DATENSCHUTZ HEUTE. IHK Schwarzwald-Baar-Heuberg

Transkript

1 DATENSCHUTZ HEUTE IHK Schwarzwald-Baar-Heuberg Michael Meyer IT-Berater und Dozent, Datenschutzbeauftragter (IHK)

2 Datenschutz heute Teil 1: Grundlagen und Begriffe Teil 2: Social Media Teil 3: Mobile Computing Teil 4: Neuigkeiten IHK Schwarzwald-Baar-Heuberg 2

3 Teil 1 Grundlagen und Begriffe IHK Schwarzwald-Baar-Heuberg 3

4 Grundgesetz (GG) Warum Datenschutz? Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) Bundesdatenschutzgesetz (BDSG) für die meisten Unternehmen verbindlich Landesdatenschutzgesetze Jedes Bundesland verfügt über eigenes Datenschutzgesetz. Gilt für öffentliche Stellen, z. B. Verwaltungen, Städte. Datenschutzregelungen der Kirchen eigenständige Regelungen, viele BDSG-ähnliche Normen IHK Schwarzwald-Baar-Heuberg 4

5 Das Grundgesetz / Die Verfassung Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG: (Art.1 Abs.1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (Art.2 Abs.1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt IHK Schwarzwald-Baar-Heuberg 5

6 Weitere Quellen des Datenschutzes Weitere nationale Gesetze mit Datenschutzrelevanz Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Gesetz gegen den unlauteren Wettbewerb (UWG) Kunsturhebergesetz (KunstUrhG) Sozialgesetzbücher (SGB) Betriebsverfassungsgesetz (BetrVG) EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) rechtliche Rahmenbedingungen seit 1995 EU-Staaten müssen Regeln in eigene Gesetze übernehmen IHK Schwarzwald-Baar-Heuberg 6

7 Datenschutz und Rechtsprechung Rechtsprechung Gesetze enthalten oft unbestimmte Rechtsbegriffe, welche mehrere Sichtweisen zulassen, wie etwas gemeint ist. Gerichte klären, was unter den jeweiligen unbestimmten Rechtsbegriffe zu verstehen ist. Verschiedene Gerichte können ein und denselben Begriff unterschiedlich deuten. Verbindlich sind Entscheidungen des Bundesverfassungsgerichts, relativ verbindlich sind nur die Sichtweisen der Bundesgerichte (z. B. Bundesgerichtshof, Bundesarbeitsgericht, Bundesverwaltungsgericht) IHK Schwarzwald-Baar-Heuberg 7

8 Ziele des Datenschutzes IHK Schwarzwald-Baar-Heuberg 8

9 Ziele des Datenschutzes Schutz des allgemeinen Persönlichkeitsrechts Das allgemeine Persönlichkeitsrecht ist ein Grundrecht! ergibt sich aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG gilt für jeden und kann nicht ausgeschlossen werden Allgemeines Persönlichkeitsrecht schützt: Individualsphäre Privatsphäre Intimsphäre IHK Schwarzwald-Baar-Heuberg 9

10 Ziele des Datenschutzes Ausprägungen des allgemeinen Persönlichkeitsrechts Recht auf informationelle Selbstbestimmung Recht am eigenen Bild Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme Zielsetzung des BDSG Zweck ergibt sich aus 1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird IHK Schwarzwald-Baar-Heuberg 10

11 Dritter/Empfänger Grundbegriffe Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Beispiele für Dritte: anderes Unternehmen (auch innerhalb des Konzerns) Behörde, öffentliche Stelle Empfänger ist, wer personenbezogene Daten erhält: Mitarbeiter einer anderen Abteilung im Unternehmen Datenschutzbeauftragter Betriebsrat IHK Schwarzwald-Baar-Heuberg 20

12 Grundprinzipien im Datenschutz Datensparsamkeit und Datenvermeidung So genanntes Minimalprinzip ist in 3a BDSG verankert: Erheben, Verarbeiten und Nutzen personenbezogener Daten und Auswahl und Gestaltung von Datenverarbeitungsverfahren müssen sich am Ziel orientieren, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Beispiel: Bei einem Bestellformular sind nur Name, Anschrift, Bankverbindung, -Adresse Pflichtfelder; andere Angaben (z. B. Geburtsdatum) sind freiwillig IHK Schwarzwald-Baar-Heuberg 33

13 5 BDSG legt fest: Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Zu verpflichten ist, wer im Unternehmen mit personenbezogenen Daten arbeitet, z. B. Führungskräfte, Mitarbeiter, Azubis, Praktikanten. Verpflichtung auf das Datengeheimnis muss bei Tätigkeitsaufnahme erfolgen, idealerweise schriftlich. Datengeheimnis gilt nicht nur während des Beschäftigungsverhältnisses, sondern auch danach! IHK Schwarzwald-Baar-Heuberg 44

14 Technisch-organisatorische Schutzmaßnahmen Vorgaben aus 9 BDSG Unternehmen, die für sich selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, damit die Einhaltung des BDSG gewährleistet wird. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Welche Zielrichtung die Maßnahmen haben müssen, ergibt sich aus der Anlage zu 9 Satz 1 BDSG IHK Schwarzwald-Baar-Heuberg 66

15 Technisch-organisatorische Schutzmaßnahmen Übersicht: Satz 2 der Anlage zu 9 Satz 1 BDSG Nr. 1: Zutrittskontrolle Nr. 2: Zugangskontrolle Nr. 3: Zugriffskontrolle Nr. 4: Weitergabekontrolle Nr. 5: Eingabekontrolle Nr. 6: Auftragskontrolle Nr. 7: Verfügbarkeitskontrolle Nr. 8: Datentrennung IHK Schwarzwald-Baar-Heuberg 67

16 Datenverarbeitung durch Externe Grundprinzip Auftragsdatenverarbeitung Personenbezogene Daten muss ein Unternehmen nicht selbst erheben, verarbeiten oder nutzen; es kann sich eines Dienstleisters im Wege der Auftragsdatenverarbeitung bedienen. Unternehmen bleibt für das Erheben, Verarbeiten und Nutzen verantwortlich, auch wenn dies durch einen Dienstleister erfolgt (Dienstleister ist quasi ausgelagerte Abteilung). Unternehmen muss dem Dienstleister Vorgaben (Weisungen) machen, wie mit den personenbezogenen Daten umzugehen ist IHK Schwarzwald-Baar-Heuberg 77

17 Datenverarbeitung durch Externe Unternehmen muss eine schriftliche Vereinbarung mit dem Dienstleister treffen; Inhalt der Vereinbarung ist durch Gesetzgeber vorgegeben ( 11 Abs. 2 BDSG). Auch bei Wartungsarbeiten durch Dienstleister ist eine schriftliche Vereinbarung erforderlich, wenn der Zugriff auf personenbezogene Daten nicht auszuschließen ist ( 11 Abs. 5 BDSG). Unternehmen muss den Dienstleister vorab und dann regelmäßig kontrollieren (z. B. Vor-Ort-Kontrolle, Fragebogen, Zertifizierung) IHK Schwarzwald-Baar-Heuberg 78

18 Datenverarbeitung durch Externe 3 Tipps in Sachen Auftragsdatenverarbeitung Datenschutzbeauftragten rechtzeitig involvieren Unter Umständen ist gar kein Fall der Auftragsdatenverarbeitung gegeben. (Was dann?) Gegebenenfalls sind weitere Rahmenbedingungen zu berücksichtigen (z. B. Dienstleister im EU-Ausland). Dienstleister nicht nur unter Kostenaspekten auswählen Datenschutz beim Dienstleister spielt große Rolle. Nicht ohne schriftliche Vereinbarung mit der Datenverarbeitung durch den Dienstleister beginnen nachträgliche Vertragsverhandlungen oft schwierig IHK Schwarzwald-Baar-Heuberg 79

