Sicherheit & Vertrauen mit Datenschutz. - Sinnvoll - Legal - Kundenorientiert

Transkript

1 Sicherheit & Vertrauen mit Datenschutz - Sinnvoll - Legal - Kundenorientiert

2 seit P S 1 Immenstaad DSB ISO Ausbildung von betrieblichen DSB Gesundheitsdaten Leistungsdaten/Veröffentlichungen Stuttgart DSB Leistungsbeurteilungen/Personal Recherche neue Gesetze Frankfurt Berlin DSB Business Continuity Management ISO 9001 Umweltmanagement DSB Penetration Testing IT-Sicherheit

3 Dienstleistungen in Zusammenarbeit mit der Erstellung Datenschutzerklärung Ausbildung Ihres bdsb Durchführung Audit Bestellung zum externen DSB ca. 3 Stunden 3 Tage 3 4 Tage Nach Absprache + projektbezogene Beratung und Unterstützung des bdsb oder GF

4 Agenda Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung

5 Zielsetzung Schutz der Kunden vor der Verletzung ihrer Persönlichkeitsrechte Schutz der Mitarbeiter vor der Verletzung ihrer Persönlichkeitsrechte Erfüllung der gesetzlichen Anforderungen Absicherung der Geschäftsführung

6 Datenschutz Entstehung Volkszählung Volkszählung Volkszählung Beschäftigten DS Jun.2010 Novelle III Apr.2010 Novelle I Novelle II Nov Mai 2001 Okt EG Richtlinie 95/46/EG Aktualisierung BDSG 1. Datenschutzgesetz 1. Datenschutzgesetz Bund in Hessen

7 Datenschutz Nötig? Bußgeld 1,462mio (davon wegen Nichtbestellung eines DSB) Bußgeld 1,12mio (überwachung , Rasterfandung) Logos entfernt Bußgeld 1mio (Bespitzelung Mitarbeiter) Bußgeld offen (Verlust von 17mio Kundendaten) Bußgeld Partneragenturen (illegale Nutzung von Kundendaten) Bußgeld offen (Anlegen illegaler Krankenakten) Bußgeld offen (Kontenprüfung bei Mitarbeitern) Bußgeld

8 Verbot mit Erlaubnisvorbehalt Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten! persönliche Einwilligung Gesetzliche Pflicht

9 Meldung von Verfahren Landes-Daten-Schutz-Behörde Datenschutzbeauftragter (DSB) intern/extern Firma / Betrieb oder BDSG 4f spätestens innerhalb von einem Monat sind Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten zu melden, bzw. ein DSB zu bestellen Der DSB setzt das BDSG in der Firma um und vertritt die Firma/ den haftenden Geschäftsführer gegenüber der LDSB.

10 Funktionsdiagram Haftende DSB bestellt Überwacht Meldepflichten Landes-Daten-Schutz-Behörde»Einhaltung BDSG - Zulässigkeit - Zweckbindung - Datenvermeidung - Transparenz - Datensicherheit»Schulung und Verpflichtung von Mitarbeitern»Kontrolle der Auftragsdatenverarbeiter Auftragsdatenverarbeiter Firma / Betrieb

11 DSB in meiner Firma: ja/nein? Landes-Daten-Schutz-Behörde Einen betrieblichen Datenschutzbeauftragten (intern / extern) muss bestellen wer: Datenschutzbeauftragter (DSB) intern/extern Firma / Betrieb 1.)» mehr als 9 Mitarbeiter» im Zuge ihrer gewöhnlichen Tätigkeit» mit der Verarbeitung von personenbezogenen Daten betraut hat. 2.) besonders sensible Daten erhebt, verarbeitet oder nutzt. (Vorabkontrolle) 3.) als Adresshändler, Informationsbroker arbeitet. Wichtig: In 4g Abs. 2a BDSG wird ausdrücklich festgelegt, dass verantwortliche Stellen, die von der Pflicht zur Bestellung eines Datenschutzbeauftragten befreit sind, auf andere Weise die Einhaltung des übrigen Datenschutzrechts sicherzustellen zu haben.

12 Agenda Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung

13 BDSG Grundsätze Zulässigkeit Zweckbindung Datenvermeidung Datensicherheit Transparenz Einwilligung, Schriftlich Vertrag, berechtigtes Interesse Nie mehr als nötig! Verlust, Verfälschung, Zugriff Dokumentation wer, wann, was, warum Technische & operative Maßnahmen 9 Firewall, Passwörter

14 Rechte der Betroffenen 33 Benachrichtigung 34 Auskunftsanspruch 35 Berichtigung, Löschung, Sperrung Wenn ohne Kenntnis des Betroffenen erhoben, verarbeitet, genutzt wird Herkunft, Empfänger, Zweck, ALLES unentgeltlich/ 2 Jahre Zweck erloschen, Daten unrichtig, Richtigkeit nicht beweisbar 32 Arbeitnehmer Erforderlichkeit!!! Wichtig: gesetzliche Aufbewahrungsfristen beachten.

15 Kontrolle der Auftragsdatenverarbeiter Haftende Firma / Betrieb Weitergabe ohne Vertrag == Funktionsübergang Funktionsübergang == Verlust der Kontrolle Auftragsdatenverarbeiter 11 Abs. 2 Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und so dann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOM) zu überzeugen. Das Ergebnis ist zu dokumentieren.

16 Private Nutzung von Firmeninfrastruktur überwachen scannen durchsuchen Schutzbedürfnis - IT-Sicherheit - Internet Angriffe - Viren - Korruption - Betriebsgeheimnisse - Patente, Forschung - Arbeitszeit privat! geschäftlich Privat == Fernmeldegeheimnis Geregelt, geschult, kontrolliert?

17 Hot-Spot Personal 1 Bewerber = Mitarbeiter 43..den Abschluss eines Vertrags von der Zustimmung des Betroffenen abhängig macht Prüfung eines Betrugsverdacht Siehe Telekom in Zusammenarbeit mit der Polizei Einsicht in die Personalakte Zweckbindung sichergestellt? Prozess der Beurteilung (Transparenz) Datenbasis der Beurteilung Notizen usw. Datenerhebung ohne Kenntnis Zulässigkeit prüfen; Straftat, schwere Pflichtverletzung, Dauer Information des Betroffenen nach der Erhebung Datenerhebung Kernbereich private Lebensführung Stichproben vs. Dauererhebung Biometrische Daten zur Authentisierung (Löschungsregelungen) Rückfragen bei ehemaligen Arbeitgebern

18 Hot-Spot Personal 2 Umgang mit Ergebnissen ärztlicher Untersuchungen Aushang der Listen der Krankheitszeiten der Mitarbeiter am Schwarzen Brett Krankheitsinformation an Kunden (AB, Abwesenheitsnotiz) Versand der Listen der Krankheitszeiten aller Mitarbeiter mit der Gehaltsabrechnung Veröffentlichung von Prüfungsergebnissen Veröffentlichung von Besten- und Rennlisten (Rankings) ohne Einwilligung der Mitarbeiter Auskünfte des ehemaligen Arbeitgebers an den neuen Arbeitgeber über den Mitarbeiter Erörterung von dienstlichen Beurteilungen mit Dritten Weitergabe von Mitarbeiterdaten an Versicherungsunternehmen Entgeltabrechnung extern. Auftragsdatenverarbeitung entspr. 11 RFID Zugangskontrolle und Tracking GPS Tracking GPS Tracking von privat genutzten oder mobilen Geräten

19 Agenda Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung

20 Haftung Der Haftende gegenüber der Datenschutzbehörde ist wie immer - der Geschäftsführer - der Vorstand

21 Rechtliche Konsequenzen und Strafen Freiheitsstrafe bis zu 2 Jahre 44 vorsätzliche Handlung gegen Entgelt sich oder andere zu bereichern oder einen anderen zu schädigen BDSG 43 Abs. 1 Geldbuße bis zu Euro z.b. keinen DSB bestellt; unvollständige Meldungen; zuviel/zuwenig Daten; Datenverlust; Betroffene nicht, nicht richtig oder unvollständig informiert, mangelhafte Auftragsdatenverarbeitung. BDSG 43 Abs. 2 Geldbuße bis zu Euro z.b. unbefugt nicht allgemein zugängliche Daten verarbeitet; Abschluss eines Vertrags von der Einwilligung des Betroffenen abhängig macht; Mitteilungen nicht richtig, nicht vollständig oder nicht rechtzeitig macht Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. Jedes Bundesland kann das Bußgeld, unabhängig von Bußgeldern in anderen Bundesländern, festlegen!

22 Hot-Spots, Fokus für den DSB Personal Bewerbungen Beurteilungen/Leistungsnotizen private Nutzung ohne Regelung Dritte Auskunftsrechte Datenschutzerklärung & öffentliches Verfahrensverzeichnis Absicherung des GF im Schadensfall Verpflichtung der Mitarbeiter Schulung der Mitarbeiter Angemessene IT-Sicherheit Regelungen bei Auftragnehmern (z.b. externe IT) Haftungsfragen sowie Informationspflichten Werbung, , Web-Formulare, Weiternutzung von Daten

23 Agenda Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung

24 Der betriebliche DSB in der Firma Geschäftsführer DSB IT Abteilung B Abteilung X» Der bdsb ist fachlich direkt der Unternehmensleitung unterstellt.» Beratungstätigkeit gegenüber der Geschäftleitung und IT.» Vertretung der Firma gegenüber der Datenschutzbehörde.» dem bdsb sind feste Ansprechpartner zu benennen.

25 Kernaufgaben eines DSB Übersichtaudit (2-3Tage) Verfahrensverzeichnisse Meldeformulare/Vorabkontrolle Landes-Datenschutz-Behörde Datenschutzerklärung Internet (TMG) Organisation der Betroffenenrechte i.d.r. Kunden & Mitarbeiter Verpflichtung der Mitarbeiter Schulung der Mitarbeiter Kontrolle der Verträge mit Auftragsdatenverarbeitern. Absicherung des Geschäftsführers Prüfung der Betriebsvereinbarungen Vollständiges Audit mit Auditbericht mit Risikoanalyse und Handlungsempfehlung. Abschlussbericht, Erfolge, nächste Schritte.

26 Anforderungen an einen DSB BDSG 4f Abs. 2 Satz 1 darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Juristisch BDSG BWL Organisationslehre DV Datenbankarchitektur Betriebssysteme Systembedingte Betriebsarten Anwendungssoftw are Text, Tabellenverarbeitung TKG Unternehmensführung Kommunikationsnetze Benutzerbedingte Betriebsarten Datenbankabfrage SQL TMG Planung & Kontrolle Rechnernetze, Topologien Oberflächen, Tools Grafikprogramme BetrVG Personalwesen Datensicherung Methoden/Hardware Softwareentwicklung Logische Datenorganisation EG-Richtlinien Produktionswesen Speicherstrukturen Firewall Datenmodelle Firmenstruktur (formell/informell) Datenübertragung System/Hardware Virenscanner Datenein/ausgabe Struktur/Hardware IT- Sicherheitskonzepte

27 Anforderungen an einen DSB Es dürfen keine Interessenkollisionen mit anderen, dem Datenschutzbeauftragten übertragenen Aufgaben auftreten. Peter Schaar, Bundesbeauftragter für Datenschutz Nov Diesen Interessenskollision sieht der Gesetzgeber vor allem bei DSB, intern bestellt» Geschäftsführer» Leitende Angestellte (vor allem Personal/IT)» Verwandte der Geschäftsführung» sonstige Funktionen mit Interessenskollision DSB, extern bestellt» Externe IT Dienstleister» Anwälte, welche den Betroffenen anwaltlich vertreten.

28 Betrieblicher Datenschutzbeauftragter Ein betrieblicher DSB ist» praktisch unkündbar. Abberufung nur von Seiten der Meldebehörde.» nicht weisungsgebunden» frei in der Wahl seiner Mittel.» regelmäßig weiterzubilden.» Zeitlich freizustellen um den Datenschutz entsprechend der gesetzlichen Erfordernisse umzusetzen! Wichtig: ein interner DSB ist bei standesgemässer Erfüllung seiner Pflichten als DSB unkündbar.

29 Agenda Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung

30 Vorgehen und Entwicklung Zielkurve

31 Umsetzung Anforderung Kundenschwerpunkt Risikobewertung Umsetzungsgeschwindigkeit Umsetzungstiefe (MUSS/KANN) Umsetzungsmethoden Zielvereinbarung Projektplan Aufwand Bsp. Monat

32 Aufwand Startaudit 2-4 Tage Verfahrensverzeichnisse intern Vorabkontrolle, Verf.verz. extern MUSS MUSS? Tage? Tage Landes- Datenschutz-Behörde Datenschutzerklärung Internet (TMG) Organisation der Betroffenenrechte MUSS MUSS? Tag? Tag Kunden & Mitarbeiter Verpflichtung der Mitarbeiter MUSS? Tag Schulung der Mitarbeiter Kontrolle der Verträge mit Auftragsdatenverarbeitern. Umfang? Level?? Tage? Tage Absicherung Geschäftsführung Prüfung Betriebsvereinb. & Regelungen Bedarf?? Tag Vergleichsaudit, Risikobewertung, weitere Empfehlungen. Abschlussbericht, Erfolge, nächste Schritte.? Tage Grundlage? Vorhandenes? Wunsch? Tage?

33 QM/DS-Prozesse im PDCA Modell Interessenten -Aufsichtsbehörden -Mitarbeiter -Kunden -Patienten -Klienten -Sonstige Handeln + DS Korrekturen + DS Vorgaben Planen Durchführen + DS Maßnahmen Interessenten -Aufsichtsbehörden -Mitarbeiter -Kunden -Patienten -Klienten -Sonstige Anforderungen und Erwartungen bzgl. des BDSG, TMG, TKG, AGG, SGB u.a. Prüfen + DS Resultate Organisatorisch & technisch & rechtlich abgesicherter Datenschutz. DS = Datenschutz

34 Aufbau auf Vorhandenem (z.b. ISO 9001 oder 27001) Inhalte statt Form BDSG Integration der Kontrollelemente in existierende Prozesse Integration der BDSG relevanten Inhalte in ein existierendes Dokumentenmanagementsystem. Schulungsinhalte definieren, Planen/Durchführen Schnittstellenprüfung -BDSG mit - vorhandene IT-Sicherheit Stellt zur Verfügung Prozesse Plan/Do/Check/Act Dokumentationssystem Schulung/Bewusstsein Ablauf/Methoden IT-Sicherheit Standard ISO 9001 dequs BSI Grundschutz ISO Informationssicherheit Themen QM Basisstrukturen Qualitätsmanagement für Suchthilfen Checklisten basierte Absicherung des IT-Umfelds Identifizierung der Geschäftswert Risikobewertung Maßnahmen Initator ISO/DIN Deutsche Gesellschaft für Qualitätsmanagement in der Suchttherapie e. V. Bundesministerium für Sicherheit in der Informationstechnik ISO/DIN Web

35 Ziel der Arbeit eines Datenschutzbeauftragten Minimaler Einfluss auf das Tagesgeschäft. Verpflichtende Dokumentation vorhanden. Regelungen bewirken Rechtssicherheit. Haftung auf Dienstleister übertragen. IT DS Wissen über Grenzbereiche. Vernünftige Grundhaltung. Personal QM DS DS Vertrieb DS

36 Geschichte & Gesetze Pflichten des Haftenden, Rechte der Personen Haftung und Bußgeldkatalog Datenschutzbeauftragter (DSB) Rechte und Pflichten Möglichkeiten der Umsetzung Vielen Dank für Ihre Aufmerksamkeit

37 GmbH Hauptsitz Immenstaad Graf - von - Soden - Str. Buerogebaeude 10 D Immenstaad Niederlassung Reutlingen Technologieparks Tübingen Reutlingen Gerhard-Kindler-Straße 8 D Reutlingen Tel.: Fax.: info@ddsb.de DDSB ist eine Marke GmbH