Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen

Größe: px

Ab Seite anzeigen:

Download "Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen"

Victoria Ackermann
vor 8 Jahren
Abrufe

1 Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen Lukas Fässler Rechtsanwalt & Informatikexperte

2 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

3 Informations-Management in der Verwaltung Geschäftsrelevante Informationen Amtsstelle Informationen Amtsstellen 1-n Objekt Personen Finanzen

4 Informations-Management in der Verwaltung

5 Informations-Management in der Verwaltung Herausforderung Hybrides Informationsmanagement

6 Informations-Management in der Verwaltung Lebenszyklus geschäftsrelevanter Informationen Telefon Schalter Post SMS Audio Input Papier Digital Subjekte Objekte Finanzen Strukturierte Daten Unstrukturierte Daten Output Administrative Aufbewahrung Gesetzliche Aufbewahrung (digitale) Dossiers (digitaler) Registraturplan Gemeindearchiv Papier Digital Hybrid Video Foto Büroautomation Korrespondenz Aktiver Lebenszyklus Passiver Lebenszyklus

Administrative Aufbewahrung Gesetzliche Aufbewahrung (digitale) Dossiers (digitaler) Registraturplan

7 Informations-Management in der Verwaltung

8 Informations-Management in der Verwaltung

9 Informations-Management in der Verwaltung

10 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

11 Verantwortliches Organ

12 Verantwortliches Organ

13 Verantwortliches Organ Verantwortliches Organ Inhaber der Datensammlung Datenherr Informationen Recht Objekt Personen Finanzen

14 Verantwortliches Organ Pflichten Verantwortliches Organ Inhaber der Datensammlung Datenherr Amtsgeheimnis Informationen Datenschutz Objekt Personen Finanzen

15 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

16 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Registraturpflicht Aufbewahrungspflicht

17 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Schutzpflicht 1 Schutzpflicht 2

18 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Schutzpflicht 3

19 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Drittvereinbarungspflicht Aufgaben kann man delegieren, VERANTWORTUNG NIE

20 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Zugriffsrechte festlegen

21 Sorgfaltspflichten Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr Prüfungspflicht vor Weitergabe innerhalb der Verwaltung Bewilligungspflicht vor Weitergabe an Dritte

22 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

23 Abgrenzung zur KSD Verwaltungsinterne Service-Dienstleisterin

24 Abgrenzung zur KSD Technische Betriebsverantwortung Verantwortliches Organ Inhaber der Datensammlung Datenherr

25 Abgrenzung zur KSD Fachausschuss Security Board Geschäftsleitung KSD ISB ISO Zertifizierung Risikolandkarte Massnahmenkatalog jährlich 2x jährlich Externe Auditierung Interne Auditierung

26 Abgrenzung zur KSD Amtsstelle Verantwortliches Organ Inhaber der Datensammlung Datenherr KSD Technische Betriebssicherheit Datensicherheit

27 Abgrenzung zur KSD 136 Anträge für Abweichungen von den ISMS 1 Sicherheitsanforderungen der KSD sind zuviel Beschaffung von Fachapplikationen müssen rechtzeitig auf Sicherheits- und Datenschutz- Vorgaben ausgerichtet werden (Pflichtenheft) Einbezug des ISB der KSD ist zeitnah zu planen Aufschalten von Informationen im Internet: Clearing- und Freigabeprozess bei der Amtsstelle 1 ISMS: Information Security Management System

28 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

29 Massnahmen - Verantwortung Umsetzung aller Sorgfaltspflichten gemäss Ziffer 3 oben Periodische Überprüfung der Zugriffsberechtigungen Verantwortliches Organ Inhaber der Datensammlung Datenherr Periodische Überprüfung der Risikobewertungen Beantragen von zusätzlichen Schutzmassnahmen bei hochsensiblen Daten (Datenklau verhindern) Periodische Sensibilisierung der Mitarbeitenden (Datenschutz / Datensicherheit)

30 Massnahmen - Verantwortung

31 Massnahmen - Verantwortung

32 Massnahmen - Verantwortung

33 Massnahmen - Verantwortung

34 Inhaltsverzeichnis 1. Informationsmanagement in der Verwaltung 2. Verantwortliches Organ 3. Sorgfaltspflichten Einflussfaktoren der Verantwortung 4. Abgrenzung zum Service-Provider KSD 5. Massnahmen 6. Schlussfolgerungen

35 Schlussfolgerungen Amtsstelle als Datenherr und verantwortliches Organ ist für Einhaltung ALLER Sorgfaltspflichten im Umgang mit Verwaltungsdaten verantwortlich Primäre Verantwortung trifft den Amtsstellenleiter Sekundäre Verantwortung trifft alle Angestellten, die Verwaltungsdaten bearbeiten Alle organisatorischen und technischen Massnahmen zum Schutz der Verwaltungsdaten ergreifen KSD ist Service-Dienstleisterin und (nur, aber immerhin) für die technische Betriebs- und Datensicherheit verantwortlich

36 Schlussfolgerungen Die KSD sorgt durch interne und externe Auditierung und Betrieb eines IS-Management-Systems für den notwendigen technischen Grundschutz, nimmt dadurch aber die Verantwortung der Vorgesetzten und Mitarbeiter bezüglich Datenschutz und Datensicherheit nicht ab Kommandieren, Kontrollieren und Korrigieren der Vorgesetzten bezüglich Informations- Management (Schutz und Sicherheit) gehört zu den elementaren Sorgfaltspflichten eines Amtsvorstehers Vorsätzliche oder grobfahrlässige Nichteinhaltung der Sorgfaltspflichten führt zu zivilrechtlicher (Regress des Staates) und strafrechtlicher (Offizialdelikt) Verantwortung

37 Danke für Ihre Aufmerksamkeit

Ähnliche Dokumente

GEVER Sorgfaltspflichten des Gemeinderates

Verein Schweizerische Städte- & Gemeinde-Informatik GEVER Sorgfaltspflichten des Gemeinderates Von den Grundlagen, Anforderungen und Sorgfaltspflichten des Gemeinderates im Umgang mit geschäftsrelevanten