DER DATENSCHUTZBEAUFTRAGTE UND SEIN AUFTRAG

Transkript

1 Inhalt Vorwort A DER DATENSCHUTZBEAUFTRAGTE UND SEIN AUFTRAG Der Datenschutzbeauftragte Berufliche Endstation oder Entwicklungsposition? Ausgangssituation Die DV-Landschaft als Grundlage der Arbeit des Datenschutzbeauftragten Technische und Umfeldbedingungen Technische Lösungen und Umfeldbedingungen heutiger Systeme Die»Acht Kontrollmaßnahmen des Datenschutzes«als Prüfkriterien für Veränderungen Datenschutz als»restfunktion«der Gesamtsicherheit Ausgangsbasis für sichere Systeme »Restfunktionen«als Aufgaben des DSB Organisatorische Effizienzerhöhung und Absicherung des DSB Die Effizienz des DSB als Teilzeittätigem DSB und Tätigkeitskombinationen Perspektiven: Neue Technologien und ihre Auswirkungen Die Unterrichtungsaufgabe des Datenschutzbeauftragten Aufgabenbeschreibung der Praxis Inhalte des»vertrautmachens« Gesetzliche Inhalte Situative Gegebenheiten Maßnahmen des»vertrautmachens« Schriftliche Maßnahmen Frontalschulungen Einsatz multimedialer Hilfsmittel Resümee B DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN Der betriebliche Datenschutzbeauftragte im Umfeld der Organisation der Informationssicherheit des Unternehmens Stellen mit der Informationssicherheit als Kern- oder Teilfunktion Der Datenschutzbeauftragte Der Informationssicherheitsbeauftragte Die IV-Revision Leitungsstellen des IV-/DV-Bereichs Andere Sicherheitsfachkräfte Sicherheitsforen und -gremien

2 Datenschutz Best Practice 3.2 Stellen mit der Informationsverarbeitung als Kernfunktion Stellen mit der Informationsverarbeitung als Randfunktion Das Management Der Anwender Resümee Betrieblicher Datenschutzbeauftragter und IT-Revisor Kooperation oder Gegensätze? Aufgabenstellung des betrieblichen Datenschutzbeauftragten Aufgabenstellung der IT-Revision Beziehungszusammenhang zwischen den Aufgaben des betrieblichen Datenschutzbeauftragten und der IT- Revision Wie kann das in der Praxisaussehen? Möglichkeiten der Kooperation Tätigkeiten der IT-Revision Tätigkeiten des betrieblichen Datenschutzbeauftragten Wie kann ein Modell der Kooperation zwischen betrieblichem Datenschutzbeauftragten und IT-Revision aussehen? Zusammenfassung Datenschutz als Gegenstand von Revisionsprozessen Vorbemerkungen Kontroll-Organe auch des Datenschutzes Die Rolle der Revision beim Datenschutz Prüfen des Datenschutzes durch die Revision Prüfobjekte bei der Revision des Datenschutzes Auftragsdatenverarbeitung Prüfmethoden und Prüfmittel Verhältnis zwischen Datenschutzbeauftragtem und Revision Berücksichtigung des Datenschutzes bei Prüfungen durch die Revision Beachtung des Datenschutzes durch die Revision Datenschutzgesetze als Prüfvorgabe Abschlussbemerkungen Mitarbeitervertretung und DSB Kontrolle und/oder Kooperation beim Personaldatenschutz? Vorbemerkung Datenschutzaufgaben der Mitarbeitervertretungen aus BetrVG und PersVG Der Schutzauftrag des 75 Abs. 2 BetrVG Kontrollbefugnissegem. 80 Abs. 1 BetrVG/ 68 Abs. 1 BPersVG Mitbestimmung bei Bestellung und Kontrolle des betriebs-/ behörden-internen DSB

3 Inhalt 6.3 Mitbestimmung im Aufgabenbereich des DSB Mitbestimmung bei Schulungsmaßnahmen/ auf das Datengeheimnis Mitbestimmung bei Maßnahmen zur Datensicherung Kontrollrechte des DSB bei Datenverarbeitungen der Mitarbeitervertretung Allgemeines Verpflichtung auf das Datengeheimnis Bereitstellung eines Verfahrensverzeichnisses Betriebsrat als Datenschutzbeauftragter Die Rechtsstellung des Datenschutzbeauftragten als Arbeitnehmer im neuen BDSG bekommt der DSB nun die Aufmerksamkeit, die er verdient? Vorbemerkung Gesetzliche Neuregelung Bisherige Problematik Kontroverse Rechtsprechungsübersicht Wertung Fazit Auftragsdatenverarbeitung Begriff und Inhalt der Auftragsdatenverarbeitung Auswahl des Auftragnehmers Auftragsgestaltung Service Level Agreements C DER DATENSCHUTZBEAUFTRAGTE IM NICHTBETRIEBLICHEN UMFELD Der betriebliche Datenschutzbeauftragte und sein Auftrag Der Datenschutzbeauftragte im Kontrollsystem des Bundesdatenschutzgesetzes Die Bestellung des Datenschutzbeauftragten Die persönlichen Voraussetzungen für die Bestellung zum Datenschutzbeauftragten Interner oder externer Datenschutzbeauftragter? Haupt- oder nebenamtlicher Datenschutzbeauftragter? Die Aufgaben des Datenschutzbeauftragten Aufgaben, Probleme und praktische Arbeit des externen DSB Abgrenzung zum betrieblichen DSB Aufgaben des externen DSB Generelle Aufgaben Besondere Aufgaben gemäß 4g Besondere Aufgaben gemäß 4g Praktische Arbeit des externen DSB

4 Datenschutz Best Practice Abgrenzung der Verantwortlichkeiten Arbeitsaufwand des externen DSB Die Arbeit der Aufsichtsbehörde Rahmenbedingungen der aufsichtsbehördlichen Tätigkeit Verfassungsrechtliche Rahmenbedingungen Europarechtliche Vorgaben Funktionale oder institutionelle Unabhängigkeit der Aufsichtsbehörden? Gliederung der Aufsichtsbehörden Örtliche Zuständigkeit der Aufsichtsbehörden Kontrollumfang und maßstab der Aufsichtsbehörden Aufgaben der Aufsichtsbehörde Führen des Registers nach 4d BDSG ( 38 Abs. 2 Satz 1 BDSG) Bearbeiten von Eingaben ( 38 Abs. 1 Satz 8 BDSG, 21 Satz 1 BDSG) Beraten und Unterstützen des betrieblichen Datenschutzbeauftragten und der verantwortlichen Stelle ( 38 Abs. 1 Satz 2 BDSG) Durchführen von Kontrollen ( 38 Abs. 1 Satz 1 BDSG) Sanktionieren von Verstößen Genehmigen der Datenübermittlung in Drittstaaten ( 4c Abs. 2 Satz 1 BDSG) Überprüfen von Verhaltensregeln ( 38a Abs. 2 BDSG) Befugnisse der Aufsichtsbehörde Auskunftspflicht der verantwortlichen Stelle ( 38 Abs. 3 BDSG) Zutritts-, Prüfungs- und Besichtigungsrecht ( 38 Abs. 4 Satz 1, 2, 3 BDSG) Duldungs- und Mitwirkungspflichten der verantwortlichen Stelle ( 38 Abs. 4 Satz 4 BDSG) Durchsetzungsrecht Datenverarbeitungsbefugnisse ( 38 Abs. 1 Satz 3 bis 6, 8 BDSG) Rechtsschutz gegenüber der Aufsichtsbehörde Rechtsschutz Betroffener Rechtsschutz der verantwortlichen Stelle D DIE REALISIERUNG DER DATENSCHUTZARBEIT Vorabkontrolle, Datenschutzaudit und Protection Profiles Standards und Normen als Grundlage Gesetzliche Grundlagen Vorabkontrolle Datenschutzaudit

5 Inhalt Regelungen des BDSG und des DSG SH Vergleich der Analysegebiete beider Normen Herausarbeitung gemeinsamer und differierender Gebiete Deckungsgleiche Gebiete (im Wesentlichen gesetzlicher Art) Differierende Gebiete (im Wesentlichen unternehmensspezifischer Art) Die Einsatzumgebung als Gegenstand von Gütesiegelung und Vorabkontrolle Vorabkontrolle und Datenschutzaudit: Durchführungsprobleme Vorabkontrolle als organisatorisch-technisches und wirtschaftliches Problem Datenschutz auditierte Produkte als Beschaffungsund Bewertungsproblem Zugangs-/Zugriffskontrolle Zusammenfassung und Bewertung Datenschutz im Konzern Gesetzliche Ausgangslage Die Datenschutzorganisation im Konzern Deutsche Telekom Der Konzerndatenschutzbeauftragte und das Datenschutzniveau Aktuelle operative Herausforderungen des Konzerndatenschutzes Das Fachkonzept Datenschutz Ausblick Datenschutz in Klein- und Mittelunternehmen (KMU) Ein Erfahrungsbericht Die Ausgangslage und Unstrittiges Datenschutz betrifft alle Unternehmen Problematische Bestellung Geringer Umsetzungsgrad Der Einstieg und erste Probleme Die Notwendigkeit einer Bestandaufnahme Inhalt und Umfang der Bestandaufnahme Optimierungsmöglichkeiten der Analyse Form der Durchführung Weitere Aktivitäten Der Start und erste Widerstände Widerstände gegen den Datenschutz Erfahrung, Fingerspitzengefühl, Sensibilisierung und internes Marketing Fallstricke während des Workshops Die Umsetzung und schon wieder Widerstände Kompensationsmaßnahmen Datenschutz-Konzept Schulung / Sensibilisierung Das kontinuierliche Weiterarbeiten und... weitere Herausforderungen

