Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Transkript

1 Muster (Ausschnitt) Datenschutzkonzept Informationsverbund..

2 Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon -Adresse Kürzel Bearbeiter Name Telefon -Adresse Kürzel Änderungsübersicht Version Datum Geänderte Stellen / Grund / Bemerkung Bearbeiter Copyright: Seite - 2 -

3 Inhaltsverzeichnis 1 Grundlagen und Aufbau Rechtsgrundlagen und Zielrichtung Abgrenzung Datenschutz und IT-Grundschutz Arbeitnehmerdatenschutz Schutzbedarf Geltungsbereich Verantwortung und Zuständigkeiten Datenschutz im laufenden Betrieb Überwachung Datenschutz-Maßnahmenkatalog Regeln beim Umgang mit schützenswerten Daten und bei deren Verarbeitung Führung von Verfahrensbeschreibungen und Meldepflichten bei der Verarbeitung von personenbezogenen Daten Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle vor der Verarbeitung schützenswerter Daten Technisch-organisatorische Schutzmaßnahmen bei der Verarbeitung schützenswerter Daten Behandlung von Datenschutzverletzungen Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung von schützenswerten Daten Datenschutzrechtliche Freigabe von Verfahren Meldung und Organisation von Abrufverfahren mit der Verarbeitung schützenswerter Daten Regelungen der Auftragsdatenverarbeitung im Zusammenhang mit schützenswerten Daten Verknüpfungen und Verwendung von schützenswerten Daten Überwachung und Kontrolle der Datenverarbeitung Datenschutzaspekte bei der Protokollierung Datenschutzgerechte Löschung und Vernichtung von Daten Personaldatenverarbeitung / Beschäftigtendatenschutz Copyright: Seite - 3 -

4 3 Konsequenzen bei Datenschutzverstößen Fortschreibung, Bekanntmachung und Inkrafttreten Copyright: Seite - 4 -

5 1 Grundlagen und Aufbau 1.1 Rechtsgrundlagen und Zielrichtung Das Unternehmen hat bei der Datenverarbeitung das Bundesdatenschutzgesetz (BDSG) zu beachten. Darüber hinaus sind für die Durchführung spezieller Aufgaben bereichsspezifische Vorschriften anzuwenden. Hierzu zählen zum Beispiel Vorschriften zum Risikomanagement aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Bei der Durchführung der Aufgaben gilt als oberstes Gebot, die verarbeiteten Daten über persönliche und sachliche Verhältnisse natürlicher und juristischer Personen geheim zu halten. Zielrichtung ist, die Geheimhaltung der Unternehmensdaten zu gewährleisten. 1.2 Abgrenzung Datenschutz und IT-Grundschutz Das Datenschutzkonzept ist Teil der Grundschutzdokumentation und enthält ausschließlich Maßnahmen zur Umsetzung der datenschutzrechtlichen Vorschriften. Der Baustein 1.5 Datenschutz des IT-Grundschutzstandards vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird in dem Datenschutzkonzept vollständig berücksichtigt. IT-Sicherheitsmaßnahmen sind nicht Bestandteil des Datenschutzkonzepts. Diese sind mit der Einführung des Grundschutzstandards in gesonderten Maßnahmenkatalogen dokumentiert. 1.3 Arbeitnehmerdatenschutz Das Datenschutzkonzept beinhaltet auch Maßnahmen zum Arbeitnehmerdatenschutz. Dabei werden insbesondere die Regelungen des neuen Gesetzesentwurf zum Beschäftigungsdatenschutz ( 32 Bundesdatenschutzgesetz) berücksichtigt. 1.4 Schutzbedarf Der Schutzbedarf der Daten steht in Abhängigkeit von den im Unternehmen eingesetzten Fachverfahren. Personenbezogene Daten unterliegen grundsätzlich dem BDSG. Darüber hinaus gibt es interne Regelungen, die besondere Vorkehrungen mit dem Umgang der Daten fordern. Copyright: Seite - 5 -

6 Zur Vereinfachung der Umsetzung von technischen und organisatorischen Maßnahmen wird angestrebt, den Datenschutz im Unternehmen auf einem einheitlichen Niveau festzulegen. Technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit sind nach dem Stand der Technik so umzusetzen, dass die Ausführungen der Gesetze und internen Regelungen ausreichend beachtet werden. Bei der Verarbeitung besonders sensibler Daten sind Verschlüsselungsmechanismen einzusetzen, wenn die Vertraulichkeit der Daten nicht hinreichend durch den Einsatz technischer und organisatorischer Maßnahmen sichergestellt werden kann. Die im Datenschutzkonzept festgelegten Maßnahmen gewährleisten ein hohes Schutzniveau, das auf personenbezogene Daten und auf Geschäftsdaten ohne Personenbezug anzuwenden ist. 1.5 Geltungsbereich Die im Datenschutzkonzept aufgeführten Regelungen gelten für das Unternehmen an den Standorten Hamburg und Berlin. 1.6 Verantwortung und Zuständigkeiten.. Eine vollständige Musterdokumentation für alle Grundschutzbausteine kann auf Anfrage zur Verfügung gestellt werden! Copyright: Seite - 6 -