Datenschutz was wirklich erforderlich ist

Transkript

1 Datenschutz was wirklich erforderlich ist Bremen, 20. April 2010 Atlantik Hotel Galopprennbahn Stefan Decker Dr. Ralf Kollmann

2 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 2

3 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 3

4 Grundlagen des Datenschutzes (1 4) Was ist Datenschutz? Datenschutz dient dazu, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird ( 1 Abs. 1 BDSG) Datenschutz dient dem Schutz persönlicher Daten vor Missbrauch und Verlust und der Gewährleistung der informationellen Selbstbestimmung Ungeachtet der fachlichen Definition werden aus Gründen betriebswirtschaftlicher Effizienz oft auch Geschäfts- oder Betriebsgeheimnisse ( 17 Abs. 1 UWG) einbezogen 4

5 Grundlagen des Datenschutzes (2 4) Gültigkeitsbereich des Bundesdatenschutzgesetzes Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ( 1 Abs. 2 BDSG) Wann liegt ein Personenbezug vor? ( 3 Abs. 1 BDSG) Es bestehen keine bundesrechtlichen Vorrangnormen (Subsidiarität) ( 1 Abs. 3 BDSG) Verarbeitung mittels DV-Anlagen oder mittels nicht-automatisierter Dateien ( 1 Abs. 2 Nr. 3 BDSG) Sonderfall: Verarbeitung von Beschäftigtendaten, die in Papierform vorliegen ( 32 Abs. 2 BDSG) 5

6 Grundlagen des Datenschutzes (3 4) Grundprinzipien des Datenschutzes Verbot mit Erlaubnisvorbehalt Die Verarbeitung personenbezogener Daten ist gesetzlich verboten, sofern nicht eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung gesetzlich zulässig ist ( 4 Abs. 1 BDSG). Verhältnismäßigkeit Die Erhebung und Verarbeitung personenbezogener Daten darf nur erfolgen, wenn sie für die Erfüllung der zugrunde liegenden Aufgabe unmittelbar erforderlich ist. Insbesondere ist Voraussetzung, dass keine milderen Mittel existieren, die unter Berücksichtigung von Verhältnismäßigkeit und Wirtschaftlichkeit in vergleichbarer Weise den angestrebten Zweck erfüllen würden ( 3a BDSG). Vertraulichkeit Personenbezogene Daten sind vertraulich zu behandeln. Die mit der Verarbeitung betrauten Mitarbeiter sind zur Verschwiegenheit zu verpflichten ( 5 BDSG). 6

7 Grundlagen des Datenschutzes (4 4) Zweckbindung Die Verarbeitung personenbezogener Daten darf nur zu den dokumentierten Zwecken erfolgen. Eine nachträgliche Änderung des Zwecks ist nur unter engen gesetzlichen Voraussetzungen zulässig ( 28 Abs. 2 BDSG). Transparenzprinzip Das Recht auf informationelle Selbstbestimmung ist zu wahren. Im BDSG wird dies insbesondere durch Benachrichtigungspflichten ( 4 Abs. 3, 28 Abs. 4 S. 2, 33 BDSG) und Auskunftsrechte ( 34 BDSG) umgesetzt. Prinzip des Direkterhebungsvorrangs Personenbezogene Daten sollen bevorzugt direkt beim Betroffenen erhoben werden, welcher dazu seine Einwilligung gibt. Ausnahmen bestehen, bspw. wenn der Betroffene die fraglichen Daten veröffentlicht hat oder ein Gesetz die Datenverarbeitung vorsieht ( 4 Abs. 2 BDSG). Prinzip der Datensparsamkeit ( 3a BDSG) Es sollen so wenig Daten erfasst bzw. verarbeitet werden wie möglich bzw. wie minimal erforderlich sind, um die angestrebten Zwecke zu erfüllen. 7

