Schlagwort-Archive: Fallstudie

Datenschutz, Fallstudie, Teil 3

Schreibe eine Antwort

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 3)

Willkommen zurück zu unserer kleinen Fallstudie zum Thema Datenschutz. Wir machen in unserem Unternehmen management by objectives (MbO).

Im Rahmen von management by objectives wurde beschlossen, die Zielerreichung in einem Datenverarbeitungssystem zu erfassen, und für dieses Datenverarbeitungssystem ist auch Zugänge herzustellen, so dass die Mitarbeiter ihren Leistungsstand eingeben können, mit dem Vorgesetzten kommunizieren können innerhalb dieses Systems, dass der Vorgesetzte zugreifen kann auf den Zielerreichungsgrad seines Mitarbeiters und vieles mehr. Das ist also alles hier geplant.

Und in Fallstudie Teil 1 war gefragt, welche gesetzlichen Vorschriften und wer ist einzubeziehen. Und bei diesem „Wer jetzt hier einzubeziehen ist bei der Einführung“ hatten wir gesagt: der Betriebsrat und der Datenschutzbeauftragte — der Datenschutzbeauftragte.

Gesetzliche Grundlage: Bundesdatenschutzgesetz BDSG (Datenschutz, Fallstudie, Teil 3)

Und hier ist jetzt noch einmal genauer gefragt: Wieso? Ja, wieso der Datenschutzbeauftragte? Jetzt könnte man natürlich einfach sagen: „Weil die gesetzliche Grundlage das Bundesdatenschutzgesetz ist“, und so haben wir es auch in Teil 1 behandelt. In Teil1 sind wir genauer eingegangen auf den § 87 (1) Nr. 6 im Betriebsverfassungsgesetz, aber wir sind auf das Bundesdatenschutzgesetz noch nicht genauer eingegangen, und das möchte ich jetzt hier tun. Also: Das BDSG, das Bundesdatenschutzgesetz. Gehen wir darauf mal genauer ein.

Das Bundesdatenschutzgesetz ist ein sehr strenges Gesetz, und es schützt personenbezogene Daten. So, und jetzt müssen wir zunächst einmal klären: Was sind personenbezogene Daten? – erster Schritt. Und zweitens: Haben wir hier personenbezogene Daten?

Personenbezogene Daten (Datenschutz, Fallstudie, Teil 3)

Und personenbezogene Daten bedeutet Folgendes: Wenn wir hier irgendwelche Daten haben, und wir haben hier eine Person, einen Menschen, dann bedeutet „personenbezogene Daten“, dass eine Verbindung hergestellt wird. Das Entscheidende ist also die Verbindung — personenbezogen ist die Verbindung.

  • Darf also ein Lebensmitteleinzelhandel erfassen, wieviel Stück einer bestimmten Sorte Kaffee an einem Tag verkauft wurden?  — Natürlich. Denn das sind keine personenbezogene Daten.
  • Darf dieses Unternehmen erfassen, wieviel Stück einer bestimmten Sorte Kaffee die Familie Müller, Meier oder Schmitz gekauft hat? — Nein, hier wird es kritisch, denn hier wird die Verbindung hergestellt.

Also hier haben wir nur diese Kassenerfassungssysteme, die alles mögliche erfassen, wann, um wieviel Uhr, an welchem Tag, welche Produkte und so weiter und so weiter. Das sind Daten, ist alles völlig in Ordnung und problemlos. Nur wenn man die Verbindung knüpft zu bestimmten Personen, dann wird es kritisch.

Und haben wir das hier? Oh ja. Es geht um die Zielerreichung, um Ziele und Zielerreichung, und zwar im Sinne von management by objectives. Und das bedeutet ja: Führen durch Zielvereinbarung, das heißt Zielerreichung und Zielerreichungsgrade von Mitarbeitern sollen erfasst werden in diesem System. Und damit haben wir den Personenbezug. Hier sind die Ziele und die Zielerreichung. Und solange wir das ohne Personenbezug machen, brauchen wir überhaupt keinen Datenschutz. Aber wenn wir jetzt hier die Verknüpfung herstellen: Der Herr Schulze hat folgende Ziele und folgende Zielerreichung, dann haben wir wieder unsere berühmte Verbindung V, und dann haben wir personenbezogene, das Entscheidende bei diesem Wort ist also das bezogene, wir haben personenbezogene Daten, und damit brauchen wir den Datenschutzbeauftragten.

