www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011
Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz ist im Mittelstand ebenso wichtig wie in Großunternehmen 3. Was Sie über Datenschutz wissen sollten 4. Wie sich Datenschutz im Unternehmen organisieren lässt 2
Gesellschaft und Politik messen dem Datenschutz mehr Bedeutung zu 3
Datenschutz im Fokus der Öffentlichkeit 4
Die Politik reagiert mit immer strikteren Gesetzen zum Schutz personenbezogener Daten in Unternehmen Seit 2009 sind verschärfte Regeln des Bundesdatenschutzgesetzes (BDSG) in Kraft. Strengere Bußgeldvorschriften Verschärfte Anforderungen an die Auftragsdatenverarbeitung (ADV) Klare Vorschriften für den Datenschutzbeauftragten (DSB) Informationspflicht bei Datenschutzpannen Erweiterung der Befugnisse der Aufsichtsbehörde Ein weiterer Gesetzesentwurf zur Verschärfung des Beschäftigtendatenschutzes von der Bundesregierung liegt vor. Googeln von Bewerbern Compliance keine heimliche Videoüberwachung Informationspflicht bei Sicherheitsvorfällen Einwilligung als Erlaubnistatbestand auf gesetzlich normierte Ausnahmefälle beschränkt Konzerninterner Datentransfer 5
Datenschutz ist im Mittelstand ebenso wichtig wie in Großunternehmen 6
Für den Datenschutz im Mittelstand gelten die selben Regeln wie für Großunternehmen 1. Das Gesetz unterscheidet nicht zwischen Großunternehmen und dem Mittelstand. Sobald mehr als neun Personen mit der Verarbeitung personenbezogener Daten beauftragt sind, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten bestellen. 2. Aufsichtsbehörden weiten ihre Aktivitäten verstärkt auch auf kleinere Unternehmen aus und überprüfen die Einhaltung der Gesetze. In Hamburg verteilte die Aufsichtsbehörde beispielsweise im Januar 2011 zur flächendeckenden Überprüfung ein Datenschutzformular unter Hamburgs Spediteuren. 3. Unter mittelständischen Unternehmen kann der bessere Datenschutz der entscheidende Wettbewerbsvorteil sein. Effektives Datenschutzmanagement schafft nicht nur vertrauensvolle Geschäftsbeziehungen, sondern trägt ebenso zur Wahrung von Geschäftsgeheimnissen bei und verbessert die Datenintegrität und qualität. 7
Ausgangslage Unsere Beweggründe für die Studie: Datenskandale in der Öffentlichkeit Novellierung BDSG im September 2009 Ziele der Studie: Ermittlung eines Stimmungsbild zum Thema Datenschutz in der deutschen Wirtschaft Aufzeigen von Trends, Defiziten und aktuellen Herausforderungen Vor welchen Herausforderungen stehen die Unternehmen? This placeholder text (20pt Georgia regular) is intended to show the correct position and size of the real text used in this location. To ensure that you have the correct size, colour and location of the text, it is recommended that you select. Overtype this placeholder text. 8
Wesentliche Erkenntnisse Die häufigsten Ursachen für Datenschutzverletzungen: Unachtsamkeit und Unwissenheit der Mitarbeiter. Auszug Studie Daten schützen 2011 9
Jedoch zeigt die Studie Daten schützen das kleinere Unternehmen oft schlechter aufgestellt sind hat 2011 zum zweiten Mal eine Studie zum Stand des Datenschutzes in deutschen Großunternehmen durchgeführt 252 Interviews mit Datenschutzbeauftragten wurden ausgewertet. Die wichtigsten Ergebnisse für den Mittelstand: Die häufigsten Ursachen für Datenschutzverletzungen bleiben Unachtsamkeit und Unwissenheit der Mitarbeiter. Schulungskonzepte sind oft nicht ausreichend entwickelt. In 75% der Unternehmen mit Umsatz unter 500 Mio. Euro fordert die Geschäftsführung nie oder nur unregelmäßig einen Bericht des DSB an. In mehr als der Hälfte der Unternehmen mit weniger als 5000 Mitarbeitern beurteilen die Datenschutzbeauftragten ihre personellen Ressourcen als zu gering. Nur 50% der Unternehmen mit weniger als 5000 Mitarbeitern aktualisieren ihr Verfahrensverzeichnis in einem Standardprozess. 10
Was Sie über Datenschutz wissen sollten 12 Juli 2011
