Mindestumsetzung im Datenschutz

Transkript

1 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/02 V 1.0 Rev Mindestumsetzung im Datenschutz Vortrag im Rahmen der Veranstaltung Datenschutz und IT-Sicherheit Veranstalter: ebusiness-lotse Oberfranken Donnerstag, Referentin: Dr. Marion Herrmann

2 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Warum Datenschutz? Gesetzliche Vorgaben => Bundesdatenschutzgesetz (BDSG) => Telekommunikationsgesetz (TKG) Persönlichkeitsrecht des Einzelnen TK-Dienste, Fernmeldegeheimnis => Telemediengesetz (TMG) Internetkaufhäuser, Informationsbereitstellung, => u. v. a. m. Rund-um-Verfügbarkeit Werbe- s, Social Media etc. => Unbefugte können unbemerkt zugreifen Der Wahrsager... => Weltweite Verknüpfung => überall verfügbar => Automatisierte Verarbeitung => schnell und leicht => Profilbildung durch Zusammenbringen der Informationen

3 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Aktuelle Nachrichten Übermittlung personenbezogener -Adressen mit offenem -Verteiler Beschreibung: Eine Mitarbeiterin hat an Kunden eine verschickt, die ausgedruckt zehn Seiten umfasst. Der Ausdruck besteht aus einer halben Seite Informationen und neuneinhalb Seiten aus den -Adressen der Kunden! Folgen: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat gegen die Mitarbeiterin ein Bußgeld verhängt! Erlass des Bußgeldesbescheides gegen die Unternehmensleitung in einem vergleichbaren Fall! Hinweis des BayLDA: Eingabe der -Adressen nicht in das AN-Feld oder CC- Feld, sondern in das BCC-Feld (englisch: Blind Carbon Copy, dt. sinngemäß Blindkopie)! Quelle: Bayerisches Landesamt für Datenschutzaufsicht

4 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Personenbezogene Daten Alle Angaben über persönliche oder sachliche Verhältnisse der Betroffenen sind personenbezogene Daten (pbdaten), unabhängig davon wie sensibel sie sind und woher sie stammen. Name und Anschrift sind bereits personenbezogene Daten.

5 10 Punkte zum Datenschutz Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

6 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Informationelle Selbstbestimmung 1 => Pflicht: Auskunft an den Betroffenen (auf Anfrage) Zweck des Bundesdatenschutzgesetzes Der Einzelne (Betroffene) soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten (pbdaten) in seinem Persönlichkeitsrecht beeinträchtigt wird.

7 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Informationelle Selbstbestimmung Bei Endverbrauchern muss für jede Kommunikationsart (Telefon, Fax, E- Mail) eine Einwilligung vorliegen! Einwilligung für Werbung - Beispiele Einwilligungserklärung zur Telefon- und -Werbung Ich bin damit einverstanden, künftig zum Zweck der Information (Werbung) über Veranstaltungen und Produkte der Ihre-Firma per Telefon per kontaktiert zu werden. Die Einwilligung zu Werbezwecken kann ich jederzeit für die Zukunft schriftlich widerrufen. an datenschutz@firma.de genügt. Einwilligungserklärung zur Telefon- und -Werbung Ich bin damit einverstanden, auch per Telefon über Neuigkeiten des Handwerkbetriebes <Name einsetzen> informiert zu werden. Dies kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Ein kurzer Anruf oder eine kurze an info@ihr-handwerksbetrieb.de mit dem Betreff Telefonwerbung einstellen und der Angabe meiner Telefonnummer genügt.

8 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Rechtmäßigkeit 2 Das deutsche Datenschutzrecht ist als so genanntes Verbot mit Erlaubnisvorbehalt ausgestaltet. Es muss entweder eine Einwilligung des Betroffenen vorliegen (informationelle Selbstbestimmung) oder irgendwo stehen, dass es erlaubt ist, die Daten des Betroffenen zu nutzen, erheben oder verarbeiten (Gesetz oder Vertrag).

9 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Verantwortlichkeit 3 Jede Person, Firma, Behörde oder sonstige Organisation, die personenbezogene Daten verarbeitet, muss namentlich für ihr Tun verantwortlich gemacht werden können. => Pflicht: Öffentliches Verfahrensverzeichnis Jedes Verfahren, dass personenbezogene Daten automatisiert verarbeitet, muss dokumentiert werden. (Inhalt: 4e) => Pflicht: Internes Verfahrensverzeichnis/Verfahrensübersicht

10 3 Verfahrensübersicht Beispiel Details sind in den sog. Verfahrensbeschreibungen beschrieben Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

11 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Datensparsamkeit 4 => Pflicht: Datenvermeidung und Datensparsamkeit! Brauche ich diese Daten wirklich, um den Zweck zu erfüllen? Beispiele: o Kopie des Personalausweis? o Liste Abwesenheit wegen Urlaub oder Krankheit? (Ggf. sogar Verstoß gegen PersG)

12 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Techn. u. organisatorische Maßnahmen 5 Pflicht: BDSG 9 und Anlage getroffene Maßnahmen sind zu beschreiben (dem Schutzzweck entsprechend) IT-Dokumentation!

13 5 TOMs Technische und Organisatorische Maßnahmen (TOM) Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Zugriffskontrolle Auftragskontrolle Eingabekontrolle Weitergabekontrolle Grafik: Datakontext, Datenschutz-Präsentation 2009 Eng verknüpft mit: IT-Grundschutz (BSI) Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

14 6 Auftragsdatenverarbeitung ADV 11 BDSG: Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen,.. 10 Punkte zu beachten! immer schriftlich! Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

15 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Kontrollen/Sanktionen Wer kontrolliert? Intern: Vorgesetzter, Revision, Datenschutzbeauftragter etc. 7 Extern: Aufsichtsbehörde, Auditoren 1. Schadenersatz (z. B. gegenüber dem Kunden) 2. Sanktionen Bußgeld bis Freiheitsstrafe arbeitsrechtliche Konsequenzen 3. weitere Risiken Imageschaden Vertrauensverlust der Kunden Umsatzeinbußen interne Kosten der Schadensbehebung

16 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Betroffenenrechte 8 Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung Auskunftsanspruch (Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden und von wem Sie erhalten wurden.) Widerspruch gegen die Datenverarbeitung zu Werbezwecken Berichtigung, Löschung und Sperrung Benachrichtigung von Berichtigung, Löschung, Sperrung Schadensersatz => Prozess Betroffenenanfrage

17 8 Benachrichtigungspflicht 33 BDSG: Benachrichtigungspflicht - Beispiele Zur Umsetzung der Benachrichtigungspflicht empfiehlt es sich folgende Formulierung in z. B. Eingangsbestätigungen für Bewerbungsschreiben: Hinweis gemäß 33 BDSG: Wir verarbeiten Ihre Daten zur Bearbeitung Ihrer Bewerbung im Rahmen des BDSG EDVgestützt. in z. B. Bestellformularen, Auftragsbestätigungen oder Rechnungen einzufügen: Hinweis gemäß 33 BDSG: Wir verarbeiten Ihre Daten zur Auftragsabwicklung und Kundenbetreuung im Rahmen des BDSG EDV-gestützt. Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev. 0 17

18 8 Prozess Betroffenenanfrage Anfragen zu Datenschutz- Auskünften bitte sofort an den Vorgesetzten oder die Datenschutzbeauftragte weiterleiten! Prozessgrafik erstellt mit Viflow Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

19 8 Datenpanne 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Datenverlust sofort an Vorgesetzten und DSB melden..! auch Verlust von Datenträgern, mobilen Geräten Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

20 9 Schulung/Sensibilisierung 5 BDSG: Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

21 9 Beispiel Verpflichtung Muster anfordern unter: Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

22 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Datenschutzbeauftragte (DSB) Brauche ich einen Datenschutzbeauftragten? Betriebe mit mehr als 9 Mitarbeitern, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4f Abs. 1 Satz 1 BDSG). (ohne EDV, mehr als 20 Personen) Datenschutzbeauftragte/r kann sein: extern oder intern Datenschutzbeauftragte/r darf nicht sein: Geschäftsführer oder Vorstände IT-Leiter Personal-Leiter Leiter der Rechtsabteilung

23 Zusammenfassung - Mindestumsetzung Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

24 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Aktuelles - Datenschutz - Workshop Datenschutz Mindestumsetzung Workshop I am Donnerstag, 17. Juli 2014 von Uhr Datenschutzhandbuch Workshop II am Mittwoch, 23. Juli 2014 von Uhr Datenschutz - Workshop Nachhaltig löschen Best Practice Intensiv-Seminar am Donnerstag, 25. September 2014 von Uhr Wo? Im Hause der Datenschutz Symbiose GmbH, Hundingstr. 10, Bayreuth Mehr Informationen finden Sie in unserem Flyer oder auf unserer Webseite!

25 Bayreuth, Hundingstr Kompetenzzentrum IT-Sicherheit und Datenschutz Technische Lösungen rund um IT-Sicherheit! Saas, Paas deutsche Cloud Alles rund um Datenschutz und Umsetzung des BDSG Externe DSB und Datenschutz-Audits Beratung und Schulung zur IT-Sicherheit und Datenschutz, Stellung des IT-Sicherheitsbeauftragten & Datenschutzbeauftragten, Umsetzung der ISO Wir helfen Ihnen! Buchen Sie uns! Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev

26 Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/04 V 1.0 Rev Ihre Ansprechpartnerin Dr. Marion Herrmann Geprüfte Datenschutzbeauftragte Zertifizierter Datenschutz-Auditor (TÜV) IT-Compliance-Manager ITIL Foundation zertifiziert Certified Ethical Hacker (CEH) mh@datenschutz-symbiose.de Telefon: / Mobil: / Fax: / Bildquellen im Vortrag: Datakontext, simplify, fotolia Ende