Datenschutz und Informationssicherheit bei Klientenberatungen



Ähnliche Dokumente
Datenschutzbestimmungen im Vergleich D.A.CH

Datenschutz im Unternehmen

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz und Schule

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Einführung in den Datenschutz

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Gesetzliche Grundlagen des Datenschutzes

Rechtssicherheit in der Benutzung von Archiven

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Einführung in die Datenerfassung und in den Datenschutz

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz im Alters- und Pflegeheim

ao. Univ.-Prof. Dr. Wolfgang Brodil

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Nutzung dieser Internetseite

Datenschutz eine Einführung. Malte Schunke

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz für Künstler- und

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

1. bvh-datenschutztag 2013

SharePoint Demonstration

Datenschutzbeauftragte

IMI datenschutzgerecht nutzen!

Cloud Computing - und Datenschutz

Datenschutz-Unterweisung

REGATTA.yellow8.com OESV-Edition

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Informationssicherheitsmanagement

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Datenschutz ist Persönlichkeitsschutz

Monitoring und Datenschutz

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

UNIVERSITÄT ROSTOCK PERSONALRAT FÜR DIE WISSENSCHAFTLICH BESCHÄFTIGTEN (WPR)

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Rehabilitation und Datenschutz

Datenschutz und Datensicherheit in mittelständischen Betrieben

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Telematik & Co versus Datenschutz

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

DATENSCHUTZERKLÄRUNG

Liste der Änderungen der UPS Grundsätze zum Datenschutz mit Wirkung vom 28. April 2005

Das Leitbild vom Verein WIR

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Verwendung von Daten aus dem umfassenden Informationsverbundsystem EDM-Umwelt. Mag. Franz Mochty, EDM Programmleiter, Abt. VI/4, Lebensministerium

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Mag. Andreas Krisch Datenschutz: Schülerdaten, Videoüberwachung

- Datenschutz im Unternehmen -

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Der Schutz von Patientendaten

Wir arbeiten mit KigaRoo. Eine Information für Eltern: Vorteile. Möglichkeiten. Datenschutz.

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

GPP Projekte gemeinsam zum Erfolg führen

Datensicherung EBV für Mehrplatz Installationen

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Die Bewerberin/der Bewerber kann Änderungen im Karriereprofil mittels der bereitgestellten Anwendung vornehmen.

Mittagsinfo zum Thema

Einwilligungserklärung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Datenschutzrecht. Informations- und Kommunikationsrecht HS PD Dr. Simon Schlauri, Rechtsanwalt. Datenschutzrecht

Internet- und -Überwachung in Unternehmen und Organisationen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Betriebsvereinbarung zur personenbezogenen Datenverwendung durch die Transportsoftware PRACAR

DATENSCHUTZ IN DER FORSCHUNG

DIGITALE PRIVATSPHAERE

Adressen und Kontaktinformationen

Das Persönliche Budget in verständlicher Sprache

Datenschutz - Ein Grundrecht

Checkliste zum Datenschutz in Kirchengemeinden

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

WICHTIGER HINWEIS: Bitte fertigen Sie keine Kopien dieses Fragebogens an!

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Big Data, Amtliche Statistik und der Datenschutz

Checkliste zum Datenschutz

Der Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?

Telekommunikation Ihre Datenschutzrechte im Überblick

Nutzung von Kundendaten

Die Post hat eine Umfrage gemacht

Datenschutzerklärung zum Online Bewerbungsverfahren für Stellen bei deutschen VOLVO Gesellschaften

Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)

Kirchlicher Datenschutz

Telearbeit. Ein Datenschutz-Wegweiser

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Alle gehören dazu. Vorwort

Transkript:

Datenschutz und Informationssicherheit bei Klientenberatungen Georg Göbel Medizinische Universität Innsbruck 1

