MLC Markus Linzner Consulting Der betriebliche Datenschutzbeauftragte

Transkript

1 Markus Linzner Consulting Der betriebliche Datenschutzbeauftragte

2 Markus Linzner Consulting Technische Weiterentwicklung Datenvolumina steigen Fast unbegrenzte Speichermöglichkeiten Datenbankgestützte Anwendungen erleichtern die Auswertung Haftungsrisiko verlagert sich

3 Versicherung Arbeitgeber Arbeitgeber Telekomanbieter Internet/ Internetshops Arzt Krankenkasse Arbeitgeber Finanzamt Bank Behörden Arbeitgeber Krankenhaus Arbeitgeber Krankenkasse Arbeitgeber Payback Arbeitgeber Kartensysteme

4 Personalabteilung Datenverarbeitung Einkauf Vertrieb CRM! Mitarbeiter Kunden / Bürger Lieferanten Mitarbeiter von Fremdfirmen Bewerber Mieter / Eigentümer Interessenten / Besucher Schädiger / Geschädigte

5 Gefahr des Datenmissbrauchs bedingt die Notwendigkeit gesetzlicher Regeln Gesetze / Vorschriften Gefahr für Daten des Betroffenen Gefahr für IT-Systeme selbst

6 Grundgesetz Art. 1 Abs. 1 Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Grundgesetz Art. 2 Abs. 1 Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder oder das Sittengesetz verstößt. Bundesdatenschutzgesetz (BDSG) 1 Zweck und Anwendungsbereich Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

7 Grundgesetz Verfassung der Länder Grundrecht auf informationelle Selbstbestimmung Bundesdatenschutzgesetz (BSDG) Landesdatenschutzgesetz (LDSGe) Öffentliche Stellen des Bundes Nicht öffentliche Stellen Öffentliche Stellen des Landes

8 4f BDSG Bestellung eines betr. Datenschutzbeauftragten Ab 5 Arbeitnehmer bei automatisierter Verarbeitung personen- Bezogener Daten. Ab 20 Arbeitnehmer bei sonstiger Verarbeitung personen- Bezogener Daten. Bei Nicht.-Bestellung fallen alle Pflichten des Datenschutzbeauftragten auf die verantwortliche Stelle zurück (Geschäftsleitung). (Trifft auch auf verantwortliche Stellen, die personenbezogene Daten verarbeiten und nach BDSG keinen Datenschutzbeauftragten benennen müssen Konsequenz: Pflichten und Vorkommnisse werden der Geschäftsleitung zugerechnet, da sie das Organisationsverschulden zu vertreten hat.

9 4f Abs. 1 Satz 5 BDSG öffentliche Stellen Ein Datenschutzbeauftragter für mehrere Bereiche reicht aus, soweit dies die Struktur zulässt. Beispiel: Kann zum Beispiel auf die Konstellation Bundesgrenzschutz / Bundesministerium für Verteidigung zu treffen.

10 Stufe A: frei zugängliche personenbezogene Daten In die personenbezogenen Daten wird Einsicht gewährt, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss. Beispiele: Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Stufe B: keine besondere Beeinträchtigung Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist. Beispiele: Beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen. Stufe C: Beeinträchtigung des Ansehens Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ("Ansehen"). Beispiele: Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten. Stufe D: Beeinträchtigung der Existenz Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ("Existenz"). Beispiele: Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen.

11 Die Stellung des DSB Schriftliche Bestellung innerhalb eines Monats nach Aufnahme der Tätigkeit. Schriftliche Mitteilung an die entsprechende Behörde Datenschutzbeauftragte muss die entsprechende Fachkunde und Zuverlässigkeit besitzen. Unmittelbare Unterstellung unter der Geschäftsleitung. Weisungsfrei bei der Anwendung der Fachkunde in seinem Aufgabenbereich. Benachteiligungsverbot Widerruf der Bestellung nur auf Verlangen der Aufsichtsbehörde oder gemäß 626 BGB. Pflicht zur Verschwiegenheit, sofern keine Einbindung durch den Betroffenen vorliegt