Datenschutzbeauftragter (Datenschutz, Fallstudie, Teil 3)

Ergänzender Hinweis: Wenn wir den Schwellenwert übersteigen, den das Gesetz vorgibt, nämlich dass wir eine bestimmte Anzahl von Mitarbeitern haben, die automatisiert, also durch EDV-Systeme personenbezogene Daten verarbeiten, da gibt es einen bestimmten Schwellenwert im Gesetz, und erst dann brauchen wir einen Datenschutzbeauftragten. Und dann wird das Ganze natürlich erst relevant, klar. Ja, also das muss man zusätzlich noch prüfen, ob es überhaupt einen Datenschutzbeauftragten gibt im Unternehmen, Aber wenn es ihn gibt, dann sind das hier personenbezogene Daten, und hier gibt es die Einbeziehung des Datenschutzbeauftragten, und in Abstimmung  mit der Geschäftsführung gilt es da, geht es darum, die Sicherheitsvorschriften, die wir in Fallstudie, Teil 2 behandelt haben, umzusetzen. So läuft das.

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 3)

Ja, gehen Sie nun in meinen Shop, und zwar zu www.spasslerndenk-shop.de – Ihre Adresse im Internet für gutes Lernmaterial, betriebswirtschaftliches Lernmaterial. Klicken Sie, Sie werden dort die Lernhilfen finden, die Sie suchen.

Mein Name ist Marius Ebert.

Vielen Dank.

 

© Dr. Marius Ebert

 

Datenschutz, Fallstudie, Teil 2

Schreibe eine Antwort
ARVE Error: need id and provider

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 2)

Willkommen zurück. Wir sind in einer kleinen Fallstudie zum Datenschutz. Es geht in dieser Fallstudie im weitesten Sinne um Management by Objectives, Führen durch Zielvereinbarung, und es geht darum, die Zielerreichung der Mitarbeiter in einem Datenerfassungssystem oder Datenverarbeitungssystem zu erfassen und zugänglich zu machen, nicht allen, aber bestimmten Menschen zugänglich zu machen, und, ja, das ist so eine Art Cloud Computing oder Intranet, wie auch immer könnte dieses System hier sein, und da haben dann bestimmte Menschen Zugriff auf diese Informationen, und im ersten Teil haben wir schon behandelt, welche Gesetze hier relevant sind.

Sicherheitsvorkehrungen (Datenschutz, Fallstudie, Teil 2)

Jetzt ist die Frage: Welche Sicherheitsvorkehrungen?

Am besten hilft hier auch wieder eine bildhafte Vorstellung. Wenn wir uns also vorstellen, wir haben hier einen Raum. Dieser Raum hat eine Türe, ja, hier das Scharnier der Türe. In diesem Raum steht ein Schreibtisch, auf diesem Schreibtisch steht ein Computer. So, dann können wir daraus, allein aus dieser räumlichen Vorstellung, von mir zeichnerisch hier etwas dilletantisch umgesetzt, aber ich habe nie behauptet, ein großer Zeichner zu sein, können wir, ist auch völlig egal, ja, weil Sie sind wahrscheinlich auch kein großer Zeichner, wichtig, dass Sie sich bildhaft die Dinge vorstellen.

