Datenschutz Praxiserfahrungen und aktuelle Entwicklungen

Transkript

1 Datenschutz Praxiserfahrungen und aktuelle Entwicklungen Hamburg, 22. Juni 2011 Hotel Baseler Hof, Hamburg Stefan Decker Dr. Ralf Kollmann

2 Cloud Computing Das Thema Cloud Computing ist in aller Munde Quelle: Quelle: (Europäische Kommission) Quelle: Quelle: 2

3 Agenda Datenschutzgrundlagen im Fokus unternehmerischer Pflichten Praxiserfahrungen mit dem Datenschutz Internet, und Cloud Computing Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis 3

4 Datenschutzgrundlagen im Fokus unternehmerischer Pflichten 4

5 Grundlagen des Datenschutzes Was ist Datenschutz? Datenschutz dient dazu, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird ( 1 Abs. 1 BDSG) Datenschutz dient dem Schutz persönlicher Daten vor Missbrauch und Verlust und der Gewährleistung der informationellen Selbstbestimmung 5

6 Grundlagen des Datenschutzes Ein Praxisbeispiel (1) Betrachtet wird ein Handelsunternehmen im Endkundengeschäft Geschäftszweck ist der Handel mit Waren über Online-Vertrieb Ein Kunde kauft Produkt A und gibt dafür seine Daten (Name, Anschrift, Bankverbindung, Telefonnummer, Produkt) an. Nachfolgend werden die Grundprinzipien erläutert: Verbot mit Erlaubnisvorbehalt Die Zulässigkeit der Datenverarbeitung ergibt sich aus der Einwilligung des Kunden zur Bereitstellung seiner Daten, darüber hinaus aus 28 Abs. 1 Nr. 1 BDSG. Direkterhebungsvorrang Die Daten werden unmittelbar beim Kunden erfasst, indem er sie durch Nutzung der Eingabemaske des Online-Shops selbst an den Händler übergibt. Verhältnismäßigkeit und Datensparsamkeit Es werden nur die Daten erfasst, die zur Abwicklung des Geschäfts (Zusendung der Ware, Bezahlung durch Bankeinzug) unmittelbar erforderlich sind. Die Telefonnummer wird für etwaige Rückfragen gespeichert. 6

7 Grundlagen des Datenschutzes Ein Praxisbeispiel (2) Vertraulichkeit Der Händler hat seine IT-Systeme durch technische Sicherheitsmaßnahmen (Firewall, Virenscanner etc.) geschützt. Außerdem hat er sichergestellt, dass auch sein Provider entsprechende Sicherheitsmaßnahmen veranlasst hat. Die Mitarbeiter des Händlers sowie des Providers wurden zur Verschwiegenheit verpflichtet. Transparenz Der Händler stellt in seinem Online-Shop eine Datenschutzerklärung bereit. Darin informiert er über die Daten, die beim Besuch des Shops sowie bei der Bestellung von Waren gespeichert werden. Außerdem informiert er über die "Verantwortliche Stelle" (der Händler selbst). Zweckbindung Solange der Händler die Daten nur für die Abwicklung der Kundenbestellung verwendet, ist die Zweckbindung erfüllt. 7

8 Unternehmerische Pflichten (1) Die Einhaltung der datenschutzrechtlichen Vorschriften liegt in der Verantwortung der Geschäftsleitung. Die folgenden zentralen Pflichten zur Einhaltung der vorgenannten Grundprinzipien sind durch die Geschäftsleitung zu erfüllen: Einführung angemessener organisatorischer Maßnahmen zum Schutz personenbezogener Daten Bestellung eines Datenschutzbeauftragten (ab 10 mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeitern) Erstellung und Pflege gesetzlich vorgeschriebener Datenschutz-Dokumente sowie erforderlicher Verfahrensanweisungen Sicherstellung der Zulässigkeit der Datenverarbeitungsverfahren Einhaltung von Meldepflichten, bspw. bei Datenpannen Wahrung der Rechte Betroffener, insbesondere das Recht auf Berichtigung, Löschung, Sperrung 8

9 Unternehmerische Pflichten (2) Einführung angemessener technischer Maßnahmen zum Schutz personenbezogener Daten Logische Schutzmaßnahmen (Passwort-Policy, Firewall/IDS, Virenschutz etc.) Physische Zugriffsschutzmaßnahmen (bspw. Einbruch- und Brandschutz, Zutrittskontrollen) 9

