close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Datenschutz – was wirklich erforderlich ist

EinbettenHerunterladen
Datenschutz – was wirklich erforderlich ist
Bremen, 20. April 2010
Atlantik Hotel Galopprennbahn
Stefan Decker
Dr. Ralf Kollmann
© FIDES IT Consultants
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
2
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
3
Grundlagen des Datenschutzes (1|4)
•
Was ist Datenschutz?
•
Datenschutz dient dazu, den Einzelnen davor zu schützen, dass er durch den
Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht
beeinträchtigt wird (§ 1 Abs. 1 BDSG)
•
Datenschutz dient dem Schutz persönlicher Daten vor Missbrauch und Verlust und
der Gewährleistung der informationellen Selbstbestimmung
•
Ungeachtet der fachlichen Definition werden aus Gründen betriebswirtschaftlicher
Effizienz oft auch Geschäfts- oder Betriebsgeheimnisse (§ 17 Abs. 1 UWG)
einbezogen
© FIDES IT Consultants
4
Grundlagen des Datenschutzes (2|4)
•
Gültigkeitsbereich des Bundesdatenschutzgesetzes
•
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
(§ 1 Abs. 2 BDSG)
Wann liegt ein Personenbezug vor? (§ 3 Abs. 1 BDSG)
•
Es bestehen keine bundesrechtlichen Vorrangnormen (Subsidiarität)
(§ 1 Abs. 3 BDSG)
•
Verarbeitung mittels DV-Anlagen oder mittels nicht-automatisierter Dateien
(§ 1 Abs. 2 Nr. 3 BDSG)
•
Sonderfall: Verarbeitung von Beschäftigtendaten, die in Papierform vorliegen
(§ 32 Abs. 2 BDSG)
© FIDES IT Consultants
5
Grundlagen des Datenschutzes (3|4)
•
Grundprinzipien des Datenschutzes
•
Verbot mit Erlaubnisvorbehalt
Die Verarbeitung personenbezogener Daten ist gesetzlich verboten, sofern nicht
eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung gesetzlich zulässig
ist (§ 4 Abs. 1 BDSG).
•
Verhältnismäßigkeit
Die Erhebung und Verarbeitung personenbezogener Daten darf nur erfolgen, wenn
sie für die Erfüllung der zugrunde liegenden Aufgabe unmittelbar erforderlich ist.
Insbesondere ist Voraussetzung, dass keine milderen Mittel existieren, die unter
Berücksichtigung von Verhältnismäßigkeit und Wirtschaftlichkeit in vergleichbarer
Weise den angestrebten Zweck erfüllen würden (§ 3a BDSG).
•
Vertraulichkeit
Personenbezogene Daten sind vertraulich zu behandeln. Die mit der Verarbeitung
betrauten Mitarbeiter sind zur Verschwiegenheit zu verpflichten (§ 5 BDSG).
© FIDES IT Consultants
6
Grundlagen des Datenschutzes (4|4)
•
Zweckbindung
Die Verarbeitung personenbezogener Daten darf nur zu den dokumentierten
Zwecken erfolgen. Eine nachträgliche Änderung des Zwecks ist nur unter engen
gesetzlichen Voraussetzungen zulässig (§ 28 Abs. 2 BDSG).
•
Transparenzprinzip
Das Recht auf informationelle Selbstbestimmung ist zu wahren. Im BDSG wird
dies insbesondere durch Benachrichtigungspflichten (§ 4 Abs. 3, § 28 Abs. 4 S. 2,
§ 33 BDSG) und Auskunftsrechte (§ 34 BDSG) umgesetzt.
•
Prinzip des Direkterhebungsvorrangs
Personenbezogene Daten sollen bevorzugt direkt beim Betroffenen erhoben
werden, welcher dazu seine Einwilligung gibt. Ausnahmen bestehen, bspw. wenn
der Betroffene die fraglichen Daten veröffentlicht hat oder ein Gesetz die
Datenverarbeitung vorsieht (§ 4 Abs. 2 BDSG).