19 Verantwortung in Sachen Datenschutz IHK Schwarzwald-Baar-Heuberg 94

20 Verantwortung in Sachen Datenschutz Verantwortung des Unternehmens Das Unternehmen gilt als so genannte verantwortliche Stelle und ist damit für die Einhaltung der Bestimmungen über den Datenschutz verantwortlich. Unternehmen wird durch die Geschäftsleitung vertreten. (-> Haftung) Datenschutzbeauftragter trifft keine Datenschutzverantwortung; er wirkt darauf hin, dass das Unternehmen datenschutzkonform arbeitet. Unternehmen bleibt auch dann verantwortlich, wenn es Dienstleister mit der Verarbeitung von Daten beauftragt IHK Schwarzwald-Baar-Heuberg 95

21 Verantwortung in Sachen Datenschutz Arbeitnehmerhaftung bei Datenschutzverstößen Zwar sind Beschäftigte Bestandteil der verantwortlichen Stelle, dennoch trägt jeder Beschäftigte Verantwortung im Rahmen der so genannten Arbeitnehmerhaftung. Haftungsgrundsätze im Hinblick auf Schadensersatz: Vorsatz und grobe Fahrlässigkeit: volle Haftung mittlere Fahrlässigkeit: anteilige Haftung leichte Fahrlässigkeit: keine Haftung Wichtig: der Arbeitnehmer muss in Sachen Datenschutz nachweisbar unterwiesen sein! IHK Schwarzwald-Baar-Heuberg 96

22 Verantwortung in Sachen Datenschutz Denkbare Folgen für Arbeitnehmer Arbeitsrechtlich: Abmahnung, (fristlose) Kündigung, Schadensersatzpflicht gegenüber Arbeitgeber Zivilrechtlich: Schadensersatzpflicht gegenüber einer geschädigten Person Beispiel: Ein Mitarbeiter verbreitet nicht stimmende Informationen über Zahlungsschwierigkeiten eines Kunden; der gute Ruf des Kunden wird beschädigt, der Kunde wird insolvent. Strafrechtlich: Geld- oder Freiheitsstrafe Und wenn der Arbeitnehmer unwissend war? Dann haftet der GF IHK Schwarzwald-Baar-Heuberg 97

23 Datenschutzbeauftragter Erforderlichkeit eines Datenschutzbeauftragten (DSB) Sobald in einem Unternehmen mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss das Unternehmen einen DSB bestellen. Bei nichtautomatisierter Verarbeitung besteht die Pflicht ab 20 Personen. Bestellpflicht gilt auch ohne Personengrenze, z. B. wenn es Verarbeitungen gibt, die von einem DSB vorab geprüft werden müssen, das Unternehmen etwa als Auskunftei tätig ist IHK Schwarzwald-Baar-Heuberg 99

24 Datenschutzverstöße Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Unternehmen stellt fest, dass z. B. Gesundheitsdaten oder personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder Dritten auf sonstige Weise zur Kenntnis gelangt sind und es drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen. Folge: Weitreichende Informationspflichten nach 42a BDSG für das Unternehmen! IHK Schwarzwald-Baar-Heuberg 108

25 Datenschutzverstöße Pflichten des Unternehmens im Falle von 42a BDSG Umfassende und unverzügliche Information der zuständigen Datenschutzaufsichtsbehörde Betroffene müssen unverzüglich informiert werden über Hergang der unrechtmäßigen Kenntniserlangung, Empfehlung zur Minderung möglicher nachteiliger Folgen, Eventuell Information der Öffentlichkeit über halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen Angemessene Maßnahmen zur Sicherung der Daten müssen getroffen werden IHK Schwarzwald-Baar-Heuberg 109

26 Datenschutzverstöße Wichtig für jeden Mitarbeiter Besteht der Verdacht auf einen Datenschutzverstoß, sollte unverzüglich der Vorgesetzte und der Datenschutzbeauftragte informiert werden. Keine Zeit verlieren, wenn insbesondere folgende Daten unbefugt übermittelt oder Dritten zur Kenntnis gelangt sind: besondere Arten personenbezogener Daten nach 3 Abs. 9 BDSG (z. B. Gesundheitsdaten) personenbezogene Daten, die einem Berufsgeheimnis unterliegen personenbezogene Daten zu Bank-/Kreditkartenkonten IHK Schwarzwald-Baar-Heuberg 110

