A. Rahmenbedingungen und Datenschutzorganisation. Verhältnis von Compliance-Funktion, Risikomanagement. Datenschutz.

Transkript

1 Inhaltsverzeichnis A. Rahmenbedingungen und Datenschutzorganisation I. II. 1 Verhältnis von Compliance-Funktion, Risikomanagement und Datenschutz 3 Compliance 3 Risikomanagement 5 Datenschutz 6 Bearbeitung von Compliance-Themen 8 Maßgebliche Grundsätze der Datenerhebung, -verarbeitung und -übermittlung 10 Datenschutzgrundsätze Grundsatz: Rechtliche Gestattung zur Datenverarbeitung Zweckbindungsgrundsatz Grundsatz der Datensparsamkeit und der Datenvermeidung Verhältnismäßigkeitsgrundsatz 10 Praxistest Präventivverbot mit Erlaubnisvorbehalt Zweckbindung Grundsatz der Datensparsamkeit und der Datenvermeidung Verhältnismäßigkeitsgrundsatz 5. Zwischen- und Endergebnis III. Datenschutzbeauftragter Bestellung des DSB 22 Eignung Fachkunde Zuverlässigkeit Aufgaben des DSB Überwachung und Vertrautmachung Einbindung des DSB VII

2 IV. Internes und Externes Verfahrensverzeichnis 28 V. 29 Technische und organisatorische Maßnahmen VI. Datenschutzkonzept 31 VII. Verträge der datenverarbeitenden Stelle mit Dritten 33 Vertragsmanagement 33 Internationaler Datentransfer Standardvertragsklauseln Binding Corporate Rules (BCR) Besondere Abkommen mit Staaten Datenaufbewahrungsmanagement und Development Lifecycle Process Elektronische Archivierung und Löschungspflicht Zur Archivierung und Löschung folgender Praxisfall VIII. Datenschutz im Bankenkonzern VIII Besonderer Stellenwert 41 Bankgeheimnis 41 Allfinanzklauseln 42 B. Kundendatenschutz II. 38 IX. Bußgeld- und Strafvorschriften I Ausgangspunkt 49 Datenschutz und Bankgeheimnis 49 Datenschutzrechtliche Zulässigkeit 50 Analyse von Kundendaten

3 III. Scoring 54 Anwendungsbereich Zulässigkeitsvoraussetzungen IV. Automatisierte Einzelentscheidung V Datenweitergabe an Auskunfteien VI. Werbliche Ansprache von Kunden und potentiellen Kunden 64 Briefwerbung Werbung per Telefon, Fax, SMS und Einwilligung VII. Kundenzufriedenheitsbefragungen VIII. Widerspruchsrecht Allgemeines Widerspruchsrecht Widerspruchsrecht bei Werbung und Markt- und Meinungsforschung IX

4 79 80 IX. Recht auf Auskunft 80 X. Wesentlicher Inhalt Anwendungsbereich Inhalt der Auskunft Verfahren und Form der Auskunft Ausnahmen von der Auskunftspflicht 5. Verstoß gegen die Auskunftspflicht Weitere Rechte der Betroffenen (Berichtigung, Löschung und Sperrung) Recht auf Berichtigung Recht auf Löschung Recht auf Sperrung XI. Informationspflicht gegenüber Kunden nach 42a BDSG (sog. Datenpannen) XII. Literaturverzeichnis 93 C. Arbeitnehmerdatenschutz und Fraud-Maßnahmen I. Grundlagen des Beschäftigtendatenschutzes X 86 Die rechtliche Ausgangslage unter besonderer Berücksichtigung von 32 BDSG Definition des Beschäftigten Der Datenschutz des Beschäftigten n

5 II. Datenschutz in der Bewerbungsphase Erheben und Speichern in der Bewerbungsphase Verarbeiten und Nutzen in der Bewerbungsphase Datenschutz im Beschäftigungsverhältnis Erheben und Speichern nach Einstellung Verarbeiten und Nutzen im Beschäftigungsverhältnis n für den Fachbereich Zusammenfassende für die Revision/Wirtschaftsprüfung Zusammenspiel mit der Compliance-Organisation 113 Abgrenzung von Compliance und Datenschutz 113 n für betroffene Abteilungen (insbesondere Personal und Datenschutz) für Revision und Wirtschaftsprüfung 115 III. Zulässigkeit der Verarbeitung von Mitarbeiter- und Kundendaten in Research Systemen Was ist ein Research? Die Regelung zum Research in 25 c Abs. 1 und 2 KWG c KWG und der Datenschutz 119 Vorschlag für die Praxis n 5. Hausintern (Fraud, Geldwäsche und Datenschutz) 5. für Revision und Wirtschaftsprüfung 121 IV. Erhebung von Beschäftigtendaten zur Aufdeckung von Straftaten/behördliche Ermittlungsbefugnisse Aufdeckung von Straftaten und behördliche Ermittlungsbefugnisse Aufdeckung von Straftaten Behördliche Ermittlungsbefugnisse XI

6 V. n n Aufdeckung von Straftaten n Behördliche Ermittlungsbefugnisse Literaturverzeichnis D. Technische und organisatorische Maßnahmen zur Einhaltung besonderer Vorgaben für Datenschutz/-sicherheit I. 137 II. Begriffsbestimmungen 141 III. Besondere Maßnahmen zur Zutrittskontrolle 143 Festlegung der Zutrittsberechtigung zu Hardware Komponenten Einleitung Zutrittsregelungen für bestimmte Personengruppen und für Ausnahmesituationen Einsatz von Zufallsuntersuchungen IV. Benutzerkontrolle der Datenverarbeitungssysteme XII Überwachung der Zugangsberechtigungen

7 5. V. Passwort-Identifikation des Benutzers 5. Maßnahmen zur Zugriffskontrolle Beschränkung des Zugriffs auf den erforderlichen Umfang (Need-To-Know-Prinzip) Laufende Aktualisierung der Zugriffsberechtigungen Protokollierung der Zugriffe und Auditierung von Benutzerrechtezuweisungen Abgrenzung der dem Betriebsprüfer vorzulegenden steuerlich relevanten Daten XIII

8 5. 5. Neue Entwicklungen: Cloud Computing VI. Weitergabekontrolle personenbezogener Daten Klassifizierung von Datenträgern nach Schutzbedarf Richtlinien für die Durchführung von Transfers Überprüfung der Identität der Empfänger VII. Kontrollen bei der Auftragsdatenverarbeitung (Outsourcing Management) XIV Vorgaben für eine zweckmäßige Betriebsorganisation

9 Verbindliche Festlegung sämtlicher Arbeitsabläufe Überwachung der Einhaltung von Arbeitsanweisungen VIII. Verfügbarkeitskontrolle Business Continuity Management IX. Literaturverzeichnis E. Umsetzung, Prüfung und Beurteilung des internen IT-Sicherheitsmanagements I. II Regulatorische Anforderungen an die IT-Sicherheit Grundsätzliches Grundsätzliches Struktur dieses Abschnittes Umsetzung, Prüfung und Beurteilung des internen IT-Sicherheitsmanagements Prüfungsumfeld Bedeutung Zwischenfazit Prüfungsumfeld XV

10 XVI Prüfung und Beurteilung von IT-Umfeld und -Organisation Strategienpyramide Strategien IT-Organisation IT-Organisation Einzubeziehende Bereiche IT-Risikomanagement auf Gruppenebene IT-Risikomanagement auf Gruppenebene Abgleich der Geschäftsprozesse mit Organisationsrichtlinien und Prozessbeschreibungen Prüfungsvorgehen Abgleich der Geschäftsprozesse mit dem Anweisungswesen Funktionstrennung mittels Kompetenzregelungen und Bearbeitungsvermerke 5. Beachtenswerte Aspekte bei der Umsetzung der Funktionstrennungen, Kompetenzregelung und Bearbeitungsvermerke 5. technische Umsetzung der Funktionstrennung und Kompetenzen Prüfung des Unsicherheitsfaktors Mensch (Anwendungsfehler, Manipulation) 6. Problemskizzierung 6. Unsicherheitsfaktor Mensch Ad-hoc-Prüfung von Teilen des IKS durch Mitarbeiter unterschiedlicher Bereiche 7. Nur eine Aufgabe der Revision? 7. Funktionsprüfung IKS durch Mitarbeiter unterschiedlicher Bereiche

11 III. Überprüfung und Beurteilung infrastruktureller IT- RisikoAufnahme Prüfungshandlungen Zwischenfazit Überprüfung und Beurteilung infrastruktureller IT- Schutzfunktionen an Schnittstelle zwischen ITInfrastruktur und Internet Ausgangslage Zwischenfazit Schutzfunktionen an der Schnittstelle zwischen IT-Infrastruktur und Internet Beschränkung der Zugriffsrechte Grundsätzliches Beschränkung der IT-Zugriffsrechte Prüfung und Beurteilung des IT-Notfallkonzepts Grundsätzliche Anforderungen an eine IT-Notfallkonzeption Zwischenfazit Prüfung und Beurteilung des IT-Notfallkonzepts Sicherung der IT-Infrastruktur durch projektbegleitende Prüfungen 5. Zielsetzung 5. Sicherung der IT-Infrastruktur durch projektbegleitende Prüfungen IV. Prozessbegleitung und Prüfung für die Entwicklung und den Einsatz von IT-Anwendungen Organisatorische Rahmenbedingungen Organisatorische Rahmenbedingungen (Prozessbegleitung und Prüfung bei Entwicklung und Einsatz von IT-Anwendungen) 313 XVII

12 5. V. XVIII Standardisierte Verfahren zur Veränderung der IT-Anwendungen/ IT-Systeme Change-Management als zentraler Ansatzpunkt Standardisierte Verfahren zur Veränderung der IT-Anwendungen/IT-Systeme Festlegung der Kriterien für Zeitpunkt, Art und Umfang von Prüfungshandlungen Festlegung des Rahmens der Begleitung/Prüfung Zeitpunkt, Art und Umfang der Projektbegleitungen Prüfung der Programmentwicklung, Verfahren zur Bewertung und Auswahl von (zu erwerbenden) Programmen Idealtypischer Ablauf Prüfung der Programmentwicklung, Verfahren zur Bewertung und Auswahl von (zu erwerbenden) Programmen Information der Geschäftsleitung bei schwerwiegenden Bedenken gegen den Programmeinsatz 5. Ziel der Projekt-/Prozessbegleitung 5. Information der Geschäftsleitung bei schwerwiegenden Bedenken Auslagerung von IT-Systemen sowie IT-gestützten betrieblichen Funktionen Rahmenbedingungen Rahmenbedingungen Auslagerung Integration der Kontroll- und Steuerungskreisläufe des Outsourcingnehmers in das IT-Sicherheitsmanagement des Outsourcinggebers Integrationserfordernis von outgesourcten Bereichen in die Unternehmenssteuerung Rahmenbedingungen Auslagerung

13 (Teil-) Outsourcing der besonders unternehmenskritischen IT-Sicherheit IT-Sicherheitsmanagement outsourcen? Outsourcing IT-Sicherheitsmanagement Technisch-organisatorische Anforderungen unter Datenschutz- und Datensicherheitsaspekten Grundsätze technisch-organisatorische Anforderungen VI. Literaturverzeichnis F. Aktuelle Sonderthemen der IT-Sicherheit und des Datenschutzes I. II Cloud Computing 347 Fundstellen 347 Wesentlicher Inhalt 347 Grundlagen des»cloud Computing«347 Allgemeine datenschutzrechtliche Bewertung des Cloud Computing 349 n 355 Datenschutz und»bring Your Own Device«356 Fundstellen 356 Wesentlicher Inhalt Grundlagen von»bring Your Own Device«Datenschutzrechtliche Bewertung von»bring Your Own Device« n 362 III.»Big Data«/Datawarehouse Technologien Fundstellen 363 Wesentlicher Inhalt Geschäftsrelevanz von»big Data« XIX

14 5. Allgemeine datenschutzrechtliche Bewertung von Big Data Datenschutzrechtlich Bewertung von Big Data Services von der Erhebung bis zur Auswertung Einzelfragen der technisch-organisatorischen Absicherung von Big Data Analysen Fazit n IV. Privacy-Invasive Devices V. II Fundstellen 373 Wesentlicher Inhalt 373 Compliance Technology 374 Fundstellen 374 Wesentlicher Inhalt 374 Praktikerhinweise Datenschutzaudit nach 9a BDSG 379 Sichtung und Begutachtung der Unterlagen 381 Auditierung vor Ort 384 Bewertung und Analyse 386 Abschlussmeeting Nach dem Audit ist vor dem Audit Prüfung durch die Aufsichtsbehörde Prüfung durch die Aufsichtsbehörde Fazit 390 Prüfungen der Innenrevision 390 Datenschutz und Revision III. Literaturverzeichnis XX 367 G. Das Datenschutzaudit nach 9a Bundesdatenschutzgesetz I