Infotag DiAG-MAV A Datenschutz

Transkript

1 Infotag DiAG-MAV A Datenschutz Ludwigshafen am Freiburg am Referent Johannes Ries Betrieblicher Datenschutzbeauftragter (TÜV) Erzbischöfliches Ordinariat Freiburg und weitere Einrichtungen datenschutz@ordinariat-freiburg.de 1 1

2 Agenda Datenschutz Einführung Beschäftigte und Datenschutz Dienstgeber und Datenschutz Der betriebliche Datenschutzbeauftragte Mitarbeitervertretung und Datenschutz Social Media am Beispiel WhatsApp 2 Agenda Datenschutz Einführung Rechtliche Grundlagen 3 2

3 Datenschutz Einführung Rechtliche Grundlagen Art. 1 Abs. 1 GG: (Schutz der Menschenwürde) 2 BDSG -Öffentliche Stellen Bund/ Länder - Privatwirtschaft Art. 2 Abs. 1 GG: (Persönliche Freiheitsrechte) - Keine kirchlichen Einrichtungen! Bundesdatenschutzgesetz BDSG: Persönlichkeitsrecht (1977) Volkszählungsurteil BVerfGE: Recht auf informationelle Selbstbestimmung (1983) 4 Datenschutz Einführung Rechtliche Grundlagen Besonderer Schutz der Kirchen im Grundgesetz verankert Grundgesetz für die Bundesrepublik Deutschland Art 140 Die Bestimmungen der Artikel 136, 137, 138, 139 und 141 der deutschen Reichsverfassung vom 11. August 1919 sind Bestandteil dieses Grundgesetzes. Weimarer Reichsverfassung 1919 Art Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. 5 3

4 Datenschutz Einführung Rechtliche Grundlagen Codex Iuris Canonici / 1983 (Papst Johannes Paul II) BUCH II VOLK GOTTES TITEL I PFLICHTEN UND RECHTE ALLER GLÄUBIGEN Can. 220 Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen. Can Der kirchlichen Autorität steht es zu, im Hinblick auf das Gemeinwohl die Ausübung der Rechte, die den Gläubigen eigen sind, zu regeln. Deutsche Bischofskonferenz (Rechtskommisson), Arbeitsgruppe Datenschutz und Melderecht Anordnung über den kirchlichen Datenschutz (KDO) 6 Datenschutz Einführung - Rechtliche Grundlagen EU-weit EU-Datenschutzrichtlinie (1995) EU-DSGVO ab Mai 2018 Bundesebene BDSG (ABDSG ab 2018) SGB I, V, X KunstUrhG Landesebene LDSG Krankenhausdatenschutzgesetze Sonstige Kirchenrecht (KDO, DSG-EKD) Berufsordnung 7 4

5 Datenschutz Einführung - Rechtliche Grundlagen SGB VII 199 SGB VII Erhebung, Verarbeitung und Nutzung von Daten durch die Unfallversicherungsträger (1) Die Unfallversicherungsträger dürfen Sozialdaten nur erheben und speichern, soweit dies zur Erfüllung ihrer gesetzlich vorgeschriebenen oder zugelassenen Aufgaben erforderlich ist. 200 SGB VII Einschränkung der Übermittlungsbefugnis U.a. Widerspruchsrecht für den Betroffenen 202 Anzeigepflicht von Ärzten bei Berufskrankheiten Meldepflicht für bestimmte Berufskrankheiten SGB X Sozialdatenschutz 69 (4): Übermittlung von Krankheitsdaten von Krankenkassen an Arbeitgeber. 8 Datenschutz Einführung - Rechtliche Grundlagen TMG KunstUrhG SGB KDO u.a. StGB.. Richtlinien Dienstvereinbarungen Anweisungen 9 5

