Rheinischer Unternehmertag 12. Juli 2011 - Der notwendige Datenschutz nicht nur in Großunternehmen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011
Agenda
1. Gesellschaft und Politik messen dem Thema Datenschutz mehr
Bedeutung zu
2. Datenschutz ist im Mittelstand ebenso wichtig wie in
Großunternehmen
3. Was Sie über Datenschutz wissen sollten
4. Wie sich Datenschutz im Unternehmen organisieren lässt
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 2
Gesellschaft und Politik messen dem Datenschutz mehr Bedeutung zu Der notwendige Datenschutz nicht nur in Großunternehmen PwC 3
Datenschutz – im Fokus der Öffentlichkeit Der notwendige Datenschutz nicht nur in Großunternehmen PwC 4
Die Politik reagiert mit immer strikteren Gesetzen
zum Schutz personenbezogener Daten in
Unternehmen
• Strengere Bußgeldvorschriften
Seit 2009 sind verschärfte • Verschärfte Anforderungen an die Auftragsdatenverarbeitung
Regeln des (ADV)
Bundesdatenschutzgesetzes • Klare Vorschriften für den Datenschutzbeauftragten (DSB)
(BDSG) in Kraft. • Informationspflicht bei Datenschutzpannen
• Erweiterung der Befugnisse der Aufsichtsbehörde
Ein weiterer • „Googeln“ von Bewerbern
• Compliance
Gesetzesentwurf zur
• keine heimliche Videoüberwachung
Verschärfung des
• Informationspflicht bei Sicherheitsvorfällen
Beschäftigtendatenschutzes • Einwilligung als Erlaubnistatbestand auf gesetzlich normierte
von der Bundesregierung Ausnahmefälle beschränkt
liegt vor. • Konzerninterner Datentransfer
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 5
Datenschutz ist im Mittelstand ebenso wichtig wie in Großunternehmen Der notwendige Datenschutz nicht nur in Großunternehmen PwC 6
Für den Datenschutz im Mittelstand gelten die
selben Regeln wie für Großunternehmen
1. Das Gesetz unterscheidet nicht • Sobald mehr als neun Personen mit der Verarbeitung
zwischen Großunternehmen und personenbezogener Daten beauftragt sind, ist das
Unternehmen verpflichtet, einen
dem Mittelstand. Datenschutzbeauftragten bestellen.
2. Aufsichtsbehörden weiten ihre
Aktivitäten verstärkt auch auf • In Hamburg verteilte die Aufsichtsbehörde
beispielsweise im Januar 2011 zur flächendeckenden
kleinere Unternehmen aus und Überprüfung ein Datenschutzformular unter
überprüfen die Einhaltung der Hamburgs Spediteuren.
Gesetze.
3. Unter mittelständischen • Effektives Datenschutzmanagement schafft nicht nur
Unternehmen kann der bessere vertrauensvolle Geschäftsbeziehungen, sondern trägt
Datenschutz der entscheidende ebenso zur Wahrung von Geschäftsgeheimnissen bei
Wettbewerbsvorteil sein. und verbessert die Datenintegrität und –qualität.
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 7
Ausgangslage
Unsere Beweggründe This placeholder text
für die Studie:
Vor welchen (20pt Georgia regular)
• Datenskandale in der Heraus- is intended to show
Öffentlichkeit
forderungen the correct position
• Novellierung BDSG im and size of the real text
September 2009 stehen die used in this location.
Unternehmen? To ensure that you
Ziele der Studie:
have the correct size,
• Ermittlung eines colour and location of
Stimmungsbild zum
the text, it is
Thema Datenschutz in
recommended that
der deutschen Wirtschaft
you select. Overtype
• Aufzeigen von Trends, this placeholder text.
Defiziten und aktuellen
Herausforderungen
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 8Wesentliche Erkenntnisse
„Die häufigsten Ursachen für
Datenschutzverletzungen: Unachtsamkeit
und Unwissenheit der Mitarbeiter.“
Auszug PwC Studie „Daten schützen“
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC
2011
9Jedoch zeigt die PwC Studie „Daten schützen“ das kleinere Unternehmen oft schlechter aufgestellt sind PwC hat 2011 zum zweiten Mal eine Studie zum Stand des Datenschutzes in deutschen Großunternehmen durchgeführt 252 Interviews mit Datenschutzbeauftragten wurden ausgewertet. Die wichtigsten Ergebnisse für den Mittelstand: • Die häufigsten Ursachen für Datenschutzverletzungen bleiben Unachtsamkeit und Unwissenheit der Mitarbeiter. Schulungskonzepte sind oft nicht ausreichend entwickelt. • In 75% der Unternehmen mit Umsatz unter 500 Mio. Euro fordert die Geschäftsführung nie oder nur unregelmäßig einen Bericht des DSB an. • In mehr als der Hälfte der Unternehmen mit weniger als 5000 Mitarbeitern beurteilen die Datenschutzbeauftragten ihre personellen Ressourcen als zu gering. • Nur 50% der Unternehmen mit weniger als 5000 Mitarbeitern aktualisieren ihr Verfahrensverzeichnis in einem Standardprozess. Der notwendige Datenschutz nicht nur in Großunternehmen PwC 10
Was Sie über Datenschutz wissen
sollten
12 Juli 2011
PwCSind Sie fit im Datenschutz? – Sechs Fragen zum
Stand des Datenschutzes in Ihrem Unternehmen
1. Gibt es einen schriftlich bestellten Datenschutzbeauftragten im Unternehmen?
2. Werden alle Mitarbeiter im Zuge eines angemessenen Schulungskonzepts
sensibilisiert?
