Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst?

Transkript

1 Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst? Vortrag Jürgen Fickert, TBS NRW e.v., im Rahmen 28. SAP/NT-Konferenz November 2015 Crowne Plaza Hannover Vortrag Daten außer Haus 1

2 TBS Technologieberatungsstelle beim DGB NRW e. V. Die TBS NRW e.v. wird von den Gewerkschaften in NRW sowie dem Ministerium für Arbeit, Integration und Soziales getragen und handelt im Rahmen eines Landesauftrages. Dortmund Bielefeld 35 Beschäftigte arbeiten in den Regionalstellen Düsseldorf, Dortmund und Bielefeld Düsseldorf Vortrag SAP/NT-Konferenz; außer Haus

3 Ich darf mich kurz vorstellen Arbeitsschwerpunkte Jürgen Fickert Alle EDV-Themen, z. B. Gestaltung von SAP-Programmen Überwachung bei Internet, , EDV-Rahmenbetriebsvereinbarung Seit 1983 bei der TBS NRW beschäftigt Wirtschaftlichkeit und Beschäftigungssicherung Bewertung von Wirtschaftlichkeitsrechnungen, Bilanzen Vorgehen und Abwehr bei Outsourcingprojekten Maßnahmen zur Beschäftigungssicherung Umgang mit Verzichtsforderungen SAP für Betriebsräte

4 Praxisfälle bei Daten außer Haus Klassische Auftragsdatenverarbeitung durch externen IT-Dienstleister, z.b. SAP gemeinsame Datenverarbeitung in einer Unternehmensgruppe, gemeinsame Eigentümer/Familienunternehmen Shared services - Zentralisierung z. B. FiBu, Einkauf, Personalentwicklung konzernweites Management von IT-Projekten, mit Personaleinsatz, -bewertung internationale Konzerne mit Anwendungen wie Wissensdaten-banken, Facebook, Beschäftigtenprofilen Ansätze zur konzernweiten Personalentwicklungs und -einsatzplanung, z.b. für F&E-Beschäftigte Daten außer Haus 4

5 Vortragsaufbau Zulässigkeit der Datenverarbeitung nach BDSG Anforderungen an die Auftragsdatenverarbeitung Regelungen bei der Datenübermittlung Anforderungen bei der Datenübermittlung ins Ausland - Safe Habor gekippt Handlungsmöglichkeiten des Betriebsund Personalrats Seminar Daten außer Haus 5

6 Auswirkungen der externen Datenverarbeitung und von Outsourcing - viel mehr als nur Datenschutz Verlagerung und Abbau von Arbeitsplätzen, Rationalisierung Änderung von Arbeitsabläufen, Geschäftsprozessen, Umstrukturierungen Unterstützung der Nutzer bei Problemen, Hotline, Software-Ergonomie, aber auch kurzfristig zusätzliche Auswertungen Qualifizierungsmaßnahmen verbleibende IT-Kernkompetenz im Unternehmen Innovation und Investitionen im Unternehmen Daten außer Haus 6

7 Zulässigkeit der Verarbeitung und Übermittlung nach 4 Abs. 1 BDSG eine andere Rechtsvorschrift, ein Gesetz 32 BDSG Verarbeitung von Beschäftigtendaten 28 BDSG - eigene oder andere Geschäftszwecke als freiwillige Einwilligung nach 4a BDSG; auch nach Arbeitsvertrag oder für besondere Arten von Daten nach 28 (5-6) BDSG im Rahmen einer anderen Rechtsvorschrift nach 4 Abs. 1 BDSG, z.b. einer Betriebsvereinbarung Quelle Bild: wikipedia.de Seminar Daten außer Haus 7

8 Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung nach 4(1) BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das BDSG selbst oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Seminar Daten außer Haus 8

9 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 9

10 Qualitätsstandards beim Datenschutz Transparenz der DV; Verfahrensregister als Grunddokumentation Datenschutzkonzepte mit angemessenen technischen und organisatorischen Maßnahmen ( 9 BDSG); Audit; Schulungen, Datengeheimnis Aufgaben des Datenschutzbeauftragten DSB Regelungen bei der externen Datenverarbeitung Rechte der Betroffenen Allgemeine Rechtskriterien Seminar Daten außer Haus 10