8 Grundlagen des Datenschutzes Ein Praxisbeispiel (1 3) Betrachtet wird ein Handelsunternehmen im Endkundengeschäft Geschäftszweck ist der Handel mit Waren über Online-Vertrieb Ein Kunde kauft Produkt A und gibt dafür seine Daten (Name, Anschrift, Bankverbindung, Telefonnummer, Produkt) an. Nachfolgend werden die Grundprinzipien erläutert: Verbot mit Erlaubnisvorbehalt Die Zulässigkeit der Datenverarbeitung ergibt sich aus der Einwilligung des Kunden zur Bereitstellung seiner Daten, darüber hinaus aus 28 Abs. 1 Nr. 1 BDSG. Direkterhebungsvorrang Die Daten werden unmittelbar beim Kunden erfasst, indem er sie durch Nutzung der Eingabemaske des Online-Shops selbst an den Händler übergibt. Verhältnismäßigkeit und Datensparsamkeit Es werden nur die Daten erfasst, die zur Abwicklung des Geschäfts (Zusendung der Ware, Bezahlung durch Bankeinzug) unmittelbar erforderlich sind. Die Telefonnummer wird für etwaige Rückfragen gespeichert. 8

9 Grundlagen des Datenschutzes Ein Praxisbeispiel (2 3) Vertraulichkeit Der Händler hat seine IT-Systeme durch technische Sicherheitsmaßnahmen (Firewall, Virenscanner etc.) geschützt. Außerdem hat er sichergestellt, dass auch sein Provider entsprechende Sicherheitsmaßnahmen veranlasst hat. Die Mitarbeiter des Händlers sowie des Providers wurden zur Verschwiegenheit verpflichtet. Transparenz Der Händler stellt in seinem Online-Shop eine Datenschutzerklärung bereit. Darin informiert er über die Daten, die beim Besuch des Shops sowie bei der Bestellung von Waren gespeichert werden. Außerdem informiert er über die "Verantwortliche Stelle" (der Händler selbst). Zweckbindung Solange der Händler die Daten nur für die Abwicklung der Kundenbestellung verwendet, ist die Zweckbindung erfüllt. 9

10 Grundlagen des Datenschutzes Ein Praxisbeispiel (3 3) Abwandlung: Der Händler möchte seine Kundendaten benutzen, um Werbung für andere von ihm vertriebene Produkte per Post zu verschicken. Der Kunde hat hierzu nicht ausdrücklich eingewilligt. Für die geplante Werbemaßnahme stellt der Händler die Kundendaten als Liste zusammen, die Name und Anschrift enthält. Er erstellt jeweils eine Liste für jedes zu bewerbende Produkt. Ist dieses Vorgehen zulässig? Zweckbindung Die Kundendaten wurden zur Abwicklung von Kaufgeschäften erfasst. Die Nutzung zur Werbung stellt eine Zweckänderung dar. Diese ist hier zulässig, da der Händler nur Daten seiner Bestandskunden verwendet und für eigene Zwecke wirbt ( 28 Abs. 3 Satz 2 Nr. 1 BDSG). Transparenz Der Händler ergänzt seine Datenschutzerklärung um einen Passus, der über die Verwendung der Kundendaten auch zur Werbung informiert sowie über das Widerspruchsrecht des Kunden, seine Daten für die Werbung oder Markt- und Meinungsforschung zu verwenden. Außerdem führt er eine Liste, in welcher er Kunden speichert, die der Nutzung ihrer Daten für die Werbung widersprochen haben. 10

11 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 11

12 Unternehmerische Pflichten (1 2) Die Einhaltung der datenschutzrechtlichen Vorschriften liegt in der Verantwortung der Geschäftsleitung. Die folgenden zentralen Pflichten zur Einhaltung der vorgenannten Grundprinzipien sind durch die Geschäftsleitung zu erfüllen: Einführung angemessener organisatorischer Maßnahmen zum Schutz personenbezogener Daten Bestellung eines Datenschutzbeauftragten (ab 10 mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeitern) Erstellung und Pflege gesetzlich vorgeschriebener Datenschutz-Dokumente sowie erforderlicher Verfahrensanweisungen Sicherstellung der Zulässigkeit der Datenverarbeitungsverfahren Einhaltung von Meldepflichten, bspw. bei Datenpannen Wahrung der Rechte Betroffener, insbesondere das Recht auf Berichtigung, Löschung, Sperrung 12