27 Datenschutzverstöße Verstoß gegen Anforderungen des BDSG Was geahndet werden kann, ergibt sich aus Bußgeld- und Strafvorschriften, z. B. aus 43, 44 BDSG. Beispiele für Verstöße, die zu einem Bußgeld von bis zu Euro führen können: Vereinbarung zur Auftragsdatenverarbeitung nicht mit Dienstleister geschlossen obwohl erforderlich, kein Datenschutzbeauftragter für das Unternehmen bestellt Einem Betroffenen wird das ihm zustehende Auskunftsrecht ( 34 BDSG) verweigert IHK Schwarzwald-Baar-Heuberg 111

28 Datenschutzverstöße Beispiele für Verstöße, die zu einem Bußgeld von bis zu Euro führen können: unbefugtes Erheben, Verarbeiten oder Nutzen personenbezogener Daten, die nicht aus allgemein zugänglichen Quellen stammen Missachtung der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ( 42a BDSG) Wichtig: Bußgeldgrenzen können auch überschritten werden, denn die Bußgeldhöhe soll einen wirtschaftlichen Vorteil aus dem begangenen Verstoß übersteigen IHK Schwarzwald-Baar-Heuberg 112

29 Datenschutzverstöße Verstöße können auch außerhalb des BDSG geahndet werden Beispiel Strafrecht Ein Mitarbeiter kopiert die Kundendatenbank, um seine Lebenspartnerin beim Start in die Selbstständigkeit zu unterstützen (Diebstahl, 242 StGB; Verrat von Geschäftsund Betriebsgeheimnissen, 17 UWG) Beispiel Zivilrecht Eine Frau mobbt ihre Kollegin durch die Veröffentlichung von heimlich gemachten Fotos und übler Kommentare im Internet (unerlaubte Handlung, 823 BGB) IHK Schwarzwald-Baar-Heuberg 113

30 Teil 2 Datenschutz und Social Media IHK Schwarzwald-Baar-Heuberg 114

31 Datenschutz und Social Media Was ist Social Media im engeren Sinn? - Soziale Netzwerke (facebook, LinkedIn, XING,.). und im weiteren Sinn? - Web-Mailingdienste (gmx, web.de, Gmail, u.v.a.) - Chatdienste (ICQ, Skype,.) - Storagedienste (Dropbox, OneDrive,.) Kennzeichen: Es sind Cloud-Dienste IHK Schwarzwald-Baar-Heuberg Folie 115

32 Datenschutz und Social Media Cloud-Dienste, die kommerziell genutzt werden, und bei denen personenbezogene Daten verarbeitet werden, sind IHK Schwarzwald-Baar-Heuberg Folie 116

33 Datenschutz und Social Media Cloud-Dienste, die kommerziell genutzt werden, und bei denen personenbezogene Daten verarbeitet werden, sind. Auftragsdatenverarbeiter nach 11 BDSG oder? IHK Schwarzwald-Baar-Heuberg Folie 117

34 Datenschutz und Social Media Cloud-Dienste, die kommerziell genutzt werden, und bei denen personenbezogene Daten verarbeitet werden, sind. Auftragsdatenverarbeiter nach 11 BDSG oder Dritte im Sinne des BDSG IHK Schwarzwald-Baar-Heuberg Folie 118

35 Datenschutz und Social Media Auftragsdatenverarbeiter (ADV) nach 11 BDSG müssen vertraglich beauftragt, ja angewiesen werden. Der ADV muss geprüft werden und technisch organisatorische Maßnahmen nachweislich einhalten. ( 9 BDSG und Anlage hierzu) (Fragen Sie Ihren Anbieter, ob er mit Ihnen einen solchen Vertrag schließt!) IHK Schwarzwald-Baar-Heuberg Folie 119

36 Datenschutz und Social Media Dritte im Sinne des BDSG bekommen Daten von Ihnen übermittelt. Siehe dazu: BDSG 4b: Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen BDSG 28: Datenerhebung und -speicherung für eigene Geschäftszwecke, bes. Abs. (5) zum Zweck der Übermittlung Diese Kriterien sind auch zutreffend für die sog. Funktionsübertragung, die es im BDSG gar nicht gibt, sondern die eine Interpretation des BDSG darstellt IHK Schwarzwald-Baar-Heuberg Folie 120

37 Datenschutz und Social Media Soweit das juristische. Risiken von Social Media für Betroffene und Unternehmen: - (p)d geraten unberechtigt an die Öffentlichkeit oder in falsche Hände - Reputationsverlust für Betroffene und Unternehmen - Strafbestimmungen des BDSG u. anderer Gesetze - Haftungsrisiko / Schadenersatzansprüche - Vertrauensverlust bei Kunden und Partnern - resultierender Kunden- und Umsatzverlust - Insolvenz IHK Schwarzwald-Baar-Heuberg Folie 121

38 Datenschutz und Social Media Problem: in sozialen Netzwerken verschwimmen die Grenzen zwischen geschäftlicher und privater Nutzung. - zeitlich (wann bin ich privat im Netz, wann geschäftlich?) - inhaltlich (ich berichte an Freunde, was ich gerade tue oder wie dies und jenes gewesen ist.) - personell (Kollegen sind oft auch Freunde ) IHK Schwarzwald-Baar-Heuberg Folie 122

39 Datenschutz und Social Media Maßnahmen zum konformen Umgang mit personenbezogenen Daten: 1.) technische Maßnahmen - Firewall Filter, Sperrung von Websites, Logging, - Applikationskontrolle (Anwender dürfen nur bestimmte Programme starten) - Umsetzung der gängigen Sicherheitsstandards (Patches, Antivirus,. - Beschränkung der Benutzerzahl mit Internetzugriff - Contentfilter ( , Webzugriff) Problem: Hoher Aufwand (80/20 Regel) IHK Schwarzwald-Baar-Heuberg Folie 123

40 Datenschutz und Social Media Maßnahmen zum konformen Umgang mit personenbezogenen Daten: 2.) organisatorische Maßnahmen - Richtlinie / Betriebsvereinbarung zur Nutzung der IT-Infrastruktur - Datenschutzrichtlinie / BV - Internet-/ Richtlinie / BV - Social Media zur Chefsache machen (Zuständigkeiten definieren: posten im Web darf nur das GF-Sekretariat oder das Marketing, oder. ) - Schulungen (z.b. vor der Verpflichtung auf das Datengeheimnis) IHK Schwarzwald-Baar-Heuberg Folie 124

41 Datenschutz und Social Media Maßnahmen zum konformen Umgang mit personenbezogenen Daten: - Kontrollieren Sie die Einhaltung der Maßnahmen - Dokumentieren Sie die getroffenen Maßnahmen - Dokumentieren Sie Schulungen (Teilnehmer und Inhalte) - Kommunizieren Sie das Warum und motivieren Sie die Mitarbeiter - Schaffen Sie so Verständnis für technische Maßnahmen Alle sitzen im gleichen Boot. Gespräch fördert die Motivation. Machen Sie alle zu Verbündeten für Ihre Ziele auch in Sachen Datenschutz! Nehmen Sie ggfs professionelle Hilfe in Anspruch IHK Schwarzwald-Baar-Heuberg Folie 125

42 Teil 3 Datenschutz und Mobile Computing IHK Schwarzwald-Baar-Heuberg 126

43 Datenschutz und Mobile Computing Was ist Mobile Computing im engeren Sinn? - Notebooks - Smartphones. und im weiteren Sinn? - Diskette, CD, DVD - USB-Stick, USB-Festplatte - Storage- und Cloud-Dienste (Dropbox, OneDrive,.) - Home Office IHK Schwarzwald-Baar-Heuberg Folie 127

44 Datenschutz und Mobile Computing Daten auf Wanderschaft. - Adressbücher - s - Besprechungsergebnisse -.. Jede Menge personenbezogener Daten und möglicherweise auch Betriebsgeheimnisse IHK Schwarzwald-Baar-Heuberg Folie 128

45 Datenschutz und Mobile Computing Wer kontrolliert den Inhalt und die Verbreitung? Wie schnell werden Daten übermittelt und an wen? (Smartphone-Synchronisation in der Cloud u.a.) IHK Schwarzwald-Baar-Heuberg Folie 129

