LEITFADEN DATENSCHUTZ

Transkript

1 In diesem Dokument wird aufgeführt, was bei dem Aufbau einer Datenschutzorganisation beachtet werden muss. Auch wird vermerkt, welche einmaligen und regelmäßigen Aufgaben durch den Datenschutzbeauftragten erledigt werden müssen. Gemäß 1 Bundesdatenschutzgesetz (BDSG) haben Unternehmen den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Unternehmen, die mindestens 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigen, sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Unternehmen, die mit besonderen Daten umgehen, haben in jedem Fall einen Datenschutzbeauftragten zu bestellen. Das bedeutet aber auch, dass für Unternehmen, die unter dieser Grenze liegen, das BDSG seine Gültigkeit behält! Die Bestellung des Datenschutzbeauftragten hat gem. 4f BDSG maximal 4 Wochen nach der Geschäftsaufnahme schriftlich zu erfolgen. Der Datenschutzbeauftragte muss gem. 4 Abs.2 BDSG über die entsprechende Fachkunde verfügen. Die Bestellung eines externen Datenschutzbeauftragten ist alternativ möglich. Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Das Unternehmen muss gemäß 9 BDSG technisch-/ organisatorische Schutzmaßnahmen zur Sicherstellung des Datenschutzes umsetzen. Bei Nichtbeachtung der Vorgaben des BDSG stehen Verantwortliche wie Geschäftsführer, IT- Leiter und Administratoren in der persönlichen Haftung. Die Geschäftsleitung haftet gemäß 7 BDSG in vollem Umfang bei Schadenersatzansprüchen. Die 10 Big Points des Datenschutzes 1. Gesetze / Vorschriften zum Datenschutz und der IT-Sicherheit 2. Technische und organisatorische Maßnahmen (TOM) 3. Mitarbeiter 4. der/die Datenschutzbeauftragte 5. Dienstleister 6. Dokumentation 7. Regelungen für Systeme, Anwendungen und Dienste 8. Social Media 9. Datenschutzpanne 10. Verantwortung und Faustformel zum praktikablen Datenschutz V04 / Seite 1 von 6

2 Gesetze / Änderungen Änderungen im BDSG 2009/2010 Neuregelung Auftragsdatenverarbeitung ( 11 BDSG). Umfang der zu erteilenden Auskunft erweitert, Auskunftsrecht verschärft ( 34 BDSG). 42a BDSG enthält eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Beschäftigungsdatenschutz: 32 BDSG enthält erstmals eine Regelung für die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Weitere Verschärfungen sind geplant. Der Gesetzentwurf wird voraussichtlich Ende 2012 / Anfang 2013 umgesetzt. Neue Regelungen für die Verwendung von Daten für Werbezwecke in 28 Abs. 2 BDSG. Bußgelder bei fehlendem Hinweis auf / bzw. bei Missachtung Widerspruchsrecht möglich. Verschärfung Technische und organisatorische Maßnahmen ( 9 BDSG). Geplante EU-Datenschutzverordnung Ein Entwurf der EU-Datenschutzverordnung wurde am präsentiert. Diese Verordnung wird zum Teil nationale Datenschutzgesetze ablösen bzw. ergänzen. Bei einer Umsetzung wird es voraussichtlich gravierende, verschärfende Auswirkungen auf das Thema Datenschutz in Deutschland geben. Benachrichtigungspflicht des Unternehmens im Fall eines vermuteten unberechtigten Zugriffs auf Daten binnen 24 Stunden an die zuständige Datenschutzaufsichtsbehörde geplant. Die Bußgelder sollen drastisch erhöht werden. Im Entwurf werden Zahlen zwischen und Euro oder bis zu 2 Prozent des Jahresumsatzes einer Firma genannt. Die geplanten Änderungen haben mit einer gewissen zeitlichen Verzögerung sehr reale Auswirkungen auf die Geschäftsprozesse der Unternehmen. Definition Datenschutzbeauftragter Der Datenschutzbeauftragte: wirkt auf die Einhaltung datenschutzrelevanter Bestimmungen hin ist der Geschäftsführung direkt unterstellt ist in seiner Tätigkeit weisungsfrei ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird verfügt über die erforderliche Fachkunde ist verpflichtet, Datenschutzpannen an die Aufsichtsbehörde zu melden ( 42a BDSG) ist für den Aufbau der Datenschutzorganisation zuständig V04 / Seite 2 von 6

3 Definition im BDSG: BDSG 4 f Abs. 2 Satz 1: Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Satz 2: Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Satz 3: Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach 30 der Abgabenordnung, unterliegen. Bei internen Datenschutzbeauftragten: Besonderer Kündigungsschutz ( 4f Abs. 3 Satz 4 BDSG) für Arbeitsverhältnisse Fort- und Weiterbildungsanspruch ( 4f Abs. 3 Satz 6 BDSG) Tätigkeiten des betrieblichen Datenschutzbeauftragten Im Dokument des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.v. werden die Anforderungen an den Datenschutzbeauftragten detailliert erläutert. Download: Folgende Aufgaben - entsprechend der gesetzlichen Aufgabenzuweisung - umfasst die Tätigkeit des betrieblichen Datenschutzbeauftragten: Erstmalige Maßnahmen Ermittlung des Datenschutzniveaus und Aufbau bzw. Ergänzung der Datenschutzorganisation Erstellung der betrieblichen Datenschutzrichtlinie / Datenschutz- und IT- Sicherheitsstatement Aufbau eines externen und internen Verfahrensverzeichnisses (Verfahrensübersicht gem. 4g Abs. 2 in Verbindung mit 4e BDSG). Zur Erfassung und Dokumentation empfehlen wir den Einsatz eines DS-Tools. Prüfung auf Datenschutzkonformität bei der Auftragsdatenerfassung bzw. Funktionsübertragung nach 11 BDSG (Prüfung aller externen Dienstleister auf Einhaltung des BDSG) Verpflichtung aller Dienstleister auf den Datenschutz (BDSG) Überprüfung des Internetauftritts auf Datenschutzkonformität V04 / Seite 3 von 6

4 Überprüfung aller (Betriebs)Vereinbarungen und Anweisungen auf Datenschutzkonformität und Aktualität. Erstellung einer EDV-Rahmenvereinbarung und IT-Richtlinien, Beispiel: BEISPIEL: ITK-Rahmen(betriebs)vereinbarung IT-Sicherheitsrichtlinie 1 Arbeitsplatz-PC und Notebooks und andere mobile Computer IT-Sicherheitsrichtlinie 2 Umgang mit Passwörtern IT-Sicherheitsrichtlinie 3 Datenspeicherung im Hinblick auf Datenschutz IT-Sicherheitsrichtlinie 4 -Nutzung und Nutzung des Internet 9 BDSG Überprüfung der Umsetzung der technisch-organisatorischen Maßnahmen zur Datensicherheit (8 Gebote der Datensicherheit) -> Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Zweckbindung/Trennungsgebot Erstellung Verpflichtungs- und Schulungskonzept für Mitarbeiter(innen) Erstellung eines Datenschutzhandbuches Beispielstruktur: Prüfung Umgang mit Social Media / Erstellung einer Social-Media-Guideline V04 / Seite 4 von 6

5 Belehrungen und Schulungen der Mitarbeiter(innen) Zugang zum Test-WBT: Benutzername: Kennwort: name passwort Verpflichtung der Mitarbeiter(innen) auf den Datenschutz und den Umgang mit personenbezogenen Daten ( 5 BDSG, 88 TKG, 17 UWG) Identifizierung und Überprüfung auf Datenschutzkonformität aller Kernprozesse / Verarbeitungen sowie Applikationen und Datenbanken mit personenbezogenen Daten Maßnahmen zur Abwendung von Datenschutzpannen ( 42a). Prozess bei Datenschutzpannen etablieren (Meldewege durch DSB). Regelmäßige Maßnahmen Betreuung in allen technischen und organisatorischen Datenschutzfragen Beratung bei der Einführung neuer Verfahren, falls hierbei personenbezogene Daten verarbeitet werden (gesetzlich geforderte Vorabkontrolle) Laufende Prüfung von Zulässigkeitsvoraussetzungen bei der Verarbeitung personenbezogener Daten Beratung bei der Umsetzung der erweiterten Transparenzpflichten des BDSG z. B. bei der Erhebung personenbezogener Daten in Erhebungsformularen, Hinweispflichten im Zusammenhang mit Werbung Information und Beratung der Geschäftsführung über aktuelle datenschutzrelevante Vorgänge Begleitung von Prüfungen durch die Aufsichtsbehörden Anpassung der Datenschutzkonzeption an neue Gegebenheiten, z. B. bei neuen unternehmerischen Strukturen durch den Einsatz neuer Technologien (elektronisches Dokumenten-Management, Intranet, neue Software, etc.) oder bei rechtlichen Entwicklungen Verpflichtungen, Belehrungen und Schulungen neuer Mitarbeiter(innen), jährliche Sensibilisierungsmaßnahmen bei allen Mitarbeitern(innen) Prüfung und Überarbeitung der Verfahrensverzeichnisse (intern / extern) Jährlicher Bericht an die Geschäftsleitung Bei Bedarf Begleitung Datenschutzaudit nach 9a BDSG Security-Check Datenhaltung/Sicherheit der Applikationen mit personenbezogenen Daten V04 / Seite 5 von 6

6 5. Vorteile des externen Datenschutzbeauftragten Die Umsetzung des Datenschutzes erfordert die Bereitstellung personeller Ressourcen und die Vorhaltung eines entsprechenden Know Hows im Bereich Organisation, Recht, Technologie. Um diese Anforderungen abzudecken, kann die externe Vergabe des Datenschutzmandates empfehlenswert sein. Externe Datenschutzbeauftragte sind neutral, fachlich spezialisiert und bringen Erfahrungen aus gleichgelagerten Fragestellungen anderer Projekte ein. Mit der Bestellung eines externen Datenschutzbeauftragten handelt das Management präventiv und reduziert somit seine persönliche Haftung. Eine externe Mandatsvergabe bietet folgende Vorteile: Haftungsreduzierung des Managements durch Prävention Keine Schulungskosten für eigenes Personal Einsparung eigener Ressourcen für den Datenschutz Die geforderte Fachkunde gemäß BDSG ist garantiert Die Problematik des besonderen Kündigungsschutzes entfällt Hinweise an die Geschäftsführung bei Auffälligkeiten Garantie des vertraulichen Umgangs mit vertraulichen Informationen Keine Rollenkonflikte Neutrale, externe Sicht des DSB auf das beauftragende Unternehmen Einbringen neuer Impulse durch gleich gelagerte Projekte Ihr Ansprechpartner: Michael J. Schöpf Telefon s-con Datenschutz & ITK Telefax Ellernstraße 36 Mobil Hannover Die in dem Leitfaden Datenschutz verwendeten Begriffe Geschäftsführer, Mitarbeiter, IT- Leiter, Administratoren und Datenschutzbeauftragter umfasst weibliche und männliche Beschäftigte/Personen. V04 / Seite 6 von 6