Compliance. Markus Böttcher

Compliance - Markus Böttcher


Скачать книгу
dieser Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.

      197

a) Das Unternehmen lässt anonyme Meldungen zwar zu, fördert sie aber nicht, sondern sichert vielmehr den Meldern volle Vertraulichkeit hinsichtlich ihrer Identität zu, wenn sie diese angeben.
b) Die mit der Bearbeitung von Meldungen betrauten Stellen sind von den anderen Konzernstellen strikt getrennt und haben nur Personen als Mitarbeiter, die besonders geschult und ausdrücklich für die Vertraulichkeit der gemeldeten Daten verantwortlich sind.
c) Die Beschuldigten haben grundsätzlich Zugang zu Anschuldigungen.
d) Die Identität des Meldenden wird nur dann offengelegt, wenn sich nachträglich herausstellt, dass die Anschuldigung bewusst falsch erhoben wurde.

      198

      Auftraggeber und Dienstleister – einschließlich ihrer Mitarbeiter – sind zur Geheimhaltung von Daten, die ihnen auf Grund ihrer berufsmäßigen Beschäftigung bekannt geworden sind, verpflichtet (Datengeheimnis, § 15 DSG 2000).

      199

      Wenn ein Auftraggeber personenbezogene Daten automatisiert oder in manuellen Dateien verarbeitet (z.B. Personalverwaltung, Kundenverkehr), so ist er grundsätzlich verpflichtet, bei der Datenschutzbehörde vor Aufnahme einer Datenverarbeitung eine Meldung zum Zweck der Registrierung im Datenverarbeitungsregister einzubringen, sofern nicht ausnahmsweise eine Meldepflicht entfällt (Standardanwendungen). Diese Meldung an das Datenverarbeitungsregister hat seit 1.9.2012 online zu erfolgen. Allgemeine Informationen und öffentlich zugängliche Registerdaten können somit seit 1.9.2012 öffentlich eingesehen werden.

      200

      

      Datenanwendungen, die sensible Daten oder strafrechtlich relevante Daten enthalten oder die die Auskunftserteilung über die Kreditwürdigkeit des Betroffenen zum Zweck haben, oder die in Form eines „Informationsverbundsystems“ durchgeführt werden sollen, dürfen erst nach ihrer Prüfung durch die Datenschutzbehörde aufgenommen werden. Manuelle Dateien sind nur dann meldepflichtig, wenn ihr Inhalt der Vorabkontrolle unterliegt.

      201

      202

      § 24 DSG 2000 normierte eine grundsätzliche Informationspflicht des Auftraggebers: Der Auftraggeber einer Datenanwendung hat aus Anlass der Ermittlung von Daten die Betroffenen in geeigneter Weise über den Zweck der Datenanwendung, für die die Daten ermittelt werden und über Namen und Adresse des Auftraggebers zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen. Gem. § 23 DSG 2000 haben Auftraggeber einer Standardanwendung jedermann auf Antrag mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen. Damit soll eine gewisse Kompensation dafür geschaffen werden, dass die Standardanwendungen auf Grund deren Meldefreiheit nicht im Datenverarbeitungsregister einsichtig sind.

      203

die Aufgabenverteilung bei der Datenverwendung ist zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
die Verwendung von Daten ist an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
jeder Mitarbeiter ist über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters ist zu regeln,
die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und der Verwendung durch Unbefugte ist zu regeln,
die Berechtigung zum Betrieb der Datenverarbeitungsgeräte ist festzulegen und jedes Gerät ist durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
es ist ein Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
eine Dokumentation über die nach Z 1 – 7 getroffenen Maßnahmen ist zu führen, um die Kontrolle und Beweissicherung zu erleichtern.

      204

      Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden


Скачать книгу