6 Datenschutz Best Practice Hilfe und Akzeptanz durch Kooperationen Einbinden externer Dienstleister Fort- und Weiterbildung / Coaching Ein Fazit E DATENSCHUTZ UND INTERNATIONALES UMFELD Das Schweizer Modell: Datenschutz ohne Verpflichtung zum betrieblichen Datenschutzbeauftragten Das Bundesgesetz über den Datenschutz Grundzüge Entstehungsgeschichte Revision des Datenschutzgesetzes Der bdsb im Datenschutzgesetz Privatrecht Öffentliches Recht Bestellung und Fachkenntnisse eines bdsb Aufgaben des bdsb Gesetzliche Verpflichtungen privater Datenbearbeiter Weitere Punkte im Pflichtenheft des bdsb Rechtliche Stellung Abberufungs- und Kündigungsschutz Rechtsstellung der Personalverbänden bei der Bestellung und Abberufung des bdsb Zivilrechtliche Haftung des bdsb Rechtsstellung gegenüber den Datenschutzaufsichtsbehörden Strafrechtliche Aspekte Ausbildungsmöglichkeiten Berufsorganisationen Der bdsb als Qualitätsmanager für Datenschutz und Informationssicherheit Das Datenschutzgütesiegel GoodPriv@cy Die Bestellung eines bdsb als Zertifizierungsvoraussetzung Aufwertung des bdsb durch die Funktion des Datenschutz- und Informationssicherheitsmanagers Das Schweizer Modell im Lichte der EU-Richtlinien Die Datenschutzrichtlinie und ihre Umsetzung in den Mitgliedstaaten Umsetzungserfordernis und unmittelbare Geltung einer EU-Richtlinie Funktion und Bedeutung der EU-Datenschutzrichtlinie Umsetzung in den einzelnen Mitgliedstaaten Allgemeines Bericht der Kommission über den Stand der Umsetzung von

7 Inhalt Festgestellte Fortschritte seit Veröffentlichung des ersten Berichts Konsequenzen für international tätige Unternehmen Privacy Code of Conduct als vertrauensbildende Maßnahme in global operierenden Konzernen Kein angemessenes Datenschutzniveau? Regelungsmöglichkeiten Einzelverträge EU-Standardvertragsklauseln für den Drittlandverkehr Company-to-Company-Agreement (CtoCA) Safe Harbor Privacy Code of Conduct Datenflüsse innerhalb des Konzerns Personaldaten und der Privacy Code of Conduct Geschäftspartner und der Privacy Code of Conduct Inhalte eines Praxis Privacy Code of Conduct Grundsätze für die Verarbeitung personenbezogener Daten von Mitarbeitern und Geschäftspartnern Grundsätze für die Verarbeitung schutzwürdiger betrieblicher Daten/Informationen Datenschutz- und Informationssicherheitsorganisation Umsetzung eines Privacy Code of Conduct in die Praxis Durchsetzung im Konzern Anerkennung des Privacy Code of Conduct Fazit EU Standardvertragsklauseln zur Gewährleistung des Datenschutzniveaus bei internationalen Datentransfer in nicht- sichere Drittländer Problem Vorgaben des Bundesdatenschutzgesetzes (BDSG) Übermittlung personenbezogener Daten ins Ausland Möglichkeiten für die Übermittlung nach 4c BDSG Weitere Möglichkeiten für die Übermittlung EU Standardvertragsklauseln Standardklauseln vom 15. Juni Standardvertragsklauseln vom 27. Dezember 2004 (ICC Standardvertragsklauseln oder Standardvertrag II) Standardvertragsklauseln vom 27. Dezember 2001 (für Auftragsdatenverarbeitung) Safe Harbor Principles Zusammenfassung Quellenverzeichnis F DATENSCHUTZ IN WIRTSCHAFTSZWEIGEN

