Ergebnis 1 bis 10 von 10

Thema: Datenschutz -Verpflichtungserklärung f. Externe MA

  1. #1
    Registriert seit
    27.02.2011
    Beiträge
    10

    Frage Datenschutz -Verpflichtungserklärung f. Externe MA

    Hallo zusammen,

    wir sind momentan am grübeln, wie eine wasserdichte Verpflichtungserklärung für externe MA aussehen könnte. Zum Detail:

    Wir möchten Vertretern von externen Firmen einen eingeschränkten Zugriff auf digitale Daten im LAN über deren eigene Hardware erlauben. Hierzu haben wir ein Formular entwickelt, welches sowohl den Antrag auf Zugriff als auch die Verpflichtung und Erklärung zum Datenschutz enthält.

    Die Frage stellet sich nun, wie wir die folgende Schwierigkeit mit abdecken bzw. auffangen könnten:

    Im ersten Absatz der nachfolgenden Erklärung (Seite 2) wird im zweiten Satz festgelegt, dass die Weitergabe oder Übertragung von Benutzernamen und Passwörtern untersagt ist.

    Nachdem die externen Firmen jedoch zum großen Teil mit mehreren Mitarbeitern bei uns sind, die i. d. R. auch auf die Daten zugreifen und auch zugreifen müssen, gibt es nur zwei Möglichkeiten:

    1) Entweder, wir untersagen mit der aktuellen Fassung des Antrags den Zugriff für die Mitarbeiter (was zum einen fast nicht kontrollierbar ist und für den Einsatz der Firmen im Haus eher nachteilig wäre)

    2) oder wir weichen die Regelung bezüglich der Übertragbarkeit in der Richtung auf, dass die Verantwortliche (im Antrag genannte) Person den Zugriff auch seinen Mitarbeitern erlauben kann wenn Er seinerseits dafür Sorge trägt, dass die entsprechenden Mitarbeiter

    a) zum Einen über die im Antrag eingegangene Verpflichtung inkl. Erklärung in Kenntnis gesetzt werden

    b) und Er zum Anderen sein möglichstes tut, dass seine Mitarbeiter diese Regeln auch befolgen...

    Über hilfreiche Tipps wäre ich sehr dankbar.
    Viele Grüße
    Frank H.

    ---------------------------Formularentwurf--------------------------------

    ANTRAG AUF DATENZUGRIFF INKL. VERPFLICHTUNG ZUR DATENSICHERHEIT IM
    IT-NETZWERK (EXTERNE MA):

    ANTRAG AUF DATENZUGRIFF
    Herr / Frau / Firma _______________________

    beantragt Zugriff auf folgende Daten im IT-Netzwerk der "Muster" GmbH:
    Spezifikation der erforderlichen Daten: (Zeichnungen, Listen, Bilder etc.)

    Grund für den Datenzugriff __________________________

    Der Zugriff ist erforderlich  für Projekt:  bis (Datum)__________


    VERPFLICHTUNG NACH § 5 BUNDESDATENSCHUTZGESETZ - BDSG § 2 ABS. 2 DATENSCHUTZGESETZ

    Die unter Antrag auf Datenzugriff genannte Person/Firma ist nach § 5 BDSG / § 2 Abs. 2 DSG auf das Datengeheimnis verpflichtet und auf die Strafbarkeit einer Geheimnisverletzung nach § 43 BDSG ausdrücklich hingewiesen worden. Nach § 5 BDSG ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Die Verpflichtung bezieht sich auf alle zu einer natürlichen Person gehörenden Angaben über deren persönliche und sachliche Verhältnisse. Die Verpflichtung auf das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Nach § 43 BDSG wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind speichert, verändert oder übermittelt, zum Abruf mittels automatisierten Verfahrens bereithält oder abruft oder sich oder einem anderen aus Dateien verschafft. Ebenso wird bestraft, wer die Übermittlung von durch dieses Gesetz geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht, entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 4 Satz 1, auch in Verbindung mit § 29 Abs. 3, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 3 Satz 3 die in § 40 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt. Handelt der Täter gegen Entgelt oder in der Absicht, einen anderen zu schädigen oder sich oder einen anderen zu bereichern, so dies zu einer Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe führen. Zum Schutz personenbezogener Daten ist im Rahmen der zugewiesenen Aufgabe die notwendige Sorgfalt anzuwenden. Bestehende Vorschriften über den Umgang bzw. die Sicherung personenbezogener Daten sind zu beachten. Festgestellte Mängel sind möglichst umgehend zu melden.

    ___________________ _________________
    Techn. Leitung Externer MA


    ERKLÄRUNG:

    Die Ihnen zum Zweck der Erledigung Ihrer Aufgaben eingerichteten Benutzernamen und damit verbundenen Berechtigungen dürfen nur für diesen Zweck verwendet werden.