Geschäftsprozesse unter Kontrolle Aus Daten Informationen und aus Informationen Wissen generieren ist eine der Kernaufgaben des Enterprise Content Managements (ECM). Die Spezialisten von Swisscom IT Services sorgen dafür, dass Ihr ECM System dieser Aufgabe vollumfänglich gerecht wird. Bei Swisscom IT Services finden Sie das profunde Expertenwissen, um Lösungen für das Enterprise Content Management erfolgreich aufzubauen. Wir stimmen die ECM Lösung auf Ihre Branche, Ihre Geschäftsprozesse und Ihre technologische Infrastruktur ab, damit sich ihr Nutzen voll entfalten kann. Der ECM Service verschafft Ihrem Unternehmen einen Wettbewerbsvorteil, wann und wo immer Entscheidungen getroffen werden müssen. ECM versetzt Sie in die Lage, alle Ihre Inhalte zu verwalten und Ihre Geschäftsprozesse kontrolliert und effizient zu gestalten. Die Spezialisten von Swisscom IT Services sind auf allen wichtigen ECM Systemen zertifiziert und haben jederzeit Zugriff auf die aktuellsten Entwicklungen der Hersteller. Der ECM Service bietet Ihnen eine hochprofessionelle Lösung aus einer Hand, die spezifisch auf die Bedürfnisse in der Schweiz abgestimmt ist. Der ECM Service unterstützt den gesamten Lebenszyklus in Ihrem Unternehmen: von der Erstellung neuer Informationen über deren langfristige Archivierung bis hin zur Löschung. Übersicht Beispiele, Ausgangssituation und Hintergründe Hintergrund Recht Was bedeutet Datenschutz Wo finden sich datenschutzrechtliche Regelungen Begriffsdefinition: Daten, Auftraggeber, Betroffener etc. Was kann / muss ich tun? Abläufe und Maßnahmen bzgl. Datenschutz und Informationssicherheit Meldepflicht, Dokumentation, Verschwiegenheitserklärung etc. Infrastruktur: Datensicherheit 3 2

18. September 2013 Aus zwei Rechenzentren der Swisscom in Bern sind mehrere Kassetten mit riesigen Mengen an Daten verschwunden. Auf den entwendeten Bändern sind neben anderem über 14 500 E Mails gespeichert. Dies betrifft: Verträge mit Privat und Geschäftskunden, Angaben zu Bestellungen und Telefonanschlüssen sowie Verrechnungsaufträge 600 000 Nummern aus dem Directories Telefonbuch sind auf einem Tape abgelegt. Die internen E Mail Korrespondenzen gewähren Einblick in den Stand von Projekten, informieren über Probleme und Sitzungs Traktanden. Ebenso sind Protokolle, Dienstpläne, Krankheitsmeldungen und Einladungen zu Apéros, Raclette Essen und Basketball Trainings dabei; im Weiteren Absagen auf Blindbewerbungen und Mitteilungen zu Entlassungen von Mitarbeitern. Zudem umfasst der Schriftverkehr Angebote zu Weiterbildungskursen sowie Abhandlungen, wer ein Swisscom Geschäftsauto ohne Firmenlogo fahren darf, welche Fahrzeuge beschädigt und welche im Service sind. Die Korrespondenzen verraten, für welche Unternehmen die Swisscom Server überwacht. Bedeutende Firmennamen tauchen in Adressen und Absendern auf, Aufträge werden in Dokumenten definiert. Georg Göbel Beruf Wissenschaftlicher Mitarbeiter für Medizinische Informatik und Statistik an der Medizinischen Universität Innsbruck Department für Medizinische Statisitik, Informatik und Gesundheitsökonomie Zertifizierter Auditor für Datenschutz und Informationssicherheit (ISO 27001) Allgemein beeideter & gerichtlich zertifizierter Sachverständiger Background Studium Mathematik & Informatik Universität Innsbruck Zertifikat Auditor ISO 27001 (CIS) Berechtigungsprüfung Technisches Büros (Eine) Eigenschaft: Chronische Paranoia und pathologische Misstrauensanfälle 5 3

