Embed Size (px)
Citation preview
Was Sie über Datenschutz wissen sollten!
Präsentation: 10.10.2014
1
Zu meiner Person:
• Lars Querbach
• Geschäftsführer „Das LohnTEAM GmbH“
• externer Datenschutzbeauftragter TÜV
• Datenschutz-Auditor TÜV
• Personalfachkaufmann
• Industriekaufmann
2
Themen:
• Warum ist Datenschutz notwendig? • Wo ist der Datenschutz geregelt? • Was ist Datenschutz? • Was sind personenbezogene Daten? • Wann dürfen Daten erhoben, verarbeitet
und genutzt werden? • Grundregeln des Datenschutzes • Die TOP 5 der Datenschutzverstöße • Technische und organisatorische Maßnahmen • Der Datenschutzbeauftragte • Folgen bei Verstoß • Zusammenfassung
3
Warum ist Datenschutz notwendig?
Datenschutz in den Medien
4
Warum ist Datenschutz notwendig?
• Datenschutz wird oft vernachlässigt
• Das Gefährdungspotential steigt durch moderne Technik
• Beachtung ist gesetzlich vorgeschrieben im Bundesdatenschutzgesetz (BDSG)
• Bußgeld bis zu 300.000 € möglich
• Datenschutz kann auch Vorteile mit sich bringen (Image, Organisation, etc.)
5
Warum ist Datenschutz notwendig?
• Grundrecht auf informationelle Selbstbestimmung (Volkszählungsurteil von 1983)
So wie Sie nicht wollen, dass Daten über Sie Unbefugten zur Kenntnis gelangen, müssen Sie auch dafür sorgen, dass Sie die Daten anderer
vertraulich behandeln.
6
Wo ist der Datenschutz geregelt?
• Bundesdatenschutzgesetz
• EU-Datenschutzrichtlinie
• Landesdatenschutzgesetze
• Kirchendatenschutzgesetze
• spezielle gesetzliche Vorschriften z.B. BGB, HGB, UWG, AO, TMG, TKG, SGB,…
7
Was ist Datenschutz?
Datenschutz ist nicht (primär) der „Schutz der Daten“, sondern
Datenschutz ist der Schutz von Personen vor dem Umgang mit ihren Daten
– ... vor unberechtigter Speicherung,
– ... vor fremder (unberechtigter) Kenntnisnahme und Verwendung,
– ... vor unsauberem Umgang mit ihren Daten (Computer, Internet!)
8
Was sind personenbezogene Daten?
Welche personenbezogenen Daten werden bei Ihnen von wem erhoben, verarbeitet oder genutzt? • Mitarbeiter- / Bewerberdaten (z. B. Adresse,
Sozialdaten, Arbeitszeiten, Ausbildung, Fähigkeiten, Arbeitszeugnisse)
• Kundendaten • Interessentendaten (z. B. Adresse, Interessen,
Empfehlungen) • Lieferantendaten (z. B. Adresse) • …
9
Was sind personenbezogene Daten?
Personenbezogen sind alle Einzelangaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, z. B.
* besondere Arten personenbezogener Daten
10
Persönliche Verhältnisse: • Name, Anschrift, Geburtsdatum • Familienstand, Anzahl der Kinder • Aussehen • Fingerabdruck • Telefonnummer (priv. u. berufl.) • Arbeitgeber und Beruf • Zeugnisse / berufl. Bewertungen • Kontonummer / Bankverbindung • Hobbys • ethnische Herkunft u. Konfession * • politische Meinungen * • Mitglied in Gewerkschaft * • Gesundheit / Krankheiten * • ...
Sachliche Verhältnisse: • Einkommen • Vermögen • Kfz-Typ • Steuern • Versicherungen • Grundbesitz • Vertragsbeziehungen • Führen von Telefonaten • Schreiben von E-Mails • Umfang der Internet-Nutzung • ...
Was sind personenbezogene Daten?
Was muss mit den personenbezogenen Daten passieren, damit das BDSG gilt?
11
speichern verändern anonymisieren
pseudonymisieren
übermitteln sperren löschen
Erheben Verarbeiten Nutzen
Wann dürfen Daten erhoben, verarbeitet und
genutzt werden? Grundsatz: • Personenbezogene Daten dürfen gar nicht
erhoben, verarbeitet oder genutzt werden. Ausnahmsweise doch erlaubt: • Bei einer speziellen (bereichsspezifischen)
Regelung, z. B.: Tarifvertrag, Betriebsvereinbarung, andere Gesetze (TMG, SGB, GewO, StGB, ...)
• Durch Bundesdatenschutzgesetz (BDSG) erlaubt • Betroffener willigt ein (z.B. vertragliche Regelung)
12
Grundregeln des Datenschutzes:
Folgende allgemeine Grundregeln des Datenschutzes gelten: • Rechtsgrundlage: Immer, wenn personenbezogene Daten
„angefasst“ werden, muss es dafür ein Gesetz oder eine Einwilligung geben.
• Datenerhebung beim Betroffenen: Wann immer möglich, sind die Daten direkt beim Betroffenen zu erheben. Wenn dies nicht möglich ist, ist er i. d. R. zumindest darüber zu informieren („informationelle Selbstbestimmung“).
• Auskunftsrechte: Der Betroffene muss jederzeit Kenntnis haben, dass Daten über ihn gespeichert sind (Transparenzgebot). Deshalb darf er Auskunft verlangen.
13
Grundregeln des Datenschutzes:
• Zweckbestimmung: Erhobene Daten dürfen ausschließlich für den Zweck verwendet werden, zu dem sie ursprünglich erhoben wurden.
• Datensparsamkeit: Nur so wenig Daten wie nötig dürfen erhoben, verarbeitet und genutzt werden.
• Berichtigung: Personenbezogene Daten, die falsch sind, müssen berichtigt werden.
• Schutz durch technische und organisatorische Maßnahmen: Daten sind vor Missbrauch zu schützen
14
Die TOP 5 der Datenschutzverstöße
• fehlende oder unvollständige Datenschutz-erklärung auf der Unternehmens-Website
• fehlendes Verfahrensverzeichnis
• Schulungen der Mitarbeiter wurden nicht durchgeführt
• fehlende Datenschutz-Verträge mit Dienstleistern
• unzureichende Umsetzung der technischen und organisatorischen Maßnahmen
15
Technische und organisatorischen Maßnahmen
16
Technische und organisatorischen Maßnahmen
17
Zutrittskontrolle
Eingabekontrolle
Zugangskontrolle
Auftragskontrolle
Zugriffskontrolle
Verfügbarkeitskontrolle
Weitergabekontrolle
Trennungsgebot Datenschutz
durch
Datensicherung
Der Datenschutzbeauftragte
• ist direkt der Geschäftsleitung unterstellt
• arbeitet weisungsfrei
• ist zur Verschwiegenheit verpflichtet
18
Der Datenschutzbeauftragte
Aufgaben des Datenschutzbeauftragten (gem. § 4 g BDSG):
• Hinwirken auf Einhalten der Datenschutzbestimmungen
• Überwachung der Datenverarbeitung
• Führen des Verfahrensverzeichnisses
• Durchführen von Vorabkontrollen - soweit erforderlich
• Schulung der Mitarbeiter bzgl. der geltenden Vorschriften und besonderen Erfordernissen des Datenschutzes
• Ansprechpartner für Geschäftsleitung, Betriebsrat, Mitarbeiter, Kunden, Dritte…..
19
Der Datenschutzbeauftragte
Aufgaben des Datenschutzbeauftragten: (gem. § 4 g BDSG):
• Stichprobenartige Prüfung der Datenverarbeitung
• Überwachung der Auftragsdatenverarbeitung
• Mindestens jährliches Update der Risikoanalyse bei einem Besuch vor Ort
• Prüfung neuer Verfahren
• Regelmäßiger Bericht an die Geschäftsleitung
• Beratung bei Nutzung aller Onlinemedien…..
20
Der Datenschutzbeauftragte
Interner Datenschutzbeauftragter Vorteile: ₊ Kennt das Unternehmen und ist in den internen Ablauf
eingebunden. Nachteile: - Unkündbar, Tätigkeit kann nicht zeitlich begrenzt werden - Zeitaufwand geht zu Lasten seiner eigentlichen Tätigkeit - Gefahr der „Betriebsblindheit“ - Interessenkollisionen - Kostenaufwand: Schulung, Weiterbildung, eigenes Büro,
eigener PC!
21
Der Datenschutzbeauftragte
Externer Datenschutzbeauftragter Vorteile: ⁺ Neutrale Stellung und Unabhängigkeit, vermeidet
Interessenkonflikte ⁺ Spezialkenntnisse sind bereits vorhanden, d.h. keine
Fortbildungsmaßnahmen ⁺ er besitzt breit gefächerte Kenntnis (Synergieeffekte) ⁺ Haftungsauslagerung Nachteile: Er kennt das Unternehmen anfangs nicht er ist nicht ohne weiteres in den innerbetrieblichen Ablauf
eingebunden
22
Folgen bei Verstoß
Was passiert, wenn gegen Datenschutz-Vorschriften verstoßen wird?
• Image des Unternehmens nimmt Schaden
• evtl. Informationspflicht nach § 42a !
• Schadensersatzpflicht gegenüber dem Betroffenen
• für Beschäftigte: arbeitsrechtliche Konsequenzen
• Ordnungswidrigkeit (§ 43 BDSG): Bußgeld bis zu 50.000 € bzw. 300.000 € plus erlangtem Vermögensvorteil
• Straftat (§ 44 BDSG): Geldstrafe oder Freiheitsstrafe bis zu 2 Jahren
23
Folgen bei Verstoß
Bußgeldbewehrte Tatbestände sind u.a.
• Fehlende Verträge zur Auftragsdatenverarbeitung
• Fehlende bzw. unzureichende Datenschutzerklärung
• Fehlende Bestellung eines Datenschutzbeauftragten
• Verstoß gegen die Meldepflicht einer Datenschutzpanne
• Fehlende Widerspruchsmöglichkeit bei Werbung
• Keine Auskunft an den Betroffenen
• Datenspeicherung ohne Grundlage
• etc…
24
Zusammenfassung
• Um Datenschutz kommt man nicht herum!
• Geschützt sind alle personenbezogene Daten.
• Deshalb sind auch technische Geräte (Hard- und Software) zu schützen, auf denen personenbezogene Daten bearbeitet werden.
• Betroffene haben Auskunfts-, Löschungs- und andere Rechte.
• Im Zweifel: Vertraulich an den Datenschutz-beauftragten wenden.
25
Zusammenfassung
Die Umsetzung eines professionellen Datenschutzkonzepts schafft aber auch positive Nebeneffekte:
• Ansatz zur Prozessoptimierung
• Positive Imagewirkung
• Argumentationshilfe für Vertrieb und Kundenbetreuung
• Je nach Branche klarer Wettbewerbsvorteil
26
Wir beraten Sie gerne!
Lars Querbach Das LohnTEAM GmbH Karl-Tesche-Straße 1
56073 Koblenz Tel.: 0261 29 35 86 0
www.datenschützer-online.de
27
