Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Transkript

1 Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Datenschutz Schleswig-Holstein

2 Übersicht Wer oder Was ist das Unabhängige Landeszentrum für? Was bedeutet Datenschutz Compliance grundsätzlich? Akzeptanz durch Datenschutz Compliance bei der Einführung eines Mitarbeiterportals?

3 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung

4 Änderung der Einstellung zum Datenschutz in Schleswig-Holstein Bis ~1995 war die Perspektive des Datenschutzbeauftragten: Datenschutz trotz / gegen Technologie! Seit ~1996 ist die Perspektive: Datenschutz durch Technologie Privacy Enhancing Technologies Seit ~1997 ist die Perspektive: Living the New Privacy Datenschutz herstellen: Ein konstruktiver Partner für Hersteller und Vertreiber von Datenschutztechnologie sein Privacy sells! Außerdem: Datenschutz Management Managementprogramm des BDSG prozessorientierte Umsetzung

5 Der neue Datenschutz Virtuelles Datenschutzbüro: Zahlreiche Projekte: Ubiquitäres Computing - TAUCIS Identitätsmanagement - PRIME und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Anonymität im Internet - AN.ON Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung - PRISE Eigenes Gütesiegel und Audit Aktuelle Themen wie RFID, Biometrie etc.

6 Machen Sie den Datenschutz zu Ihrem Wettbewerbsvorteil Das ULD ist ein konstruktiver Partner für Hersteller und Vertreiber von Datenschutztechnologien Privacy sells! Datenschutz-Gütesiegel Innovationszentrum Datenschutz & Datensicherheit

7 Was bedeutet Datenschutz Compliance?

8 Grundsätzliches: Rechtsquellen Grundrechte Recht auf informationelle Selbstbestimmung Europäische Datenschutzrichtlinie Bundesdatenschutzgesetz (BDSG) Telekommunikationsdatenschutz / Fernmeldegeheimnis (TKG) (Landesdatenschutzgesetze) Andere Rechtsvorschriften BDSG nur subsidiär Landesrecht, Satzungsrecht Tarifverträge, Betriebsvereinbarungen unter Heranziehung des BDSG zu prüfen

9 Formelle Vorgaben des BDSG I Bestellung des unabhängigen betrieblichen Datenschutzbeauftragten: Schlüsselfigur bei Projekten mit Datenschutzrelevanz Verfahrensbübersicht Dokumentation der Datenflüsse und Verarbeitungen im Unternehmen, z.b. Einführung eines Mitarbeiterportals Vorabkontrollen Einführung von Verfahren, die besondere Gefahren für die Rechte der MitarbeiterInnnen vorsehen: Profilerstellungen (Bsp.:Kompetenzmanagementsysteme), Videoüberwachung Schulung der MitarbeiterInnen / Datengeheimniserklärung Reduzierung der Komplexität

10 Sonderfall: Technisch-organisatorische Maßnahmen Beispiele Sicherstellung eines Zugriffsschutzes Sicherstellung eines Schutzes vor unbefugter Kenntnisnahme bei Übermittlung oder Speicherung (Verschlüsselungskonzepte) Sicherstellung der Verfügbarkeit der Daten Sicherstellung der Trennung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

11 Materielle Vorgaben des BDSG Rechtsgrundlagenprüfung / Zweckbindung: Verbot mit Erlaubnisvorbehalt: entweder Rechtsvorschrift oder Einwilligung (bzw. Betriebsvereinbarung) Erforderlichkeit / Datenvermeidung und Datensparsamkeit Bereits bei der Entwicklung zu beachten: Ist Personenbezug erforderlich? Transparenz : Kommunikation mit den MitarbeiterInnen Vorabunterrichtung, Benachrichtigung, Beauskunftung Betroffenenrechte Berichtigung, Löschung, Sperrung, Auskunft Complaint Handling organisatorische Absicherung Datenschutz Gütesiegel: Von lästiger Pflichtübung zum Mehrwert als Wettbewerbsvorteil

12 Akzeptanz durch Datenschutz Compliance

13 Datenschutz Compliance bei Mitarbeiterportalen Evaluation des Personenbezuges: In welchem Umfang fallen personenbezogene Daten an, wenn die MitarbeiterInnen das Portal nutzen? Werden die Aktivitäten der MitarbeiterInnen mitgelogged? Auswertung mit Personenbezug im Bereich Kommunikation, E- Learning? Rechtsgrundlagenprüfung / Zweckbindung: Rechtsgrundlagenprüfung und Zweckbindung der Daten für jedes einzelne Verfahren / jede einzelne Funktion; Einwilligung / Betriebsvereinbarung als Rechtsgrundlage? Erforderlichkeit? Credo: So wenig Personenbezug wie möglich Anonymisierung / Pseudonymisierung Beteiligung des betrieblichen Datenschutzbeauftragten von Anfang an: Schlüsselfigur bei allen datenschutzrelevanten Projekten Wichtiges Signal an die Mitarbeiter: Seht her, wir wahren Eure Datenschutzrechte

14 Datenschutz Compliance bei Mitarbeiterportalen Bei privater Internetnutzung: Möglichkeit der anonymen Nutzung des Portals zur Verfügung stellen: Arbeitgeber gilt dann nach dem TKG als access provider Fernmeldegeheimnis ist zu beachten! Information der MitarbeiterInnen: Welche personenbezogenen Daten werden zu welchem Zweck erhoben und verarbeitet? Datensicherheitsmaßnahmen: Vertrauen schaffen. Kann das Portal auch anonym genutzt werden? Betriebsvereinbarung über die Nutzung des Mitarbeiterportals? Veröffentlichung der Log-Policy. Einbindung der Datenschutzinformation in die Schulungen für die MitarbeiterInnen. Aktzeptanzproblem mit Transparenz begegnen und zugleich Datenschutzanforderungen erfüllen.

15 Mögliche Folgen der Non-Compliance Datenschutzrechtliche Sanktionen Verstöße gegen das BDSG können als Ordnungswidrigkeiten geahndet werden. Non-Compliance kann zur Einstampfung eines gesamten Geschäftsmodells führen (Bsp.: Klicktel-Fall in NRW: Einstellung des Vertriebes und Ordnungsgeld) Image- bzw. Vertrauensverlust Unzufriedenheit bei MitarbeiterInnen Vertrauensverlust auch bei Kunden, wenn Verstöße öffentlich werden Schäden durch Nachbesserungen Möglicherweise hoher technischer und finanzieller Aufwand um Datenschutzanforderungen im Nachhinein zu erfüllen Nachbesserungen können durch die frühzeitige Einbindung des Datenschutzes und die Beteiligung des betrieblichen Datenschutzbeauftragten verhindert werden.

16 Zusammenfassung: Beteiligung des betrieblichen Datenschutzbeauftragten bereits in der Projektplanung. Transparenz für die MitarbeiterInnen über den Umfang und den Zweck der Erhebung personenbezogener Daten. Rechtsgrundlagen und Zweckbindung: Dürfen Daten erhoben werden, zu welchem Zweck werden sie erhoben / verarbeitet? Erforderlichkeit / Datenvermeidung: Müssen Daten personenbezogen verarbeitet werden, kann das Portal auch anonym genutzt werden?

17 Vertrauen und Akzeptanz durch Gütesiegel Gütesiegelung des Mitarbeiterportals Unabhängige Zertifizierung Datenschutzrechte werden gewahrt Compliance Anforderungen des Datenschutzrechtes erfüllt

18 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Meike Kamp /