Sicherer Datenschutz: Operative Unterstützung für den Datenschützer

Transkript

1 Sicherer Datenschutz: Operative Unterstützung für den Datenschützer Dr. Stephan Steinbauer Konzerndatenschutzbeauftragter der VGH Versicherungen 2012 VGH Versicherungen

2 Agenda Vorstellung VGH Versicherungen Datenschutz-Unterstützungstool SIDS Gründe und Ziele Entstehungsgeschichte SIDS Struktur des SIDS - Beispiele Ausblick Seite 2

3 Über uns Die VGH besteht aus drei Versicherungen: Landschaftliche Brandkasse Hannover seit 1750 Sach-, Haftpflicht-, Unfall-, Kfz- und Rechtsschutzversicherungen Provinzial Lebensversicherung Hannover seit 1918 Lebens-, Berufsunfähigkeitsund Rentenversicherungen Provinzial Krankenversicherung Hannover seit 2001 Kranken- und Krankenzusatzversicherungen VGH Versicherungen Seite 3

4 Datenschutz in den VGH Versicherungen 1977: Mit Inkrafttreten BDSG bestellt VGH einen nebenamtlichen betrieblichen Datenschutzbeauftragten (bdsb). Zeitbudget < 20% - Konzentration auf Haupt-Tätigkeiten: - Schulung, Information, Sensibilisierung, Beratung - Technische und organisatorische Maßnahmen umsetzen - Verfahrensregister führen - Auskunfts- und Beschwerdemanagement Seite 4

5 Datenschutz in den VGH Versicherungen 1977: Mit Inkrafttreten BDSG bestellt VGH einen nebenamtlichen betrieblichen Datenschutzbeauftragten (bdsb). Zeitbudget < 20% - Konzentration auf Haupt-Tätigkeiten: - Schulung, Information, Sensibilisierung, Beratung - Technische und organisatorische Maßnahmen umsetzen - Verfahrensregister führen - Auskunfts- und Beschwerdemanagement 2001: Bestellung eines hauptamtlichen bdsb Seite 5

6 Datenschutz in den VGH Versicherungen 1977: Mit Inkrafttreten BDSG bestellt VGH einen nebenamtlichen betrieblichen Datenschutzbeauftragten (bdsb). Zeitbudget < 20% - Konzentration auf Haupt-Tätigkeiten: - Schulung, Information, Sensibilisierung, Beratung - Technische und organisatorische Maßnahmen umsetzen - Verfahrensregister führen - Auskunfts- und Beschwerdemanagement 2001: Bestellung eines hauptamtlichen bdsb 2005: Bestellung eines IT-Sicherheitsbeauftragten bdsb wird Mitglied im IT-Sicherheitsteam Einführung des SIZ-Tools Sicherer IT-Betrieb SITB Seite 6

7 Agenda Vorstellung VGH Versicherungen Datenschutz-Unterstützungstool SIDS Gründe und Ziele Entstehungsgeschichte SIDS Struktur des SIDS - Beispiele Ausblick Seite 7

8 Gründe für SIDS Seit Jahren zunehmende Anforderungen an den bdsb: Zunehmende Sensibilisierung und Beschwerdebereitschaft der Kunden bezüglich Datenschutz Häufigere Anfragen der Datenschutz-Aufsichtsbehörden Verschärfung der Datenschutzgesetze Risikomanagement und Compliance im Unternehmen Versicherungswirtschaft plant einen Datenschutz-Code of Conduct, der ein dokumentiertes Datenschutz-Konzept verlangt. Der betriebliche Datenschutz muss professionell werden! Aber : Daher: diese Anforderungen treffen zumeist auf einen nebenamtlichen bdsb mit begrenztem Zeitbudget. Suche nach einem Tool zur Unterstützung des bdsb. Seite 8

9 Ziele SIDS Anforderungen an das Datenschutz-Tool Strukturiertes Konzept für alle Aufgaben des bdsb Nachschlagewerk für die tägliche Arbeit Rechtssicherheit durch Bereitstellung von aktuellen Gesetzen und Kommentierungen Seite 9

