IT-Compliance und Datenschutz 16. März 2007
Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot mit Erlaubnisvorbehalt Die 8 goldenen Regeln Auftragsdatenverarbeitung Beispiele Seite 2
Vorstellung Deutsche Post Adress GmbH führendes Logistikunternehmen [51%] führender Medien-Dienstleister [49%] Geschäftsbeginn 1. Oktober 1994 190 Mitarbeiter [inkl. Beteiligungen] Marktführer im Segment der Anschriftenermittlung professioneller Partner für Services und Tools rund um die Adresse Seite 3
Vorstellung Deutsche Post Adress GmbH Aktualisierung von Adressen durch den Einsatz von Umzugsadressen. Aktueller Bestand durch Kennzeichnung nicht korrekter und unzustellbarer Adressen. Vermeidung von Risiken durch Risikobewertung von Wohumfeldern und Bereinigung angemieteter Adressen. Vermietbestand von Adressen aus öffentlich zugänglichen Quellen Neukundengewinnung in der Umzugsphase durch Präsenz in den Mediaprodukten des Nachsendeservice. International die richtigen Adressen aus einer Hand. Weiterführende Dienstleistungen rund um die Adresse unsere Tochterunternehmen Adress Research und ABIS. Seite 4
Compliance und Datenschutz allgemein Compliance Rechtsquellen des Datenschutzes Grundrechte: Recht auf informationelle Selbstbestimmung Europäische Datenschutzrichtlinie Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz / Fernmeldegeheimnis (Landesdatenschutzgesetze) Andere Rechtsvorschriften z.b. PDSV SGB BDSG gilt nur subsidiär Seite 5
BDSG Anwendungsbereich Erhebung, Verarbeitung und Nutzung personenbezogener Daten personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person öffentliche und nichtöffentliche Stellen Seite 6
BDSG formelle Vorgaben Bestellung eines betrieblichen Datenschutzbeauftragten Verfahrensübersicht Vorabkontrollen Schulung der Mitarbeiter Seite 7
Der Datenschutzbeauftragte 4 f BDSG Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Ausnahme erst wenn 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind gilt die Verpflichtung einen Datenschutzbeauftragten zu bestellen. Seite 8
Der Datenschutzbeauftragte Aufgaben des Datenschutzbeauftragten - 4 g BDSG Hinwirken auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz insbesondere ordnungsgemäße Anwendung der Programme mit denen personenbezogene Daten verarbeitet werden und Schulung der Mitarbeiter, die mit der Verarbeitung personenbezogener Daten betraut sind Seite 9
BDSG materielle Vorgaben Zulässigkeit der Datenverarbeitung Erforderlichkeit Zweckbindung Transparenz Betroffenenrechte Seite 10
Verbot mit Erlaubnisvorbehalt Grundaussage des BDSG die Verarbeitung personenbezogener Daten ist verboten! 4 Abs 1 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Seite 11
Verbot mit Erlaubnisvorbehalt Erlaubnisnormen im BDSG - 28, 29 BDSG 28 BDSG - Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke Zweckbestimmung eines Vertragsverhältnisses berechtigter Interessen der verantwortlichen Stelle vs. schutzwürdige Interesse des Betroffenen Listenprivileg Seite 12
Verbot mit Erlaubnisvorbehalt 29 BDSG - Geschäftsmäßige Datenerhebung und - speicherung zum Zweck der Übermittlung fremdnützige Datenverarbeitung Katalog ähnlich dem des 28 BDSG Gefährdung der Betroffenen tritt erst ein, wenn die Daten übermittelt werden Seite 13
Die 8 goldenen Regeln Anlage zu 9 Satz 1 BDSG technische/ organisatorische Maßnahmen - Zutrittskontrolle - Zugangskontrolle - Zugriffskontrolle - Weitergabekontrolle - Verfügbarkeitskontrolle - Trennungsgebot - Eingabekontrolle - Auftragskontrolle Seite 14
Auftragsdatenverarbeitung 11 BDSG Datenverarbeitung im Auftrag oft hilfreich, wenn keine Einwilligung zur Übermittlung vorliegt Auftraggeber bleibt verantwortlich Herr der Daten Auftragnehmer ist nicht Dritter i.s.d. BDSG enge Grenzen bezüglich der Freiheit des Auftragsnehmers Seite 15
Beispiele private Internet- und E-Mail-Nutzung externe Lohnbuchhaltung Übermittlung von Personaldaten im Konzern Ausscheiden von Personen aus dem Unternehmen Seite 16
Danke Vielen Dank für Ihre Aufmerksamkeit Deutsche Post Adress GmbH Am Anger 33 33332 Gütersloh Telefon: 0 52 41/53 93 0 Telefax: 0 52 41/53 93 49 Seite 17