1.1 Inhalt
1 Wegweiser
1.1 Inhalt
1.2 Stichwortverzeichnis
1.3 Verzeichnis – Mustervordrucke
1.4 Autorenverzeichnis
2 Aktuelle Hinweise
2.1 Novellierung des Bundesdatenschutzgesetzes (BDSG)
2.1.1 BDSG-Novelle I
2.1.2 BDSG-Novelle II
2.1.3 BDSG-Novelle III
2.1.4 Checkliste zur Novellierung des Bundesdatenschutzgesetzes (BDSG)
2.1.5 Bericht über die Auswirkungen der §§ 30a und 42a des Bundes-
datenschutzgesetzes
2.1.6 Bericht der Bundesregierung über die Auswirkungen der Änderun-
gen der §§ 28 und 29 des BDSG
2.2 Schulungsunterlagen zur aktuellen Entwicklung im Beschäftigten-
datenschutz
2.2.1 Bundesdatenschutzbeauftragter kritisiert geplante Bespitzelung am
Arbeitsplatz
2.3 Abmahnung von Datenschutzverstößen durch Verbände
2.4 Anforderungen an E-Mail-Diensteanbieter für einen sicheren
Transport von E-Mails
2.5 Information des HmbBfDI zu den Einwilligungslösungen von
2.6 Cloud Computing und Datenschutz
2.7 Entwurf eines Zweiten Gesetzes zur Änderung des Telemedien-
gesetzes
2.8 Informationen zur Digitalen Agenda 2014–2017
2.9 Orientierungshilfe zu Inhalten und Anforderungen an branchen-
spezifische Sicherheitsstandards gemäß § 8a Abs. 2 BSIG
2.10 Errichtung einer Stiftung Datenschutz
2.10.1 Grobkonzept zur Errichtung einer Stiftung Datenschutz
2.10.2 Bundesdatenschutzbeauftragter kritisiert geplante Stiftung Daten-
schutz
Inhalt 1.1 Seite 1
12/16
2.10.3 Stiftung Datenschutz: Anfang oder Ende?
2.11 BSI veröffentlicht Sicherheitsstudie zu TrueCrypt
2.12 Cyber-Sicherheitsempfehlung zum Thema DNSSEC
2.13 Ansichten des EuGH-Generalanwalts zur Vorratsdatenspeicherung
2.14 Hinweise zu Industrie 4.0 – Rechtliche Herausforderung
der Digitalisierung
2.15 Weitergabe von Standortdaten durch BMW
2.16 Mitteilung der Europäischen Kommission, Brüssel, – Presse-
mitteilung – vom 12.07.2016 zum EU-US-Datenschutzschild
2.17 Europäischer Gerichtshof entscheidet: Gebrauchte Software-
lizenzen dürfen weiterverkauft werden
2.18 Bewertungs-Methoden der Schufa und Scoring-Hinweise zu den
Methoden in der US-Kreditbewertung, neueste Entwicklungen
2.19 Aktuelle Informationen zur Frage der Rechtmäßigkeit der
Erfassung biometrischer Daten
2.20 IT-Grundschutz-Baustein Webanwendungen
2.21 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-
erklärung in Formularen
2.22 Orientierungshilfe Mandantenfähigkeit
2.23 Entscheidung des Bundesgerichtshofs (BGH) bzgl. Persönlichkeits-
rechte
2.24 Der Bundesverband der Deutschen Industrie e.V. und Cloud-
Anwendungen
2.25 Entschließung zu Webtracking und Datenschutz
2.26 Die Aufnahme von Fingerabdrücken in Reisepässe ist rechtens
2.27 Verwaltungsgericht hebt Anordnungen des ULD Schleswig-Holstein
betreffend Fanpages bei Facebook auf
2.28 Urteil des Verwaltungsgerichts Hannover zum Scannen
und Speichern von Personalausweisen (Urteil vom 28.11.2013)
2.29 BSI veröffentlicht Technische Richtlinie „Ersetzendes Scannen“
2.30 EU-Verordnung über elektronische Identifizierung und Vertrauens-
dienste für elektronische Transaktionen im Binnenmarkt
2.31 Erster Entwurf eines neuen BDSG liegt vor
2.32 Technische Richtlinie TR-01201 De-Mail
2.33 Verwendungsverbot bei Filesharing-Abmahnungen
2.34 Europäische Cloud als „preferred“ Datenspeicher
2.35 Bitkom-Praxisleitfaden „Das Verfahrensverzeichnis“
2.36 Referentenentwurf zur Vorratsdatenspeicherung
1.1 Seite 2 Inhalt
12/16
2.36.1 Wesentliche Punkte des Referentenentwurfs
2.37 eIDAS-Verordnung über elektronische Identifizierung
und Vertrauensdienste
2.38 Technische Richtlinie TR-02102: Krypto-Richtlinien
2.39 Urteil des Europäischen Gerichtshofes zur Frage der Rechtmäßig-
