Suche: Gemeinde Baindt

Auch das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z.B. optische Datenspeicher, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne der Datenschutzgrundverordnung (DS-GVO) und muss nach bestimmten Vorschriften erfolgen. Dabei kann die DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ aus dem Jahr 2012 für die Auswahl einer Sicherheitsstufe passend zur jeweiligen Schutzklasse zur Anwendung kommen. Datenvernichtung im eigenen Unternehmen Wenn Sie selbst in Ihrem Unternehmen Daten löschen oder Datenträger vernichten, müssen Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Datenvernichtung durch Dritte im Auftrag Die meisten Unternehmen beauftragen auf Datenvernichtung spezialisierte gewerbliche Unternehmen mit der Datenträgervernichtung. Auch für diese Fälle gibt es genaue Vorschriften: Sie müssen den Auftrag zur Auftragsverarbeitung schriftlich oder in einem elektronischen Format erteilen. Der Auftrag muss Angaben darüber enthalten, welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der Daten (-> Schutzklasse) eingestuft wird, auf welche Weise die Vernichtung erfolgen muss, wo die Datenträger vernichtet werden, von wem die Datenträger abgeholt und wie sie transportiert werden, wo die Datenträger bis zur Vernichtung aufbewahrt werden, bis wann die Datenträger vernichtet sein müssen, wie die Haftungsregelung vereinbart wird, in welcher Art und Form Bescheinigungen bei Abholung und Vernichtung erstellt werden, dass das vom Auftragsverarbeiter eingesetzte Personal auf das Datengeheimnis verpflichtet wird, ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten darf und dass Sie als Auftraggeber berechtigt sind, Transport und Vernichtung zu überwachen. Sie als Auftraggeber beziehungsweise die oder der Datenschutzbeauftragte in Ihrem Unternehmen müssen sich davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Auch wenn Sie regelmäßig demselben Datenvernichter Ihre Datenträger zur Vernichtung überlassen, sollten Sie daher stichprobenartig die Einhaltung der Maßnahmen überprüfen. Achtung: Bis zum Abschluss der Vernichtung der Datenträger sind Sie als Auftraggeber für die Einhaltung der Datenschutzanforderungen verantwortlich. Pflichten der datenvernichtenden Unternehmen Wenn Sie in Ihrem Unternehmen gewerbliche Datenträgervernichtung betreiben, müssen Sie technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Zusätzlich sind vor allem die folgenden Punkte unerlässlich: Dokumentation des Vernichtungsprozesses Es gilt, die Dokumentationspflicht über sämtliche Auftragsverhältnisse zu erfüllen. Gegebenenfalls ist eine auftragsbezogene Dokumentation zu erstellen. Die bei der Datenverarbeitung beschäftigten Mitarbeitenden sind auf das Datengeheimnis zu verpflichten beziehungsweise hinzuweisen. Es sind nur Mitarbeiter mit der Datenverarbeitung zu betrauen, die sich verpflichtet haben, das Datenschutzrecht einzuhalten. Es ist zu gewährleisten, dass andere Personen keine Kenntnis über die zu löschenden Daten erhalten. Es dürfen keine weiteren Auftragsverarbeiter ohne schriftliche Genehmigung des Verantwortlichen in Anspruch genommen werden. Bei einer allgemeinen schriftlichen Genehmigung muss der Verantwortliche über jede Änderung diesbezüglich informiert werden. Dadurch erhält der Auftraggeber die Möglichkeit dieser Änderung zu widersprechen. Der Auftragsverarbeiter haftet für die Einhaltung der Datenschutzpflichten des/der weiteren Auftragsverarbeiter/s. Auftragsverarbeiter können nach den Vorschriften der Auftragsverarbeitung grundsätzlich sowohl im EU-Raum wie auch in Drittländern tätig werden. Dabei sind insbesondere die zusätzlichen Anforderungen an die Sicherstellung des Datenschutzniveaus beim Auftragnehmer nach Kapitel V der DS-GVO zu beachten. Das gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland. Auftragsverarbeiter, die keine Niederlassung in der Europäischen Union haben, müssen hier einen Vertreter bestellen. Dem Verantwortlichen sind alle erforderlichen Informationen zum Nachweis der Einhaltung der DS-GVO zur Verfügung zu stellen. Überprüfungen und Inspektionen durch den Verantwortlichen, oder einem von diesem beauftragten Prüfer, sind zu ermöglichen und dazu beizutragen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DS-GVO verstößt. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich dem Verantwortlichen. Eine Dokumentation des Prozesses im Falle einer Datenschutzverletzung ist erforderlich. Der Auftragsverarbeiter unterstützt nach Möglichkeit den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten. Die Einhaltung genehmigter Verhaltensregeln („Code of Conduct“) oder eine Zertifizierung nach Artikel 42 DS-GVO kann als Faktor herangezogen werden, um hinreichende Garantien für die Einhaltung der in der DS-GVO genannten Pflichten nachzuweisen. In der Regel müssen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten für Ihr Unternehmen bestellen. Hinweise: Ein Auftragsverarbeiter, der unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung selbst bestimmt, gilt als Verantwortlicher und nicht mehr als Auftragsverarbeiter. Auftragsverarbeiter und Verantwortlicher haften künftig als Gesamtschuldner für die materiellen und immateriellen Schäden, die durch die illegale Datenverarbeitung hervorgerufen worden sind. Der Betroffene hat nach Artikel 79 DS-GVO ein direktes Klagerecht gegen den Auftragsverarbeiter. Die Verstöße gegen eine Reihe von Pflichten des Auftragsverarbeiters sind nach Artikel 83 Absatz 4 bis 6 DS-GVO bußgeldbewehrt. Als mit der Vernichtung von Daten Beschäftigte gelten alle Personen, die in irgendeiner Form mit den zu vernichtenden Daten in Berührung kommen, also beispielsweise auch Fahrerinnen und Fahrer, die die Datenträger transportieren oder Beschäftigte, die die Datenträger bis zur Vernichtung einlagern.[mehr]

Das Datengeheimnis gemäß Bundesdatenschutzgesetz verbietet es Personen, die bei der Verarbeitung personenbezogener Daten beschäftigt sind, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Hinweis: Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit noch fort. Wenn Sie in Ihrem Unternehmen Mitarbeitende für die Verarbeitung personenbezogener Daten beschäftigen, müssen Sie diese bei Aufnahme der Tätigkeit schriftlich auf das Datengeheimnis verpflichten. Beachten Sie, dass nicht nur Arbeitnehmerinnen und Arbeitnehmer als Beschäftigte im Sinne des Datenschutzgesetzes gelten, sondern auch die folgenden Personengruppen: Auszubildende Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben Rehabilitandinnen und Rehabilitanden Das sind Personen, die an Maßnahmen teilnehmen, um ihre berufliche Eignung abzuklären oder sie nach längerer, krankheitsbedingter Abwesenheit zunächst stundenweise wieder am Arbeitsplatz einzugliedern (Arbeitserprobung). Beschäftige in anerkannten Werkstätten für Menschen mit Behinderungen Beschäftige nach dem Jugendfreiwilligendienstegesetz (z.B. Teilnehmende am freiwilligen ökologischen oder sozialen Jahr) wirtschaftlich unselbständige, aber arbeitnehmerähnliche Personen (z.B. in Heimarbeit Beschäftigte) Bewerberinnen oder Bewerber für ein Arbeitsverhältnis beziehungsweise Personen, deren Arbeitsverhältnis beendet wurde Beamtinnen und Beamte, Richterinnen und Richter, Soldatinnen und Soldaten Die Verpflichtung müssen sowohl die Mitarbeitenden als auch die Vertretung der Arbeitgeberseite, die die Unterrichtung vornimmt, unterschreiben. Das kann beispielsweise durch das Personalbüro oder die Datenschutzbeauftragte oder den Datenschutzbeauftragten des Unternehmens erfolgen. Den Mitarbeitenden müssen Sie eine Kopie der Niederschrift aushändigen.[mehr]

Wenn Sie feststellen, dass in Ihrem Unternehmen gespeicherte Daten unrechtmäßig an Dritte weitergegeben wurden und dadurch die Rechte und schutzwürdigen Interessen der Betroffenen schwer beeinträchtigt werden, sind Sie verpflichtet, dies unverzüglich sowohl den Betroffenen als auch dem Landesbeauftragten für den Datenschutz zu melden. Das betrifft besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen und personenbezogene Daten bezüglich Bank- oder Kreditkartenkonten. Sie müssen die Betroffenen darüber informieren, auf welche Art die Daten unrechtmäßig zugänglich geworden sind und welche Maßnahmen diese treffen können, um negative Folgen abzuwenden. Dem Landesbeauftragten für den Datenschutz müssen Sie zusätzlich mitteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden sein können und welche Maßnahmen Sie getroffen haben, um dem entgegenzuwirken. Hinweis: Falls die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand darstellt (z.B. aufgrund der Vielzahl der Betroffenen) müssen Sie stattdessen die Öffentlichkeit durch Anzeigen informieren. Diese Anzeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgelegten Tageszeitungen erscheinen beziehungsweise auf eine vergleichbare Art und Weise veröffentlicht werden.[mehr]

Zur Erfüllung der betrieblichen Datenschutzpflichten reicht es meist nicht, Mitarbeitende auf das Datengeheimnis zu verpflichten, Datenschutzbeauftragte zu bestellen und Meldungen an das Datenschutzregister vorzunehmen. Um Daten wirksam gegen Missbrauch zu schützen, sollten Sie sich als Unternehmerin oder Unternehmer auch Gedanken über IT-Sicherheit machen, da ohne Schutzmechanismen auf Ihren EDV-Systemen gelagerte Daten gegen Angriffe von außen und damit gegen unerlaubte Verwendung nicht geschützt sind. IT-Sicherheit ist nicht nur wichtig, um Ihre Kundendaten und Ähnliches gegen missbräuchliche Verwendung zu schützen, sondern hilft auch, Ihr eigenes Unternehmen abzusichern. Unachtsamer Umgang mit Computersystemen (z.B. fehlende Backups, kein Virenschutz, keine Absicherung gegen Hackerangriffe) kann großen wirtschaftlichen Schaden für Ihr Unternehmen verursachen und schlimmstenfalls sogar seinen Bestand gefährden. Besonders wenn Sie in Ihrem Unternehmen sensible Daten aufbewahren, die einen Vorsprung zu Konkurrenzunternehmen bedeuten, sollten Sie sich gegen Datendiebstahl oder Industriespionage durch Außenstehende, aber auch durch Mitarbeitende, absichern. Falls Sie Laptops und andere mobile Geräte verwenden, ist eine Verschlüsselung der Daten noch wichtiger, da diese Geräte gestohlen werden oder verloren gehen und so in unbefugte Hände gelangen können. Auch wenn Sie Datenträger vernichten oder vernichten lassen, müssen Sie sicherstellen, dass keine Ihrer Unternehmensdaten zurückbleiben. Stellen Sie sicher, dass die folgenden IT-Mindestanforderungen erfüllt sind: Machen Sie regelmäßige Backups Ihrer Daten und bewahren Sie diese außerhalb des Unternehmens auf. Sichern Sie Ihre Computer gegen Virenbefall und aktualisieren Sie den Virenschutz regelmäßig. Sichern Sie Ihren Internetzugang und verschlüsseln Sie vertrauliche Daten, um gegen Hackerangriffe gewappnet zu sein. Sorgen Sie dafür, dass Ihre Systemadministration alle Systemeinstellungen und Passwörter dokumentiert und sicher hinterlegt. Für den Fall, dass Ihre Administratorin oder Ihr Administrator für längere Zeit ausfällt, sollten Sie auch eine mit Ihrem System vertraute Ersatzperson haben. Um gegen Datendiebstahl durch die eigenen Mitarbeitenden abgesichert zu sein, sollten Sie sensible Daten verschlüsseln und bestimmte Räume oder Gebäude gegen unbefugten Zutritt sichern.[mehr]

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Grundsätzlich gilt es dem Datenschutz durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) nachzukommen. Das fordert die Datenschutzgrundverordnung (DS-GVO) im Artikel 25 und im Erwägungsgrund 78. Folgende Anforderungen sind immer zu betrachten und geeignete technisch-organisatorische Maßnahmen anzuwenden, um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenes Schutzniveau zu gewährleisten: Zutrittskontrolle Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. Zugangskontrolle Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen. Bei einem Wechsel der Zuständigkeit oder einem Ausscheiden von Mitarbeitern sind die Zugangsberechtigungen zu prüfen. Zugriffskontrolle Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weitergabekontrolle Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 DS-GVO ist bei einer Übermittlung oder Weitergabe für andere Zwecke durch spezifische Verfahrensregelungen die Einhaltung der Datenschutzgesetze sicherzustellen. Eingabekontrolle Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. Auftragskontrolle Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen. Verfügbarkeitskontrolle Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Die