Datenschutz im Unternehmen - Was Sie schon immer über Datenschutz wissen wollten kompakt zusammengefasst - NCC Guttermann GmbH | Wolbecker ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz im Unternehmen Was Sie schon immer über Datenschutz wissen wollten kompakt zusammengefasst NCC Guttermann GmbH | Wolbecker Windmühle 55 | 48167 Münster | www.nccms.de
1., vollständig neu bearbeitete Auflage 2014 © 2014 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf Druck: NCC Guttermann GmbH www.nccms.de
Infoblatt – Datenschutz
Allgemeine Übersicht
Datenschutz im Unternehmen
Was heißt das konkret?
Mitarbeiter, Kunden, Lieferanten – also Menschen – haben auch im beruflichen Kontext das Recht auf
informationelle Selbstbestimmung; ein Begriff, der auf das Volkszählungsurteil aus den 1980er Jahren
zurückzuführen ist. Dem Datenschutzrecht liegt die Idee zugrunde, dass jeder Mensch grundsätzlich selbst
entscheiden darf, wer seine persönlichen Daten speichern, verwenden und weiter geben darf.
Konsequenz für Unternehmen:
Werden personenbezogene Daten automatisiert und elektronisch verarbeitet, sind die Vorgaben des
Bundesdatenschutzgesetzes einzuhalten.
Auf Nachfrage (von Kunden, Geschäftspartner, Behörden) ist das Unternehmen − respektive die
Geschäftsleitung − auskunftspflichtig bzw. hat den Nachweis des ordnungsgemäßen Umgangs mit
personenbezogenen Daten zu erbringen.
Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (kurz: DSB) gemäß des BDSG
(Bundesdatenschutzgesetztes).
Was sind personenbezogene Daten?
Datenschutzrechtlich relevant sind Informationen, die sich auf eine bestimmte oder bestimmbare natürliche
Person beziehen oder die sich auf eine Person zurückführen lassen. Darunter fällt z.B.
Name, Alter, Familienstand, Geburtsdatum
Anschrift, Telefonnummer, E-Mail Adresse
Konto-, Kreditkartennummer
Kraftfahrzeugnummer, Kfz-Kennzeichen
Personalausweisnummer, Sozialversicherungsnummer
Videoaufnahmen
genetische Daten und Krankendaten
Werturteile wie zum Beispiel Zeugnisse
NCC Guttermann www.nccms.de Februar 2014
Infoblatt – Datenschutz
Allgemeine Übersicht
Wer muss einen DSB bestellen?
Jedes Unternehmen (juristische Person) muss einen DSB bestellen (§1 Abs. 2 Nr. 3 BDSG). Eine Ausnahme gilt nur,
wenn das Unternehmen weniger als zehn Arbeitnehmer beschäftigt. Dabei müssen die Mitarbeiter nicht ständig
mit elektronischer Datenverarbeitung beschäftigt sein; es genügt, wenn die Verwendung von Daten gelegentlich
anfällt. Ein Beispiel ist die Sekretärin, die unter anderem mit Kundendateien umgeht.
Welche Aufgaben des Datenschutzbeauftragten im Unternehmen?
Hinwirken auf Einhalten der Datenschutzbestimmungen; die Anordnung zur Anwendung/ Umsetzung
bleibt jedoch der Unternehmensleitung vorbehalten
Kontrolle der Datenverarbeitung (in Absprache mit dem IT-Verantwortlichen)
Schulung der Mitarbeiter hinsichtlich Datenschutz, Erstellung von Merkblättern
Dokumentation / Datenschutzhandbuch
Ansprechpartner für alle Anfragen zum Thema (Unternehmensleitung, Betriebsrat, Mitarbeiter,
Kunden, Dritte)
Wer kann zum DSB bestellt werden?
Zum Datenschutz bestellt werden dürfen nur natürliche Personen, also entweder ein eigener Mitarbeiter
oder ein externe Dienstleister (BDSG §4f). Dieser muss
als Datenschutzbeauftragter ausgebildet sein;
vertiefte Kenntnisse der Informationstechnik haben;
vertiefte Kenntnisse und Anwendung der (Datenschutz-) Gesetze haben;
zuverlässig sein und die betrieblichen Abläufe verstehen.