13 Unternehmerische Pflichten (2 2) Einführung angemessener technischer Maßnahmen zum Schutz personenbezogener Daten Logische Schutzmaßnahmen (Passwort-Policy, Firewall/IDS, Virenschutz etc.) Physische Zugriffsschutzmaßnahmen (bspw. Einbruch- und Brandschutz, Zutrittskontrollen) 13

14 Reaktion der Gruppen "Betroffener" Wie reagiert der "durchschnittliche" Betroffene auf eine Verletzung seiner Rechte? Mitarbeiter (Verunsicherung, Anruf des Datenschutzbeauftragten oder des Betriebsrats, ) Personalvertretung (Dialog mit der Geschäftsleitung, Anruf der Aufsichtsbehörde, Information der Öffentlichkeit, ) Geschäftspartner (Beschwerde, Anruf der Aufsichtsbehörde, ) Die Überwachung der Einhaltung des Datenschutzes erfolgt durch insitutionalisierte Kontrollinstanzen (Aufsichtsbehörden). Übliche Reaktionen: Schriftliche Bitte um Stellungnahme Ermahnung und Anweisung zur Anpassung der Datenverarbeitungsprozesse, mit konkreten Vorgaben Durchführung einer Prüfung im Unternehmen Androhung bzw. Verhängung von Bußgeldern Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße 14

15 Risiken im Datenschutz Bei der Nichteinhaltung muss mit rechtlichen Konsequenzen gerechnet werden: Sanktionen durch die Datenschutznovelle in Umfang und Höhe verschärft Bußgelder ( 43 BDSG) Freiheitsstrafen ( 44 BDSG) Anordnung von Maßnahmen (bis hin zur Untersagung von IT-Verfahren) durch die Aufsichtsbehörden Daneben bestehen für das Unternehmen und die jeweiligen Verantwortlichen weitere Risiken: Imageverlust Persönliche Risiken 15

16 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 16

17 Die Novelle des Bundesdatenschutzgesetzes: Übersicht (1 2) In 2009 wurden drei Novellen des BDSG verabschiedet Zu den folgenden Themengebieten wurden wesentliche Änderungen beschlossen: Arbeitnehmerdatenschutz ( 32 BDSG) Auftragsdatenverarbeitung ( 11 BDSG) Stärkung des Datenschutzbeauftragten ( 4f Abs. 3 BDSG) Informationspflichten bei Datenschutzpannen ( 42a BDSG) Personalisierte Werbung, Markt- und Meinungsforschung sowie Listenprivileg ( 28 Abs. 3 BDSG) Scoringverfahren und automatisierte Einzelentscheidungen ( 6a, 28b BDSG) Erweiterte Rechte von Betroffenen ( 3a, 6 Abs. 3 BDSG) Erweiterte Bußgeldvorschriften ( 43 BDSG) Erweiterte Kompetenzen der Aufsichtsbehörden ( 38 Abs. 5 BDSG) 17

18 Die Novelle des Bundesdatenschutzgesetzes: Übersicht (2 2) Die folgenden Themen werden im Weiteren detailliert betrachtet: Arbeitnehmerdatenschutz ( 32 BDSG) Auftragsdatenverarbeitung ( 11 BDSG) Informationspflichten bei Datenschutzpannen ( 42a BDSG) Alle drei Neuregelungen sind seit dem 01. September 2009 in Kraft getreten und somit geltendes Gesetz. 18

