Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich?

Transkript

1 Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich? Unternehmerveranstaltung am Dienstag 11. November 2014 / 16:00-18:45 Uhr TAW Weiterbildungszentrum Altdorf Altdorf Gerd Schmidt Geschäftsführer der infosi GmbH & Co. KG Vorsitzender GDD-Erfa-Kreis / IHK-Anwenderclub Datenschutz und Informationssicherheit / Nürnberg

2 Was erwartet Sie? Rechtlicher Rahmen beim Outsourcing Hintergründe / Trends Auftragsdatenverarbeitung (ADV) Ausgangssituation / Entscheidungshilfe Umsetzung / Kontrolle / Dokumentation Umsetzung und Lösungswege Weiterführende Hinweise Ausblick: Wohin geht die Reise? Fazit Seite 2

3 Rechtlicher Rahmen nach Bundesdatenschutzgesetz Quelle: Seite 3

4 Änderung der EU-Standardvertragsklauseln 02/2010 Geltungsbereich: Verarbeitung von Daten im Auftrag Der Sitz des Datenexporteurs ist innerhalb der EU Der Sitz des Datenimporteurs ist außerhalb der EU Seite 4

5 Änderung der EU-Standardvertragsklauseln 02/2010 EU außerhalb EU Datenexporteur 1. Vertrag 2. Einwilligung für 3. Datenimporteur 3. Gleicher Vertrag Unterauftragnehmer Seite 5

6 Hintergründe Datenschutz in der Presse Seite 6

7 Hintergründe - Offenlegung von Datenpannen Quelle: Seite 7

8 Trends - Stichproben der Aufsichtsbehörden Mit Auftragnehmern, die als Dienstleistungsunternehmen personenbezogene Daten weisungsgebunden im Auftrag verarbeiten (wie Rechenzentren, Cloud- Computing-Dienstleister, IT-Wartungsunternehmen usw.), muss ein dem 11 Abs. 2 Satz 2 BDSG entsprechender Vertrag abgeschlossen werden.nach welchen Kriterien werden Dienstleistungsunternehmen ausgewählt und wie wird die ordnungsgemäße Auftragserledigung überwacht? Quelle: Aufsichtliche Kontrolle nach 38 BDSG - BayLDA Seite 8

9 Trends Cloud-Computing Datenschutz und IT-Sicherheit: Es liegen Lösungen vor, die für Kunden die Vorteile des Cloud-Computings erschließen, ohne Abstriche bei den Datenschutz-Anforderungen bzw. bei der IT-Sicherheit zuzulassen. Viele Anwender setzen Cloud-Computing ein, um Fortschritte in den Bereichen Datenschutz und IT- Sicherheit zu erzielen. Quelle: Seite 9

10 Auftragsdatenverarbeitung (ADV) Für Auftraggeber und Auftragnehmer: Anforderungen an die ADV Vertragsgestaltung nach 11 BDSG Ausgestaltung/Umsetzung der Kontrollpflichten Für Auftragnehmer (Dienstleister): Umsetzung der Neuen Datenschutzstandards Einbindung Unterauftragnehmer Für Auftraggeber: Kontrolle der Auftragnehmer im Rahmen der ADV Dokumentation der Erst- und Folgekontrolle Seite 10

11 Ausgangssituation: Verschiedenste Arten von Dienstleistungen / Auftragnehmern Entsorgung von Dokumenten u. Datenträger Inkassounterstützung Buchung v. Dienstreisen über ext. Reisebüro Wartung der Videoüberwachung durch Dienstleister Verwaltung der Dienstwagen extern Externe Lohn- und Gehaltsbuchhaltung Server-/Netzbetrieb durch ext. Rechenzentrum Postversand und Kundenbefragungen (Lettershop) Verfügbarkeit der Verträge erfahrungsgemäß dezentral in den Fachabteilungen Seite 11 11

12 Ausgangssituation: Verschiedenste Kategorien Auftragsdatenverarbeitung (ADV) Auftragsdatenverarbeitung mit StGB-Relevanz (ADV) Service und Wartung (ADV) Vertraulichkeitsverpflichtung (VV) Funktionsübertragung (FÜ) weder noch Seite 12 12

