NRW:Datenschutzbeauftragte

Aus Piratenwiki
(Weitergeleitet von NRW:Datenschutzbeauftragter)
Wechseln zu: Navigation, Suche


Datenschutzbeauftragter der Piraten NRW

Datenschutzbeauftragter: Marc Becker

Adresse:Dorfstr. 28, 40667 Meerbusch

E-Mail: dsb@marcbecker.info

GPG-Schlüssel: 5ACE14A1

Telefon: 0176-56960671

Verpflichtung auf das Datengeheimnis (DSV)

Die Formulare werden im Zuge der Qualifizierungsschulungen von den Datenschutzbeauftragten ausgehändigt. Alternativ hier die Unterlagen vom Bund: http://wiki.piratenpartei.de/wiki/images/7/77/Datenschutzverpflichtung.pdf

Nächste Schulungen

  • die kommenden Schulungen in NRW werden in Zukunft hier veröffentlicht.
  • weitere Informationen finden sich hier.

Eine Anmeldung ist nicht erforderlich.

Wieso Schulung und warum jährliche Auffrischung?

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichenStellen beschäftig werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit. (§5 BDSG)

Dieser Paragraph (§5 BDSG) ist der Grund, warum jeder Mitarbeiter und ehrenamtliche Helfer, dessen Tätigkeit den Umgang mit personenbezogenen Daten tangiert, vor Aufnahme seiner Tätigkeit eine Verpflichtung auf das Datengeheimnis (DSV) unterschreiben muss.

Die einfache Unterschrift reicht dem Gesetzgeber bzw. den Aufsichtsbehörden aber in diesem Fall nicht. Der Datenschutzbeauftragte soll darüber hinaus dafür Sorge tragen, dass der Betroffen auch wirklich verstanden hat, was er unterschrieben hat. Hier schreibt das BDSG in §4g vor, dass der Datenschutzbeauftragte insbesondere dafür Sorge zu tragen hat, die bei der Verarbeitung tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG und anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Schulungen sind geeignete Maßnahmen.

Da wir eine Partei sind und die politische Meinung genauso besonders zu schützen ist, wie Gesundheitsdaten, Informationen zum Sexualleben, Religion und Gewerkschaftszugehörigkeit, sind die Aufsichtsbehörden hier besonders streng.

Die meisten Aufsichtsbehörden halten die von uns veranstalteten Erstbelehrungen plus jährlicher Auffrischung bzw. der jährlichen Überprüfung der Sensibilisierung für geeignete Maßnahmen. Da sich Gesetze ändern können, haben die Behörden durchaus auch ein Auge auf die jährlichen Auffrischungen bzw. Überprüfungen.

Wie und in welcher Form der Datenschutzbeauftragte die Qualifizierungen bzw. Überprüfungen der Sensibilisierung durchführt, bleibt weitestgehend ihm selbst überlassen.

In der Piratenpartei haben sich alle Landes- und der Bundesdatenschutzbeauftragte geeinigt, Erstbelehrungen sowie Auffrischungskurse bzw. Qualifizierungskurse anzubieten, die sie gegenseitig anerkennen. Daneben nutzen wir alles das DSV-Formular des Bundesverbandes.

Auf diese Weise brauchen Mitarbeiter und ehrenamtlich helfende Mitglieder nicht erneut eine DSV unterschreiben und an einer Belehrung teilnehmen, wenn sie in einer anderen Gliederung tätig werden wollen. Sie müssen lediglich einmal im Jahr die Belehrung auffrischen und können dies, bei jedem Landes- bzw. Bundes-DSB machen.

Wieso muss ich eine Auftragsdatenverarbeitungsverpflichtung unterschreiben?

Text ist in Bearbeitung

Verfahrensverzeichnisse

Was sind Verfahrensverzeichnisse und wofür werden sie gebraucht?

In §4d BDSG ist geregelt, dass Verfahren automatisierter Verarbeitung vor Ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden sind. Die Meldepflicht entfällt, wenn ein Beauftragter für Datenschutz bestellt wird. Weiter geht aus §4d (5) hervor, dass Parteien der Vorabkontrolle unterliegen. Aus §4f BDSG geht hervor, dass diese Regelung auch für nicht automatisierte Verfahren gilt.

