Datenschutzmanagement Wesentliche Pflichten des Postdienstleisters

Größe: px

Ab Seite anzeigen:

Download "Datenschutzmanagement Wesentliche Pflichten des Postdienstleisters"

Florian Carl Esser
vor 8 Jahren
Abrufe

1 Datenschutzmanagement Wesentliche Pflichten des Postdienstleisters Dipl.-Wi.jur. Manuel Cebulla, LL.M. 7. KEPnet Strategieforum BRIEF auf der Post-EXPO, Stuttgart 2011

2 Agenda Einführung Datenschutz kurz gefasst Datenschutzmanagement Wer benötigt einen Datenschutzbeauftragten? Anforderungen an den DSB Pflichten des DSB Lösung: Datenschutzmanagement für KMU 2

3 Einführung Unsicherheit bezüglich der Rechte und Pflichten Verworrene Regelungen Mangelnde Sensibilisierung Fehler mit gravierenden Folgen 3

4 Einführung Frage: Fairer Wettbewerb adé? Erforderlich: Strategieforum Brief Ziel: Nachhaltigkeit (Überleben?) in der Postbranche Strategie: Aufholen (und Überholen) durch Kooperation und Qualitätsoffensive Ein Baustein des Erfolgs: Datenschutz Vision: Berechtigte Interessen der Betroffenen und der Unternehmen in Einklang bringen 4

) in der Postbranche Strategie: Aufholen (und Überholen) durch Kooperation und

5 Datenschutz kurz gefasst Datenschutz ist europäisches Grundrecht Art. 8 EU-Grundrechtecharta zudem Art. 7: Recht auf Achtung der Kommunikation Schutz des Einzelnen vor Schäden durch missbräuchlichen Umgang mit seinen Daten Er soll grundsätzlich selbst bestimmen, wer, was, wann, warum mit seinen Daten tut 5

7: Recht auf Achtung der Kommunikation Schutz des Einzelnen vor Schäden

6 Datenschutz kurz gefasst Pflichten nach dem BDSG und sog. bereichsspezifischen Vorschriften o z.b. 41 PostG und PDSV gelten für jede verantwortliche Stelle Das ist nach 3 Abs. 7 BDSG: Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Im Postdatenschutz: Diensteanbieter Das sind nach 2 PDSV alle, die ganz oder teilweise geschäftsmäßig Postdienste erbringen oder daran mitwirken. 6

7 BDSG: Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies

7 Datenschutz kurz gefasst Datenschutz umfasst o Erheben (Inempfangnahme der Post, Einsatz Handscanner, Aufnehmen von Umzugsadressen, ) o Verarbeiten (insb. Verändern, Speichern, Löschen, Übermitteln) o Nutzen (z.b. der Empfängeradresse beim Einwerfen der Post durch Zusteller) von personenbezogenen Daten (Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, Betroffener ) 7

b. der Empfängeradresse beim Einwerfen der Post durch Zusteller) von personenbezogenen Daten (Einzelangaben

8 Datenschutz im Postsektor Personenbezogene Daten: o Adressdaten (Absender, Empfänger) o Bewegungsdaten (nähere Umstände des Postverkehrs) o Besonderheit im Postsektor: Daten juristischer Personen unterfallen auch dem (Post-)Datenschutz o Daten von Mitarbeitern und Kooperationspartnern Postgeheimnis Aufsichtsbehörden: BNetzA und BfDI - und LfD 8

Daten juristischer Personen unterfallen auch dem (Post-)Datenschutz o Daten von

9 Datenschutz im Postsektor Aufsichtsbehörden: BNetzA und BfDI - und LfD BNetzA: kann nach 42 Abs. 1 PostG Anordnungen erteilen, um die Einhaltung der sich aus dem Postgeheimnis und dem Postdatenschutz ergebenden Regelungen und Pflichten sicherzustellen; kann Auskünfte verlangen, Geschäftsund Betriebsräume betreten, Unterauftragnehmer prüfen. Kann nach 42 Abs. 2 PostG die Erbringung von Postdiensten ganz oder teilweise untersagen, bis hin zum Widerruf der Lizenz. BfDI: Der Bundesdatenschutzbeauftragte ist nach 42 Abs. 3 PostG zuständig bezüglich der Erhebung, Verarbeitung, Nutzung von Daten von natürlichen und juristischen Personen: Kontrolle der Einhaltung von Datenschutzvorschriften durch Postdienste erbringende Unternehmen und deren Auftragnehmer. Besonderheit: BfDI (wie BNetzA) zur vorbeugenden Initiativkontrolle ermächtigt. LfD: Die für das Bundesland, in dem der Postdienstleister seinen Sitz hat, zuständige Landesdatenschutzaufsichtsbehörde ist zuständig für alle Aktivitäten, die nicht unter den Postdatenschutz fallen (z.b. Mitarbeiterdaten). 9

Betriebsräume betreten, Unterauftragnehmer prüfen. Kann nach 42 Abs. 2 PostG die Erbringung von Postdiensten ganz oder teilweise untersagen, bis hin zum Widerruf der Lizenz.

10 Positive Effekte des Datenschutzes Rechtskonformität Haftung verringern, Strafen und Imageschäden vermeiden Werbeargument Kooperation ermöglichen Auswahlkriterium für Kunden und Kooperationspartner 10

Imageschäden vermeiden Werbeargument Kooperation

11 Positive Effekte des Datenschutzes Guter bzw. sinnvoller Datenschutz: o Vernünftige Abwägung der berechtigten Interessen der Betroffenen und der Unternehmen o Datenschutz soll befördern, nicht bremsen 11

berechtigten Interessen der Betroffenen und der

12 Datenschutzmanagement Die verantwortliche Stelle erfüllt ihre Pflichten mittels: o Datenschutzmanagement o Datenschutzbeauftragter als Teil und zentraler Akteur des DS-Managements Die Verantwortung für den Datenschutz liegt bei der Unternehmensleitung o mit und ohne Datenschutzbeauftragten! 12

zentraler Akteur des DS-Managements Die Verantwortung für den Datenschutz

13 Datenschutzmanagement Festlegung von Zwecken, Ermitteln der Rechtsgrundlage (für jedes Datum und jede Art von Umgang mit Daten) Risikoanalyse: Schutzbedarf ermitteln und Maßnahmen festlegen Meldepflicht ( 4d BDSG), Vorabkontrolle ( 4d Abs. 5, 6 BDSG) Verfahrensverzeichnis (öffentlicher/nicht-öffentlicher Teil; 4g Abs. 2 i.v.m. 4e BDSG) Verpflichtung auf Datengeheimnis ( 5 BDSG) und Postgeheimnis ( 39 PostG) Regelungen zu Übermittlungen, Datenweitergaben Einsatz von Auftragnehmern, und weitere Aspekte Bei vielen dieser Aufgaben kann bzw. muss der Datenschutzbeauftragte helfen. 13

5, 6 BDSG) Verfahrensverzeichnis (öffentlicher/nicht-öffentlicher Teil; 4g Abs. 2 i.v.m.

14 Wer benötigt einen DSB? Personenzahl o Mehr als 9 Personen verarbeiten personenbezogene Daten unter Einsatz von EDV o Mehr als 19 Personen erheben, verarbeiten, nutzen personenbezogene Daten auf andere Weise Andere Tatbestände o z.b. Adresshandel, Auskunftei o Automatisierte Verarbeitung von besonders sensiblen Daten ( 3 Abs. 9 BDSG: Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben) o Beispiel: Zustelldienst arbeitet für Ärzte, Gewerkschaften, politische Parteien - schon die Tatsache der Mitgliedschaft bzw. Behandlung durch einen bestimmten Arzt ist ein sensibles Datum. 14

andere Weise Andere Tatbestände o z.b. Adresshandel, Auskunftei o Automatisierte Verarbeitung von besonders sensiblen Daten ( 3 Abs.

