Zwischen den Stühlen 2. Fachtagung für r Datenschutzbeauftragte , Berlin

Transkript

1 Zwischen den Stühlen 2. Fachtagung für r Datenschutzbeauftragte , Berlin Dirk Fox dirk.fox@secorvo.de Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax info@secorvo.de

2 Secorvo Security Consulting Unabhängiges Beratungsunternehmen für IT-Sicherheit und Datenschutz (seit 1998) Ausbildungspartner von BSI, Bosch Sicherheitssysteme, SAP, Schering und T-Systems Landespreis Baden-Württemberg 2002 Sicherheitspreis Baden-Württemberg 2007 Kunden: BMW, DaimlerChrysler, BASF, Heidelberger, Deutsche Bank, FinanzIT, Datev, Toll Collect, Krones, Tchibo, SEW, Commerzbank, Bundesbank, BSI, Deutsche Bahn, EZB, Linde, Liebherr, Novartis, Deutsche Post, FhG, BNetzA, DZ-Bank, Hartmann, SWR, ZF,...

3 Inhaltsübersicht Der Datenschutzbeauftragte Datenschutz und Compliance Der Bericht des DSB Fazit

4 Die Aufgaben des DSB Prüfung der Rechtmäßigkeit der Verarbeitung Überwachung der Ordnungsgemäßheit der Verarbeitung Einwilligungserklärungen, Regelungen Organisatorische und technische Schutzmaßnahmen Prüfung der Auftragsdatenverarbeitung Vertragsgestaltung, Weisung des Auftragnehmers Datenschutzkonforme Verarbeitung beim Auftragnehmer Dokumentation im Verfahrensregister Qualifizierung der Mitarbeiter Prüfung der Verpflichtungen auf das Datengeheimnis Beantwortung von Auskunftsersuchen

5 Die Rolle des DSB Unabhängig und weisungsfrei Schutzpatron der personenbezogenen Daten Kundendaten (Bürgerdaten, Forschungsdaten,...) Mitarbeiterdaten (Personaldaten, Log-Dateien,...) Vermittler des Datenschutzes Schulung und Motivation der Mitarbeiter Vertrauensperson bei Vorfällen (Verschwiegenheit) Verlängerter Arm der Aufsichtsbehörde Prüfung der Rechtsgrundlage der Verarbeitung Prüfung der Erforderlichkeit Prüfung der Ordnungsgemäßheit (Schutzmechanismen) Feststellung und (interne) Aufdeckung von Verstößen

6 Anforderungen an den DSB Fachkunde Vertiefte Kenntnisse in IT- und IT-Sicherheit Juristisches Basiswissen (BDSG, TKG, TMG, StGB,...) Organisationswissen Zuverlässigkeit Loyalität Keine Interessenskollisionen Grundrechtsverständnis Soziale Kompetenz Vermittlungsaufgabe Überzeugungsarbeit Lösungsentwicklung

7 Wahrnehmung des DSB Aus der Perspektive der Prozessverantwortlichen Keine Weisungsbefugnis Keine Sanktionsmöglichkeiten Häufig: keine Rückendeckung bei Geschäftsleitung Aus der Perspektive der Arbeitsebene Einmischer Störer Verzögerer Verhinderer Kostenstelle Paragraphenreiter...

8 Dilemmata Überwachung der Ordnungsgemäßheit Zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. ( 4g Abs. 1 BDSG) Verfahrensregister Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. ( 4g Abs. 2 BDSG) Vorabkontrolle Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde (...) zu wenden. ( 4d Abs. 6 BDSG)

9 Inhaltsübersicht Der Datenschutzbeauftragte Datenschutz und Compliance Der Bericht des DSB Fazit

10 Was ist Compliance? Sicherstellung des rechtskonformen Verhaltens eines Unternehmens und aller seiner Mitarbeiter Überwachung der Einhaltung von Selbstverpflichtungen und ethischen Kodices Ziel: Präventiver Schutz vor Fehlverhalten durch Unwissenheit oder Fahrlässigkeit Umfang, Ausprägung, Schwerpunkte abhängig von Branche Internationaler Aufstellung Unternehmensstruktur Börsennotierung... eigentlich: Eine Selbstverständlichkeit

11 Compliance- Treiber Treiber Anforderungen an das Risikomanagement von Kapitalgesellschaften Regulierung zum Aktionärsschutz Strafzahlungen bei Wettbewerbsverstößen Unkalkulierbare Risiken (z.b. Imageschäden) Persönliche Haftung von Vorständen Verbraucherschutzverbände Due Dilligence -Prüfungen

12 Compliance-Anforderungen Sarbanes Oxley Act (SOX) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Telekommunikationsgesetz (TKG) Kreditwesengesetz (KWG)... Bundesdatenschutzgesetz (BDSG)

13 Umsetzung von Compliance Risikomanagement Geltende rechtliche Rahmenbedingungen und Anforderungen Analyse der mit Verstößen verbundenen Risiken Information und Aufklärung Entwicklung interner Richtlinien Sensibilisierung und Schulung aller Mitarbeiter Meldesystem Aufdeckung von Verstößen ( Whistleblowing ) Verfahren zur Behandlung von Meldungen, Eskalation Behördenkontakte Kontrollsystem Regelmäßige Kontrollen, Compliance-Beauftragter

14 Compliance vs. DSB Aufgabe und Rolle des Compliance-Beauftragten Kontrolliert die Einhaltung gesetzlicher Anforderungen Sensibilisiert und schult die Mitarbeiter Etabliert ein (anonymes) Meldesystem für Verstöße Berichtet i.d.r. an die Geschäftsleitung, i.d.r. weisungsfrei Aufgabe und Rolle des DSB Wirkt auf die Einhaltung von Datenschutzvorschriften hin, überwacht ordnungsgemäße Anwendung der DV-Programme Macht Mitarbeiter mit Datenschutzvorschriften vertraut Ist zur Verschwiegenheit über die Identität des Betroffenen verpflichtet Ist der Geschäftsleitung unmittelbar unterstellt Ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei

15 Verpflichtung der Mitarbeiter Compliance-Anforderung Alle Personen, die mit Verarbeitung personenbezogener Daten befasst sind, haben Verpflichtung unterschrieben Verpflichtung erfolgt vor Beginn der Tätigkeit Verpflichtung wurde in Kenntnis der Bedeutung unterschrieben (Merkzettel, Schulung) Aufgabe Wird die Vollständigkeit der Verpflichtungserklärungen in der Personalabteilung überprüft (Prozess)? Ist die Verpflichtung als Teil des Einstellungsprozesses etabliert? Sind von dem Prozess alle betroffenen Mitarbeiter erfasst (Aushilfskräfte, externe Mitarbeiter etc.)? Gibt es regelmäßige (stichprobenartige) Vollständigkeitsprüfungen?

16 Prüfung der Rechtsgrundlage Compliance-Anforderung Zulässigkeit einer Verarbeitung wurde vor Einführung geprüft Rechtsgrundlage der Verarbeitung ist dokumentiert Verarbeitete Daten sind für Zweckerreichung erforderlich Datenschutzbeauftragter hat Verarbeitung zugestimmt Regellöschfristen wurden festgelegt Aufgabe Ist eine Datenschutz-Prüfung Teil des Einführungsprozesses? Gibt es einen Prozess zur Erstellung einer vollständigen Verfahrensdokumentation? Gibt es eine systematische Erforderlichkeitsprüfung mit festen Kriterien? Wird die Regellöschfrist technisch oder organisatorisch umgesetzt?

17 Ordnungsgemäß äßheit Compliance-Anforderung Existenz eines Schutzkonzepts mit angemessenen, konkreten technischen und/oder organisatorischen Maßnahmen Umsetzung der Schutzmaßnahmen Aufgabe Wie wird die Vollständigkeit der Schutzkonzepte geprüft? Wie wird die Aktualität des Schutzkonzepts sichergestellt? Wie wird die Angemessenheit der Schutzmaßnahmen festgestellt (Checkliste, Verantwortlichkeit)? Wird die Umsetzung der Schutzmaßnahmen regelmäßig überprüft (Audit)? Wie werden Umsetzungsmängel dokumentiert und beseitigt?

18 Auftragsdatenverarbeitung Compliance-Anforderung Auswahl des Auftragnehmers erfolgt nach Datenschutzgesichtspunkten Vertrag mit Auftragnehmer erfolgt schriftlich und benennt etwaige Unterauftragnehmer Sicherheitskonzept zum Schutz der personenbezogenen Daten ist Vertragsbestandteil Umsetzung des Sicherheitskonzepts wird überprüft Aufgabe Gibt es eine Kriterienliste für die Auftragnehmerauswahl? Gibt es eine Vertragsvorlage? Wie werden Abweichungen von der Vertragsvorlage geprüft und dokumentiert? Wer prüft das Sicherheitskonzept des Auftragnehmers? Werden Auftragnehmer regelmäßig überprüft?

19 Inhaltsübersicht Der Datenschutzbeauftragte Datenschutz und Compliance Der Bericht des DSB Fazit

20 Bericht des DSB Berichtsweg des betrieblichen DSB Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen., 4f (3) BDSG Berichtsweg: Direkt an die Geschäftsleitung Pflicht zu schriftlichem Bericht? [Der bdsb] ist in der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei., 4f (3) BDSG Keine Verpflichtung zur Berichtserstellung im BDSG Tätigkeitsbericht? Häufig Orientierung an Berichten der LDSBs Was ist eigentlich so alles passiert? Erlebnisbericht? Was haben Sie eigentlich das ganze Jahr gemacht? Rechtfertigung?

21 Datenschutz-Jahresbericht Zweck Compliance-Bericht an die Geschäftsleitung Dokumentation der Erfüllung der Sorgfaltspflichten Inhalt Verpflichtung auf das Datengeheimnis, Mitarbeiterschulung Verfahrensdokumentation Zulässigkeit der automatisierten Verarbeitungen Sonderfälle: Vorabkontrolle, Videoüberwachung Ordnungsgemäßheit der Verarbeitung Löschfristen Organisatorische und technische Schutzmaßnahmen Übermittlung personenbezogener Daten in Drittstaaten Datenverarbeitung im Auftrag Auskunftsersuchen

22 Inhaltsübersicht Der Datenschutzbeauftragte Datenschutz und Compliance Der Bericht des DSB Fazit

23 Fazit Compliance-Beauftragter kann DSB ergänzen Sorgt für konsequente Umsetzung des betrieblichen Datenschutzes durch Kontrollmechanismen Entlastet den DSB von Kontrollaufgaben ( Tiger ) DSB unterstützt Umsetzung und Kontrollen Entwicklung von Prozessen Entwicklung von Prüf-Checklisten Jahresbericht des DSB als Compliance-Bericht Dokumentation des tatsächlichen Stands der Umsetzung des Datenschutzes Dennoch bleibt die Aufgabe des DSB eine Herausforderung.

24 Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax