Datenschutz-Schulung

Transkript

1

2 Datenschutz-Schulung

3 Revowerk ist gesetzlich dazu verpflichtet, seine Stammkundenbetreuer im Bereich Datenschutz zu schulen und sie vertraglich auf die Einhaltung der Datenschutzrichtlinien zu verpflichten. Mit diesem Schulungsmodul kommt Revowerk seiner Verpflichtung nach. Der Schwerpunkt dieser Schulung bezieht sich auf die Teilbereiche des Datenschutzes, die für den Stammkundenbetreuer und seine Tätigkeit bei Revowerk eine gewisse Relevanz haben. Ein kompletter Überblick über dieses große und komplexe Thema würde zu weit gehen.

4 1. Einführung Datenschutzrecht - Allgemeines Persönlichkeitsrecht - Rechtliche Grundlagen - Datenschutzgesetzgebung 2. Datenschutz in Unternehmen und Einrichtungen - Begriffe und Verantwortlichkeiten - Datenvermeidung und Datensparsamkeit - Datengeheimnis und Zweckbindung - Rechte der Betroffenen - Auskünfte und Datenübermittlung an Dritte

5 Im ersten Teil dieser Schulung wird die Einführung des Datenschutzrechts, insbesondere die rechtlichen Grundlagen, besprochen. Der zweite Teil behandelt den Datenschutz in Unternehmen und Einrichtungen.

6 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse (Name, Kundennummer, Bankdaten) einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

7 Wenn über Datenschutz gesprochen wird, sind immer sogenannte personenbezogene Daten gemeint. Das Datenschutzgesetz hat in diesem Sinn auch die Aufgabe, die Rechte von Personen zu schützen, die sich hinter den Daten befinden. Personenbezogene Daten können Angaben zu persönlichen Informationen oder sachlichen Verhältnissen einer Person sein. Durch diese Daten kann eine Person bestimmt oder sogar ausfindig gemacht werden. Zu personenbezogenen Daten zählen z.b. Personaldaten eines Beschäftigten, medizinische Informationen über eine Person oder auch Vorstrafen.

8 Datensicherheit = Informationssicherheit Umfasst alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten. Vertraulichkeit Erheben, Verarbeiten und Speichern nur von autorisierten Benutzern Integrität Nachvollziehbare Änderungen Verfügbarkeit Zugriff auf Daten, Verhinderung von zufälliger Zerstörung oder zufälliger Verlust

9 Datenschutz, Datensicherheit und Informationssicherheit sind synonyme Begriffe. Umfasst werden alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten. Während Informationen wie die Firmenanschrift oder die Beschäftigungszahlen nicht dem Datenschutz unterliegen, fallen alle personenbezogenen Daten darunter. Im Zusammenhang mit der Datenschutzthematik sind die drei Begriffe Vertraulichkeit (Datenerhebung, Verarbeitung und Speicherung nur von befugten Benutzern), Integrität (Nachvollziehbarkeit der Änderungen) und Verfügbarkeit (Zugriff auf Daten, Verhinderung von Zerstörung oder zufälligem Verlust) wichtige Grundlagen, die es zu beachten gilt.

10 Das Bundesdatenschutzgesetz ist ein Gesetz, das sich hauptsächlich mit der informationellen Selbstbestimmung von Personen befasst. Aber auch in anderen Gesetzen, wie z.b. dem Krankenhausgesetz (Ärztliche Schweigepflicht) oder dem Grundgesetz (Allgemeine Persönlichkeitsrechte) kommen Datenschutzbestimmungen vor. Das Datenschutzgesetz selbst ordnet sich dem Strafgesetz unter. Wird gegen das Strafgesetzbuch verstoßen, wird das Datenschutzgesetz außer Kraft gesetzt und das Strafgesetzbuch tritt in Kraft.

11 Neben dem Bundesdatenschutzgesetz (BDSG) gibt es auch das Landesdatenschutzgesetz (LDSG). Unter das LDSG fallen alle öffentlichen Einrichtungen (z.b. Stadtverwaltung, Landratsämter und staatliche Krankenhäuser).

12 Grundsatz Verbot mit Erlaubnisvorbehalt Eine Erhebung, Speicherung oder Nutzung von Daten ist verboten, außer ich habe eine Erlaubnis (Einwilligung) oder es existiert eine gesetzliche Vorschrift! Im deutschen Datenschutz gilt der Grundsatz Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass alles verboten ist, es sei denn, es gibt eine eindeutige Erlaubnis oder Genehmigung der Person, von der die Daten erhoben und gespeichert werden.

13 In der Schweiz ist es z.b. umgekehrt. Hier gilt der Grundsatz Erlaubnis mit Verbotsvorbehalt. Für alle Geschäfte auf deutschem Boden findet aber die deutsche Regelung Anwendung.

14 PRIVAT - Austausch nicht erlaubt ÖFFENTLICH - Legalitätsprinzip

15 Beim Austausch von Daten gibt es gravierende Unterschiede zwischen öffentlichen Einrichtungen (z.b. Finanzamt, Polizei oder GEZ) und Privatunternehmen. In privaten Unternehmen ist ein Austausch von Daten und Informationen nicht erlaubt. Eine GmbH darf z.b. keine personenbezogenen Daten an einen Dritten weitergeben, außer es liegt eine ausdrückliche Einwilligung der betroffenen Person vor. Im öffentlichen Bereich hingegen gilt das Legalitätsprinzip, so dass öffentliche Einrichtungen personenbezogene Daten untereinander austauschen können.

16 Regelungen im Bundesdatenschutzgesetz Regelung der Datenverarbeitung - Zulässigkeit, Erforderlichkeit, Zweckbindung - Ordnungsmäßigkeit der Datenverarbeitung, Beweislastumkehr Rechte der Betroffenen - Benachrichtigung, Auskunft, Berichtigung, Sperrung, Löschung - Schadensersatz, Anrufung der Aufsichtsbehörde Kontrolle des Datenschutzes 1. Stufe: Datenschutzbeauftragter 2. Stufe: Aufsichtsbehörde

17 Die Kontrolle des Datenschutzes unterliegt in erster Stufe dem Datenschutzbeauftragten, wobei die Verantwortung für die Daten immer bei der Geschäftsleitung selbst liegt. Die zweite Stufe in Deutschland ist die Aufsichtsbehörde, die ab und an ins Haus kommt, um Datenschutzprüfungen durchzuführen und Mitarbeiter zu befragen.

18 3 BDSG Begriffe und Verantwortlichkeiten (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

19

20 In Unternehmen fallen die Daten von Mitarbeitern, Bewerbern, Kunden, Lieferanten und noch vielen weiteren Gruppen unter das Bundesdatenschutzgesetz. Alle personenbezogenen Daten dieser Personen müssen geschützt werden.

21 Erforderlichkeit Prinzip des mildesten Mittels zur Zweckerreichung Datensparsamkeit Grundsatz: So kurz wie möglich, so lange wie nötig Datenvermeidbarkeit Ausrichtung nach Erforderlichkeit, nicht nach Nützlichkeit Falsch: Haben ist besser als kriegen

22 Unter dem Begriff der Erforderlichkeit ist zu verstehen, dass nur die Daten erfasst werden, die notwendig sind, um den Zweck zu erfüllen. Wenn ein Unternehmen z.b. von einem Kunden berechtigt aufgefordert wird, seine Daten zu löschen, da der Zweck erfüllt worden ist, muss das Unternehmen den Datensatz dieser Person löschen.

23 Daten sollten auch nicht länger als notwendig gespeichert werden. Bei Telefonrechnungen kann der Kunde z.b. entscheiden, ob seine Verbindungsdaten direkt nach Rechnungsversand oder nach 180 Tagen gelöscht werden. Eine längere Aufbewahrung ist nicht vorgesehen. Andererseits gibt es auch Mindestaufbewahrungsfristen z.b. von 10 Jahren für steuerlich relevante Unterlagen.

24 Transparenz Prinzip Transparenz beschreibt die Anforderung, dass jeder Betroffene wissen soll: - dass Daten und welche Daten über ihn erhoben werden - zu welchem Zweck, bei welcher Stelle, wie lange und aus welchem Grund gespeichert werden

25 Unternehmen sind in Deutschland dazu verpflichtet, ihren Kunden Auskunft darüber zu geben, welche Daten das Unternehmen über sie gespeichert hat. Allerdings empfiehlt es sich, solche Anfragen grundsätzlich schriftlich zu beantworten.

26 3 BDSG Begriffe und Verantwortlichkeiten (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

27 Erhebung ist das Beschaffen von personengebundenen Daten (z.b. Name, Anschrift, Personal-, Mieter-, Mitgliedsnummer, Bankverbindung, Zähler-Nummer) Verarbeitung ist das - Speichern Erfassen, Aufnehmen, Aufbewahren auf Datenträgern - Verändern Inhaltliche Umgestaltung - Übermitteln Bekanntgeben oder Bereithalten zur Einsicht oder Abruf an Dritte - Sperren Kennzeichnen, um weiteres Verarbeiten oder Nutzen einzuschränken - Löschen Unkenntlich machen Nutzung ist jede sonstige Verwendung von personengebundenen Daten

28 Erhebung, Verarbeitung und Nutzung sind Begriffe, die häufig in der EU im Zusammenhang mit Datenschutz besprochen werden. Ziel ist eine einheitliche Datenschutzrichtlinie in der EU. Derzeit gehen die Vorstellungen für einen Konsens aber noch weit auseinander. Die Beschaffung von Daten nennt man Erhebung. Sobald man diese in der EDV verarbeitet, spricht man von einer Verarbeitung der Daten. Von einer Nutzung der Daten würde man z.b. sprechen, wenn ein Unternehmen die Daten einsetzt, um den Kunden zu kontaktieren. In der Schweiz ist es erlaubt, personenbezogene Daten zwischen Mutter-, Tochter- und Schwestergesellschaften auszutauschen. In Deutschland ist dies nicht gestattet

29 Zulässigkeit der Datenspeicherung Grundrecht auf informelle Selbstbestimmung, Einwilligung der Betroffenen (grundsätzlich schriftlich, Hinweis auf Zweck der Speicherung ggf. Übermittlung) oder spezielle Rechtsvorschriften (Steuerrecht, AO, HGB, SGB) Erforderlichkeit der Daten Unterscheidung zwischen erforderlichen und nützlichen, auch unzulässigen, Daten z.b. Hobbys, gesundheitliche Daten von Mitarbeitern Zweckbindung der gespeicherten Daten Verwendung nur zum Zweck der erstmaligen Erhebung, Beachten der informellen Gewaltentrennung, Verpflichtung zur Datensicherung

30 3 BDSG Begriffe und Verantwortlichkeiten (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

31 3a BDSG Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen, im Verhältnis zu dem angestrebten Schutzzweck, unverhältnismäßigen Aufwand erfordert.

32 Das Bundesdatenschutzgesetz hält dazu an, so wenig wie möglich an personenbezogenen Daten zu speichern und Daten, soweit wie möglich, zu anonymisieren und zu pseudonymisieren.

33 5 BDSG Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

34 31 BDSG Besondere Zweckbindung Personenbezogene Daten, die ausschl. zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer DV- Anlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

35 Bei der Datenverarbeitung beschäftigen Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben. Selbst nach einer Beendigung des Arbeitsverhältnisses besteht das Datengeheimnis des Unternehmens weiter fort.

36 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Personenbezogene Daten werden im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen Auftrag ist schriftlich zu erteilen, wobei festzulegen sind: 1. Gegenstand und die Dauer des Auftrags, 2. Umfang, Art und Zweck, Nutzung von Daten, Art der Daten, Kreis der Betroffenen, 3. Technische und organisatorische Maßnahmen, 4. Berichtigung, Löschung und Sperrung von Daten,

37 5. Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. Umfang der Weisungsbefugnisse, 10. Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

38 4a BDSG Einwilligung (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

39 Rechte der Betroffenen - Auskunft - ob und welche personenbezogenen Daten über sie gespeichert sind - aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden - Berichtigung von falschen personenbezogenen Daten - Übermittlung persönlicher Daten an Dritte zu untersagen - Löschung/ Sperrung seiner Datensätze - Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz

40 Die betroffenen Personen haben das Recht, zu wissen, welche personenbezogene Daten über einen selbst gespeichert worden sind. Die Informationen müssen daher unentgeltlich von den Unternehmen herausgegeben werden. Daten dürfen nur dann gelöscht werden, wenn keine Gesetze der Aufbewahrungspflicht dagegen verstoßen.

41 Auskünfte und Datenübermittlung BDSG ist subsidiär, tritt gegenüber vorrangigen Rechtsvorschriften zurück Drei Situationen bei der Auskunftserteilung: - Auskünfte an Betroffene (Recht auf unentgeltliche Auskunft aller Daten, deren Zweck und Weitergabe) nach BDSG 19 und 34 - Auskünfte an öffentliche/nichtöffentliche Stellen auf Grund einer vorrangigen Rechtsvorschrift bzw. berechtigtem Interesse nach BDSG 15 und 16 - Auskünfte an Dritte nach BDSG 28 unter Beachtung der Interessenabwägung Achtung: Telefonische Auskünfte sollten in der Regel unterbleiben (Social Engeneering).

42 Falls eine Person anfragt, welche Daten von ihr im Unternehmen gespeichert worden sind, so sollte diese Auskunft immer in schriftlicher Form erfolgen. Wichtige oder vertrauliche Informationen sollten nie über das Telefon übermittelt werden. Eine Weitergabe von vertraulichen oder internen Informationen ist sogar eine strafbare Handlung.