8 Datenschutz Best Practice 19 Datenschutz in Energieversorgungsunternehmen (EVU) Bedeutung des Datenschutzes für Energieversorger Datenschutzkonforme Außendarstellung von EVU Informationspflichten Widerspruch gegen die Nutzung oder Übermittlung personenbezogener Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung Internetangebot, Customer Self Service Gebäudeenergieausweis Vertriebstätigkeiten Videoüberwachung Interner Datenschutz Schulung von Mitarbeitern und Mitarbeiterinnen Nutzung von Telemedien Überwachung von Beschäftigten Auskunftsersuchen Betroffener und externer Stellen Unbundling und Datenschutz Datenverarbeitung im Auftrag Datenschutz als Wettbewerbsfaktor Fazit Datenschutz in der Anwaltskanzlei Datenschutz vs. Berufspflichten? Datenschutz innerhalb der Mandatsbeziehung Informations- und Aktenverwaltung Akteneinsicht Ansprüche des Betroffenen Wartung der EDV-Anlage Technisch-organisatorische Pflichten Datenschutz außerhalb der Mandatsbeziehung Betrieblicher Datenschutzbeauftragter Verhältnis zur Aufsichtsbehörde Formen anwaltlicher Zusammenarbeit Bürogemeinschaft Örtliche und überörtliche Sozietät Kanzleiübergabe / -fusion Checkliste Datenschutz im Gesundheitswesen Besonderheiten im Gesundheitswesen Akteure im Gesundheitswesen Rechtsgrundlagen Allgemeines

9 Inhalt Datenvermeidung und -sparsamkeit versus Dokumentationspflicht Bestellung eines Datenschutzbeauftragten Datenschutz behindert die Entwicklungen im Gesundheitswesen!? Aktuelle Probleme Unbeaufsichtigte Patientenunterlagen Patientenakten außerhalb des Krankenhauses Auskünfte über den Patienten Türschilder mit Namen am Patientenzimmer Datenübermittlung per Fax oder Entsorgung vom Unterlagen Digitale Gesundheitsakte Fazit Besonderheiten der Arbeit des Datenschutzbeauftragten in öffentlichen Stellen Ursachen und Grenzen der Besonderheiten Gemeinsamer Datenschutzbeauftragter Externe Datenschutzbeauftragte Ausschluss externer Datenschutzbeauftragter Bedienstete der Aufsichtsbehörde als externe Datenschutzbeauftragte Bedienstete anderer öffentlicher Stellen des Landes als externe Datenschutzbeauftragte Datenschutzarbeit im öffentlichen Bereich durch private Datenschutzspezialisten Datenschutzbeauftragte im außerbehördlichen Umfeld Spezifische Rechtsprobleme und ihre Auswirkungen auf die Tagesarbeit Recht auf Einsicht in Akten und Dateien Kontrolle der Personalvertretung Einschalten der Kontrollstelle Rechtsgrundlagen der Datenverarbeitung der öffentlichen Stellen Vorabkontrolle Unabhängigkeit der Datenschutzbeauftragten im öffentlichen Bereich Gewährleistung der Unabhängigkeit des Datenschutzbeauftragten Gefährdung der Unabhängigkeit Besonderheiten der Unterstützungspflicht Werben für den Datenschutz Quellen und Literaturhinweise Vorabkontrollen gemäß LDSG NRW Sicherung der Ordnungsmäßigkeit im Datenschutz Gesetzliche Grundlagen für Vorabkontrollen im DSG NRW Verfahrensablauf für die Abwicklung von Vorabkontrollen Produkt vs. Verfahren

10 Datenschutz Best Practice Einfache und komplexe Verfahren Vorabkontrolle von Systemen/Programmen als Grundlage für die Prüfung von Verfahren in Einsatzumgebungen Das UIMCert-Tool und seine Leistungen auf dem Gebiet der Vorabkontrollen Standardisierte Textbausteine Individuelle Bemerkung Management Summary Prüfungsgebiete bei Vorabkontrollen Durchführung der Vorabkontrolle Unterschiedliche Vorgehensweisen Der Aufbau eines ausführlichen Vorabkontrollberichts Ergebnisse am Beispiel Besonderheiten der Arbeit des Datenschutzbeauftragten im Kreditinstitut Bankenspezifische Organisation des Datenschutzes (MaRisk) Festlegung einer Risikostrategie Unvereinbare Tätigkeiten des Datenschutzbeauftragten Datenschutz Bestandteil der Risikosteuerungsund -controllingprozesse Organisationsrichtlinien auch zum Datenschutz Dokumentation der Datenschutzkontrollen Mitarbeiter müssen angemessen über die Datenschutzanforderungen informiert sein Technisch-organisatorische Maßnahmen Aktivitäten in neuen Produkten oder auf neuen Märkten Besondere Rechtsprobleme und ihre Auswirkungen auf die Tagesarbeit Bankgeheimnis Automatisierte Kreditentscheidungen Geldwäschegesetz Auslagerung wesentlicher Funktionen (Outsourcing; 25a Abs. 2 KWG) Handhabung spezieller Fragestellungen Auskunftsverfahren (z.b. Schufa) Warndateien Videoüberwachung Selbstbedienungszonen/ Geldautomaten Datenschutz in Filialen und Geschäftsstellen Autorenverzeichnis Index