Dokumentenmanagement-Systeme und Datenschutz Rechtliche Rahmenbedingungen

Transkript

1 Dokumentenmanagement-Systeme und Datenschutz Rechtliche Rahmenbedingungen

2 Fallbeispiel Ausgangssituation: Die XY GmbH mit Sitz in Aschaffenburg produziert und vertreibt Autofelgen. Sie hat 100 Angestellte, eine eigene Personalabteilung, eine ausgegliederte Entwicklungsabteilung und einen Betriebsrat. Ihre Zulieferer sitzen sowohl in Deutschland, wie auch im EU-Ausland. Der Vertrieb der XY GmbH richtet sich sowohl an gewerbliche Kunden, wie auch an private Kunden, dies in Form eines online-shops. Die XY GmbH versendet ihre Ware durch externe Logistikunternehmen. Zur Abwicklung der täglich anfallenden Datenverarbeitung bedient sich die XY GmbH verschiedener Datenmanagementsysteme, wie bspw. SAP, MS-Office und ein individuell für sie programmiertes Warenwirtschaftssystem.

3 Nutzung von Datenmanagementsystemen bedeutet Erheben, Speichern, Verändern und Übermitteln von Daten Problem des Umgangs mit personenbezogenen Daten (= Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person, z.b. Adresse, Geburtsdatum, Gehalt, -Adresse, Foto, Personalnummer) Darf ich diese (elektronisch) verarbeiten?

4 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. JA, (geregelt in 4 ff., 28 BDSG) - wenn Einwilligung des Betroffenen vorliegt, oder - zur Erfüllung eines Vertrages, oder - berechtigtes und überwiegendes Interesse der verarbeitenden Stelle, oder - Daten aus allgemein zugänglichen Quellen, oder - Erlaubnis durch Gesetzesvorbehalt

5 Fallbeispiel konkreter Vorgang in der XY GmbH: Ein deutscher Großhändler, die Felgeneinkauf-GmbH fragt per Telefax ein Angebot über Felgen an Anfrage Großhändler: KEINE natürliche Person BDSG - ABER ACHTUNG: Daten des konkreten Ansprechpartners

6 Fallbeispiel konkreter Vorgang in der XY GmbH: Täglich erfolgen durchschnittlich 500 Bestellungen von Endkunden über den online-shop Bestellungen online-shop: Endkunden BDSG + zulässig da Abwicklung Kaufvertrag und Einwilligung

7 Fallbeispiel konkreter Vorgang in der XY GmbH: Die Kundendaten werden für den Versand an das Logistikunternehmen weitergegeben Logistikunternehmen: 99% personenbezogene Daten BDSG + zulässig da Abwicklung Kaufvertrag und Einwilligung

8 Fallbeispiel konkreter Vorgang in der XY GmbH: Ein Drittunternehmen stellt eine Anfrage bzgl. eines Entwicklungsauftrags für neue Felgen Entwicklungsauftrag: keine personenbezogene Daten BDSG -

9 Verarbeitung von erhobenen Daten d.h. WIE darf / muss ich nun die erhobenen Daten verarbeiten??? Nur im Rahmen der gesetzlichen Vorgaben z.b. automatisiertes Scoring über IP-Adresse, Schufa-Abfrage (Belehrung, Einwilligung über Datenschutzerklärung, vgl. 4a BDSG)

10 Speichern von Daten Unter Berücksichtigung rechtlicher Vorgaben z.b. gesetzliche Aufbewahrungspflichten / Empfehlungen - HGB: empfangene und abgesandte Handelsbriefe ( s) - UStG: Rechnungen - AO: Buchungsbelege, Bilanzen, Inventare - AGG: Bewerbungsunterlagen von abgelehnten Bewerbern - Personalakte

11 In welcher Form? -Teils im Original - Handels- und Geschäftsbriefe so, dass ihre Wiedergabe bildlich mit dem Original übereinstimmt - maschinell auswertbar - unter Beachtung der Grundsätze ordnungsgemäßer Speicherbuchführung (GoS) (=Verwaltungsvorschrift) - unter Beachtung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) (=Verwaltungsvorschrift) - unter Beachtung der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (=Verwaltungsvorschrift)

12 Fall: Die XY GmbH will zur Kostenreduzierung und zur Vereinfachung der internen Abläufe elektronische Rechnungsstellung einführen Voraussetzungen nach 14 Abs. 1 UStG: - Zustimmung des Rechnungsempfängers - Gewährleistung der Echtheit der Herkunft und Unversehrtheit des Inhalts Qualifizierte elektronische Signatur Achtung: Bei Verstoß steht dem Rechnungsempfänger KEIN Vorsteuerabzug zu!!! -Allgemeine und besondere Rechnungsangaben Achtung: Auch hier gelten die allgemeinen Aufbewahrungsfristen

13 Umgang mit erhobenen Daten NUR unter Beachtung der Vorgaben des BDSG ( Die 8 Gebote des BDSG ) Technische und organisatorische Maßnahmen nach 9 BDSG: I. Zutrittskontrolle II. Zugangskontrolle III. Zugriffskontrolle IV. Weitergabekontrolle V. Eingabekontrolle VI. Auftragskontrolle VII. Verfügbarkeitskontrolle VIII. Trennungskontrolle

14 I. Zutrittskontrolle = Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden. Kontrollpunkte: Gebäudesicherheit, Zugang zum Serverraum, Schließkonzept II. Zugangskontrolle = Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Kontrollpunkte: Abmelden am Rechner, Passwortmanagement, Verschlüsselung von Daten

15 III. Zugriffskontrolle (=Grundsatz der Datensparsamkeit) = Es muss gewährleistet sein, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf diejenigen Daten zugreifen können, für die sie eine Zugriffsberechtigung haben. Kontrollpunkte: Differenzierte Berechtigungsprofile IV. Weitergabekontrolle = Es muss sichergestellt sein, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss (auch nachträglich) nachvollziehbar sein, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Kontrollpunkte: Elektronische Signatur, Verschlüsselung, Transportsicherung

16 V. Eingabekontrolle = Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Kontrollpunkte: Protokollierungs- und Protokollauswertsysteme VI. Auftragskontrolle = Es muss sichergestellt sein, dass personenbezogene Daten, die im Auftrag verarbeitet werden, auch nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Kontrollpunkte: rechtssichere Verträge mit Dritten, Kontrolle der Ausführung

17 Exkurs: Inhalt eines Auftragsdatenverarbeitungsvertrages -Gegenstand des Verarbeitungsvertrages (Auftragsinhalt) - Art der übergebenen Daten - Kreis der Betroffenen - Kontrollrechte des Auftraggebers - Befugnis zur Weitergabe an Subunternehmen? - Einhaltung der 8 Gebote durch Externen - Weisungsbefugnis des Auftraggebers in Bezug auf Umgang mit Daten - Löschung und Rückgabe der Daten nach Abschluss des Auftrags

18 VII. Verfügbarkeitskontrolle = Personenbezogene Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Kontrollpunkte: Backup-Verfahren, RAID-Verfahren, Notfallplan, Getrennte Aufbewahrung VIII. Trennungskontrolle = Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können. Kontrollpunkte: Funktionstrennung

19 WER ist für die Einhaltung dieser Vorgaben verantwortlich und haftbar? Der Geschäftsführer (nach 43 GmbHG mit seinem Privatvermögen!) Datenschutz ist somit definitiv Chefsache Haftungsbeispiele: -Datendiebstahl, Datenverlust wegen fehlender oder unzureichender Sicherung: 43 Abs. 2 BDSG Bußgeld bis ; zivilrechtlicher Schadensersatz der Betroffenen; bis zu 2 Jahre Freiheitsstrafe nach 203 StGB (Verletzung von Privatgeheimnissen); Imageschaden -Unzureichende Buchführung bzw. Dokumentation: Bestätigungsvermerk in der Jahresendprüfung wird nicht erteilt; Bei nicht ordnungsgemäßer Buchführung Schätzung der Besteuerungsgrundlagen (!!!); Bußgelder bis zu ( 331, 334 HGB); Imageschaden -Unbefugtes Erheben oder Verarbeiten von personenbezogenen Daten: 43 Abs. 2 BDSG Bußgeld bis ; Imageschaden - Kein - oder Scheinbestellung eines Datenschutzbeauftragen: Bußgeld bis zu ,00 ( 43 BDSG)

20 WER unterstützt bei Einhaltung der Vorgaben? 4f BDSG: Der interne/externe Datenschutzbeauftragte In Unternehmen, in denen mehr als 9 Personen mit automatisierter Datenverarbeitung beschäftigt sind, besteht eine gesetzliche Pflicht einen Datenschutzbeauftragten zu bestellen. Unternehmen die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Marktoder Meinungsforschung automatisiert verarbeiten, haben unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. Zuwiderhandlung (z.b. Scheinbestellung): Bußgeld bis zu ,00 ( 43 BDSG)

21 Wer kommt als Datenschutzbeauftragter (DSB) in Frage? -Der DSB benötigt die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit - Es darf für ihn keine Gefahr einer Interessenkollision im Rahmen der Ausübung seines Amtes bestehen. KEINE Selbstkontrolle! Es scheiden somit aus: Inhaber, Geschäftsführer, IT-Admin, Leiter der EDV, Personalleiter, Betriebsratsmitglied

22 Vorgaben für den internen Datenschutzbeauftragten - Das Unternehmen muss dem internen Datenschutzbeauftragten zur Erfüllung seiner Pflichten erforderliche Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche einräumen. - Dem internen DSB muss zur Erfüllung seiner Aufgaben ein Zeitkontingent eingeräumt werden. - Der interne DSB hat einen Sonderkündigungsschutz von 12 Monaten. - Die Aufsichtsbehörden fordern zudem, dass der Datenschutzbeauftragte in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden wird. - Der interne DSB ist der Geschäftsführung unterstellt, aber handelt gleichzeitig weisungsfrei.

23 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT Dr. Koos & Kollegen Weißenburger Str Aschaffenburg Phone: Fax: Internet: