1.1 Inhalt

1 Wegweiser

1.1 Inhalt

1.2 Stichwortverzeichnis

1.3 Verzeichnis – Mustervordrucke

1.4 Autorenverzeichnis

2 Aktuelle Hinweise

2.1 Novellierung des Bundesdatenschutzgesetzes (BDSG)

2.1.1 BDSG-Novelle I

2.1.2 BDSG-Novelle II

2.1.3 BDSG-Novelle III

2.1.4 Checkliste zur Novellierung des Bundesdatenschutzgesetzes (BDSG)

2.1.5 Bericht über die Auswirkungen der §§ 30a und 42a des Bundes-

datenschutzgesetzes

2.1.6 Bericht der Bundesregierung über die Auswirkungen der Änderun-

gen der §§ 28 und 29 des BDSG

2.2 Schulungsunterlagen zur aktuellen Entwicklung im Beschäftigten-

datenschutz

2.2.1 Bundesdatenschutzbeauftragter kritisiert geplante Bespitzelung am

Arbeitsplatz

2.3 Abmahnung von Datenschutzverstößen durch Verbände

2.4 Anforderungen an E-Mail-Diensteanbieter für einen sicheren

Transport von E-Mails

2.5 Information des HmbBfDI zu den Einwilligungslösungen von

Google

2.6 Cloud Computing und Datenschutz

2.7 Entwurf eines Zweiten Gesetzes zur Änderung des Telemedien-

gesetzes

2.8 Informationen zur Digitalen Agenda 2014–2017

2.9 Orientierungshilfe zu Inhalten und Anforderungen an branchen-

spezifische Sicherheitsstandards gemäß § 8a Abs. 2 BSIG

2.10 Errichtung einer Stiftung Datenschutz

2.10.1 Grobkonzept zur Errichtung einer Stiftung Datenschutz

2.10.2 Bundesdatenschutzbeauftragter kritisiert geplante Stiftung Daten-

schutz

Inhalt 1.1 Seite 1

12/16

2.10.3 Stiftung Datenschutz: Anfang oder Ende?

2.11 BSI veröffentlicht Sicherheitsstudie zu TrueCrypt

2.12 Cyber-Sicherheitsempfehlung zum Thema DNSSEC

2.13 Ansichten des EuGH-Generalanwalts zur Vorratsdatenspeicherung

2.14 Hinweise zu Industrie 4.0 – Rechtliche Herausforderung

der Digitalisierung

2.15 Weitergabe von Standortdaten durch BMW

2.16 Mitteilung der Europäischen Kommission, Brüssel, – Presse-

mitteilung – vom 12.07.2016 zum EU-US-Datenschutzschild

2.17 Europäischer Gerichtshof entscheidet: Gebrauchte Software-

lizenzen dürfen weiterverkauft werden

2.18 Bewertungs-Methoden der Schufa und Scoring-Hinweise zu den

Methoden in der US-Kreditbewertung, neueste Entwicklungen

2.19 Aktuelle Informationen zur Frage der Rechtmäßigkeit der

Erfassung biometrischer Daten

2.20 IT-Grundschutz-Baustein Webanwendungen

2.21 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-

erklärung in Formularen

2.22 Orientierungshilfe Mandantenfähigkeit

2.23 Entscheidung des Bundesgerichtshofs (BGH) bzgl. Persönlichkeits-

rechte

2.24 Der Bundesverband der Deutschen Industrie e.V. und Cloud-

Anwendungen

2.25 Entschließung zu Webtracking und Datenschutz

2.26 Die Aufnahme von Fingerabdrücken in Reisepässe ist rechtens

2.27 Verwaltungsgericht hebt Anordnungen des ULD Schleswig-Holstein

betreffend Fanpages bei Facebook auf

2.28 Urteil des Verwaltungsgerichts Hannover zum Scannen

und Speichern von Personalausweisen (Urteil vom 28.11.2013)

2.29 BSI veröffentlicht Technische Richtlinie „Ersetzendes Scannen“

2.30 EU-Verordnung über elektronische Identifizierung und Vertrauens-

dienste für elektronische Transaktionen im Binnenmarkt

2.31 Erster Entwurf eines neuen BDSG liegt vor

2.32 Technische Richtlinie TR-01201 De-Mail

2.33 Verwendungsverbot bei Filesharing-Abmahnungen

2.34 Europäische Cloud als „preferred“ Datenspeicher

2.35 Bitkom-Praxisleitfaden „Das Verfahrensverzeichnis“

2.36 Referentenentwurf zur Vorratsdatenspeicherung

1.1 Seite 2 Inhalt

12/16

2.36.1 Wesentliche Punkte des Referentenentwurfs

2.37 eIDAS-Verordnung über elektronische Identifizierung

und Vertrauensdienste

2.38 Technische Richtlinie TR-02102: Krypto-Richtlinien

2.39 Urteil des Europäischen Gerichtshofes zur Frage der Rechtmäßig-

keit von Datentransfers auf Basis des sog. Safe Harbor Abkommens

2.39.1 Datentransfers in die USA

2.40 BSI-Lagebericht zur IT-Sicherheit 2015

2.41 Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und

nicht vernetzter Kraftfahrzeuge (1)

