Web_S&E_2_2018_ub

Schützen & Erhalten · Juni 2018 · Seite 79 Informationen des Bundesverbandes Feuchte & Altbausanierung e.V. BuFAS-News troffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, se- xuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychothera- peutische Praxis, die solche Da- ten in der Patientenakte speichert, braucht also einen Datenschutzbe- auftragten. Übrigens: Die Fähigkeit des Daten- schutzbeauftragten muss sicher- gestellt sein, beispielsweise durch IHK-Weiterbildungen. Wer mit besonders sensiblen Da- ten arbeitet, muss damit beson- ders umsichtig umgehen und un- ter Umständen die oben erwähnte Datenschutz-Folgeabschätzung durchführen. Vorgesehen ist es, dass die Da- tenschutzbehörden eine Liste he- rausgeben, in denen aufgezählt ist, welche Datenverarbeitungs- vorgänge eine Datenschutz-Fol- geabschätzung voraussetzen – die gibt es bisher nicht, daher muss im Einzelfall entschieden werden muss. Ziel der Datenschutz-Folge- abschätzung ist, die Risiken für die Persönlichkeitsrechte zu kennen. Und wer wirklich alles berücksich- tigt hat, der sollte daran denken, dass abschließend alle oben aufge- führten Anstrengungen dokumen- tiert werden müssen. Denn selbst bei Datenlecks oder Verstößen wie fehlerhafte Datenschutzerklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davon- zukommen. Dafür müssen die Un- terlagen auf Anfrage umgehend vorgelegt werden können. Antworten auf folgende Fragen sind bei der Umsetzung hilfreich: Welchen Weg schlagen Sie ein, um Kunden über die Verarbeitung ihrer Daten zu informieren? Welche Antworten geben Ihre Mitarbeiter, wenn Kunden nach der Speicherung ihrer Daten fragen? Wie geht der Prozess vonstatten, wenn Ihre Kunden darauf be- harren, dass die Daten gelöscht werden? Wer zeichnet dafür ver- antwortlich? Welche Vorgehensweise schlagen SIe ein, wenn es zu einem Daten- leck kommt und dabei möglicher- weise personenbezogene Daten an die falsche Adresse geraten? Hier ist Vorsicht geboten: Innerhalb von 72 Stunden muss die zuständige Landesdaten- schutzbehörde informiert werden, etwa bei einem Hacker-Angriff. Wie organisieren Sie den Lösch- prozess, wenn das Ziel erreicht ist, warum Daten gespeichert wur- den? Dies trifft beispielsweise bei einem Gewinnspiel nach Ermitt- lung der Gewinner zu. Wie ist Ihre Vorgehensweise zur Schulung der Mitarbeiter, damit sie alle Prozesse kennen und um- setzen können? Rechtmäßigkeit Speicherbegrenzung Richtigkeit Daten- minimierung Zweckbindung Rechenschaftspflicht Richtlinien zur Datenverarbeitung Integrität und Vertraulichkeit