Datenschutz im KMU leicht gemacht in 7 Schritten gesetzeskonform

Transkript

1 1 Datenschutz im KMU leicht gemacht in 7 Schritten gesetzeskonform Unternehmergespräch der IG Jena-Süd am in Jena Unternehmensberater für Qualitätsmanagement, Datenschutz und Datensicherheit, Herr Udo Pohl Was ist Datenschutz? Begriffe und Gesetze zum Datenschutz, grundlegende Anforderungen des BDSG Notwendigkeit der Bestellung eines betrieblichen Datenschutzbeauftragten Was muss ein Unternehmen mindestens an Forderungen hinsichtlich Datenschutz erfüllen 7 Schritte? Seite 1

2 2 Abgrenzung Datenschutz/Datensicherheit Datenschutz Datensicherheit Geschützt: Natürliche Personen Gefahr: Verletzung von Persönlichkeitsrechten 9 BDSG nebst Anlage Geschützt: Hard-, Org.-, Software, Daten Gefahr: Verlust, Zerstörung, Missbrauch durch Unbefugte Festlegungen zum Datenschutz pbdaten Grundgesetz der BR Deutschland Schutz des Bürgers vor Beeinträchtigung seines Persönlichkeitsrechtes Recht auf informationelle Selbstbestimmung Seite 2

3 3 Datenschutz Gesetze und Normen sind... Bundesdatenschutzgesetz Telemediengesetz Telekommunikationsgesetz Datenschutzgesetze der Länder Signaturgesetz Formvorschriften-Anpassungsgesetz Gesetz gegen unlauteren Wettbewerb EG-Datenschutzrichtlinie EG-Signaturrichtlinie Wichtige Gesetze zum Datenschutz Bundesdatenschutzgesetz vom (geä ) Telemediengesetz vom Telekommunikationsgesetz vom Beachte u.u. auch: Kunsturheberrechtsgesetz vom geä Gesetz gegen den unlauteren Wettbewerb (UWG) vom geä DIN EN ISO 9001:2008 Kundeneigentum! Thüringer Datenschutzgesetz vom 10.Okt.2001 (geändert 30. November 2011) gilt aber nicht für die Privatwirtschaft! Seite 3

4 4 Bundesdatenschutzgesetz BDSG Informationsbedürfnisse Persönlichkeitsrechtsschutz Arbeitgeber Finanzamt Geschäftspartner Steuerberater Versicherungen Banken Der Einzelne soll wissen: wer was wann warum über ihn weiß Personenbezogene Daten (pbdaten) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person Namen, Adresse, Geburtsdaten, Jubiläen, Lebensumstände, Kinder, Besitzstände, Beruf, Tätigkeiten, Gewohnheiten, Hobbys, Seite 4

5 5 Personenbezogene Daten (pbdaten) Alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person") Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. (bestimmbar u.a. über KFZ-Kennzeichen, IP-Adresse u.u. auch Personalnummer bzw. Fotos ) Besondere Arten pbdaten ( 3 (9)BDSG rassische oder ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben Seite 5

6 6 Wann gilt das BDSG? Erhebung, Verarbeitung und Nutzung pbdaten durch: Öffentliche Stellen des Bundes Öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetze geregelt ist Nicht-öffentliche Stellen soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten Umgang/Verarbeitung von pbdaten Erheben Bearbeiten Nutzen Speichern Verändern Übermitteln Sperren Löschen Anonymisieren Pseudoanonymisieren Seite 6

7 7 Merke: Datenschutz ist ganz einfach! Das Erheben, Verarbeiten, Speichern jeglicher Arten von personenbezogenen Daten mit elektronischen Mitteln ist grundsätzlich verboten!!! ( 4BDSG) Ausnahmen: - Verbot mit Erlaubnisvorbehalt!!! es dient der Abwicklung eines Geschäftes oder eines Vertrages mit dem Betroffenen oder es gibt ein Gesetz oder eine vergleichbare Richtlinie oder der Betroffene hat in die Verarbeitung eingewilligt! Werden dann Daten erhoben/verarbeitet, besteht eine Meldepflicht seitens des Datenverarbeiters!!!! Wichtige Fragestellungen eines Unternehmers/GF zur Umsetzung der Anforderungen des BDSG in seinem Unternehmen! Seite 7

8 8 Muss ich einen Datenschutzbeauftragten bestellen? Pflicht zur Bestellung ( 4f) Wenn mehr als 9 Mitarbeiter ständig mit der automatisierten Verarbeitung pbdaten beschäftigt sind ( 4f BDSG) bzw. mindestens 20 Mitarbeiter in anderer Weise damit beschäftigt sind.»unternehmen der Markt- und Meinungsforschung bzw. die der Vorabkontrolle unterliegen, unabhängig von der Anzahl der beschäftigten Personen immer! Interessenskonflikte beachten»keine Leiter der EDV, Kein Personalleiter oder GF, aber Externer möglich Fachliche Qualifikation und Eignung, in Sachen Datenschutz weisungsfrei, Kündigungsschutz Kann immer nur für das jeweilige juristisch selbständige Unternehmen bestellt werden. (Es gibt kein Konzernprivileg ) Keine Pflicht zur Bestellung eines Datenschutzbeauftragten Beachte: Das BDSG gilt dennoch! 4g (2a) BDSG sinngemäß Soweit bei einem Unternehmen keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat die Geschäftsführung die Erfüllung der Aufgaben eines Datenschutzbeauftragten in anderer Weise sicher zu stellen Seite 8

9 9 Wie kann ich ermitteln und dokumentieren wo sich pbdaten im Unternehmen befinden? Ermittlung und Bewertung der im und vom Unternehmen verarbeiteten personenbezogenen Daten und Ermittlung der Personen, die personenbezogene Daten automatisiert verarbeiten.(basisdaten nach 4e BDSG erfassen) Erstellen von Verfahrensübersichten (interne Verfahrensverzeichnisse intern + Verfahrensverzeichnis für jedermann ) Bewertung der Umsetzung der technisch - organisatorischen Maßnahmen zur Datensicherheit ( 9 BDSG + Anlage) Die 8 Gebote der Datensicherung ( 9 BDSG) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zweckbindungskontrolle kein unbefugter Zutritt zu DVA-Räumen keine unbefugte Nutzung der DVA keine unbefugter Datenzugriff kein unbefugtes Lesen, Kopieren, Verändern, Entfernen Nachweis der Historie von Daten- eingabe, - änderung und -entfernung Verarbeitung nur nach Weisung des AG Schutz gegen zufällige oder mutwillige Zerstörung oder Verlust Trennung von Daten für versch. Zwecke Seite 9

10 10 Inhalt der internen Verfahrensverzeichnisse ( 4e BDSG, 4g(2) BDSG) Name oder Firma der verantwortlichen Stelle, Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, Anschrift der verantwortlichen Stelle, Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, Regelfristen für die Löschung der Daten, eine geplante Datenübermittlung in Drittstaaten, eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. (8 Gebote der Datensicherung nach Anhang zum BDSG) Was muss ich bzgl. der Mitarbeiter tun die pbdaten verarbeiten? Datengeheimnis Verpflichtung ( 5 BDSG) Den mit der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Die Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten Seite 10

11 11 Gibt es Regelungen zum Arbeitnehmerdatenschutz? 32 Beschäftigtendatenschutz Allgemeiner Zulässigkeitsrahmen in 32 Abs. 1 Satz 1 Es dürfen alle Daten erhoben werden, die erforderlich für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder dessen Durchführung oder Beendigung sind und soweit sie mit dem Arbeitsverhältnis in einem unmittelbaren inneren Zusammenhang stehen. Dieser regelt die Erhebung von Daten zur Aufdeckung von Straftaten. Problem: Daten der Beschäftigten dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn ein begründeter Verdacht vorliegt. Dieser Verdacht ist vorab zu dokumentieren. Anschließend müssen die ermittlungstechnischen Methoden so gestaltet sein, dass sie insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind Was muss ich tun bei Datenverlust? 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) d.h.: betroffen sind besondere Arten personenbezogener Daten ( 3 Absatz 9), Daten, die einem Berufsgeheimnis unterliegen, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen sowie Daten zur Bank- und Kreditkartenkonten deren Verlust oder unrechtmäßige Kenntnisnahme ist bei zu erwartender schwerwiegenden Beeinträchtigung der Rechte des Betroffenen unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen Seite 11

12 12 regional zuständige Aufsichtsbehörde für den Datenschutz bei den nicht-öffentlichen Stellen in Thüringen - Die Dienststelle des TLfD Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit Dr. Lutz Hasse Tel.: / Geschäftszimmer Franziska Rühlemann Tel.: / Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit Postanschrift: Postfach Erfurt Anschrift: Häßler-Str Erfurt Tel.: / Fax: / poststelle@datenschutz.thueringen.de Was ist bei Nutzung der modernen Kommunikationsmedien zu beachten? Regelungen bzgl. der Nutzung von Internet, und Telekommunikation treffen (Stichwort erlaubte Privatnutzung TMG, TKG) Prüfung des WEB-Auftritts bzgl. Erhebung von pb Daten (Kontakt, Bewerber, Newsletter, Einwilligungen, Impressumspflicht nach TMG und Datenschutzerklärung eigene + gff. Google + Facebook) Regelungen/Standpunkte bzgl. Umgang mit sozialen Netzwerken z.b. Facebook durch Mitarbeiter treffen Seite 12