3. Liegen in allen Fällen aktuelle Verträge zur Auftragsdatenverarbeitung vor und wird die
Prüfungspflicht wahrgenommen?
4. Gibt es ein Löschkonzept für personenbezogene Daten?
5. Gibt es einen Notfallplan bei Datenschutzpannen nach § 42 a BDSG?
6. Wird das gesetzlich vorgeschriebene Verfahrensverzeichnis geführt?
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 12Gesetzliche Grundlagen 1/3
Datenschutzbeauftragter
• Jedes Unternehmen in dem mehr als 9 Personen mit der automatisierten Verarbeitung
personenbezogener Daten vertraut sind, hat einen Datenschutzbeauftragten schriftlich zu
bestellen.
Schulungskonzept
• Der Datenschutzbeauftragte hat“ die bei der Verarbeitung personenbezogener Daten tätigen
Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen
Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des
Datenschutzes vertraut zu machen.“ (§ 4 g Abs. 1 Nr. 2 BDSG)
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 13Gesetzliche Grundlagen 2/3
Auftragsdatenverarbeitung
• Auftraggeber bleibt „Herr der Daten“ und ist verantwortlich für die Einhaltung
datenschutzrechtlicher Vorschriften
• Der Gesetzestext konkretisiert die (zehn) Mindestinhalte eines ADV-Vertrages (auch Altverträge sind
anzupassen)
• Auftraggeber hat sich von der Einhaltung des Datenschutzes vor und in regelmäßigen Abständen
auch während der Vertragsdurchführung zu überzeugen
Löschkonzept
Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist,
2. es sich um (besonders schützenswerte Daten) handelt, und ihre Richtigkeit von der verantwortlichen
Stelle nicht bewiesen werden kann,
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der
Speicherung nicht mehr erforderlich ist, oder
4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine (…) ergibt, dass eine
länger währende Speicherung nicht erforderlich ist.
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 14Gesetzliche Grundlagen 3/3
Notfallplan
• Im Falle, dass eine unrechtmäßige Übermittlung oder auf sonstige Weise unrechtmäßige
Kenntniserlangung durch Dritte und dadurch die Gefahr von schwerwiegenden Beeinträchtigungen
für die Rechte oder schutzwürdigen Interessen der Betroffenen gegeben ist, ist das Unternehmen zu
folgenden Handlungen verpflichtet:
1. Unverzügliche Information der Aufsichtsbehörde
2. Direkte Information der Betroffenen oder
3. Information der Öffentlichkeit (Anzeigen in überregionalen Tageszeitungen)
Verfahrensverzeichnis
• „Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in
§ 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der
Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag
jedermann in geeigneter Weise verfügbar.“ § 4 g Abs. 2 BDSG
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 15Wie sich Datenschutz im
Unternehmen organisieren lässt
12 Juli 2011
PwCDer Ansatz spiegelt alle wichtigen Aspekte im
Bereich Datenschutz wieder
Die PwC Datenschutz-Pyramide besteht aus fünf Ebenen, die alle bestimmte Anforderungen des
BDSG beschreiben:
1.
Strategie
2. Rollen und
Verantwort-
lichkeiten
3. Richtlinien und
Vereinbarungen
4. Integration in die
Unternehmensprozesse
5. Überwachung der Wirksamkeit
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 17Der Ansatz spiegelt alle wichtigen Aspekte im
Bereich Datenschutz wieder
Die PwC Datenschutz-Pyramide besteht aus fünf Ebenen, die alle bestimmte Anforderungen des
BDSG beschreiben:
1. Strategie 4. Integration in Unternehmensprozesse
• Festlegung und Kommunikation der 1. • Konzernweite Datenschutz-Vorgaben und
Datenschutzstrategie Strategie Standardprozesse
• “Tone from the Top” − zum Umgang mit Mitarbeiterdaten
2. Rollen und − zur Mitarbeiterüberwachung (insb.
2. Rollen und Verantwortlichkeiten
Verantwort- Massendatenanalysen und
• Aufbau und Ausstattung der lichkeiten
Videoüberwachung)
unternehmensweiten
Datenschutzorganisation − zum Umgang mit Kundendaten
3. Richtlinien und
Vereinbarungen − zur Datenverarbeitung im Auftrag
• Training & Kommunikation
− zur Wahrung der Betroffenenrechte
• Festlegung von Inhalten der
Datenschutz-Berichterstattung
4. Integration in die 5. Überwachung der
3. Richtlinien & Vereinbarungen Unternehmensprozesse Wirksamkeit
• Richtlinien, Betriebsverein- • Sicherstellung der Einhaltung
barungen, Verzeichnisse etc., der Datenschutzmaßnahmen
Prozesse zur Führung eines 5. Überwachung der Wirksamkeit (Datenschutzprüfung)
Verfahrensverzeichnisses
Der notwendige Datenschutz nicht nur in Großunternehmen
PwC 18Vielen Dank für Ihre Aufmerksamkeit
PricewaterhouseCoopers AG
Wirtschaftsprüfungsgesellschaft
Friedrich-Ebert-Anlage 35-37
60327 Frankfurt am Main
Telefon +49 69 9585 – 1066
Mobil +49 1707 865 589
birthe.goertz@de.pwc.com
Birthe Görtz
Partnerin, WP
Governance, Risk & Compliance
© 2011 PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft. Alle Rechte
vorbehalten. In diesem Dokument bezieht sich "PwC" auf die PricewaterhouseCoopers
Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, Frankfurt am Main, die eine
Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der
Mitgliedsgesellschaften der PwCIL ist eine rechtlich und wirtschaftlich selbständige
Gesellschaft.Sie können auch lesen