Sieht so Ihr Büro aus? Verhältnis von Informationssicherheit (IT-Sicherheit) und Datenschutz (Privacy) Daten-/InformationsSICHERHEIT DatenSCHUTZ Sicherstellung der Verfügbarkeit, Vertraulichkeit, Integrität von wertvollen Daten bzw. Informationen aus Sicht der Unternehmenssicherheit IT-Sicherheit: behandelt vorrangig technische Fragen: z.b.: Datensicherung, Verschlüsselung, Katastrophenschutz (Datenwiederherstellung) Zugriffsschutz Protokollierung Rechteverwaltung Datenbeschädigung Datenverlust Passwörter Grundrechtliche Fragen: Personenbezogene Daten Informationelle Selbstbestimmung Zweckbindung, Meldepflicht, Auskunfts-/löschpflicht Offenlegungspflicht 4

Datenschutz? Das Grundrecht auf Datenschutz ist ein Persönlichkeitsrecht Datenschutz bedeutet, Menschen die ein Geheimnis haben, davor zu schützen, dass ihr Geheimnis preisgegeben wird. Datenschutz bedeutet, sich so zu verhalten, dass das entgegengebrachte Vertrauen anderer nicht enttäuscht wird. Datenschutz bedeutet auch, dass, wenn Daten weitergegeben werden, darauf zu achten, dass das Recht auf Geheimhaltung so weit wie möglich gewahrt bleibt. 8 Informationssicherheit Sicht des Unternehmens auf die unternehmenseigenen Daten Sicherstellung von Vertraulichkeit Integrität Verfügbarkeit Yes, we scan! 5

Aspekte bei (personenbezogenen) Informationen Prozesse und (interne) Regelungen zb Bewerbungen Kunden-/Klientenakten Personaldaten Wer erfasst / verarbeitet Daten über Personen? MitarbeiterInnen Sekretariat Auftraggeber Infrastruktur zb Zugänge PCs /Serverraum Sicherheit Rechtsgrundlagen zb Gesetze Vereinbarungen Verträge Personengruppen MitarbeiterIn Kunde / Klient Externe SteuerberaterIn Lieferanten FördergeberIn 6

Wo ist der Datenschutz geregelt? EU: EU-Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Neue Richtlinie in Arbeit Österreich: Datenschutzgesetz 2000 - DSG 2000 vom 17.8.1999 / 2010 novelliert + Novellen / Verordnungen In zahlreichen anderen Gesetzen und Standesrichtlinien: z.b. Verschwiegenheitsverpflichtung bei Steuerberatern, Anwälten Ärztegesetz, Psychotherapiegesetz etc. 12 DSG 2000 Grundrecht auf Datenschutz (Verfassungsbestimmung) 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. (2)... Einschränkungen nur zur Wahrung wichtiger öffentlicher Interessen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. 13 7

Grundrecht auf Datenschutz ØZustimmung des Betroffenen Øseine lebenswichtigen Interessen Øüberwiegende berechtigte Interessen eines anderen ØEingriff einer staatlichen Behörde gemäß dem Gesetz nach 8 EMRK Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. 14 (Personenbezogene) Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Sensible Daten ( besonders schutzwürdige Daten'' ) Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben 15 8

direkt personenbezogene Daten = Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist Bsp: Klientenkartei indirekt personenbezogene Daten = wie A, aber die Identität des Betroffenen ist mit rechtlich zulässigen Mitteln nicht mehr bestimmbar Bsp: Sozialversicherungsnummer, Autokennzeichen anonymisierte Daten = es gibt keinen Personenbezug, daher nicht datenschutzrelevant 16 Sensible Daten Daten natürlicher Personen über ihre rassische und ethnische religiöse oder philosophische Herkunft Überzeugung politische Meinung Gesundheit Gewerkschaftszugehörigkeit oder ihr Sexualleben sind SENSIBLE DATEN = BESONDERS SCHUTZWÜRDIG Der Sicherheitsstandard sollte den verwendeten Daten angemessen sein! 17 9

Verarbeiten von Daten + Übermitteln von Daten = Verwenden von Daten ist das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten; ist die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers ist jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten als auch das Übermitteln von Daten Betroffener jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden. Auftraggeber natürliche oder juristische Personen, wenn sie die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Dienstleister natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden. 19 10

