Missverständnisse, Halbwahrheiten und Vorurteile Fehlinterpretationen im Datenschutz bergen Risiken Tim Hoffmann IT-Trends Sicherheit 22.04.2015 Bochum
Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte; u. a.» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte Datenschutz und Informationssicherheit/ IT-Sicherheit in KMU [u. a. bei Behindertenwerkstätten und Dienstleistern] Bestellter Datenschutzbeauftragter Leiter des Arbeitskreises Informationssicherheit (networker.nrw) Arbeitsgruppe Datenschutz (UNiTS) Missverständnisse, Halbwahrheiten, Vorurteile 2
Unternehmensgruppe Missverständnisse, Halbwahrheiten, Vorurteile 3
Woran denken Sie, wenn Sie an Datenschutz denken? Missverständnisse, Halbwahrheiten, Vorurteile 4
Vorurteile!? Datenschutz ist zuteuer kontrolliert doch eh keiner! ist füruns nichtrelevant (keine Privatkunden, nur Akten etc.)! beachten wir doch ich brauche keinen Kontrolleur haben wir an ein Systemhaus ausgelagert bringt keinen Nutzen ist zu kompliziert weckt nur schlafende Hunde! hat unsereit imgriff behindert uns bei der Arbeit hinterfragt doch keiner! Missverständnisse, Halbwahrheiten, Vorurteile 5
Fehleinschätzungen!? Datenschutz ist Aufgabe der IT! Papierakten unterliegen nicht dem Datenschutz! Große Dienstleister sind sicherer! Datenschutz ist delegierbar Unsere Mitarbeiterhaben gesunden Menschenverstand! Am Tag der offenen Tür können wir Fotos machen Für eineumfassende Betreuung brauchen wir umfassende Zugriffsrechte Jeder Kunde kann werblich angeschrieben werden! Auf demsmartphone sindnur Mailsund Kalender, alsokeine brisanten Daten! Es reichtdoch, dassich denbetriebsrat beineuer Software einbinde! Missverständnisse, Halbwahrheiten, Vorurteile 6
Finden Sie sich wieder? Missverständnisse, Halbwahrheiten, Vorurteile 7
Zusammenfassung Kosten / Aufwand Relevanz Verantwortung Praktikabilität Gefahren / Risiken Nutzen Missverständnisse, Halbwahrheiten, Vorurteile 8
Kosten und Aufwand Nichts ist umsonst» auch der Nicht-Datenschutz nicht (Risiken) Marketing-Wirkung» je nach Dienstleistungen ggf. maßgeblich Relation zum Nutzen» Kosten und Aufwand nicht losgelöst betrachten Missverständnisse, Halbwahrheiten, Vorurteile 9
Relevanz Wir haben keine personenbezogenen Daten!» Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Wir müssen keinen Datenschutzbeauftragten bestellen!» [ ] zu bestellen, [es sei denn, dass sich] höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.» Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Missverständnisse, Halbwahrheiten, Vorurteile 10
Relevanz Datenschutz gilt demnach für alle Unternehmen, unabhängig von der Bestellungspflicht Datenschutz ist weit mehr als IT und Sicherheit Rechtliche Fragen bei» Marketing-Maßnahmen» Outsourcing, Softwarebeschaffung, Prozessgestaltung» Sicherheitsmaßnahmen» Fotos, Videokamera, Smartphones, Auswertungen» Internetpräsenz, soziale Netzwerke» etc. Missverständnisse, Halbwahrheiten, Vorurteile 11
Verantwortung Verantwortung liegt stets bei der Geschäftsführung» Bestellung eines fachkundigen und zuverlässigen Datenschutzbeauftragten» Organisationsschuld» Schulung, Sensibilisierung, Verpflichtung der Mitarbeiter Verantwortung auch bei Outsourcing» Delegation von Aufgaben/Prozessen möglich, aber keine Verantwortungsdelegation» Vertragsgestaltung und Kontrollen Missverständnisse, Halbwahrheiten, Vorurteile 12
Organisationsschuld Festlegung der Verantwortlichkeiten Definition der Prozesse Dokumentation der Sicherheitsmaßnahmen, u. a.» Berechtigungen (Zutritt, Zugang, Zugriff)» IT-Sicherheit (Virenschutz, Firewall, Verschlüsselung)» Sub-Unternehmen (Zugang, Verträge, Audits)» Verfügbarkeit (Backup, Wartung, Vernichtung) Arbeitsanweisungen, Verpflichtungen, Schulungen Missverständnisse, Halbwahrheiten, Vorurteile 13
Missverständnisse, Halbwahrheiten, Vorurteile 14
Praktikabilität Angemessenheit» Bundesdatenschutzgesetz fordert nur angemessene Maßnahmen» Abwägung zwischen Erforderlichkeit und Aufwand Erfahrung» Best-Pratice-Lösungen sind oftmals pragmatischer und schaffen mehr Akzeptanz» Lösungsfindung oftmals schneller Missverständnisse, Halbwahrheiten, Vorurteile 15
Gefahren und Risiken Compliance-Risiken» Bußgelder durch Nicht-Einhaltung Image-Risiken» Beschwerden, behördliche Prüfungen» Kunden, Mitarbeiter, Anteilseigner, Spender Markt-Risiken» Anforderungen von Auftraggebern Prozess-Risiken» Betriebsrat, Ausschreibungen Missverständnisse, Halbwahrheiten, Vorurteile 16
Nutzen Vertrauen» Kunden, Mitarbeiter, Anteilseigner, Spender Sicherheit der Informationen und Systeme» Professionalisierung der Schutzmaßnahmen Qualität der Prozesse» Verbindlichkeit und Transparenz schafft einheitliche Vorgehensweisen Missverständnisse, Halbwahrheiten, Vorurteile 17
Mancher ertrinkt lieber, als daß er um Hilfe ruft! (Wilhelm Busch) Missverständnisse, Halbwahrheiten, Vorurteile 18
Fragen?? Fragen? Diskussion?? thoffmann[at]uimc.de (0202) 265 74-0 Hier den Name der Präsention eintragen // Referentenname 19
Vielen Dank! UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße 119 42115 Wuppertal Telefon: (0202) 265 74-0 Telefax: (0202) 265 74-19 E-Mail: consultants@uimc.de Internet: www.uimc.de UIMCert GmbH Moltkestraße 19 42115 Wuppertal Telefon: (0202) 3 09 87 39 Telefax: (0202) 3 09 87 49 E-Mail: certification@uimcert.de Internet: www.uimcert.de akkreditiert durch: 20