Betriebliches Datenschutzmanagement. Pflicht und Kür

Transkript

1 Betriebliches Datenschutzmanagement Pflicht und Kür Sommerakademie 2006 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein Referenten: Meike Kamp und Nils Leopold, LL.M ,Kiel

2 ÜBERSICHT 1. Warum betriebliches Datenschutzmanagement? 2. Pflicht und Kür des Datenschutzes 3. Managementprogramm des BDSG 4. Bedarfsevalution für den eigenen Betrieb 5. Umsetzung des Datenschutzmanagements 6. Fazit

3 Warum betriebliches Datenschutzmanagement? Datenschutz als gesetzlich konkretisierter Grundrechtsschutz Inhaltliches Schutzprogramm basiert auf überwiegend abstrakten Rechtsprinzipien Das Bundesdatenschutzgesetz (BDSG) enthält ein umfassendes Managementprogramm mit konkrete Implementierungsvorgaben Herausforderung liegt in der Übersetzung in konkrete betriebliche Organisationsstrukturen = Datenschutzmanagement Abgrenzung zur Problematik in der öffentlichen Verwaltung Richtige Priorisierung, Durchsetzung und Effektivierung des DS- Management als zentrale Aufgabe im Betrieb Zielkonflikt Unternehmensinteressen contra Datenschutz? Zielüberschneidung: Mitarbeiterorientierung; Kundenorientierung; Image; Nachhaltigkeit; Integrität; Diskretion; Vertrauen

4 Pflichtprogramm und Kür des Datenschutzes Vollzugsdefizit des Datenschutzes als Realität in KMU Warum? Managementschwächen! Häufig fehlendes Leitbild bzw. strukturiertes Vorgehen Mangelhafte Anpassungsfähigkeit an veränderte Umwelt Verkrustete Unternehmenskulturen Folge sind Minimalstrategien: Flug unter dem Radar der Aufsicht; Vogel-Strauss-Taktik bzgl. der Risiken und der strategischen Inkohärenz Inhaltliche Kernaufgabe des DS-Management aber liegt in der organisator. Sicherstellung der Prüfung von Erforderlichkeit und Transparenz für die wesentlichen Prozesse und Verfahren Umsetzung abstrakter, auch formaler Vorgaben ist Pflicht Kür ist die - ebenfalls - verpflichtende Umsetzung materieller Datenschutzgrundsätze im konkreten Betrieb!

5 Materielle Managementvorgaben des BDSG - I 1. Verbot mit Erlaubnisvorbehalt/ Rechtsgrundlagenprüfung Mindestens Rechtsabteilung und bdsb Erforderlichkeit; Datenvermeidung und Datensparsamkeit Beispiel Einkauf der Sicherheitsabteilung; Implementierung der IT 2. Transparenz: Kommunikation mit Kunden und Mitarbeitern (Vorabunterrichtung/ Benachrichtigung/Beauskunftung) Vertrieb und Informationsblätter 3. Betroffenenrechte z.b. bei Beschwerdemanagement (Qualitätssicherung) Ferner: 4. Statuierung der Managementhaftung Aufzeigen der Risiken 5. Angebot von Gütesiegel und unabhängige Auditierungen zur Integration in übergreifende Unternehmensstrategie Von lästiger Pflichtübung zum Mehrwert als Wettbewerbsvorteil

6 Managementvorgaben des BDSG - II Wichtige formelle Anforderungen: Bestellung des unabhängigen betrieblichen Datenschutzbeauftragten Schlüsselfigur für die Umsetzung Bereitstellung einer Verfahrensübersicht Grundlage strukturierten Vorgehens Vorabkontrollen Laufende Dokumentation des eigenen Handelns; siehe auch Berichtspflichten des bdsb Datengeheimniserklärungen der Mitarbeiter/ Schulungen: 1. Achtung bei Personenbezug!; 2. Achtung bei Zweckänderungen; 3. Brauchen wir die Daten wirklich? Schriftliche Auftragsdatenverarbeitung Vertragsmanagement und Haftung Sonderfall: Technische und organisatorische Maßnahmen Überschneidung z.b. mit Unternehmenszielen der Verfügbarkeit, des Know- How-Schutzes und des Schutzes von Betriebs- und Geschäftsgeheimnissen

7 Bedarfsevaluation für den konkreten Betrieb Jede Organisationsform sollte maßgeschneidert sein Umsetzung von Schemata oft dysfunktional, deshalb Evaluation: 1. Struktur der verantwortlichen Stelle (siehe Organigramm) Z.B. nach Branche; nach Konzernstruktur etc. Einzelunternehmen mit Filialnetz (ggf. komplexer Vertrieb) Dienstleister; Selbständige (RAs/ StB/WPs etc.) klassisches KMU (Schwerpunkt häufig AN-Daten) 2. Welche Daten verarbeiten wir? Kundendaten - Arbeitnehmerdaten - Lieferantendaten besondere Arten personenbezogener Daten; Berufsgeheimnisse; Finanzdaten 3. Welche Verarbeitungsweisen stehen im Vordergrund? Zweckgebundene, nachgeordnete (dienende) DV oder eher avancierte Auswertungen (Profiling wie z.b. Scoring etc.) Datenübermittlungen - im Konzern, an Drittunternehmen

8 Bedarfsevalution - Praktische Beispiele Bank mit Filialnetz Konzern aus rechtlich selbständigen Einheiten Versicherungen oder Autokonzern mit komplexen, selbständigen Vertriebsstrukturen (Autohäuser; Makler/ Händler) Internet-AG mit Projektstruktur Produktionsbetrieb Ergebnis: prioritätengebundene, auf Effizienz angelegte Umsetzung im Projekt Einführung/ Verstetigung Datenschutzmanagement

9 Umsetzung des Datenschutzmanagements Prozessorientierte Herangehensweise zur Implementierung der Managementvorgaben in Entscheidungsprozesse Verpflichtung verantwortlicher Abteilungen im Unternehmen Sicherstellung der Beteiligung bei relevanten Geschäftsprozessen Benennung von Kontaktpersonen in wichtigen Abteilungen Evaluation der besonderen Risiken Ihres Unternehmens Risikobezogene Ausrichtung

10 Umsetzung des Datenschutzmanagements - II Einbettung in etablierte Managementprozesse Qualitätsmanagement (z.b. Total Quality-Ansatz) Risikomanagement Compliance-Management Workflows identifizieren und so früh als möglich ansetzen (Klarstellung z.b. des 3 a BDSG im Hinblick auf Erforderlichkeitsprüfung) Das Commitment der Leitung einfordern! Sichtbare Unterstützung durch Führung Controlling als auch zukunftszugewandte Abt. sensibilisieren Integration im Leitbild des Unternehmens (z.b. Schering)

11 Umsetzung im eigenen Betrieb - III Integration des betrieblichen Datenschutzmanagements in bestehende Managementprozesse verstärkt deren Effektivität schafft zusätzliche Rechtssicherheit und Synergien Minimierung datenschutzrechtlicher Risiken Integration bei internen Dokumentationsprozessen, Vertragsmanagement und Datensicherheitsvorkehrungen bedeuten erhebliche Synergieeffekte Mach s besser als Wettbewerbsvorteil! durch aktive Öffentlichkeitsarbeit und Transparenz

12 Für Fragen und Beratung: Referat 8 N. Leopold, LL.M.; Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Tel Fax: ld8@datenschutzzentrum.de