13 13 Umgang mit Kundendaten Sicherheit der eigenen Kundendatenbank gewährleisten (Datensicherheit)»Ort der Speicherung, Zugriffsmöglichkeiten, regelmäßige Datensicherung, Test der Wiederherstellung»Verfahrensverzeichnis erstellen und Mitarbeiter auf das Datengeheimnis verpflichten Kundenansprache mittels »Werbung, Newsletter, Anforderungen aus BDSG und Gesetz unlauteren Wettbewerb»Schutz der verteiler (Bußgeld)»Verschlüsselung von Mailinhalten bei vertraulichen und personenbezogenen Daten Was ist im Rahmen von Datenübermittlung zu beachten? Begriff Übermitteln nach BDSG... das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft Prüfen das alle Voraussetzungen dafür vorliegen, ggf. gesonderte Verträge abschließen! (z.b. Auftragsdatenverarbeitung) Seite 13

14 14 Aktuelle Themen/ DATENPANNEN Datenpanne Elektronikmarkt verkauft zurückgegebenes Notebook mit persönlichen Daten des Vorbesitzers Datum: Ort: München Datenherkunft: Elektronikmarkt Betroffene: Kunde Beschreibung: Ein Münchner hatte das Notebook in einem Pasinger Elektronikmarkt gekauft und seine persönlichen Daten gleich aufgespielt. Da sich der Computer nicht mehr starten ließ, brachte er das Gerät zurück und tauschte es um. Ihm wurde zugesichert, dass die Daten des defekten Gerätes gelöscht werden. Nach drei Monaten dann der überraschende Anruf des neuen Besitzers, der genau dieses jetzt reparierte Notebook als Neugerät gekauft hatte: Daten wie Steuerunterlagen, Firmenpapiere und private Fotos befanden sich noch auf der Festplatte. Quellen: Süddeutsche.de vom Seite 14

15 15 Datenpanne Stadtwerke Ulm/Neu-Ulm verschicken Bankdaten unverschlüsselt Datum: Freitag, 31. Januar 2014 Ort: Ulm/Neu-Ulm Datenherkunft: SWU Stadtwerke Ulm/Neu-Ulm GmbH Betroffene: Kunden Beschreibung: Die Stadtwerke Ulm/Neu-Ulm (SWU) versendeten an über Kunden deren persönliche IBAN- und BIC-Kontonummern als unverschlüsselte . Betroffene der Datenpanne waren Inhaber der SWU-SchwabenCard, einer Servicekarte des Unternehmens. Die Kunden sollten die neuen Kontonummern des jüngst eingeführten europaeinheitlichen Zahlungsverkehrs überprüfen. SWU-Sprecher Bernd Jünke bestätigte, dass etwa SchwabenCard-Kunden die E- Mail erhielten, bis der Mailversand wegen berechtigter Kundenbeschwerden gestoppt wurde. Die restlichen SchwabenCard-Kunden wurden per Brief informiert. Die betroffenen SchwabenCard-Kunden bittet Jünke, ihre Kontobewegungen in der nächsten Zeit besonders aufmerksam zu kontrollieren. Quellen: Südwest Presse vom Sanktionen Bußgeld (nur BDSG) Straftatbestand Bußgeld Bußgeld Freiheitsstrafe (<2 Jahre) oder Geldstrafe Organisationsverstöße - kein bdsb - keine techn.-org. Maßnahmen - keine Unterrichtung Betroffener rechtswidrige Datenverarbeitung - unbefugte Erhebung - unbefugte Deanonymisierung - zweckwidrige Weitergabe vorsätzliche Handlung gegen Entgelt Bereicherungsabsicht Schädigung anderer Neu: Geldbuße soll wirtschaftlichen Vorteil aus der Ordnungswidrigkeit übersteigen!!! Seite 15

16 16 FAZIT Datenschutz personenbezogener (pb) Daten Abschlusscheck 1-7: 1. Wo und von wem werden in meinem Unternehmen pbdaten verarbeitet? Habe ich diese Verfahren erfasst? 2. Sind die Mitarbeiter die pbdaten verarbeiten auf das Datengeheimnis verpflichtet? 3. Muss ich einen Datenschutzbeauftragten erstellen? 4. Habe ich Dienstleistern die pbdaten in meinem Auftrag verarbeiten, wenn ja dann Regelungen treffen? 5. Gibt es ein Meldeverfahren bzgl. Datenverlust? 6. Habe ich interne Regelungen bzgl. einer Datenschutzkultur getroffen? 7. Wie ist die Außendarstellung meines Unternehmens hinsichtlich Datenschutzanfragen abgesichert? Vielen Dank für die Aufmerksamkeit! nützliche Links (IT-Grundschutzhandbuch) (Gesellschaft für Datenschutz) Für Fragen QDD Unternehmensberatung Dipl. Ing. Udo Pohl Konrad-Zuse-Str Jena Tel: Fax: qdd-pohl@t-online.de Seite 16