Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 2
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 3
Werbung :-) binsec - binary security UG Security Consulting Penetration Testing Secure Application Hosting Schulungen Sitz: Frankfurt am Main im Westhafen Patrick Sauer M.Sc. in Security Management CEO der binsec Hochschuldozent an der FH Brandenburg (für PCI DSS) Zertifikatssammlung: CISSP, CISM, OSCP,.. Mitarbeiter: Aktuell insg. 3 Personen http://www.binsec.de/ 4
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 5
Einführung Zielstellung Zielstellung - Besprechung der Fragen: Was sind die Aufgaben, Kompetenzen und Rechte eines DSB? Welche Anforderungen werden an den DSB gestellt? Wo entstehen Interessenskonflikte und damit Konfliktpotential? Was spricht für einen internen (angestellten) DSB, was für einen externen DSB (z.b. Dienstleister)? Bringt es mir Vor- oder Nachteile? 6
Einführung Grundsätzliches Fragen: Was sind personenbezogene Daten? Was sind besondere Arten personbezogener Daten? Wer benötigt einen Datenschutzbeauftragten? Wer ist die Verantwortliche Stelle? 7
Einführung Grundsätzliches Fragen: Was sind personenbezogene Daten: 3 Abs. 1 BDSG Was sind besondere Arten personbezogener Daten: 3 Abs. 9 BDSG Wer benötigt einen Datenschutzbeauftragten: 4f Abs. 1 BDSG Wer ist die Verantwortliche Stelle: 3 Abs. 7 BDSG 8
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 9
Aufgaben eines DSB Aufgaben des Beauftragten für den Datenschutz Aufgaben des Beauftragten für den Datenschutz 4g Abs. 1 BDSG: Er wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen Er hat insbesondere die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. 10
Aufgaben eines DSB Verfahrensverzeichnis Verfahrensverzeichnis 4g Abs. 2 BDSG: Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Das Verfahrensverzeichnis wird dennoch oftmals vom DSB erstellt.. 11
Aufgaben eines DSB Vorabkontrolle Vorabkontrolle 4d Abs. 5 BDSG: Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten ( 3 Abs. 9) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,... Vorabkontrolle ist Aufgabe des DSB 12
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 13
Kompetenzen und Rechte eines DSB Rechte 4f Abs. 3 BDSG: Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. 4f Abs. 5 BDSG: Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. 14
Kompetenzen und Rechte eines DSB Kompetenzen 4g Abs. 1: Der Beauftragte für den Datenschutz [kann sich] in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach 38 Abs. 1 Satz 2 in Anspruch nehmen DSB hat keine gesetzliche Weisungsbefugnis genüber anderen Mitarbeitern! Eine inoffizielle Weisungebefugnis hängt vom eigenen Ansehen in der Firma und der eigenen Persönlichkeit ab! Er arbeitet mit bzw. über die verantwortliche Stelle! Pflicht Missstände zu melden? Nein! Das Recht Missstände zu melden? Er kann Beratung bei der zuständigen Aufsichtsbehörde in Anspruch nehmen.. knifflig.. 15
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 16
Anforderungen an den DSB Formelle Anforderungen Formelle Anforderungen: 4f Abs. 2 BDSG Fachkunde und Zuverlässigkeit Fachkunde abhängig von Umfang / Schutzbedarf der pbd Zuverlässigkeit beinhaltet Unabhängigkeit (keine Interessenskonflikte), d.h. üblicherweise darf der DSB nicht folgende Rollen einnehmen: Inhabern, Vorständen, Geschäftsführern, Prokuristen IT-Leiter Personalleiter Personen mit Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung personenbezogener Daten o.ä. 17
Anforderungen an den DSB Hilfreiche Fähigkeiten Weitere sehr hilfreiche Fähigkeiten: Konfliktmanagement & Kommunikationsfähigkeit Wirkliche Kenntnisse und Verständnis von IT & IT-Sicherheit Durchsetzungsvermögen juristisches Interesse Leidensfähigkeit Geringes Verlangen nach Anerkennung & Beliebtheit 18
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 19
Interessenskonflikte & Konfliktpotential Interessenskonflikte Frage zur Diskussion: Welche Interessenskonflikte könnten denn auftreten? 20
Interessenskonflikte & Konfliktpotential Interessenskonflikte Frage zur Diskussion: Welche Interessenskonflikte könnten denn auftreten? Keine - Sonst nicht unabhängig, d.h. nicht zuverlässig! 21
Interessenskonflikte & Konfliktpotential Konfliktpotential Business vs. Datenstchutz Datenschutzbeauftragter vs. Geschäftsführung Datenschutzbeauftragter vs. Vertrieb Datenschutzbeauftragter vs. Mitarbeiter Datenschutzbeauftragter vs.... 22
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 23
interner vs. externer Datenschutzbeauftragter aus AG-Sicht Angestellter Datenschutzbeauftragter Vorteile interner DSB: Er kennt das Unternehmen Man kennt seinen zukünftigen DSB In manchen Fällen kostengünstiger (Der Eh-da-Kosten-Faktor ) bis hin zu einer Minimalschulung und fertig ( 2.000e) Nachteile interner DSB: Bindung von internem Personal (teilweise) Kündigungsschutz, nur aus wichtigem Grund 626 BGB (d.h. teure juristische Kündigungsverfahren) IdR erst notwendier Aufbau von Know-how & Erfahrung 24
interner vs. externer Datenschutzbeauftragter aus AG-Sicht Externer Datenschutzbeauftragter Vorteile externer DSB: Kein Kündigungsschutz (aber Vertragslaufzeit) Transparente Kostenstruktur Weniger Bindung von internen Ressourcen (Verfahrensverzeichnis,..) Je nach Kalkulation preiswerter Erfahrung & Know-how bereits vorhanden Keine Betriebsblindheit Nachteile externer DSB: Keine Kenntnisse vom Unternehmen Prüfung der Qualifikation? (Zertifikat als DSB nicht ausreichend!) 25
Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB Anforderungen an den DSB Interessenskonflikte & Konfliktpotential interner vs. externer Datenschutzbeauftragter aus AG-Sicht Diskussion: Bringt es einem Vor- oder Nachteile? 26
Diskussion: Bringt es einem Vor- oder Nachteile? Abschließende Diskussion: Bringt es einem Vor- oder Nachteile?.. 27