19 Arbeitnehmerdatenschutz (1 2) Der Arbeitnehmerdatenschutz wird durch die Novelle in 32 BDSG explizit neu geregelt. Beschäftigtendaten dürfen erhoben, verarbeitet und genutzt werden, sofern dies im Zusammenhang mit der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Vorschriften zum Arbeitnehmerdatenschutz gelten, anders als bisher, nicht nur für automatisiert verarbeitete, sondern auch für nicht automatisiert (bspw. in Papier-/ Aktenform) vorliegende Personendaten. 32 Abs. 1 S. 1 BDSG ist nach herrschender Meinung auch Rechtsgrundlage für Maßnahmen zur (i.d.r. verdachtsunabhängigen) Prävention von Straftaten im Zusammenhang mit dem Beschäftigungsverhältnis ("Korruptionsbekämpfung"). 32 Abs. 1 S. 2 BDSG regelt dagegen die Verfolgung konkreter Verdachtsfälle. Gegenwärtig bestehen bei Maßnahmen zur reinen Prävention von Straftaten datenschutzrechtliche Durchführungsrisiken aufgrund der Rechtsunsicherheit durch die noch uneinheitliche Auslegung des 32 BDSG. 19

20 Arbeitnehmerdatenschutz (2 2) Beispiele Fazit Bearbeitung von Bewerbungen Durchführung von Maßnahmen zur Prävention von Straftaten Generell die Durchführung der Personalverwaltung Vor der Durchführung von Maßnahmen zur Prävention von Straftaten (Korruptionsbekämpfung) sollte deren Zulässigkeit unter konservativer Auslegung der Rechtsvorschriften sorgfältig geprüft werden. Die zuständige Aufsichtsbehörde sollte einbezogen und das geplante Verfahren abgestimmt werden. Bei positivem Ergebnis sind die Maßnahmen unter genauer Berücksichtigung der Handlungsempfehlungen der zuständigen Aufsichtsbehörde durchzuführen und zu dokumentieren. 20

21 Die Novelle des Bundesdatenschutzgesetzes: Übersicht Die folgenden Themen werden im Weiteren detailliert betrachtet: Arbeitnehmerdatenschutz ( 32 BDSG) Auftragsdatenverarbeitung ( 11 BDSG) Informationspflichten bei Datenschutzpannen ( 42a BDSG) 21

22 Auftragsdatenverarbeitung (1 2) Die Regelungen zur Auftragsdatenverarbeitung dienen dazu, das Outsourcing von Datenverarbeitungsdienstleistungen datenschutzrechtlich abzusichern. Auftragsdatenverarbeitung liegt vor, wenn: die Ausführung eines Datenverarbeitungsverfahrens an den Auftragnehmer delegiert wird der Auftragnehmer die Datenverarbeitung strikt nach Weisung durchführt selbst keine Handlungsfreiheit bei der Durchführung hat Beispiele für Auftragsdatenverarbeitung Durchführung der Lohn- und Gehaltsbuchhaltung durch einen Dienstleister Einscannen von Rechnungen oder Patientenakten durch einen Dienstleister Löschen und Vernichten von personenbezogenen Daten bzw. Datenträgern Wartung und Prüfung automatisierter DV-Verfahren gemäß 11 Abs. 5 BDSG, einschließlich Fernwartung 22

23 Auftragsdatenverarbeitung (2 2) Durch die Novelle des Bundesdatenschutzgesetzes wird die Regelung zur Auftragsdatenverarbeitung in 11 BDSG deutlich erweitert Fazit Ein 10-Punkte-Katalog regelt Inhalte, die obligatorisch vertraglich zu vereinbaren sind. Der Auftraggeber muss die vom Auftragnehmer getroffenen Schutzmaßnahmen vor Beginn der Datenverarbeitung und im Anschluss regelmäßig kontrollieren. Verstöße können mit Bußgeldern i.h.v. bis zu EUR geahndet werden. Für neue und bestehende Verträge zur Auftragsdatenverarbeitung sollte eine Vertragsergänzung vereinbart werden, in welcher die gesetzlich vorgeschriebenen Punkte geregelt sind. Die Prüfung der technischen und organisatorischen Schutzmaßnahmen des Auftragnehmers sollte bei der Vereinbarung neuer Verträge zur Auftragsdatenverarbeitung und anschließend regelmäßig bei neuen und bestehenden Verträgen durchgeführt und dokumentiert werden. 23

24 Auftragsdatenverarbeitung : 10-Punkte-Katalog Die folgenden Punkte sind gemäß 11 Abs. 2 BDSG bei der Vereinbarung von Auftragsdatenverarbeitung vertraglich zu regeln: 1. Gegenstand und Dauer des Auftrags 2. Umfang, Art und Zweck der Datenverarbeitung 3. Vom Auftragnehmer zu treffende technische und organisatorische Maßnahmen 4. Maßgaben zur Berichtigung, Löschung und Sperrung von Daten 5. Pflichten des Auftragnehmers und von ihm vorzunehmende Kontrollen 6. Begründung von Unterauftragsverhältnissen 7. Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers 8. Informationspflichten des Auftragnehmers bei Verstößen gegen den Datenschutz 9. Weisungsbefugnisse des Auftraggebers 10. Rückgabe von Datenträgern des Auftraggebers und Löschung gespeicherter Daten nach Beendigung des Auftrags 24

25 Die Novelle des Bundesdatenschutzgesetzes: Übersicht Die folgenden Themen werden im Weiteren detailliert betrachtet: Arbeitnehmerdatenschutz ( 32 BDSG) Auftragsdatenverarbeitung ( 11 BDSG) Informationspflichten bei Datenschutzpannen ( 42a BDSG) 25

26 Informationspflichten bei Datenschutzpannen (1 2) Durch die Datenschutznovelle findet die Security Breach Notification Eingang in das deutsche Datenschutzrecht ( 42a BDSG) Datenschutzpannen sind an die Aufsichtsbehörde und Betroffene zu melden, wenn sensible Daten (bspw. einem Berufsgeheimnis unterliegende Daten, Bankdaten, Gesundheit, religiöse Zugehörigkeit (Steuerdaten)) unrechtmäßig bzw. unkontrolliert Dritten bekannt werden und den Betroffenen schwerwiegende Beeinträchtigungen drohen Die Meldung (an Aufsichtsbehörden und Betroffene) muss unverzüglich erfolgen. Beispiele Eine Datei mit Bankverbindungen von Kunden wird unverschlüsselt per versendet. Dabei wird versehentlich eine falsche -Adresse angegeben. Die elektronischen Bewerbungsakten werden auf einem PC in der Verwaltung gespeichert. Nach dem Tausch des PCs durch ein neues Gerät wird der alte PC einem Mitarbeiter verkauft, ohne die Festplatte zu löschen. Archiv-DVDs mit Patientendaten eines Krankenhauses gelangen versehentlich in den Hausmüll und werden dort vom Reinigungspersonal gefunden. 26

27 Informationspflichten bei Datenschutzpannen (2 2) Bei Nichterfüllung drohen Bußgelder i.h.v. bis zu EUR ( 43 Abs. 2 Nr. 7, 43 Abs. 3 S. 1 Hs. 2 BDSG) Fazit Es empfiehlt sich die Erarbeitung einer Verfahrensanweisung zur Vermeidung von Datenschutzpannen und zur Regelung der Zuständigkeiten und des Vorgehens bei Bekanntwerden von Datenschutzpannen 27

28 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 28

29 Einführung eines wirksamen Datenschutzmanagements (1 6) Datenschutz funktioniert in jedem Unternehmen anders gerade weil er hochsensible Geschäftsbereiche berührt. Um dem gerecht zu werden, empfehlen wir das folgende modulare Vorgehen 29

30 Einführung eines wirksamen Datenschutzmanagements (2 6) Datenschutz-Analyse Aufnahme der datenschutzrechtlich relevanten IT-Prozesse und Systeme Kategorisierung nach Schutzgraden anhand der datenschutzrechtlichen Risiken Prüfung der datenschutzrechtlichen Zulässigkeit der IT-Prozesse sowie bestehender technischer und organisatorischer Schutzmaßnahmen Gegenüberstellung einschlägiger normativer Anforderungen Ergebnisse Ermittlung, Priorisierung und Dokumentation des bestehenden Handlungsbedarfs aus Unternehmenssicht 30

31 Analyseergebnis: Beispiel zur Datenanalyse der Lohnbuchhaltung IT-System LoBU-Soft Verarbeitete Personendaten Lohn- und Gehaltsdaten der Mitarbeiter Verwendungszweck Abwicklung von Beschäftigungsverhältnissen (Vertragsverhältnis) Ordentlicher Geschäftsbetrieb Technisch-/organisatorische Maßnahmen Die Büros und Schränke der Personalverwaltung sind bei Abwesenheit abgeschlossen. Die Datenspeicherung erfolgt in verschlüsselter Form (AES256). Die verwendeten Passwörter für Verschlüsselung und Systemzugang unterliegen der hauseigenen IT-Sicherheitspolicy. Die Mitarbeiter sind zur Verschwiegenheit nach 5 verpflichtet und durch Schulungen sowie Verfahrensanweisungen auf das Thema Datenschutz sensibilisiert. Handlungsbedarf ( ) 31

32 Analyseergebnis: Beispiel der Datenschutz-Risikomatrix eines Unternehmens Datenschutz-Risikomatrix Mustermann GmbH Web-Präsenz CRM-System / Internet Finanzbuchhaltung Videoüberwachung Zeiterfassung Personalverwaltung EDV-Administration Lohn u. Gehalt 20 0 niedrig Eintrittswahrscheinlichkeit hoch niedrig Schutzbedürftigkeit hoch

33 Einführung eines wirksamen Datenschutzmanagements (3 6) Konzeption und Implementierung Rechtliche und betriebswirtschaftliche Abwägung der Notwendigkeit einzuführender Maßnahmen Festlegung umzusetzender Maßnahmen auf Grundlage der Analyse Konzeption und Umsetzung Ergebnisse Einführung eines effizienten Datenschutzmanagements, welches individuell an die Anforderungen des Unternehmens angepasst ist Nachhaltiger Schutz aller vertraulichen Personen- und Unternehmensbezogenen Daten Vorliegen einer aktuellen, die gesetzlichen Anforderungen erfüllenden Datenschutz- Dokumentation 33

34 Einführung eines wirksamen Datenschutzmanagements (4 6) Inhouse-Schulungen Individuelle Abstimmung von Inhalten und Schulungsschwerpunkten Schulung der Mitarbeiter unter Berücksichtigung fachlicher bzw. technischer Tätigkeitsschwerpunkte Qualifizierung des betrieblichen Datenschutzbeauftragten sowie von Führungskräften in weiterführenden Modulen Ergebnisse Sensibilisierung aller Mitarbeiter für die Themen Datenschutz und IT-Sicherheit sowie den vertraulichen Umgang mit Geschäftsdaten Erfüllung der gesetzlichen Vorschriften bezüglich der Mitarbeiterschulung im Datenschutz 34

35 Einführung eines wirksamen Datenschutzmanagements (5 6) Zertifizierung Durchführung einer standardisierten Prüfung, basierend auf unseren technischen, betriebswirtschaftlichen und fachlichen Erfahrungen aus Jahresabschlussprüfungen, IT-Audits sowie der prüfungsnahen Beratung. Ergebnisse Beleg für das Engagement im Datenschutz und verbunden damit die zuverlässige und vertrauliche Handhabung sensibler Daten Möglichkeit zur Erfüllung der neuen gesetzlichen Anforderungen an die Auftragsdatenverarbeitung (Nachweis angemessener technischer und organisatorischer Datenschutzmaßnahmen gegenüber Auftraggebern) Werbewirksame Einsatzmöglichkeiten zur Einbindung in die Unternehmenskommunikation Schaffung von Vertrauen gegenüber Kunden 35

