Datenschutz
in der Verwaltung

Datenschutz und Schweigepflicht - Gemeinsamkeiten

Auch in der Verwaltung sind Verschwiegenheit und Vertraulichkeit Voraussetzungen für gesetzkonformes Handeln. Grundsätzlich unterliegen alle Personen, die im Verwaltungsbereich arbeiten der Pflicht zur Verschwiegenheit und Vertraulichkeit, die auch als betriebliche Vereinbarung und/oder persönliche Verpflichtung festgeschrieben wird. Die Verpflichtung auf das Datengeheimnis ist in §53 BDSG festgeschrieben und definiert:

„Mit der Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.“

§ 53 BDSG

Der Datenschutz ist daher eng verwandt mit der Pflicht zur Verschwiegenheit, gründet aber auf dem Recht zur informationellen Selbstbestimmung und ist seit Mai 2018 durch die EU-DS-GVO in europaweit gültiges Recht gefasst. Beide Themenbereiche sind ein Hygienefaktor für Vertrauen und Sicherheit und betreffen direkt die Reputation der Einrichtung.

Die Schweigepflicht dient im weiteren Sinn dem Schutz des persönlichen Lebens- und Geheimnisbereichs einer Person und leitet sich vom Recht auf informationelle Selbstbestimmung ab.Das

Ziele des Datenschutz

  • Achtung des informationellen Selbstbestimmungs­rechts des Betroffenen.
  • Schützen des Vertrauensverhältnis zwischen Kunden, Mitarbeitern und dem Unternehmen.
  • Erfüllung aller gesetzlichen Vorgaben.
  • Verhinderung unberechtiger Zugriffe auf alle personenbe­zogene Daten durch unberechtigte Dritte, unabhängig davon, ob analog oder digital verarbeitet wird.

Unsere Pflichten

  • Das Recht auf informationelle Selbstbestimmung muss gewahrt werden. Das bedeutet, in der Regel sind Speicherung, Verarbeitung, Nutzung und Weitergabe von personenbezogenen Daten nur dann zulässig, wenn diese für die Durchführung der Behandlung vonnöten und der/dem Betroffenen von Nutzen sind. Darüber hinausgehende Infor­mationen dürfen oftmals nur mit Zustimmung der/des Betroffenen gesammelt werden.
  • Personenbezogene Daten dürfen nicht an unbefugte Dritte weitergegeben werden. Auch Kollegen dürfen Akten und Daten nur einsehen, wenn sie sie für ihre Arbeit benötigen.
  • Der Datenschutz greift auch gegen­über Dritten. Diese sind per se nicht befugt, sämtliche Informationen zu erhalten. Es bedarf in der Regel hierfür der Einwilligung der Betroffenen.
  • Grundsätzlich müssen personenbezogene Daten unzugänglich für unbefugte Dritte aufbe­wahrt werden.
  • Unbefugten Dritten sollte kein freier Zutritt zur Ein­richtung gewährt werden.
  • Mitarbeiter sollten nicht vor Dritten über die personenbezogenen Daten von Kunden oder anderen Mitarbeitern sprechen, es sei denn es liegt eine Einwilligung, eine gesetzliche Regelung oder ein berechtigtes Interesse des Betroffenen vor.

Praktische Anwendung

Nachfolgend Anleitungen und Hilfestellungen zur Umsetzung und Einhaltung unserer Datenschutzrichtlinien.

Hinweis: bitte die jeweiligen Punkte anklicken. Danke.

Eine Clean-Desk-Policy ist – übersetzt – eine Strategie des aufgeräumten Arbeitsplatzes.

Das bedeutet, dass jeder Mitarbeiter Dokumente und Daten vor nicht autorisierten Zugriffen von innen und außen schützt. Eine Clean-Desk-Policy reduziert das Risiko von Datenschutzverletzung durch die unbeabsichtigte Zugänglichmachung von personenbezogenen Daten.

Sobald ein Arbeitsplatz für längere Zeit nicht besetzt ist, tritt folgende Regelung in Kraft:

  • Alle sensiblen und vertraulichen Dokumente müssen vom Schreibtisch entfernt und in eine Schublade oder einen Rollcontainer verstaut werden. Dies gilt auch für Speichermedien wie USB-Sticks oder CDs und DVDs.
  • Jeglicher Papiermüll, der sensible oder vertrauliche Informationen enthält, muss in den dafür bereitgestellten Datenmüllbehälter entsorgt werden. Unter gar keinen Umständen sollten solche Daten in den üblichen Müll gelangen. Am Ende des Arbeitstages werden die Computerarbeitsplätze gesichert.
  • Dazu gehört, dass sämtliche Laptops, Tablets und Massenspeichergeräte in Schubladen oder Rollcontainer deponiert und verschlossen werden. Die jeweiligen Schlüssel sollten nicht an der Schublade oder dem Rollcontainer vergessen werden. Gleiches gilt für Drucker und Faxgeräte: Hinterlassen Sie keine ausgedruckten Daten mit vertraulichen Informationen dort.

