Datenschutz beim Umgang mit Datenbanken

Transkript

1 Datenschutz beim Umgang Vortrag im Rahmen der SIG Security der DOAG Florian Gerhard

2 Loomans & Matz AG Ihr Partner für Datenschutz

3 Unsere Services eine runde Sache Informationssicherheit Wirtschaft ISO ff. ISMS-Implemetierung externer CIO/CISO Awareness Datenschutz Externer DS-Beauftragter DSMS (Datenschutz- Managementsystem) Datenschutzaudit Know-how-Transfer TÜV-Seminare ManagementCircle individuelle Workshops Business Continuity BCM Strategie und Organisation Notfall- und Krisenmanagement externe BCM-Beauftragte Informationssicherheit öffentl. Verwaltung BSI- Grundschutz ISMS-Implemetierung externer CIO/CISO Awareness

4 Florian Gerhard, LL.M. Projektleiter im Bereich Datenschutz Mehrjährige Erfahrung bei der Umsetzung von datenschutzrechtlichen Anforderungen in Mittelstand und Konzernen Teilnehmer der Erfa-Kreise Hessen und Rheinland-Pfalz der Gesellschaft für Master of Business Law Datenschutz & -sicherheit (GDD) Wirtschaftsrechtler (FH) TÜV-zertifizierter Datenschutzbeauftragter Dozent von Seminaren im Bereich Datenschutz

5

6 Tetraodonti KU-FI Bei Gefahr bläst sich der Kugelfisch auf die mehr als doppelte Größe auf Körpergift Tetrodotoxin - soll ausreichen, um 30 Erwachsene zu töten

7 Gliederung: Die datenschutzrechtliche Herausforderung Praxisbeispiele Lösungsansätze Zusammenfassung

8 Datenschutz als Führungsaufgabe Öffentlichkeit web 2.0 www BDSG, TKG, TMG, UWG, etc. Technische & organisatorische Maßnahmen Dienstleister ( 11 BDSG) Kundendatenschutz Verbraucherschutz Beschäftigtendatenschutz Komplexität Datenschutz im Unternehmen

9 Definition: Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Persönliche Verhältnisse Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf, Konfession, Krankheiten,... Sachliche Verhältnisse Einkommen, Eigentumsverhältnisse, KFZ-Typ, Steuern, Versicherungen,...

10 Definition: Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Bestimmte Person Bestimmbare Person Adresse Telefonnummer Telefonbucheintrag IP-Adresse Vorlieben Gesundheit Gewerkschaftszugehörigkeit Verbindung

11 Zulässigkeit Zweckbindung Transparenz Korrekturrecht Datensicherheit Kontrolle Sanktionen Datenschutz beim Umgang Datenschutz Recht auf informationelle Selbstbestimmung

12 Datenbank-Design/Abfragen/Technische & organisatorische Maßnahmen: Zulässigkeit: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat ( 4 I BDSG). Zweckbindung: Verarbeitung und Nutzung: (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig 1. Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist, 2. berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein(e) schutzwürdige Interesse des Betroffenen überwiegt, oder 3. Daten allgemein zugänglich sind oder die verantwortliche Stelle schutzwürdige Interesse des Betroffenen gegenüber dem berechtigten Interesse überwiegt ( 28 BDSG)

13 Datenbank-Design/Abfragen/Technische & organisatorische Maßnahmen: Öffentliche und nicht-öffentliche Stellen,, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. ( 9 BDSG) Anlange zu 9 BDSG: Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Zutritts-, 2. Zugangs-, 3. Zugriffs-, 4. Weitergabe-, 5. Eingabe-, 6. Auftrags-, 7. Verfügbarkeitskontrolle, 8. Trennungsgebot.

14 Datenbank-Design/Abfragen/Technische & organisatorische Maßnahmen: Zulässigkeit, Zweckbindung (Verarbeitung und Nutzung): Rechtsgrundlage sollte im Verfahrensverzeichnis dokumentiert sein Einwilligungen schaffen mehr Transparenz Erforderlichkeitsprüfungen sollen dem Datenschutzbeauftragten überlassen werden Angemessene technische & organisatorische Maßnahmen: Risikoanalysen BusinessImpactAssessment (BIA) Threats&VulnerabilityAssessment (TVA) Schutzstufenkonzepte Berechtigungskonzepte Prozessmanagement Datenschutzmanagement Dokumentation

15 Die Bahn fragt ab: Mitarbeiter- Einkauf Lieferanten KU-FI Kontonummern Betrugsprävention Kto.-Nr. Mitarbeiter/Familienangehörige = Kto.-Nr. Lieferant Betrugsermittlungen

16 Die Bahn fragt ab: Mitarbeiter- Einkauf Warenannahme Lager KU-FI Rechte Bestand Unterschlagungsprävention Bestell- & Annahmerecht bei einem Mitarbeiter + Soll-/Ist-Lagerabgleich Unterschlagungsermittlungen

17 Interessante Abfragen: Fehlzeiten Mitarbeiter Besuche bei Suchtberatung des Unternehmens Betriebsrat Dauer und Häufigkeit von Schulungen Brennpunkt Fremdschlüssel: Fremdschlüssel ohne entsprechende Konfigurationen Einsichtnahme in personenbezogenen Daten Überschreitung der Zweckbindung Benachrichtigung der Betroffenen!!! 42a BDSG!!! Lösung: Views verwenden!

18 Zusammenfassung: Beim Aufbau Datenerhebung von Datenbanken rechtmäßig??? Bei Datenbankabfragen Verarbeitung und Nutzung rechtmäßig??? Technische & Berechtigungskonzepte??? Organisatorische Schutzstufenkonzept??? Maßnahmen Prozessmanagement Strukturierte Prozesse erleichtern den Datenschutz KU-FI Dokumentation Ermöglicht dem Datenschutzbeauftragten eine schnelle Beurteilung der datenschutzrechtlichen Anforderungen und der Umsetzung.

19 Zeit für Ihre Fragen!

20 Vielen Dank, und noch einen erfolgreichen Tag! Florian Gerhard, LL.M. Loomans & Matz AG August-Horch-Straße 6a Mainz Tel: Fax: