EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Transkript

1 EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 ERSTERTEIL DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz Personenbezogene Daten Unternehmen / Konzern / Unternehmensgruppe Unternehmen Überblick Herrschendes Unternehmen Abhängiges Unternehmen Konzern Konzern begriff im Datenschutz Verantwortliche Stelle Datenübermittlung Empfänger / D ritter Auftragsdatenverarbeitung Drittstaaten Informationssicherheit...11 B. DER KONZERN ALS DATEN SAMMELSTELLE...12 I. Allgemeines II. Ausgangssituation im Konzern III. Zwischenergebnis...15 IV. Referenzbereiche Personalwesen Überblick Entgeltabrechnung Skill-Datenbank...17

2 2. Informationstechnik / Informationssysteme Überblick Konzernweites Adressbuch Bereitstellen von - und Internetdiensten Entwicklungsabteilung...20 c. ZULÄSSIGKEIT DES GRENZÜBERSCHREITENDEN DATENVERKEHRS...22 I. Rechtsgrundlagen...22 I. Entwicklung des Datenschutzrechts Überblick OECD Vereinte Nationen Europa ra t Europäische Union / Europäische Gemeinschaft Nationales Recht Überblick Hessisches Landesdatenschutzgesetz / Bundesdatenschutzgesetz von Recht auf informationeile Selbstbestimmung / Volkszählungsentscheidung Auswirkungen der EG-Datenschutzrichtlinie auf das Bundesdatenschutzgesetz Bundesdatenschutzgesetz Referentenentwurf zur Neuregelung des Beschäftigtendatenschutzes II. Grundsätze der Konzerndatenverarbeitung Grundsätzliches Interessen der Beteiligten Überblick Interesse der Konzerne Interesse der Betroffenen Zweckbindung der Daten Verfahrensmäßige Konsequenzen Überblick Datentransparenz Betrieblicher Datenschutzbeauftragter Überblick Wahlfreiheit Qualifikation Aufgaben des Datenschutzbeauftragten...46

3 4.4 Vorabkontrolle Datenschutzleitlinien Technisch-organisatorischer Datenschutz Allgemeines Technische und organisatorische Maßnahmen Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot (Verwendungszweckkontrolle) 4.7 Verpflichtung gemäß 5 BDSG III. Voraussetzungen des Datenverkehrs innerhalb Deutschlands Grundsätzliches Zulässigkeit der Datenübermittlung Überblick Einwilligung Gesetzliche Erlaubnistatbestände Betriebsvereinbarungen als Rechtsvorschrift Automatisiertes Abrufverfahren Auftragsdatenverarbeitung Überblick Formalrechtliche Voraussetzungen Pflichten des Auftraggebers Pflichten des Auftragnehmers Zusammenfassung Abgrenzung Auftragsdatenverarbeitung / Funktionsübertragung 4.1 Überblick Abgrenzungskriterien Auftragsdatenverarbeitung Funktionsübertragung IV. Voraussetzungen des grenzüberschreitenden Daten Verkehrs Grundsätzliches Überblick / Anwendbarkeit des Bundesdatenschutzgesetzes Innerhalb der EU/des EWR

4 1.3 Außerhalb der EU/des EWR In Drittstaaten Staaten mit angemessenen Datenschutzniveau Staaten ohne angemessenes Datenschutzniveau Datentransfer in die Referenzländer Überblick Österreich Schweiz...74 D. ZULÄSSIGKEIT DES DATENVERKEHRS IN DEN REFERENZBEREICHEN I. PERSONALWESEN Entgeltabrechnung Überblick Abgrenzung Auftragsdatenverarbeitung / Funktionsübertragung Datenschutzrechtliche Voraussetzungen innerhalb Deutschlands Auftragsdatenverarbeitung Funktionsübertragung Allgemeines Einwilligung Durchführung des Arbeitsverhältnisses Für eigene Geschäftszwecke Datenschutzrechtliche Voraussetzungen für den Datentransfer nach Österreich Datenschutzrechtliche Voraussetzungen für den Datentransfer in die Schweiz Ergebnis Skill-Datenbank Überblick Datenschutzrechtliche Voraussetzungen innerhalb Deutschlands Übermittlung an eine zentrale Stelle Allgemeines Einwilligung Durchführung des Arbeitsverhältnisses Für eigene Geschäftszwecke Zusammenfassung Einrichtung eines automatisierten Abrufverfahrens Allgemeines Zulässigkeit der Einrichtung eines automatisierten Abrufverfahrens Zulässigkeit der einzelnen Abrufe.

5 Zusammenfassung Datenschutzrechtliche Voraussetzungen für den Datentransfer nach Österreich 2.4 Datenschutzrechtliche Voraussetzungen für den Datentransfer in die Schweiz Allgemeines Übermittlung an eine zentrale Stelle Einrichtung eines automatisierten Abrufverfahrens Ergebnis II. Informationstechnik / Informationssysteme Konzernweites Adressbuch Überblick Datenschutzrechtliche Voraussetzungen innerhalb Deutschlands Übermittlung an eine zentrale Stelle Allgemeines Einwilligung Zur Durchführung des Arbeitsverhältnisses Für eigene Geschäftszwecke Einrichtung eines automatisierten Abrufverfahrens Allgemeines Zulässigkeit der Einrichtung Zulässigkeit einzelner Abrufe Zusammenfassung Datenschutzrechtliche Voraussetzungen für den Datentransfer nach Österreich 1.4 Datenschutzrechtliche Voraussetzungen für den Datentransfer in die Schweiz Allgemeines Übermittlung an eine zentrale Stelle Einrichtung eines automatischen Abrufverfahrens Ergebnis Bereitstellen von - / Internetdiensten Überblick Datenschutzrechtliche Voraussetzungen innerhalb Deutschlands Überblick Durchführung des Beschäftigungsverhältnisses Für eigene Zwecke Datenschutzrechtliche Voraussetzungen für den Datentransfer nach Österreich 2.4 Datenschutzrechtliche Voraussetzungen für den Datentransfer in die Schweiz Ergebnis III. Entwicklungsabteilung. 117

