§ 42 BDSG Strafvorschriften

  1. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,
    1. einem Dritten übermittelt oder
    2. auf andere Art und Weise zugänglich macht

    und hierbei gewerbsmäßig handelt.

  2. Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
    1. ohne hierzu berechtigt zu sein, verarbeitet oder
    2. durch unrichtige Angaben erschleicht

    und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

  3. 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.
  4. Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

Passende Artikel der DSGVO

Art. 84 DSGVO Sanktionen

Was droht wenn die Richtlinien der DSGVO nicht eingehalten werden?

Verstoß gegen den Datenschutz

Wird  ein Verstoß festgestellt, so kann  ein Bußgeld  bis zu 4 % vom Umsatz verhängt werden. Ein Verstoß liegt bereits vor, wenn auf Verlangen keine eindeutigen Auskünfte gem. BDSG an Mitarbeiter oder Kunden gemacht werden. Zudem haben Mitbewerber die von einem Verstoß Kenntnis erlangen, die Möglichkeit zu einer Abmahnung.

Wissen Sie Bescheid?

  • Was ist bei der Montage der Kameras zu berücksichtigen?
  • Welche Richtlinien müssen eingehalten werden?
  • Welche Maßnahmen sind vor der Installation der Kameras zu treffen?
  • Wann entspricht die Videoüberwachung dem Datenschutz?
  • Wer ist verantwortlich für die Datenschutzdokumentation?

Videoüberwachung für öffentlich zugängliche Verkaufsräume – Wissen Sie welche gesetzlichen Bestimmungen Sie bei einer Videoüberwachung beachten müssen?

  • Wissen Sie, ob Sie einen betrieblichen Datenschutzbeauftragten benötigen?
  • Wissen Sie, welche Kenntnisse der Datenschutzbeauftragte haben muss?
  • Wissen Sie, wie lange Sie Videobilder speichern dürfen?
  • Wissen Sie, wo keine Überwachungs-Kameras installiert werden dürfen?
  • Wissen Sie, welche Unterlagen Sie erstellen und vorweisen müssen?
  • Wissen Sie, wie sie Ihre Mitarbeiter informieren müssen?
  • Wissen Sie, wie Sie Ihre Kunden  informieren müssen ?

Häufig gestellte Fragen – wir haben die Antworten

  • Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?
  • Was bedeutet Zweckbindung für Videokameras?
  • Welche Aufgaben nimmt ein Datenschutzbeauftragter wahr?
  • Wer kontrolliert die Erfüllung der gesetzlichen Vorgaben?
  • Wie hoch ist das Bußgeldrisiko?
  • Was ist das Recht auf informationelle Selbstbestimmung ?
  • Gibt es ein Auskunftsrecht über personenbezogene Daten?
  • Was ist ein Verfahrensverzeichnis ?
  • Wer ist Ansprechpartner in datenschutzrechtlichen Angelegenheiten?
  • Was ist ein Datenschutzhinweis?

 

Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewehrtes Kontroll-Risiko. Seit September 2009 haben die Aufsichtsbehörden die Möglichkeit, bei der Festlegung der Bußgeldhöhe die durch die Nicht-Einhaltung dieser Vorschrift eingesparten Kosten in voller Höhe zu berücksichtigten. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert

Der externe Datenschutzbeauftragte

Weshalb ist ein externer Datenschutzbeauftragter empfehlenswert und kostengünstiger?

Die nicht datenschutzkonforme Videoüberwachung führt zu einer Verletzung des allgemeinen Persönlichkeitsrechts, der informationellen Selbstbestimmung oder des Rechts am eigenen Bild und kann Ersatzansprüche, z.B. nach zivilrechtlichen Vorschriften § 823 und §1004 BGB Bürgerliches Gesetzbuch, § 22 Kunsturhebergesetz, sowie zusätzlich noch Bußgeld und Strafen, z.B. nach § 43 und § 44 BDSG oder § 201a Strafgesetzbuch auslösen.

Die Landesdatenschutzbehörde in NRW hat 2016 gegen Mr. Wash ein Bußgeld in Höhe von 64.000 EUR verhängt,  das sich allerdings aus zwei Komponenten zusammensetzt. Zum einen wurde wegen der unzulässigen Videoüberwachung 54.000 EUR fällig, darüber hinaus belegte die Behörde das Unternehmen aber noch mit einem zusätzlichen Bußgeld in Höhe von 10.000 EUR, weil es trotz gesetzlicher Erforderlichkeit keinen betrieblichen Datenschutzbeauftragten bestellt hatte.

Jedes Unternehmen muss einen Datenschutzbeauftragten bestellen, wenn im Geschäft eine Videoüberwachung installiert ist oder mehr als neun Personen (inkl. Inhaber/Geschäftsführung) an der Kasse z.B. Zahlungen per elektronischem Lastschriftverfahren und EC- oder Kreditkarte abwickeln!

Problematisch für die Geschäftsinhaber: Weder Inhaber, Gesellschafter, noch Personen in leitender Funktion können wegen möglicher Interessenkollision zum Datenschutzbeauftragten bestellt werden. Und die Bestellung eines „einfachen“ Mitarbeiters ist ebenfalls problematisch, da zum einen eine gründliche Qualifizierung und Weiterbildung erforderlich ist und zum anderen der Datenschutzbeauftragte einen erweiterten Kündigungsschutz, vergleichbar mit dem eines Betriebsrats, genießt und von der Aufgabe auch kaum noch entbunden werden kann.

So ist ein externer Datenschutzbeauftragter eine durchaus empfehlenswerte Lösung.

Wir machen bei Ihnen im Hause eine Analyse und bieten ihnen folgende Dienstleistungen an:

Unser Angebot zur Beseitigung von Datenschutzmängeln

  1. Hinweisschild DIN A5 „Videoüberwachung“ gem. Datenschutzgesetz
  2. Hinweis- und Sanktionsschild gegen Warendiebstahl gem. Datenschutzgesetz (ohne Sanktionshinweis sind Gebühren etc. bei Ladendiebstahl nicht zulässig)
  1. Checkliste zur Erstellung einer Datenschutzdokumentation für Videoanlagen In öffentlich zugänglichen Verkaufsräumen.
  2. Auftrag zur Erstellung einer Datenschutz-Dokumentation über eine Videoüberwachungsanlage gem. BDSG und DSGVO. Wir kommen zum Festpreis zu Ihnen vor Ort.
  3. Auftrag zum externen betrieblichen Datenschutzbeauftragten. Wir werden ihr externer betrieblicher Datenschutzbeauftragter und nehmen Ihnen die ganze Arbeit ab.

 

 

Sigel Datenschutz geprüft ein Gütesigel Datenschutz Im Einzelhandel

 

Die Videoüberwachung und der Datenschutz

Sie haben eine Videoüberwachung in Ihrem Laden/Lokal installiert

Und wir haben das Datenschutzpaket dazu

Wenn Ihre Videoüberwachung nicht datenschutzkonform ist, kann Folgendes passieren:

  1. Mitarbeiterkönnen Sie vor dem Arbeitsgericht verklagen und  Schmerzensgeld  verlangen, wenn sie mit der Videoanlage nicht einverstanden sind.
  1. Kundenkönnen Sie wegen  Verletzung des allgemeinen   Persönlichkeitsrechts verklagen.
  1. Mitbewerberkönnen Sie  wegen Wettbewerbsverstoß abmahnen
  1. Die Datenschutzbehördekann ein Bußgeld ab 2500 € festsetzen.

(Beispiel Mr. Wash: 64 000 € Bußgeld)

 

Ja zum Datenschutzpaket

Billiger ist auf jeden Fall ein komplettes Datenschutzpaket mit Zertifikat und allen Unterlagen, damit Ihre Videoüberwachung datenschutzkonform gemacht werden kann.

 

I. DSGVO-Datenschutzpaket Einzelhandel

Wir erledigen das komplette Datenschutzmanagement für Sie. Damit ist Ihre Videoanlage rechtssicher und für den Datenschutzbeauftragten vorbereitet.

Preis 880 €

 

II. Ihr externer Datenschutzbeauftragter 

Wir erstellen alle Unterlagen, Leit-faden, DSGVO Datenschutz-paket und sind Ihr externer Datenschutz-beauftragter. Damit sind Sie alle Sorgen los.