Wichtig: Der DSB darf nicht im Interessenskonflikt mit sonstigen Tätigkeiten im Unternehmen stehen
(z.B. Geschäftsleitung, Marketing und IT)
NCC Guttermann www.nccms.de Februar 2014
Infoblatt – Datenschutz
Allgemeine Übersicht
Wer trägt die Verantwortung und Haftung zum Datenschutz?
Geschäftsführung: Gesamtverantwortung zum Datenschutz, Bestellung des Datenschutzbeauftragten,
Bewilligung technischer und organisatorischer Maßnahmen zum Datenschutz
Datenschutzbeauftragter: Erfüllung seiner gesetzlich vorgeschriebenen Aufgaben
Mitarbeiter: Wahrung des Datengeheimnisses
Welches Strafmaß droht bei Verstößen gegen das Bundesdatenschutzgesetz?
Das Strafmaß variiert je nach Schwere des Verstoßes. Im Schadensfall kann der Verantwortliche selbst oder
sein Unternehmen schadensersatzpflichtig gemacht werden. Die Ersatzpflicht entfällt, soweit die
verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
Verantwortungsloser Umgang mit Personendaten (formaler Verstoß): Bis zu 50.000 EUR. Beispiel: Ein
Datenschutzbeauftragter wurde nicht oder nicht ordnungsgemäß bestellt.
Fahrlässige oder vorsätzliche Datenschutzverletzung (materieller Verstoß): Bis zu 300.000 EUR.
Beispiel: Ein Mitarbeiter gibt personenbezogene Kundendaten ohne deren Einwilligung an ein
bekanntes Unternehmen weiter.
Vorsätzliche Datenschutzverletzung mit Bereicherungs- oder Schädigungsabsicht : Bis zu zwei Jahre
Haft und Straftatbestand. Beispiel: Ein Mitarbeiter verkauft personenbezogene Kundendaten ohne
deren Einwilligung an einen Wettbewerber.
Wie anfangen mit dem Thema Datenschutz?
In Unternehmen besteht häufig die Annahme, eigentlich alles Wesentliche in puncto Datenschutz geregelt zu
haben. Schließlich bestätigt die IT-Abteilung auf Nachfrage stets: Ja, alles ist sicher.
Erfahrungsgemäß fällt es allerdings schwer, für die bereits getroffenen Maßnahmen eine klare
Unterscheidung zwischen Datenschutz und Datensicherheit vornehmen zu können bzw. mangels belastbarer
Dokumentation die Aussagen zum Status des Datenschutzes auch tatsächlich zu belegen.
Abhilfe schafft hier ein Datenschutzaudit, um den aktuellen Stand des Datenschutzes im Unternehmen zu
analysieren und mit den gesetzlichen Vorgaben zum Datenschutz abzugleichen. Hieraus ergibt sich ein
übersichtliches Bild der Datenschutzsituation im Unternehmen. Inhalte eines Datenschutzaudits:
Bestandsaufnahme/Sichtung aller relevanten Unterlagen
Auswertung und Dokumentation
Schriftlicher Bericht
Präsentation, Erklärung und Übergabe der Ergebnisse
Handlungsempfehlung
NCC Guttermann www.nccms.de Februar 2014
Infoblatt – Datenschutz
Allgemeine Übersicht
Und nach dem Audit?
Das Audit liefert Ihnen ein klares Bild zum aktuellen Stand des Datenschutzes in Ihrem Unternehmen. Sollte
daraus ggfs. Handlungsbedarf entstehen, kann im zweiten Schritt die Umsetzung einzelner Maßnahmen
erfolgen. Im Dialog mit Ihnen – und unter Berücksichtigung der vorhandenen Ressourcen (Budget, Zeit) –
können die geeigneten technischen und organisatorischen Vorkehrungen durchgeführt werden.