10 Reaktion der Gruppen "Betroffener" Wie reagiert der "durchschnittliche Betroffene" auf eine Verletzung seiner Rechte? Mitarbeiter (Verunsicherung, Anruf des Datenschutzbeauftragten oder des Betriebsrats, ) Personalvertretung (Dialog mit der Geschäftsleitung, Anruf der Aufsichtsbehörde, Information der Öffentlichkeit, ) Geschäftspartner (Beschwerde, Anruf der Aufsichtsbehörde, ) Die Überwachung der Einhaltung des Datenschutzes erfolgt durch institutionalisierte Kontrollinstanzen (Aufsichtsbehörden). Übliche Reaktionen: Schriftliche Bitte um Stellungnahme Ermahnung und Anweisung zur Anpassung der Datenverarbeitungsprozesse, mit konkreten Vorgaben Durchführung einer Prüfung im Unternehmen Androhung bzw. Verhängung von Bußgeldern Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße 10

11 Risiken im Datenschutz Bei der Nichteinhaltung muss mit rechtlichen Konsequenzen gerechnet werden: Sanktionen durch die Datenschutznovelle in Umfang und Höhe verschärft Bußgelder ( 43 BDSG) Freiheitsstrafen ( 44 BDSG) Anordnung von Maßnahmen (bis hin zur Untersagung von IT-Verfahren) durch die Aufsichtsbehörden Daneben bestehen für das Unternehmen und die jeweiligen Verantwortlichen weitere Risiken: Imageverlust Persönliche Risiken 11

12 Praxiserfahrungen mit dem Datenschutz Internet, und Cloud Computing 12

13 Anwendungsbereich einschlägiger gesetzlicher Normen zum Datenschutz Voraussetzungen für die Anwendung des BDSG, TKG, TMG Die Relevanz des BDSG, TKG und TMG im Bereich Internet und hängt wesentlich von der im Unternehmen gültigen Regelung zur Erlaubnis bzw. zum Verbot der privaten Nutzung von Internet und ab: Die Vorschriften des BDSG sind insbesondere bei einem vorliegenden Verbot der privaten Nutzung von Internet und im Unternehmen einschlägig. Darüber hinaus gelten sie grundsätzlich bei Erhebung, Nutzung, Speicherung oder Verarbeitung von personenbezogenen Daten Die datenschutzrechtlichen Vorschriften des TKG und TMG sind bei erlaubter privater Nutzung von und Internet im Unternehmen einschlägig 13

14 Anwendung der Datenschutzvorschriften (1) Bundesdatenschutzgesetz (BDSG) Bei einem im Unternehmen vorliegenden Verbot der privaten Nutzung von Internet und richtet sich die Zulässigkeit der Verarbeitung personenbezogener Daten allein nach dem BDSG und ist insbesondere in folgenden Fällen gegeben: bei Einwilligung des Betroffenen, 4 I BDSG (bspw. Regelung in Individual- oder Betriebsvereinbarung) im Rahmen der Zweckbindung, 28 I 1 BDSG (vertragliche Regelung mit Betroffenem) zur Wahrung "berechtigter Interessen", 28 I 2 BDSG (bspw. stichprobenartige Kontrollen des Internet-Nutzungsverhaltens zur Sicherstellung der rein dienstlichen Nutzung) zur Datensicherung und Datenschutzkontrolle mit dem Ziel der Sicherstellung des ordnungsmäßigen Betriebs einer DV-Anlage, 31 BDSG (bspw. Berechtigungskontrollen) 14

15 Anwendung der Datenschutzvorschriften (2) Bundesdatenschutzgesetz (BDSG) Hinsichtlich des Bereiches Internet und lassen sich laut BDSG bspw. folgende weitere Verpflichtungen ableiten: Erfüllung der gesetzlich geregelten Informationspflichten (bspw. Information über durchgeführte Internetnutzungskontrollen des Arbeitgebers) Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes (bspw. Zugriffsschutz auf Protokolle des Proxy- Servers) 15