Daten müssen nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. getrennte Verarbeitung Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. Pseudonymisierung Personenbezogene Daten sollten so schnell wie möglich pseudonymisiert werden. Die zur Rückführung der Pseudonyme, in die ursprünglichen personenbezogenen Daten, notwendigen Daten sollten getrennt gespeichert werden. Datenminimierung Dazu gehören die Menge der erhobenen personenbezogenen Daten, der Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit für natürliche Personen. Transparenz Die Funktionen und die Verarbeitung personenbezogener Daten sollte möglichst Transparent für die betroffenen Personen erfolgen. Überwachung Den betroffenen Personen sollte die Möglichkeit gegeben werden, die Verarbeitung der personenbezogenen Daten überwachen zu können. Vertraulichkeit Personenbezogene Daten sollten immer verschlüsselt gespeichert und übertragen werden. Auch ein unbefugtes Mitlesen bspw. auf Reisen sollte verhindert werden. Auch an der Verarbeitung beteiligte Personen können ggf. auf Vertraulichkeit verpflichtet werden. Aktualisierung und Patch-Management Insbesondere Sicherheitsupdates sollten möglichst rasch installiert werden. Aber auch Herstellerhinweise und Hinweise aus sonstigen Quellen sollten verfolgt und zeitnah umgesetzt werden. Sensibilisierung und Schulung Die an den Verarbeitungsvorgängen Beteiligten müssen geschult und sensibilisiert werden. Verfahrensregelungen bei einer Verarbeitung für andere Zwecke Bei einer Übermittlung oder Verarbeitung für andere Zwecke sollte die Einhaltung der DS-GVO durch Verfahrensregelungen sichergestellt werden. Die technischen und organisatorischen Maßnahmen sollten regelmäßig überprüft, bewertet und evaluiert werden. Hinweis: Diese Maßnahmen werden üblicherweise von der oder dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die Unternehmensleitung sicherstellen, dass diese Anforderungen erfüllt werden. Falls Sie automatisierte Verarbeitungen anwenden, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten immer Pflicht. Vorabkontrolle durch den Datenschutzbeauftragten Wenn durch Verarbeitungen die Rechte und Freiheiten der Betroffenen voraussichtlich einem hohen Risiko ausgesetzt sind, muss vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung stattfinden. Dies gilt vor allem für umfangreiche Verarbeitungen und wenn neue Technologien oder neuartige Verarbeitungen zum Einsatz kommen. besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische/weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische bzw. biometrische Daten, Gesundheit oder Sexualleben, strafrechtliche Verurteilungen oder Straftaten) umfangreich verarbeitet werden. die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten. Insbesondere wenn diese als Grundlage für weitere Entscheidungen dient, die Rechtswirkung entfalten oder in ähnlicher Weise beeinträchtigend sind. eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet. Eine Liste mit Verarbeitungsvorgängen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, findet sich online auf den Seiten des LfDI („Liste von Verarbeitungsvorgängen nach Artikel 35 Absatz 4 DS-GVO“). Die Datenschutz-Folgenabschätzung hat zumindest folgendes zu enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck, eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen. Der Verantwortliche hat ggf. eine (regelmäßige) Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben aus der Datenschutz-Folgenabschätzung folgt. Wenn sich aus der Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergibt und keine Maßnahmen zur Eindämmung des Risikos getroffen werden (können), muss vor der Verarbeitung die Aufsichtsbehörde konsultiert werden. Von der Datenschutz-Folgenabschätzung darf nur abgesehen werden, wenn eine gesetzliche Verpflichtung vorliegt, die Verarbeitung im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt nur, wenn der oder die konkreten Verarbeitungsvorgänge durch Rechtsvorschriften geregelt sind und bereits eine Datenschutz-Folgenabschätzung erfolgte.[mehr]