    Eine Weitergabe oder Übertragung der Ihnen zur Erfüllung Ihrer Aufgaben persönlich zugeordneten Benutzernamen sowie diesbezüglicher Passwörter ist untersagt. Das Gleiche gilt für die Übertragung der Ihrer Person eingeräumten Gestattung zur Vergabe von Berechtigungen.

    Verwenden Sie zur Verarbeitung der Daten eigene Hardware, so verpflichten Sie sich hiermit innerhalb des Betriebssystems einen funktionsfähigen Virenscanner vorweisen zu können, der die Virensignaturen in regelmäßigen Abständen aktualisiert.

    Verfügen Sie aus technischen oder organisatorischen Gründen über weitergehende Berechtigungen als für die Erfüllung ihrer Aufgaben erforderlich ist, dürfen diese Berechtigungen nur genutzt werden, um die Ihnen zugewiesenen Aufgaben zu erfüllen.
    Ist für die Vornahme einer Handlung eine Genehmigung oder Freigabe erforderlich, darf mit der Ausführung des letzten Erledigungsschritts erst begonnen werden, wenn alle für die Vornahme der Handlung geforderten Voraussetzungen erfüllt sind. Sind Antrags- und Genehmigungsverfahren vorgeschrieben, so darf von diesen nicht abgewichen werden.
    Liegen die erforderlichen Dokumente oder Genehmigungen nicht vor, ist der Beantragende darauf hinzuweisen. Werden die noch erforderlichen Dokumente nicht beigebracht, ist die
    Vornahme der beantragten Handlung zu verweigern.

    Der unberechtigte bzw. außerhalb Ihrer Aufgaben liegende Zugriff auf Daten unseres Unternehmens ist Ihnen untersagt. Ist es aus technischen Gründen erforderlich, dass auf Daten auf persönlich zugeordneten Laufwerken bzw. Speicherbereichen zugegriffen werden muss, so darf ein solcher Zugriff nur mit der Einwilligung des betroffenen Beschäftigten erfolgen. Das inoffizielle Überwinden von Schutzmaßnahmen und Verschlüsselungsmechanismen ist untersagt.

    Unternehmensinterne Daten dürfen nur mit Genehmigung der Geschäftsleitung das Firmengelände verlassen oder außerhalb des Firmengeländes verwendet werden. Ins-besondere dürfen ohne Zustimmung der Geschäftsleitung firmeninterne Datenbestände, speziell Adressbestände, Kundendaten oder Produktdaten, weder mittels E-Mail oder Fax noch mittels anderer Datenträger (Laptop, Diskette, CD, DVD, Memory-Stick, externe Festplatte etc.) oder in ausgedruckter Form außer Haus gebracht werden.
    Es darf nicht versucht werden, auf Bereiche des LANs oder WANs vorzudringen, die nicht für dieses Aufgabengebiet freigegeben oder vorgesehen sind, auch dann nicht, wenn es durch unzureichende Rechtevergabe oder technische Mängel möglich ist. Über derartige fehlerhafte Rechtevergabe oder technische Mängel ist der Vorgesetzte oder die EDV-Abteilung ohne Verzug zu informieren.

    Werden Ihnen bei der Erfüllung der übertragenen Aufgaben zufällig Informationen bekannt, dürfen diese weder für eigene Zwecke genutzt noch anderen übermittelt oder bekannt gegeben werden.

    Diese Verpflichtungserklärung gilt ergänzend zu Ihrer Verpflichtung zur Wahrung des Datengeheimnisses (§ 5 Bundesdatenschutzgesetz), des Fernmeldegeheimnisses (§ 88 Telekommunikationsgesetz) und zum Schutz von Geschäfts- und Betriebsgeheimnissen (§ 17 Gesetz gegen den unlauteren Wettbewerb).Sie verdrängt nicht mit Ihnen einzelvertraglich getroffene Vereinbarungen zur Vertraulichkeit oder Geheimhaltung.

    Verstöße gegen das Fernmeldegeheimnis können nach § 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses), Verstöße gegen das Datengeheimnis nach den §§ 43 und 44 BDSG, Verstöße gegen das Privatgeheimnis nach § 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) verfolgt werden und ebenso wie Verstöße gegen die innerbetriebliche Geheimhaltungsvorschrift arbeitsrechtliche, zivilrechtliche und strafrechtliche Folgen haben.

  2. #2
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    1.824

    Standard

    Zum einen ist nicht klar, wieso der Zugriff sein 'muss'. Zum anderen, ob das der
    richtige Weg ist - ein paar Gedanken dazu.

    Vieles scheint mir ja auch Bestand zu haben, auch ohne nun etwas unterschreiben
    zu lassen. Und eine 'Verpflichtung' oder Belehrung hat für mich den Sinn, genau
    das klarzumachen. Mit Tonnen an Text & Papier erreiche ich das nicht. Und wenn
    was daneben geht, hilft es nicht viel, es ändert auch nix an Eurer Verantwortung.

