ERSTE INFORMATIONEN

Transkript

1 2014 ERSTE INFORMATIONEN

2 Inhalt a) Externer Datenschutzbeauftragter b) Beispiel Vorgehensweise c) Datenschutzaudit d) Datenschutzeinweisung persönlich oder per elearning e) Empfohlen: Test zur Datenschutzeinweisung f) Online Projektmanagement Datenschutz 1 g) Über Datenschutz Molter h) Über Christian Molter i) Qualifikation, eine Auswahl j) Impressum

3 a) Externer Datenschutzbeauftragter Datenschutz Molter übernimmt die Aufgaben eines betrieblichen, externen Datenschutzbeauftragten, wenn die Unternehmensleitung bereit ist, die betrieblichen Abläufe und Datenverarbeitungen auf Konformität zum geltenden Datenschutzrecht in Deutschland überprüfen zu lassen und sofern erforderlich, auch anzupassen. Der Datenschutzbeauftragte hat keine Weisungsbefugnis, er wirkt auf die Einhaltung der datenschutzrechtlichen Vorgaben hin. Es greifen neben dem Bundesdatenschutzgesetz (BDSG) unter Umständen auch andere Gesetze wie zum Beispiel das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), in Bezug auf die Aufbewahrungspflichten zum Beispiel das Handelsgesetzbuch (HGB) oder die Abgabenordnung (AO). Die Erstellung des Verfahrensverzeichnisses, also einer Übersicht über die Verarbeitung von personenbezogenen Daten im Unternehmen sowie die Prüfung der technischorganisatorischen Maßnahmen, auch bekannt als Informationssicherheit, erfordern einen hohen Arbeitsaufwand und viel Erfahrung, damit die Arbeiten mit der erforderlichen Sorgfalt durchgeführt werden können. Sollte in Ihrem Unternehmen derzeit noch keinerlei Organisation zum betrieblichen Datenschutz vorhanden sein, wird es einige Zeit brauchen, bis eine auch nach außen hin vertretbare Datenschutzorganisation aufgebaut und dokumentiert ist. Die Arbeit eines Datenschutzbeauftragten ist fortwährend. Die Aufgaben wiederholen sich aufgrund von Veränderungen, Ergänzungen und Neuerungen bei den Datenverarbeitungen bzw. deren darin involvierten Herstellern und Dienstleistern. 2 Wenn Sie noch nicht wissen, ob Ihr Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) einen Datenschutzbeauftragten zu bestellen hat, erhalten Sie eine Entscheidungshilfe auch beim Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, Stand Januar 2014: -> Datenschutz -> Datenschutzbeauftragte -> Betriebliche Datenschutzbeauftragte -> Selbstcheck: Wer muss Datenschutzbeauftragte bestellen? Das Bundesdatenschutzgesetz gilt auch dann, wenn kein Datenschutzbeauftragter zu bestellen ist. Der betriebliche, ggf. externe Datenschutzbeauftragte unterstützt Ihr Unternehmen bei der Einhaltung der Vorgaben zum Datenschutz. Ob was wann wie von den Anregungen, Hinweisen und dringenden Meldungen des betrieblichen Datenschutzbeauftragten umgesetzt wird, entscheidet grundsätzlich die Unternehmensleitung, ggf. auch von dieser beauftragte Mitarbeiter.

4 b) Beispielsvorgehensweise - ohne Anspruch auf Vollständigkeit. Kick Off Meeting Verpflichtung Datengeheimnis Einweisung Datenschutz Einweisung Verfahrensverzeichnis, ADV, TOM 3 Anpassungen Auftragsdatenverarbeitung (ADV) Bericht Verfahrensverzeichnis Technischorganisatorische Maßnahmen (TOM)