•
Prinzip der Datensparsamkeit (§ 3a BDSG)
Es sollen so wenig Daten erfasst bzw. verarbeitet werden wie möglich bzw. wie
minimal erforderlich sind, um die angestrebten Zwecke zu erfüllen.
© FIDES IT Consultants
7
Grundlagen des Datenschutzes – Ein Praxisbeispiel (1|3)
•
Betrachtet wird ein Handelsunternehmen im Endkundengeschäft
•
Geschäftszweck ist der Handel mit Waren über Online-Vertrieb
•
Ein Kunde kauft Produkt A und gibt dafür seine Daten (Name, Anschrift,
Bankverbindung, Telefonnummer, Produkt) an.
Nachfolgend werden die Grundprinzipien erläutert:
•
Verbot mit Erlaubnisvorbehalt
Die Zulässigkeit der Datenverarbeitung ergibt sich aus der Einwilligung des Kunden zur
Bereitstellung seiner Daten, darüber hinaus aus § 28 Abs. 1 Nr. 1 BDSG.
•
Direkterhebungsvorrang
Die Daten werden unmittelbar beim Kunden erfasst, indem er sie durch Nutzung der
Eingabemaske des Online-Shops selbst an den Händler übergibt.
•
Verhältnismäßigkeit und Datensparsamkeit
Es werden nur die Daten erfasst, die zur Abwicklung des Geschäfts (Zusendung der Ware,
Bezahlung durch Bankeinzug) unmittelbar erforderlich sind. Die Telefonnummer wird für
etwaige Rückfragen gespeichert.
© FIDES IT Consultants
8
Grundlagen des Datenschutzes – Ein Praxisbeispiel (2|3)
•
Vertraulichkeit
Der Händler hat seine IT-Systeme durch technische Sicherheitsmaßnahmen (Firewall,
Virenscanner etc.) geschützt. Außerdem hat er sichergestellt, dass auch sein Provider
entsprechende Sicherheitsmaßnahmen veranlasst hat. Die Mitarbeiter des Händlers sowie
des Providers wurden zur Verschwiegenheit verpflichtet.
•
Transparenz
Der Händler stellt in seinem Online-Shop eine Datenschutzerklärung bereit. Darin informiert
er über die Daten, die beim Besuch des Shops sowie bei der Bestellung von Waren
gespeichert werden. Außerdem informiert er über die "Verantwortliche Stelle" (der Händler
selbst).
•
Zweckbindung
Solange der Händler die Daten nur für die Abwicklung der Kundenbestellung verwendet, ist
die Zweckbindung erfüllt.
© FIDES IT Consultants
9
Grundlagen des Datenschutzes – Ein Praxisbeispiel (3|3)
•
Abwandlung: Der Händler möchte seine Kundendaten benutzen, um Werbung für
andere von ihm vertriebene Produkte per Post zu verschicken. Der Kunde hat hierzu
nicht ausdrücklich eingewilligt. Für die geplante Werbemaßnahme stellt der Händler die
Kundendaten als Liste zusammen, die Name und Anschrift enthält. Er erstellt jeweils
eine Liste für jedes zu bewerbende Produkt. Ist dieses Vorgehen zulässig?
•
Zweckbindung
•
•
Die Kundendaten wurden zur Abwicklung von Kaufgeschäften erfasst. Die Nutzung
zur Werbung stellt eine Zweckänderung dar. Diese ist hier zulässig, da der Händler
nur Daten seiner Bestandskunden verwendet und für eigene Zwecke wirbt (§ 28
Abs. 3 Satz 2 Nr. 1 BDSG).
Transparenz
•
Der Händler ergänzt seine Datenschutzerklärung um einen Passus, der über die
Verwendung der Kundendaten auch zur Werbung informiert sowie über das
Widerspruchsrecht des Kunden, seine Daten für die Werbung oder Markt- und
Meinungsforschung zu verwenden.
•
Außerdem führt er eine Liste, in welcher er Kunden speichert, die der Nutzung ihrer
Daten für die Werbung widersprochen haben.