Wer ist bei Projekten der Auftraggeber? Warum ist diese Frage wichtig? Vielzahl an Rechten und Pflichten: Meldepflicht an Datenschutzregister sofern keine Ausnahme besteht Informations- und Auskunftspflicht gegenüber Betroffenen Abschluss von Dienstleistungsverträgen Verantwortlich für Datensicherheit, (Datenschutzverpflichtungserklärungen Mitarbeiter, Datensicherung...) Ist der Fördergeber oder der Projektträger Auftraggeber: Hat eine Institution (Verein) gemeinsam mit anderen Einrichtungen die Entscheidung getroffen, die Daten für einen bestimmten Zweck zu verarbeiten und dafür um Fördermittel beim AMS oder Bundessozialamt anzusuchen, so ist dieser Verein Auftraggeber Anders bei Auftragsprojekten nach Ausschreibungen des AMS etc. 20 Daten von Kunden KlientInnen Achtung bei Gesundheitsdaten! Informationen über Menschen mit körperlichen, geistigen Behinderungen, psychische und körperliche Erkrankungen eindeutig sensible Daten nach dem DSG erhöhter Datensicherheitsstandard vorgeschrieben (Vertraulichkeit, Integrität, Verfügbarkeit) Vorsicht bzgl. der MitarbeiterInnen Aufklärung, Sensibilisierung bei Arbeitsbeginn Datenschutzerklärung unterschreiben lassen > Personalakt Regelmässige Schulungen 21 11

Grundsätze beim Umgang mit personenbezogenen Daten Zweckbindung Treu und Glauben Wesentlichkeitsgrundsatz Sachliche Richtigkeit und Aktualität Datenlöschung 22 Zweckbindung Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden. Beispiele: Protokolle von Gesprächen mit Kunden (Re-)Integration in den Arbeitsmarkt Integrationsberatung für MigrantInnen Coaching von Menschen mit Behinderungen 23 12

Zustimmung der Betroffenen Sehr strenge Judikatur des OGH Der Betroffene muss die Zustimmungserklärung verstehen, um rechtlich verbindlich zustimmen zu können. Zustimmung ist die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt. Wenn der Betroffene nicht zustimmen kann, so muss die Zustimmungserklärung des rechtlichen Vertreters eingeholt werden. Die Zustimmungserklärung muss genau enthalten: Datenarten Zweck Empfänger 24 Prüfung vor Datenverwendung 1. Prüfung der Grundsätze nach 6 DSG 2000 + 2. Prüfung der Zulässigkeit der Verwendung ØTreu und Glauben Øfestgelegter, eindeutiger und rechtmäßiger Zweck Ønicht über den Zweck hinaus Øsachlich richtig und am neuesten Stand ØAufbewahrung nur solange als nötig A) Berechtigung des Auftraggebers vorhanden B) Schutzwürdige Geheimhaltungsinteressen des Betroffenen 7 DSG bei nicht-sensiblen Daten nicht verletzt 8 DSG bei sensiblen Daten nicht verletzt 9 DSG 25 13

Zusätzliche Prüfung bei Übermittlungen Hat der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht? Werden durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt? Alternative: pseudonymisierte / anonymisierte Übermittlungen ACHTUNG!! bei der Zusammenführung von anonmyisierten Dateien und Befragungen 26 Fragen zur Umsetzung? Welche personenbezogenen Daten werden verarbeitet? Gibt es dafür rechtliche Grundlagen? Erfassung aller relevanten Personen(-gruppen), die die Daten verwenden Erklärungen und Schulungen dieser Personen (Zustimmung, Verschwiegenheit, Werkverträge etc.) Meldepflicht an das Datenverarbeitungsregister Maßnahmen zur Datensicherheit Personal (Ursache von 70% aller Sicherheitsvorfälle) IT-Infrastruktur / Netzwerk (Firewall) Softwaresicherheit (z.b. Malware) Datenspeicherung (Cloud?) Datenarchivierung (Verfügbarkeit nach Jahren!) Reparaturen / Entsorgung (Festplatten) 14