6 1. Grundsätzliches Datenschutzrechtliche Voraussetzungen in Deutschland Überblick Übermittlung an eine zentrale Stelle Auftragsdatenverarbeitung Einrichtung eines automatisierten Abrufverfahrens Allgemeines Zulässigkeit der Einrichtung eines automatisierten Abrufverfahrens Zulässigkeit der einzelnen Abrufe Zusammenfassung Datenschutzrechtliche Voraussetzungen für den Datentransfer nach Österreich Datenschutzrechtliche Voraussetzung für den Datentransfer in die Schweiz Allgemeines Übermittlung an eine zentrale Stelle Einrichtung eines automatischen Abrufverfahrens Ergebnis ZWEITER TEIL INFORMATIONSSICHERHEIT IM KONZERN A. ANFORDERUNGEN AN DIE INFORMATIONSSICHERHEIT I. Situation im Konzern II. Grundwerte der Informationssicherheit Überblick Vertraulichkeit Verfügbarkeit Integrität III. Gesetzliche Regelungen zur Informationssicherheit Allgemeine gesetzliche Regelungen IT-Sicherheitsgesetz IV. Unternehmerische Anforderungen B. MAßNAHMEN ZUR INFORMATIONSSICHERHEIT 135

7 I. Grundsätzliches II. Informationssicherheitsmanagement Allgemeines Informationssicherheitsmanagement Überblick Informationssicherheitsbeauftragter Leitlinie / -richtlinie Risikomanagement / Klassifizierung Sensibilisierung / Schulungen Lebenszyklus einer Information Klassifizierung und Kennzeichnung Überblick Vertraulichkeit Streng geheim / Geheim Vertraulich Intern Öffentlich Verfügbarkeit Integrität Risikomanagement Überblick Risikomanagementprozess Risikoidentifizierung und -analyse Analyse der Geschäftsauswirkungen Bedrohungsanalyse Schwachstellenanalyse Risikobewertung Risikobehandlung Dokumentation, Berichterstattung und Informationssicherheitskonzept Maßnahmen der Informationssicherheit III. Standards / Zertifizierung Überblick ISO BSI-Grundschutz Durchführung der Zertifizierung ISO BSI-Grundschutz...158

8 C. INFORMATIONSSICHERHEITSMANAGEMENT IN DEN REFERENZBEREICHEN. 159 I. Grundsätzliches II. Personalwesen Entgeltabrechnung Überblick Klassifizierung Vertraulichkeit Verfügbarkeit Integrität Risikomanagement Mögliche Maßnahmen kill Datenbank Überblick Klassifizierung Vertraulichkeit Verfügbarkeit Integrität Risikomanagement Mögliche Maßnahmen III. Informationstechnik / Informationssysteme Konzernweites Adressbuch Überblick Klassifizierung Vertraulichkeit Verfügbarkeit...v Integrität Risikomanagement Mögliche Maßnahmen Bereitstellen von - / Internetdiensten Überblick Klassifizierung Vertraulichkeit Verfügbarkeit Integrität Risikomanagement Mögliche Maßnahmen...175

9 IV. Entwicklungsabteilung Überblick Klassifizierung Vertraulichkeit Verfügbarkeit Integrität Risikomanagement Mögliche Maßnahmen DRITTER TEIL SYNERGIEN VON DATENSCHUTZ UND INFORMATIONSSICHERHEIT A. SYNERGIEN IM ALLGEMEINEN I. Grundsätzliches II. Gegenüberstellung der Maßnahmen Technische und organisatorische Maßnahmen Überblick Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot (Verwendungszweckkontrolle) Synergien bei den technischen und organisatorischen Maßnahmen Datenschutz- und Informationssicherheitsmanagement Überblick Beauftragte für Informationssicherheit / Betriebliche Datenschutzbeauftragte Erstellen, Umsetzen und Überprüfen der Leit-/ Richtlinien Risikomanagement Sensibilisierung / Schulungen Mitarbeiterverpflichtung Bestehende Synergien

10 B. SYNERGIEN ANHAND DER REFERENZBEREICHE I. Allgemeines II. Synergien im Bereich Personalwesen Entgeltabrechnung Überblick Informationssicherheitsmanagement Datenschutzmanagement Synergien Skill-Datenbank Überblick Informationssicherheitsmanagement Datenschutzmanagement Synergien III. Synergien im Bereich Informationstechnik / Informationssysteme Konzernweites Adressbuch Überblick Informationssicherheitsmanagement Datenschutzmanagement Synergien / Internetprotokolldaten...: Überblick Informationssicherheitsmanagement Datenschutzmanagement Synergien IV. Synergien im Bereich Entwicklung Überblick Informationssicherheitsmanagement Datenschutzmanagement Synergien VIERTER TEIL ERGEBNIS UND SCHLUSSFOLGERUNGEN A. ERGEBNISSE DER UNTERSUCHUNG 243

11 B. HANDLUNGSEMPFEHLUNG FÜR KONZERNE I. Integriertes Datenschutz- und Informationssicherheitsmanagement II. Umsetzung C. SCHLUSSFOLGERUNGEN ABBILDUNGSVERZEICHNIS LITERATURVERZEICHNIS