16 Anwendung der Datenschutzvorschriften (3) Telekommunikationsgesetz (TKG) Der Arbeitgeber unterliegt dem Fernmeldegeheimnis, 88 II TKG. Unzulässigkeit der Einsichtnahme und Überwachung von Inhalten, Verbindungsdaten und Protokolldaten der - und Internetnutzung Inhalts- und Verbindungsdaten sind durch technische und organisatorische Maßnahmen zu schützen (betriebswirtschaftlicher Mehraufwand) Beschränkte Zulässigkeit des Einsatzes von Spamfiltern Telemediengesetz (TMG) Beschränkung der Erhebung und Speicherung von Bestands- und Nutzungsdaten ( 14ff. TMG) Einschränkung der Zulässigkeit der Protokollierung (i.d.r. nur zur Abrechnung zulässig) Strengere Vorschriften zur Löschung von Protokolldaten ( 13 IV, 14 I, 15 I TMG) Anonymisierte oder pseudonymisierte Nutzung der Telemedien ( 13 VI TMG) Informationspflichten ( 13 I TMG, bspw. Datenschutzdisclaimer auf Webseiten) 16

17 Handlungsempfehlungen Bestimmung der individuell bestehenden Risiken und des resultierenden Handlungsbedarfs Prüfung der unternehmensspezifischen Einschlägigkeit datenschutzrechtlicher Vorschriften im Bezug auf Internet und Prüfung der Zulässigkeit der IT-gestützten Datenverarbeitung im Unternehmen (bspw. Zugriff auf und Kontrolle von s der Mitarbeiter) --- siehe folgendes Praxisbeispiel -Zugriff Explizite Regelung der Nutzung von und Internet privat oder dienstlich Implementierung angemessener technischer und organisatorischer Maßnahmen (bspw. Zugriffsschutz von Protokollen) 17

18 Praxisbeispiel -Zugriff (1) Fallbeschreibung In einem mittelständischen Unternehmen der Entsorgungsbranche sind per Individualvereinbarung folgende Regelungen vereinbart : Die Internet- bzw. -Nutzung darf ausschließlich zu dienstlichen Zwecken erfolgen. Der gesamte -Eingang der Mitarbeiter wird automatisch in Kopie an die zuständigen Vorgesetzten (Teamleiter) weitergeleitet. Jeder Teamleiter hat Zugriff auf die Postfächer aller seiner Mitarbeiter. Die Mitarbeiter haben die Vereinbarung unterschrieben. Durch die Inhalte der Vereinbarung soll laut Unternehmensauskunft sichergestellt werden, dass der Zugriff auf geschäftsrelevante s jederzeit sichergestellt ist. 18

19 Praxisbeispiel -Zugriff (2) Beurteilung der Zulässigkeit aus datenschutzrechtlicher Sicht Die Vorschriften des BDSG sind einschlägig. Gemäß BDSG ist die -Weiterleitung und der Zugriff auf das Postfach zulässig, wenn der Betroffene auf Basis einer freien Entscheidung die Vereinbarung unterschrieben (eingewilligt) hat. Die Auffassung der Aufsichtsbehörde hinsichtlich der Freiwilligkeit der Unterschrift - und damit der Zulässigkeit des Zugriffs - ist unklar. Gemäß BDSG gilt die Maßgabe der Wahl des mildesten Mittels. Es ist davon auszugehen, dass hier folgende mildere Mittel bestehen, um die beschriebenen Ziele zu erreichen: die organisatorische Vereinbarung einer Vertretungsregelung bei Abwesenheit die zielgerichtete Anwendung eines Abwesenheitsassistenten (Weiterleitung) ein zeitlich und auf den Vertretungskreis eingegrenzter Postfach-Direktzugriff in begründeten Fällen Empfehlung zur Anpassung des Verfahrens zur Vermeidung eines möglichen Imageschadens durch öffentliches Bekanntwerden. 19

20 Praxiserfahrungen mit dem Datenschutz Internet, und Cloud Computing 20

21 Grundlagen/Definition Cloud Computing (1) Definition des Cloud Computing Cloud Computing bezeichnet IT-Angebote, die es ermöglichen, eine oder mehrere IT-Dienstleistungen wie bspw. Rechenleistung, Anwendungssoftware oder sogar komplette Arbeitsumgebungen jederzeit, angepasst an den tatsächlichen Bedarf, nach tatsächlicher Nutzung abrechenbar und netzbasiert zu beziehen. 21

