Datenschutz Eine praxisorientierte Einführung

Transkript

1 Datenschutz Eine praxisorientierte Einführung Steffen Weber, INTARGIA Managementberatung GmbH Hochschule Aschaffenburg, Fakultät Betriebswirtschaft & Recht 26. Mai 2008

2 2 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008

3 3 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Agenda Datenschutz Ein Überblick Betrieblicher Datenschutz - Datenschutz im Unternehmenskontext - Fallstudie 1: Lidl - Fallstudie 2: Datenschutzmanagement - Fallstudie 3: Ihr erster Arbeitstag Datenschutz im Privatbereich - Fallstudie 4: Datenschutz und Web Fallstudie 5: W-LAN - Einige Verhaltensregeln Quellen und weiterführende Informationen

4 4 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Entwicklung des Datenschutzes in Deutschland 1970: 1982: 1983: 1990: 1998: 1999: 2001: 2008: 2008: offen: Weltweit erstes Datenschutzgesetz in Hessen Datenschutz = Datensicherheit Volkszählungsgesetz Urteil zur Volkzählung Grundrecht auf informationelle Selbstbestimmung Beschränktes Eingriffsrecht des Staates Datenschutz = Schutz der Person Bundesdatenschutzgesetz Großer Lauschangriff Kernbereich der privaten Lebensgestaltung Fernmeldeüberwachung Rasterfahndung Online-Durchsuchung/Bundestrojaner Computer-Grundrecht Massenabgleich von KFZ-Kennzeichen Vorratsdatenspeicherung

5 5 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Alle höchstrichterlichen Entscheidung bestärken das Grundrecht der informationellen Selbstbestimmung. Aus diesen Vorgaben lassen sich folgende Anforderungen für ein Datenschutzkonzept ableiten:

6 6 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Prinzipien Subsidiarität Verbot mit Erlaubnisvorbehalt Zweckbindung Transparenz Direkterhebungsvorrang Verhältnismäßigkeit Datensparsamkeit Anforderungen an den Datenschutz Regelungen Betroffenenrechte Datenschutzkontrolle Datensicherheit Spezifika zu Outsourcing & Konzerne Umgang mit besonders riskanten Verfahren Mediendatenschutz Quelle: Witt (2008): Datenschutz.

7 7 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Grundgesetz (GG) EU-Richtlinien Bundesdatenschutzgesetz (BDSG) Strafgesetzbuch (StGB) Bürgerliches Gesetzbuch (BGB) Handelsgesetzbuch (HGB) Abgabenordnung (AO) Gesetz gegen unlauteren Wettbewerb (UWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) i.v.m. Telekommunikationsüberwachungsverordnung (TKÜV) Urhebergesetz (UrhG) Kunsturhebergesetz (KUG)

8 8 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 1 Abs. 1 BDSG Zweck [ ] den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Prüfungsmaßstab ist das allgemeine Persönlichkeitsrecht, dass sich aus der Verbindung der allgemeinen Handlungsfreiheit (Art. 2 Abs. 1 GG) und der Menschenwürde (Art. 1 Abs. 1 GG) zusammensetzt.

9 9 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 1 Abs. 2 BDSG Anwendungsbereich [ ] gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch [ ] öffentliche Stellen [ ], nicht-öffentliche Stellen [ ] Öffentliche Stellen Nicht-öffentliche Stellen

10 10 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 3 Abs. 1 BDSG Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Persönliche Verhältnisse Sachliche Verhältnisse Bestimmt Bestimmbar Natürliche Person Betroffener (z. B. Mitarbeiter, Kunden und Lieferanten)

11 11 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 3 Abs. 2 BDSG Automatisierte Verarbeitung Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Erhebung Verarbeitung Nutzung

12 12 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 4b, 15, 16, 29 und 30 BDSG Übermittlung [ ] das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft [ ]. Die Verantwortung für die Zulässigkeit der Übermittlung [ ] die übermittelnde Stelle. Dritte Weitergabe Verantwortliche Stelle

13 13 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 4 BDSG Zulässigkeit [ ] soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Dieses Gesetz Andere Rechtsvorschrift Einwilligung

