweis: Diese Maßnahmen werden üblicherweise von der oder dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die Unternehmensleitung sicherstellen, dass diese Anforderungen erfüllt werden. Falls Sie automatisierte Verarbeitungen anwenden, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten immer Pflicht.

Vorabkontrolle durch den Datenschutzbeauftragten

Falls durch automatisierte Verarbeitungen die Rechte und Freiheiten der Betroffenen besonders gefährdet sind, muss vor Beginn der Verarbeitung eine Vorabkontrolle stattfinden. Dies gilt, wenn

  • Sie besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) verarbeiten oder
  • die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten.

Von der Vorabkontrolle dürfen Sie nur absehen, wenn eine gesetzliche Verpflichtung oder eine Einwilligung der Betroffenen vorliegt oder die Datenverarbeitung für die Begründung, Durchführung oder Beendigung eines Rechtsgeschäfts mit den Betroffenen erforderlich ist.

To the procedures and services

Release note

Dieser Text entstand in enger Zusammenarbeit mit den fachlich zuständigen Stellen. Der Landesbeauftragte für den Datenschutz hat ihn am 03.12.2014 freigegeben.

Die hier dargestellten Informationen werden von service-bw übernommen und regelmäßig aktualisiert.