keit von Datentransfers auf Basis des sog. Safe Harbor Abkommens
2.39.1 Datentransfers in die USA
2.40 BSI-Lagebericht zur IT-Sicherheit 2015
2.41 Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und
nicht vernetzter Kraftfahrzeuge (1)
2.42 Cyber-Sicherheitsumfrage 2015 des BSI
3 Einführung in den Datenschutz
3.1 Kurze Historie – Entwicklung und Tendenzen
3.2 Grundlagen des Datenschutzrechts
4 Gesetzliche Regelungen mit Erläuterungen
4.1 Datenschutz international
4.1.1 EU-Vorgaben
4.1.1.1 EG-Datenschutzrichtlinie
4.1.1.2 Art. 29-Datenschutzgruppe
4.1.1.2.1 Zukünftige Tätigkeiten
4.1.1.4 EG-Vorgaben für Datenschutz bei Datenverarbeitung in Dritt-
ländern
4.1.2 Datenschutzvorgaben in Drittländern
4.1.3 USA Safe Harbor
4.2 Bundesdatenschutzgesetz
4.2.1 Gesetzeserläuterungen
4.2.1.1 § 1 BDSG: Zweck und Anwendungsbereich des Gesetzes
4.2.1.2 § 2 BDSG: Öffentliche und nicht-öffentliche Stellen
4.2.1.3 § 3 BDSG: Weitere Begriffsbestimmungen
4.2.1.3.1 § 3a BDSG: Datenvermeidung und Datensparsamkeit
4.2.1.4 § 4 BDSG: Zulässigkeit der Datenerhebung, -verarbeitung und
-nutzung
4.2.1.4.1 § 4a BDSG: Einwilligung
4.2.1.4.2 § 4b BDSG: Übermittlung personenbezogener Daten ins Ausland
sowie an über- oder zwischenstaatliche Stellen
4.2.1.4.3 § 4c BDSG: Ausnahmen
4.2.1.4.4 § 4d BDSG: Meldepflicht
Inhalt 1.1 Seite 3
12/16
4.2.1.4.5 § 4e BDSG: Inhalt der Meldepflicht
4.2.1.4.6 § 4f BDSG: Beauftragter für den Datenschutz
4.2.1.4.7 § 4g BDSG: Aufgaben des Beauftragten für den Datenschutz
4.2.1.5 § 5 BDSG: Datengeheimnis
4.2.1.6 § 6 BDSG: Rechte des Betroffenen
4.2.1.6.1 § 6a BDSG: Automatisierte Einzelentscheidung
4.2.1.6.2 § 6b BDSG: Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen
4.2.1.6.3 § 6c BDSG: Mobile personenbezogene Speicher- und
Verarbeitungsmedien
4.2.1.7 § 7 BDSG: Schadensersatz
4.2.1.8 § 8 BDSG: Schadensersatz bei automatisierter Datenverarbeitung
durch öffentliche Stellen
4.2.1.9 § 9 BDSG: Technische und organisatorische Maßnahmen
4.2.1.9.1 § 9a BDSG: Datenschutzaudit
4.2.1.9.2 Datenschutzaudit nach § 9 BDSG
4.2.1.9.3 Argumentation für ein Datenschutzaudit
4.2.1.9.4 Auditierungsstellen
4.2.1.9.5 Argumentation für ein Datenschutzaudit
4.2.1.10 § 10 BDSG: Einrichtung automatisierter Abrufverfahren
4.2.1.11 § 11 BDSG: Erhebung, Verarbeitung oder Nutzung personen-
bezogener Daten im Auftrag
4.2.1.12 §§ 12 bis 26 BDSG: Zweiter Abschnitt, Datenverarbeitung der
öffentlichen Stellen
4.2.1.28 § 28 BDSG: Datenerhebung und -speicherung für eigene Geschäfts-
zwecke
4.2.1.28.1 § 28a BDSG: Datenübermittlung an Auskunfteien
4.2.1.28.2 § 28b BDSG: Scoring
4.2.1.29 § 29 BDSG: Geschäftsmäßige Datenerhebung und -speicherung
zum Zwecke der Übermittlung
4.2.1.30 § 30 BDSG: Geschäftsmäßige Datenerhebung und -speicherung
zum Zwecke der Übermittlung in anonymisierter Form
4.2.1.30.1 § 30a BDSG: Geschäftsmäßige Datenerhebung und -speicherung
für Zwecke der Markt- und Meinungsforschung
4.2.1.31 § 31 BDSG: Besondere Zweckbindung
4.2.1.32 § 32 BDSG: Datenerhebung, -verarbeitung und -nutzung
für Zwecke des Beschäftigungsverhältnisses
4.2.1.33 § 33 BDSG: Benachrichtigung des Betroffenen
4.2.1.34 § 34 BDSG: Auskunft an den Betroffenen
1.1 Seite 4 Inhalt
12/16
4.2.1.35 § 35 BDSG: Berichtigung, Löschung und Sperrung von Daten
4.2.1.38 § 38 BDSG: Aufsichtsbehörde
4.2.1.38.1 § 38a BDSG: Verhaltensregeln zur Förderung der Durchführung
datenschutzrechtlicher Regelungen
4.2.1.39 § 39 BDSG: Vierter Abschnitt: Sondervorschriften Zweckbindung
bei personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
4.2.1.40 § 40 BDSG: Verarbeitung und Nutzung personenbezogener Daten
durch Forschungseinrichtungen