Meldepflicht? 17 DSG: Jeder Auftraggeber hat, soweit in den Abs 2 und 3 nicht anders bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Ausnahmen: veröffentlichte Daten anonyme Daten Daten, die unter eine Standardanwendung fallen... Bei kundenorientierten Projekten im Normalfall Meldepflicht gegeben. 28 Kunden KlientInnen Zustimmungserklärung(en) der Personen (Achtung auf Verständnis der Betroffenen!) Aufnahme von Datenschutzthemen in AGBs oder Beratungsverträge Geschützte Gesprächsatmosphäre Terminvereinbarungen, -kalender Diskreter, geschützter Zugang (Empfang, Wartebereiche) Besprechungsraum (Sichtschutz, Hörschutz, Mitschriften, Plakate etc.) Mitarbeiterbesprechungen - Fallbesprechungen Genaue Regelung der Datenweitergabe (welche Daten, an wen, auf welcher Rechtsgrundlage, Information des/der KlientIn) Aufbewahrung / Entsorgung der Falldokumentationen (Papier / digitale Version) Recht auf Auskunft, Änderung, Löschung (grundsätzlich 1x/J kostenlos, Fristen) 29 15

MitarbeiterInnen 14 Abs 2 Z 3 DSG Jeder Mitarbeiter ist über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften zu belehren. Zweck der Mitarbeiterbelehrung Die Sensibilität der Mitarbeiter soll erhöht werden Damit die Mitarbeiter Kenntnis erlangen, über den Datenschutz an sich, das Datengeheimnis und die Datensicherheitsvorschriften Nur durch verantwortungsvolle Mitarbeiter ist Datenschutz realisierbar. Das technisch aufwendigste Sicherheitssystem bringt nichts, wenn es nicht von den Mitarbeitern akzeptiert und umgesetzt wird Die häufigste Form der Datenschutzverletzung, nämlich im Gespräch Daten preiszugeben (Tratsch) soll stark reduziert werden. 30 Externe Fragen: Wer hat Zutritt zu den Räumlichkeiten (ev. ausserhalb der Öffnungszeiten)? An wen werden vertrauliche Unterlagen übermittelt? Sicherheit für Büros und Schreibtisch / Unterlagen Sicherheit bzgl. Computer und Netzwerk Wartung (intern, Fernwartung) Reparaturen (v.a. außer Haus) Entsorgung von vertraulichen Unterlagen, Datenträger Technischer / organisatorischer Datenschutz (Datensicherung, Backup, Firewalls TIPP: Aufnahme von Datenschutz - / sicherheitsthemen in Werkverträge bzw. Aufträge 31 16

Tipps und Unterlagen für die Umsetzung GoodPriv@cy Datenschutzgütesiegel der SQS ISO 27001 Zertifizierung ähnlich der ISO 9001 Unterlagen Broschüren der Wirtschaftskammer http://portal.wko.at/wk/format_detail.wk?angid=1&stid=505419&dstid=6841 Österreichisches Sicherheitshandbuch http://www.a-sit.at/pdfs/oe-siha_i_ii_v2-3_2007-05-23.pdf Grundschutzkataloge des BSI https://www.bsi.bund.de/cln_156/de/themen/itgrundschutz/itgrundschutzstandards/ ITGrundschutzStandards_node.html IEC / IS0 27001 ff (kostenpflichtig) In diesem Sinn Gelebter Datenschutz ist gelebtes Qualitätsmanagement. Die Qualität Ihrer Dienstleistung ist ein wichtiger Erfolgsfaktor für Ihre Institution. Menschen sollen Ihrer Dienstleistung vertrauen. Vertrauenswürdige Institutionen verkaufen hochwertige Dienstleistungen. Gelebter Datenschutz stärkt das Vertrauen in Ihre Einrichtung Kontakt: Dr. Georg Göbel georg.goebel@i-med.ac.at 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback