Datenschutzaudit. Einhaltung gesetzlicher. Datenschutz. Copyright DQS GmbH. DQS GmbH

Transkript

1 Datenschutzaudit Einhaltung gesetzlicher und kundenspezifischer Forderungen zum Datenschutz

2 Themen Bedeutung des BDSG in der Wirtschaft Übersicht über die Novelle Details zu den Paragrafen des BDSG Datenschutz und deren Ziele Begutachtung zum Datenschutz Produkte der DQS Nutzenargumente

3 Die Bedeutung Privatwirtschaftliche Unternehmen haben die öffentlichrechtlichen Institutionen in puncto Datensammeln überholt. Der hohe h Individualisierungsgrad id i d erfasster Kundendaten ermöglicht zielgenaue Vertriebs- und Marketingmaßnahmen. Was aus der Sicht der Wirtschaft verständlich und nachvollziehbar erscheint, hegt beim Kunden die Sorge, ob der Umgang g mit seinen Daten den geltenden rechtlichen Bestimmungen entspricht.

4 Die Novelle des BDSG fordert zum Handeln» Neuregelung zum Arbeitnehmerdatenschutz» Zulässigkeit it der personalisierten i Werbung» Erweiterte Anforderungen an die Auftragsdatenverarbeitung» Informationspflichten bei Datenschutzpannen» Zulässigkeit des Scorings» Gesetz zur Umsetzung der Verbraucherkreditrichtlinie (BDSG-Novelle ( BDSG III )» Neuregelung für automatisierte Entscheidungen» Erweiterte Rechte des Betroffenen» Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten» Erweiterte Kompetenzen der Aufsichtsbehörden» Verschärfung der Bußgeldbestimmungen»

5 Regelungen / Umsetzungsfristen Der Gesetzgeber hat in zwei Stufen das Bundesdatenschutzgesetz novelliert. Die sogenannte BDSGNovelle I erweitert u. A. die Anforderungen an die automatisierte Einzelentscheidung sowie das Scoring und schafft zusätzliche Transparenzpflichten. Zudem werden die Rechte des Betroffenen erweitert. Das Gesetz tritt am 1. April 2010 in Kraft. Die sogenannte BDSG-Novelle II führt zu weiteren umfangreichen Änderungen des Datenschutzrechts. Neben einer Neuregelung zum Arbeitnehmerdatenschutz wird die Zulässigkeit der Transparenzanforderungen an die personalisierte Werbung erweitert. Von hoher praktischer Bedeutung sind auch die zusätzlichen Anforderungen an die Auftragsdatenverarbeitung. Dieses Gesetz tritt am 1. September 2009 in Kraft. Bereits vor dem Wirksamwerden der neuen Vorschriften müssen jedoch die Unternehmen ihre Datenschutzorganisation und die Geschäftsprozesse den Neuregelungen anpassen.

6 Grundsätze ( 3 BDSG) Die Grundsätze der Datenvermeidung und Datensparsamkeit ( 3a BDSG) beziehen sich nun auf jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten (früher bezogen sich diese Forderungen nur auf Datenverarbeitungssysteme). Das Prinzip der Datenvermeidung e e wurde verschärft und wird durch die Pflicht zur Anonymisierung oder Pseudonymisierung konkretisiert. Auf eine Anonymisierung oder Pseudonymisierung darf man nach der neuen Regelung nur noch dann verzichten, wenn sich dadurch ein unverhältnismäßig großer Aufwand ergeben würde. Die Beweislast wird zuungunsten der verarbeitenden Stelle umgekehrt.

7 Grundsätze ( 4f Abs. 3 BDSG) Die Stellung des betrieblichen Datenschutzbeauftragten ( 4f Abs. 3 BDSG) wurde gestärkt. Es besteht weitgehender Kündigungsschutz. Eine Kündigung ist nur noch dann möglich, wenn Tatsachen vorliegen, die den Arbeitgeber zur fristlosen Kündigung g berechtigen. ec Der Kündigungsschutz gssc ut besteht t auch nach der Abberufung noch ein Jahr fort. Der betriebliche Datenschutzbeauftragte hat Anspruch auf die Teilnahme an Fort- und Weiterbildungsveranstaltungen, deren Kosten der Arbeitgeber zu tragen hat.

8 Grundsätze 11 BDSG Die Regelungen zur Auftragsdatenverarbeitung ( 11 Abs. 2 BDSG) wurden verschärft: Sie enthält nun einen Mindestkatatog von 10 Punkten, die zwischen Auftraggeber und Auftragnehmer schriftlich festzuhalten sind. Unter anderem müssen Gegenstand und Dauer des Auftrags, Modalitäten zur Berichtigung, g, Löschung und Sperrung von Daten, Rückgabe der Daten bei Auftragsende Weisungsbefugnisse und eine Berichtspflicht bei Verstößen des Auftragnehmers gegenüber dem Auftraggeber geregelt werden.

9 Grundsätze 32 BDSG Grundregel zum Datenschutz von Arbeitnehmern neu in das Gesetz eingefügt ( 32 BDSG). Demnach dürfen personenbezogene Daten über Beschäftigte nur noch insoweit gespeichert werden, wie dies für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses e t sses erforderlich ist. Hinsichtlich sc c der Aufdeckung von Straftaten wird festgeschrieben, dass zunächst tatsächliche Anhaltspunkte einen Verdacht begründen müssen, bevor Daten hierzu erhoben oder verarbeitet werden. Art und Ausmaß der zusätzlichen Datenverarbeitung dürfen im Hinblick auf den Anlass nicht unverhältnismäßig sein.

10 Grundsätze 38 BDSG Erweiterungen der Befugnisse der datenschutzrechtlichen Aufsichtsbehörden ( 38 Abs. 5 BDSG), eine Anhebung der Höchstgrenze für Bußgelder (43Abs Abs. 3RDSG) RDSG),

11 Grundsätze 28 BDSG Änderung des Opt-Out -Prinzips hin zu einer Einwilligungspflicht (Opt- ln) bei der Verwendung von Daten zu Werbezwecken. Der zulässige Adresshandel wurde eingeschränkt (sog. Listenprivileg), 28 Abs. 3 BDSG. Es ist nun grundsätzlich eine qualifizierte Einwilligung des Betroffenen in die Verarbeitung oder Nutzung erforderlich (opt-in)[1] [1] Opt-in ist ein Verfahren aus dem Permission Marketing, bei dem der Endverbraucher Werbekontaktaufnahmen vorher meist durch E- Mail, Telefon oder SMS explizit bestätigen muss. Ein Problem bei einfachem Opt-in im Bereich des -Marketings Marketings ist, dass beliebige Kontaktdaten zur Anmeldung verwendet werden können, also auch fehlerhafte Daten oder Daten dritter Personen oder Organisationen. Da solche falschen oder missbräuchlichen Einträge immer wieder zu Problemen und Ärger führen, wurde das verbesserte Verfahren Confirmed Opt-in entwickelt. Bei Post sowie Telefon gibt es nur das Opt-in-Verfahren

12 Grundsätze 42 BDSG Informationspflicht der verantwortlichen Stelle gegenüber der zuständigen Aufsichtsbehörde bei bestimmten Datenschutzverstößen ( 42a BSDG), die unrechtmäßige Zugriffe auf besonders schutzwürdige personenbezogene Daten betreffen (u. a. zu Bank- und Kreditkartenkonten sowie Gesundheitsdaten). e Bei schwerwiegenden ege Datenschutz-Pannen trifft die Verantwortlichen nun eine umfangreiche Informationspflicht, die von einem strafrechtlichen Verwertungsverbot flankiert wird, 42a BDSG. Die zuständigen Datenschutzaufsichtsbehörden sowie die Betroffenen sind unverzüglich zu informieren.

13 DATENSCHUTZ Datenschutz umfasst alle Regelungen, die darauf abzielen, das sich aus dem allgemeinen Persönlichkeitsrecht ergebende Recht des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (nach BVerfG als "informationelles o es Selbstbestimmungsrecht ec t bezeichnet), sicherzustellen.

14 Ziele der Datensicherheit Verfügbarkeit Die Daten müssen verfügbar sein, wenn sie gebraucht werden. Integrität (Makellosigkeit, k it Unverletzlichkeit) li it) Die Richtigkeit der Daten muss sichergestellt sein. Vertraulichkeit (Bewahrung der Daten) Authentizität (Echtheit, Zuverlässig) Authentizität ist gegeben, wenn sichergestellt ist, dass empfangene Daten auch tatsächlich von authentifizierten Benutzern stammen.

15 Die acht Gebote der Datensicherheit gem. 9 BDSG Zutrittskontrolle Eingabekontrolle Zugangskontrolle Auftragskontrolle Zugriffskontrolle Verfügbarkeitskontrolle Weitergabekontrolle Trennungskontrolle

16 Datenschutzaudit-Themen Organisation des Datenschutzes Datenschutzkonzept Datenschutzbeauftragter Aus- und Fortbildung Umgang mit personenbezogenen Daten (Zulässigkeit) it) Umgang mit personenbezogenen Daten Umgang mit personenbez. Daten (nicht automatisierte Datenverarbeitung) erarbeit ng) Besondere Formen des Umgangs mit personenbezogenen Daten Automatisierte Abrufverfahren Automatisierte Einzelentscheidungen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Mobile Speicher- und Verarbeitungsmedien [Videoüberwachung]

17 Die Leitidee Das DQS-Gütesiegel Datenschutz Datenschutz festigt das Kundenvertrauen. Es fokussiert auf den sicheren und integren Umgang mit den personenbezogenen Daten des Unternehmens. Das Datenschutz-Audit berücksichtigt die landesspezifischen gesetzlichen Forderungen und eignet sich für alle private wie öffentlich-rechtliche Organisationen, die Personendaten führen und bearbeiten.

18 Nutzen für das Unternehmen Nachweis über die Einhaltung ggesetzlicher Forderungen des Datenschutzes Gütesiegel einer externen, unabhängigen Stelle Vertrauensbildung gegenüber interessierten Kreisen Wettbewerbsvorteil und Imagepflege

19 Begutachtungsgrundlage g g g Die Grundlage eines jeden Datenschutzaudits bei der DQS geben die allgemeinen Vorgaben zur Auditierung von Managementsystemen, die für die Qualifikation der Auditoren und die DIN EN ISO_IEC IEC 17021_ Anforderungen an Stellen, die Managementsysteme auditieren e und zertifizieren e e für die Begutachtung. tu g

20 Die Themen sind: Informationstechnik und Persönlichkeitsrecht Datenschutz-, Computer- und Arbeitsrecht IT-Sicherheit h it Begutachtung Datenschutz Das reine Datenschutzaudit führt zu einer Aussage, ob das Unternehmen die länderspezifischen Forderungen des Datenschutzes erfüllt (Compliance). Prozesse zur Aufrechterhaltung der Erfüllung von Datenschutzforderungen sind in diese Begutachtung g nicht einbezogen. Der Nachweis wird durch Stichproben erbracht. Jedes Datenschutzaudit wird anhand einer Checkliste durchgeführt und die Ergebnisse dokumentiert.

21 Begutachtung Datenschutz PLUS Datenschutz PLUS ergänzt das Datenschutz- Audit in sinnvoller Weise. Ziel ist die Einführung eines Systems, welches den Datenschutz als integralen Bestandteil in ein Managementsystem etabliert. Die Grundlage dieser Vorgehensweise bilden die relevanten Abschnitte der Norm ISO/IEC Hier wird die Prozesssicht mit berücksichtigt und auch eine Verbesserung der Situation hinterfragt.

22 Die Vorteile von Datenschutz PLUS Identifikation und Minimierung entsprechender Risiken Systematische Integration des Datenschutzes in die (Geschäfts-) Prozesse Betrachten der Wechselwirkungen von Systemen und Prozessen Korrektur-, Vorbeugungs- und Verbesserungsmaßnahmen Einbeziehung Qualitätsmanagement-Prozesse und Forderungen der Informationssicherheit i h it (ISMS) Vorbereitung auf die Implementierung eines ISMS nach ISO/IEC Die Begutachtung Datenschutz PLUS berücksichtigt die in einem vorausgegangenen Projektgespräch festgelegten individuellen Forderungen des Unternehmens. Die Themen sind: Erstellung einer Politik zum Datenschutz Synergien zwischen Datenschutz und Managementsystem Integration des Datenschutzes in die Prozess

23 Kontakt FRAGEN!!? Dipl.-Ing. Reinhard Witzke Produktmanager der DQS für ISMS, ITSM, Datenschutzaudits Auditor ISO 9001, ISO / IEC 27001, ISO IEC (itsmf) DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen Markgrafenstraße Berlin reinhard.witzke@dqs.de