14 14 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 4a-g, 5, 9, 34 und 38 BDSG Pflichten des Unternehmens Bestellung des Datenschutzbeauftragten (schriftlich, ab 9+ Personen) Bereitstellung von Räumen, Einrichtungen, Geräten und Mittel Meldepflicht bei Vorhaben zur automatisierten Verarbeitung von personenbezogenen Daten ( 4 g) Einrichtung der notwendigen technischen und organisatorischen Maßnahmen zum aktiven Datenschutz Informationspflicht bei Erhebung ( 4 Abs. 3), Auskunftspflicht ggü. Betroffenem ( 34), Auskunftspflicht ggü. Aufsichtsbehörde ( 38 Abs. 3), Verpflichtungspflicht auf Datengeheimnis ( 5)

15 15 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Datenschutzbeauftragter - Anforderungen - Fachkunde - Zuverlässigkeit Pflichten: - Den gesetzlichen Regelungen unterworfen & zur Verschwiegenheit verpflichtet - Zusammenarbeitsgebot mit dem Betriebsrat - Zusammenarbeit erwünscht mit den angrenzenden Fachstellen (CISO, CIO, interne Revision, Risikomanagement etc.) - Recherchen zur aktuellen Rechtslage - Lesen und Auswerten von Fachartikeln, Weiterbildungsmaßnahmen - Datenschutzaudit (per Gesetz ab 2009) durchzuführen - Zentraler Ansprechpartner für alle Datenschutz-relevanten Themen

16 16 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Datenschutzbeauftragter - Rechte - Weisungsfreiheit - Direkt der Geschäftsführung unterstellt, Management Commitment - Vom Unternehmen durch Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel zu unterstützen - Aktives und passives Informationsrecht - Zugangsrecht zu Gebäuden und Räumen - Benachtteiligungsverbot (Besonderer Kündigungsschutz für interne Datenschutzbeauftragte und ausreichende Vertragslaufzeit (mindestens 3 Jahre) für externe Datenschutzbeauftragte - Akten und andere Schriftstücke unterliegen Beschlagnahmeverbot - Aufsichtsbehörde als zentraler Ansprechpartner verfügbar

17 17 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Datenschutzbeauftragter - Aufgaben - Koordination aller Datenschutz-relevanten Tätigkeiten im Unternehmen - Hinwirken auf die Einhaltung datenschutzrechtlicher Vorschriften - Überwachung der automatisierten Verarbeitung, bei welcher personenbezogene Daten verarbeitet werden (Datenschutzaudit) - Datenschutzrechtliche und technische Schulung und Sensibilisierung der Personen, die personenbezogene Daten erheben, verarbeiten oder nutzen - Durchführung von Vorabkontrollen - Beratung des Unternehmens bei datenschutzrechtlichen Fragen - Vertretung des Unternehmens in Gesprächen mit Aufsichtsbehörden - Aktive Pflege des Verfahrensverzeichnis - Ansprechpartner für Betroffene

18 18 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 9 BDSG Technische und organisatorische Maßnahmen

19 19 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 9 BDSG Technische und organisatorische Maßnahmen Zugangskontrolle Zutrittskontrolle Auftragskontrolle Ziele der Datensicherung: Zugriffskontrolle 9 Eingabekontrolle Verfügbarkeit Authentizität Integrität Weitergabekontrolle Verfügbarkeitskontrolle Gebot der Datentrennung

20 20 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) BDSG Rechte des Betroffenen Der Betroffene hat ein Recht auf Benachrichtigung, Auskunft, Berichtigung und die Berechtigung, die Löschung oder Sperrung von seinen personenbezogenen Daten zu verlangen. Benachrichtigung Auskunft Berichtigung Löschung Sperrung

21 21 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Bundesdatenschutzgesetz (BDSG) 7, 43 und 44 BDSG Rechtliche Konsequenzen Bußgelder (bis zu Euro Strafe) Schadensersatzzahlungen Strafrechtliche Konsequenzen Wer eine [ ] vorsätzliche Handlung [ ] begeht, wird mit Freiheitsstrafe bis zu zwei Jahren [ ] bestraft.

