Datenschutzmanagement Wesentliche Pflichten des Postdienstleisters Dipl.-Wi.jur. Manuel Cebulla, LL.M. 7. KEPnet Strategieforum BRIEF auf der Post-EXPO, Stuttgart 2011
Agenda Einführung Datenschutz kurz gefasst Datenschutzmanagement Wer benötigt einen Datenschutzbeauftragten? Anforderungen an den DSB Pflichten des DSB Lösung: Datenschutzmanagement für KMU 2
Einführung Unsicherheit bezüglich der Rechte und Pflichten Verworrene Regelungen Mangelnde Sensibilisierung Fehler mit gravierenden Folgen 3
Einführung Frage: Fairer Wettbewerb adé? Erforderlich: Strategieforum Brief Ziel: Nachhaltigkeit (Überleben?) in der Postbranche Strategie: Aufholen (und Überholen) durch Kooperation und Qualitätsoffensive Ein Baustein des Erfolgs: Datenschutz Vision: Berechtigte Interessen der Betroffenen und der Unternehmen in Einklang bringen 4
Datenschutz kurz gefasst Datenschutz ist europäisches Grundrecht Art. 8 EU-Grundrechtecharta zudem Art. 7: Recht auf Achtung der Kommunikation Schutz des Einzelnen vor Schäden durch missbräuchlichen Umgang mit seinen Daten Er soll grundsätzlich selbst bestimmen, wer, was, wann, warum mit seinen Daten tut 5
Datenschutz kurz gefasst Pflichten nach dem BDSG und sog. bereichsspezifischen Vorschriften o z.b. 41 PostG und PDSV gelten für jede verantwortliche Stelle Das ist nach 3 Abs. 7 BDSG: Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Im Postdatenschutz: Diensteanbieter Das sind nach 2 PDSV alle, die ganz oder teilweise geschäftsmäßig Postdienste erbringen oder daran mitwirken. 6
Datenschutz kurz gefasst Datenschutz umfasst o Erheben (Inempfangnahme der Post, Einsatz Handscanner, Aufnehmen von Umzugsadressen, ) o Verarbeiten (insb. Verändern, Speichern, Löschen, Übermitteln) o Nutzen (z.b. der Empfängeradresse beim Einwerfen der Post durch Zusteller) von personenbezogenen Daten (Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, Betroffener ) 7
Datenschutz im Postsektor Personenbezogene Daten: o Adressdaten (Absender, Empfänger) o Bewegungsdaten (nähere Umstände des Postverkehrs) o Besonderheit im Postsektor: Daten juristischer Personen unterfallen auch dem (Post-)Datenschutz o Daten von Mitarbeitern und Kooperationspartnern Postgeheimnis Aufsichtsbehörden: BNetzA und BfDI - und LfD 8
Datenschutz im Postsektor Aufsichtsbehörden: BNetzA und BfDI - und LfD BNetzA: kann nach 42 Abs. 1 PostG Anordnungen erteilen, um die Einhaltung der sich aus dem Postgeheimnis und dem Postdatenschutz ergebenden Regelungen und Pflichten sicherzustellen; kann Auskünfte verlangen, Geschäftsund Betriebsräume betreten, Unterauftragnehmer prüfen. Kann nach 42 Abs. 2 PostG die Erbringung von Postdiensten ganz oder teilweise untersagen, bis hin zum Widerruf der Lizenz. BfDI: Der Bundesdatenschutzbeauftragte ist nach 42 Abs. 3 PostG zuständig bezüglich der Erhebung, Verarbeitung, Nutzung von Daten von natürlichen und juristischen Personen: Kontrolle der Einhaltung von Datenschutzvorschriften durch Postdienste erbringende Unternehmen und deren Auftragnehmer. Besonderheit: BfDI (wie BNetzA) zur vorbeugenden Initiativkontrolle ermächtigt. LfD: Die für das Bundesland, in dem der Postdienstleister seinen Sitz hat, zuständige Landesdatenschutzaufsichtsbehörde ist zuständig für alle Aktivitäten, die nicht unter den Postdatenschutz fallen (z.b. Mitarbeiterdaten). 9
Positive Effekte des Datenschutzes Rechtskonformität Haftung verringern, Strafen und Imageschäden vermeiden Werbeargument Kooperation ermöglichen Auswahlkriterium für Kunden und Kooperationspartner 10
Positive Effekte des Datenschutzes Guter bzw. sinnvoller Datenschutz: o Vernünftige Abwägung der berechtigten Interessen der Betroffenen und der Unternehmen o Datenschutz soll befördern, nicht bremsen 11
Datenschutzmanagement Die verantwortliche Stelle erfüllt ihre Pflichten mittels: o Datenschutzmanagement o Datenschutzbeauftragter als Teil und zentraler Akteur des DS-Managements Die Verantwortung für den Datenschutz liegt bei der Unternehmensleitung o mit und ohne Datenschutzbeauftragten! 12
Datenschutzmanagement Festlegung von Zwecken, Ermitteln der Rechtsgrundlage (für jedes Datum und jede Art von Umgang mit Daten) Risikoanalyse: Schutzbedarf ermitteln und Maßnahmen festlegen Meldepflicht ( 4d BDSG), Vorabkontrolle ( 4d Abs. 5, 6 BDSG) Verfahrensverzeichnis (öffentlicher/nicht-öffentlicher Teil; 4g Abs. 2 i.v.m. 4e BDSG) Verpflichtung auf Datengeheimnis ( 5 BDSG) und Postgeheimnis ( 39 PostG) Regelungen zu Übermittlungen, Datenweitergaben Einsatz von Auftragnehmern, und weitere Aspekte Bei vielen dieser Aufgaben kann bzw. muss der Datenschutzbeauftragte helfen. 13
Wer benötigt einen DSB? Personenzahl o Mehr als 9 Personen verarbeiten personenbezogene Daten unter Einsatz von EDV o Mehr als 19 Personen erheben, verarbeiten, nutzen personenbezogene Daten auf andere Weise Andere Tatbestände o z.b. Adresshandel, Auskunftei o Automatisierte Verarbeitung von besonders sensiblen Daten ( 3 Abs. 9 BDSG: Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben) o Beispiel: Zustelldienst arbeitet für Ärzte, Gewerkschaften, politische Parteien - schon die Tatsache der Mitgliedschaft bzw. Behandlung durch einen bestimmten Arzt ist ein sensibles Datum. 14
Wer benötigt einen DSB? Personenzahl - mitgezählt werden: o Angestellte o Leiharbeitnehmer o Azubis o Aushilfen o regelmäßig mithelfende Familienangehörige o freie Mitarbeiter Teilzeitbeschäftigte werden voll mitgezählt auch Personen mit anderer Hauptaufgabe, die aber auch regelmäßig mit Daten umgehen 15
Anforderungen an den DSB Bestellpflicht beginnt spätestens einen Monat nach Erfüllen der Voraussetzungen Person des DSB muss haben: o Fachkunde: insb. in den Bereichen Recht, Technik, Organisation (vgl. Kriterien des Düsseldorfer Kreises oder des BvD) o Unabhängigkeit: insb. Weisungsfreiheit, Kündigungsschutz o Zuverlässigkeit: insb. darf er bestimmte andere Aufgaben nicht ausführen (z.b. Geschäftsführer, IT-Leiter, Personalchef o.ä.) o Notwendige Mittel zur Aufgabenerfüllung: z.b. Fachliteratur, Raum, PC, Fortbildungsbudget, evtl. Mitarbeiter DSB kann Mitarbeiter des Unternehmens oder externer Dienstleister sein 16
Hauptaufgaben des DSB Hinwirken auf die Einhaltung der Datenschutzvorschriften Überwachung der ordnungsgemäßen Anwendung der DV-Programme Vertraut machen der Beschäftigten mit den Datenschutzvorschriften 17
Pflichten des DSB Unterstützung und Beratung der Unternehmensleitung Kontrollen Sensibilisierung Vertraulicher Ansprechpartner für alle Betroffenen (innerhalb und außerhalb des Unternehmens) Verfahrensverzeichnis vorhalten Mitwirken bei externen Audits und Kontrollen 18
DS-Management für KMU Gesetzeskonformer Datenschutz bei KMU? Lösung - auch ohne DSB-Bestellpflicht: Shared DSB - einer für alle Grundversorgung - ohne an Fachkunde zu sparen an breiter Wissensbasis partizipieren und von Synergien profitieren 19
Shared DSB auch für klein(st)e und mittlere Unternehmen z.b. das schon in anderen Branchen bewährte Angebot der TÜV Informationstechnik GmbH (TÜV NORD Gruppe): Pakete und verschiedene Modelle für Unternehmen bis 15 Mitarbeiter, 15-50 Mitarbeiter und für größere Unternehmen Einführungspaket o o Datenschutz-Check, Erstberatung Maßnahmenkatalog, Musterformulare, Informationen Monatliche Pauschale o o o o o Mandatsübernahme Hinwirken auf die Einhaltung der Datenschutzvorschriften Regelmäßige Informationen, Datenschutz-Portal, Newsletter Erreichbarkeit online Eine Beratung pro Monat 20
Vielen Dank für Ihre Aufmerksamkeit! Manuel Cebulla, LL.M. Berater für Datenschutz Telefon: 0201 8999-437 E-Mail: m.cebulla@tuvit.de 21