13 Umsetzung - Entscheidungshilfe ADV / FÜ / Sonstige Langtext Auftragsdatenverarbeitung (ADV) Service- und Wartung (ADV) Funktionsübertragung (FÜ) Vertraulichkeitsverpflichtung (VV) Nicht BDSGrelevant Beispiel Datenträgerentsorgung Einschaltung von Call Centern Remote-Zugriff auf IT-Systeme wegen Wartung und der Möglichkeit des Zugriffs auf personenbezogene Daten Buchung von Hotels Veranstaltungsbuchung Objektverwaltung Hausmeisterfunktion Dienstleistung erfolgt im Unternehmen durch Vorort-Service reine Software- Nutzungs- Verträge Erforderliche Dokumente Muster-ADV- Vertrag Muster-SuW-Vertrag Checkliste der technischorganisatorischen Maßnahmen(TOMs) Dokumentation der Erst- und Folgekontrolle Vertraulichkeitsverpflichtung + Checkliste der technischorganisatorischen Maßnahmen (TOMs) Vertraulichkeitsverpflichtung Seite 13 13

14 Umsetzung und Lösungswege 1 Vertragsanpassung aufgrund Mindestanforderungen 2 Kontrolle und Dokumentation / Projektarbeit 3 Anpassung der Geschäftsprozesse Seite 14 14

15 1 Vertragsanpassung aufgrund Mindestanforderungen Bisher: IT-Rahmenvertrag mit datenschutzrechtlichem Teil Ab sofort: IT-Rahmenvertrag Projekteinzelvertrag über Auftragsdatenverarbeitung / Service- und Wartung Projekteinzelvertrag über Auftragsdatenverarbeitung / Service- und Wartung allgemein zivilrechtlicher Teil allgemein zivilrechtlicher Teil bleibt + Ergänzungs- Vertrag gemäß BDSG-Novelle II + Checkliste der technischorganisatorischen Maßnahmen (TOMs) + Dokumentation der Erst- und Folgekontrolle Seite 15 15

16 2 Kontrolle und Dokumentation Kontrolle der Dienstleister anhand der Entscheidungshilfe und der TOMs Dokumentation der Erst- und Folgekontrolle der Dienstleister Seite 16 16

17 2 Umsetzung - Projektarbeit Auftraggeber/ Verantwortliche Fachabteilung Einkauf Rechtsabteilung Mitglied der Geschäftsleitung Datenschutzbeauftragter IT-Security Seite 17 17

18 3 Anpassung der Geschäftsprozesse Planung der Dienstleistung über den Einkauf Verantwortliche Fach- und IT- (Security) Abteilung und Einkauf Prüfung: Bestehender Vertrag? Verantwortliche Fach- und IT- (Security) Abteilung und Einkauf Vertraulichkeits- Verpflichtung Prüfung: Beratung oder sonstige Dienstleistung? Datenschutzbeauftragter und IT- Abteilung Vertrag Auftragsdatenverarbeitung und TOM-Checkliste Prüfung: Verarbeitung personenbezogener Daten extern? Datenschutzbeauftragter und IT-Abteilung Vertrag Auftragsdatenverarbeitung / Service und Wartung und TOM-Checkliste Prüfung: Abrufbarkeit personenbezogener Daten bei Fernwartung? Datenschutzbeauftragter und IT-Abteilung Ziel: Standardisierter Ablauf Seite 18 18

19 Weiterführende Hinweise Quelle: Bayerisches Landesamt für Datenschutzaufsicht Seite 19 19

20 Weiterführende Hinweise Quelle: Bayerisches Landesamt für Datenschutzaufsicht Seite 20

21 Ausblick: Wohin geht die Reise? Seite 21 21

22 Ausblick: Wohin geht die Reise? Herr Prof. Dieter Kempf: 40 Prozent der Unternehmen nutzten 2013 die Cloud-Technologie, im Jahr zuvor waren es 37 Prozent. Die technischen und wirtschaftlichen Vorteile sind einfach zu groß. Quelle: Geleitwort Cloud Computing auf dem Vormarsch - BITKOM-Leitfaden Cloud-Computing Seite 22 22

23 Fazit Analyse sämtlicher Dienstleistungen im Unternehmen Umsetzung im Rahmen eines kleinen Projekts unter Einbezug der Beteiligten Ziel: Standardisierte Prozessabläufe schaffen Erst- und Folge-Kontrollen bei den Dienstleistern durchführen Seite 23

24 Fazit: Foto: G.Schmidt Seite 24 24

25 Gerd Schmidt Geschäftsführer der infosi GmbH & Co. KG Vorsitzender GDD-Erfa-Kreis / IHK-Anwenderclub Datenschutz und Informationssicherheit / Nürnberg Aussiger Straße Lauf info@infosi.de Vielen Dank für das Interesse! Diese Hinweise und Ausführungen ersetzen keine persönliche Beratung Seite 25