Sind Sie fit im Datenschutz? Sechs Fragen zum Stand des Datenschutzes in Ihrem Unternehmen 1. Gibt es einen schriftlich bestellten Datenschutzbeauftragten im Unternehmen? 2. Werden alle Mitarbeiter im Zuge eines angemessenen Schulungskonzepts sensibilisiert? 3. Liegen in allen Fällen aktuelle Verträge zur Auftragsdatenverarbeitung vor und wird die Prüfungspflicht wahrgenommen? 4. Gibt es ein Löschkonzept für personenbezogene Daten? 5. Gibt es einen Notfallplan bei Datenschutzpannen nach 42 a BDSG? 6. Wird das gesetzlich vorgeschriebene Verfahrensverzeichnis geführt? 12
Gesetzliche Grundlagen 1/3 Datenschutzbeauftragter Jedes Unternehmen in dem mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten vertraut sind, hat einen Datenschutzbeauftragten schriftlich zu bestellen. Schulungskonzept Der Datenschutzbeauftragte hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. ( 4 g Abs. 1 Nr. 2 BDSG) 13
Gesetzliche Grundlagen 2/3 Auftragsdatenverarbeitung Auftraggeber bleibt Herr der Daten und ist verantwortlich für die Einhaltung datenschutzrechtlicher Vorschriften Der Gesetzestext konkretisiert die (zehn) Mindestinhalte eines ADV-Vertrages (auch Altverträge sind anzupassen) Auftraggeber hat sich von der Einhaltung des Datenschutzes vor und in regelmäßigen Abständen auch während der Vertragsdurchführung zu überzeugen Löschkonzept Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um (besonders schützenswerte Daten) handelt, und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine ( ) ergibt, dass eine länger währende Speicherung nicht erforderlich ist. 14
Gesetzliche Grundlagen 3/3 Notfallplan Im Falle, dass eine unrechtmäßige Übermittlung oder auf sonstige Weise unrechtmäßige Kenntniserlangung durch Dritte und dadurch die Gefahr von schwerwiegenden Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen gegeben ist, ist das Unternehmen zu folgenden Handlungen verpflichtet: 1. Unverzügliche Information der Aufsichtsbehörde 2. Direkte Information der Betroffenen oder 3. Information der Öffentlichkeit (Anzeigen in überregionalen Tageszeitungen) Verfahrensverzeichnis Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. 4 g Abs. 2 BDSG 15
Wie sich Datenschutz im Unternehmen organisieren lässt 12 Juli 2011
Der Ansatz spiegelt alle wichtigen Aspekte im Bereich Datenschutz wieder Die Datenschutz-Pyramide besteht aus fünf Ebenen, die alle bestimmte Anforderungen des BDSG beschreiben: 1. Strategie 2. Rollen und Verantwortlichkeiten 3. Richtlinien und Vereinbarungen 4. Integration in die Unternehmensprozesse 5. Überwachung der Wirksamkeit 17
Der Ansatz spiegelt alle wichtigen Aspekte im Bereich Datenschutz wieder Die Datenschutz-Pyramide besteht aus fünf Ebenen, die alle bestimmte Anforderungen des BDSG beschreiben: 1. Strategie Festlegung und Kommunikation der Datenschutzstrategie Tone from the Top 2. Rollen und Verantwortlichkeiten Aufbau und Ausstattung der unternehmensweiten Datenschutzorganisation Training & Kommunikation Festlegung von Inhalten der Datenschutz-Berichterstattung 3. Richtlinien & Vereinbarungen Richtlinien, Betriebsvereinbarungen, Verzeichnisse etc., Prozesse zur Führung eines Verfahrensverzeichnisses 1. Strategie 2. Rollen und Verantwortlichkeiten 3. Richtlinien und Vereinbarungen 4. Integration in die Unternehmensprozesse 5. Überwachung der Wirksamkeit 4. Integration in Unternehmensprozesse Konzernweite Datenschutz-Vorgaben und Standardprozesse zum Umgang mit Mitarbeiterdaten zur Mitarbeiterüberwachung (insb. Massendatenanalysen und Videoüberwachung) zum Umgang mit Kundendaten zur Datenverarbeitung im Auftrag zur Wahrung der Betroffenenrechte 5. Überwachung der Wirksamkeit Sicherstellung der Einhaltung der Datenschutzmaßnahmen (Datenschutzprüfung) 18
Vielen Dank für Ihre Aufmerksamkeit PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft Friedrich-Ebert-Anlage 35-37 60327 Frankfurt am Main Telefon +49 69 9585 1066 Mobil +49 1707 865 589 birthe.goertz@de.pwc.com Birthe Görtz Partnerin, WP Governance, Risk & Compliance 2011 PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. In diesem Dokument bezieht sich "" auf die PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, Frankfurt am Main, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (IL) ist. Jede der Mitgliedsgesellschaften der IL ist eine rechtlich und wirtschaftlich selbständige Gesellschaft.