22 Grundlagen/Definition Cloud Computing (2) Arten/Ausprägungen des Cloud Computings Public Cloud Nutzung der angebotenen Services von beliebigen Anwendern Private Cloud Die Services und die Infrastruktur unterstehen einer Institution und werden von ihr exklusiv genutzt (Terminal Server) Hybrid Cloud Kombinierte Nutzung von Diensten einer Public Cloud und einer Private Cloud Verschiedene Service-Modelle: Software as a Service Storage as a Service Infrastructure as a Service 22

23 Datenschutzrechtlicher Rahmen des Cloud Computings Datenschutzrechtliche Relevanz und Zulässigkeit im Cloud Computing Keine Sonderregelung des Datenschutzes für das Cloud Computing innerhalb Deutschlands sind grundsätzlich die Regelungen des Bundesdatenschutzgesetzes einschlägig Der Datenschutz ist im Cloud Computing relevant, wenn eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erfolgt (vgl. 3 Abs. 1 BDSG) Dies ist zulässig, wenn eine Einwilligung aller Betroffenen vorliegt oder das BDSG oder eine andere Rechtsvorschrift dies vorsieht ( 4 Abs. 1 BDSG) 23

24 Nationales und internationales Cloud Computing Die für das Cloud Computing einschlägigen Datenschutz-Normen hängen wesentlich vom Geschäftssitz des Unternehmens und dem Standort der Datenverarbeitung ab. Im Bundesdatenschutzgesetz werden grundsätzlich zwei geografische Regionen für die Datenübermittlung ins Ausland unterschieden: Die Europäische Union (EU) und der europäische Wirtschaftsraum (EWR) Das außereuropäische Ausland (Drittländer) Je nach Region können folgende Datenschutzregelungen für das Cloud Computing relevant sein: EU/EWR Regelungen des BDSG, insb.: Auftragsdatenverarbeitung und Übermittlung von Daten Drittländer Regelung des BDSG zur Übermittlung von Daten (regulär / innerhalb DE) Übermittlung von Daten in Drittländer 24

25 Datenverarbeitung innerhalb der EU/EWR (1) Auftragsdatenverarbeitung - Definition Eine Auftragsdatenverarbeitung liegt grundsätzlich vor, wenn: die Ausführung eines Datenverarbeitungsverfahrens an den Auftragnehmer delegiert wird, der Auftragnehmer die Datenverarbeitung strikt nach Weisung und nicht zu eigenen Zwecken durchführt und der Auftragnehmer selbst keine Handlungsfreiheit bei der Durchführung hat Privilegierung der Auftragsdatenverarbeitung: der Auftragnehmer und Datenempfänger wird als Teil des Auftraggebers (d.h. nicht als Dritter) betrachtet Es besteht kein Erfordernis für eine Rechtsgrundlage der Datenübermittlung Auftragsdatenverarbeitung kann nicht vorliegen, wenn die Datenverarbeitung außerhalb des europäischen Raums (EU/EWR) erfolgt 25

26 Datenverarbeitung innerhalb der EU/EWR (2) Übermittlung - Definition Es wird nicht nur ein technischer Verarbeitungsprozess, sondern auch die damit verbundene fachliche Aufgabe, welche bspw. durch den technischen Verarbeitungsprozess unterstützt wird, übertragen. Der Auftragnehmer verfügt über einen (im Idealfall vertraglich geregelten) inhaltlichen Bewertungs- und Ermessensspielraum bei der Erfüllung seiner Aufgaben. Die Verantwortung zur Einhaltung des Datenschutzes liegt (grundsätzlich) beim Auftragnehmer. Er muss die Zulässigkeit und Richtigkeit der Datenverarbeitung gewährleisten. 26

27 Datenverarbeitung innerhalb der EU/EWR (3) Auftragsdatenverarbeitung - Anforderungen Der Auftragnehmer ist sorgfältig auszuwählen. Die Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen ( 9 und Anlage BDSG) ist ausdrücklich zu berücksichtigen. Ein 10-Punkte-Katalog regelt die Inhalte, die vertraglich zu vereinbaren sind. Der Auftraggeber muss die vom Auftragnehmer getroffenen Schutzmaßnahmen vor Beginn der Datenverarbeitung und im Anschluss regelmäßig kontrollieren. Das Ergebnis ist zu dokumentieren. Übermittlung Anforderungen Eine Rechtsgrundlage für die Übermittlung an den Auftragnehmer muss bestehen. Dabei wird nicht zwischen Konzernunternehmen und anderen (gänzlich fremden) Unternehmen unterschieden. Beispiele für Rechtsgrundlagen: Einwilligung, Vertragsverhältnis, gesetzliche Zulässigkeitsnorm Die Anforderungen der Auftrags-DV aus 11 Abs. 2 BDSG sind nicht umzusetzen. 27

28 Datenübermittlung in Drittländer (1) Die Datenübermittlung im Rahmen eines außereuropäischen Cloud Computings ist nur zulässig, wenn die innerhalb Deutschlands geltenden Zulässigkeitsnormen eingehalten werden und schutzwürdige Belange Betroffener gewahrt bleiben und das Drittland ein angemessenes Schutzniveau aufweist Die Europäische Kommission hat bislang nur für wenige Länder die Angemessenheit festgestellt (bspw. Schweiz, Kanada, Isle of Man, Argentinien) oder eine Ausnahme gemäß 4c BDSG greift, bspw.: Einwilligung der Betroffenen oder Erteilung einer Genehmigung im Einzelfall durch die zuständige Aufsichtsbehörde, aufgrund "ausreichender Garantien" 28

29 Datenübermittlung in Drittländer (2) Das Vorliegen von "ausreichenden Garantien" führt nicht automatisch zu einer Genehmigung der Aufsichtsbehörde. Beispiele für "ausreichende Garantien": Für die USA: Einhaltung der "Safe Harbour"-Regelungen Gemäß Stellungnahme des Düsseldorfer Kreises nicht genügend Für europäische Unternehmen: Verwendung der EU-Standardvertragsklauseln zur vertraglichen Regelung der Datenübermittlung Genehmigung durch Aufsichtsbehörde nicht erforderlich, aber Prüfung vorbehalten (Bekanntmachung des Innenministeriums vom , Az /17) Einzelne Aufsichtsbehörden stellen in Frage, ob die Verwendung der Standardvertragsklauseln für sich genommen genügt und empfehlen die analoge Vereinbarung des 10-Punkte-Katalogs der Auftragsdatenverarbeitung (bspw. ULD, CeBit 2011) Für internationale Konzerne: Einhaltung der "Binding Corporate Rules" Prüfung durch die zuständige Datenschutzbehörde auf Übereinstimmung mit den europäischen Datenschutzstandards Entfällt bei positiver Entscheidung der EU- Kommission über das Datenschutzniveau des Landes. 29

30 Fallbeispiel 1: Grenzenüberschreitende Datenverarbeitung Niederlassung einer deutschen Reederei für das Crewing in Manila Um Personalkosten zu senken, wird ein Teil der Schiffsbesatzungen in Manila rekrutiert. Das Führungspersonal (Offiziere) stammt i.d.r. aus Deutschland. Verarbeitung aller Personaldaten in Manila Übermittlung aus Deutschland nach Manila zwecks Verarbeitung/Verwaltung Rückübermittlung bearbeiteter Daten an die Zentrale nach Deutschland zwecks Auswertung bzw. weiterer Verarbeitung Prüfung der datenschutzrechtlichen Zulässigkeit: 1. Prüfen der Zulässigkeit einer Datenübermittlung nach BDSG 2. Prüfen des Empfängerlandes privilegiert (EU/EWR, USA mit Safe Harbor)? anderes Empfängerland: Liegt ein angemessenes Datenschutzniveau vor? 3. Prüfen der Zulässigkeitsausnahmen gemäß 4c BDSG 30

31 Fallbeispiel 2: Internationales Cloud Computing Inanspruchnahme von Cloud-Computing-Diensten in Spanien Ein Dienstleister von Cloud-basierten ERP-Lösungen hat seinen Firmensitz in Spanien Kunden haben u.a. den Firmensitz in Deutschland Betrieben werden Software- und Storage-as-a-Service Prüfung der datenschutzrechtlichen Zulässigkeit: 1. Prüfen der Zulässigkeit einer Datenübermittlung nach BDSG 2. Prüfen der Übermittlung ins Ausland: Empfängerland privilegiert (EU/EWR, USA mit Safe Harbor)? 3. Prüfen ergänzender Maßnahmen? 31