46 Datenschutz und Mobile Computing Übrigens: Cloud-Dienste, die kommerziell genutzt werden, und bei denen personenbezogene Daten verarbeitet werden, sind Auftragsdatenverarbeiter nach 11 BDSG oder Dritte im Sinne des BDSG IHK Schwarzwald-Baar-Heuberg Folie 130

47 Datenschutz und Mobile Computing Auftragsdatenverarbeiter (ADV) nach 11 BDSG.. Dritte und Übermittlung zu diesen nach 28 BDSG. (siehe oben) IHK Schwarzwald-Baar-Heuberg Folie 131

48 Datenschutz und Mobile Computing Soweit das juristische. Risiken von Mobile Computing für Betroffene und Unternehmen: - (p)d geraten unberechtigt an die Öffentlichkeit oder in falsche Hände - Reputationsverlust für Betroffene und Unternehmen - Strafbestimmungen des BDSG u. anderer Gesetze - Haftungsrisiko / Schadenersatzansprüche - Vertrauensverlust bei Kunden und Partnern - resultierender Kunden- und Umsatzverlust - Insolvenz IHK Schwarzwald-Baar-Heuberg Folie 132

49 Datenschutz und Mobile Computing Problem: auf so manchen mobilen Geräten verschwimmt die Grenzen zwischen geschäftlicher und privater Nutzung. - zeitlich (wann bin ich privat im Netz, wann geschäftlich?) - inhaltlich (Adressbücher, Fotos, Terminkalender ) - personell (Das Notebook oder der Home-Office PC wird auch privat oder gar noch von Familienmitgliedern genutzt.) - Spezialproblem BYOD (wer hat die Kontrolle?) IHK Schwarzwald-Baar-Heuberg Folie 133

50 Datenschutz und Mobile Computing Maßnahmen zum konformen Umgang mit personenbezogenen Daten: 1.) technische Maßnahmen - Trennung von privaten und geschäftlichen Bereichen auf Mobilgeräten (Bsp: BlackBerry) oder getrennte Geräte - Verschlüsselung und Zugriffssteuerung auf Speichermedien (BitLocker u.a.) - Verzicht auf magnetische und optische Laufwerke oder Steuerung durch technische Richtlinien (DriveLock) - Risikominimierung durch NAP (Network Access Protection) - Remote Wipe bei Verlust Problem: Hoher Aufwand (80/20 Regel) IHK Schwarzwald-Baar-Heuberg Folie 134

51 Datenschutz und Mobile Computing Maßnahmen zum konformen Umgang mit personenbezogenen Daten: 2.) organisatorische Maßnahmen - Richtlinie / Betriebsvereinbarung zur Nutzung mobiler Geräte - Datenschutzrichtlinie / BV - Internet-/ Richtlinie / BV - Verwendung beschränken auf wirklich bedürftige Personen - Schulungen (z.b. vor der Verpflichtung auf das Datengeheimnis) IHK Schwarzwald-Baar-Heuberg Folie 135

52 Datenschutz und Mobile Computing Maßnahmen zum konformen Umgang mit personenbezogenen Daten: - Kontrollieren Sie die Einhaltung der Maßnahmen - Dokumentieren Sie die getroffenen Maßnahmen - Dokumentieren Sie Schulungen (Teilnehmer und Inhalte) - Kommunizieren Sie das Warum und motivieren Sie die Mitarbeiter - Schaffen Sie so Verständnis für technische Maßnahmen Alle sitzen im gleichen Boot. Gespräch fördert die Motivation. Machen Sie alle zu Verbündeten für Ihre Ziele auch in Sachen Datenschutz! Nehmen Sie ggfs professionelle Hilfe in Anspruch IHK Schwarzwald-Baar-Heuberg Folie 136

53 Bitte: nicht alles verbieten. Wichtig ist, bei allen verbotenen Dingen, die die Mitarbeiter tun, nachzufragen, welche Bedürfnisse dahinter stehen. Wenn eine Firma einfach möglichst viel verbietet, machen sich oft Mitarbeiter IT-seitig selbstständig und suchen nach schnellen Lösungen. Diese werden dann ohne Wissen der IT und des GF benutzt. Beispiele: Webmailer, Dropbox, OneDrive, Nutzung eigener Geräte und privater Konten. Es entsteht eine sog. Schatten-IT, die niemand wirklich im Griff hat. Liebe Mitarbeiter: fragt in der IT, wie welche Dinge zu lösen sind. Liebe IT: bietet Lösungen an. Aber bitte alles legal und konform IHK Schwarzwald-Baar-Heuberg Folie 137

