Weitergabekontrolle

Trennlinie

Weitergabekontrolle oder
An wen und wie geben Sie Daten weiter?

Hannover im März 2015 von Ulrike Hauser

Gesetzestext - Anlage zu § 9 Satz 1 Nr. 4

Das BDSG sagt: „Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, …"

Um folgende Kontrollmaßnahmen handelt es sich dabei:

1. Zutrittskontrolle

2. Zugangskontrolle

3. Zugriffskontrolle

4. Weitergabekontrolle

5. Eingabekontrolle

6. Auftragskontrolle

7. Verfügbarkeitskontrolle

8. Trennungsgebot

Das BDSG formuliert die Weitergabekontrolle so […] 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist […]

Es geht bei der Weitergabekontrolle um …

Verantwortliche Stelle:
Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).

Verhältnismäßigkeit:
Jede Maßnahme, die Sie ergreifen, um Ihre Daten zu schützen, sollte in ihrem Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzziel stehen. Vermeiden Sie es, mit Kanonen auf Spatzen zu schießen!

Die verantwortliche Stelle sind Sie!

Für die personenbezogenen Daten, die in einer Organisation erhoben, verarbeitet und genutzt werden, ist die Organsiationsleitung als so genannte verantwortliche Stelle, verantwortlich. Natürlich ist sie dabei auf die Unterstützung durch ihre Mitarbeiter angewiesen, welche die geltenden Regelungen einhalten sollten.

Es gehört zum normalen Geschäftsalltag, dass Sie Daten weitergeben. Die üblichen Empfänger personenbezogener Daten einer Kanzlei sowie die Beweggründe sehen Sie in der oben stehenden Abbildung.

Die üblichen Empfänger personenbezogener Daten einer Organisation sowie die Beweggründe


Bitte klicken Sie auf die Grafik, um sie zu vergrößern.
Die üblichen Empfänger personenbezogener Daten einer Organisation sowie die Beweggründe

Praxistipps zur Weitergabekontrolle

  • Beauftragen sie Dienstleister mit der Verarbeitung ihrer Daten, ist es gesetzlich vorgeschrieben, dass sie einen so genannten „Vertrag zur Auftragsdatenverarbeitung“ schließen. In diesem Vertrag wird festgehalten, dass ihr Auftragnehmer in ihrem Sinne und ihrem festgelegten Schutzniveau ihre Daten verarbeitet.

  • Wie transportieren sie wichtige und vertrauliche Briefe, Akten oder sonstige Datenträger? Ganz „normal“ mit der Post? Per Einschreiben oder mittels Kurier? Oder übergeben sie besonders sensible Schriftstücke nur persönlich an den Empfänger? Überlegen sie lieber einmal länger, welches der sicherste Weg ist, bevor die Daten in die falschen Hände gelangen.

  • Wenn sie nicht die gesamte E-Mail verschlüsseln wollen, verschlüsseln sie das anhängende Dokument. Das Kennwort können sie dann dem rechtmäßigen Empfänger per Telefon mitteilen. Eine andere Möglichkeit ist das Nutzen einer Austauschplattform, wie z.b. das Mandantenportal. Dabei werden die Daten auf einem Server abgelegt und von dort runtergeladen. Dies geschieht jeweils über eine verschlüsselte Verbindung.

  • Mehmen sie sich fünf Minuten Zeit, und schauen sie ihre öffentlichen Laufwerke durch. Liegen dort vielleicht fälschlicherweise vertrauliche Dokumente oder Briefe? Auch Zeit- oder Überstundenlisten sollten besser in einem nicht-öffentlich zugänglichen Bereich abgelegt werden.