Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT-Grundschutz-Experte (TÜV)

Transkript

1 ebusiness-lotse Magdeburg c/o tti Magdeburg GmbH im ekompetenz-netzwerk für Unternehmen Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT-Grundschutz-Experte (TÜV)

2 Datenschutz und IT-Sicherheit Quelle: BSI-IT-Grundschutzkatalog IT

3 Bedeutung des Datenschutzes Datenschutz bewahrt den Einzelnen vor dem Missbrauch seiner Daten. Der technische h Fortschritt ermöglicht heutzutage t eine immer schnellere und umfangreichere Erfassung persönlicher Daten. Sowohl Behörden als auch die Privatwirtschaft sammeln zahlreiche Informationen über ihre Kunden. Namens-, Adress- und Geburtsdaten werden ebenso gespeichert, wie Informationen z.b. zum Kaufverhalten oder über Einkommensverhältnisse. Für den betroffenen Bürger wird es immer schwerer zu überblicken, wer Daten über ihn speichert, um welche Informationen es sich dabei handelt und vor allem, ob diese Datenerfassung auch rechtmäßig ist. Fazit: Datenschutz wird immer wichtiger!

4 Ziel des Datenschutzes Schutz des Einzelnen vor Eingriffen in sein Persönlichkeitsrecht durch Missbrauch seiner personenbezogenen Daten

5 Gesetzliche Grundlagen Bundesdatenschutzgesetz (BDSG) öffentliche (Bund und ggf. Länder) und nichtöffentliche Stellen Datenschutzgesetz eines Bundeslandes (z.b. Sachsen-Anhalt DSG-LSA) Betriebsverfassungsgesetz (BetrVG) Allgemeines Gleichbehandlungsgesetz (AGG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG)

6 Das Bundesdatenschutzgesetz internet

7 Unternehmerpflicht zum Datenschutz BDSG 1 Zweck und Anwendungsbereich (1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.. (3) nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten

8 Hinweis Achtung! BDSG ist ein Verbot mit Erlaubnisvorbehalten. Datenschutz ist Chefsache. Der Geschäftsführer haftet für das Unternehmen und seine Handlungen, als auch für die Verstöße beim Datenschutz, ggf. Straftatbestände. 7 Schadensersatz Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung Seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet.

9 Begriffe 3 Weitere Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). wenn Bezug zu einer bestimmten t oder bestimmbaren b Person hergestellt werden kann (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Strukturierte t Tbll Tabellen und Akten fll fallen auch darunter

10 Begriffe (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Nur zulässig, wenn gesetzliche Pflicht (z.b. gesetzlich begründete Vorsorge) besteht oder dies für die Rechtsposition des Unternehmens zulässig ist (s.a. 28 Abs. 6-9 BDSG).

11 Der Datenschutzbeauftragte (DSB) Das Unternehmen muss zur Wahrnehmung seiner Aufgaben bzgl. des Datenschutzes einen Datenschutzbeauftragten bestellen, wenn die gesetzliche Pflicht erfüllt ist. Es kann dies aber auch freiwillig tun. 4f Beauftragter für den Datenschutz (1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche tli h Stellen sind hierzu spätestens t innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1und 2 gelten nicht für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

12 Meldepflicht 4d Meldepflicht (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nichtöffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde nach Maßgabe 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Weitere e Ausführungen: u siehe e Abs. 3-6

13 Aufgaben des Datenschutzbeauftragten 4g Aufgaben (1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, die personenbezogene Daten verarbeiten Schulung der Mitarbeiter mit datenschutzrelevanten Aufgaben datenschutzgerechter ec Internetauftritt etau t tt Überwachung der technischen u. organisatorischen Maßnahmen entsprechend der Anlage 9 zu 9 BDSG Mitwirkung und Überwachung Datenschutz- und IT-Sicherheitskonzept

14 Aufgaben des Datenschutzbeauftragten Der Datenschutzbeauftragte ist ein Organ der Geschäftsführung. Er ist dieser direkt in dieser Funktion unterstellt. Er berät und unterstützt die Geschäftsführung. Er ist zu berufen (Urkunde / Sonderstatus).

15 Dokumentationspflichten Unternehmen ist zur Dokumentation von Datenschutz relevanten Abläufen verpflichtet! meldepflichtige Vorgänge Mitarbeiterverpflichtungen Verfahrensverzeichnis Datenschutz (intern) Öffentliches Verfahrensverzeichnis Arbeitsanweisungen Vorgehensweise zur Abarbeitung von Anfragen dritter bzgl. Datenschutz

16 Die Website und der Datenschutz Datenschutzrechtliche Komponenten einer Website sind z.b.: Impressum Kontaktformular Shop Befragungen Foren u.ä. Newsletter Kurz alle Komponenten, bei denen personenbezogene Daten eine Rolle spielen.

17 Die Website und der Datenschutz In Abhängigkeit von der eingesetzten Komponente ist der Datenschutz zu gewährleisten. Datenschutzerklärung sollte grundsätzlich eingebaut werden. (siehe TMG) Öffentliches Verfahrensverzeichnis muss auf Anfrage verfügbar gemacht werden. Deshalb sollte geprüft werden, ob es nicht generell auf der Website veröffentlicht wird (Aufwand bei häufigen Anfragen). Grundsätzlich gilt: Nur die unbedingt notwendigen Daten abfragen!

18 Datenschutz und -Kommunikation Interessen des Arbeitgebers Persönlichkeitsrecht des Arbeitnehmers

19 Checkliste bei erlaubter privater Nutzung In welchem zeitlichen Rahmen? In welchem Umfang sollen betriebliche Ressourcen bereit gehalten werden? Welche Nutzungsarten? Wie kann die Virengefahr durch -Anhänge eingedämmt werden? Kosten der privaten Nutzung? Trennung Verarbeitung von dienstlichen & privaten s? Rechtliche Konsequenzen bei nicht möglicher Trennung? Handhabung während Abwesenheit?

20 Kontrolle eingehender privater s Arbeitgeber unterliegt dem Telemediengesetz Fernmeldegeheimnis gem. 85 Telekommunikationsgesetz maßgebend Verbot, sich oder anderen über das über die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis oder den näheren Umständen der Telekommunikation zu verschaffen Weitergabe von dem Fernmeldegeheimnis unterliegenden Informationen ist strafbar dienstliche und private s müssen getrennt werden bei irrtümlicher Zustellung einer privaten unter einer dienstlichen Adresse ist diese zu schließen und dem Adressaten zur alleinigen Nutzung zur Kenntnis zu geben möglichst Zuweisung von dienstlicher und privater -Adresse

21 Rechtliche Aspekte der ausschließlich betrieblichen Nutzung Arbeitgeber ist nicht Anbieter im Sinne des TMG Recht, die Einhaltung der Nutzungsgrenzen stichprobenartig zu kontrollieren besonders strenge Abforderungen bei Vertrauensstellung und Schweigepflicht Nutzungs- und Verbindungsdaten nur für Kostenkontrolle Kontrollrecht von ein- und ausgehenden s Zulässigkeit der Unterdrückung von -Anhängen

22 Kontrolle eingehender dienstlicher s bei untersagter privater Nutzung wie bei eingehender dienstlicher Post in Papierform Vorlagerecht des Arbeitgebers durch Ausdruck oder Zugangsberechtigung bei eingehender privater unter der ausschließlich dienstlich zu nutzenden Adresse kein Leserecht des Arbeitgebers Private ist wie ein irrtümlich geöffneter Brief zu behandeln

23 Datenschutz im Büroalltag Schutz der Daten auf den PC bzw. Serverlaufwerken IT-Sicherheit-Standards mit IT-Sicherheitsaspekten (ISO 27001, 27002) Einsatz sicherer Passwörter (mindestens 8 Stellen, mit Sonderzeichen, keine Namen, möglichst kein Wort, das im Duden oder in einem anderen Wörterbuch aufgeführt ist) Passwörter regelmäßig wechseln, nicht weitergeben! Bildschirme und PCs sind bei Abwesenheit vom Arbeitsplatz zu sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht) Laptops auf Reisen sorgfältig sichern Daten verschlüsseln Datenzugriff regeln und prüfen

24 Datenschutz im Büroalltag Fax ist nicht immer vertraulich! Vertrauliche Informationen grundsätzlich nicht per Fax Andernfalls telefonische Absprache mit dem Empfänger Fax mit wichtigen Inhalten, kann falsche Empfänger erreichen!

25 Datenschutz im Büroalltag ist wie eine Postkarte! Verschlüsselung bei vertraulichem Inhalt (Verwendung von Software) Antwortfunktion kann Falsche erreichen (Unternehmen I Personen) Virengefahr bei Anlagen (die in das Unternehmen gelangen / können) Schaden durch unsinnige Weiterleitungen von s / Anhängen

26 Datenschutz im Büroalltag Praktizierter Datenschutz im Büroalltag Wer hört mit? (Außenstehende) Telefonbuch-Adresslisten (Daten von natürlichen Personen?) Daten aus dem Unternehmen (SIM, Speicherkarte, lokaler Speicher im Handy, andere mobile Geräte) SMS-Nachrichten ht PIN-Nummern (zum verwenden des Handys) Sperrung / Gerätenummer

27 Datenschutz im Büroalltag Büro und Schreibtisch Aufgeräumter Schreibtisch Unterlagen verschließen Zugang zum Büro regeln (unberechtigte) nach 9 BDSG Vertrauliches nur persönlich abgeben

28 Datenschutz im Büroalltag Der Papierkorb ist das gefährlichste Möbelstück! Shredder oder Datenschutztonnen verwenden Datenträger (CD o.ä.) nicht in den Müll werfen Entsorgung von PCs und Festplatten nach besonderen Verfahren (DIN 66399) Wichtige Dokumente nicht einfach wegwerfen

29 Datenschutz im Büroalltag Microsoft-Office-Dokumente verraten mehr, als Sie glauben! Microsoft-Office-Dokumente enthalten viele versteckte Informationen. Die Geschwätzigkeit solcher Dokumente ist gefährlich. Nicht an Betriebsfremde / Kunden im Original versenden Besser in sicheres Format wie z.b. PDF umwandeln inkl. Verschlüsselung des Inhalts (Rechte vergeben)

30 Datenschutz im Büroalltag Regeln für freie Textfelder in Programmen (z.b. Vertrieb, Außendienst) Halten Sie nur objektiv Richtiges fest, was wirklich benötigt wird! Vermeiden Sie persönliche Bewertungen. Keine Angaben über Gesundheit, religiöse oder politische Einstellungen, oder private Meinungen (Angehörige) Auskunftsrecht des Betroffenen, Angehörigen ist zu beachten!

31 Links bund de/bfdi forum/forum php

32 ?

33 ebusiness-lotse Magdeburg Roland Hallau Wilfried Müller Mike Wäsche Gertraud Köhler g