2.42 Cyber-Sicherheitsumfrage 2015 des BSI

3 Einführung in den Datenschutz

3.1 Kurze Historie – Entwicklung und Tendenzen

3.2 Grundlagen des Datenschutzrechts

4 Gesetzliche Regelungen mit Erläuterungen

4.1 Datenschutz international

4.1.1 EU-Vorgaben

4.1.1.1 EG-Datenschutzrichtlinie

4.1.1.2 Art. 29-Datenschutzgruppe

4.1.1.2.1 Zukünftige Tätigkeiten

4.1.1.4 EG-Vorgaben für Datenschutz bei Datenverarbeitung in Dritt-

ländern

4.1.2 Datenschutzvorgaben in Drittländern

4.1.3 USA Safe Harbor

4.2 Bundesdatenschutzgesetz

4.2.1 Gesetzeserläuterungen

4.2.1.1 § 1 BDSG: Zweck und Anwendungsbereich des Gesetzes

4.2.1.2 § 2 BDSG: Öffentliche und nicht-öffentliche Stellen

4.2.1.3 § 3 BDSG: Weitere Begriffsbestimmungen

4.2.1.3.1 § 3a BDSG: Datenvermeidung und Datensparsamkeit

4.2.1.4 § 4 BDSG: Zulässigkeit der Datenerhebung, -verarbeitung und

-nutzung

4.2.1.4.1 § 4a BDSG: Einwilligung

4.2.1.4.2 § 4b BDSG: Übermittlung personenbezogener Daten ins Ausland

sowie an über- oder zwischenstaatliche Stellen

4.2.1.4.3 § 4c BDSG: Ausnahmen

4.2.1.4.4 § 4d BDSG: Meldepflicht

Inhalt 1.1 Seite 3

12/16

4.2.1.4.5 § 4e BDSG: Inhalt der Meldepflicht

4.2.1.4.6 § 4f BDSG: Beauftragter für den Datenschutz

4.2.1.4.7 § 4g BDSG: Aufgaben des Beauftragten für den Datenschutz

4.2.1.5 § 5 BDSG: Datengeheimnis

4.2.1.6 § 6 BDSG: Rechte des Betroffenen

4.2.1.6.1 § 6a BDSG: Automatisierte Einzelentscheidung

4.2.1.6.2 § 6b BDSG: Beobachtung öffentlich zugänglicher Räume mit

optisch-elektronischen Einrichtungen

4.2.1.6.3 § 6c BDSG: Mobile personenbezogene Speicher- und

Verarbeitungsmedien

4.2.1.7 § 7 BDSG: Schadensersatz

4.2.1.8 § 8 BDSG: Schadensersatz bei automatisierter Datenverarbeitung

durch öffentliche Stellen

4.2.1.9 § 9 BDSG: Technische und organisatorische Maßnahmen

4.2.1.9.1 § 9a BDSG: Datenschutzaudit

4.2.1.9.2 Datenschutzaudit nach § 9 BDSG

4.2.1.9.3 Argumentation für ein Datenschutzaudit

4.2.1.9.4 Auditierungsstellen

4.2.1.9.5 Argumentation für ein Datenschutzaudit

4.2.1.10 § 10 BDSG: Einrichtung automatisierter Abrufverfahren

4.2.1.11 § 11 BDSG: Erhebung, Verarbeitung oder Nutzung personen-

bezogener Daten im Auftrag

4.2.1.12 §§ 12 bis 26 BDSG: Zweiter Abschnitt, Datenverarbeitung der

öffentlichen Stellen

4.2.1.28 § 28 BDSG: Datenerhebung und -speicherung für eigene Geschäfts-

zwecke

4.2.1.28.1 § 28a BDSG: Datenübermittlung an Auskunfteien

4.2.1.28.2 § 28b BDSG: Scoring

4.2.1.29 § 29 BDSG: Geschäftsmäßige Datenerhebung und -speicherung

zum Zwecke der Übermittlung

4.2.1.30 § 30 BDSG: Geschäftsmäßige Datenerhebung und -speicherung

zum Zwecke der Übermittlung in anonymisierter Form

4.2.1.30.1 § 30a BDSG: Geschäftsmäßige Datenerhebung und -speicherung

für Zwecke der Markt- und Meinungsforschung

4.2.1.31 § 31 BDSG: Besondere Zweckbindung

4.2.1.32 § 32 BDSG: Datenerhebung, -verarbeitung und -nutzung

für Zwecke des Beschäftigungsverhältnisses

4.2.1.33 § 33 BDSG: Benachrichtigung des Betroffenen

4.2.1.34 § 34 BDSG: Auskunft an den Betroffenen

1.1 Seite 4 Inhalt

12/16

4.2.1.35 § 35 BDSG: Berichtigung, Löschung und Sperrung von Daten

4.2.1.38 § 38 BDSG: Aufsichtsbehörde

4.2.1.38.1 § 38a BDSG: Verhaltensregeln zur Förderung der Durchführung

datenschutzrechtlicher Regelungen

4.2.1.39 § 39 BDSG: Vierter Abschnitt: Sondervorschriften Zweckbindung

bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

4.2.1.40 § 40 BDSG: Verarbeitung und Nutzung personenbezogener Daten

durch Forschungseinrichtungen

4.2.1.41 § 41 BDSG: Erhebung, Verarbeitung und Nutzung personen-

bezogener Daten durch die Medien

4.2.1.42 § 42 BDSG: Datenschutzbeauftragter der Deutschen Welle

4.2.1.42.1 § 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntnis-

erlangung von Daten

4.2.1.43 § 43 BDSG: Fünfter Abschnitt mit den Schlussvorschriften Bußgeld-

vorschriften

4.2.1.44 § 44 BDSG: Strafvorschriften

4.2.1.45 § 45 BDSG: Sechster Abschnitt: Übergangsvorschriften Laufende

Verwendungen

4.2.1.46 § 46 BDSG: Weitergeltung von Begriffsbestimmungen

4.2.1.47 § 47 BDSG: Übergangsregelung

4.2.1.48 § 48 BDSG: Bericht der Bundesregierung

4.3 Landesdatenschutzgesetze

4.4 Telekommunikationsgesetz (TKG)

4.4.1 Allgemeine Erläuterungen zum TKG

4.4.2 Teil 1: Allgemeine Vorschriften

4.4.2.1 Wichtige Begriffsbestimmungen

4.4.3 Teil 7: Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit

4.5 Telemediengesetz (TMG)

4.5.1 Allgemeine Erläuterungen zum TMG

4.5.2 Allgemeine Bestimmungen

4.5.3 Informationspflichten (Anbieterkennzeichnung)

4.5.4 Verantwortlichkeit

4.5.5 Datenschutzbestimmungen

4.5.6 Hinweise zur Erstellung einer Online-Datenschutzerklärung

4.5.7 Erstellung eines Muster-Impressums

4.5.8 Schulungsunterlagen zu Datenschutzaspekte des Telemedien-

gesetzes

4.5.9 Elektronische Gästebücher und Internet-Foren

Inhalt 1.1 Seite 5

12/16

4.5.10 Einzelprobleme

4.6 De-Mail-Gesetz

4.6.1 Allgemeine Erläuterungen zum Gesetz zum sicheren E-Mail-

Verkehr (De-Mail-Gesetz)

4.6.2 Nähere Erläuterungen zu den einzelnen Paragrafen

4.6.3 Handreichung des Bundesbeauftragten für den Datenschutz zur

De-Mail-Nutzung

4.7 Signaturgesetz (SigG)

4.7.1 Allgemeines zum Signaturgesetz (SigG)

4.8 Erläuterungen zum Signaturgesetz (SigG)

4.8.1 Einzelprobleme

4.9 Elektronische Steuererklärung (ELSTER)

4.10 IT-Sicherheitsgesetz

4.10.1 Gesetzesbestandteile im Einzelnen

4.10.2 Verordnung zur Bestimmung kritischer Infrastrukturen

4.11 Datenschutz-Grundverordnung (DS-GVO)

4.11.1 Datenschutz-Grundverordnung in Kraft getreten

4.11.2 Wesentliche Neuerungen

4.11.2.1 Neue Regelungen zur Auftrags(daten)verarbeitung

4.11.2.2 Datenschutz-Folgenabschätzung

4.11.3 Auswirkungen auf Deutschland

4.11.4 Öffnungsklauseln

5 Technisch-organisatorische Umsetzung der gesetzlichen

Vorgaben

5.1 Grundlegende technisch-organisatorische Maßnahmen

5.1.1 Verantwortliche Stelle

5.1.2 Betrieblicher Datenschutzbeauftragter

5.1.2.1 Musterformular: Bestellung zum betrieblichen Datenschutz-

beauftragten

5.1.2.2 Merkblatt zur Bestellung eines betrieblichen Datenschutz-

beauftragten

5.1.2.3 Musterformular: Bestellung eines externen Datenschutz-

beauftragten

5.1.2.4 Merkblatt zur Bestellung eines externen Datenschutzbeauftragten

5.1.2.5 Der betriebliche Datenschutzbeauftragte

5.1.2.6 Musterformular: Bestellung zum Stellvertreter des betrieblichen

Datenschutzbeauftragten

1.1 Seite 6 Inhalt

12/16

5.1.2.7 Einzelprobleme

5.1.3 Verpflichtung auf das Datengeheimnis

5.1.3.1 Muster einer Verpflichtungserklärung

5.1.3.1.1 Muster einer Verpflichtungserklärung im Rahmen einer Auftrags-

datenverarbeitung

5.1.3.1.2 Muster einer Geheimhaltungsvereinbarung

5.1.3.2 Datenschutzmerkblatt zur Verpflichtungserklärung

5.1.3.3 Verpflichtung nach dem Verpflichtungsgesetz

5.1.4 Vorabkontrolle

5.1.4.1 Checkliste zur Durchführung einer Vorabkontrolle

5.1.4.2 Musterdokumentation für eine Vorabkontrolle

5.1.5 Führen eines Verfahrensverzeichnisses

5.1.5.1 Musterformblatt zur Verfahrensbeschreibung

5.1.5.2 Musterverfahrensbeschreibung

5.1.5.3 Muster eines Schreibens zur Auskunftserteilung

5.1.5.4 Schulungsunterlagen zum Verfahrensverzeichnis

5.1.5.5 Checkliste zum Verfahrensverzeichnis

5.1.5.6 Fragen zum Verfahrensverzeichnis

5.1.6 Datensicherheitsmaßnahmen gemäß § 9 BDSG mit Anlage

5.1.6.1 Erstellung eines Schutzstufenkonzeptes

5.1.6.2 Strategie bei der Auswahl geeigneter Sicherheitsmaßnahmen

5.1.6.2.1 Checkliste zur Auswahl geeigneter Sicherheitsmaßnahmen

5.1.6.3 Beispiel eines Maßnahmenkatalogs

5.1.6.3.1 Checkliste Zutrittskontrolle

5.1.6.3.2 Checkliste Zugangskontrolle

5.1.6.3.3 Checkliste zur Gebäude- und Einbruchsicherheit

5.1.6.3.4 Checkliste Zugriffskontrolle

5.1.6.4 Schulungsunterlagen zu „Datensicherheitsmaßnahmen i. S. des § 9

BDSG mit Anlage“

5.1.6.5 Gesetzlich vorgeschriebene technisch-organisatorische Daten-

sicherheitsmaßnahmen

5.1.7 Durchführung von Datenschutzschulungen

5.1.7.1 Einladungsschreiben für eine Datenschutzschulung

5.1.7.2 Muster einer Teilnahmebescheinigung

5.1.7.3 Schulungsunterlagen zum Datenschutz und zur Datensicherheit

5.1.8 Durchführung des Meldeverfahrens

5.1.8.1 Musterformular zum Meldeverfahren

5.1.9 Überwachung der ordnungsgemäßen Anwendung der Daten-

verarbeitungsprogramme

Inhalt 1.1 Seite 7

12/16

5.1.9.1 Prüfungsgerüst für die Kontrolle der Datensicherheitsmaßnahmen

5.1.10 Erstellung eines Tätigkeitsberichts

5.1.11 Mitwirkung bei der Personalauswahl

5.1.12 Bestellung eines IT-Sicherheitsbeauftragten

5.1.12.1 Muster eines Dienstleistungsvertrages für die Bestellung

eines IT-Sicherheitsbeauftragten

5.2 Datenschutz für Arbeitnehmerdaten

5.2.1 Datenschutz bei Zeiterfassungsdaten

5.2.1.1 Biometrische Systeme

5.2.1.2 Checkliste Zeiterfassungsdaten

5.2.1.3 Muster einer Betriebsvereinbarung für die automatisierte

Erhebung, Verarbeitung und Nutzung von Zeiterfassungsdaten

5.2.1.3.1 Muster-Betriebsvereinbarung Zutritts- und Zeiterfassungssystem

5.2.1.4 Einzelprobleme

5.2.2 Gesundheitsdaten

5.2.2.1 Betriebsarzt

5.3 Betriebsrat und Datenschutz – Verhältnis zum betrieblichen Daten-

schutzbeauftragten

5.3.1 Muster für eine Betriebsvereinbarung Internet/E-Mail

5.3.1.1 Internetbenutzerrichtlinie

5.3.1.2 Merkblatt zur E-Mail-Nutzung

5.3.1.3 Muster einer Betriebsvereinbarung für die private Nutzung des

Internets

5.3.1.4 Muster einer Einwilligungserklärung

5.3.1.5 Muster-Betriebsvereinbarung Internet- und E-Mail-Nutzung

5.3.2 Muster für eine Betriebsvereinbarung Personaldaten

5.3.3 Muster für eine Betriebsvereinbarung über die Einführung und den

Betrieb eines DV-gestützten Betriebserfassungssystems

5.3.4 Muster für eine Gesamtbetriebsvereinbarung zur Einführung eines

Personalverwaltungssystems für alle Mitarbeiterinnen und Mit-

arbeiter

5.3.5 Muster für eine Betriebsvereinbarung zum Einsatz von Videoüber-

wachungstechnik für das Werksgelände

5.3.5.1 Muster einer Betriebsvereinbarung zur Videoüberwachung

5.3.6 Muster für eine Betriebsvereinbarung zur Telefonanlage

5.3.6.1 Muster einer Betriebsvereinbarung über die VoIP-Nutzung

5.3.7 Muster einer Betriebsvereinbarung über die Gewährleistung der

Zugriffskontrolle

1.1 Seite 8 Inhalt

12/16

5.3.8 Muster für eine Betriebsvereinbarung zum Beschäftigten-Daten-

schutz und zur Nutzung von Informations- und Kommunikations-

technologien

5.3.8.1 Betriebsanweisung zur Gewährleistung des Datenschutzes und der

Datensicherheit

5.3.9 Betriebsvereinbarung für ein IT Regelwerk zur Nutzung

von „Mobile Devices“

5.3.10 Betriebsvereinbarung zur Fernwartung und Fernsteuerung durch

eigene Mitarbeiter

5.3.10.1 Muster-Betriebsvereinbarung zur Thematik Monitoring durch das

System „Z“

5.3.11 Betriebs-/Dienstvereinbarung über die Protokollierung bei der

automatisierten Verarbeitung personenbezogener Daten

5.4 Sicherheit am Arbeitsplatz

5.4.1 Gewährleistung des Persönlichkeitsschutzes

5.4.1.1 Datenschutz in Großraumbüros

5.4.1.1.1 Checkliste zur datenschutzgerechten Gestaltung von Großraum-

büros

5.4.1.2 Checkliste zum Persönlichkeitsschutz – allgemein

5.4.1.3 Einzelprobleme

5.4.2 Allgemeine Sicherheitsmaßnahmen beim Einsatz von IuK-Geräten

am Arbeitsplatz

5.4.2.1 IuK-Sicherheitsbelehrung

5.4.2.2 Orientierungshilfe zur Passwortvergabe, Passwortwahl und Pass-

wortverwaltung

5.4.2.2.1 Checkliste zur Passwortvergabe, Passwortwahl und Passwort-

verwaltung

5.4.2.3 Orientierungshilfe zur Protokollierung

5.4.2.4 Checkliste für eine datenschutzgerechte Protokollierung

5.4.2.5 Schulungsunterlagen zur Protokollierung

5.4.2.6 Checkliste zur Erstellung eines Berechtigungskonzeptes

5.4.2.7 IT-Sicherheitsrichtlinie

5.4.2.8 Einzelprobleme

5.4.2.9 Betriebsanweisung zur Gewährleistung des Datenschutzes beim

Einsatz von IuK-Technik

5.4.2.10 Einsatz von Mediaplayern

5.4.3 PC-Sicherheit

5.4.3.1 Checkliste für die Gestaltung von Arbeitsplatzrechnern (PC)

5.4.3.2 Checkliste für den sicheren PC-Einsatz (im Stand-alone-Betrieb)

Inhalt 1.1 Seite 9

12/16

5.4.3.3 Benutzerleitfaden für den Schutz von Computern und Informatio-

nen auf Computersystemen

5.4.4 Datenschutz und Datensicherheit bei mobilen IuK-Geräten

5.4.4.1 Checkliste zur Gewährleistung des Datenschutzes und der Daten-

sicherheit bei mobilen IuK-Geräten

5.4.4.2 Datensicherheit bei USB-Geräten

5.4.4.2.1 Checkliste zum datenschutzgerechten Einsatz von USB-Geräten

5.4.4.3 Einsatz von Smartphones und Tablet-PCs

5.4.4.3.1 Checkliste für den sicheren Einsatz von Smartphones und Tablet-

PCs

5.4.4.3.2 Sicherheitsmaßnahmen für iOS-Geräte

5.4.4.3.3 Schutz von BlackBerrys

5.4.4.3.4 Mustervereinbarung bezüglich der Nutzung privater mobiler

Geräte

5.4.4.3.5 Einzelprobleme

5.4.5 Datenschutzrechtliche Aspekte beim Einsatz optischer Speicher-

medien

5.4.6 Datenschutzgerechter Einsatz von Outlook

5.4.6.1 Schulungsunterlagen zu Outlook

5.4.6.2 Einzelprobleme

5.4.7 Schutz- und Sicherheitsmaßnahmen für Multifunktionsgeräte

5.4.7.1 Checkliste für den sicheren Einsatz von Multifunktionsgeräten

5.4.8 Applikationen (Apps)

5.4.8.1 Orientierungshilfe zu den Datenschutzanforderungen an App-

Entwickler und App-Anbieter

5.4.8.2 Checkliste zu Apps

5.4.8.3 Musterdokumentation einer App-Entwicklung

5.5 Sicherheit im Netzwerk

5.5.1 Sicherheitsmaßnahmen bei lokalen Netzenwerken

5.5.1.1 Checkliste zur Überprüfung der Datensicherheit in einem lokalen

Netzwerk

5.5.1.2 Checkliste zur Überprüfung der baulichen und organisatorischen

Sicherheit

5.5.1.3 Checkliste zum Einsatz von Fernsteuerungsprogrammen

5.5.2 Sicherheit im Wireless Local Area Network (WLAN)

5.5.2.1 Orientierungshilfe Datenschutz in drahtlosen Netzen

5.5.2.2 Checkliste zum WLAN

5.5.3 Sicherheit im Intranet

5.5.3.1 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im

Intranet

1.1 Seite 10 Inhalt

12/16

5.5.3.2 Intranet als soziales Netzwerk

5.5.4 Sicherheit im Internet

5.5.4.1 Grundlagen der E-Mail-Sicherheit

5.5.4.1.1 Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail

und anderen Internetdiensten am Arbeitsplatz

5.5.4.1.2 Nutzung von Web-Mail-Diensten

5.5.4.1.3 Überwachung der elektronischen Kommunikation von Beschäftig-

ten

5.5.4.1.4 Checkliste zur E-Mail-Sicherheit

5.5.4.1.5 Archivierung von E-Mails

5.5.4.1.6 Mustervertrag zwischen europäischen Mutter- und Tochter-Unter-

nehmen zur Archivierung von E-Mails

5.5.4.1.7 Muster einer Betriebsvereinbarung zur Einführung eines E-Mail-

Archivierungs-Systems für alle Mitarbeiterinnen und Mitarbeiter

5.5.4.1.8 Einzelfragen

5.5.4.2 Checkliste für die Anschaffung, die Installation und den Betrieb

einer Firewall

5.5.4.2.1 Betriebsanweisung für die Einrichtung und den Betrieb von Fire-

wall-Systemen

5.5.4.3 Orientierungshilfe zu Datenschutzfragen des Anschlusses

von Netzen an das Internet

5.5.4.4 Datenschutz bei Suchmaschinen

5.5.4.5 Veröffentlichungen von personenbezogenen Daten im Internet und

Intranet

5.5.4.5.1 Muster einer Einwilligung für Mitarbeiter

5.5.4.5.2 Checkliste zur Veröffentlichung von Mitarbeiterdaten

5.5.4.6 Sichere Anbindung von Telearbeitsplätzen

5.5.4.6.1 Muster einer Betriebsvereinbarung zur Telearbeit

5.5.4.6.2 Genehmigung der Telearbeit

5.5.4.7 Webtracking

5.5.4.8 Checkliste zur Browser-Nutzung

5.5.4.9 Sicherer Einsatz von Webbrowsern

5.5.4.9.1 Betriebs-/Dienstanweisung für die Browsernutzung

5.5.4.10 Einsatz von IPv6

5.5.4.11 Checkliste zum Schutz vo Denial of Service-Angriffen

5.5.4.12 Datenschutzrechtliche Beurteilung von Widgets

5.5.5 Absicherung von Rechenzentren und Serverräumen

5.5.5.1 Checkliste bezüglich der erforderlichen Sicherheitsmaßnahmen in

einem Rechenzentrum bzw. Serverraum

Inhalt 1.1 Seite 11

12/16

5.5.5.2 Fragenkatalog zur Erkennung und Beseitigung von Mängeln und

Schwachstellen

5.5.5.3 Schulungsunterlagen zum Schutz von Rechnerräumen und Servern

5.5.6 Einrichtung eines Benutzerservices

5.5.6.1 Checkliste zum Benutzerservice

5.5.6.2 Betriebs-/Dienstanweisung zur Einrichtung eines Benutzerservices

5.5.7 Sicheres Datenträgerarchiv

5.5.7.1 Checkliste für ein sicheres Datenträgerarchiv

5.5.8 Einzelprobleme

5.6 Spezielle Anwendungen

5.6.1 Dokumentenmanagementsysteme

5.6.1.1 Schulungsunterlagen zum Datenschutz bei Dokumentenmanage-

mentsystemen

5.6.1.2 Orientierungshilfe „Datenschutz bei Dokumentenmanagement-

systemen“

5.6.1.3 Checkliste zur Überprüfung eines Dokumentenmanagementsystems

bezüglich seiner datenschutzgerechten Gestaltung

5.6.1.4 Erfahrungen der Aufsichtsbehörden

5.6.2 Radio Frequency Identifikation (RFID)

5.6.2.1 Orientierungshilfe zum datenschutzgerechten Einsatz von RFID

5.7 Datenschutz bei Telekommunikationseinrichtungen und -anlagen

5.7.1 Checkliste bezüglich des Sicherheitsstatus einer Telekommuni-

kationsanlage

5.7.1.1 Checkliste bezüglicher allgemeiner Datenschutzabnforderungen an

Telekommunikationseinrichtungen und -anlagen

5.7.1.2 Checkliste für hybride TK-Anlagen

5.7.2 Sicherheitsmaßnahmen beim Telefax

5.7.2.1 Checkliste bezüglich der Sicherheitsmaßnahmen beim Telefax

5.7.2.2 Betriebs-/Dienstanweisung für den Einsatz von Telefax-Geräten

5.7.3 Voice over IP (VoIP)

5.7.3.1 Checkliste zu Voice over IP

5.7.4 Einzelprobleme

5.8 Gewährleistung der Rechte des Betroffenen

5.8.1 Einzelprobleme

6 Spezielle Bereiche

6.1 Auftragsdatenverarbeitung

6.1.1 Formen der Auftragsdatenverarbeitung

6.1.1.1 Vernichtung von Datenträgern

1.1 Seite 12 Inhalt

12/16

6.1.1.2 (Fern-)Wartung

6.1.1.2.1 Externe Wartung von Multifunktionsgeräten

6.1.1.3 Outsourcing

6.1.1.4 Managed Desktop Services

6.1.2 Verantwortlichkeiten

6.1.3 Auswahlkriterien und Vertragsgestaltung

6.1.4 Überprüfung der Einhaltung der Regelungen

6.1.5 Abgrenzung zwischen Auftragsdatenverarbeitung und Funktions-

übertragung

6.1.6 Vergabe einer Auftragsdatenverarbeitung ins Ausland

6.1.7 Orientierungshilfe „Wartung, Fernwartung und Fernsteuerung“

6.1.8 Mustervertrag zur Auftragsdatenverarbeitung

6.1.8.1 Mustervertrag zur Fernwartung

6.1.8.1.1 Mustervertrag zur Wartung und Fernwartung

6.1.8.1.2 Service-Dienstleistungs- und Wartungs-Vertrag mit Komponenten

des BDSG

6.1.8.1.3 Betriebsanweisung über die Durchführung von (Fern)wartungen

6.1.8.1.4 Vereinbarungen bzgl. Wartungsdienstleistungen zu Datenschutz,

Vertraulichkeit und Sicherheit (i. S. d. § 11 Abs. 5 BDSG)

6.1.8.2 Mustervertrag zu IT-Dienstleistungen

6.1.8.3 Datenschutz-Vereinbarung bei gegenseitigen Beauftragungen

6.1.8.4 Mustervertrag über die Vernichtung von Datenträgern

6.1.8.5 Mustervertrag zur Auftragsdatenverarbeitung bei Backup-

Leistungen

6.1.8.5.1 Web Attached Backup

6.1.8.5.2 Backup Dokumentation per WEB-Zugriff als spezielles

„Cloud Service“

6.1.8.6 Mustervertrag zur Nutzung eines Rechenzentrums im Rahmen

einer Auftragsdatenverarbeitung

6.1.8.7 Mustervertrag zur Gestaltung des Internet-Auftritts

6.1.8.8 Mustervertrag zur Auftragsdatenverarbeitung mit einem Auftrag-

nehmer in einem EU-Mitgliedsstaat

6.1.8.9 Mustervertrag zur Realisierung eines Live Streamings

6.1.8.10 Mustervertrag zur Erstellung von Reisekostenabrechnungen

6.1.9 Checkliste bezüglich des Datenschutzes und der Datensicherheit im

Rahmen einer Auftragsdatenverarbeitung

6.1.10 Schulungsunterlagen zur „Auftragsdatenverarbeitung aus Sicht des

Datenschutzes“

Inhalt 1.1 Seite 13

12/16

6.1.11 Schulungsunterlagen zur „Wartung und Fernwartung“

6.1.12 Wegweiser zu einem Prüfplan zur Prüfung gemäß § 11

in Verbindung mit der Anlage zu § 9 BDSG

6.1.12.1 Dokumentation der Kontrolle der Datensicherheitsmaßnahmen

6.1.13 Einzelfragen

6.2 Datenschutzgerechte Entsorgung von Datenträgern

6.2.1 Formen der Datenträgerentsorgung

6.2.2 Verfahrensanweisung zur Datenträgervernichtung

6.2.3 Checkliste zur Datenträgervernichtung allgemein

6.2.3.1 Checkliste zur Datenträgervernichtung in Eigenregie

6.2.3.2 Checkliste zur Vernichtung von Datenträgern in Form einer Auf-

tragsdatenverarbeitung

6.3 Bekämpfung von Schadenssoftware (Malware)

6.3.1 Computerviren

6.3.1.1 Virengeschichte

6.3.1.2 Virenarten

6.3.1.3 Verbreitungswege

6.3.1.4 Abwehr- und Vorbeugemaßnahmen

6.3.1.5 Gegenmaßnahmen nach einem Virenbefall

6.3.1.6 Anforderungen an Antivirenprogramme

6.3.1.6.1 Checkliste bezüglich der Anforderungen an Antivirenprogramme

6.3.1.7 Virendokumentation

6.3.1.8 Checkliste zum Virenschutz

6.3.1.9 Schulungsunterlagen zu Computerviren

6.3.2 Spam

6.3.2.1 Funktionsweise und Verbreitungswege von Spam-Mails

6.3.2.2 Relevante technisch-organisatorische Sicherheitsmaßnahmen

6.3.2.3 Rechtliche Fragen und datenschutzrechtliche Problematik

6.3.2.4 Empfohlene Schutzmaßnahmen (Lösungsansätze)

6.3.2.5 Schulungsunterlagen zur Spam-Behandlung

6.3.3 Phishing

6.3.3.1 Ziel, Funktionsweise, Verbreitungswege und Erkennungsmerkmale

von Phishing-Angriffen

6.3.3.2 Technisch-organisatorische Sicherheitsmaßnahmen

6.3.3.3 Checkliste zum Schutz vor Phishing-Mails

6.3.4 Pharming

6.3.4.1 Checkliste zum Schutz vor Pharming-Angriffen

6.3.5 Spyware

6.3.5.1 Checkliste zum Schutz vor Spyware

1.1 Seite 14 Inhalt

12/16

6.3.6 Botnetze

6.3.6.1 Checkliste zu Botnetzen

6.3.7 Scareware

6.3.7.1 Checkliste zum Schutz vor Scareware

6.3.8 Backdoor-Programme

6.3.8.1 Checkliste zum Schutz vor Backdoor-Programmen

6.3.9 Ransomware

6.3.9.1 Checkliste zum Schutz vor Ransomware

6.4 Whistleblowing

6.4.1 Rechtsgrundlagen

6.4.2 Datenschutzgerechte Gestaltung eines Whistleblowing-Verfahrens

6.5 Data Warehouse und Data Mining

6.5.1 Entschließung der Datenschutzbeauftragten des Bundes und der

Länder

6.6 Soziale Netzwerke

6.6.1 Orientierungshilfe „Soziale Netzwerke“

6.6.2 Handlungsrahmen zur Nutzung Sozialer Medien durch öffentliche

Stellen

6.7 Cloud Computing

6.7.1 BSI-Studie: Notfallmanagement mit der Cloud für KMU

6.7.2 Checkliste zum Cloud Computing

6.7.3 Neue ISO-Norm für den Datenschutz in der Cloud

6.7.4 Private Cloud am Beispiel von ownCloud

6.7.5 Einzelprobleme

6.8 Videoüberwachung

6.8.1 Entschließung zur Videoüberwachung

6.8.2 Videoüberwachung öffentlich zugänglicher Bereiche durch nicht-

öffentliche Stellen

6.8.2.1 Checkliste zur Videoüberwachung in einem öffentlich zugänglichen

Raum

6.8.3 Einzelprobleme

6.9 Big Data

7 Datenschutzaufsichtsbehörden

7.1 Datenschutzaufsichtsbehörden

7.2 Übersicht der Datenschutzaufsichtsbehörden für den nicht-öffent-

lichen Bereich

7.3 Aufgaben der Aufsichtsbehörden

7.3.1 Ablauf einer Prüfung

Inhalt 1.1 Seite 15

12/16

7.4 Rechte und Pflichten der Aufsichtsbehörden

7.5 Beschlüsse, Entschließungen und Empfehlungen der Aufsichts-

behörden

7.5.1 Entschließungen des Düsseldorfer Kreises

7.5.1.1 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem

Safe Harbor-Abkommen durch das Daten exportierende Unter-

nehmen

7.5.1.2 Datenschutzkonforme Ausgestaltung von Analyseverfahren zur

Reichweitenmessung bei Internet-Angeboten

7.5.1.3 Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in inter-

national tätigen Unternehmen

7.5.1.4 Datenschutzrechtliche Bewertung von digitalen Straßenansichten

insbesondere im Internet

7.5.1.5 Datenschutzkonforme Gestaltung sozialer Netzwerke

7.5.1.6 Internet-Portale zur Bewertung von Einzelpersonen

7.5.1.7 Datenschutzkonforme Gestaltung der Entwicklung und Anwendung

von RFID-Technologie

7.5.1.8 Mindestanforderungen an Fachkunde und Unabhängigkeit des

Beauftragten für den Datenschutz

7.5.1.9 Umsetzung der Datenschutzrichtlinie für elektronische Kommuni-

kationsdienste

7.5.1.10 Datenschutzgerechte Smartphone-Nutzung ermöglichen!

7.5.1.11 Datenschutzkonforme Gestaltung und Nutzung von Krankenhaus-

informationssystemen

7.5.1.12 Mindestanforderungen an den technischen Datenschutz bei der

Anbindung von Praxis-EDV-Systemen an medizinische Netze

7.5.1.13 Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen

7.5.1.14 Anonymes und pseudonymes elektronisches Bezahlen von Inter-

net-Angeboten ermöglichen

7.5.1.15 Datenschutz in sozialen Netzwerken

7.5.1.16 Einwilligungs- und Schweigepflichtentbindungserklärung in der

Versicherungswirtschaft

7.5.1.17 Near Field Communikation (NFC) bei Geldkarten

7.5.1.18 Videoüberwachung in und an Taxis

7.5.1.19 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung

von personenbezogenen Daten für werbliche Zwecke

7.5.1.20 Datenübermittlung in Drittstaaten

7.5.1.21 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbst-

regulierung entwickelt und durchgeführt werden

1.1 Seite 16 Inhalt

12/16

7.5.1.22 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung

von personenbezogenen Daten für werbliche Zwecke

7.5.1.23 Orientierungshilfe „Videoüberwachung durch nicht-öffentliche

Stellen“

7.5.1.24 Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrs-

mitteln“

7.5.1.25 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-

erklärung in Formularen

7.5.2 Beschlüsse und Entschließungen der Datenschutzbeauftragten des

Bundes und der Länder

7.5.2.1 Entschließung der 70. DSK vom 27./28. Oktober 2005 zu VoIP

7.5.2.2 Entschließung der 72. DSK vom 26./27. Oktober 2006 zu RFID

7.5.2.3 Entschließung der 75. DSK vom 3./4. April 2008 zu VoIP

7.5.2.4 Entschließung der 76. DSK vom 6./7. November 2008 zu

ELENA

7.5.2.5 Entschließungen der 79. DSK vom 17./18. März 2010

7.5.2.6 Entschließungen der 80. DSK vom 3./4. November 2010

7.5.2.7 Entschließungen der 81. DSK vom 16./17. März 2011

7.5.2.8 Entschließungen der 82. DSK vom 28./29. September 2011

7.5.2.9 Entschließungen der 83. DSK vom 21./22. März 2012

7.5.2.10 Entschließungen der 84. DSK vom 7./8. November 2012

7.5.2.11 Entschließungen der 85. DSK vom 13./14. März 2013

7.5.2.12 Entschließung vom 5. September 2013

7.5.2.13 Entschließungen der 86. DSK vom 1./2. November 2013

7.5.2.14 Entschließungen der 87. DSK vom 27./28. März 2014

7.5.2.15 Entschließungen der 88. DSK vom 8./9. Oktober 2014

7.5.2.16 Entschließung der DSK zur Verfolgung des Nutzerverhaltens im

Internet

7.5.2.17 Entschließungen der 89. DSK vom 18./19. März 2015

7.5.2.18 Entschließung der DSK zum Gesetzentwurf zur Vorratsspeicherung

7.5.2.19 Entschließungen der 90. DSK vom 30.09./01.10.2015

7.5.2.20 Entschließungen der 91. DSK vom 06./07.04.2016

7.5.2.21 Entschließung der DSK zum Klagerecht für Datenschutzbehörden

7.5.2.22 Entschließung der DSK zum erhöhten Ressourcenbedarf aufgrund

der DS-GVO

7.6 Standard-Datenschutzmodell

7.7 Internationale Zuständigkeit

Inhalt 1.1 Seite 17

12/16

8 Aktuelle Rechtsprechung

8.1 Recht auf informationelle Selbstbestimmung

8.2 Speicherung der IP-Adressen

8.3 Eilbeschluss des Bundesverfassungsgerichts zur Vorratsdaten-

speicherung

8.4 Personalakte – Aufbewahrung von Gesundheitsdaten

8.5 Keine Auskunftspflicht eines Rechtsanwalts gegenüber Daten-

schutzbeauftragten

8.6 Schutz des Fernmeldegeheimnisses bei abgespeicherten E-Mails

8.7 Veröffentlichung von Gerichtsentscheidungen im Internet

8.8 Urteile zur Videoüberwachung

8.9 Beleidigende Inhalte in Internet-Blogs müssen überprüft werden

8.10 Bundesverfassungsgericht: TKG-Regelungen zur Datenspeicherung

teilweise verfassungswidrig

8.11 Fehlende Transparenz einer Einwilligungserklärung zur Telefon-

werbung

8.12 Bayerischer Verwaltungsgerichtshof: Automatisierte Kennzeichen-

erfassung zulässig

8.13 Sofortige Löschung eines E-Mail-Accounts unzulässig

8.14 Verwertung von Beweisen bei einer verdeckten Videoüberwachung

8.15 Datenschutz im privaten Versicherungsrecht

8.16 Personenbezug dynamischer IP-Adressen

8.16.1 EuGH: Dynamische IP-Adressen sind personenbezogene Daten

8.17 Haftung des Providers in Internetportalen

8.18 Auskunftsanspruch der Datenschutzaufsichtsbehörden

8.19 Grenzen der Meinungsäußerung einer Datenschutzaufsichts-

behörde

8.20 Der Betreiber einer Suchmaschine muss gegebenenfalls Links aus

einer Ergebnisliste entfernen

8.20.1 Umsetzung des EuGH-Urteils

8.21 Keine unerwünschten Werbeanrufe unter dem Deckmantel von

Zufriedenheitsabfragen

8.22 Dashcams und Datenschutz

8.22.1 Stellungnahme des Bayerischen Landesamtes für Datenschutz zum

Dashcam-Urteil des VG Ansbach

8.22.2 Private Dashcam-Aufzeichnungen im Straßenverkehr

8.23 Kündigung wegen unerlaubter Datenspeicherung

8.24 Speicherung von Verkehrsdaten

8.25 Kündigung bei exzessiver privater Internetnutzung

1.1 Seite 18 Inhalt

12/16

8.25.1 Außerordentliche Kündigung wegen privater Internetnutzung

8.26 Sonderkündigungsschutz für Datenschutzbeauftragte nur bei

schriftlicher Bestellung

8.27 Landesarbeitsgericht Köln zum Thema Arbeitszeitbetrug

8.28 Kündigung aufgrund eines zufälligen (unerlaubten) Zugriffs auf

sensible Firmendaten

8.29 Safe-Harbor-Urteil des Gerichtshofs der Europäischen Union

8.30 Einsicht des Arbeitgebers in einen elektronischen Kalender

8.31 Observation durch einen Detektiv mit heimlichen Videoaufnahmen

8.32 Zuordnung einer IP-Adresse zu einem konkreten Internetanschluss

8.33 Klarnamenpflicht bei Facebook bleibt (vorerst)

8.34 Datenschutzverstoß durch Facebook „Like“ Button

Inhalt 1.1 Seite 19

12/16