Praktischer Datenschutz

Transkript

1 Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel Praktischer Datenschutz 1

2 Themen 1. Behördlicher und betrieblicher Datenschutzbeauftragter, Bestellung, Fachkunde, Aufgaben 2. Datenschutz- bzw. IT-Sicherheitskonzept 3. Auftragsdatenverarbeitung 4. Audit Praktischer Datenschutz 2

3 1. Bestellung Datenschutzbeauftragter 4f BDSG bzw. 10 LDSG SH Schriftlich, intern: förmliches Schreiben, extern: Vertrag Externer oder interner Datenschutzbeauftragter Unabhängig, kein Interessenkonflikt, Stabsstelle Fachkunde und Zuverlässigkeit Kontaktfreudig und offensiv Kooperativ und konstruktiv Analytisches Denkvermögen Praktischer Datenschutz 3

4 1. Aufgaben des Datenschutzbeauftragten Überwachung der ordnungsgemäßen Datenverarbeitung Durchführung von Prüfungen, Audits und Sicherheitschecks Vorabkontrolle Verfahrensverzeichnis Schulung und Sensibilisierung der Mitarbeiter Beratung der Fachbereiche Unterrichtung der Unternehmens- bzw. Behördenleitung Mitwirkung in Projekten Praktischer Datenschutz 4

5 1. Aufgaben des Datenschutzbeauftragten Bearbeitung von Eingaben Erstellung von Dokumentationen (Datenschutzkonzept) Kontrolle der Auftragnehmer bei Auftragsdatenverarbeitung Erarbeitung von Stellungnahmen Berichten und informieren Kommunikation mit der Datenschutzaufsichtsbehörde Erstellung von Tätigkeitsberichten Fortbildung, Aufbau der Fachkompetenz Praktischer Datenschutz 5

6 1. Organigramm CAU DSB Praktischer Datenschutz 6

7 1. Informationen und Fortbildung für den DSB Berufsverband der Datenschutzbeauftragten (Das berufliche Leitbild des Datenschutzbeauftragten) Gesellschaft für Datenschutz und Datensicherheit Ulmer Akademie für Datenschutz und Datensicherheit Datenschutzakademie des ULD Praktischer Datenschutz 7

8 2. Datenschutz- bzw. IT-Sicherheitskonzept Verbindliches Regelwerk über den Datenschutz und die IT- Sicherheit innerhalb der Organisation Gilt als internes Gesetz Voraussetzung für ein Datenschutz- und IT- Sicherheitsmanagement Dient als Kontrollinstrument Beschreibt das Datenschutzniveau Definiert Datenschutz- und IT-Sicherheitsprozesse Praktischer Datenschutz 8

9 2. Bestandsaufnahme Voraussetzung für die Erstellung eines Datenschutz- bzw. IT-Sicherheitskonzepts ist eine Bestandsaufnahme der Infrastruktur Aufbau- und Ablauforganisation Hard- und Software Vernetzung Fachanwendungen Datenkommunikationsprozesse Gesetze, Richtlinien, Anweisungen, Systemdokumentation Praktischer Datenschutz 9

10 2. Inhalt - Datenschutz- bzw. IT-Sicherheitskonzept Abgrenzung der Datenverarbeitung Ermitteln der Gefährdungen Mögliche Schäden: Gefahr für Leib und Leben, Finanzieller Schaden, Imageverlust, Beeinträchtigung der Arbeit Festlegung des Schutzbedarfs nach den Grundwerten Vertraulichkeit, Integrität, Verfügbarkeit, In Maßnahmenkatalog Technische und organisatorische Maßnahmen (TOMs) Restrisikoanalyse Noch vorhandene Schwachstellen bewerten Überwachung, Kontrolle Praktischer Datenschutz 10

11 2. Inhalt - Datenschutz- bzw. IT-Sicherheitskonzept Inhaltsverzeichnis I. Grundlagen und Aufbau 1. Zielrichtung 2. Zuständig- und Verantwortlichkeiten 3. Überwachung 4. Fortschreibung II. Schutzbedarf / Gefährdungen 1. Höhere Gewalt 2. Organisatorische Mängel 3. Menschliche Fehlhandlungen 4. Technisches Versagen 5. Vorsätzliche Handlungen III. TOMs für die allgemeine Datenverarbeitung 1. Schulung der Mitarbeiter 2. Tür- und Fenstersicherung 3. Aktenführung und Aktenaufbewahrung 4. Archiv und Aufbewahrungsfristen 5. Reinigungspersonal 6. Publikumsverkehr 7. Auskünfte, Datenübermittlung IV. TOMs für die automatisierte Datenverarbeitung 1. Zuständigkeiten 2. Betriebssicherheit 3. Server 4. Arbeitsstation 5. Datenbestände 6. Datensicherung 7. Externe Datenträger 8. Arbeitsumgebung 9. Nutzung der IT- Geräte 10. Nutzung der Verfahren 11. Systemprotokollierung 12. Verfahrensdokumentation 13. Externe Dienstleister V. TOMs für die Internetnutzung 1. Allgemein 2. Firewall WWW VI. Restrisikoanalyse 1. Verfügbarkeit der Systeme 2. Integrität der Software und der Daten 3. Internet-Dienste Praktischer Datenschutz 11

12 3. Auftragsdatenverarbeitung Auslagerung von Datenverarbeitungsprozessen ( 11 BDSG, 17 LDSG) Die Datenverarbeitende Stelle bleibt verantwortlich für die Daten Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen: - Vorlage des Datenschutz- bzw. Sicherheitskonzepts - Kontrolle vor Ort Der Auftrag ist schriftlich (Vertrag) zu erteilen! Beispiele: - Lohnabrechnung - Papierentsorgung - Call-Center - Betrieb von Fachanwendungen in Rechenzentren Praktischer Datenschutz 12

13 3. 11 Absatz 2 BDSG -Vertragsinhalte 1. Gegenstand und die Dauer des Auftrags, 2. Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 BDSG zu treffenden Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Praktischer Datenschutz 13

14 4. Audit Einhaltung des Datenschutzkonzepts, der Richtlinien und Gesetze Datenverarbeitungsprozesse begutachten, Soll-Ist-Abgleich Vorgehensweise (Methode): 1. Abgrenzung des Auditgegenstands 2. Beteiligte und Geschäftsleitung informieren 3. Konzepte, Richtlinien und Gesetze anfordern u. analysieren 4. Erstellung eines Prüfplans 5. Prüfung der Dokumentation auf Vollständigkeit und Qualität (Soll) 6. Vor-Ort-Prüfung - Umsetzung der TOMs (Ist) 7. Datenschutzrechtliche Bewertung der Sachverhalte 8. Ergebnisse den Verantwortlichen mitteilen 9. Erstellung des Gutachtens 10. Abweichungen bzw. Verstöße beseitigen Praktischer Datenschutz 14

15 Können Sie die Fragen gut beantworten? 1. Welche Aufgaben übernimmt der Datenschutzbeauftragte? 2. Welche Vorgehensweise ist bei der Erstellung eines Datenschutz- bzw. IT- Sicherheitskonzepts zu beachten? 3. Welche Anforderungen sollen TOMs erfüllen? 4. Wie wird die Eignung eines Dienstleisters im Rahmen der Auftragsdatenverarbeitung festgestellt? 5. Welche Regelungen werden bei der Durchführung eines Audits überprüft? Praktischer Datenschutz 15