    Ich bin auch kein Freund davon, das per Anweisung an Externe zu machen. Sondern
    würde es dem 'Lieferanten' aufhängen. Mit direkten Anweisungen sollte man doch
    etwas vorsichtig sein.

    Auch die Bezeichnung 'Antrag/Verpflichtung' ... da sagt mir mein Bauch, das ist
    so unklar, dass es Euch ein Anwalt um die Ohren hauen wird und der Externe wird
    sagen 'wozu ein Antrag - meine Firma hat nen Vertrag, ich ein Arbeitsverhältnis'.

    Textbeispiel: "Verwenden Sie ... eigene Hardware", das wird nicht seine sein,
    sondern die seines AG.

    Es ist einfach nicht sauber. Vom BfDI gibt's Vorlagen (habe aber nicht die
    Links, sondern nur die Texte gefiled, musst Du selbst etwas suchen).

    Was aber die Notwendigkeit eines (möglichen) Zugriffs auch nicht klärt.

  3. #3
    Registriert seit
    10.02.2011
    Beiträge
    1.926

    Standard

    Hinter dem Antrag steht eher der Nachweis für die Revision, haderner: Wer hatte wann warum Zugriff, von wem wurde es genehmigt, wurde es überhaupt genehmigt.

    dsb-fh, soll das zusätzlich zum ADV-Vertrag aufgesetzt werden?

    2) Das hieße, wie haderner bemerkte, daß Ihr die Verantwortung auf den per Antrag bestätigten MA übertragt (nicht auf dessen Vorgesetzten). Gefährlich. Was berechtigt ihn zur Weitergabe der Befugnisse? Was qualifiziert ihn zur Einschätzung der Befähigung des Kollegen und (!) der Erklärung der §§?


    "§ 2 ABS. 2 DATENSCHUTZGESETZ"? Welches? Darauf wird im Text nicht mehr Bezug genommen. Ist das ein Überbleibsel aus der ursprünglichen Erklärung? NRW? Wenn Ihr danach verpflichtet, müßtet Ihr auch zusätzlich zum BDSG die einzelnen §§ Datenschutzgesetz anführen.

    "Handelt der Täter gegen Entgelt..." Welcher Täter?

    "Festgestellte Mängel sind möglichst umgehend zu melden." Was ist mit der Beseitigung?

    "Das inoffizielle Überwinden"? Wenn es offiziell ist, ist es kein Überwinden mehr, sondern ein ganz normaler Zugriff.

    Nur ein Virenscanner ist etwas wenig, "innerhalb des Betriebssystems" ist Quatsch. Was ist mit anderer Software, die für Übertragungen, Überwachungen eingesetzt werden kann? Sniffer? Screenshots? Wo steht, daß keine oder welche Software eingespielt werden darf?
    TOM §9, siehe ADV.

    "darf mit der Ausführung des letzten Erledigungsschritts" Was ist denn der erste und der letzte Erledigungsschritt?
    ...

    Hmm, klingt alles ein wenig unrund und zusammengestoppelt. Die Aufzählung der §§ am Anfang sorgt auf jeden Fall dafür, daß niemand mehr weiterliest, das Verständnis geht schon dort verloren.
    Es gibt soviele Eventualitäten, die im Zusammenhang mit Mißbrauch und Verbot erwähnt werden müßten, daß ihre Aufzählung den Rahmen sprengen würde. Deswegen macht es auch wenig Sinn, bei einigen ins Detail zu gehen und anderes gar nicht zu erwähnen. Die Feststellung "nur zum vorgesehenen Zweck" sollte dafür ausreichen. Dann kann auf dem jeweiligen Antrag Zugriffs-/Daten-spezifisch eingegangen werden. Also, welche Daten, welche Arbeiten, welche Systeme sind mit diesem einen Antrag abgedeckt. Das ist dann der Zweck, auf den in der allgemeinen Erklärung Bezug genommen würde.

    Beim BfDI auf der Webseite unter Arbeitshilfen (Seite 2) sind die ganzen Verpflichtungserklärungen inkl. Merkblatt.

  4. #4
    Registriert seit
    27.02.2011
    Beiträge
    10

    Standard

    Hallo zusammen,

    erstmal besten Dank für die Unterstützung, es hat uns schon weitergeholfen. Die Vorlagen vom BFDI sind ein guter Ansatz. Ich würde diese daher so anpassen, dass der genaue Zweck des externen Zugriffs mit aufgenommen wird. Ich hoffe, dies sollte so reichen.

    Viele Grüße
    FH

  5. #5
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    1.824

    Standard

    Lies bitte zuvor nochmal die folgenden 3 Buchstaben laut vor: ADV.