© FIDES IT Consultants
10
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
11
Unternehmerische Pflichten (1|2)
Die Einhaltung der datenschutzrechtlichen Vorschriften liegt in der Verantwortung der
Geschäftsleitung.
Die folgenden zentralen Pflichten zur Einhaltung der vorgenannten Grundprinzipien sind
durch die Geschäftsleitung zu erfüllen:
•
Einführung angemessener organisatorischer Maßnahmen zum Schutz
personenbezogener Daten
•
Bestellung eines Datenschutzbeauftragten (ab 10 mit der Verarbeitung
personenbezogener Daten beschäftigten Mitarbeitern)
•
Erstellung und Pflege gesetzlich vorgeschriebener Datenschutz-Dokumente sowie
erforderlicher Verfahrensanweisungen
•
Sicherstellung der Zulässigkeit der Datenverarbeitungsverfahren
•
Einhaltung von Meldepflichten, bspw. bei Datenpannen
•
Wahrung der Rechte Betroffener, insbesondere das Recht auf Berichtigung,
Löschung, Sperrung
© FIDES IT Consultants
12
Unternehmerische Pflichten (2|2)
•
Einführung angemessener technischer Maßnahmen zum Schutz personenbezogener
Daten
•
Logische Schutzmaßnahmen (Passwort-Policy, Firewall/IDS, Virenschutz etc.)
•
Physische Zugriffsschutzmaßnahmen (bspw. Einbruch- und Brandschutz,
Zutrittskontrollen)
© FIDES IT Consultants
13
Reaktion der Gruppen "Betroffener"
•
•
Wie reagiert der "durchschnittliche" Betroffene auf eine Verletzung seiner Rechte?
•
Mitarbeiter (Verunsicherung, Anruf des Datenschutzbeauftragten oder des
Betriebsrats, …)
•
Personalvertretung (Dialog mit der Geschäftsleitung, Anruf der Aufsichtsbehörde,
Information der Öffentlichkeit, …)
•
Geschäftspartner (Beschwerde, Anruf der Aufsichtsbehörde, …)
Die Überwachung der Einhaltung des Datenschutzes erfolgt durch insitutionalisierte
Kontrollinstanzen (Aufsichtsbehörden). Übliche Reaktionen:
•
Schriftliche Bitte um Stellungnahme
•
Ermahnung und Anweisung zur Anpassung der Datenverarbeitungsprozesse, mit
konkreten Vorgaben
•
Durchführung einer Prüfung im Unternehmen
•
Androhung bzw. Verhängung von Bußgeldern
•
Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße
© FIDES IT Consultants
14
Risiken im Datenschutz
Bei der Nichteinhaltung muss mit rechtlichen Konsequenzen gerechnet werden:
•
Sanktionen – durch die Datenschutznovelle in Umfang und Höhe verschärft
• Bußgelder (§ 43 BDSG)
• Freiheitsstrafen (§ 44 BDSG)
•
Anordnung von Maßnahmen (bis hin zur Untersagung von IT-Verfahren) durch die
Aufsichtsbehörden
Daneben bestehen für das Unternehmen und die jeweiligen Verantwortlichen weitere
Risiken:
•
Imageverlust
•
Persönliche Risiken
© FIDES IT Consultants
15
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
16
Die Novelle des Bundesdatenschutzgesetzes: Übersicht (1|2)
•
In 2009 wurden drei Novellen des BDSG verabschiedet
•
Zu den folgenden Themengebieten wurden wesentliche Änderungen beschlossen:
•
Arbeitnehmerdatenschutz (§ 32 BDSG)
•
Auftragsdatenverarbeitung (§ 11 BDSG)
•
Stärkung des Datenschutzbeauftragten (§ 4f Abs. 3 BDSG)
•
Informationspflichten bei Datenschutzpannen (§ 42a BDSG)
•
Personalisierte Werbung, Markt- und Meinungsforschung sowie Listenprivileg
(§ 28 Abs. 3 BDSG)
•
Scoringverfahren und automatisierte Einzelentscheidungen (§§ 6a, 28b BDSG)
•
Erweiterte Rechte von Betroffenen (§§ 3a, 6 Abs. 3 BDSG)
•
Erweiterte Bußgeldvorschriften (§ 43 BDSG)
•
Erweiterte Kompetenzen der Aufsichtsbehörden (§ 38 Abs. 5 BDSG)
© FIDES IT Consultants
17
Die Novelle des Bundesdatenschutzgesetzes: Übersicht (2|2)
• Die folgenden Themen werden im Weiteren detailliert betrachtet:
•
Arbeitnehmerdatenschutz (§ 32 BDSG)
•
Auftragsdatenverarbeitung (§ 11 BDSG)
•
Informationspflichten bei Datenschutzpannen (§ 42a BDSG)
Alle drei Neuregelungen sind seit dem 01. September 2009 in Kraft getreten und somit
geltendes Gesetz.