Personenbezogene Daten sind Einzelangaben über persönliche oder sächliche Verhältnisse einer bestimmten oder bestimmbaren Person (z.B. Name, Anschrift, Familienstand, Geburtsdatum, Grundbesitz). Mit automatisierter Verarbeitung ist das Erheben, Speichern, Verändern, Nutzen, Übermitteln, Sperren oder Löschen personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen gemeint. Unternehmen, die personenbezogene Daten automatisiert verarbeiten, müssen üblicherweise ihre Datenverarbeitungsverfahren dem Landesbeauftragten für den Datenschutz melden. Diese Unternehmen werden im Datenschutzregister eingetragen. Unter Umständen müssen Sie auch eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen. Das ist dann der Fall, wenn Sie in Ihrem Unternehmen personenbezogene Daten für andere als persönliche oder familiäre Tätigkeiten automatisiert verarbeiten.[mehr]

Unternehmen sollten so wenig wie möglich personenbezogene Daten erheben, verarbeiten und nutzen. Jedenfalls müssen Sie personenbezogene Daten ohne Namen oder mit falschem Namen speichern, soweit dies nach dem jeweiligen Verwendungszweck möglich ist und im Vergleich zum Schutzzweck keinen unverhältnismäßig hohen Aufwand erfordert. Welche weiteren Pflichten mit der Verarbeitung personenbezogener Daten verbunden sind, lesen Sie in den Unterkapiteln. Um die Bürgerinnen und Bürger vor missbräuchlicher Verwendung ihrer Daten zu schützen, dürfen Unternehmen personenbezogene Daten nur verarbeiten, wenn dies gesetzlich erlaubt ist oder die Betroffenen eingewilligt haben. Grundsätzlich müssen Sie als Unternehmen die Betroffenen darüber informieren, wenn Sie ihre Daten verarbeiten (außer z.B. bei Vertragsbeziehungen, bei denen dies ohnehin bekannt ist). Sollte jemand Auskunft über die in Ihrem Unternehmen zu seiner Person gespeicherten Daten oder deren Berichtigung oder Löschung verlangen, sind Sie verpflichtet, dieser Aufforderung nachzukommen.[mehr]

Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten? Dann haben Sie unter Umständen gewisse Datenschutzpflichten (z.B. Bestellung einer oder eines Datenschutzbeauftragten). Welche Unternehmen davon betroffen sind und was genau Sie sicherstellen müssen, erfahren Sie in den Unterkapiteln. Die Aufsicht über den Datenschutz teilen sich auf Bundes- und Landesebene mehrere Behörden, da der Datenschutz in Deutschland sowohl Sache des Bundes als auch der einzelnen Bundesländer ist: Auf Bundesebene (für Bundesbehörden und andere Einrichtungen des Bundes) überwacht die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Einhaltung der Datenschutzbestimmungen. Grundlage für diese Arbeit ist das Bundesdatenschutzgesetz. Auf Landesebene ist der Landesbeauftragte für den Datenschutz die oberste Aufsichtsbehörde für öffentliche und nicht-öffentliche Stellen (z.B. Unternehmen). Dorthin können sich auch von Datenschutzverletzungen Betroffene mit Fragen oder Beschwerden wenden. Daneben gibt es kirchliche Datenschutzbeauftragte für die jeweilige Kirche und den Rundfunkbeauftragten für den Datenschutz. Dessen Aufsicht unterliegen der Südwestrundfunk (SWR), die SWR-Tochtergesellschaften und der ARD ZDF Deutschlandradio Beitragsservice, soweit SWR-Rundfunkteilnehmer betroffen sind. Hinweis: Unternehmen mit Sitz in Baden-Württemberg unterliegen üblicherweise der Aufsicht des Landesbeauftragten für den Datenschutz. Davon ausgenommen sind Post- und Telekommunikationsunternehmen, für die der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig ist.[mehr]

Die Haftung bei Schäden, die durch Stoffe, Gase oder Dämpfe im Boden, in der Luft oder im Wasser angerichtet werden, die von einer Anlage ausgehen, wird im Umwelthaftungsgesetz (UmweltHG) geregelt. Das Gesetz dient somit in erster Linie der Umweltvorsorge. Geht eine Umwelteinwirkung von einer Anlage aus, haftet jeweils der Inhaber dieser Anlage (verschuldensunabhängige Haftung) und muss die entstandenen Schäden ersetzen. In diese Haftungsregelung fallen vor allem Anlagen aus folgenden Bereichen: Wärmeerzeugung, Bergbau, Energie Steine und Erde, Glas, Keramik, Baustoffe Stahl, Eisen und sonstige Metalle einschließlich Verarbeitung chemische Erzeugnisse, Arzneimittel, Mineralölraffination