5 c) Datenschutzaudit Das Datenschutzaudit wird, sofern beauftragt, durchgeführt: optional, gegen zusätzliche Berechnung, zwecks einer externen Ist-Soll-Analyse, Auftragnehmern nach 11 BDSG Auftragsdatenverarbeitung Das Datenschutzaudit kann auch in Ihrem Auftrag bei externen Dienstleistern wie zum Beispiel Call Centern oder Marketingagenturen durchgeführt werden. Ihr Unternehmen hat sich bekanntlich zu Beginn sowie nachfolgend regelmäßig von der Einhaltung der Datenschutzmaßnahmen bei den Auftragnehmern zu überzeugen. Diese Überprüfung ist zu dokumentieren. Kommen Sie dem nicht nach, handelt es sich um eine Ordnungswidrigkeit, die nach 43 BDSG mit bis zu ,- EUR je Fall geahndet werden kann. Muster, Auswertung kann abweichen Das von Datenschutz Molter durchgeführte Datenschutzaudit beinhaltet bis zu rund 800 Fragestellungen und Auswertungen zum Datenschutz im Unternehmen. Grundlagen des von Datenschutz Molter durchgeführten Datenschutzaudit können sein: EU-Datenschutzrichtlinien Bundesdatenschutzgesetz (BDSG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Gesetz gegen den unlauteren Wettbewerb (UWG) Sozialgesetzbücher (SGB) weitere gesetzliche Einflüsse wie StGB, HGB, AO, Berufsordnungen und -satzungen IT-Sicherheitsstandards nach BSI 100-x IT-Sicherheitsstandards nach ISO 270xx Service Management (ITIL V3) 4 Effektiver Datenschutz bedarf eines ganzheitlichen Ansatzes. Es liegt an der Unternehmensleitung zu entscheiden, wie wichtig das Thema Datenschutz intern angesehen wird. Sollten Sie einen Datenschutzbeauftragten nur als ein Feigenblatt ansehen und nicht bereit sein Abläufe konform zum Datenschutzrecht zu ändern, bewusst die erforderlichen Datenschutzmaßnahmen gegen mögliche Bußgelder abwägen und/oder nicht bereit sein, mindestens 4.000,- EUR (netto) pro Jahr für die Dienstleistung des Datenschutzbeauftragten zu investieren, fragen Sie kein Angebot bei Datenschutz Molter an. Datenschutz Molter ist gewillt, Ihnen eine Datenschutzorganisation aufzubauen und erhalten, die auch bei einer Prüfung durch die zuständige Datenschutzaufsicht vorzeigbar ist. Zudem hilft eine gute Datenschutzorganisation, die Wahrscheinlichkeit von Datenschutzvorfällen zu reduzieren.

6 d) Optional: Datenschutzeinweisung per elearning Datenschutz Molter bietet die Möglichkeit, die Datenschutzeinweisung der betroffenen Mitarbeiter alternativ oder ergänzend über durchführen zu lassen. Die Datenschutzeinweisung per elearning bietet mehrere Vorteile: so kann die Datenschutzeinweisung unabhängig von Raum und Zeit durchgeführt werden, ein Zugang zum Internet vorausgesetzt. Dies ist eine wirtschaftliche Alternative zur Präsenzeinweisung, gerade durch die Reduzierung der Aufwände und Kosten für Reisen, Spesen etc. Des Weiteren können mittels Zuweisung von Zugriffsrechten innerhalb der Lernplattform (LMS) auch Datenschutzeinweisungen durchgeführt werden, die auf die individuellen Besonderheiten der einzelnen Unternehmen eingehen. Der Zugang erfolgt über eine SSL-verschlüsselte Verbindung zu einem ISO zertifiziertem Rechenzentrum, das seitens Datenschutz Molter nach 11 BDSG eingebunden wurde. 5 Muster, Kursbereich kann anders aussehen

7 e) Empfohlen: Test zur Datenschutzeinweisung Jeder, der regelmäßig Vorträge hält, kennt es: die Zuhörer lassen sich zumindest in mehr und weniger aufgeschlossen unterteilen. Man kann über Fragen und Einbinden versuchen auch die geistesabwesenden Teilnehmer zu aktivieren. Wenn sich jemand dem Thema betrieblicher Datenschutz nicht öffnen will, werden voraussichtlich kaum Informationen aufgenommen. Wie kann man sicherstellen, dass sich die Mitarbeiter tatsächlich dem wichtigen Thema betrieblicher Datenschutz öffnen? Wie kann man sicherstellen, dass der Vortragende auch nach langjährigem Vortragen noch motiviert ist, den gleichen Inhalt mit derselben Leidenschaft wie in den ersten Jahren zu vermitteln? Datenschutz Molter empfiehlt individuell an das Unternehmen und die Aufgaben angepasste, regelmäßige Datenschutzeinweisungen mit abschließenden Tests und entsprechenden Nachweisen. 6 Muster, Nachweis kann abweichen Mittels Tests und Nachweisen kann ein Lernerfolg auch gegenüber der zuständigen Datenschutzaufsicht dargestellt werden. Anders als bei einer reinen Präsenzveranstaltung mit Anwesenheitsliste, bei der Teilnehmer ggf. nur körperlich anwesend sind. Selbstverständlich lassen sich die Datenschutzeinweisung und Tests an Unternehmen, Abteilungen sowie Prozesse anpassen, damit die jeweiligen Besonderheiten berücksichtigt werden und der gesetzlichen Vorgabe gefolgt wird. Nach 4 g Abs. 1 BDSG hat der Datenschutzbeauftragte die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Möglich sind auch elearning-kurse und Tests entsprechend der vorhandenen IT-/ Internet-/ -nutzungsrichtlinien bzw. Betriebsvereinbarungen.

8 f) Optional: Online Projektmanagement Datenschutz Damit die anstehenden und bereits erledigten Arbeiten zum betrieblichen Datenschutz erfasst und für definierte Ansprechpartner eingesehen werden können, stellt Datenschutz Molter ein Online Projektmanagement Datenschutz zur Verfügung. Bei dem Online Projektmanagement Datenschutz erhalten definierte Ansprechpartner in den jeweiligen Unternehmen einen Account, die anstehenden sowie erledigten Aufgaben 24x7 einsehen können: Kategorien für Aufgaben Verantwortlichkeiten der Aufgaben Priorität der Aufgaben Erledigung der Aufgaben Fristen der Aufgaben Kommentare zu den Aufgaben Zeiterfassung für die Aufgaben Das Online Projektmanagement Datenschutz ermöglicht so jederzeit eine Übersicht über die offenen erledigten Aufgaben. So lassen sich auch ins Stocken geratene Aufgaben im Auge zu behalten und voran zu bringen, etwa wenn ein Auftragnehmer auch nach mehreren Wochen noch nicht vollständig nach 11 BDSG eingebunden ist oder bei sensiblen Daten nach 42 a BDSG ein Termin für eine Überprüfung der technischorganisatorischen Maßnahmen vor Ort noch nicht vereinbart wurde. 7 Betrieblicher Datenschutz bedeutet auch, dass die Unternehmensleitung Transparenz und Steuerungsmöglichkeiten über die aktuellen und künftigen Datenschutzmaßnahmen erhält. Dazu dient das Online Projektmanagement Datenschutz. Muster Projektmanagement, Abweichungen möglich

9 g) Über Datenschutz Molter Datenschutz Molter ist seit dem Dienstleister im Bereich Datenschutz und Informationssicherheit. Datenschutz Molter ist mehrfach und jahrelang bei nicht-öffentlichen Stellen mit 40 mehreren tausend Mitarbeitern als betrieblicher, externer Datenschutzbeauftragter bestellt. Die Datenschutzeinweisungen bietet Datenschutz Molter mittels elearning ohne Aufpreis und/oder Präsensveranstaltung an. Datenschutz Molter stellt zur Transparenz und Kontrolle ein Online Projektmanagement Datenschutz ohne Aufpreis zur Verfügung. Datenschutz Molter führt in Unternehmen Datenschutzaudits zum Zwecke einer Ist-Soll- Analyse durch, auch ohne dort als Datenschutzbeauftragter bestellt zu sein. Datenschutz Molter führt für Auftraggeber Datenschutzaudits bei Auftragnehmern nach 11 BDSG durch. Datenschutz Molter führt in Unternehmen interne Audits zur ISO durch. Datenschutz Molter unterstützt bei der Planung, Erstellung, Umsetzung und Kontrolle von IT-Sicherheitsrichtlinien. 8 Datenschutz Molter ist eine übersetzende Schnittstelle zwischen der Rechtsabteilung und der EDV-Abteilung sowie anderen Abteilungen. Datenschutz Molter ist nach den Verbandskriterien des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.v. verpflichtet. Datenschutz Molter ist bei der R + V Versicherung AG für die Tätigkeit als EDV-Berater und externer Datenschutzbeauftragter auf dem Gebiet der EU versichert. h) Über Christian Molter Christian Molter ist 40+ Jahre alt, verheiratet und mehrfacher Vater. Er achtet auf eine ausgewogene Work-Life-Balance und geht seiner Arbeit mit Leidenschaft nach. Er kommt ursprünglich aus dem kaufmännischen Bereich und hat sich über verschiedene Stationen wie mehrere IT-Systemhäuser, IT-Distribution, mehrere marktführende IT- Security-Hersteller seit 2005 in den Datenschutz vorgearbeitet und hatte während der Zeit der Festanstellung in mehreren Unternehmen Personalverantwortung. Christian Molter ist der Ansicht, dass die wahre Herausforderung beim Datenschutz in einem Kreislauf von Analyse, Planung, Evaluierung, Umsetzung, Kontrolle und Anpassung bzw. Ergänzung liegt. Das erklärt auch den Kreislauf im Logo von Datenschutz Molter.

10 i) Qualifikation, eine Auswahl Datenschutzauditor (TÜV) Datenschutzbeauftragter (TÜV) IT-Security-Beauftragter (TÜV) 9 ITIL Foundation V3 IT-Consultant / Projektmanager ISMS Spezialist & interner ISO Auditor

11 Senden Sie eine Angebotsanfrage einfach an Sie werden zwecks der Angebotserstellung zeitnah auf dem gewünschten Weg kontaktiert. Erfahrungsgemäß ist eine telefonischen Besprechung der Aufwandsplanung für alle Beteiligten zeitsparend. Mit Senden einer Angebotsanfrage erklären Sie sich damit einverstanden, dass Ihre Kontaktdaten zur Bearbeitung der Angebotsanfrage genutzt werden. Eine Weiterleitung an Dritte findet nicht statt. Die für die Angebotserstellung erforderlichen Daten werden vernichtet, sobald der Verwendungszweck der Angebotserstellung und -besprechung entfallen ist. Vielen Dank für Ihr Interesse, ich freue mich auf die Zusammenarbeit mit Ihnen. 10 Geschäftsführer: Christian Molter Datenschutz Molter Kellerhalsstr Ingolstadt Telefon: Umsatzsteuer-ID: DE Versichert bei der R+V Versicherung als externer Datenschutzbeauftragter und EDV-Berater auf dem Gebiet der EU.