© FIDES IT Consultants
18
Arbeitnehmerdatenschutz (1|2)
•
Der Arbeitnehmerdatenschutz wird durch die Novelle in § 32 BDSG explizit neu
geregelt.
•
Beschäftigtendaten dürfen erhoben, verarbeitet und genutzt werden, sofern dies im
Zusammenhang mit der Begründung, Durchführung und Beendigung des
Beschäftigungsverhältnisses erforderlich ist.
•
Die Vorschriften zum Arbeitnehmerdatenschutz gelten, anders als bisher, nicht nur für
automatisiert verarbeitete, sondern auch für nicht automatisiert (bspw. in Papier-/
Aktenform) vorliegende Personendaten.
•
§ 32 Abs. 1 S. 1 BDSG ist nach herrschender Meinung auch Rechtsgrundlage für
Maßnahmen zur (i.d.R. verdachtsunabhängigen) Prävention von Straftaten im
Zusammenhang mit dem Beschäftigungsverhältnis ("Korruptionsbekämpfung").
•
§ 32 Abs. 1 S. 2 BDSG regelt dagegen die Verfolgung konkreter Verdachtsfälle.
•
Gegenwärtig bestehen bei Maßnahmen zur reinen Prävention von Straftaten
datenschutzrechtliche Durchführungsrisiken aufgrund der Rechtsunsicherheit durch die
noch uneinheitliche Auslegung des § 32 BDSG.
© FIDES IT Consultants
19
Arbeitnehmerdatenschutz (2|2)
•
•
Beispiele
•
Bearbeitung von Bewerbungen
•
Durchführung von Maßnahmen zur Prävention von Straftaten
•
Generell die Durchführung der Personalverwaltung
Fazit
•
Vor der Durchführung von Maßnahmen zur Prävention von Straftaten
(Korruptionsbekämpfung) sollte deren Zulässigkeit unter konservativer Auslegung
der Rechtsvorschriften sorgfältig geprüft werden.
•
Die zuständige Aufsichtsbehörde sollte einbezogen und das geplante Verfahren
abgestimmt werden.
•
Bei positivem Ergebnis sind die Maßnahmen unter genauer Berücksichtigung der
Handlungsempfehlungen der zuständigen Aufsichtsbehörde durchzuführen und zu
dokumentieren.
© FIDES IT Consultants
20
Die Novelle des Bundesdatenschutzgesetzes: Übersicht
•
Die folgenden Themen werden im Weiteren detailliert betrachtet:
•
Arbeitnehmerdatenschutz (§ 32 BDSG)
•
Auftragsdatenverarbeitung (§ 11 BDSG)
•
Informationspflichten bei Datenschutzpannen (§ 42a BDSG)
© FIDES IT Consultants
21
Auftragsdatenverarbeitung (1|2)
•
Die Regelungen zur Auftragsdatenverarbeitung dienen dazu, das Outsourcing von
Datenverarbeitungsdienstleistungen datenschutzrechtlich abzusichern.