4.2.1.41 § 41 BDSG: Erhebung, Verarbeitung und Nutzung personen-
bezogener Daten durch die Medien
4.2.1.42 § 42 BDSG: Datenschutzbeauftragter der Deutschen Welle
4.2.1.42.1 § 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntnis-
erlangung von Daten
4.2.1.43 § 43 BDSG: Fünfter Abschnitt mit den Schlussvorschriften Bußgeld-
vorschriften
4.2.1.44 § 44 BDSG: Strafvorschriften
4.2.1.45 § 45 BDSG: Sechster Abschnitt: Übergangsvorschriften Laufende
Verwendungen
4.2.1.46 § 46 BDSG: Weitergeltung von Begriffsbestimmungen
4.2.1.47 § 47 BDSG: Übergangsregelung
4.2.1.48 § 48 BDSG: Bericht der Bundesregierung
4.3 Landesdatenschutzgesetze
4.4 Telekommunikationsgesetz (TKG)
4.4.1 Allgemeine Erläuterungen zum TKG
4.4.2 Teil 1: Allgemeine Vorschriften
4.4.2.1 Wichtige Begriffsbestimmungen
4.4.3 Teil 7: Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit
4.5 Telemediengesetz (TMG)
4.5.1 Allgemeine Erläuterungen zum TMG
4.5.2 Allgemeine Bestimmungen
4.5.3 Informationspflichten (Anbieterkennzeichnung)
4.5.4 Verantwortlichkeit
4.5.5 Datenschutzbestimmungen
4.5.6 Hinweise zur Erstellung einer Online-Datenschutzerklärung
4.5.7 Erstellung eines Muster-Impressums
4.5.8 Schulungsunterlagen zu Datenschutzaspekte des Telemedien-
gesetzes
4.5.9 Elektronische Gästebücher und Internet-Foren
Inhalt 1.1 Seite 5
12/16
4.5.10 Einzelprobleme
4.6 De-Mail-Gesetz
4.6.1 Allgemeine Erläuterungen zum Gesetz zum sicheren E-Mail-
Verkehr (De-Mail-Gesetz)
4.6.2 Nähere Erläuterungen zu den einzelnen Paragrafen
4.6.3 Handreichung des Bundesbeauftragten für den Datenschutz zur
De-Mail-Nutzung
4.7 Signaturgesetz (SigG)
4.7.1 Allgemeines zum Signaturgesetz (SigG)
4.8 Erläuterungen zum Signaturgesetz (SigG)
4.8.1 Einzelprobleme
4.9 Elektronische Steuererklärung (ELSTER)
4.10 IT-Sicherheitsgesetz
4.10.1 Gesetzesbestandteile im Einzelnen
4.10.2 Verordnung zur Bestimmung kritischer Infrastrukturen
4.11 Datenschutz-Grundverordnung (DS-GVO)
4.11.1 Datenschutz-Grundverordnung in Kraft getreten
4.11.2 Wesentliche Neuerungen
4.11.2.1 Neue Regelungen zur Auftrags(daten)verarbeitung
4.11.2.2 Datenschutz-Folgenabschätzung
4.11.3 Auswirkungen auf Deutschland
4.11.4 Öffnungsklauseln
5 Technisch-organisatorische Umsetzung der gesetzlichen
Vorgaben
5.1 Grundlegende technisch-organisatorische Maßnahmen
5.1.1 Verantwortliche Stelle
5.1.2 Betrieblicher Datenschutzbeauftragter
5.1.2.1 Musterformular: Bestellung zum betrieblichen Datenschutz-
beauftragten
5.1.2.2 Merkblatt zur Bestellung eines betrieblichen Datenschutz-
beauftragten
5.1.2.3 Musterformular: Bestellung eines externen Datenschutz-
beauftragten
5.1.2.4 Merkblatt zur Bestellung eines externen Datenschutzbeauftragten
5.1.2.5 Der betriebliche Datenschutzbeauftragte
5.1.2.6 Musterformular: Bestellung zum Stellvertreter des betrieblichen
Datenschutzbeauftragten
1.1 Seite 6 Inhalt
12/16
5.1.2.7 Einzelprobleme
5.1.3 Verpflichtung auf das Datengeheimnis
5.1.3.1 Muster einer Verpflichtungserklärung
5.1.3.1.1 Muster einer Verpflichtungserklärung im Rahmen einer Auftrags-
datenverarbeitung
5.1.3.1.2 Muster einer Geheimhaltungsvereinbarung
5.1.3.2 Datenschutzmerkblatt zur Verpflichtungserklärung
5.1.3.3 Verpflichtung nach dem Verpflichtungsgesetz
5.1.4 Vorabkontrolle
5.1.4.1 Checkliste zur Durchführung einer Vorabkontrolle
5.1.4.2 Musterdokumentation für eine Vorabkontrolle
5.1.5 Führen eines Verfahrensverzeichnisses
5.1.5.1 Musterformblatt zur Verfahrensbeschreibung
5.1.5.2 Musterverfahrensbeschreibung
5.1.5.3 Muster eines Schreibens zur Auskunftserteilung
5.1.5.4 Schulungsunterlagen zum Verfahrensverzeichnis
5.1.5.5 Checkliste zum Verfahrensverzeichnis