Die Vorabkontrolle soll durch den Beauftragten für Datenschutz durchgeführt werden. Dieser hat sich im Zweifelsfall an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und an die Informationsfreiheit zu wenden.

Um eine Vorabkontrolle für ein Tool bzw. ein nicht automatisiertes Verwaltungsverfahren durchführen zu können, benötigt der Datenschutzbeauftragte das entsprechende Verfahrensverzeichnis inklusive der technischen und organisatorischen Maßnahmen (TOM). Werden darüber hinaus, Daten an andere Gliederungen oder Dritte zur Bearbeitung gegeben, oder wird für die Verarbeitung der Daten ein webbasiertes System genutzt, sind im Zuge der Angaben zu den TOM noch weitere Angaben / Formulare nach BDSG fällig.

Der Datenschutzbeauftragte ist nach §4g verpflichtet, die Punkte 1-8 der Verfahrensverzeichnisse nach erfolgreicher Vorabkontrolle im Zuge der Einführung des neuen Verfahrens auf Antrag für jedermann in geeigneter Weise zur Verfügung zu stellen.

Wer schreibt die Verfahrensverzeichnisse und wer verwaltet sie?

Die Verfahrensverzeichnisse werden in Rücksprache mit dem und nach Anleitung des zuständigen Datenschutzbeauftragten vom Vorstand bzw. den Beauftragten erstellt. Für fast alle Verfahrensverzeichnisse ist die Mithilfe der Technik notwendig.

Zum Thema Erstellung, Pflege und Verwaltung von Verfahrensverzeichnissen gibt es ein paar gesetzliche Regelungen und Vorschriften:

  • Der Datenschutzbeauftragte gibt vor, wie und in welcher Form er die Verfahrensverzeichnis haben möchte
  • Der Datenschutzbeauftragte ist für die Verwaltung der Verzeichnisse verantwortlich
  • Der Datenschutzbeauftragte darf die Verzeichnisse nicht selbst erstellen
  • Der Datenschutzbeauftragte darf beratend bei der Erstellung zur Seite stehen
  • Für die Erstellung der Verzeichnisse ist der Vorstand verantwortlich
  • Der Vorstand darf die Erstellung an die zuständigen bzw. leitenden Beauftragten bzw. die Technik delegieren

Welche Angaben sind für ein Verfahrensverzeichnis erforderlich?

Für meldepflichtige Verfahren sind nach §4e BDSGdie folgenden Angaben zu machen:

  1. Name oder Firma der verantwortlichen Stelle nach BDSG §3 (7)
    • das ist in unserem Fall (NRW) entweder ein bestimmter Kreisverband, der Landesverband NRW oder der Bundesverband
    • es kann nur eine Gliederung verantwortlich sein. Welche das ist, ergibt sich aus den Satzungen sowie dem Parteien- und Vereinsrecht
  2. Vorstände und die mit der Leitung beauftragten Personen
    • Hier müssen alle aktuellen Vorstandsmitglieder namentlich benannt werden
    • Darüber hinaus, muss hier ein Vorstandsmitglied festgelegt und namentlich genannt werden, das die leitenden Position für das Verfahren übernimmt. Beim Personal ist es der Personalleiter, bei der Mitgliederverwaltung und Technik in der Regel der Generalsekretär, bei der Buchhaltung der Schatzmeister usw.
    • Ist hier zusätzlich ein leitender Beauftragter bestellt, so ist auch dieser namentlich zu nennen.
  3. Anschrift der verantwortlichen Stelle
  4. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
    • Hier muss genau beschrieben werden, zu welchem Zweck die Daten angefragt und verwendet werden. Möglichst unter Angabe der rechtlichen Grundlagen.
    • Daten, die nicht zur Zweckerfüllung benötigt werden, dürfen nicht so ohne weiteres erhoben werden.
    • Beispiele: Angabe der Schuhgröße ist für eine Parteimitgliedschaft nicht erforderlich und darf daher nicht angefragt werden. PartG §10 sagt, dass nur Personen, die das Wahlrecht besitzen, Mitglied einer Partei werden dürfen. Daher dürfen für die Aufnahme von Mitgliedern die Angaben zum Geburtsdatum sowie zur Staatsangehörigkeit angefragt werden.
  5. Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
    • Beispiele: Personengruppe: Mitarbeiter, Daten: Name, Anschrift, Geburtsdatum, Bankverbindung, Sozialversicherungsnummer, Krankenkasse, Steuer-ID
    • Anderes Beispiel: Personengruppe: Mitglieder, Daten: Name, Wohnort, E-Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, SEPA-Mandat
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
    • das können sein: der Bundesverband, bestimmte Kreisverbände, Landes- bzw. Bundesschiedsgericht, Datenschutzbeauftragter, Betriebsrat, weitere Vorstandsmitglieder (über das leitende Vorstandsmitglied hinaus), Steuerberater, Gerichte, Anwälte (z.B. bei einem Arbeitsprozess) usw.
  7. Regelfristen zur Löschung
    • Daten sind nach Zweckerfüllung umgehend zu löschen bzw. zu vernichten, es sei denn ein anderes Gesetz verlangt die Aufbewahren. Dann sind sie umgehend zu sperren und nach Ende der Aufbewahrungsfrist umgehend zu löschen bzw. zu vernichten.
    • Es dürfen nur und ausschließlich die Daten aufgehoben werden, die für die Erfüllung der Aufbewahrungsfrist anderer Gesetze erforderlich sind.
    • Beispiel: Das Steuerrecht verlangt eine Aufbewahrungsfrist von 10 Jahre - Das SEPA-Mandat eines Ex-Mitgliedes muss 10 Jahre lang aufbewahrt werden, das Geburtsdatum des Mitgliedes sollte gleich nach Überprüfung des Alters für das Wahlrecht gelöscht / vernichtet werden.
    • In diesem Punkt muss genau festgelegt werden, welches Datum wann und wie gelöscht / vernichtet wird
  8. Eine geplante Datenübermittlung in Drittstaaten
    • In der Regel haben wir keine personenbezogenen bzw. personenbeziehbaren Daten, die wir an Drittstaaten übermitteln
  9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach $9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
    • Dieser Punkt ist aus Gründen der Sicherheit nicht öffentlich
    • Hier werden die technischen und organisatorischen Maßnahmen (TOM) nach BDSG §9 sowie der Anlage zu §9 Satz 1 beschrieben.
    • Dieser Punkt regelt:
      • Wie der Zutritt zu den Räumen kontrolliert wird
      • Wie die Zugänge zu Maschinen kontrolliert werden
      • Wie die Zugriffe auf Datensätze und Akten kontrolliert werden
      • Sicherheitsmaßnahmen für den Transport und die Übertragung der Daten
      • wer, wann und wie Daten eingibt / ablegt bzw. verarbeitet
      • welche Maßnahmen ergriffen werden, um zu kontrollieren, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend der Weisungen des Auftraggebers verarbeitet werden
      • Welche Maßnahmen zum Schutz gegen Zerstörung und Verlust der Daten getroffen werden (z.B. Backup, Replikation, ...)
      • Welche Maßnahmen ergriffen werden, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

Verfahrensverzeichnisse

Leider wurde in der Vergangenheit die Vorabkontrolle versäumt. Die Verfahrensverzeichnisse sind noch in Bearbeitung, damit schnellstmöglich eine Vorabkontrolle nachgeholt werden kann.

Erläuterung der Aktenzeichen für Verfahrensverzeichnisse

  • Das Aktenzeichen für ein Verfahrensverzeichnis beginnt mit vv (Abk. für Verfahrensverzeichnis) gefolgt von einem Unterstrich.
  • Die erste Zahl hinter dem Unterstrich zeigt die Nummer der Kategorie an. Folgende Kategorien wurden festgelegt:
    1. Personalwesen / Mitarbeiterverwaltung
    2. Verwaltung von und Informationen zu Beauftragten und Organen
    3. Verwaltung von Mitgliedern
    4. Verwaltung von E-Mail-Adressen und Accounts anderer Kommunikatonslösungen
    5. Verwaltung von Informations- und Diskussions-Mailinglisten
    6. Verwaltung von E-Mails an Personengruppen
  • Am Ende folgt ein bei 1 beginnender, fortlaufender dreistelliger Ziffernblock als eindeutige Identifizierung der den Kategorien zugeordneten, einzelnen Verfahrensverzeichnissen

Tätigkeitsberichte