6 Agenda Datenschutz Einführung Rechtliche Grundlagen Datenschutzgrundlagen 11 Datenschutzgrundlagen TOM s ISO/IEC BSI-Grundschutz KDO u.a. Gesetze Nicht Personenbezogene Daten T O M * Personenbezogene Daten Informationssysteme z.b. Prozessdokumentation, Erzbischöfliches Archiv, Kirchsteuerdaten, Buchhaltung Datenschutz z.b. Beschäftigte, Gemeindemitglieder, Meldedaten *TOM= Technische und organisatorische Maßnahmen 12 6

7 Datenschutzgrundlagen TOM s ISO/IEC BSI-Grundschutz Beispiele für personenbezogene Daten: - Name, Geburtstag, Adresse - Konto-Nr. (1)- Kfz-Kennz. Personenbezogene Daten Nicht sind Einzelangaben - Aussehen über persönliche oder sachliche Ver-hältnisse - Gangeiner bestimmten oder Bestimm- O Personenbezogene (Betroffener). M baren natürlichen Person Daten * Aber auch: -IP-Adresse -Angaben zu Gehaltszahlungen - Arbeitszeiterfassung Informationssysteme z.b. Prozessdokumentation, Erzbischöfliches Archiv, Kirchsteuerdaten, Buchhaltung Personenbezogene Daten Datenschutz z.b. Beschäftigte, Gemeindemitglieder, Meldedaten *TOM= Technische und organisatorische Maßnahmen KDO u.a. Gesetze 13 Technische und organisatorische Maßnahmen 6 KDO Zutrittskontrolle Schliessanlage, Alarmanlage u.a. Zugangskontrolle Passwort-Richtlinie (30 Tage, 8 Zeichen, Gr-, Kl, Sonder, eine Ziffer, letzten 10 Passworte) Zugriffskontrolle Berechtigungskonzept Weitergabekontrolle Geschützte Verbindung zwischen Ordinariat, Rechnenzentrum und VST (VPN) Eingabekontrolle Protokollierung Auftragskontrolle Vertragsgestaltung bei Auftragsdatenverarbeitung (ADV), Kontrollen Verfügbarkeitskontrolle Datensicherung, Virenschutz, Firewall usw. Trennungskontrolle Mandantenprinzip 14 7

8 Datenschutzgrundlagen Um was geht es? Datensicherheit Aufbewahrung Datenverlust Löschung Zweckgebunden Berechtigungen Schutz gg unbefugte Kenntnisnahme Auskunftspflicht Betroffenenrecht 15 Datenschutzgrundlagen - Grundprinzipien Zweckbindung Erforderlichkeit Verbot unter Erlaubnisvorbehalt Transparenz Direkterhebung Datenvermeidung Datensparsamkeit 16 8

9 Verbotsvermutung unter Erlaubnisvorbehalt Geplante Verarbeitung personenbezogener Daten KDO, KDO-DVO u.a. Dienstgeber/ MAV: Richtlinien, Geschäftsanordnungen, Dienstvereinbarungen ( 9 Abs. 1 KDO) Betroffene: Einwilligung ( 3 Abs. 2 KDO) Erlaubnistatbestand 17 Datenschutzgrundlagen Wer ist Betroffener? 2 KDO Jeder z.b. Kirchenmitglieder, Schüler, Patienten etc. Kirchl. Einrichtungen/ Dienstgeber Datenschutzbeauftragter ( KDO) Dienstnehmer Beschäftigtendatenschutz, MAVO 18 9

10 Agenda Datenschutz Einführung Beschäftigte und Datenschutz 19 Aufenthaltsort: Smartphone, Tablet, Notebook, Anmeldung W-LAN Netz (Hotel) Kaufverhalten: Kreditkarten, Onlineshops, Rabattkarten Nutzungsverhalten: Internet, Telefonie, Fitness Tracker Soziale Kontakte: Facebook, WhatsApp.. Gesundheitsdaten: Gesundheitskarte, Berichte, Überweisungen Zahlungsverhalten: Schufa Videoüberwachung 20 10

11 Beschäftigte und Datenschutz Wo kommen Sie im Büro mit Datenschutz in Berührung? Internet und Schließanlage Nutzung DV-Systeme. Informationssicherheit Papierentsorgung Dienstvereinbarungen 21 Beschäftigte und Datenschutz Rechte Auskunft 13 KDO Widerspruch 14 Abs. 5 KDO Betroffenenrechte Sperrung 14 Abs. 3 KDO Löschung 14 Abs. 2 KDO 22 11

12 2 Abs. 12 KDO: Beschäftigte sind insbesondere 1. Kleriker, Kandidaten für das Priesteramt oder in einem kirchlichen Beamtenverhältnis stehende Personen, 4. zu ihrer Berufsbildung tätige Personen mit Ausnahme der Postulanten und Novizen, 7. nach dem Bundesfreiwilligendienstge setz oder in vergleichbaren Diensten tätige Personen, 2. Ordensangehörige, soweit sie auf einer Planstelle in einer Einrichtung der eigenen Ordensgemeinschaft oder aufgrund eines Gestellungsvertrages tätig sind, 5. Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobungen (Rehabilitationen), 8. Personen, die wg ihrer wirtschaftl. Unselbstständigkeit als arbeitnehmerähnl. Personen anzusehen sind; u.a. die in Heimarbeit Beschäftigten u. die ihnen Gleichgestellten, 3. in einem Arbeitsverhältnis stehende Personen, 6. in anerkannten Werkstätten für behinderte Menschen tätige Personen, 9. sich für ein Beschäftigungsverhältni s Bewerbende sowie Personen, deren Beschäftigungsverhältni s beendet ist. 23 Agenda Datenschutz Einführung Beschäftigte und Datenschutz Dienstgeber und Datenschutz 24 12

13 Dienstgeber und Datenschutz Rechtskonformität Mindestanforderungen der KDO: - Bestellung DSB - 4 KDO Datengeheimnis - Schulungen - Verfahrensverzeichnis - Auftragsdatenvereinbarung - Vorabkontrolle Weitere Gesetze Prozess für Vorabkontrolle Verfahrensprüfungen Einverständniserklärungen ADV-Vereinbarungen prüfen Umsetzen Richtlinien/ Dienstvereinbarungen Risikoherde vermeiden (Cyber- Crime, WhatsApp etc.) 25 Dienstgeber und Datenschutz Grobe Fahrlässigkeit vermeiden Risiko Schadensersatz Versicherungsschutz Meinungsbild in der Öffentlichkeit Maßnahmen Prozesse einrichten Vorabkontrolle Auskunftsrecht Datenschutzvorfall ADV-Vereinbarungen Interne Prüfungen (TOM) Arbeitsvertrag 26 13

14 Dienstgeber und Datenschutz Beispiel für grobe Fahrlässigkeit Versenden von offenem Mailverteiler (An-Feld) (BayLDA 2013) 9,5 von 10 Seiten enthielten Adressdaten Verschulden der Mitarbeiter Bußgeld verhängt durch die Landesbehörde Was ist das Problem? -Adressen personenbezogenen Daten im Sinne des 2 Abs. 1 KDO Daten übermittelt nur bei Einwilligung oder einer gesetzlicher Grundlage 11, 12 Abs. 1 KDO Einwilligung der Adressinhaber erforderlich! Ohne Einwilligung datenschutzrechtlich unzulässig 27 Dienstgeber und Datenschutz Warum Datenschutz? Einhaltung rechtlicher Vorschriften Image/ Öffentlichkeit Wirtschaftlichkeit 28 14

15 Agenda Datenschutz Einführung Beschäftigte und Datenschutz Dienstgeber und Datenschutz Der betriebliche Datenschutzbeauftragte 29 Die Datenschutzbeauftragten in der KDO Bestellung durch den Erzbischof 18 KDO Der Diözesandatenschutz- beauftragte wacht über die Einhaltung der Vorschriften der KDO und anderer Vorschriften über den Datenschutz. Er kann Empfehlungen zur Verbesserung des Datenschutzes geben. Des Weiteren kann er die bischöfliche Behörde und sonstige kirchliche Dienststellen in seinem Bereich in Fragen des Datenschutzes beraten. Zusammenarbeit überdiözesan Zusammenarbeit mit staatlichen Stellen (Aufsichtsbehörde) Bestellung durch den Leiter der kirchlichen Stelle 21 Abs. 1 KDO: Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung dieser Ordnung und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann er sich in Zweifelsfällen an den Diözesandatenschutzbeauftragten gemäß 16 KDO wenden. 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; 2. die bei der Verarbeitung personenbezogener Daten.. mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Abs. 3: Zur Verfügung stellen des Jedermann-Verzeichnisses 30 15

16 Das Datenschutzprojekt IST-Analyse und Projekt Ist- Analyse Projekt Aufnahme der Organisation Begehung IT, Technische und Organisatorische Maßnahmen, Verträge Aufnahme der Verarbeitungen personenbezogener Daten in Abstimmung mit den Fachbereichen Dienstleister, Auftragsdatenverarbeitung Stand Schulungen, Verpflichtung der Mitarbeiter (Datengeheimnis, Sozialgeheimnis, Fernmeldegeheimnis) Verfahrensverzeichnis ( 3 a KDO) Auftragsdatenverarbeitung ( 8 KDO) Schulungskonzept (Basisschulung, Schulung für spezifische Bereiche) Richtlinien und Prozesse erstellen Betrieb Audits, Vorabkontrolle, Führen des Verfahrensverzeichnisses ( 21 Abs.1 Nr.1 und Abs. 2 KDO) Schulungen ( 21 Abs.1 Nr.2 KDO) Beratung, Stellungnahmen, Projekte ( 21 Abs.1) Jahresbericht * Quelle 31 Agenda Datenschutz Einführung Beschäftigte und Datenschutz Dienstgeber und Datenschutz Der betriebliche Datenschutzbeauftragte Mitarbeitervertretung und Datenschutz 34 16

17 MITARBEITERVERTRETUNG Mitarbeitervertretungen (MAV) sind betriebliche Interessenvertretungen nach kirchlichem Arbeitsrecht MAVO regelt die Befugnisse der MAV 26 MAVO Allgemeine Aufgaben der Mitarbeitervertretung (1) Der Dienst in der Kirche verpflichtet Dienstgeber und Mitarbeitervertretung in besonderer Weise, vertrauensvoll zusammenzuarbeiten und sich bei der Erfüllung der Aufgaben gegenseitig zu unterstützen. Dienstgeber und Mitarbeitervertretung haben darauf zu achten, dass alle Mitarbeiterinnen und Mitarbeiter nach Recht und Billigkeit behandelt werden. In ihrer Mitverantwortung für die Aufgabe der Einrichtung soll auch die Mitarbeitervertretung bei den Mitarbeiterinnen und Mitarbeitern das Verständnis für den Auftrag der Kirche stärken und für eine gute Zusammenarbeit innerhalb der Dienstgemeinschaft eintreten. 35 MITARBEITERVERTRETUNG Wo kommen Sie in der MAV mit Datenschutz in Berührung? Einstellungsverfahren Gesundheitliche Untersuchungen Zeiterfassungssysteme Videoüberwachung Telefon, und Internet Sozialplan Dienstvereinbarungen.. Johannes Ries - Der Datenschutzbeauftragte für das Erzbischöfliche Ordinariat Freiburg

18 MITARBEITERVERTRETUNG 36 MAVO Zustimmung bei Angelegenheiten der Dienststelle (1) Die Entscheidung bei folgenden Angelegenheiten der Dienststelle bedarf der Zustimmung der Mitarbeitervertretung, soweit nicht eine kirchliche Arbeitsvertragsordnung oder sonstige Rechtsnorm Anwendung findet: 9. Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Mitarbeiterinnen und Mitarbeiter zu überwachen, 38 MAVO Dienstvereinbarungen (1) Dienstvereinbarungen sind in folgenden Angelegenheiten zulässig: 11. Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Mitarbeiterinnen und Mitarbeiter zu überwachen, Die Einführung und Anwendung technischer Einrichtungen, die zur Überwachung des Verhaltens von Mitarbeitern geeignet sind, ist zustimmungspflichtig. Eine Dienstvereinbarung kann erstellt werden. Rechtsgrundlage nach 3 Abs. 1 KDO. 37 MITARBEITERVERTRETUNG MAV Zustimmungspflicht ( 36 MAVO) Dienstvereinbarungen ( 38 MAVO) Datenschutzbeauftragter Datenschutzrechtliche Bewertung (Einhaltung KDO) Ansprechpartner für geplante Verfahren Informationsrechte Kontrollrechte Zusammenarbeit! 38 18

19 EU-DSGVO Auswirkungen auf Dienstvereinbarungen Umgang mit personenbezogenen Daten kann weiter auf Basis von Dienstvereinbarungen geregelt werden (ZD 12/15, s.a. Art. 6 Abs. 1 c EU-DSGVO, Art. 88 Abs. 1 EU-DSGVO) Art. 6 Rechtmäßigkeit der Verarbeitung 1. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:.. c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt. 39 EU-DSGVO Auswirkungen auf Dienstvereinbarungen Dienstvereinbarungen müssen den neuen Vorgaben der Datenschutzgrundverordnung entsprechen, Art. 88 Abs. 1 EU-DSGVO. Art. 88 Datenverarbeitung im Beschäftigungskontext (2)Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz

20 EU-DSGVO Auswirkungen auf Dienstvereinbarungen Anforderung an alte Dienstvereinbarungen Anforderungen der EU-DSGVO erfüllt? Regelungscharakter: Erlaubnistatbestand Zentrale Grundsätze: Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung/ Löschfristen, Integrität u. Vertraulichkeit ausreichende Schutzmaßnahmen beschrieben i.s.d. Art. 88 Abs. 2 EU-DSGVO? Überprüfung der bestehenden Dienstvereinbarungen notwendig! In neuen Dienstvereinbarungen Anforderungen der DSGVO berücksichtigen 41 Agenda Datenschutz Einführung Beschäftigte und Datenschutz Dienstgeber und Datenschutz Die Mitarbeitervertretung und Datenschutz Der betriebliche Datenschutzbeauftragte Social Media am Beispiel WhatsApp 42 20

21 Instant Messenger/ WhatsApp-Nutzung Ca. 35 Mio WhatsApp-Nutzer deutschlandweit End-to-End-Verschlüsselung Datenspeicherung in der USA Weitergabe von Daten an Facebook Instant Messenger werden Allround-Werkzeuge 43 WhatsApp-Nutzung Wo ist das Problem? Nutzung rechtswidrig für Unternehmen/ kirchliche Einrichtungen, da Datenübermittlung in die USA. Jeder Nutzer müsste einen Vertrag mit WhatsApp abschließen Keine kommerzielle geschäftliche Nutzung (WhatsApp-AGB) Nicht kommerzielle dienstliche Nutzung ok (Informieren, Antworten, Helfen ) Gespeicherte Kontaktdaten werden immer an WhatsApp übermittelt. Rechtswidrig, da keine Einwilligung Keine rechtskonforme Nutzung möglich im dienstlichen/ geschäftlichen Umfeld 44 21

22 WhatsApp-Nutzung - Compliance Rechtskonforme Nutzung Konzepte entwickeln für Social Media Nutzung Alternativen zu WhatsApp Dienstvereinbarungen 46 Informationsquellen Datenschutz Amtsblätter der Erzdiözese Freiburg Rechtssammlung der Erzdiözese Freiburg datenschutzbeauftragter@ordinariatfreiburg.de BDSG TITEL I PFLICHTEN UND RECHTE ALLER GLÄUBIGEN Seite des Diözesandatenschutzbeauftragten der norddeutschen Bistümer Mitarbeitervertretung und Datenschutz 47 22

23 Vielen Dank für Ihre Aufmerksamkeit 23