5.1.5.6 Fragen zum Verfahrensverzeichnis
5.1.6 Datensicherheitsmaßnahmen gemäß § 9 BDSG mit Anlage
5.1.6.1 Erstellung eines Schutzstufenkonzeptes
5.1.6.2 Strategie bei der Auswahl geeigneter Sicherheitsmaßnahmen
5.1.6.2.1 Checkliste zur Auswahl geeigneter Sicherheitsmaßnahmen
5.1.6.3 Beispiel eines Maßnahmenkatalogs
5.1.6.3.1 Checkliste Zutrittskontrolle
5.1.6.3.2 Checkliste Zugangskontrolle
5.1.6.3.3 Checkliste zur Gebäude- und Einbruchsicherheit
5.1.6.3.4 Checkliste Zugriffskontrolle
5.1.6.4 Schulungsunterlagen zu „Datensicherheitsmaßnahmen i. S. des § 9
BDSG mit Anlage“
5.1.6.5 Gesetzlich vorgeschriebene technisch-organisatorische Daten-
sicherheitsmaßnahmen
5.1.7 Durchführung von Datenschutzschulungen
5.1.7.1 Einladungsschreiben für eine Datenschutzschulung
5.1.7.2 Muster einer Teilnahmebescheinigung
5.1.7.3 Schulungsunterlagen zum Datenschutz und zur Datensicherheit
5.1.8 Durchführung des Meldeverfahrens
5.1.8.1 Musterformular zum Meldeverfahren
5.1.9 Überwachung der ordnungsgemäßen Anwendung der Daten-
verarbeitungsprogramme
Inhalt 1.1 Seite 7
12/16
5.1.9.1 Prüfungsgerüst für die Kontrolle der Datensicherheitsmaßnahmen
5.1.10 Erstellung eines Tätigkeitsberichts
5.1.11 Mitwirkung bei der Personalauswahl
5.1.12 Bestellung eines IT-Sicherheitsbeauftragten
5.1.12.1 Muster eines Dienstleistungsvertrages für die Bestellung
eines IT-Sicherheitsbeauftragten
5.2 Datenschutz für Arbeitnehmerdaten
5.2.1 Datenschutz bei Zeiterfassungsdaten
5.2.1.1 Biometrische Systeme
5.2.1.2 Checkliste Zeiterfassungsdaten
5.2.1.3 Muster einer Betriebsvereinbarung für die automatisierte
Erhebung, Verarbeitung und Nutzung von Zeiterfassungsdaten
5.2.1.3.1 Muster-Betriebsvereinbarung Zutritts- und Zeiterfassungssystem
5.2.1.4 Einzelprobleme
5.2.2 Gesundheitsdaten
5.2.2.1 Betriebsarzt
5.3 Betriebsrat und Datenschutz – Verhältnis zum betrieblichen Daten-
schutzbeauftragten
5.3.1 Muster für eine Betriebsvereinbarung Internet/E-Mail
5.3.1.1 Internetbenutzerrichtlinie
5.3.1.2 Merkblatt zur E-Mail-Nutzung
5.3.1.3 Muster einer Betriebsvereinbarung für die private Nutzung des
Internets
5.3.1.4 Muster einer Einwilligungserklärung
5.3.1.5 Muster-Betriebsvereinbarung Internet- und E-Mail-Nutzung
5.3.2 Muster für eine Betriebsvereinbarung Personaldaten
5.3.3 Muster für eine Betriebsvereinbarung über die Einführung und den
Betrieb eines DV-gestützten Betriebserfassungssystems
5.3.4 Muster für eine Gesamtbetriebsvereinbarung zur Einführung eines
Personalverwaltungssystems für alle Mitarbeiterinnen und Mit-
arbeiter
5.3.5 Muster für eine Betriebsvereinbarung zum Einsatz von Videoüber-
wachungstechnik für das Werksgelände
5.3.5.1 Muster einer Betriebsvereinbarung zur Videoüberwachung
5.3.6 Muster für eine Betriebsvereinbarung zur Telefonanlage
5.3.6.1 Muster einer Betriebsvereinbarung über die VoIP-Nutzung
5.3.7 Muster einer Betriebsvereinbarung über die Gewährleistung der
Zugriffskontrolle
1.1 Seite 8 Inhalt
12/16
5.3.8 Muster für eine Betriebsvereinbarung zum Beschäftigten-Daten-
schutz und zur Nutzung von Informations- und Kommunikations-
technologien
5.3.8.1 Betriebsanweisung zur Gewährleistung des Datenschutzes und der
Datensicherheit
5.3.9 Betriebsvereinbarung für ein IT Regelwerk zur Nutzung
von „Mobile Devices“
5.3.10 Betriebsvereinbarung zur Fernwartung und Fernsteuerung durch
eigene Mitarbeiter
5.3.10.1 Muster-Betriebsvereinbarung zur Thematik Monitoring durch das
System „Z“
5.3.11 Betriebs-/Dienstvereinbarung über die Protokollierung bei der
automatisierten Verarbeitung personenbezogener Daten
5.4 Sicherheit am Arbeitsplatz
5.4.1 Gewährleistung des Persönlichkeitsschutzes