Preis 1480 €

Eine nicht datenschutzkonforme Videoüberwachung führt zu einer Verletzung

  • des allgemeinen Persönlichkeitsrechts
  • der informationellen Selbstbestimmung
  • des Rechts am eigenen Bild

und kann Ansprüche, z.B. nach zivilrechtlichen Vorschriften § 823 und  §1004 BGB und  § 22 + 33 Kunsturhebergesetz, sowie zusätzlich noch Bußgeld und Strafen, z.B. nach § 43 und § 44 BDSG oder § 201a Strafgesetzbuch auslösen.

Die Auskunftspflicht

  1. Wissen Sie was im § 34 BDSG steht?
  1. Wissen Sie welche Auskünfte über Ihre Videoüberwachung Sie einem Besucher  geben müssen?
  2. Wissen Sie, dass sich strafbar machen, wenn Sie keine Auskünfte geben oder keinen betrieblichen Datenschutzbeauftragten bestellt haben?

Falls Sie diese Fragen mit NEIN beantwortet haben, sollte Sie schnell unser Datenschutzpaket in Auftrag geben, denn bereits morgen könnte es zu spät sein und Sie bezahlen nicht nur Bußgeld, sondern müssen die Videoanlage auch sofort abbauen.

1.Auskunftsrecht

Das Auskunftsrecht steht jedem Betroffenen zu, d.h. jeder bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG) . Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.

2.Die Voraussetzungen des Auskunftsanspruchs

Gemäß § 34 Abs.1 BDSG gilt, dass die „verantwortliche Stelle“ dem Betroffenen auf Verlangen Auskunft zu erteilen hat über

  • die zu seiner Person gespeicherten Daten
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden
  • den Zweck der Speicherung.

„Verantwortliche Stelle“ ist dabei gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hinweis: Ausnahmen vom Auskunftsanspruch bestehen nur in wenigen Fällen (z.B. gemäß § 34 Abs.7 BDSG)

Wenn in einem  Geschäft eine Videoüberwachung installiert ist oder mehr als neun Personen (inkl. Inhaber oder Geschäftsführung) an der Kasse z.B. Zahlungen per elektronischem Lastschriftverfahren und EC- oder Kreditkarte abwickeln, muss jedes Unternehmen einen betrieblichen Datenschutzbeauftragten  bestellen.

Achtung:  Weder Inhaber, Gesellschafter, noch Personen in leitender Funktion können wegen möglicher Interessen-kollision zum Datenschutzbeauftragten bestellt werden. Und die Bestellung eines Mitarbeiters ist problematisch, da zum einen eine gründliche Qualifizierung erforderlich ist und zum anderen der Datenschutzbeauftragte einen erweiterten Kündigungsschutz, vergleichbar mit dem eines Betriebsrates, genießt und von der Aufgabe auch kaum noch entbunden werden kann. So ist ein externer Datenschutzbeauftragter eine durchaus empfehlenswerte Lösung.

Sie erhalten von  uns kostenlos einen Fragebogen, mit dem Sie feststellen können, ob Ihre Videoanlage datenschutzkonform ist. Sollten Sie Verstöße gegen den Datenschutz entdecken,  können wir Ihnen verschiedene Dienstleistungen anbieten, um diese Datenschutzverletzungen zu beseitigen.
Fordern Sie hier ihren Fragebogen an: daten (at) efdat.de

Mindestanforderungen an den Datenschutzbeauftragten

Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)

 

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben bei der Kontrolle verantwortlicher Stellen festgestellt, dass Fachkunde und Rahmenbedingungen für die Arbeit der Beauftragten für den Datenschutz (DSB) in den verantwortlichen Stellen angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personenbezogenen Daten nicht durchgängig den Anforderungen des BDSG genügen.

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass die Aus- und Belastung der DSB maßgeblich beeinflusst wird durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Besonderheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezogenen Daten. Veränderungen bei den vorgenannten Faktoren führen regelmäßig zu einer proportionalen Mehrbelastung der DSB.