22 22 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutzrechtliche Konzepte Hintergrundinformationen 1) 2) EU-Richtlinien, z. B. 95/46/EG 3) 4)

23 23 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Agenda Datenschutz Ein Überblick Betrieblicher Datenschutz - Datenschutz im Unternehmenskontext - Fallstudie 1: Lidl - Fallstudie 2: Datenschutzmanagement - Fallstudie 3: Ihr erster Arbeitstag Datenschutz im Privatbereich - Fallstudie 4: Datenschutz und Web Fallstudie 5: W-LAN - Einige Verhaltensregeln Quellen und weiterführende Informationen

24 24 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008

25 25 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext (G)overnance (R)isk (C)ompliance

26 26 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext (G)overnance IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. - IT Governance Institute (R)isk (C)ompliance

27 27 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext (G)overnance (R)isk Risk Management is the process which aims to help organisations understand, evaluate and take action on all their risks with a view to increasing the probability of their success and reducing the likelihood of failure. Risk Management Institute (C)ompliance

28 28 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext (G)overnance (R)isk (C)ompliance Aktivitäten zur Einhaltung fremdgesetzter und eigengesetzter Standards. Quelle: Speichert, H. (2007): Praxis des IT-Rechts, S. 337ff.

29 29 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext Stand der Technik Internationales Recht Nationales Recht Compliance Archivierungspflichten Datenschutz- Recht Vertragliche Vereinbarungen Standards & Frameworks Vgl. Witt, B. (2008): Datenschutz, S. 9f. Interne Regelungen

30 30 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext - Werthaltigkeit 1. Compliance statt Non-Compliance Vermeidung von Geldbußen (ca Prüfungen in 2008 lt. GDD) Vermeidung von Schadensersatzforderungen Schutz vor strafrechtlichen Konsequenzen Entkräftung des Organisationsverschuldens Schutz vor Reputationsschäden (Umsatzeinbußen, Aufwendungen für Wiederherstellung des Marktvertrauens) 2. Prozess- und Organisationsverbesserung Dokumentation beugt Inselwissen vor und schafft Transparenz Datenschutzkonform geplante Verfahren, Anwendungen und Systeme beugen nachgelagerten Kosten vor (Anpassungen, Verzögerung des Projektverlaufs) Verbesserung des Verständnisses, was ein angemessenes Verhalten im Umgang mit Daten von Kollegen und Kunden ist

31 31 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Unternehmenskontext - Werthaltigkeit 3. Wettbewerbsvorteile Aktuell mittelbar kommunizierbarer Wettbewerbsfaktor für Kunden, Partner und Mitarbeiter (z. B. Intranet, Website, Veranstaltungen) Geplantes BundesdatenschutzauditG mit Gütesiegel und Zertifizierung (wahrscheinlich in 2009) 4. Risikominimierung Interne Bedrohungen Menschliche oder technische Fehler Unachtsamkeit Externe Bedrohungen Wirtschaftsspionage/Social Engineering Hacking Malware

32 32 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl

33 33 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Was ist passiert? Die Vorgeschichte Die Inhalte

34 34 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

35 35 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

36 36 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

37 37 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen Claudia Roth (Grüne): Niemand ist gezwungen, bei Lidl einzukaufen, die Verbraucher haben es in der Hand, Lidl eine Quittung für den unmöglichen und menschenverachtenden Umgang mit den eigenen Mitarbeitern zu geben. Rainer Wend (SPD): Ich werde nicht mehr bei Lidl einkaufen und habe Verständnis für jeden, der das genauso handhabt. Dirk Nebel (FPD): Ein Imageverlust ist ein scharfes Schwert. Der Bürger hat das Druckmittel in der Hand.

38 38 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

39 39 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

40 40 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Die Reaktionen

41 41 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Voraussetzungen - Erforderlichkeit der Videoüberwachung ist nachzuweisen - Aufklärungspflicht ist zu beachten - Videodaten unterliegen einer Zweckbindung - Aufgezeichnete Videodaten sind unverzüglich zu löschen, soweit sie nicht ausdrücklich zur Beweissicherung benötigt werden - Aufgrund des kontinuierlichen Überwachungsdrucks eine Vorabkontrolle durch Datenschutzbeauftragten und Betriebsrat - Heimliche Videoüberwachung ist allenfalls durch den Staat im Rahmen der Gefahrenabwehr bzw. der Straftatenverfolgung zulässig Betroffene Gesetze: GG, BDSG, KUG Vgl. Witt (2008): Datenschutz, S. 34ff.

42 42 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 1: Lidl Folgen für Lidl 1) 43 Abs. 3 BDSG: Bußgelder (bis zu Euro Strafe) 2) 7 BDSG: Schadensersatzzahlungen 3) 44 BDSG: Strafrechtliche Konsequenzen Wer eine [ ] vorsätzliche Handlung [ ] begeht, wird mit Freiheitsstrafe bis zu zwei Jahren [ ] bestraft. + Reputationsschaden (Umsatzeinbußen, Aufwendungen für Wiederherstellung des Marktvertrauens)

43 43 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Fallstudie 2: Datenschutzmanagement Einführung eines Datenschutzmanagement-Systems

44 44 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 IT-Managementberatung Wir unterstützen unsere Kunden dabei, aus dem operativen Instrument IT ein unternehmerisches, strategisches Planungs- und Führungsinstrument zu machen. Strategie & Masterplan IT-Strategie als Enabler und Basis für effizientes IT-Business-Alignment. Prozess & Konzept IT als Plattform für erfolgreiche Geschäftskonzepte sowie effiziente und ressourcenschonende Abläufe. Softwareauswahl & Vertrag Das Treffen der "richtigen" Auswahlentscheidung und die Compliancekonforme Gestaltung von Verträgen. IT-Projektberatung Das Zusammenspiel aller Projekte im Griff mit Hilfe eines effizienten Multiprojektmanagements. (Out-)Sourcing Fremdbezug von IT-Services als Gestaltungsoptionen im Spannungsfeld der erforderlichen Qualität sowie von Kosteneffizienz und Flexibilität. Service Management & IT-Organisation Die Service Orientierte Organisation (SOO) als Dirigent von Menschen, Prozessen und internen sowie externen IT-Dienstleistern. IT-Sicherheitsmanagement Die effektive Minimierung der Geschäftsrisiken durch integriertes IT- Sicherheits- und Datenschutzmanagement.

45 45 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Fallstudie 2: Datenschutzmanagement

46 46 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Fallstudie 2: Datenschutzmanagement Ausgangssituation: - Mittelständisches Unternehmen - ca. 500 Mitarbeiter - Umsatz ca. 250 Mio. - Hauptsitz in FFM - Mehrere Tochtergesellschaften in Deutschland - Diverse Stakeholder (Kunden, Lieferanten, Mitarbeiter, Behörden) - Keine systematische Bearbeitung von Datenschutz -Beauftragung der INTARGIA mit der Einführung einer strukturierten Vorgehensweise

47 47 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Fallstudie 2: Datenschutzmanagement Management-System & PDCA-Kreislauf: System zur umfassenden Beschreibung und Bereitstellung von Methoden zur erfolgreichen Bewältigung (Zielsetzung, Steuerung, Kontrolle) von Unternehmensaufgaben. - EFQM

48 48 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008

49 49 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Initial-Datenschutzaudit Self-Assessement Kick-off Auswertung von vorhandenen Dokumenten Vor-Ort-Interviews Verifizierung der Angaben aus Self-Assessement und Interviews Besichtigung der IT-Infrastruktur Abgleich der Feststellungen gegen wichtigste Standards BDSG, BSI bis 100-4, ISO ff. Erkennen von Handlungsbedarf Erstellung eines Audit-Berichts mit Feststellungen und Empfehlungen Abschlusspräsentation Im weiteren Fortschritt regelmäßige Audits und Anpassungen

50 50 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Initial-Datenschutzaudit Audit der zentralen IT-Organisation Audit allgemein - Hauptsitzes Audit allgemein - Business Units Audit der wichtigsten Funktionsbereiche Personalwesen Vertrieb Einkauf

51 51 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Self-Assessement - Beispiel

52 52 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Datenschutzaudit Beispiel für Auditfragen

53 53 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Datenschutzaudit Beispiel für Ergebnisbericht

54 54 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Datenschutzaudit Beispiel für Ergebnispräsentation

55 55 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Strategien definieren, Maßnahmen planen Welche Ziele sollen durch Datenschutzmanagement erreicht werden? Wer ist im Unternehmen dafür verantwortlich? Wie soll die Datenschutz-Organisation aufgebaut sein? Welche technischen und organisatorischen Maßnahmen sollen umgesetzt werden und in welcher Reihenfolge? In welchem Zeitrahmen soll die Umsetzung stattfinden? Bestimmung der Durchlauf-Frequenz

56 56 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Strategie definieren, Maßnahmen planen Strategien definieren, Maßnahmen planen Datenschutzpolicy Strategische Ebene Datenschutz-Leitlinie Ziele, Grundsätze, Informationen, Organisation, Verantwortlichkeiten, Reichweite und Geltungsbereich Prozessebene Corporate Binding Rules Abstrakte, gesetzestypische Regelungen Betriebsvereinbarungen Anweisung bei neuen Verfahren Operative Ebene Datenschutzhandbuch Detailrichtlinien (z. B. , Passwort) Datenschutzbeauftragter

57 57 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Etablierung einer Datenschutz-Organisation Wer ist im Unternehmen verantwortlich? Wer ist der primäre Ansprechpartner? Wie sehen die Berichtswege innerhalb der Organisation aus? Wie ist das Unternehmen aufgebaut? Wie soll die Datenschutzorganisation aufgebaut werden? Bereitstellung von Hilfsmitteln (Räume, Arbeitsmaterialien, Befugnisse, Ansprechpartner, Management Commitment) Verbindungsherstellung zwischen angrenzenden Funktionen (Risikomanagement, CIO, IT-Sicherheitsbeauftragter (CISO), Betriebsrat, interne Revision etc.) Erstellung eines eigenen Handlungskonzepts ( Service Offering Portfolio ) In Kraft setzen der Datenschutzpolicy

58 58 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Strategie und Maßnahmen implementieren Etablierung der Datenschutz-Organisation Anlegen und Pflegen des Verfahrensverzeichnis Umsetzung der technischen Maßnahmen basierend auf den Empfehlungen aus dem jeweiligen Datenschutzaudit Durchführung von Vorabkontrollen Implementieren der Regulierungsdokumente Ergänzung von Dienstleistungsverträgen um Datenschutz-Elemente Überprüfung der Kommunikationskomponenten auf Vollständigkeit und Richtigkeit der Angaben (Website, Geschäftsbriefe, s etc.) Aufbau und Verankerung der Datenschutz-Kultur Ständiger Ansprechpartner für Datenschutz

59 59 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Strategie und Maßnahmen implementieren

60 60 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Umsetzung kontrollieren Umsetzung kontrollieren Fortschrittsmessung mit Hilfe eines Reifegradmodells Regelmäßiges Reporting Laufende Dokumentation von Status und Fortschritt

61 61 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Aufbau und Verankerung einer Datenschutz-Kultur Modifikation von Verträgen (Vertraulichkeitsverpflichtung (Mitarbeiter und Dritte) nachträglich und zyklisch) Mitarbeiterschulungen Sensibilisierungsmaßnahmen (z. B. Intranet, Newsletter, Veranstaltung) Betriebsvereinbarungen (AGG, Videoüberwachung. Bildschirmarbeitsplatz, E- Mail, Intranet, Personalinformationssystem. Elektronische Zeiterfassung) Datenschutzbeauftragter als primärer Ansprechpartner

62 62 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Projektmanagement Zeit- und Projektplanung Überwachung des Projektfortschritts, Projektcontrolling Vorbereitung aller Projektschritte Nachhaltige Dokumentation aller durchgeführten Aktionen Reporting Zentraler Ansprechpartner

63 63 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Das INTARGIA Datenschutzmanagement-System Projektcontrolling

64 64 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Agenda Datenschutz in Deutschland Betrieblicher Datenschutz - Datenschutz im Unternehmenskontext - Fallstudie 1: Lidl - Fallstudie 2: Datenschutzmanagement - Fallstudie 3: Ihr erster Arbeitstag Datenschutz im Privatbereich - Fallstudie 4: Datenschutz und Web Fallstudie 5: W-LAN - Einige Verhaltensregeln Quellen und weiterführende Informationen

65 65 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Betrieblicher Datenschutz Fallstudie 3: Ihr erster Arbeitstag Ausgangssituation Ihr neuer Arbeitgeber wurde durch die Lidl-Vorfälle aufgeweckt Einstellung als interner Datenschutzbeauftragter Zug ist verspätet, Ankunft erst gegen 12:00 Mitarbeiter alle zu Tisch Sie betreten die IT-Abteilung des Unternehmens und findet folgende Situation vor:

66 66 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008

67 67 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008

68 68 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Agenda Datenschutz in Deutschland Betrieblicher Datenschutz - Datenschutz im Unternehmenskontext - Fallstudie 1: Lidl - Fallstudie 2: Datenschutzmanagement im Unternehmen - Fallstudie 3: Ihr erster Arbeitstag Datenschutz im Privatbereich - Fallstudie 4: Datenschutz und Web Fallstudie 5: WLAN - Einige Verhaltensregeln Quellen und weiterführende Informationen

69 69 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 Was ist Web 2.0? Web 2.0 ist, wenn Du Deiner Oma unter keinen Umständen erklären kannst, womit Du eigentlich Dein Geld verdienst - Elektrischer Reporter, Handesblatt.com

70 70 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 Was ist Web 2.0? 1) The Web as Platform (Bsp. Google Apps) 2) Harnessing Collective Intelligence (Bsp. Wikipedia) 3) Data is the next Intel Inside (Bsp. Spotlight.de) 4) End of software release cycle (Stichwort Mash ups ) 5) Lightweight programming models ( Yeah, we are beta! ) 6) Software above the level of single devise (Stichwort Ubiquitous Computing) 7) Rich user experience (Stichwörter Drag & Drop, AJAX) - Sieben konstitutive Prinzipien nach O Reilly (2005)

71 71 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 [ ] zur Charakterisierung des Zeitgeistes heutiger Gesellschaften, in denen sich die Indivualisierung immer mehr auf dem Vormarsch befindet, kann aber auch [ ] dienen, das einzufordern, was seit der Aufklärung Erkenntnis ist und in unseren Grundrechten seinen Niederschlag gefunden hat: dass der Mensch in seiner sittlichen Autonomie nicht nur Schutz seiner Persönlichkeit reklamieren kann, sondern auch Verantwortung für sich selbst und seinen Persönlichkeitsschutz trägt. Dr. Christine Hohmann-Dennhardt, Richterin am BVerfG, Karlsruhe Aufsatz zu Informationeller Selbstschutz als Bestandteil des Persönlichkeitsrechts in Recht der Datenverarbeitung, Heft Nr. 1, 2008

72 72 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 Felix, 28, Dipl.-Betriebswirt (FH) Bewerbung um eine Absolventenstelle Gute Bewerbungsunterlagen Gute Noten zügiges Studium einige passende Praktika bei namhaften Unternehmen außeruniversitäres Engagement Auslandsaufenthalt (USA) Hat er die Gefahren von Online Profiling bedacht?

73 73 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 StudiVZ schließt sich Google-Initiative an StudiVZ öffnet sich gegenüber externen Softwareentwicklern: Das größte soziale Onlinenetzwerk Deutschlands tritt der Open Social - Initiative unter der Führung von Google bei und verpflichtet sich, seine Programmierschnittstellen offenzulegen. Programmierer können somit künftig eigene Anwendungen für StudiVZ schreiben oder aus anderen Netzwerken übernehmen. Die Entwicklerplattform stehe voraussichtlich ab Sommer zur Verfügung, teilte StudiVZ gestern mit. DPA

74 74 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 4: Web 2.0 Problemstellungen: - Öffnung von proprietären Netzwerken (Google OpenSocial API XING, myspace, facebook, LinkedIn etc.) - Aktuelles Persönlichkeitsbild im Netz - Gedächtnis des www (Bsp.: waybackmachine.org, Google Cache)

75 75 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Fallstudie 5: WLAN

76 76 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Datenschutz im Privatbereich Einige Verhaltensregeln - Online Profiling-Gefahr beachten (auch durch Freunde!) - Profile in sozialen Netzwerken nach außen abdichten - Identität verschleiern (Jens K. statt Jens Krüger) - Online Anonymizer verwenden (z. B. JAP) - Alter Egos/Avatare verwenden - Mehrere -Adressen nutzen, verschleiern ( (at) ) - Einsatz moderner Schutzmaßnahmen (Firewalls, Virenscanner, Verschlüsselungsalgorithmen) - Verwenden von sicheren Passwörtern (Satz, Ziffern, Nummern, Sonderzeichen, Länge)

77 77 Datenschutz Eine praxisorientierte Einführung 26. Mai 2008 Weiterführende Informationen Dokumente und Informationen zum Vortrag 1) Publikationen 2)

78 78 IT Security Management (ISM)