54 Teil 4 Neues aus dem Datenschutz IHK Schwarzwald-Baar-Heuberg 138

55 PRESSEMITTEILUNG (Land BW) 14. Februar 2014 Datenschutzverstöße bei Internetauftritten von badenwürttembergischen Firmen festgestellt Daten sammeln liegt im Trend. Auch Internetseitenbetreiber in Baden-Württemberg sind daran interessiert, mehr über ihre Nutzer zu erfahren. Für eine solche Datenverkehrsanalyse von Internetangeboten werden von verschiedenen Unternehmen Lösungen angeboten. Eine davon ist die kostenlose Software Google Analytics. Das Tool kann unter anderem den ungefähren Standort des PCs, die Besuchsdauer und -häufigkeit, die besuchten Bereiche einer Website, der verwendete Browser und das Betriebssystem erfassen, selbst wenn Monate dazwischen liegen... Scanning der Websites von Firmen in BW IHK Schwarzwald-Baar-Heuberg Folie 139

56 Scanning der Websites von Firmen in BW.. Ob der Einsatz dieser Software datenschutzrechtlich korrekt erfolgt, haben nun Mitarbeiter des Landesbeauftragten für den Datenschutz, Jörg Klingbeil, überprüft. Mit einer eigens dafür erstellten Prüfplattform wurden in den letzten Wochen insgesamt Internetseiten untersucht, von denen Google Analytics zur Beobachtung des Nutzerverhaltens einsetzten. Bei rund 65 Prozent dieser Webseiten wurden Mängel bei der Umsetzung der datenschutzrechtlichen Vorgaben ermittelt IHK Schwarzwald-Baar-Heuberg Folie 140

57 Kommendes EU-Recht. Nicht darauf warten! Die EU-DS-GVO ist ziemlich tot.bis auf Weiteres 07/06/2013 von Stephan Hansen-Oest (Quelle): Während ich mich hier gerade auf Mallorca befinde, hat der EU- Ministerrat gestern am zur Europäischen Datenschutz- Grundverordnung (EU-DS-GVO) getagt. Und wie den Presseberichten zu entnehmen ist, konnte dort alles andere als Einigkeit erzielt werden. So möchte z.b. Österreich keiner Verwässerung des Datenschutzes zustimmen. England und Deutschland haben nach Presseberichten auch Vorbehalte, so dass das Thema EU-DS- GVO und damit eine Vollharmoniserung des Datenschutzes in der Europa zunächst erst einmal auf die lange Bank geschoben wird. So zumindest wohl der Eindruck der Presse IHK Schwarzwald-Baar-Heuberg Folie 141

58 Vorsicht bei Löschanfragen / Auskunftsersuchen Ein Kunde von mir erhielt eine Löschanfrage für pd eines Webshop-Users (private Mailadresse). 1. Problem: es wurde schon etwas gekauft -> Aufbewahrungspflichten beachten! 2. Problem : bei der Privatperson handelte es sich bei genauerem Betrachten um eine Rechtsanwältin! -> Auskunftsersuchen und Löschanfragen sind mit großer Sorgfalt und in einem angemessenen Zeitraum (max 14 Tage) zu beantworten! Tipp: definieren Sie einen Prozess, in dem die Beantwortung derartiger Anfragen geregelt ist IHK Schwarzwald-Baar-Heuberg Folie 142

59 Zum guten Schluss. Haben Sie Fragen? Welche Themen interessieren Sie in diesem Zusammenhang noch? (Cloud, MS-Cloud,.) IHK Schwarzwald-Baar-Heuberg Folie 143

60 Kontaktdaten: Michael Meyer IT-Berater und Dozent Datenschutzbeauftragter (IHK) Tel Mobil Vielen Dank für Ihre Aufmerksamkeit! IHK Schwarzwald-Baar-Heuberg 144