Nachfolgende Mindestanforderungen sind zu gewährleisten:

 

  1. I. Erforderliche Fachkunde gemäß 4f Abs. 2 Satz 1 BDSG
  • 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Weitere Ausführungen dazu enthält das Gesetz nicht. Vor dem Hintergrund der gestiegenen Anforde- rungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrecht- liche und technisch-organisatorische Kenntnisse verfügen:
  1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der ver- antwortlichen Stelle
  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.
  1. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
  • Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Da- tensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
  • betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanz- wesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wech- selwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablauf- struktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumenta- tion, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicher- heitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

 

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt des Bestellung zum DSB im ausreichenden Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt sein. Um eventuell zu Beginn der Bestellung noch bestehende Informationsdefizite auszugleichen, empfiehlt sich der Besuch von geeigneten Fortbildungsveranstaltungen. Der Besuch solcher Veranstaltun- gen ist auch nach der Bestellung angezeigt, um auf dem aktuellen, erforderlichen Informati- onsstand zu bleiben, und um sich Kenntnisse über die sich ändernden rechtlichen und tech- nischen Entwicklungen anzueignen.

 

II. Anforderungen an die Unabhängigkeit der/des Beauftragten gem. 4f Abs. 3 BDSG

 

Gemäß § 4f Abs. 3 Satz 2 BDSG sind DSB in Ausübung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Um die Unabhängigkeit der DSB zu gewährleisten, sind eine Reihe betriebsinterner organisatorischer Maßnahmen erforderlich:

  1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittel- bar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch ent- sprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Re- gelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.
  2. DSB dürfen wegen der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäf- tigungsverhältnis, auch für den Fall, dass die Bestellung zum DSB widerrufen wird, nicht benachteiligt werden (vgl. § 4f Abs. 3 Satz 3 ff BDSG).Analog muss bei der Bestellung von externen DSB der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird. § 4f Abs. 3 BDSG schränkt insoweit die grundsätzliche Vertragsfreiheit ein. Empfohlen wird grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren empfohlen.
  3. Datenschutzbeauftragte sind zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit sie nicht davon durch die Betroffenen befreit wurden. Dies gilt auch gegenüber der verantwortlichen Stelle und deren Leiter (§ 4f Abs. 4 BDSG).

 

III. Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fach- kunde und Unabhängigkeit des DSB

  1. Die Prüfpflichten der DSB (vgl. § 4g BDSG) setzen voraus, dass ihnen die zur Aufga- benerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden.
  2. DSB müssen in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden. Sie führen das Verfahrensverzeichnis (§ 4g Abs. 2 BSDG) und haben hierfür die erforderlichen Unterlagen zu erhalten.
  3. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die verantwortlichen Stellen den DSB die Teilnahme an Fort- und Weiterbildungsveran- staltungen zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von externen DSB kann die Fortbildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich erbracht werden.
  4. Internen DSB muss die erforderliche Arbeitszeit zur Erfüllung ihrer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestellung eines externen DSB muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in an- gemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst er- bracht werden. Ein angemessenes Zeitbudget sollte konkret vereinbart und vertrag- lich festgelegt sein.
  5. Die verantwortlichen Stellen haben DSB bei der Erfüllung ihrer Aufgaben insbesonde- re durch die zur Verfügung Stellung von Personal, Räumen, Einrichtung, Geräten und Mitteln zu unterstützen (§ 4f Abs. 5 BDSG).

 

Vorabkontrolle

Vorabkontrolle der Videoüberwachung zur Prüfung des Zweckes

2.2.1. Verfahrensverzeichnis, Vorabkontrolle, Sicherungspflichten

Vor Beginn der Videoüberwachung ist seitens der verantwortlichen Stelle der konkrete
Zweck der Überwachungsmaßnahme (vgl. Nr. 2.1.3.1.) schriftlich festzulegen. Zudem
sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG), um die Sicherheit
der Daten zu gewährleisten. Vor der Inbetriebnahme einer Videoüberwachung ist eine Vorabkontrolle nach § 4d Absatz 5 BDSG erforderlich, wenn bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist. Nach der Gesetzesbegründung bestehen besondere Risiken, wenn Überwachungskameras „in größerer Zahl und zentral kontrolliert eingesetzt werden“ (BT-Drs. 14/5793, S. 62). Der betriebliche Datenschutzbeauftragte hat gemäß § 4d Absatz 6 BDSG die Vorabkontrolle durchzuführen und das Ergebnis sowie die Begründung schriftlich
zu dokumentieren.

Unabhängig von der Durchführung einer Vorabkontrolle ergibt sich das Erfordernis der
vorherigen Zweckbestimmung aus § 6b Absatz 1 Nr. 3 BDSG, wenn die Videoüberwachung zur Wahrnehmung berechtigter Interessen erfolgt. Darüber hinaus ist für Verfahren,
die automatisiert Daten verarbeiten, eine Verfahrensübersicht zu erstellen (vgl. § 4g Absatz 2 und 2a BDSG). Eine Videoüberwachung ist jedenfalls dann, wenn sie mittels digitaler Technik erfolgt, als automatisierte Verarbeitung zu qualifizieren. Welche Angaben in diese Übersicht aufgenommen werden müssen, zählt § 4e Satz 1 BDSG verbindlich und abschließend auf. Der dort geforderten allgemeinen Beschreibung der technisch-organisatorischen Maßnahmen zum Schutz der Daten kommt bei der Videoüberwachung besondere Bedeutung zu. Die Videobilddaten unterliegen wegen der sich aus einer unsachgemäßen Handhabung möglicherweise für den Betroffenen ergebenen Beeinträchtigungen entsprechend hohen Schutzkontrollen sowohl hinsichtlich des Zutritts, Zugangs und Zugriffs.

 

Maßnahme Bäckerei   Kassen-Videoüberwachung ja nein
Ist eine Verfahrensdokumentation vorgelegt worden, die den Zweck des Verfahrens klar erläutert? x
Liegt ein Datenmodell oder eine Betriebsvereinbarung vor? x
Stehen die Art der Daten, die verarbeitet werden, die Zweckbestimmung, die erfassten Personengruppen und die Empfänger der Daten im Einklang mit dem BDSG? x
Welche Dialog-Transaktionen mit personenbezogenen Daten sollen ausgeführt werden? Bildübertragung per CMS-

Software zu den berechtigten Personen

Welche Reportingfunktionen sind vorgesehen? Suche nach Storno
Wer sind die Anwender des Verfahrens? Herr A und Frau B
Sollen Auftragsdatenverarbeiter (§ 11 BDSG), also insbesondere Dienstleister, eingeschaltet werden? x
Liegen die erforderlichen Verträge vor? x
Ist nach der Verfahrensdokumentation sichergestellt, dass der Betroffene über das Verfahren informiert wird bzw. ihm auf Nachfrage die erforderlichen Auskünfte gegeben werden können und Berichtigungen, Sperrungen und Löschungen möglich sind? x
Sind die Spezialvorschriften für automatisierte Einzelentscheidungen (§ 6a BDSG), für den Videoeinsatz in öffentlich zugänglichen Räumen (§ 6b BDSG) und für Chipkarten (§ 6c BDSG) beachtet? x
Ist eine Datenübermittlung in Drittstaaten geplant? x
Wenn ja, ist diese zulässig?
Welche Folgen hat eine missbräuchliche Verwendung der sensiblen Daten? Nicht möglich, Daten zugangsgesichert
Liegt ein Datensicherheitskonzept vor, das entsprechend der Sensibilität der Daten Risiken für die Vertraulichkeit, Integrität, Verfügbarkeit und Revisionsfestigkeit hinreichend sicher verhindert? x
Sind insbesondere die erforderlichen Maßnahmen für die Sicherung des Zugangs, die Sicherung und Protokollierung des Zugriffs und für die Verschlüsselung getroffen? x
 Liegt ein Berechtigungskonzept vor? x
Gibt es Schnittstellen zu anderen Systemen
(Uploads/Downloads)?
x
Welche Software wird eingesetzt? Cash-Plus
Standard-/Individualsoftware? x
Ist die Funktionalität des Verfahrens erprobt worden? x
Werden alle Anwender, die mit dem System arbeiten, datenschutzrechtlich geschult? x
Ist die geplante Datenverarbeitung also insgesamt nach §§ 4, 28 BDSG zulässig und sind die ergriffenen Sicherheitsmaßnahmen im Hinblick auf die vorhandenen Risiken geeignet, erforderlich und angemessen? x