    Die Frage von anzolino solltest Du inhaltlich schon beantworten können, erst
    danach macht es Sinn. Wenn der Vertrag sauber aufgesetzt ist, dann kann man
    dort die Richtlinien reinpacken und über den Dienstleister regeln, was die
    MA tun sollen und dürfen, inkl der Verpflichtungserklärung.

    Schau doch nochmals in die 10 Pkte des § 11, was in so nen Vertrag gehört.

    Vorlagen gibt's zB hier http://www.lda.bayern.de/lda/datensc...fachthemen.htm
    und Ähnliches, falls Ihr nicht privat seid.

    Ich meine, das ist der bessere und saubere Weg.

    Gruß

  6. #6
    Registriert seit
    27.02.2011
    Beiträge
    10

    Standard

    [QUOTE=haderner;20558]Lies bitte zuvor nochmal die folgenden 3 Buchstaben laut vor: ADV.

    Nun, es handelt sich in erster Linie um um externe MA (Konstrukteure etc.), welche Zugriff auf bestimmte Laufwerksfreigaben erhalten sollen. Es handelt sich daher m. Ea. nicht um eine ADV. Für IT -Beauftragte, welche z.B. Fernwartung machen, haben wir einen separaten Auftrag zur ADV, wo die bekannten 10 Punkte im §11 BDSG berücksichtigt sind. Hierbei bedienen wir uns ebenso einer Vorlage vom BFDI.

    Viele Grüße
    Frank

  7. #7
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    1.824

    Standard

    Hallo Frank,

    dann verstehe ich nicht, wieso ne Verpflichtung auf § 5 erfolgen soll, wenn es
    nur Techniker sind, die auf keine p.b. zugreifen, sondern nur auf technische
    Daten (hm, so war's ja in Deinem Entwurf). Und keine Wartung machen.

    Hm ... heißt das: Ihr seid Euch nicht so ganz klar darüber, wie abgesichert die
    Bereiche sind, auf die zugegriffen wird? Oder offener: was ist denn der Grund?

    Gruß

  8. #8
    Registriert seit
    10.02.2011
    Beiträge
    1.926

    Standard

    Nö, so war's nicht in seinem Entwurf:
    § 16 Abs. 4 Satz 1, § 28 Abs. 4 Satz 1, § 29 Abs. 3, § 39 Abs. 1 Satz 1, § 40 Abs. 1, § 30 Abs. 1 Satz 2, § 30 Abs. 1 Satz 1, § 40 Abs. 3 Satz 3, § 40 Abs. 3 Satz 2, § 43
    Alles pb Daten. Macht sonst auch keinen Sinn, das mit dem BDSG und §2 Datenschutzgesetz.

  9. #9
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    1.824

    Standard

    Jepp, ich denk, das braucht's nicht wenn's nur "Spezifikation der erforderlichen Daten:
    (Zeichnungen, Listen, Bilder etc.)
    " ist und es damit keine pb Daten sind ...

    kann's mir nun nur mit Zugriffsproblemen erklären - und das ist zunächst ein techn Thema

    Möge er sprechen und die ... äh: meine Verwirrung lösen

  10. #10
    Registriert seit
    27.02.2011
    Beiträge
    10

    Standard

    @haderner,

    ja, das war auch der Grundgedanke. Für den Fall, dass doch irgendwelche Zugriffe auf Freigaben erfolgen, wo pb -Daten liegen könnten...

    Trotzdem nochmals Danke an Alle.

    VG
    Frank

Ähnliche Themen

  1. externe Verpflichtungserklärung und Verpflichtungserklärung bei externen Mitarbeitern
    Von PatrickM im Forum Einzelne Arbeitsfelder, Praxisprobleme
    Antworten: 10
    Letzter Beitrag: 02.03.2012, 12:40
  2. Allgmeine Frage zur Mitarbeiterinformation (Verpflichtungserklärung)
    Von marcel im Forum Private und betriebliche E-Mail- und Internetnutzung
    Antworten: 6
    Letzter Beitrag: 27.02.2012, 20:30
  3. DVV-Verpflichtungserklärung statt ADV-Vertrag
    Von chmue im Forum ADV Auftragsdatenverarbeitung
    Antworten: 3
    Letzter Beitrag: 10.05.2011, 13:06
  4. Verpflichtungserklärung gemäß §5 auch für Geschäftsführer?
    Von alfhae im Forum Aufgaben, Arbeitsmittel und -methoden
    Antworten: 2
    Letzter Beitrag: 03.12.2010, 07:39
  5. Externe Dienstleister für Kundenmailings / Datenschutz im Gesundheitshandwerk
    Von noiz1709 im Forum ADV Auftragsdatenverarbeitung
    Antworten: 6
    Letzter Beitrag: 05.07.2010, 12:28

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •