Ein Minenfeld: Auslagern von Daten an Dienstleister. Unternehmen im Spannungsfeld zwischen Flexibilität und Gesetzen

Transkript

1 Datenschutz Ein Minenfeld: Auslagern von Daten an Dienstleister Unternehmen im Spannungsfeld zwischen Flexibilität und Gesetzen Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 1

2 Das Ziel dieses Vortrags Zuerst: Wer ist denn das da vorne? Erklärung: Was sind eigentlich Daten? Die rechtlichen Grundlagen (ein bisschen) Vorgehen bei der Ermittlung der Risiken Verständnis für die Vorgehensweise bei der Minimierung der Risiken Beispiele Externe Dienstleister (IT, Hosting/Cloud, Aktenvernichtung, Pförtner, Lettershop) Aufgabenverteilung im Unternehmensverbund Übermittlung an Drittstaaten (EU, Schweiz, Indien) Sonderfälle: Steuerberater bzw. Anwalt Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 2

3 Eine Kurzvorstellung Schwerpunkte: - Stellung des externen Datenschutzbeauftragten 26 Unternehmen von 20 bis Mitarbeiter Branchen, Industrie, Medien, Dienstleister, Hotel, IT und Versicherungsdienstleister - Datensicherheit und IT-Wirtschaftsspionage - IT-Analyse & IT-Consulting IT-Grundschutz nach BSI IT-Strategien + IT-Kommunikation Vorbereitung auf Audits Green-IT - Zugelassener Berater des RKW Hessen und der KfW-Mittelstandsbank - Herstellerunabhängige Beratung - Alter 49 Jahre - über 20 Jahre in der IT unterwegs - Studium Informatik Computer + Kommunikationstechnik - Datenschutzbeauftragter (IHK zert.) - Microsoft Technik, Abteilungsleiter Techn.-Marketing - Director Online Services ekommunikation für Kunden wie: Andreas Stihl, Bundesverband dt. Banken, Honeywell, Gruner+Jahr, Motor Presse, Porsche und ZDF - Fachbuchautor Gründung der All-in-Media - Dozent in der FH Frankfurt - Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands - Mitglied im Arbeitskreis Forum Hessen-IT Expertengruppe IT-Sicherheit Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 3

4 Was sind personenbezogene (pb) Daten? Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person... ( 3 Abs. 1 BDSG) Name, Alter, Familienstand, Geb.-Datum, Perso-Nummer, Sozialvers.Nr. Anschrift, Telefonnummer, -Adresse Konto-, Kreditkartennummer, Kraftfahrzeugnummer, Kfz-Kennzeichen Vorstrafen, genetische Daten und Krankendaten Werturteile wie zum Beispiel Zeugnisse Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. WICHTIG: auch Namen von Ansprechpartnern oder -Kontaktdaten Kein Unterschied zwischen Privat- und Geschäftskunden Entscheidend für die Aussagekraft einer Angabe ist dabei ihr Verwendungszusammenhang die technische Form dieser Angaben ist nicht von Bedeutung Automatisierte oder nicht automatisierte Daten EDV bzw. Karteikarten/Formulare (gleichartig) Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 4

5 Datenschutz Die Gesetze EU-Richtlinie Bundesdatenschutzgesetz Telekommunikationsgesetz Grundgesetz z.b. (Artikel 1 + 2, informationelle Selbstbestimmung) und das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), das Aktiengesetz (AG), das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG), die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), vielfältige allgemeine kaufmännische Sorgfaltspflicht etc., Basel II, der Sarbanes- Oxley Act es gibt weltweit tausende von Compliance-Regeln Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 5

6 Die rechtlichen Grundlagen Gesetzliche Vorgaben erfüllen, das heißt: Grundsatz: 4 Abs. 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Folge: Alles ist verboten! Ausnahme, es ist irgendwo erlaubt. Probleme bei Datenverlust es drohen: Bußgelder Veröffentlichungspflicht in 2 überregionalen Tageszeitungen Imageverlust Grundsätzliche Frage: Müssen Sie den Betroffenen fragen, ob Sie die Daten extern verarbeiten wollen? Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 6

7 Die rechtlichen Grundlagen Antwort: Nein. Denn: 28 Abs. 1 Nr. 1 BDSG Das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Damit sind externe Dienstleister für die Bearbeitung personenbezogener Daten erlaubt Aber: Der externe Dienstleister wird Ihnen zugerechnet verlängerte Werkbank Für Fehler oder kriminelle Energie beim Dienstleister haften Sie gegenüber dem Betroffenen (und der Aufsichtsbehörde) Deshalb: Risikominimierung Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 7

8 Voraussetzungen nach 11 BDSG Wir hatten schon 28 Abs. 1 Nr. 1 BDSG Das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Allerdings: bei sensiblen Daten überwiegt die Nichtweitergabe (Kunden Interesse) Z.B. Daten bei Lebens-/ Unfallversicherer u.ä. Auftragsdatenverarbeitung nach 11 BDSG Ist die Nutzung intern möglich, ist auch eine ADV durch Dritte möglich Bestehende (laufende) Aufträge müssen zwingend mit einem ADV ergänzt werden Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 8

9 Risikominimierung (nicht nur) durch Verträge Datenverarbeitung und -nutzung nur weisungsgebunden Überprüfen Sie den Dienstleister Backgroundcheck (Internet, IHK usw.) Vor Ort Kontrolle Das ist nach BDSG Pflicht Es reicht nicht anzurufen, ob es den Daten gut geht Frage: Muss auch im Ausland - z.b. Frankreich oder Indien - kontrolliert werden? Klares JA Ein das ist zu teuer gibt es nicht Denn: Eine Auslagerung wird auf Grund eines wirtschaftlichen Vorteils vorgenommen. In die Gesamtkalkulation muss deshalb die Vorgabe des Gesetzes einkalkuliert werden. Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 9

10 Risikominimierung (nicht nur) durch Verträge Und wie ist das in der Praxis mit der Kontrolle der externen Dienstleister? Na ja Aber wenn nicht kontrolliert wird: wer haftet bei Problemen? Der Geschäftsführer, weil er der Verantwortliche ist der Datenschützer sich exkulpieren wird, weil er nur darauf hinweisen (aber nicht anweisen) kann und sich bei einer anderen Entscheidung der GF Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 10

11 Die Grundidee eines ADV Einfache Handhabung der Auslagerung mit Rechtlicher Sicherheit Technischer Sicherheit Der Auftragnehmer ist weisungsgebunden Sie bleiben Herr über Ihre Daten Gegensatz: Funktionsübertragung, hier geben Sie die Kontrolle der Daten ab (müssen aber den Betroffenen informieren und der muss zustimmen) Mit ADV ist es keine Übermittlung an Dritte D.h. keine Benachrichtigung des Betroffenen Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 11

12 Die Inhalte eines ADV (Auszug) 1 Idee: der AG bindet rechtlich den AN. Der ADV muss VOR dem Erteilung des Auftrags geschlossen werden Denn weigert sich der AN den ADV zu akzeptieren keine Auftragserteilung Detaillierte (!) Beschreibung des Auftrags Oder Verweis auf einen bestehenden Vertrag AG hat Weisungsbefugnis AN erlaubt eine Vorort-Kontrolle AN nennt die Subunternehmer (spannend) Der AN darf nur mit Zustimmung des AG auslagern AN nennt seinen Datenschutzbeauftragten Wichtige Info, da es einen Rückschluss auf die Handhabung über die Arbeit mit pb Daten gibt Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 12

13 Die Inhalte eines ADV (Auszug) 2 Regelung bei einem Schaden Wer informiert wann wen (Unterrichtungspflicht) Wer haftet bei Problemen mit dem Datenschutz Wer bezahlt ev. Notwendige Anzeigen in Tageszeitungen? Höhe des Schadenersatz Wer bearbeitet Auskunftsersuchen von Betroffenen Sind alle MA (und Dienstleister) des AN nach 5 BDSG auf Datenschutz geschult (!) und verpflichtet Nennung der Ansprechpartner Eine Abteilung reicht nicht Was passiert nach dem Auftrag mit den Daten? Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 13

14 Die Inhalte eines ADV (Auszug) 3 Daten bleiben in Deutschland Denn nur hier gilt der ADV Detaillierte Darlegung der technischorganisatorischen Maßnahmen Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 14

15 Die technisch-organisatorischen Maßnahmen Beschreibung (Quelle Bitkom) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können Zugangskontrolle), dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 15

16 ADV in Deutschland und sonst? Idee des Terretorialprinzips: Das BDSG gilt immer, wenn Erhebung, Speicherung, Nutzung auf deutschem Territorium stattfindet EU oder nach EU-DSR 95/46 für sicher erachtete Staaten (z.b. Schweiz, Argentinien, Kanada) EU-Controller-Processor-Vertrag Aktuell ist die Version 02/2010 Einschub: Es gibt kein Konzernprivileg (mehr) Jeder rechtlich selbständige Unternehmensteil gilt als im Sinne des BDSG als Fremdfirma Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 16

17 ADV in Deutschland und sonst? Unsichere Drittländer (Offshoring) Betroffene informieren, Einwilligung, Rechtsansprüche vor Gericht? Genehmigung der Aufsichtsbehörde USA ist im Sinne der EU-DSR 95/46 kein sicheres Drittland, deshalb Safe Harbour Aber: der Düsseldorfer Kreis spricht Safe Harbour die Legitimität ab Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 17

18 Beispiele externer Dienstleister - 1 Lohnbearbeitung ADV? Ja Problem Steuerberater Aktenvernichtung ADV? Ja Problem kommt auf den Dienstleister an Telefonanlage Fernwartung, Support in den USA oder Indien ADV? Ja (mindestens, eventuell auch EU-C/P) Kontrolle der Fernwartung Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 18

19 Beispiele externer Dienstleister - 2 Pförtner ADV? Kommt darauf an, was der macht Fuhrparkmanagement ADV? Ja Druckerservice durch Hersteller (z.b. XEROX) ADV? Kommt darauf an Meistens ja, da Multifunktionsdrucker meistens mit Harddisk, -Funktion etc Lettershop / Mailinghaus (z.b. für Serienbriefe) ADV? In der Regel: Ja Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 19

20 Beispiele externer Dienstleister - 3 IT-Service ADV? Ja. In der Regel sehr komplex durch die Vielfalt der Aufgaben (von Fernwartung bis zu PC-Verwertung) Hosting (Internet) ADV? Ja IP-Nummern sind personenbezogene Daten SAP beim Dienstleister Siehe unten: Cloud Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 20

21 Was heißt denn das alles für Cloud? Grundsätzlich: Cloud ist eine tolle Sache für Daten ohne Personenbezug Aber: Sind Sie sicher, dass wirklich die Daten in Deutschland oder EU bleiben? Ist die Cloud für Sie wirklich transparent? Akzeptiert der Anbieter einen ADV oder den EU-C/P-Vertrag? Können Sie den AN kontrollieren? Z.B. Google, Amazon, Microsoft Aussage der Datenschutzbehörden: Ein Auslagern personenbezogener Daten in die Cloud ist fast nie rechtlich möglich Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 21

22 Ausblick Mit einer ADV können Sie fast alles abbilden Ja, es ist mit Aufwand verbunden. Aber: Das ist nichts neues. Das BDSG gilt schon lange Aufwand durch Vernachlässigung in der Vergangenheit Benötigt man externe Unterstützung? Kommt drauf an bei Kenntnissen ist das selbst möglich Gilt das alles auch für kleine Unternehmen? Ja, das BDSG gilt für alle. Sie können sich ev. den Datenschutzbeauftragten sparen dann ist der GF verantwortlich Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 22

23 Und was ist mit den Aufsichtsbehörden? EUGH-Entscheidung: Aufsichtsbehörden sind politisch unabhängig Hessen: Der Landesdatenschutzbeauftragte darf jetzt auch den nicht-öffentlich Bereich kontrollieren Angekündigt: das wird er auch tun Die verdachtsunabhängigen Kontrollen kommen Deshalb: Auf jeden Fall Altverträge überprüfen und ADV nachholen Bei Neuverträgen grundsätzlich ADV-Prüfung Jürgen R. Rosenow Hessen-IT Unternehmensrisiken ADV 23

24 Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein Kontakt: Jürgen R. Rosenow All-in-Media GmbH Markwaldstraße Offenbach M E juergenr@all-in-media.com I Zeit für Fragen Jürgen R. Rosenow juergenr@all-in-media.com Hessen-IT Unternehmensrisiken ADV 24