150 likes | 389 Views
DGQ Regionalkreis Nürnberg Arbeitskreis QMB Datenschutz / Datensicherheit. Übersicht Datenschutz. Bundesdatenschutzgesetz (Stand: 18.05.2001) Arbeitnehmer Datenschutz (aus EU-Vorgabe) Allgemeiner Datenschutz Betriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“)
E N D
DGQ Regionalkreis NürnbergArbeitskreis QMBDatenschutz/ Datensicherheit DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Übersicht Datenschutz • Bundesdatenschutzgesetz (Stand: 18.05.2001)Arbeitnehmer Datenschutz (aus EU-Vorgabe)Allgemeiner DatenschutzBetriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“) • Physische und umgebungsbezogene Sicherheit • IT-Sicherheit • Mitgeltende Unterlagen Personenbezogene Daten sind unabhängig vom Medium!!!- also z.B. Papier, Diskette, Festplatte, CD, Microfiche, Film, Foto, Video ...... u n d d a s g e s p r o c h e n e W o r t DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
BDSG • Erste Fassung vom 01.02.1977 / ab 01.01.1979 in Kraft • Derzeit gültige 3. Fassung seit 18.05.2001 in Kraft,enthält Umsetzung der EU-Datenschutzrichtlinie von 1995 • Leitsätze:Grundrecht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.Einschränkungen sind nur im überwiegenden Allgemeininteresse zulässig und - bedürfen verfassungsgemäßer gesetzlicher Grundlage nach rechtsstaatlichem Gebot - für Gesetzgeber gilt der Grundsatz der Verhältnismäßigkeit • 1. Abschnitt: Allgemeine Bestimmungen §§ 1 bis 11 (Zweck und Anwendungsbereich, Datenvermeidung und -sparsamkeit, Zulässigkeit, Meldepflicht / Datenschutzbeauftragter, Datengeheimnis(§5), Rechte des Betroffenen, Technische und organisatorische Maßnahmen (§9 T.O. Maßnahmen) • 2. Abschnitt: öffentliche Stellen §§ 12 bis 26 • 3. Abschnitt: Nicht-öffentliche Stellen §§ 27 bis 38a (Rechtsgrundlagen, Rechte der Betroffenen, Aufsichtsbehörde, Verhaltensregeln) • 4. Abschnitt: Sondervorschriften §§ 39 bis 42 (Berufs- und Amtsgeheimnisse, Forschung, Medien, Bundesrundfunk) • 5. Abschnitt: Bußgeld und Strafvorschriften §§43 bis 44 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Datenschutz Zulässigkeit (§ 4, 4a ff) (Verbot mit Erlaubnisvorbehalt) Zweckverbindung,Datenvermeidung (§ 3a) Transparenz (§ 4b) (Informationen, Benachrichtigung) Korrekturrechte (§20) (Berichtigung, Sperrung, Löschung, Widerspruch) Datensicherung Schutz vor Verlust, Sabotage, unbefugten Zugriff Kontrolle (intern / extern) Sanktionen (§ 43 - 44) (Bußgeld / Strafe / Schadensersatz) Die 7 Säulen des Datenschutzes DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Altersteilzeitgesetz (AltTzG) Altersvermögensgesetz (AVmG) Arbeitnehmer-Entsendegesetz (AEntG) Arbeitnehmererfindungsgesetz (ArbErfG) Arbeitnehmerüberlassungsgesetz (AÜG) Arbeitsförderung (Sozialgesetzbuch III) Arbeitsplatzschutzgesetz (ArbPlSch) Arbeitsschutzgesetz (ArbSchG) Arbeitssicherheitsgesetz (ASiG) Arbeitszeitgesetz (ArbZG) Berufsbildungsgesetz (BBiG) Beschäftigungsförderungsgesetz (BeschFöG) Betriebsrentengesetz (BetrAVG) Betriebsverfassungsgesetz (BetrVG) Bundeserziehungsgeldgesetz (BErzGG) Bundesurlaubsgesetz BUrlG) Bürgerliches Gesetzbuch (BGB) Einkommensteuergesetz (EStG) Entgeltfortzahlungsgesetz (EFZG) Entsenderichtlinie (96 / 71 / EG) Gleichbehandlungsrichtlinie Grundgesetz (GG) Handelsgesetzbuch (HGB) Heimarbeitsgesetz (HAG) Jugendarbeitsschutzgesetz (JArbSchG) Kündigungsfristengesetz (KüFG) Kündigungsschutzgesetz (KSchG) Ladenschlussgesetz (Ladenschl.G) Mutterschutzgesetz (MuSchG) Nachweisgesetz (NachwG) Schwerbehindertengesetz (SchwbG) Sozialgesetzbücher (SGB) Teilzeit- und Befristungsgesetz (TzBfG) Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit! Weitere Rechtsnormen für den Datenschutz sind die EU Datenschutzrichtlinie (// zu BDSG), Sozialdatenschutz (SGB X § 67 ff., Telegesetze (z.B. Postgeheimnis) ... Bereichsspezifische Gesetze (mitgeltende Unterlagen)(enthalten im Einzelfall Vorgaben für die Verarbeitung und Nutzung personenbezogener Daten) DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Zulässigkeit des Umgangs mit personenbezogenen Daten • Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 BDSG), jedoch Datenerhebung, -verarbeitung und -nutzung (§ 28 BDSG), wenn die jeweilige Verwendung der Daten - der Zweckbestimmung eines Vertragsverhältnisses ... dient, - durch berechtigte Interessen der verantwortlichen Stelle bedingt ist ..., - die Daten allgemein zugänglich sind oder gemacht werden dürfen ... • Gebot der