32 Fazit Unproblematisch im datenschutzrechtlichen Sinn ist Cloud Computing immer dann, wenn die Verarbeitung von vertraulichen oder sensiblen Daten (insbesondere Personendaten und Geschäftsgeheimnisse) gänzlich ausgeschlossen werden kann. Datenschutzrechtliche Aspekte sind bei der Nutzung von Diensten der Public Cloud ebenso wie der Private Cloud zu beachten. In der öffentlichen Wahrnehmung wird der Begriff des Cloud Computing üblicherweise mit Diensten der Public Cloud assoziiert. Die datenschutzrechtliche Zulässigkeit hängt wesentlich vom Sitz der involvierten Unternehmen ab. Um das Vertrauen der Kunden in Cloud Computing-Lösungen zu gewinnen, empfiehlt sich die Testierung des Cloud-Dienstleisters durch unabhängige Stellen. 32

33 Ergänzende Fragen in Cloud-Computing-Projekten Neben den erörterten regionsspezifischen Fragen der datenschutzrechtlichen Zulässigkeit des Cloud Computings sind weitere Fragestellungen in Cloud-Computing- Projekten zu thematisieren: Verschlüsselung der Daten vor Übertragung an Cloud-Dienstleister Sichere/vollständige Datenlöschung zum Vertragsende Kontrollmöglichkeiten der Cloud-Kunden (standardisierte Audits) Sicherstellung der durchgängigen Datenverfügbarkeit (SLAs) Risikoeinstufung des Cloud-Anbieters als zentraler Angriffspunkt Verarbeitung besonderer Arten personenbezogener Daten (bspw. Gesundheitsdaten) 33

34 Ausblick Audits und Zertifizierungen werden vor allem im internationalen Cloud Computing zukünftig eine große Rolle spielen, um die Einhaltung der einschlägigen Compliance- Anforderungen nachweisen zu können und mehr noch, um die notwendige Sicherheit für betriebliche Entscheidungen in eine Auslagerung kritischer Geschäftsprozesse und -Daten zu liefern. Die Erarbeitung und Etablierung von Standards (insbesondere hinsichtlich Informationssicherheit und Datenschutz, aber auch zur Erzielung akzeptabler Interoperabilität und auch Mobilität) wird in den kommenden Jahren eine der zentralen Aufgaben im Bereich Cloud Computing darstellen. 34

35 Einführung eines wirksamen Datenschutzmanagements Vorgehen und Erfahrungen aus der Praxis 35

36 Einführung eines wirksamen Datenschutzmanagements (1) Datenschutz funktioniert in jedem Unternehmen anders gerade weil er hochsensible Geschäftsbereiche berührt. Um dem gerecht zu werden, empfehlen wir das folgende modulare Vorgehen 36

37 Einführung eines wirksamen Datenschutzmanagements (2) Analyseergebnis: Beispiel der Datenschutz-Risikomatrix eines Unternehmens Datenschutz-Risikomatrix Mustermann GmbH 37 Web-Präsenz CRM-System /Internet Finanzbuchhaltung EDV-Administration Zeiterfassung Videoüberwachung Personalverwaltung Lohn u. Gehalt niedrig Eintrittswahrscheinlichkeit niedrig Schutzbedürftigkeit hoch

38 Zertifizierung des Datenschutzmanagements Zertifizierung Durchführung einer standardisierten Prüfung der IT- Prozesse des Unternehmens Basierend auf unseren technischen, betriebswirtschaftlichen und fachlichen Erfahrungen aus Jahresabschlussprüfungen, IT-Audits sowie der prüfungsnahen Beratung Ergebnisse Beleg für das Engagement im Datenschutz und verbunden damit die zuverlässige und vertrauliche Handhabung sensibler Daten Möglichkeit zur Erfüllung der neuen gesetzlichen Anforderungen an die Auftragsdatenverarbeitung (Nachweis angemessener technischer und organisatorischer Datenschutzmaßnahmen gegenüber Auftraggebern) Werbewirksame Einsatzmöglichkeiten zur Einbindung in die Unternehmenskommunikation Schaffung von Vertrauen gegenüber Kunden 38

39 Ihre Fragen FIDES IT Consultants GmbH Stefan Decker Contrescarpe Bremen FIDES IT Consultants GmbH Dr. Ralf Kollmann Contrescarpe Bremen Tel Fax