11 Fälle der Datenverarbeitung außer Haus Seminar Daten außer Haus 11

12 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1.der Gegenstand und die Dauer des Auftrags, 2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, Seminar Daten außer Haus 12

13 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (2) 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Seminar Daten außer Haus 13

14 Bedingungen bei Auftragsdatenverarbeitung ADV ADV erfolgt für eigene Zwecke des Unternehmens / der Geschäftsführung GF GF bleibt Herr der Daten, verantwortliche Stelle GF hat Überwachungspflichten Es gibt kein Privileg innerhalb von Konzernen oder Unternehmensgruppen Angemessene Dokumentation (Beteiligte; Art / Umfang der Kontrollen; Feststellungen; Maßnahmen; Nachhaltigkeit, ) ADV ist nur in EU- und EWR-Staaten zulässig! (vgl. 3 (8) BDSG; sonst Übermittlung) 10 BDSG Muster auch für DÜ Daten außer Haus 14

15 Vergleich Auftragsdatenverarbeitung Funktionsübertragung/Datenübermittlung Weitgehend weisungsgebundenes Arbeiten des Auftragnehmers festgelegte Zwecke; Nutzungsverbot der Daten zu anderen Zwecken der Auftraggeber kontrolliert IT-Dienstleister ist verlängerter Arm des Auftraggebers, nicht Dritter 11 BDSG schreibt Inhalte eines Vertrages mit dem Datenempfänger vor. Datennutzung für eigene Aufgaben und Zwecke (des Datenempfängers) fachliche Spielräume und Entscheidungsbefugnis Datenempfänger ist verantwortliche Stelle; Dritter keine (direkte) rechtliche Beziehung zu dem Beschäftigten des Stammunternehmens Gesetzlich ist kein Vertrag zur Datenübermittlung vorgeschrieben. Seminar Daten außer Haus 15

16 Datenübermittlung nach 3 (4) BDSG Übermitteln DÜ ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Daten liegen bereits in elektronischer Form/Datei vor Bekanntgabe: Auch durch Gespräch, Fax, Papierlisten, Veröffentlichung ist keine Datenübermittlung Auftragsdatenverarbeitung nach 11 BDSG ist keine DÜ Automatisches Abrufverfahren nach 10 BDSG: schriftliche Dokumentation mit Zweck, Empfänger, Seminar Daten außer Haus 16

17 32 (1) Datenverarbeitung (Übermittlung) und - nutzung für Zwecke des Beschäftigungsverhältnisses Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Beispiele? Praxis? 17

18 32 BDSG Datenerhebung, -verarbeitung und nutzung für eigene Zwecke Zulässig ist die Übermittlung an andere Unternehmen oder im Konzern für Zwecke des Beschäftigungsverhältnisses z. B. im Rahmen von Kunden- oder Lieferantenaufträgen erforderliche Daten bei Produktions-/ Logistikprozessen mehrerer Unternehmen Daten im Rahmen von Zeit-/Leiharbeit Daten wie Namen, -Adressen, Zielunternehmen darf sie nur für diese Zwecke nutzen! Seminar Datenschutz 18

19 Datensicherheitsmaßnahme bei DÜ für eigene Geschäftszwecke (Beispiele) Es gibt ein konzernweites Datenschutzkonzepts Konzernweiter Datenschutzbeauftragter Transparenz des Verarbeitungsverlaufs und Datenflusses, Dokumentation Der Arbeitgeber bleibt für die Betroffenen verantwortlicher Ansprechpartner für dessen Rechte Es werden zusätzliche Datenschutzverträge (z.b. in Anlehnung ADV-Vertrag) geschaffen Zertifizierung nach ISO 27001/2/18 oder bevorzugt nach BSI-Standard zur IT-Grundschutz-Vorgehensweise (der ISO 27001/2 abdeckt) Eine Betriebsvereinbarung wird abgeschlossen Seminar Daten außer Haus 19

20 Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung nach 4(1) BDSG Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten sind nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet Andere Rechtsvorschrift: Freiwillige Betriebsvereinbarung Seminar Datenschutz 20