und Weiterverarbeitung Oberflächenbehandlung mit organischen Stoffen; Herstellung von bahnenförmigen Materialien aus Kunststoffen, sonstige Verarbeitung von Harzen und Kunststoffen Holz, Zellstoff Nahrungs-, Genuss- und Futtermittel, landwirtschaftliche Erzeugnisse Abfälle und Reststoffe Lagerung, Be- und Entladen von Stoffen Als Inhaber oder Inhaberin der Anlage können Sie unter anderem für Personen- und Sachschäden haftbar gemacht werden (z.B. bei Verletzung des Lebens, des Körpers, der Gesundheit oder der Beschädigung einer Sache durch Umwelteinwirkungen). Hinweis: Ein Haftungsausschluss besteht bei höherer Gewalt und bei Sachschäden, die als ortsübliche Bagatellschäden anzusehen sind und durch Umwelteinwirkungen bei bestimmungsgemäßen Betrieb der Anlagen verursacht werden. Als Inhaber oder Inhaberin von Anlagen können Sie unter anderem zur Sanierung der entstandenen Schäden herangezogen werden. Dies umfasst die Wiederherstellung des Zustandes, wie er vor Schadenseintritt geherrscht hat. Darüber hinaus müssen Sie gegebenenfalls auch für ökologische Schäden einstehen, wenn die Beschädigung eines Grundstücks zugleich eine Beeinträchtigung von Natur oder Landschaft darstellt. Seit dem 14. November 2007 gilt zusätzlich das Umweltschadensgesetz (USchadG), das auf Umweltschäden Anwendung findet, die nach dem 30. April 2007 entstanden sind. Unter einem Umweltschaden versteht das Gesetz Schädigungen von Arten und natürlichen Lebensräumen, von Gewässern oder von Böden. Das Gesetz sieht zum einen eine verschuldensunabhängige Haftung für Umweltschäden vor, die durch bestimmte, in einer Anlage zum Gesetz näher aufgeführte berufliche Tätigkeiten verursacht werden, wie z.B. den Betrieb einer Anlage, für den eine Genehmigung nach der Industrieemssionsrichtlinie erforderlich ist. Zum anderen werden durch dieses Gesetz Schädigungen von Arten und natürlichen Lebensräumen erfasst, die durch sonstige berufliche Tätigkeiten verursacht werden, allerdings nur dann, wenn ein schuldhaftes Handeln des Verantwortlichen vorliegt. Den Verantwortlichen treffen Informations-, Schadensbegrenzungs- und Sanierungspflichten. Es wird darauf hingewiesen, dass die genannten Pflichten auch von Betroffenen und Umweltschutzorganisationen bei den zuständigen Behörden eingefordert und gegebenenfalls vor Gericht durchgesetzt werden können. Umwelthaftungsrisiken lassen sich durch Abschluss einer Umweltschadensversicherung reduzieren.[mehr]

Ziel des Immissionsschutzes ist es, Menschen, Tiere und Pflanzen, den Boden, das Wasser und die Atmosphäre vor schädlichen Umwelteinwirkungen in Form von Luftverunreinigungen, Geräuschen, Erschütterungen, Licht, Wärme und Strahlen zu schützen beziehungsweise schon die Entstehung solcher Emissionen an der Quelle zu vermeiden. Im Bundes-Immissionsschutzgesetz werden dazu folgende Bereiche geregelt: genehmigungsbedürftige Anlagen, nicht genehmigungsbedürftige Anlagen, Anlagensicherheit, Beschaffenheit von Brenn- und Treibstoffen, Beschaffenheit von Straßen und Schienenwegen die Überwachung und Verbesserung der Luftqualität sowie die Lärmminderungsplanung. Die Errichtung und der Betrieb von genehmigungsbedürftigen Anlagen , die in besonderem Maße Luftverunreinigungen oder Lärm verursachen und länger als zwölf Monate am selben Ort betrieben werden sollen, brauchen eine "immissionsschutzrechtliche Genehmigung". Im Rahmen eines Neu- oder Änderungsgenehmigungsverfahrens kann eine Umweltverträglichkeitsprüfung (UVP) erforderlich sein. Dabei wird in einem gesetzlich vorgeschriebenen Verfahren geprüft, welche Auswirkungen das Vorhaben auf die Umwelt hat. Die festgestellten Auswirkungen müssen anschließend beschrieben und bewertet werden. Als Betreiber einer Anlage müssen Sie dafür sorgen, dass von Ihrer Anlagen keine schädlichen Umweltauswirkungen ausgehen. Eine Konkretisierung der gesetzlichen Anforderungen an die Vermeidung von schädlichen Luftschadstoffen und Vorgaben zum Lärmschutz sind enhalten in: mehreren Verordnungen zum Bundes-Immissionsschutzgesetz der Technischen Anleitung zur Reinhaltung der Luft - TA Luft der Technischen Anleitung zum Schutz gegen Lärm - TA Lärm[mehr]