5.4.1.1 Datenschutz in Großraumbüros
5.4.1.1.1 Checkliste zur datenschutzgerechten Gestaltung von Großraum-
büros
5.4.1.2 Checkliste zum Persönlichkeitsschutz – allgemein
5.4.1.3 Einzelprobleme
5.4.2 Allgemeine Sicherheitsmaßnahmen beim Einsatz von IuK-Geräten
am Arbeitsplatz
5.4.2.1 IuK-Sicherheitsbelehrung
5.4.2.2 Orientierungshilfe zur Passwortvergabe, Passwortwahl und Pass-
wortverwaltung
5.4.2.2.1 Checkliste zur Passwortvergabe, Passwortwahl und Passwort-
verwaltung
5.4.2.3 Orientierungshilfe zur Protokollierung
5.4.2.4 Checkliste für eine datenschutzgerechte Protokollierung
5.4.2.5 Schulungsunterlagen zur Protokollierung
5.4.2.6 Checkliste zur Erstellung eines Berechtigungskonzeptes
5.4.2.7 IT-Sicherheitsrichtlinie
5.4.2.8 Einzelprobleme
5.4.2.9 Betriebsanweisung zur Gewährleistung des Datenschutzes beim
Einsatz von IuK-Technik
5.4.2.10 Einsatz von Mediaplayern
5.4.3 PC-Sicherheit
5.4.3.1 Checkliste für die Gestaltung von Arbeitsplatzrechnern (PC)
5.4.3.2 Checkliste für den sicheren PC-Einsatz (im Stand-alone-Betrieb)
Inhalt 1.1 Seite 9
12/16
5.4.3.3 Benutzerleitfaden für den Schutz von Computern und Informatio-
nen auf Computersystemen
5.4.4 Datenschutz und Datensicherheit bei mobilen IuK-Geräten
5.4.4.1 Checkliste zur Gewährleistung des Datenschutzes und der Daten-
sicherheit bei mobilen IuK-Geräten
5.4.4.2 Datensicherheit bei USB-Geräten
5.4.4.2.1 Checkliste zum datenschutzgerechten Einsatz von USB-Geräten
5.4.4.3 Einsatz von Smartphones und Tablet-PCs
5.4.4.3.1 Checkliste für den sicheren Einsatz von Smartphones und Tablet-
PCs
5.4.4.3.2 Sicherheitsmaßnahmen für iOS-Geräte
5.4.4.3.3 Schutz von BlackBerrys
5.4.4.3.4 Mustervereinbarung bezüglich der Nutzung privater mobiler
Geräte
5.4.4.3.5 Einzelprobleme
5.4.5 Datenschutzrechtliche Aspekte beim Einsatz optischer Speicher-
medien
5.4.6 Datenschutzgerechter Einsatz von Outlook
5.4.6.1 Schulungsunterlagen zu Outlook
5.4.6.2 Einzelprobleme
5.4.7 Schutz- und Sicherheitsmaßnahmen für Multifunktionsgeräte
5.4.7.1 Checkliste für den sicheren Einsatz von Multifunktionsgeräten
5.4.8 Applikationen (Apps)
5.4.8.1 Orientierungshilfe zu den Datenschutzanforderungen an App-
Entwickler und App-Anbieter
5.4.8.2 Checkliste zu Apps
5.4.8.3 Musterdokumentation einer App-Entwicklung
5.5 Sicherheit im Netzwerk
5.5.1 Sicherheitsmaßnahmen bei lokalen Netzenwerken
5.5.1.1 Checkliste zur Überprüfung der Datensicherheit in einem lokalen
Netzwerk
5.5.1.2 Checkliste zur Überprüfung der baulichen und organisatorischen
Sicherheit
5.5.1.3 Checkliste zum Einsatz von Fernsteuerungsprogrammen
5.5.2 Sicherheit im Wireless Local Area Network (WLAN)
5.5.2.1 Orientierungshilfe Datenschutz in drahtlosen Netzen
5.5.2.2 Checkliste zum WLAN
5.5.3 Sicherheit im Intranet
5.5.3.1 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im
Intranet
1.1 Seite 10 Inhalt
12/16
5.5.3.2 Intranet als soziales Netzwerk
5.5.4 Sicherheit im Internet
5.5.4.1 Grundlagen der E-Mail-Sicherheit
5.5.4.1.1 Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail
und anderen Internetdiensten am Arbeitsplatz
5.5.4.1.2 Nutzung von Web-Mail-Diensten
5.5.4.1.3 Überwachung der elektronischen Kommunikation von Beschäftig-
ten
5.5.4.1.4 Checkliste zur E-Mail-Sicherheit
5.5.4.1.5 Archivierung von E-Mails
5.5.4.1.6 Mustervertrag zwischen europäischen Mutter- und Tochter-Unter-
nehmen zur Archivierung von E-Mails
5.5.4.1.7 Muster einer Betriebsvereinbarung zur Einführung eines E-Mail-
Archivierungs-Systems für alle Mitarbeiterinnen und Mitarbeiter
5.5.4.1.8 Einzelfragen
5.5.4.2 Checkliste für die Anschaffung, die Installation und den Betrieb
einer Firewall