Datenvermeidung / Datensparsamkeit • Befugnisse zur Datennutzung: Individueller Datenschutz - PersönlichkeitsrechtKollektiver Datenschutz - kein Persönlichkeitsrecht (z.B. Tarifvertr., § 87 BetrVG) • Auch für arbeitnehmerähnliche Personen (z.B. Bewerber, Rentner ...) • Die Rechte des Betroffenen (Auskunft, Berichtigung ...) sind nicht ausschließbar - aber Einsichtnahme dokumentieren! • Bei Datenübermittlung (z.B. Lohnabrechnung, aber auch Telefonauskünfte!): - Berechtigung der empfangenden Stelle prüfen - sicherstellen, das nur der berechtigte Daten erhält DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Pflichten des Unternehmens • Verpflichtung der Mitarbeiter nach § 5 BDSG • DSB bestellen (§ 4f, schriftlich dokumentiert mit Befugnissen und Pflichten) - weisungsfreie Anwendung der Fachkunde, Leitung unmittelbar unterstellt - Zugang zu allen Stellen zu Überwachungszwecken (Schweigepflicht!) - Datenschutzverbesserung: Maßnahmenempfehlung und Anhörungsrecht • Datenschutzrichtlinie erstellen, einführen und aufrecht erhalten, Datenschutzkontrollen • Zulässigkeitsprüfung (Rechtsgrundlagen, Zweckbestimmtheit, Angemessenheit • Meldeverfahren (§ 4d (1), falls kein DSB bestellt ist (§ 4 d (2) für Verfahren automatisierter Verarbeitung), • Interne Verarbeitungsübersicht / Verfahrensübersicht erstellen und aufrecht erhalten • Vorabkontrolle (Zulässigkeit, Datensparsamkeit, Risiken) • Erstellung Öffentliches Verfahrensverzeichnis (§ 4g, ab 24.05.2004 Pflicht) • Maßnahmen der IT-Sicherheit (TOM: Datensicherheit) • Bei Auftragsdatenverarbeitung/Funktionsübertragung: Datenschutzvertrag, Weisungsgebundenheit, Auftragskontrolle DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
BETROFFENERBenachrichtigungAuskunft KorrekturWiderspruchsrecht DATENSCHUTZ-BEAUFTRAGTERRichtlinien(Vorab-) KontrolleVerfahrensverzeichnis AUFSICHTS-BEHÖRDEAuskunft / ZutrittMeldepflichtStrafantragsrecht Verantwortliche Stelle BETRIEBSRAT(Arbeitnehmerdaten)Auskunft / MitbestimmungUnterlassung Kontrollsystem im Datenschutz DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Datenschutz und IT-Sicherheitgemeinsame Maßnahmen für Informationssicherheit BundesdatenschutzgesetzEU-Datenschutzrichtlinie Informationssicherheitfür das Unternehmen Gefahr:Verletzung vonPersönlichkeits-rechtenGeschützt:Personen Technischeundorganisato-rischeMaßnahmen(§ 9 BDSG) IT-Sicherheit:Maßnahmen zum Schutzvon IT-Systemen, Sicherheit der Datenund Prozesse desUnternehmens DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
§ 9: Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu § 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Technische und organisatorische Maßnahmen (TOM) DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Helfende Adressen • Regierung von MittelfrankenBayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen BereichPostfach 606, 91511 Ansbach, Tel.: (0981) 53 - 0, Fax (0981) 53 - 1206e-mail: datenschutz@reg-mfr.bayern.deSachgebiet 205 - Datenschutz und Personenstandsrecht (für ganz Bayern)Sachgebietsleiter: Ltd. RD Dorn (mit 5 weiteren MA) • „Deutschland sicher im Netz“: www.sicher-im-netz.de Gemeinschaftsinitiative mit Partnern aus Politik, Wirtschaft und Gesellschaft • Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.dekostenloser Newsletter 14tägig: newsletter_anmelden@bsi-fuer-buerger.de • IHK Nürnberg für Mittelfranken: IHK/GDD-Anwenderclub „Datenschutz und Informationssicherung“dreimal jährlich Erfahrungsaustausch unter DSB´s, Dipl.-Inf. Knut HarmsenInternet: www.eforum.ihk-nuernberg.de/datenschutz DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Allgemeine Sicherheitsziele DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Beispiel: Verfügbarkeit DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Unternehmensstrategie, Sicherheitspolitik Risikoanalyse und -bewertung - Schritt für Schritt Risikenidentifizieren analysieren& bewerten Zieleableiten Maßnahmenergreifen Dokumentieren &kommunizieren reflektieren& verbessern Prozesse (Inventar) Managementprozesse Operative Prozesse Risikomanagementprozess (Informations-Sicherheits-Management) DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
Maßnahmen fast sicher hoch D E mittel Eintrittswahrscheinlichkeit G gering C B unwahrscheinlich F A unbedeutend gering spürbar kritisch existentiell Auswirkung / Schaden Risikoportfolio - wesentliches transparent (Beispiel) DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM