Schwachstellen im Datenschutz wo drückt der Schuh?

Transkript

1 Schwachstellen im Datenschutz wo drückt der Schuh? Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig-Holstein Telekom Training 11. November 2009 ArabellaSheraton Congress Hotel Stichworte Verstöße allerorten Gründe für ein internes Datenschutzmanagement Unternehmensleitung Direktion und Mitbestimmung Ablaufplanung Fehlerdetektion, lernende Prozesse, Auditierung IT-Technik Funktionalität, Kosten, Sicherheit Weiche Faktoren für mehr Kunden- und Mitarbeiterzufriedenheit Datenschutz zwischen Compliance und IT-Sicherheit Weichert: Schwachstellen im Datenschutz Folie 2

2 Verstöße allerorten Betrieblicher Datenschutzbeauftragter? IT-Sicherheit (Internet, interne Abschottung, mobile Medien)? Dokumentation der Verfahren und Verantwortlichkeiten? Auftragskontrolle (z.b. Callcenter)? Bearbeitung von Beschwerden (z.b. Auskunftsersuchen)? Technische Machbarkeit Behördliche Anforderung Problembewusstsein der Anwender? Kontrollbedürfnis der Stellenleitung? Schädigungsabsicht? Weichert: Schwachstellen im Datenschutz Folie 3 harte IT-Sicherheit Kosteneinsparungen Optimierte Abläufe, effektiver Ressourceneinsatz Produktivitätserhöhung Ziele weiche Kundenzufriedenheit und öffentliches Renommee Mitarbeiterzufriedenheit Compliance Grundrechtsschutz bei personenbezogener Datenverarbeitung Weichert: Schwachstellen im Datenschutz Folie 4

3 Wandel beim Datenschutz Wandel: Missbrauchsverbot materielle Nutzungsregeln technisch-organisatorische Sicherungen Privacy Enhancing Technologies Informationsmanagement Wandel vom Soft law (immaterielle Schäden) zu Compliance, Standardisierung und Sanktionen (materielle Schäden) Dauerndes Vollzugsdefizit mangels staatlicher Aufsicht, öffentliche Aufmerksamkeit, politische Sensibilisierung, stelleninterner Abbau von Vollzugsdefiziten Weichert: Schwachstellen im Datenschutz Folie 5 Datenschutzmangement = unternehmensleitende Maßnahmen, um den Datenschutzanforderungen gerecht zu werden = Bestandteil eines umfassenderen IT- und Compliance- Managements Erfasst v.a. folgende Abteilungen: IT, Personal, Finanzen, Kunden (Marketing), Lieferanten Umfasst Systemadministration, Einzelanwendungen, interne Netzwerke, Kommunikation, Schnittstelle zum Internet Instrumente: Recht, Technik, Organisation, Ausbildung Weichert: Schwachstellen im Datenschutz Folie 6

4 Recht (v.a. BDSG) Materielles Recht Verfahrensverzeichnis ( 4e), Vorabkontrolle ( 4d Abs. 5) Betrieblicher Datenschutzbeauftragte ( 4f, 4g), direkt der Leitung unterstellt, fachkundig, zuverlässig, unabhängig, ang. ausgestattet Mitbestimmung des Betriebsrats ( 87 Abs. 1 Nr. 6 BetrVG) Generalklausel: angemessene technisch-organisatorische Maßnahmen ( 9 und Anlage) Im öffentlichen Bereich: Test, Dokumentation, Freigabe, z.b. DSVO SH Freiwillig: Audit Gütesiegel ( 9a, 4 II, 43 II LDSG SH) bei Audit: Datenschutzmangement Voraussetzung Weichert: Schwachstellen im Datenschutz Folie 7 Unternehmensleitung Gelebte und propagierte grundrechts- und bürgerfreundliche Unternehmensphilosophie Festlegung der Regeln (Handbuch, Dienstanweisungen, Betriebsvereinbarungen Anweisung und Kontrolle vermittelt im Normalfall durch bdsb, im Konfliktfall durch Vorstand Öffentlichkeitsarbeit und Datenschutzmarketing Größter Fehler bei Problemen: Bestreiten statt Hinterfragen Weichert: Schwachstellen im Datenschutz Folie 8

5 Betrieblicher Datenschutzbeauftragter Schulung Beratung und Hilfen (Einzelfall, DS-Handbuch) Kontrolle Organisation (u.a. Vorabkontrolle, Verfahrensverzeichnis) Schnittstelle zwischen Leitung und Betriebsrat, IT- Administration, Mitarbeitern, DS-Aufsicht und Betroffenen Einrichtung von Ansprechpartnern bei Großunternehmen Autor des Datenschutzmangementsystems mit Musterlösungen und Workflow b. DS-relevanten Vorgängen Regelmäßige Revision der Workflows Regelmäßige Berichterstattung Weichert: Schwachstellen im Datenschutz Folie 9 Datenschutzrelevante Abläufe Produktionsprozess (Fallbearbeitung incl. Erforderlichkeitsprüfung, Pseudonymisierung, Sperrung, Löschung Neueinstellung von Bediensteten Schulung, Information von Bediensteten incl. Aktualisierung Erlass von Dienstanweisungen Beschaffung und Freigabe von IT (Software, Hardware) Beauftragung von Drittfirmen Anlassbezogene und systematische Kontrolle Interne u. externe Auditprozesse Datenübermittlungsanforderungen (z.b. Polizei) Beschwerdebearbeitung Vorgehen bei besonderen Vorkommnissen Weichert: Schwachstellen im Datenschutz Folie 10

6 Effekte Optimierung der Abläufe (auch bzgl. Funktionalität und Sicherheit) Effektive schnelle Fehlerbeseitigung Erhöhung der Transparenz Motivation der Mitarbeiter Kundenbindung oder Behördliche Ermittlungen Kosten für Nachbesserungen und Bußgelder Behinderte Abläufe Schlechte Presse Weichert: Schwachstellen im Datenschutz Folie 11 Tipps Auswahl eines qualifizierten bdsb Abstimmung des DS- mit dem IT-Sicherheits- und den sonstigen Unternehmensmanagement Organisiertes, zeitlich abgestuftes, modulares Vorgehen Größtmögliche Transparenz gegenüber allen Betriebsangehörigen Nutzung von auditierten Produkten und Verfahren Erfahrungsaustausch und enge Kommunikation mit DS- Aufsicht Nutzung von Checklisten Regelmäßige Revision Weichert: Schwachstellen im Datenschutz Folie 12

7 Schwachstellen im Datenschutz wo drückt der Schuh? Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein (ULD) Independent Center for Privacy Protection Schleswig-Holstein (ICPP) Holstenstr. 98, D Kiel Weichert: Schwachstellen im Datenschutz Folie 13