15 Wer benötigt einen DSB? Personenzahl - mitgezählt werden: o Angestellte o Leiharbeitnehmer o Azubis o Aushilfen o regelmäßig mithelfende Familienangehörige o freie Mitarbeiter Teilzeitbeschäftigte werden voll mitgezählt auch Personen mit anderer Hauptaufgabe, die aber auch regelmäßig mit Daten umgehen 15

o Aushilfen o regelmäßig mithelfende Familienangehörige o freie Mitarbeiter

16 Anforderungen an den DSB Bestellpflicht beginnt spätestens einen Monat nach Erfüllen der Voraussetzungen Person des DSB muss haben: o Fachkunde: insb. in den Bereichen Recht, Technik, Organisation (vgl. Kriterien des Düsseldorfer Kreises oder des BvD) o Unabhängigkeit: insb. Weisungsfreiheit, Kündigungsschutz o Zuverlässigkeit: insb. darf er bestimmte andere Aufgaben nicht ausführen (z.b. Geschäftsführer, IT-Leiter, Personalchef o.ä.) o Notwendige Mittel zur Aufgabenerfüllung: z.b. Fachliteratur, Raum, PC, Fortbildungsbudget, evtl. Mitarbeiter DSB kann Mitarbeiter des Unternehmens oder externer Dienstleister sein 16

Weisungsfreiheit, Kündigungsschutz o Zuverlässigkeit: insb. darf er bestimmte andere Aufgaben nicht ausführen (z.b. Geschäftsführer, IT-Leiter, Personalchef o.

17 Hauptaufgaben des DSB Hinwirken auf die Einhaltung der Datenschutzvorschriften Überwachung der ordnungsgemäßen Anwendung der DV-Programme Vertraut machen der Beschäftigten mit den Datenschutzvorschriften 17

ordnungsgemäßen Anwendung der DV-Programme Vertraut

18 Pflichten des DSB Unterstützung und Beratung der Unternehmensleitung Kontrollen Sensibilisierung Vertraulicher Ansprechpartner für alle Betroffenen (innerhalb und außerhalb des Unternehmens) Verfahrensverzeichnis vorhalten Mitwirken bei externen Audits und Kontrollen 18

Ansprechpartner für alle Betroffenen (innerhalb und außerhalb des

19 DS-Management für KMU Gesetzeskonformer Datenschutz bei KMU? Lösung - auch ohne DSB-Bestellpflicht: Shared DSB - einer für alle Grundversorgung - ohne an Fachkunde zu sparen an breiter Wissensbasis partizipieren und von Synergien profitieren 19

für alle Grundversorgung - ohne an Fachkunde zu sparen an

20 Shared DSB auch für klein(st)e und mittlere Unternehmen z.b. das schon in anderen Branchen bewährte Angebot der TÜV Informationstechnik GmbH (TÜV NORD Gruppe): Pakete und verschiedene Modelle für Unternehmen bis 15 Mitarbeiter, Mitarbeiter und für größere Unternehmen Einführungspaket o o Datenschutz-Check, Erstberatung Maßnahmenkatalog, Musterformulare, Informationen Monatliche Pauschale o o o o o Mandatsübernahme Hinwirken auf die Einhaltung der Datenschutzvorschriften Regelmäßige Informationen, Datenschutz-Portal, Newsletter Erreichbarkeit online Eine Beratung pro Monat 20

bis 15 Mitarbeiter, 15-50 Mitarbeiter und für größere Unternehmen Einführungspaket o o Datenschutz-Check, Erstberatung Maßnahmenkatalog,

21 Vielen Dank für Ihre Aufmerksamkeit! Manuel Cebulla, LL.M. Berater für Datenschutz Telefon:

Ähnliche Dokumente

Datenschutzmanagement Wesentliche Pflichten des Postdienstleisters

Datenschutzmanagement Wesentliche Pflichten des Pstdienstleisters Dipl.-Wi.jur. Manuel Cebulla, LL.M. 7. KEPnet Strategiefrum BRIEF auf der Pst-EXPO, Stuttgart 2011 Agenda Einführung Datenschutz kurz gefasst