21 Fälle der Verarbeitung von Beschäftigtendaten im Konzern / in Unternehmesgruppen 1. Auftragsdatenverarbeitung nach 11 BDSG: Arbeitgeber bleibt Herr der Daten; Konzern darf z.b. keine Weisungen zur Personalpolitik und Personalarbeit erteilen 2. Übermittlung nach 32 (1) BDSG im Rahmen der Zweckbestimmung eines Beschäftigungsverhältnisses 3. Übermittlung nach 28(1)2 oder 28(3)1BDSG: Interessenabwägung, zugunsten des Beschäftigten! 4. Einwilligung des Beschäftigten nach 4(1) BDSG: Nein 5. Betriebs- oder Dienstvereinbarung nach 4(1) BDSG! 6. Schriftlicher Arbeitsvertrag mit konkretem Konzernbezug 7. Sonderfälle bei der DÜ ins Ausland, an Dritte Seminar Daten außer Haus 21

22 Der Datentransfer ins Ausland wird datenschutzrechtlich in 2 Stufen geprüft 1. Der Datentransfers muss rechtlich zulässig sein 2. Ist die Zulässigkeit nach der 1. Stufe gegeben, wird in der 2. Stufe geprüft, ob ein Datentransfer in das jeweilige Land zulässig ist. Hierbei wird grob nach Staaten unterschieden EU, EWR Sichere Staaten mit angemessenem Datenschutzniveau Staaten mit unangemessenem Datenschutzniveau Seminar Daten außer Haus 22

23 Fälle der DÜ ins Ausland Seminar Daten außer Haus 23

24 Vertragsformen für Staaten ohne angemessenes Datenschutzniveau 1. EU-Standardverträge Die EU stellt Musterverträge zur Verfügung, die ausreichende Garantien für die Persönlichkeitsrechte gewährleisten sollen. 2. Individualvertrag Erfordert die Genehmigung durch die zuständige Aufsichtsbehörde. 3. Binding Corporate Rules (BCR) Verbindliche Konzernregelungen zum Datenschutz Seminar Daten außer Haus 24

25 Was tun bei der DÜ in die USA? 6. Darf mein Unternehmen überhaupt noch Daten in die USA übermitteln? Die Datenschutzaufsichtsbehörden in Europa und in Deutschland sind schon seit gestern in einem engen Austausch und werden voraussichtlich sehr schnell erste Vorgaben machen. Dabei wird es sicher auch Übergangsfristen geben, die aber nicht allzu lange sein dürfen, da materiell seit gestern klar ist, dass die Datenübermittlungen per Safe Harbor unzulässig sind. 7. Wonach muss ich als Betriebsrat fragen, worauf ist besonders zu achten? Betriebsräte von Safe-Harbor-Unternehmen sollten einen Plan von der Unternehmens-leitung einfordern, in welcher Zeit welche Schritte unternommen werden sollen, um die unzulässigen Datenübermittlungen in die USA zu stoppen oder nachzubessern. Finden Standardvertragsklauseln oder Binding Corporate Rules - BCRs - Anwendung, so sollte kurzfristig eine Stellungnahme eingefordert werden, inwieweit diese noch mit der EuGH-Rechtsprechung vereinbar sind. Quelle Stichworte, fragen-zum-safe-harbor Thilo Weichert, Datenschutzexperte und Fachautor beim Bund-Verlag Seminar Daten außer Haus 25

26 Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel Vortrag Daten außer Haus 26

27 Vortrag Daten außer Haus 27

28 und die Rechte des Betriebsrats 80 (1) Allgemeine Aufgaben darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, durchgeführt werden 87 Mitbestimmungsrechte (1) Der Betriebsrat hat in folgenden Angelegenheiten mitzubestimmen: 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; 94 Personalfragebogen, Beurteilungsgrundsätze (1)Personalfragebogen bedürfen der Zustimmung des Betriebsrats. Seminar Daten außer Haus

29 Leitfragen für den Betriebsrat Welche Qualität, welches Überwachungspotenzial haben die (übertragenen) Daten? Was ist die genaue Zweckbestimmung? Wer sind die Berechtigten und Empfänger, im Konzern, im In- und Ausland? Sind Vorgesetzte beteiligt? Gibt es gutes und überprüfbares Datenschutz- und - sicherheitskonzept? Handelt es sich um Überwachung oder nur um ein Datenschutzproblem? Seminar Daten außer Haus 29

30 TBS-Broschüre von 10/ Seminar Daten außer Haus 30