  • Dann können wir zunächst mal hier an dieser Stelle, wo man in den Raum reingeht, Zutrittskontrollen. Dass zunächst einmal nicht alle an diese Rechenanlage überhaupt herankommen. Wie kann man das machen? Nun, das kann man mit Chipkarten machen, das kann man mit biometrischen Erfassungssystemen machen, das ist ja das, was irgendwann kommen wird, dass man also gewisse körperliche Merkmale erfasst wie Fingerabdrücke oder die Augeniris, was immer, ja, da ist ja einiges in der Entwicklung – egal. Oder Schlüssel vergibt. Auf jeden Fall Zutrittskontrollen, ja, Schlüssel, ja, oder bestimmte Chipkarten, die man durchziehen muss, Sie kennen  das, ja, was immer. Zutrittskontrollen.
  • So. Dann: Wenn wir jetzt hier zunächst den Rechner einschalten und uns einloggen wäre das nächste die Zugangskontrolle. Zugangskontrollen, das sind vor allem Passwords, Passwörter auf Deutsch. Passwörter. Und das kennen Sie alle, das brauche ich nicht zu erklären.
  • Dann: Zugriffskontrollen. Jetzt sind wir im Computer drin, jetzt ist die Frage: Welche Dateien, auf welche Dateien darf ich jetzt zugreifen? Ich bin im Computer drin, das ist Zugang, jetzt kommt die Zugriffskontrolle. Hier muss man also genau schauen, welche Dateien freigeschaltet werden für wen. Wir wollen Management by Objectives. Also sinnvoll ist, dass der Mitarbeiter Zugriff hat und der Vorgesetzte. Darf auch ein anderer Vorgesetzter zugreifen auf den Zielerreichungsgrad eines Mitarbeiters, der nicht sein Mitarbeiter ist? Nur ein Mitarbeiter des gleichen Unternehmens? Das muss man im Einzelfall hier genau klären. Ja, also welche Dateien, das ist die Zugriffskontrolle.
  • So. Dann: Wenn jetzt der Mitarbeiter oder der Vorgesetzte etwas eingibt, dann eine Eingabekontrolle. Ja, das kann man nämlich auch durch Systeme registrieren lassen, dass derjenige sich authentifiziert und man nachher sagen kann: „Du hast das und das in das System dann und dann eingegeben“. Und wenn dann sichergestellt ist, dass es wirklich derjenige war, dann war es auch derjenige. Ja, das ist ja nie hundertprozentig sicher, es kann ja auch jemand sein, der die Chipkarte entwendet hat und diese ganzen Kontrollen hier passiert hat, aber  wenn diese Kontrollen vorher da waren, dann können wir sicher sagen, es war derjenige welcher. Also Eingabekontrolle – „Von wem?“, ist hier die Frage. Ja, Zugriffskontrolle ist die Frage der Dateien, welche. Ich hatte es oben schon notiert.
  • So. Dann: Entnahmekontrolle. Sie können heute die relevanten Daten einer Firma auf einem USB-Stick raustragen. In vielen Fällen geht das, weil diese kleinen, kleinen Sticks inzwischen diese Kapazitäten haben, und das geht. Ich will nicht immer sagen „Alles“, aber doch sehr viel und vor allem Entscheidendes kann man heute auf einem USB-Stick aus der Firma tragen. Das geht. Deswegen muss man schauen, wer Daten überspielt und auf diese Art und Weise entnimmt.

Ja, da könnte man jetzt noch hier weiterspinnen. Weitergabekontrolle, ja, und so weiter und so weiter. Ja?

Sie sehen, was habe ich wieder gemacht? Bildhafte Vorstellung, ja, so eine kleine Skizze habe ich hier gemacht, und damit habe ich dann diese Frage „Welche Sicherheitsvorkehrungen?“ beantwortet.

OK.

Wir sehen uns wieder bei Teil 3 dieser kleinen Fallstudie.

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 2)

Wir sehen uns auch hoffentlich wieder in meinem Shop, bei meinem Begrüßungsvideo im Shop, wo ich ihnen zeige, was es dort alles gibt: www.spasslerndenk-shop.de ist Ihre Adresse für gutes Lernmaterial.

Mein Name ist Marius Ebert.

Vielen Dank.

 

© Dr. Marius Ebert

 

Datenschutz, Fallstudie, Teil 1

Schreibe eine Antwort
ARVE Error: need id and provider

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 1)

Hallo, mein Name ist Marius Ebert, und in dieser Videoserie zeige ich Lösungen zu Prüfungsfragen.

Inhalt der Fallstudie (Datenschutz, Fallstudie, Teil 1)

Wir haben hier eine kleine Fallstudie zum Datenschutz, und zwar geht es darum, Management by Objectives in einem Unternehmen einzuführen oder es ist schon eingeführt. Und Management by Objectives ist ja Führen durch Zielvereinbarung, Und die Idee ist jetzt, Ziele und Zielerreichung verbunden mit dem Mitarbeiter, der diese Ziele sich gesteckt hat und den Zielerreichungsgrad in einem Datenverarbeitungssystem zu erfassen und dann auch Zugriffe zu gestalten auf diese Information.

Fragen bei der Umsetzung (Datenschutz, Fallstudie, Teil 1)

So, und das wirft nun verschiedene Fragen auf, nämlich zunächst einmal

  • Welche Gesetze sind hier zu beachten, wenn man diese Idee umsetzen möchte?
  • Dann ist die Frage: Mit wem muss man das abstimmen?
  • Und dann ist die Frage: Warum muss man das abstimmen?

Nun, zunächst einmal: Welche Gesetze?

Wir haben hier zwei Gesetze: Wir haben einmal das Bundesdatenschutzgesetz (BDSG), und wir haben das Betriebsverfassungsgesetz (BtrVG).

Und daraus ergibt sich auch sofort die Antwort für die nächste Frage: Mit wem ist das Ganze abzustimmen? Mit dem Datenschutzbeauftragten und mit dem Betriebsrat.

Und warum ist das so? Nun, weil das im Gesetz so steht. Vor allem, weil es im § 87 Abs 1 Nr. 6 im Betriebsverfassungsgesetz steht. Da steht nämlich eine Vorschrift, die sagt, dass der Betriebsrat zwingend mitbestimmungspflichtig ist, wenn technische Einrichtungen eingeführt werden, die Verhalten von Mitarbeitern überwachen können, erfassen und überwachen können. Das sind natürlich Kameras, die man anbringt, aber das sind auch solche Systeme. Denn wenn man Ziele und Zielerreichung erfasst, dann kann man natürlich spätestens über die Zielerreichung das Verhalten der Mitarbeiter dort ablesen, also arbeitet jemand intensiv an seinen Zielen, kommt er vorwärts oder arbeitet jemand nicht so intensiv an seinen Zielen und kommt nicht vorwärts? Das ist also Verhalten, das man ablesen, und das ergibt sich aus dem § 87, Abs 1, Nr 6 BetrVG.

Ich rate sowieso, den § 87, der hat zwei Absätze, Abs (1) und Abs (2), intensiv zu studieren, weil es eine der zentralen Vorschriften ist, für zwingende Mitbestimmungsrechte des Betriebsrats. Also ganz wichtiger Paragraf, auch die anderen Nummern, das ist ja jetzt die Nummer 6 hier, auch die anderen Nummern sind wichtig. Im Moment jetzt nicht für diese Frage, aber für andere Fragen. Das heißt, wenn Sie sich auf eine Prüfung vorbereiten, sollten Sie irgendwann mal in der Vorbereitung diese Paragrafen mal studiert haben.

OK. Das war Teil 1. Wir sehen uns dann wieder in Teil 2.

Alles Gute.

Marius Ebert

IHK-Prüfung entschlüsselt (Datenschutz, Fallstudie, Teil 1)

Was ich nicht vergesse, weil ich es nie vergesse, ist der Hinweis auf meinen Shop. Klicken Sie und gehen Sie zu www.spasslerndenk-shop.de, weil Sie dort die Lernhilfen finden, die Sie brauchen.

Mein Name ist Marius Ebert.

Vielen Dank.

 

© Dr. Marius Ebert