5.5.4.2.1 Betriebsanweisung für die Einrichtung und den Betrieb von Fire-
wall-Systemen
5.5.4.3 Orientierungshilfe zu Datenschutzfragen des Anschlusses
von Netzen an das Internet
5.5.4.4 Datenschutz bei Suchmaschinen
5.5.4.5 Veröffentlichungen von personenbezogenen Daten im Internet und
Intranet
5.5.4.5.1 Muster einer Einwilligung für Mitarbeiter
5.5.4.5.2 Checkliste zur Veröffentlichung von Mitarbeiterdaten
5.5.4.6 Sichere Anbindung von Telearbeitsplätzen
5.5.4.6.1 Muster einer Betriebsvereinbarung zur Telearbeit
5.5.4.6.2 Genehmigung der Telearbeit
5.5.4.7 Webtracking
5.5.4.8 Checkliste zur Browser-Nutzung
5.5.4.9 Sicherer Einsatz von Webbrowsern
5.5.4.9.1 Betriebs-/Dienstanweisung für die Browsernutzung
5.5.4.10 Einsatz von IPv6
5.5.4.11 Checkliste zum Schutz vo Denial of Service-Angriffen
5.5.4.12 Datenschutzrechtliche Beurteilung von Widgets
5.5.5 Absicherung von Rechenzentren und Serverräumen
5.5.5.1 Checkliste bezüglich der erforderlichen Sicherheitsmaßnahmen in
einem Rechenzentrum bzw. Serverraum
Inhalt 1.1 Seite 11
12/16
5.5.5.2 Fragenkatalog zur Erkennung und Beseitigung von Mängeln und
Schwachstellen
5.5.5.3 Schulungsunterlagen zum Schutz von Rechnerräumen und Servern
5.5.6 Einrichtung eines Benutzerservices
5.5.6.1 Checkliste zum Benutzerservice
5.5.6.2 Betriebs-/Dienstanweisung zur Einrichtung eines Benutzerservices
5.5.7 Sicheres Datenträgerarchiv
5.5.7.1 Checkliste für ein sicheres Datenträgerarchiv
5.5.8 Einzelprobleme
5.6 Spezielle Anwendungen
5.6.1 Dokumentenmanagementsysteme
5.6.1.1 Schulungsunterlagen zum Datenschutz bei Dokumentenmanage-
mentsystemen
5.6.1.2 Orientierungshilfe „Datenschutz bei Dokumentenmanagement-
systemen“
5.6.1.3 Checkliste zur Überprüfung eines Dokumentenmanagementsystems
bezüglich seiner datenschutzgerechten Gestaltung
5.6.1.4 Erfahrungen der Aufsichtsbehörden
5.6.2 Radio Frequency Identifikation (RFID)
5.6.2.1 Orientierungshilfe zum datenschutzgerechten Einsatz von RFID
5.7 Datenschutz bei Telekommunikationseinrichtungen und -anlagen
5.7.1 Checkliste bezüglich des Sicherheitsstatus einer Telekommuni-
kationsanlage
5.7.1.1 Checkliste bezüglicher allgemeiner Datenschutzabnforderungen an
Telekommunikationseinrichtungen und -anlagen
5.7.1.2 Checkliste für hybride TK-Anlagen
5.7.2 Sicherheitsmaßnahmen beim Telefax
5.7.2.1 Checkliste bezüglich der Sicherheitsmaßnahmen beim Telefax
5.7.2.2 Betriebs-/Dienstanweisung für den Einsatz von Telefax-Geräten
5.7.3 Voice over IP (VoIP)
5.7.3.1 Checkliste zu Voice over IP
5.7.4 Einzelprobleme
5.8 Gewährleistung der Rechte des Betroffenen
5.8.1 Einzelprobleme
6 Spezielle Bereiche
6.1 Auftragsdatenverarbeitung
6.1.1 Formen der Auftragsdatenverarbeitung
6.1.1.1 Vernichtung von Datenträgern
1.1 Seite 12 Inhalt
12/16
6.1.1.2 (Fern-)Wartung
6.1.1.2.1 Externe Wartung von Multifunktionsgeräten
6.1.1.3 Outsourcing
6.1.1.4 Managed Desktop Services
6.1.2 Verantwortlichkeiten
6.1.3 Auswahlkriterien und Vertragsgestaltung
6.1.4 Überprüfung der Einhaltung der Regelungen
6.1.5 Abgrenzung zwischen Auftragsdatenverarbeitung und Funktions-
übertragung
6.1.6 Vergabe einer Auftragsdatenverarbeitung ins Ausland
6.1.7 Orientierungshilfe „Wartung, Fernwartung und Fernsteuerung“
6.1.8 Mustervertrag zur Auftragsdatenverarbeitung
6.1.8.1 Mustervertrag zur Fernwartung
6.1.8.1.1 Mustervertrag zur Wartung und Fernwartung
6.1.8.1.2 Service-Dienstleistungs- und Wartungs-Vertrag mit Komponenten
des BDSG
6.1.8.1.3 Betriebsanweisung über die Durchführung von (Fern)wartungen
6.1.8.1.4 Vereinbarungen bzgl. Wartungsdienstleistungen zu Datenschutz,
Vertraulichkeit und Sicherheit (i. S. d. § 11 Abs. 5 BDSG)
6.1.8.2 Mustervertrag zu IT-Dienstleistungen
6.1.8.3 Datenschutz-Vereinbarung bei gegenseitigen Beauftragungen
6.1.8.4 Mustervertrag über die Vernichtung von Datenträgern
6.1.8.5 Mustervertrag zur Auftragsdatenverarbeitung bei Backup-
Leistungen
6.1.8.5.1 Web Attached Backup
6.1.8.5.2 Backup Dokumentation per WEB-Zugriff als spezielles
„Cloud Service“
6.1.8.6 Mustervertrag zur Nutzung eines Rechenzentrums im Rahmen
einer Auftragsdatenverarbeitung
6.1.8.7 Mustervertrag zur Gestaltung des Internet-Auftritts
6.1.8.8 Mustervertrag zur Auftragsdatenverarbeitung mit einem Auftrag-
nehmer in einem EU-Mitgliedsstaat
6.1.8.9 Mustervertrag zur Realisierung eines Live Streamings
6.1.8.10 Mustervertrag zur Erstellung von Reisekostenabrechnungen
6.1.9 Checkliste bezüglich des Datenschutzes und der Datensicherheit im
Rahmen einer Auftragsdatenverarbeitung
6.1.10 Schulungsunterlagen zur „Auftragsdatenverarbeitung aus Sicht des
Datenschutzes“
Inhalt 1.1 Seite 13
12/16
6.1.11 Schulungsunterlagen zur „Wartung und Fernwartung“
6.1.12 Wegweiser zu einem Prüfplan zur Prüfung gemäß § 11
in Verbindung mit der Anlage zu § 9 BDSG
6.1.12.1 Dokumentation der Kontrolle der Datensicherheitsmaßnahmen
6.1.13 Einzelfragen
6.2 Datenschutzgerechte Entsorgung von Datenträgern
6.2.1 Formen der Datenträgerentsorgung
6.2.2 Verfahrensanweisung zur Datenträgervernichtung
6.2.3 Checkliste zur Datenträgervernichtung allgemein
6.2.3.1 Checkliste zur Datenträgervernichtung in Eigenregie
6.2.3.2 Checkliste zur Vernichtung von Datenträgern in Form einer Auf-
tragsdatenverarbeitung
6.3 Bekämpfung von Schadenssoftware (Malware)
6.3.1 Computerviren
6.3.1.1 Virengeschichte
6.3.1.2 Virenarten
6.3.1.3 Verbreitungswege
6.3.1.4 Abwehr- und Vorbeugemaßnahmen
6.3.1.5 Gegenmaßnahmen nach einem Virenbefall
6.3.1.6 Anforderungen an Antivirenprogramme
6.3.1.6.1 Checkliste bezüglich der Anforderungen an Antivirenprogramme
6.3.1.7 Virendokumentation
6.3.1.8 Checkliste zum Virenschutz
6.3.1.9 Schulungsunterlagen zu Computerviren
6.3.2 Spam
6.3.2.1 Funktionsweise und Verbreitungswege von Spam-Mails
6.3.2.2 Relevante technisch-organisatorische Sicherheitsmaßnahmen
6.3.2.3 Rechtliche Fragen und datenschutzrechtliche Problematik
6.3.2.4 Empfohlene Schutzmaßnahmen (Lösungsansätze)
6.3.2.5 Schulungsunterlagen zur Spam-Behandlung
6.3.3 Phishing
6.3.3.1 Ziel, Funktionsweise, Verbreitungswege und Erkennungsmerkmale
von Phishing-Angriffen
6.3.3.2 Technisch-organisatorische Sicherheitsmaßnahmen
6.3.3.3 Checkliste zum Schutz vor Phishing-Mails
6.3.4 Pharming
6.3.4.1 Checkliste zum Schutz vor Pharming-Angriffen
6.3.5 Spyware
6.3.5.1 Checkliste zum Schutz vor Spyware
1.1 Seite 14 Inhalt
12/16
6.3.6 Botnetze
6.3.6.1 Checkliste zu Botnetzen
6.3.7 Scareware
6.3.7.1 Checkliste zum Schutz vor Scareware
6.3.8 Backdoor-Programme
6.3.8.1 Checkliste zum Schutz vor Backdoor-Programmen
6.3.9 Ransomware
6.3.9.1 Checkliste zum Schutz vor Ransomware
6.4 Whistleblowing
6.4.1 Rechtsgrundlagen
6.4.2 Datenschutzgerechte Gestaltung eines Whistleblowing-Verfahrens
6.5 Data Warehouse und Data Mining
6.5.1 Entschließung der Datenschutzbeauftragten des Bundes und der
Länder
6.6 Soziale Netzwerke
6.6.1 Orientierungshilfe „Soziale Netzwerke“
6.6.2 Handlungsrahmen zur Nutzung Sozialer Medien durch öffentliche
Stellen
6.7 Cloud Computing
6.7.1 BSI-Studie: Notfallmanagement mit der Cloud für KMU
6.7.2 Checkliste zum Cloud Computing
6.7.3 Neue ISO-Norm für den Datenschutz in der Cloud
6.7.4 Private Cloud am Beispiel von ownCloud
6.7.5 Einzelprobleme
6.8 Videoüberwachung
6.8.1 Entschließung zur Videoüberwachung
6.8.2 Videoüberwachung öffentlich zugänglicher Bereiche durch nicht-
öffentliche Stellen
6.8.2.1 Checkliste zur Videoüberwachung in einem öffentlich zugänglichen
Raum
6.8.3 Einzelprobleme
6.9 Big Data
7 Datenschutzaufsichtsbehörden
7.1 Datenschutzaufsichtsbehörden
7.2 Übersicht der Datenschutzaufsichtsbehörden für den nicht-öffent-
lichen Bereich
7.3 Aufgaben der Aufsichtsbehörden
7.3.1 Ablauf einer Prüfung
Inhalt 1.1 Seite 15
12/16
7.4 Rechte und Pflichten der Aufsichtsbehörden
7.5 Beschlüsse, Entschließungen und Empfehlungen der Aufsichts-
behörden
7.5.1 Entschließungen des Düsseldorfer Kreises
7.5.1.1 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem
Safe Harbor-Abkommen durch das Daten exportierende Unter-
nehmen
7.5.1.2 Datenschutzkonforme Ausgestaltung von Analyseverfahren zur
Reichweitenmessung bei Internet-Angeboten
7.5.1.3 Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in inter-
national tätigen Unternehmen
7.5.1.4 Datenschutzrechtliche Bewertung von digitalen Straßenansichten
insbesondere im Internet
7.5.1.5 Datenschutzkonforme Gestaltung sozialer Netzwerke
7.5.1.6 Internet-Portale zur Bewertung von Einzelpersonen
7.5.1.7 Datenschutzkonforme Gestaltung der Entwicklung und Anwendung
von RFID-Technologie
7.5.1.8 Mindestanforderungen an Fachkunde und Unabhängigkeit des
Beauftragten für den Datenschutz
7.5.1.9 Umsetzung der Datenschutzrichtlinie für elektronische Kommuni-
kationsdienste
7.5.1.10 Datenschutzgerechte Smartphone-Nutzung ermöglichen!
7.5.1.11 Datenschutzkonforme Gestaltung und Nutzung von Krankenhaus-
informationssystemen
7.5.1.12 Mindestanforderungen an den technischen Datenschutz bei der
Anbindung von Praxis-EDV-Systemen an medizinische Netze
7.5.1.13 Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen
7.5.1.14 Anonymes und pseudonymes elektronisches Bezahlen von Inter-
net-Angeboten ermöglichen
7.5.1.15 Datenschutz in sozialen Netzwerken
7.5.1.16 Einwilligungs- und Schweigepflichtentbindungserklärung in der
Versicherungswirtschaft
7.5.1.17 Near Field Communikation (NFC) bei Geldkarten
7.5.1.18 Videoüberwachung in und an Taxis
7.5.1.19 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung
von personenbezogenen Daten für werbliche Zwecke
7.5.1.20 Datenübermittlung in Drittstaaten
7.5.1.21 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbst-
regulierung entwickelt und durchgeführt werden
1.1 Seite 16 Inhalt
12/16
7.5.1.22 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung
von personenbezogenen Daten für werbliche Zwecke
7.5.1.23 Orientierungshilfe „Videoüberwachung durch nicht-öffentliche
Stellen“
7.5.1.24 Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrs-
mitteln“
7.5.1.25 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-
erklärung in Formularen
7.5.2 Beschlüsse und Entschließungen der Datenschutzbeauftragten des
Bundes und der Länder
7.5.2.1 Entschließung der 70. DSK vom 27./28. Oktober 2005 zu VoIP
7.5.2.2 Entschließung der 72. DSK vom 26./27. Oktober 2006 zu RFID
7.5.2.3 Entschließung der 75. DSK vom 3./4. April 2008 zu VoIP
7.5.2.4 Entschließung der 76. DSK vom 6./7. November 2008 zu
ELENA
7.5.2.5 Entschließungen der 79. DSK vom 17./18. März 2010
7.5.2.6 Entschließungen der 80. DSK vom 3./4. November 2010
7.5.2.7 Entschließungen der 81. DSK vom 16./17. März 2011
7.5.2.8 Entschließungen der 82. DSK vom 28./29. September 2011
7.5.2.9 Entschließungen der 83. DSK vom 21./22. März 2012
7.5.2.10 Entschließungen der 84. DSK vom 7./8. November 2012
7.5.2.11 Entschließungen der 85. DSK vom 13./14. März 2013
7.5.2.12 Entschließung vom 5. September 2013
7.5.2.13 Entschließungen der 86. DSK vom 1./2. November 2013
7.5.2.14 Entschließungen der 87. DSK vom 27./28. März 2014
7.5.2.15 Entschließungen der 88. DSK vom 8./9. Oktober 2014
7.5.2.16 Entschließung der DSK zur Verfolgung des Nutzerverhaltens im
Internet
7.5.2.17 Entschließungen der 89. DSK vom 18./19. März 2015
7.5.2.18 Entschließung der DSK zum Gesetzentwurf zur Vorratsspeicherung
7.5.2.19 Entschließungen der 90. DSK vom 30.09./01.10.2015
7.5.2.20 Entschließungen der 91. DSK vom 06./07.04.2016
7.5.2.21 Entschließung der DSK zum Klagerecht für Datenschutzbehörden
7.5.2.22 Entschließung der DSK zum erhöhten Ressourcenbedarf aufgrund
der DS-GVO
7.6 Standard-Datenschutzmodell
7.7 Internationale Zuständigkeit
Inhalt 1.1 Seite 17
12/16
8 Aktuelle Rechtsprechung
8.1 Recht auf informationelle Selbstbestimmung
8.2 Speicherung der IP-Adressen
8.3 Eilbeschluss des Bundesverfassungsgerichts zur Vorratsdaten-
speicherung
8.4 Personalakte – Aufbewahrung von Gesundheitsdaten
8.5 Keine Auskunftspflicht eines Rechtsanwalts gegenüber Daten-
schutzbeauftragten
8.6 Schutz des Fernmeldegeheimnisses bei abgespeicherten E-Mails
8.7 Veröffentlichung von Gerichtsentscheidungen im Internet
8.8 Urteile zur Videoüberwachung
8.9 Beleidigende Inhalte in Internet-Blogs müssen überprüft werden
8.10 Bundesverfassungsgericht: TKG-Regelungen zur Datenspeicherung
teilweise verfassungswidrig
8.11 Fehlende Transparenz einer Einwilligungserklärung zur Telefon-
werbung
8.12 Bayerischer Verwaltungsgerichtshof: Automatisierte Kennzeichen-
erfassung zulässig
8.13 Sofortige Löschung eines E-Mail-Accounts unzulässig
8.14 Verwertung von Beweisen bei einer verdeckten Videoüberwachung
8.15 Datenschutz im privaten Versicherungsrecht
8.16 Personenbezug dynamischer IP-Adressen
8.16.1 EuGH: Dynamische IP-Adressen sind personenbezogene Daten
8.17 Haftung des Providers in Internetportalen
8.18 Auskunftsanspruch der Datenschutzaufsichtsbehörden
8.19 Grenzen der Meinungsäußerung einer Datenschutzaufsichts-
behörde
8.20 Der Betreiber einer Suchmaschine muss gegebenenfalls Links aus
einer Ergebnisliste entfernen
8.20.1 Umsetzung des EuGH-Urteils
8.21 Keine unerwünschten Werbeanrufe unter dem Deckmantel von
Zufriedenheitsabfragen
8.22 Dashcams und Datenschutz
8.22.1 Stellungnahme des Bayerischen Landesamtes für Datenschutz zum
Dashcam-Urteil des VG Ansbach
8.22.2 Private Dashcam-Aufzeichnungen im Straßenverkehr
8.23 Kündigung wegen unerlaubter Datenspeicherung
8.24 Speicherung von Verkehrsdaten
8.25 Kündigung bei exzessiver privater Internetnutzung
1.1 Seite 18 Inhalt
12/16
8.25.1 Außerordentliche Kündigung wegen privater Internetnutzung
8.26 Sonderkündigungsschutz für Datenschutzbeauftragte nur bei
schriftlicher Bestellung
8.27 Landesarbeitsgericht Köln zum Thema Arbeitszeitbetrug
8.28 Kündigung aufgrund eines zufälligen (unerlaubten) Zugriffs auf
sensible Firmendaten
8.29 Safe-Harbor-Urteil des Gerichtshofs der Europäischen Union
8.30 Einsicht des Arbeitgebers in einen elektronischen Kalender
8.31 Observation durch einen Detektiv mit heimlichen Videoaufnahmen
8.32 Zuordnung einer IP-Adresse zu einem konkreten Internetanschluss
8.33 Klarnamenpflicht bei Facebook bleibt (vorerst)
8.34 Datenschutzverstoß durch Facebook „Like“ Button
Inhalt 1.1 Seite 19
12/16