Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Transkript

1 Datenschutz bei mobilen Endgeräten Vortrag am Sutthauser Straße Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: Fax: Internet: datenschutz@saphirit.de

2 Kurz zur Person: Manuel J. Calvo Fernandez Rechtsanwalt Dipl.-Kfm. (FH) Fachanwalt für Arbeitsrecht Datenschutzbeauftragter (TÜV) Datenschutzauditor (TÜV) Geschäftsführer SaphirIT GmbH 2

3 Unternehmen und Geschäftsführung IT Personalabteilung Externer IT- Dienstleister Beschäftigte Geschäftspartner Betriebsrat/ Personalrat Datenschutzbeauftragter Kunden 3

4 Öffentlichkeit Medien Unternehmen Staatsanwaltschaft Wettbewerber Aufsichtsbehörden Gerichte 4

5 Rechtlicher Rahmen Datenschutzverordnung (voraussichtlich Mitte 2013) BDSG, LänderDSG, TKG, TMG, u.v.a. (laufende Änderungen und Ergänzungen) Hybrider Datenschutz (z.b. Binding Corporate Rules, Patriot Act, u.a.) 5

6 Inhalt des Vortrages: 1. Welche Funktion hat der Datenschutzbeauftragte? 2. Wo stehen wir technisch? 3. Wo stehen wir im Datenschutz? 4. Welche besonderen Datenschutz- Risiken bergen mobile Endgeräte? 5. Was sollten Unternehmen tun? 6

7 1. Welche Funktion hat der Datenschutzbeauftragte? Arbeitsverträge Sensible Personaldaten Sehr gute Zusammenarbeit Personalabteilung Unternehmen und Geschäftsführung Berichte, Handlungsempfehlungen, Haftungsrisiken IT TOMs Sehr gute Zusammenarbeit Externer IT- Dienstleister Beschäftigte 11 BDSG Auftragsdatenverarbeitung Beschäftigtendatenschutz Weisungen und Richtlinien BYOD Geschäftspartner Betriebsrat/ Personalrat Betriebsvereinbarungen Information Daten- Schutzbeauftragter Kunden CRM-System, Kundenkarten Werbeschreiben 7

8 1. Welche Funktion hat der Datenschutzbeauftragte? Das Datenschutzverständnis von SaphirIT ist: präventiv und rechtssicher Es kommt unweigerlich zu Datenschutzverstößen und Vorfällen ganz unterschiedlicher Art! Darauf müssen Sie als Unternehmen vorbereitet sein! Sie brauchen dabei einen Partner an Ihrer Seite, mit dem Sie sofort und rechtssicher auftreten können! 8

9 2. Wo stehen wir technisch? Ein Zoo an mobilen Endgeräten Ein stark wachsender Markt an Anbietern und Produkten Eine starke Tendenz zur Mobilität, weg vom klassischen Desktop Ein enormer Zuwachs an Daten und Speicherkapazitäten 9

10 3. Wo stehen wir im Datenschutz? Es gibt zwingende gesetzliche Vorgaben Verantwortliche Stelle ( 3 Abs. 7 BDSG) TOM s ( 9 BDSG) Vorabkontrolle durch den Datenschutzbeauftragten ( 4d Abs. 5 BDSG) Auftragsdatenverarbeitung, insbesondere bei Dienstleistungsverträgen, Cloud-Diensten ( 11 BDSG) Es gibt erhebliche Haftungsrisiken der Geschäftsführung der IT-Leitung der Personalleitung Es drohen behördliche Maßnahmen und Sanktionen 10

11 Wie hat der Gesetzgeber den Datenschutz aufgebaut? Er hat drei Grundsätze aufgestellt: 1. Jede Datenerhebung, -verarbeitung oder -nutzung ist verboten (Verbotsprinzip), es sei denn es gibt eine gesetzliche Grundlage oder der Betroffene hat eingewilligt 11

12 Wie hat der Gesetzgeber den Datenschutz aufgebaut? 2. Es gilt der Grundsatz der Datenvermeidung Es sind so wenig wie möglich personenbezogene Daten zu erheben. 3. Es gilt der Grundsatz der Datensparsamkeit Soweit möglich, sind Daten zu anonymisieren und zu pseudonymisieren. 12

13 Beispiele personenbezogener Daten in Ihren Unternehmen die Personalstammdaten die Daten von Kunden die Daten von Interessenten die Daten von Geschäftspartnern die Übermittlung personenbezogener Daten an Dritte (Banken, Finanzamt, Sozialver-sicherungsträger, Geschäftspartner, Kunden) und sonstige Auftragsdatenverarbeitungen 13

14 4. Welche besonderen Datenschutz- Risiken bergen mobile Endgeräte? Erschwerter oder unmöglicher Zugriff (insbesondere bei Bring your own device (BYOD) ) Verlust der Geräte Unübersichtlicher oder unbekannter Datenbestand Individuelle Regelungen oder unternehmensweite Standards? Ständig wechselnde und wachsende Anforderungen an die TOMs nach 9 BDSG Kurzum: Wer hat die (rechtliche) Herrschaft über Daten und mobile Endgeräte? 14

15 5. Was sollten Unternehmen tun? Ohne mobile Endgeräte geht es nicht! Risiken erkennen und bewerten alle notwendigen vertraglichen Regelungen treffen alle notwendigen Anweisungen und Richtlinien vorgeben und rechtssicher umsetzen alle notwendigen datenschutzrechtlichen Vorgaben einhalten, insbesondere die TOMs Kompetenzen verteilen, um die Geschäftsführung zu entlasten 15

16 5. Was sollten Unternehmen tun? Nur folgende Maßnahmen führen nach aktuellem Stand zur Rechtssicherheit im Datenschutz und zur Vermeidung von Haftung, Risiken und Imageschäden: 1. Klare Regeln ohne Ausnahmen! und zwar: - vorher! - schriftlich! - unternehmenseinheitlich! - rechtssicher! 2. Controlling - Stichproben, Sicherheitschecks, usw. 16

17 Sie erreichen uns unter: Kontaktdaten SaphirIT GmbH Sutthauser Straße 285 Ihre Ansprechpartner: Osnabrück Manuel J. Calvo Fernandez T: Stephan Beume F: Dr. Volker Heise M: 17

18 Vielen Dank für Ihre Aufmerksamkeit! 18