Bestandsaufnahme Umsetzung der Erledigung sämtlicher
Auswertung und Maßnahmen wie z.B.: Aufgaben des DSB
schriftlicher Bericht → Verfahrensverzeichnisse Einhaltung des
Präsentation und → technischer Datenschutz Datenschutzes
Ergebniserläuterung → Datenschutz online Einbeziehung in
→ Auftragsdatenverarbeitung
Maßnahmenkatalog und Datenverarbeitungen
→ Schulungen Datenschutz
Handlungsempfehlung Ansprechpartner für alle
→ Tech. Org. Maßnahmen
Anfragen zum Thema
Parallel dazu wird der (interne oder externe) Datenschutzbeauftragte bestellt, um den gesetzlichen
Vorgaben nachzukommen.
Was kostet Datenschutz?
Audit: in erster Linie abhängig von der Anzahl der Mitarbeiter und Unternehmensstandorte;
erfahrungsgemäß zwischen zwei und vier Tage zeitlicher Aufwand für den Auditor.
Einführung: aus den konkreten Ergebnissen des Audits resultieren die ggfs. erforderlichen Maßnahmen bzw.
der Aufwand zu Einführung eines angemessenen Datenschutzniveaus. Die Kosten und Leistungen dafür
können präzise nach dem Audit beziffert werden.
Betrieb: Bereitstellungspauschale für den externen DSB, zzgl. Kosten nach Aufwand
Interner v/s externer Datenschutzbeauftragter
Unter bestimmten Voraussetzungen gibt es gute Gründe für die eine oder andere Variante. Der externe DSB
ist sofort einsetzbar. Es entstehen keine verdeckten Kosten durch entfallene Arbeitsleistung im
Unternehmen. Alle Schulungen sind bereits absolviert und es liegen fundierte Kenntnisse und Erfahrungen
im Bereich Datenschutz vor. Der Preis ist kalkulierbar, die Leistungen sind vertraglich vereinbart.
Warum Datenschutz ernst nehmen?
Zunächst: Weil es eine gesetzliche Pflicht ist. Darüber hinaus: Eine zunehmende Sensibilisierung der
Öffentlichkeit für das Thema Datenschutz, neue gesetzliche Vorschriften sowie Rating- und
Zertifizierungssysteme haben den betrieblichen Datenschutz verstärkt ins Rampenlicht gerückt. Wird der
Datenschutz verletzt, sind massiver Imageverlust, Vertrauensverlust, Haftungsschäden und Bußgeldkosten
für Sie die Folge. Und bei genauer Betrachtung wird deutlich, dass geschäftliche Interessen und
regulatorische Anforderungen nicht zwingend im Widerspruch zueinander stehen. Im Gegenteil, beide Seiten
verfolgen dieselben Ziele: Schutz, Verfügbarkeit, Transparenz. Wer die von extern vorgegebenen
„Hausaufgaben“ verstanden hat, wird feststellen, dass die Umsetzung dieser Aufgaben als Ausgangspunkt für
die Optimierung interner Prozesse genutzt werden kann. Dokumentation − und damit Transparenz von
Verfahren und Datenströme − unterstützt die Unternehmensleitung in vielen Entscheidungen. Und: Die
verantwortungsvolle Verwendung von Daten kann im Marketing kommuniziert werden!
NCC Guttermann www.nccms.de Februar 2014
Infoblatt – Datenschutz
Allgemeine Übersicht
Ansprechpartner der NCC Guttermann
Jörg ter Beek Martina Brinkmann
Leiter Consulting Security Management IRCA Lead Auditor ISMS nach ISO 27001
Tel. 02506-9320-337 Consulting Security Management
E-Mail: jterbeek@nccms.de Tel. 02506-9320-336
E-Mail: mbrinkmann@nccms.de
Herr ter Beek ist verantwortlich für die Frau Brinkmann erweitert das Team des Security
Organisation, Qualitätssicherung und Managements durch ihr umfangreiches Wissen im
Weiterentwicklung dieses Geschäftsbereichs. Bereich IT-Sicherheit.
Er ist erster Ansprechpartner für unsere Kunden Sie ist zuständig für die Durchführung von IT-
aus dem Bereich IT-Security und Datenschutz sowie Sicherheitsaudits sowie die Erstellung
Ihr Ansprechpartner für alle kaufmännischen anschließender Ergebnisberichte und
Belange. Dokumentationen.
Boris Michel Christian Philipowski
Dipl.-Betriebswirt (FH) Dipl.-Jurist
Datenschutzbeauftragter Datenschutzbeauftragter
Tel. 02506-9320-221 Tel. 02506-9320-225
E-Mail: bmichel@nccms.de E-Mail: cphilipowski@nccms.de
Herr Michel verfügt über umfangreiches Wissen im Herr Philipowski ist unser Fachmann für
Bereich Datenschutz und weiteren damit tiefergehende juristische Aspekte, wenn es um die
zusammenhängenden Rechtsgebieten. Durch seine datenschutzkonforme Nutzung von Daten in
datenschutzrechtliche Expertise als zertifizierter Unternehmen geht. Hinzu kommen die
Datenschutzbeauftragter kann er bei Bedarf auch Schwerpunkte: Datenschutz im Kontext von Social
komplexe IT-Strukturen aus Sicht des Media sowie die Verwendung von Daten zu
Datenschutzes betrachten. Werbezwecken und Marketing.
Juristen, Betriebswirte, IT-Fachberater: Unsere Services
Neben profunden Datenschutzkenntnissen jedes Datenschutz-Beratung
einzelnen Kollegen, verfügt das Team über breit Datenschutz-Audit
Mitarbeiterschulungen
gefächerte Qualifikationen. So möchten wir
Auditierung Ihrer Dienstleister
gewährleisten, dass unsere Datenschutzkonzepte Stellung des externen
möglichst praxistauglich und budgetkonform bei Datenschutzbeauftragten
unseren Kunden umgesetzt werden. Unterstützung des internen
Datenschutzbeauftragten
NCC Guttermann www.nccms.de Februar 2014
Wir können noch mehr: Kompetenzübersicht der NCC Guttermann
IT Solutions
Nahezu alle Geschäftsprozesse eines Unternehmens sind IT-gestützt.
Ohne eine zuverlässig funktionierende Informationstechnologie kommt
der Geschäftsbetrieb sehr schnell zum Stillstand. Die möglichst ständige
Verfügbarkeit Ihrer IT-Infrastruktur ohne Ausfallzeiten ist somit
Voraussetzung für Ihren Unternehmenserfolg.
Business Solutions
Mehr Transparenz und effizientere Arbeitsabläufe sind besonders
wichtig für kleine und mittlere Unternehmen. Denn sie sind es, die durch
den Einsatz moderner Software-Programme Ihre Unternehmensprozesse
optimieren können. Durch die Kombination aus passender Software und
guter Beratung lassen sich Ihre Unternehmensprozesse so abbilden, dass
das Programm sich Ihren Anforderungen anpasst. Und nicht umgekehrt.
Document Systems
Das papierlose Büro - wohl eher Wunsch als Wirklichkeit, denn entgegen
aller Vorsätze, wächst das Druckvolumen weiter. Eine ganzheitliche
Betrachtung Ihrer Büroorganisation, kann sich daher durchaus für Sie
lohnen. Spezielle Prozessanalysen, individuelle Konzepte und
maßgeschneiderte Lösungsansätze sind unsere Werkzeuge zur Prüfung
und Optimierung Ihres Paper Output Managements.
Security Management
Die Unternehmens-IT ist eines der Werkzeuge zur Umsetzung
übergeordneter Unternehmensziele. Doch „nur funktionieren“ ist heute
nicht mehr die einzige Anforderung, mit der sich Entscheider
beschäftigen müssen. IT-Sicherheit und die gesetzeskonforme
Datenverarbeitung sind zwei weitere zentrale Kriterien.Sie können auch lesen
