Risk Management und Compliance. Datenschutz als Wettbewerbsfaktor

Transkript

1 Risk Management und Compliance Datenschutz als Wettbewerbsfaktor Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) 3. Februar 2005

2 Erwartungen 2

3 Was bedeutet Datenschutz? Informationelle Selbstbestimmung Selbstbestimmung über personenbezogene Daten Kommunikative Kompetenz Konsens statt Bevormundung Zweckbindung durch Willenserklärung Datenschutz im Unternehmen Compliance (Verantwortung, Führung) Riskmanagement (KontraG) Akzeptanz bei Mitarbeitern und Kunden 3

4 Datenschutzprinzipien Rechtmäßigkeit Einwilligung, Gesetz, Vertrag, Betriebsvereinbarung Einwilligung Freiwillig und informiert Zweckbindung Erhebung und Verarbeitung zu vorher definierten Zwecken Erforderlichkeit Verarbeitung nur soweit für Zweck notwendig / Löschung Transparenz Information/ Unterrichtung (ex ante) Auskunft (ex post) Sicherheit Zugriffskontrolle Kontrolle Aufsicht, betrieblicher Datenschutzbeauftragter etc. 4

5 Wie wir Datenschutz erreichen? Erlaubnis und Verbot Ohne Erlaubnis keine Datenverarbeitung Staatliche Aufsicht Untersagung einer Datenverarbeitung Zielvereinbarungen Beratung ULD als Servicezentrum: Problemanalyse und -lösung Konzeptentwicklung Datenschutz durch Technik Datenschutz durch Organisation und Verfahren Datenschutz als Business Case Anreize und Belohnung Datenschutz durch Wettbewerb: Audit und Gütesiegel 5

6 Konzeptentwicklung und Beratung Ziel: Datenschutzfreundliche Technikgestaltung Prime: EU-Projekt Identitätsmanagement Fides: EU-Projekt: Network of Excellence ADAM: Automatisiertes Datenschutzmanagement P3P/EPAL Sprachen für Datenschutzerklärungen RFID Datenschutzkonforme Gestaltung DRM Datenschutzkonforme Gestaltung Biometrie Datenschutzkonforme Gestaltung Audit und Gütesiegel 6

7 Audit/Gütesiegel: Zertifizierung in der IT Bestätigung der Übereinstimmung von Produkten und Verfahren mit anerkannten Standards (Technik, Recht ) durch unabhängige Dritte gegenüber Anwendern / Verbrauchern Beispiele aus IT-Sicherheit und Datenschutz BS 7799 IT-Grundschutz des BSI Qualitätssicherung Datenschutz-Gütesiegel Datenschutz-Audit 7

8 Datenschutz-Gütesiegel ULD Gegenstand: Produkte Hardware, Software, Automatisierte Verfahren Antragsteller: Hersteller und Vertriebsfirmen Voraussetzung: Eignung in der SH-Landesverwaltung Übertragbarkeit auf andere öffentliche und private Verwaltungen Maßstab: Vorschriften aus Datenschutz und Datensicherheit Datenschutzrecht: LDSG, BDSG, SGB X, 203 StGB etc. Optimierung: Datenvermeidung und Datensparsamkeit 8

9 Gütesiegel-Verfahren Begutachtung: Akkreditierte Sachverständige Akkreditierung beim ULD Auftragsverhältnis Antragsteller und Sachverständiger Entscheidung: ULD Verleihung des Gütesiegels auf Zeit Veröffentlichung Kurzgutachten Rezertifizierung 9

10 Erfahrungen 19 Gütesiegel seit ca EU-Förderung Programm eregion 2002/03 April 2004: Europäischer Innovationspreis Anerkennung 9 a BDSG SH LDSG Einzelne Landesregelungen In Vorbereitung: Bundesauditgesetz 10

11 Gütesiegel nach Anwendungen Internetanschluss 2 Qualitätssicherungsinstrument 1 Archivierungssysteme 4 E-Government-Anwendungen 3 Sozialdatenverarbeitung 3 Medizinbereich 3 Datenträgervernichtung 2 Verwaltungsdokumentation 2 Bonuskartensystem 1 11

12 Datenschutz-Audit Gegenstand: Datenschutzkonzept öffentlicher Stellen SH Verfahren der Verarbeitung personenbezogener Daten Auch Teilbereiche Durchführung durch ULD Vereinbarung zwischen Behörde und ULD Ablauf: Bestandsaufnahme Festlegung der Datenschutzziele Einrichtung Datenschutzmanagementsystem Begutachtung durch ULD Verleihung des Auditzeichens 12

13 Rechtsgrundlagen Gütesiegel 4 Abs. 2 LDSG SH Gütesiegelverordnung Audit 43 Abs. 2 LDSG SH Auditverordnung SH Bremisches Datenschutzaudit-Verordnung 13

14 Bundespolitischer Drive Koalitionsvereinbarung 2002 Ausführungsgesetz Desinteresse im Bundesinnenministerium Motor: Koalitionsfraktionen Wiefelspütz (SPD): Wir sind der Gesetzgeber Vorbild: Informationsfreiheitsgesetz Arbeitsgruppe ab Anfang

15 Gesetzeslage 9a BDSG Ziel Freiwillig Produkte + Verfahren Qualität Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und - programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen Wettbewerb sowie das Ergebnis der Prüfung veröffentlichen. Ausführungsgesetz 15

16 9a BDSG: Strategische Ziele Modularität der Zertifikate Verzahnung mit anderen Zertifikaten Konformität der Anforderungen Vertrauen bei Adressaten durch Zweistufigkeit Trennung zwischen Begutachtung und Verleihung Verleihung durch öffentliche (beliehene) Stelle Harmonisierung der Umsetzung von Anforderungen Akkreditierung der Gutachter (Sachverständigen) Qualitätssicherung und Qualifizierung Verfahrensdauer Kein Moloch, sondern ein effektives Instrument (Faustformel: Fehlende Dokumentation raubt Zeit) 16

17 Umsetzung Aufgaben Akkreditierung der Gutachter Prüfung und Verleihung Qualitätssicherung Problem der Verwaltungskompetenz Regel: Zuständigkeit der Länder Folge 1: Zustimmung im Bundesrat Folge 2: Heterogenität Ausnahme: Bundesoberbehörde (Art. 87 Abs. 3 GG) Option 1: Dezentrale Beleihung (IHK-Lösung) Option 2: Koordination der Länder Entwicklung auf der Zeitschiene 17

18 Fazit Zertifizierung als Baustein für Compliance und Risk Management Gütesiegel und Audit existieren bereits Modell Schleswig-Holstein Fachlich notwendig Integration, Koordination und Abgrenzung der Zertifikate Politische erforderlich Audit-Ausführungsgesetz Signalwirkung: Datenschutz als Wettbewerbsfaktor Datenschutz durch Technik Option: Zweistufigkeit + Länderkoordination 18