•
Auftragsdatenverarbeitung liegt vor, wenn:
•
•
die Ausführung eines Datenverarbeitungsverfahrens an den Auftragnehmer
delegiert wird
•
der Auftragnehmer die Datenverarbeitung strikt nach Weisung durchführt
•
selbst keine Handlungsfreiheit bei der Durchführung hat
Beispiele für Auftragsdatenverarbeitung
•
Durchführung der Lohn- und Gehaltsbuchhaltung durch einen Dienstleister
•
Einscannen von Rechnungen oder Patientenakten durch einen Dienstleister
•
Löschen und Vernichten von personenbezogenen Daten bzw. Datenträgern
•
Wartung und Prüfung automatisierter DV-Verfahren gemäß § 11 Abs. 5 BDSG,
einschließlich Fernwartung
© FIDES IT Consultants
22
Auftragsdatenverarbeitung (2|2)
•
•
Durch die Novelle des Bundesdatenschutzgesetzes wird die Regelung zur
Auftragsdatenverarbeitung in § 11 BDSG deutlich erweitert
•
Ein 10-Punkte-Katalog regelt Inhalte, die obligatorisch vertraglich zu vereinbaren
sind.
•
Der Auftraggeber muss die vom Auftragnehmer getroffenen Schutzmaßnahmen vor
Beginn der Datenverarbeitung und im Anschluss regelmäßig kontrollieren.
•
Verstöße können mit Bußgeldern i.H.v. bis zu EUR 50.000 geahndet werden.
Fazit
•
Für neue und bestehende Verträge zur Auftragsdatenverarbeitung sollte eine
Vertragsergänzung vereinbart werden, in welcher die gesetzlich vorgeschriebenen
Punkte geregelt sind.
•
Die Prüfung der technischen und organisatorischen Schutzmaßnahmen des
Auftragnehmers sollte bei der Vereinbarung neuer Verträge zur Auftragsdatenverarbeitung und anschließend regelmäßig bei neuen und bestehenden Verträgen
durchgeführt und dokumentiert werden.
© FIDES IT Consultants
23
Auftragsdatenverarbeitung : 10-Punkte-Katalog
Die folgenden Punkte sind gemäß § 11 Abs. 2 BDSG bei der Vereinbarung von
Auftragsdatenverarbeitung vertraglich zu regeln:
1. Gegenstand und Dauer des Auftrags
2. Umfang, Art und Zweck der Datenverarbeitung
3. Vom Auftragnehmer zu treffende technische und organisatorische Maßnahmen
4. Maßgaben zur Berichtigung, Löschung und Sperrung von Daten
5. Pflichten des Auftragnehmers und von ihm vorzunehmende Kontrollen
6. Begründung von Unterauftragsverhältnissen
7. Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers
8. Informationspflichten des Auftragnehmers bei Verstößen gegen den Datenschutz
9. Weisungsbefugnisse des Auftraggebers
10. Rückgabe von Datenträgern des Auftraggebers und Löschung gespeicherter Daten
nach Beendigung des Auftrags
© FIDES IT Consultants
24
Die Novelle des Bundesdatenschutzgesetzes: Übersicht
•
Die folgenden Themen werden im Weiteren detailliert betrachtet:
•
Arbeitnehmerdatenschutz (§ 32 BDSG)
•
Auftragsdatenverarbeitung (§ 11 BDSG)
•
Informationspflichten bei Datenschutzpannen (§ 42a BDSG)
© FIDES IT Consultants
25
Informationspflichten bei Datenschutzpannen (1|2)
•
Durch die Datenschutznovelle findet die Security Breach Notification Eingang in das
deutsche Datenschutzrecht (§ 42a BDSG)
•
Datenschutzpannen sind an die Aufsichtsbehörde und Betroffene zu melden, wenn
•
sensible Daten (bspw. einem Berufsgeheimnis unterliegende Daten, Bankdaten,
Gesundheit, religiöse Zugehörigkeit (Steuerdaten))
•
unrechtmäßig bzw. unkontrolliert Dritten bekannt werden und
•
den Betroffenen schwerwiegende Beeinträchtigungen drohen
•
Die Meldung (an Aufsichtsbehörden und Betroffene) muss unverzüglich erfolgen.
•
Beispiele
•
Eine Datei mit Bankverbindungen von Kunden wird unverschlüsselt per E-Mail
versendet. Dabei wird versehentlich eine falsche E-Mail-Adresse angegeben.
•
Die elektronischen Bewerbungsakten werden auf einem PC in der Verwaltung
gespeichert. Nach dem Tausch des PCs durch ein neues Gerät wird der alte PC
einem Mitarbeiter verkauft, ohne die Festplatte zu löschen.
•
Archiv-DVDs mit Patientendaten eines Krankenhauses gelangen versehentlich in
den Hausmüll und werden dort vom Reinigungspersonal gefunden.
© FIDES IT Consultants
26
Informationspflichten bei Datenschutzpannen (2|2)
•
Bei Nichterfüllung drohen Bußgelder i.H.v. bis zu EUR 300.000 (§ 43 Abs. 2 Nr. 7,
§ 43 Abs. 3 S. 1 Hs. 2 BDSG)
•
Fazit
Es empfiehlt sich die Erarbeitung einer Verfahrensanweisung zur Vermeidung von
Datenschutzpannen und zur Regelung der Zuständigkeiten und des Vorgehens bei
Bekanntwerden von Datenschutzpannen
© FIDES IT Consultants
27
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
28
Einführung eines wirksamen Datenschutzmanagements (1|6)
•
Datenschutz funktioniert in jedem Unternehmen anders – gerade weil er hochsensible
Geschäftsbereiche berührt. Um dem gerecht zu werden, empfehlen wir das folgende
modulare Vorgehen
© FIDES IT Consultants
29
Einführung eines wirksamen Datenschutzmanagements (2|6)
•
•
Datenschutz-Analyse
•
Aufnahme der datenschutzrechtlich relevanten IT-Prozesse und –Systeme
•
Kategorisierung nach Schutzgraden anhand der datenschutzrechtlichen Risiken
•
Prüfung der datenschutzrechtlichen Zulässigkeit der IT-Prozesse sowie
bestehender technischer und organisatorischer Schutzmaßnahmen
•
Gegenüberstellung einschlägiger normativer Anforderungen
Ergebnisse
•
Ermittlung, Priorisierung und Dokumentation des bestehenden Handlungsbedarfs
aus Unternehmenssicht
© FIDES IT Consultants
30
Analyseergebnis: Beispiel zur Datenanalyse der Lohnbuchhaltung
IT-System
LoBU-Soft
Verarbeitete Personendaten
Lohn- und Gehaltsdaten der Mitarbeiter
Verwendungszweck
Abwicklung von Beschäftigungsverhältnissen (Vertragsverhältnis)
Ordentlicher Geschäftsbetrieb
Technisch-/organisatorische Maßnahmen
Die Büros und Schränke der Personalverwaltung sind bei
Abwesenheit abgeschlossen.
Die Datenspeicherung erfolgt in verschlüsselter Form (AES256).
Die verwendeten Passwörter für Verschlüsselung und
Systemzugang unterliegen der hauseigenen IT-Sicherheitspolicy.
Die Mitarbeiter sind zur Verschwiegenheit nach § 5 verpflichtet und
durch Schulungen sowie Verfahrensanweisungen auf das Thema
Datenschutz sensibilisiert.