36 Einführung eines wirksamen Datenschutzmanagements (6 6) Kontinuierliche Begleitung Die Erhaltung von Qualität und Zuverlässigkeit des Datenschutzmanagements erfordert eine kontinuierliche und qualifizierte Weiterentwicklung Dauerhafte Unterstützung in zwei Varianten Stellung eines betrieblichen Datenschutzbeauftragten Coaching und fachliche Beratung Ihres Datenschutzbeauftragten Regelmäßige Treffen zur Besprechung und Erörterung aktueller Themen und Fragen im persönlichen Gespräch Fortlaufende Weiterentwicklung des Datenschutzmanagements Ergebnisse Fortlaufende, qualifizierte und betriebswirtschaftlich effiziente Beratung unter Berücksichtigung datenschutzrechtlicher Gesetzesänderungen, bspw. der Datenschutznovellen I-III (2009) sowie geplanter zukünftiger Novellen (wie der gegenwärtig von der neuen Bundesregierung eruierten Pläne einer weiteren Änderung und Ausweitung der Datenschutzgesetze) 36

37 Einführung eines wirksamen Datenschutzmanagements Chancen Verbesserung des allgemeinen Organisationsstands durch: Verbesserung der IT-Sicherheit, indem IT-Sicherheitsvorkehrungen geprüft und bei Bedarf ergänzt werden Vermeidung von Geschäftsrisiken durch Sensibilisierung von Mitarbeitern im Umgang mit personenbezogenen Daten, elektronischen Datenträgern und s (bzgl. der Inhalte und den Adressaten) Vermeidung betriebsinterner Konflikte durch frühzeitige, systematische Abstimmung mit Betriebsräten Gewinnung von Kundenvertrauen Erzielung eines Wettbewerbsvorteils Gewinnung von Mitarbeitervertrauen Verbesserung des Betriebsklimas und Steigerung der Produktivität 37

38 Agenda Datenschutz im Fokus Grundlagen des Datenschutzes Unternehmerische Pflichten Übersicht der gesetzlichen Pflichten im Wandel Die Novelle des Bundesdatenschutzgesetzes Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis Ausblick in die Zukunft 38

39 Ausblick in die Zukunft Bestehende Termine Neben den bereits in Kraft getretenen Änderungen des Bundesdatenschutzgesetzes bestehen die folgenden zusätzlichen Termine für die Inkraftsetzung von Neuregelungen der Datenschutznovellen: für Zwecke der Markt- und Meinungsforschung zum 31. August 2010 für Zwecke der Werbung zum 31. August

40 Ausblick in die Zukunft Neue Entwicklungen Entwurf zu einem Arbeitnehmerdatenschutzgesetz (BDatG, BT-Drs. 17/69) Durch den ehemaligen Arbeitsminister Olaf Scholz (SPD) wurde am 25. November 2009 der Entwurf eines Gesetzes zum Arbeitnehmerdatenschutz vorgelegt. Während der Entwurf vom Bundesdatenschutzbeauftragten begrüßt wird, wird er von Vertretern der Wirtschaft sowie der Oppositionsparteien vorwiegend kritisch hinterfragt. Elektronischer Entgeltnachweis (ELENA) Seit 01. Januar 2010 sind alle deutschen Unternehmen verpflichtet, die Entgeltdaten ihrer Mitarbeiter sowie ergänzende Informationen an eine zentrale Speicherstelle zu melden. Gegenwärtig ist eine Sammelbeschwerde vor dem Bundesverfassungsgericht gegen ELENA anhängig. Es ist von einer Änderung des Verfahrens auszugehen. Datenbrief Der ursprünglich vom CCC stammende Vorschlag eines Datenbriefs wurde jüngst durch Bundesinnenminister Thomas de Maizière propagiert. Unternehmen sollen durch den Datenbrief verpflichtet werden, ihre Kunden bzw. Betroffene über die Arten und ggf. auch Inhalte der personenbezogenen Daten zu informieren, die über sie gespeichert werden. 40

41 Ihre Fragen FIDES IT Consultants GmbH Stefan Decker Contrescarpe Bremen FIDES IT Consultants GmbH Dr. Ralf Kollmann Contrescarpe Bremen Tel Fax