Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich?

Transkript

1 Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich? IKT-Forum der Hochschule Ansbach Donnerstag 13. November 2014 / 17:30 bis 19:15 Uhr Ansbach Gerd Schmidt Geschäftsführer der infosi GmbH & Co. KG Vorsitzender GDD-Erfa-Kreis / IHK-Anwenderclub Datenschutz und Informationssicherheit / Nürnberg

2 Was erwartet Sie? Rechtlicher Rahmen beim Outsourcing Hintergründe / Trends Auftragsdatenverarbeitung (ADV) Ausgangssituation / Entscheidungshilfe Umsetzung / Kontrolle / Dokumentation Umsetzung und Lösungswege Weiterführende Hinweise Ausblick: Wohin geht die Reise? Fazit und Empfehlung Seite 2

3 Rechtlicher Rahmen nach Bundesdatenschutzgesetz Quelle: Seite 3

4 Änderung der EU-Standardvertragsklauseln 02/2010 Geltungsbereich: Verarbeitung von Daten im Auftrag Der Sitz des Datenexporteurs ist innerhalb der EU Der Sitz des Datenimporteurs ist außerhalb der EU Seite 4

5 Änderung der EU-Standardvertragsklauseln 02/2010 EU außerhalb EU Datenexporteur 1. Vertrag 2. Einwilligung für 3. Datenimporteur 3. Gleicher Vertrag Unterauftragnehmer Seite 5

6 Hintergründe Datenschutz in der Presse Seite 6

7 Hintergründe - Offenlegung von Datenpannen Quelle: Seite 7

8 Trends - Stichproben der Aufsichtsbehörden Mit Auftragnehmern, die als Dienstleistungsunternehmen personenbezogene Daten weisungsgebunden im Auftrag verarbeiten (wie Rechenzentren, Cloud- Computing-Dienstleister, IT-Wartungsunternehmen usw.), muss ein dem 11 Abs. 2 Satz 2 BDSG entsprechender Vertrag abgeschlossen werden.nach welchen Kriterien werden Dienstleistungsunternehmen ausgewählt und wie wird die ordnungsgemäße Auftragserledigung überwacht? Quelle: Aufsichtliche Kontrolle nach 38 BDSG - BayLDA Seite 8

9 Trends Merkblatt der Aufsichtsbehörden bei einer Prüfankündigung Dienstleister (Auftragsdatenverarbeitung?) Quelle: Bayerisches Landesamt für Datenschutzaufsicht Seite 9

10 Trends Cloud-Computing Datenschutz und IT-Sicherheit: Es liegen Lösungen vor, die für Kunden die Vorteile des Cloud-Computings erschließen, ohne Abstriche bei den Datenschutz-Anforderungen bzw. bei der IT-Sicherheit zuzulassen. Viele Anwender setzen Cloud-Computing ein, um Fortschritte in den Bereichen Datenschutz und IT- Sicherheit zu erzielen. Quelle: Seite 10

11 Auftragsdatenverarbeitung (ADV) Für Auftraggeber und Auftragnehmer: Anforderungen an die ADV Vertragsgestaltung nach 11 BDSG Ausgestaltung/Umsetzung der Kontrollpflichten Für Auftragnehmer (Dienstleister): Umsetzung der Neuen Datenschutzstandards Einbindung Unterauftragnehmer Für Auftraggeber: Kontrolle der Auftragnehmer im Rahmen der ADV Dokumentation der Erst- und Folgekontrolle Seite 11

12 Ausgangssituation: Verschiedenste Arten von Dienstleistungen / Auftragnehmern Entsorgung von Dokumenten u. Datenträger Inkassounterstützung Buchung v. Dienstreisen über ext. Reisebüro Wartung der Videoüberwachung durch Dienstleister Verwaltung der Dienstwagen extern Externe Lohn- und Gehaltsbuchhaltung Server-/Netzbetrieb durch ext. Rechenzentrum Postversand und Kundenbefragungen (Lettershop) Verfügbarkeit der Dienstleister-Verträge erfahrungsgemäß nicht zentral Seite 12 12

13 Ausgangssituation: Verschiedenste Kategorien Auftragsdatenverarbeitung (ADV) Auftragsdatenverarbeitung mit StGB-Relevanz (ADV) Service und Wartung (ADV) Vertraulichkeitsverpflichtung (VV) Funktionsübertragung (FÜ) weder noch Seite 13 13

14 Umsetzung - Entscheidungshilfe ADV / FÜ / Sonstige Langtext Auftragsdatenverarbeitung (ADV) Service- und Wartung (ADV) Funktionsübertragung (FÜ) Vertraulichkeitsverpflichtung (VV) Nicht BDSGrelevant Beispiel Datenträgerentsorgung Einschaltung von Call Centern Remote-Zugriff auf IT-Systeme wegen Wartung und der Möglichkeit des Zugriffs auf personenbezogene Daten Buchung von Hotels Veranstaltungsbuchung Objektverwaltung Hausmeisterfunktion Dienstleistung erfolgt im Unternehmen durch Vorort-Service reine Software- Nutzungs- Verträge Erforderliche Dokumente Muster-ADV- Vertrag Muster-SuW-Vertrag Checkliste der technischorganisatorischen Maßnahmen(TOMs) Dokumentation der Erst- und Folgekontrolle Vertraulichkeitsverpflichtung + Checkliste der technischorganisatorischen Maßnahmen (TOMs) Vertraulichkeitsverpflichtung Seite 14 14

15 Umsetzung und Lösungswege 1 Vertragsanpassung aufgrund Mindestanforderungen 2 Kontrolle und Dokumentation / Projektarbeit 3 Anpassung der Geschäftsprozesse Seite 15 15

16 1 Vertragsanpassung aufgrund Mindestanforderungen Bisher: IT-Rahmenvertrag mit datenschutzrechtlichem Teil Ab sofort: IT-Rahmenvertrag Projekteinzelvertrag über Auftragsdatenverarbeitung / Service- und Wartung Projekteinzelvertrag über Auftragsdatenverarbeitung / Service- und Wartung allgemein zivilrechtlicher Teil allgemein zivilrechtlicher Teil bleibt + Ergänzungs- Vertrag gemäß BDSG-Novelle II + Checkliste der technischorganisatorischen Maßnahmen (TOMs) + Dokumentation der Erst- und Folgekontrolle Seite 16 16

17 2 Kontrolle und Dokumentation Kontrolle der Dienstleister anhand der Entscheidungshilfe und der TOMs Dokumentation der Erst- und Folgekontrolle der Dienstleister Seite 17 17

18 2 Umsetzung in Eigenregie oder mit Projektarbeit Auftraggeber/ Verantwortliche Fachabteilung Einkauf Rechtsabteilung Mitglied der Geschäftsleitung Datenschutzbeauftragter IT-Security Seite 18 18

19 3 Umsetzung - Anpassung der Geschäftsprozesse Planung der Dienstleistung über den Einkauf Verantwortliche Fach- und IT- (Security) Abteilung und Einkauf Prüfung: Bestehender Vertrag? Verantwortliche Fach- und IT- (Security) Abteilung und Einkauf Vertraulichkeits- Verpflichtung Prüfung: Beratung oder sonstige Dienstleistung? Datenschutzbeauftragter und IT- Abteilung Vertrag Auftragsdatenverarbeitung und TOM-Checkliste Prüfung: Verarbeitung personenbezogener Daten extern? Datenschutzbeauftragter und IT-Abteilung Vertrag Auftragsdatenverarbeitung / Service und Wartung und TOM-Checkliste Prüfung: Abrufbarkeit personenbezogener Daten bei Fernwartung? Datenschutzbeauftragter und IT-Abteilung Ziel: Standardisierter Geschäftsprozess für ADV Seite 19 19

20 Weiterführende Hinweise Quelle: Bayerisches Landesamt für Datenschutzaufsicht Seite 20 20

21 Weiterführende Hinweise Quelle: Bayerisches Landesamt für Datenschutzaufsicht Seite 21

22 Ausblick: Wohin geht die Reise? Seite 22 22

23 Ausblick: Wohin geht die Reise? Herr Prof. Dieter Kempf: 40 Prozent der Unternehmen nutzten 2013 die Cloud-Technologie, im Jahr zuvor waren es 37 Prozent. Die technischen und wirtschaftlichen Vorteile sind einfach zu groß. Quelle: Geleitwort Cloud Computing auf dem Vormarsch - BITKOM-Leitfaden Cloud-Computing Seite 23 23

24 Fazit und Empfehlung Analyse sämtlicher Dienstleistungen im Unternehmen Umsetzung in Eigenregie oder alternativ im Rahmen eines kleinen Projekts unter Einbezug aller Beteiligten Ziel: Standardisierten Geschäftsprozess für ADV schaffen Erst- und Folge-Kontrollen bei den Dienstleistern durchführen und dokumentieren Seite 24

25 Fazit: Foto: G.Schmidt Seite 25 25

26 Gerd Schmidt Geschäftsführer der infosi GmbH & Co. KG Vorsitzender GDD-Erfa-Kreis / IHK-Anwenderclub Datenschutz und Informationssicherheit / Nürnberg Aussiger Straße Lauf info@infosi.de Vielen Dank für das Interesse! Diese Hinweise und Ausführungen ersetzen keine persönliche Beratung Seite 26