Handlungsbedarf
(…)
© FIDES IT Consultants
31
0
0
niedrig
20
Schutzbedürftigkeit
ED
VAd
m
Fi
ngV
i
In
te
rn
et
-S
ys
te
m
ai
l/
M
na
nz
bu
ch
ha
ltu
Em
CR
hoch
Eintrittswahrscheinlichkeit
20
de
oü
Z
ei
in
be
te
ist
rw
r
ra P
f
ac
tio er ass
hu
n L so
un
ng
o h na
g
n lve
u. rw
G a
e h lt u
al ng
t
W
eb
-P
rä
se
nz
niedrig
Analyseergebnis: Beispiel der Datenschutz-Risikomatrix eines Unternehmens
Datenschutz-Risikomatrix
Mustermann GmbH
40
40
hoch
© FIDES IT Consultants
32
Einführung eines wirksamen Datenschutzmanagements (3|6)
•
•
Konzeption und Implementierung
•
Rechtliche und betriebswirtschaftliche Abwägung der Notwendigkeit einzuführender
Maßnahmen
•
Festlegung umzusetzender Maßnahmen auf Grundlage der Analyse
•
Konzeption und Umsetzung
Ergebnisse
•
Einführung eines effizienten Datenschutzmanagements, welches individuell an die
Anforderungen des Unternehmens angepasst ist
•
Nachhaltiger Schutz aller vertraulichen Personen- und Unternehmensbezogenen
Daten
•
Vorliegen einer aktuellen, die gesetzlichen Anforderungen erfüllenden DatenschutzDokumentation
© FIDES IT Consultants
33
Einführung eines wirksamen Datenschutzmanagements (4|6)
•
•
Inhouse-Schulungen
•
Individuelle Abstimmung von Inhalten und Schulungsschwerpunkten
•
Schulung der Mitarbeiter unter Berücksichtigung fachlicher bzw. technischer
Tätigkeitsschwerpunkte
•
Qualifizierung des betrieblichen Datenschutzbeauftragten sowie von
Führungskräften in weiterführenden Modulen
Ergebnisse
•
Sensibilisierung aller Mitarbeiter für die Themen Datenschutz und IT-Sicherheit
sowie den vertraulichen Umgang mit Geschäftsdaten
•
Erfüllung der gesetzlichen Vorschriften bezüglich der Mitarbeiterschulung im
Datenschutz
© FIDES IT Consultants
34
Einführung eines wirksamen Datenschutzmanagements (5|6)
•
Zertifizierung
•
•
Durchführung einer standardisierten Prüfung, basierend auf
unseren technischen, betriebswirtschaftlichen und fachlichen
Erfahrungen aus Jahresabschlussprüfungen, IT-Audits sowie
der prüfungsnahen Beratung.
Ergebnisse
•
Beleg für das Engagement im Datenschutz und verbunden
damit die zuverlässige und vertrauliche Handhabung sensibler
Daten
•
Möglichkeit zur Erfüllung der neuen gesetzlichen
Anforderungen an die Auftragsdatenverarbeitung (Nachweis
angemessener technischer und organisatorischer
Datenschutzmaßnahmen gegenüber Auftraggebern)
•
Werbewirksame Einsatzmöglichkeiten zur Einbindung in die
Unternehmenskommunikation
•
Schaffung von Vertrauen gegenüber Kunden
© FIDES IT Consultants
35
Einführung eines wirksamen Datenschutzmanagements (6|6)
•
Kontinuierliche Begleitung
•
Die Erhaltung von Qualität und Zuverlässigkeit des Datenschutzmanagements
erfordert eine kontinuierliche und qualifizierte Weiterentwicklung
•
Dauerhafte Unterstützung in zwei Varianten
• Stellung eines betrieblichen Datenschutzbeauftragten
• Coaching und fachliche Beratung Ihres Datenschutzbeauftragten
•
•
Regelmäßige Treffen zur Besprechung und Erörterung aktueller Themen und
Fragen im persönlichen Gespräch
•
Fortlaufende Weiterentwicklung des Datenschutzmanagements
Ergebnisse
•
Fortlaufende, qualifizierte und betriebswirtschaftlich effiziente Beratung unter
Berücksichtigung datenschutzrechtlicher Gesetzesänderungen, bspw. der
• Datenschutznovellen I-III (2009) sowie
• geplanter zukünftiger Novellen (wie der gegenwärtig von der neuen
Bundesregierung eruierten Pläne einer weiteren Änderung und Ausweitung der
Datenschutzgesetze)
© FIDES IT Consultants
36
Einführung eines wirksamen Datenschutzmanagements – Chancen
•
Verbesserung des allgemeinen Organisationsstands durch:
• Verbesserung der IT-Sicherheit, indem IT-Sicherheitsvorkehrungen geprüft und
bei Bedarf ergänzt werden
• Vermeidung von Geschäftsrisiken durch Sensibilisierung von Mitarbeitern im
Umgang mit personenbezogenen Daten, elektronischen Datenträgern und
E-Mails (bzgl. der Inhalte und den Adressaten)
• Vermeidung betriebsinterner Konflikte durch frühzeitige, systematische
Abstimmung mit Betriebsräten
•
Gewinnung von Kundenvertrauen – Erzielung eines Wettbewerbsvorteils
•
Gewinnung von Mitarbeitervertrauen – Verbesserung des Betriebsklimas und
Steigerung der Produktivität
© FIDES IT Consultants
37
Agenda
Datenschutz im Fokus
•
Grundlagen des Datenschutzes
•
Unternehmerische Pflichten
Übersicht der gesetzlichen Pflichten im Wandel –
Die Novelle des Bundesdatenschutzgesetzes
Einführung eines wirksamen Datenschutzmanagements –
Vorgehen und Erfahrungen aus der Praxis
Ausblick in die Zukunft
© FIDES IT Consultants
38
Ausblick in die Zukunft – Bestehende Termine
•
Neben den bereits in Kraft getretenen Änderungen des Bundesdatenschutzgesetzes
bestehen die folgenden zusätzlichen Termine für die Inkraftsetzung von Neuregelungen
der Datenschutznovellen:
•
für Zwecke der Markt- und Meinungsforschung zum 31. August 2010
•
für Zwecke der Werbung zum 31. August 2012
© FIDES IT Consultants
39
Ausblick in die Zukunft – Neue Entwicklungen
•
•
•
Entwurf zu einem Arbeitnehmerdatenschutzgesetz (BDatG, BT-Drs. 17/69)
•
Durch den ehemaligen Arbeitsminister Olaf Scholz (SPD) wurde am 25. November
2009 der Entwurf eines Gesetzes zum Arbeitnehmerdatenschutz vorgelegt.
•
Während der Entwurf vom Bundesdatenschutzbeauftragten begrüßt wird, wird er
von Vertretern der Wirtschaft sowie der Oppositionsparteien vorwiegend kritisch
hinterfragt.
Elektronischer Entgeltnachweis (ELENA)
•
Seit 01. Januar 2010 sind alle deutschen Unternehmen verpflichtet, die
Entgeltdaten ihrer Mitarbeiter sowie ergänzende Informationen an eine zentrale
Speicherstelle zu melden.
•
Gegenwärtig ist eine Sammelbeschwerde vor dem Bundesverfassungsgericht
gegen ELENA anhängig. Es ist von einer Änderung des Verfahrens auszugehen.
Datenbrief
•
Der ursprünglich vom CCC stammende Vorschlag eines Datenbriefs wurde jüngst
durch Bundesinnenminister Thomas de Maizière propagiert.
•
Unternehmen sollen durch den Datenbrief verpflichtet werden, ihre Kunden bzw.
Betroffene über die Arten und ggf. auch Inhalte der personenbezogenen Daten zu
informieren, die über sie gespeichert werden.
© FIDES IT Consultants
40
Ihre Fragen…
FIDES IT Consultants GmbH
Stefan Decker
Contrescarpe 94
28195 Bremen
S.Decker@fides-it-consultants.de
FIDES IT Consultants GmbH
Dr. Ralf Kollmann
Contrescarpe 94
28195 Bremen
R.Kollmann@fides-it-consultants.de
Tel. 0421 3013 400
Fax 0421 3013 449
www.fides-it-consultants.de
© FIDES IT Consultants
41
Document
Kategorie
Uncategorized
Seitenansichten
1
Dateigröße
169 KB
Tags
1/--Seiten
melden