12 Die Aufgaben des DSB nach 4 BDSG Überwachung der Ausführung und Anwendung des Datenschutzgesetze innerhalb des Betriebs. Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Ausbildung und Unterweisung der Mitarbeiter, die personenbezogene Daten verarbeiten, über die Erfordernisse des Datenschutzes Erstellung von Richtlinien Beratungsrecht bei der Auswahl der Mitarbeiter, die personenbezogene Daten verarbeiten. Informationsrechte gegenüber der Geschäftsleitung Führung der internen Verarbeitungsübersicht (internes Verfahrenverzeichnis) Führung des Öffentlichen Verfahrensverzeichnis

13 Bereiche Gebäude (nicht öffentlicher / öffentlicher Bereich) Aktenhandhabung IT Verhalten der Mitarbeiter Notfallmaßnahmen

14 Mit Geldbußen bis zu wird belegt, wer als verantwortliche Stelle Der Meldepflicht nicht nach nachkommt. Einen DBS nicht ordentlich bestellt. Betroffene nicht ordnungsgemäß über Wiederspruchsrecht informiert. Daten inkorrekt übermittelt oder nutzt Gründe zur Datenübermittlung nicht aufzeichnet Betroffene nicht ordnungsgemäß benachrichtig Bestrittene Daten ohne Gegendarstellung übermittelt Prüfung der Aufsichtsbehörde behindert. Vollziehbare Anordnungen der Aufsichtsbehörde nicht beachtet. Jeder Punkt kann einzeln geahndet werden.

15 43 BDSG - Strafvorschriften Verstöße gegen die wichtigsten Vorschriften zur Zulässigkeit der Datenverarbeitung werden als Straftat verfolgt und mit bis zu zwei Jahren oder Geldstrafe belegt. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt ist die verantwortliche Stelle, der BfD oder de Aufsichtsbehörde. Wird der Aufsichtbehörde oder dem zuständigen Datenschutzbeauftragten ein Verstoß gemeldet, so muss dieser Tätig werden.

16 44 BDSG - Strafvorschriften Die Bußgeldvorschriften greifen im wesentlichen ein, wenn nichtöffentliche Stellen ihren Meldepflichten, ihrer Pflicht zur Benachrichtigung eines Betroffenen oder ihrer Pflicht zur Bestellung eines Beauftragten für den Datenschutz nicht oder nicht ordnungsgemäß nachkommen. Das Bußgeld beträgt dann bis zu

17 Wer darf den Datenschutzbeauftragten machen? Interne Mitarbeiter Alle Mitarbeiter bei denen kein Interessenskonflikt vorliegt. Von einer Bestellung ist abzusehen wenn es sich um die Personen der Geschäftsleitung, Vertriebsleitung und Verantwortliche der EDV handelt Externe Müssen namentlich benannt werden, Sie haften auch persönlich.

18 Keine Probleme mit der Verschwiegenheitspflicht Kostengünstiger? Unter bestimmten Voraussetzungen auch in kleinen Einheiten denkbar

19 Kostenreduktion durch Kompetenzankauf. Die Mitarbeiter müssen nicht erst komplexe Schulungen durchlaufen, ständige Fortbildungsmaßnahmen etc. entfallen. Umgehung des Kündigungsschutzes, den das BDSG für interne Datenschutzbeauftragte vorsieht. Objektive Ergebnisse und Maßnahmenempfehlungen durch Fachexperten Flexible und angemessene Anforderung im Bedarfsfall.

20 Impressum Mustervesandhaurs Versandstraße Kaufhaus Tel. +49 xxxxxxxxxxxxxxx Fax +49 xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx Geschäftsführung: xxxxxxxxxxxxxxxxxxxxxxx Handelsregister Amtsgericht xxxxxxxx Umsatzsteuer-Ident-Nr.: xxxxxxxxxxxx Rechtliches Die Musterversandhaus übernimmt keine Haftung für Richtigkeit und Aktualität der Inhalte dieser Internetseiten. Bitte kontaktieren Sie uns für Ihre Anfrage. Für Inhalte fremder Webseiten, auf die Sie über unsere Links gelangen können, übernehmen wir keine Verantwortung.