10 Ziele SIDS Anforderungen an das Datenschutz-Tool Strukturiertes Konzept für alle Aufgaben des bdsb Nachschlagewerk für die tägliche Arbeit Rechtssicherheit durch Bereitstellung von aktuellen Gesetzen und Kommentierungen Muster und Hilfsmittel für Berichte, Richtlinien, Policies etc. Einbindung unternehmens-individueller Dokumente Prozessorientierte Unterstützung für die Aktivitäten des bdsb Seite 10

11 Ziele SIDS Anforderungen an das Datenschutz-Tool Strukturiertes Konzept für alle Aufgaben des bdsb Nachschlagewerk für die tägliche Arbeit Rechtssicherheit durch Bereitstellung von aktuellen Gesetzen und Kommentierungen Muster und Hilfsmittel für Berichte, Richtlinien, Policies etc. Einbindung unternehmens-individueller Dokumente Prozessorientierte Unterstützung für die Aktivitäten des bdsb Berücksichtigung von Standards (z.b. BSI) Werkzeug für Audits und Maßnahmenverfolgung Synergieeffekte mit dem Tool Sicherer IT-Betrieb SITB strukturieren die Zusammenarbeit mit dem IT- Sicherheitsbeauftragten Seite 11

12 Ziele SIDS Strukturiertes Konzept für alle Aufgaben des bdsb Nachschlagewerk für die tägliche Arbeit Rechtssicherheit durch Bereitstellung von aktuellen Gesetzen und Kommentierungen Muster und Hilfsmittel für Berichte, Richtlinien, Policies etc. Einbindung unternehmens-individueller Dokumente Prozessorientierte Unterstützung für die Aktivitäten des bdsb Berücksichtigung von Standards (z.b. BSI) Werkzeug für Audits und Maßnahmenverfolgung Synergieeffekte mit dem Tool Sicherer IT-Betrieb SITB strukturieren die Zusammenarbeit mit dem IT-Sicherheitsbeauftragten Benutzfreundliches, einfaches Tool Kontinuierliche Weiterentwicklung (Releasekonzept) Kosten - Nutzen Anforderungen an das Datenschutz-Tool Seite 12

13 Agenda Vorstellung VGH Versicherungen Datenschutz-Unterstützungstool SIDS Gründe und Ziele Entstehungsgeschichte SIDS Struktur des SIDS - Beispiele Ausblick Seite 13

14 Entstehungsgeschichte SIDS : Auftrag an SIZ: Vorstudie zur Integration des Datenschutzes in das Produkt Sicherer IT-Betrieb - erteilt von den bdsb s der öffentlichen Versicherungen : SIZ legt Vorstudie vor: Entscheidung für ein eigenständiges Produkt Sicherer Datenschutz SIDS Seite 14

15 Entstehungsgeschichte SIDS : Auftrag an SIZ: Vorstudie zur Integration des Datenschutzes in das Produkt Sicherer IT-Betrieb - erteilt von den bdsb s der öffentlichen Versicherungen : SIZ legt Vorstudie vor: Entscheidung für ein eigenständiges Produkt Sicherer Datenschutz SIDS : alle öffentlichen VU s bestellen das Produkt : Arbeitsgruppe aus SIZ, Verband öffentlicher Versicherer VöV und bdsb s der öffentlichen VU s nimmt Arbeit auf 1. Q.2011: Fertigstellung 1. Release SIDS + Rollout 1. Q.2012: 2. Release Seite 15

16 Agenda Vorstellung VGH Versicherungen Datenschutz-Unterstützungstool SIDS Gründe und Ziele Entstehungsgeschichte SIDS Struktur des SIDS - Beispiele Ausblick Seite 16

17 Struktur Struktur des Tools Sicherer Datenschutz SIDS Grundsätze Persönlichkeitsrechte Datensparsamkeit Zweckbindung Transparenz u.a. Konzepte Datenschutz-Management Datenschutz-Vorgaben Technische Anforderungen Aktivitäten Branchenspezifische Geschäftsprozesse mit Verweis auf Konzepte Umsetzung Richtlinien, Musterverträge, Formulare, Checklisten, Verfahrensverzeichnis Auditergebnis, Risikobehandlungsplan Seite 17

18 Beispiele Haupt-Inhalt Beispiel Seite 18

19 Beispiele Grundsätze des Datenschutzes Beispiel Seite 19

20 Beispiele Grundsätze des Datenschutzes G3 Zweckbindung und Erforderlichkeit Oberthema: Grundsätze Personenbezogene Daten werden grundsätzlich nur für den vorgesehenen Zweck erhoben, verarbeitet oder genutzt. Für einen anderen Zweck werden die Daten nur erhoben, verarbeitet oder genutzt, wenn die Änderung des Zwecks durch Gesetz zugelassen ist. Für die Zweckbindung ist wichtig, dass die Daten nicht nur nützlich oder förderlich sind, sondern dass das Rechtsgeschäft ohne diese Daten nicht abgeschlossen bzw. durchgeführt werden kann. Besondere Zweckbindung: Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, werden nur für diese Zwecke verwendet. Seite 20

21 Beispiele Struktur der Konzepte Seite 21

22 Struktur und Beispiele Die Konzept-Kategorien Die Anforderungen und Tätigkeiten werden in Anlehnung an den SITB kategorisiert 3 Kategorien - Datenschutz-Management - Datenschutz-Vorgaben - Technische Anforderungen Dabei wurden folgende Rahmenbedingungen berücksichtigt: - BDSG und andere Gesetze - BSI Baustein Praktische Erfahrungen Seite 22

23 Beispiele Übersicht Konzepte Beispiel Verfahrensverzeichnis Seite 23

24 Beispiele Beispiel Konzept Verfahrensverzeichnis Umsetzung : Unternehmensindividuelle Dokumente Verbands-Rundschreiben Link zum Internetauftritt der VGH Seite 24

25 Beispiele Umsetzung: Ordner mit unternehmensindividuellen Dokumenten Seite 25

26 Beispiele Konzept - Anhänge Beispiel Audit-Fragen Seite 26

27 Beispiele Audit-Fragen zum Verfahrensverzeichnis Seite 27

28 Die Bewertung erfolgt analog zum SIZ-Tool Sicherer IT-Betrieb Das Datenschutzniveau wird in Form des Auditergebnisses dargestellt Seite 28

29 Beispiele Übersicht Prozesse Aktivitäten Branchenspezifische Hilfestellung für den Datenschützer bei seinen wichtigsten Aktivitäten. Querschnittsbetrachtung: berührt ein oder mehrere Konzepte mit den zugehörigen Hilfsmitteln. Seite 29

30 Beispiele Beispiel Aktivität Marketing/Werbung in Versicherungsunternehmen Prozess-Schritte Seite 30

31 Beispiele Beispiel Aktivität Marketing/Werbung in Versicherungsunternehmen Seite 31

32 Beispiele Einbindung des BSI-Bausteins 1.5. in das Tool SIDS Link zum Internet-Auftritt BSI Seite 32

33 Beispiele Zuordnung BSI-Baustein 1.5. zu SIDS-Konzepten Seite 33

34 Agenda Vorstellung VGH Versicherungen Datenschutz-Unterstützungstool SIDS Gründe und Ziele Entstehungsgeschichte SIDS Struktur des SIDS - Beispiele Ausblick Seite 34

35 Weiteres Vorgehen Zunächst nur Werkzeug für den bdsb (und IT-SB) Einbinden unternehmens-individueller Dokumente SIDS bildet Datenschutzkonzept des Unternehmens vollständig ab Vorbereitung und Durchführung erstes Audit Auswertung und Umsetzung der Audit-Ergebnisse Kontinuierliches Einfügen weiterer Prozesse/Aktivitäten gemeinsam mit SIZ Seite 35

36 Weiteres Vorgehen Zunächst nur Werkzeug für den bdsb (und IT-SB) Einbinden unternehmens-individueller Dokumente SIDS bildet Datenschutzkonzept des Unternehmens vollständig ab Vorbereitung und Durchführung erstes Audit Auswertung und Umsetzung der Audit-Ergebnisse Kontinuierliches Einfügen weiterer Prozesse/Aktivitäten gemeinsam mit SIZ Erwartung: Kontinuierliche Verbesserung des Datenschutzniveaus Verzahnung mit der IT-Sicherheit Mittelfristig: Zertifizierung (Datenschutzaudit gem. BDSG) Seite 36

37 Vielen Dank für Ihre Aufmerksamkeit 2012 VGH Versicherungen