Hinweis: Die Einhaltung dieser Regelung wird von den Leitungskräften und vom Datenschutzbeauftragten stichprobenartig kontrolliert werden.

 

Portable IT-Hardware wird nur mit Erlaubnis der jeweiligen Abteilung- und IT-Leitung außer Haus benutzt. Entsprechende Handlungsanweisungen müssen beachtet werden.

Private Smartphones dürfen nur mit Genehmigung für dienstliche Zwecke genutzt werden.

Gespräche

  • Fallbesprechungen und Kunden-/Klientengespräche etc. finden nur hinter verschlossenen Türen statt.
  • Externe Partner, die in den Büros arbeiten (Dienstleister) werden auf Beachtung der Datenschutz-Grundsätze hingewiesen.
Zugänge
  • Passwörter sind personalisiert und dürfen nicht weitergegeben werden. Wird Zugriff auf ein passwortverschlüsseltes System und darin verwaltete Daten benötigt, wird von der IT-Abteilung nach Absprache mit der jeweiligen verantwortlichen Person, ein Zugang eingerichtet.
  • Details zum Stichwort Passwort (Wahl, Nutzung, Verwendung) gibt es hier: Passwort
  • In Druckern und Faxgeräten dürfen keine Drucker­zeugnisse liegen gelassen werden.
  • USB-Sticke und/oder Daten, die auf USB-Sticks angeliefert werden müssen erst in sicherer Umgebung durch die IT-Abteilung geprüft werden.
  • Drucksachen, die nicht mehr benötigt werden, sollten umgehend geschreddert werden.
  • Räume, in denen eine Datenhaltung stattfindet, sollten verschlossen gehalten werden (Zutrittskontrolle).
  • Schlüssel sollten sicher verwahrt werden und nur von befugten Personen genutzt werden (Schlüsselregelung).
  • Bei vermuteten Datenschutzverletzungen müssen der/die Verantwortlichen und der Datenschutzbeauftragte informiert werden.
1. Den Absender kennen

E‐Mail‐Absenderadressen können gefälscht sein. Versichern Sie sich deshalb bei wichtigen Mitteilungen oder zweifelhaftem Inhalt beim Absender über deren Korrektheit. Grundsätzlich werden Mails, die verdächtig erscheinen, werden sofort an die IT-Abteilung gemeldet. Verdächtige Anhänge werden nicht geöffnet.

2. Deaktivierte Autovorschau/E ‐ Mail ‐ Vorschau

Die „E‐Mail‐Vorschau“/“Autovorschau“ sollte deaktiviert sein. E‐Mails werden so nicht schon im Voraus geöffnet und schädliche Software kann sich nicht sofort auf dem Computer verbreiten.

3. Phishing

Seriöse Institute, Provider, Dienstleister und Einrichtungen fragen nie nach Ihren Zugangsdaten zum Online‐Banking oder Ihren Kreditkartendaten – schon gar nicht per E‐Mail. Antworten Sie nicht auf solche Anfragen und löschen Sie die entsprechenden E‐ Mails, ohne die angegebene Internetseite anzuklicken. Es könnte sich um einen Versuch handeln, mittels Phishing an persönliche Daten heranzukommen.

4. Spam ‐ / Junk ‐ Mails

Reagieren Sie unter keinen Umständen auf Spam‐/Junk‐Mails, denn damit würden Sie bestätigen, dass die E‐ Mail an eine korrekte Adresse gesandt wurde. In der Folge würde die Anzahl an Spam‐Mails in Ihrem Posteingang weiter zunehmen. Tragen Sie sich nicht in Adressverzeichnisse von Gratisanbietern ein; Ihre Adressen geraten dort leicht in die falschen Hände.

Datenschutz-Online-Kurs

Alle Informationen zum Datenschutz-Online-Kurs der verpflichtend für alle Mitarbeiter des Kv BK ist, finden Sie hier: Datenschutz-Online-Kurs

Online-Datenschutz-Kurs

Online-Datenschutz-Kurs des Kreisverband Bad Kreuznach e.V. - via DRK-Lerncampus.

Hinweis:

Auf der folgenden Seite werden ihnen alle Details und alle notwendigen Informationen zum Kurs-Angebot gegeben. Dieser Kurs ist für alle Mitarbeiter des Kreisverband Bad Kreuznach e.V. verpflichtend:
weiter ...