21 Datenschutz Die Musterversandhaus freut sich über Ihren Besuch auf unseren Internetseiten und über Ihr Interesse an unserem Unternehmen. Wir nehmen den Schutz Ihrer persönlichen Daten ernst und möchten, dass Sie sich beim Besuch unserer Internet-Seiten sicher und wohl fühlen. Erhebung und Verarbeitung persönlicher Daten In der Regel können Sie die Seiten der Musterversandhauses besuchen, ohne dass wir persönliche Daten von Ihnen benötigen. Über unseren Internetprovider erhalten wir jedoch Besucherprotokolle, so genannte Logfiles. Wir erfahren hierbei nur den Namen Ihres Internet Service Providers, die Webseite, von der aus Sie uns besuchen und die Webseiten, die Sie bei uns angewählt haben. Diese Informationen werden zu statistischen Zwecken ausgewertet, ein Personenbezug ist uns in der Regel nicht möglich. Wir verwenden keine Cookies. Die uns im Rahmen einer Auskunftsanforderung bekannt werdenden Daten werden nur für die Korrespondenz mit Ihnen verwendet. Nutzung und Weitergabe persönlicher Daten und Zweckbindung Alle im Rahmen der Musterversandhaus-Internetdirektdienste anfallenden personenbezogenen Daten werden entsprechend den jeweils geltenden Vorschriften zum Schutz personenbezogener Daten, nur zum Zwecke der Anfrage- oder Vertragsabwicklung und zur Wahrung berechtigter eigener Geschäftsinteressen im Hinblick auf die Beratung und Betreuung unserer Kunden und Interessenten sowie die bedarfsgerechte Produktgestaltung erhoben, verarbeitet und genutzt. Auskunftsrecht und öffentliches Verfahrensverzeichnis Auf Anforderung teilen wir Ihnen schriftlich entsprechend dem geltenden Recht mit, ob und welche persönliche Daten über Sie bei uns gespeichert sind. In unserem öffentlichen Verfahrensverzeichnis haben wir die Angaben nach 4e BDSG zusammengefasst. Sicherheit Die Musterversandhaus setzt technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre der Musterversandhaus zur Verfügung gestellten Daten durch zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Weitere Informationen geben wir Ihnen auf Anfrage gern bekannt. Wenn Sie Fragen hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, können Sie sich direkt an unseren Beauftragten für den Datenschutz wenden, der mit seinem Team auch im Falle von Auskunftsersuchen, Anträgen oder Beschwerden zur Verfügung steht: Datenschutzbeauftragter ADRESSE

22 Bayer. Staatsministerium des Innern Herr MR Christian P. Wilde Odeonsplatz München Telefon Regierung von Mittelfranken Aufsichtsbehörde für den Datenschutz Promenade 27 (Schloss) Ansbach Tel.: Fax:

23 Externe Datenschutzbeauftragung Durchführung für betrieblichen Datenschutz-Grundanalysen Durchführung von betrieblichen Datenschutz-Quick-Checks Ausbildung von Datenschutzbeauftragten nach BDSG Einweisung von Führungskräften Schulung von Mitarbeitern Beratung Interne Checklisten Vorträge zum Datenschutz Unterrichtsmaterialien Weitere Information:

24 Grundanalyse / Aufnahme IST Zustand (EDV, Gebäude, Bereiche / Mitarbeiter) Erstellung öffentliches Verfahren Durchsicht Mitarbeitervereinbarung / Verbesserung und Erstellung Präsentation der Ist-Aufnahme und Verbesserungsvorschläge (Todo Liste (Klasse A-C)) Erstellung öffentliches Verzeichnis / Gutachten mit Verbesserungsvorschlägen Dauer ca. 5 Arbeitstage 1 Tag Audit Sprechzeit DSB (jeden 2. Monat 1 Stunde) Weitere Information: