dgq regionalkreis nürnberg arbeitskreis qmb datenschutz / datensicherheit
DESCRIPTION
DGQ Regionalkreis Nürnberg Arbeitskreis QMB Datenschutz / Datensicherheit. Übersicht Datenschutz. Bundesdatenschutzgesetz (Stand: 18.05.2001) Arbeitnehmer Datenschutz (aus EU-Vorgabe) Allgemeiner Datenschutz Betriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“) - PowerPoint PPT PresentationTRANSCRIPT
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
1
DGQ Regionalkreis Nürnberg
Arbeitskreis QMB
Datenschutz / Datensicherheit
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
2
Übersicht Datenschutz
• Bundesdatenschutzgesetz (Stand: 18.05.2001)
Arbeitnehmer Datenschutz (aus EU-Vorgabe)
Allgemeiner DatenschutzBetriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“)
• Physische und umgebungsbezogene Sicherheit
• IT-Sicherheit
• Mitgeltende Unterlagen
Personenbezogene Daten sind unabhängig vom Medium!!!- also z.B. Papier, Diskette, Festplatte, CD, Microfiche, Film, Foto, Video ...... u n d d a s g e s p r o c h e n e W o r t
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
3
BDSG
• Erste Fassung vom 01.02.1977 / ab 01.01.1979 in Kraft
• Derzeit gültige 3. Fassung seit 18.05.2001 in Kraft,enthält Umsetzung der EU-Datenschutzrichtlinie von 1995
• Leitsätze: Grundrecht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.Einschränkungen sind nur im überwiegenden Allgemeininteresse zulässig und - bedürfen verfassungsgemäßer gesetzlicher Grundlage nach rechtsstaatlichem Gebot - für Gesetzgeber gilt der Grundsatz der Verhältnismäßigkeit
• 1. Abschnitt: Allgemeine Bestimmungen §§ 1 bis 11 (Zweck und Anwendungsbereich, Datenvermeidung und -sparsamkeit, Zulässigkeit, Meldepflicht / Datenschutzbeauftragter, Datengeheimnis(§5), Rechte des Betroffenen, Technische und organisatorische Maßnahmen (§9 T.O. Maßnahmen)
• 2. Abschnitt: öffentliche Stellen §§ 12 bis 26• 3. Abschnitt: Nicht-öffentliche Stellen §§ 27 bis 38a (Rechtsgrundlagen, Rechte der Betroffenen,
Aufsichtsbehörde, Verhaltensregeln)
• 4. Abschnitt: Sondervorschriften §§ 39 bis 42 (Berufs- und Amtsgeheimnisse, Forschung, Medien, Bundesrundfunk)
• 5. Abschnitt: Bußgeld und Strafvorschriften §§43 bis 44
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
4
Die 7 Säulen des Datenschutzes
DatenschutzZulässigkeit (§ 4, 4a ff)(Verbot mit Erlaubnisvorbehalt)
Zweckverbindung,Datenvermeidung (§ 3a)
Transparenz (§ 4b)(Informationen, Benachrichtigung)
Korrekturrechte (§20)(Berichtigung, Sperrung, Löschung, Widerspruch)
DatensicherungSchutz vor Verlust, Sabotage, unbefugten Zugriff
Kontrolle(intern / extern)
Sanktionen (§ 43 - 44)(Bußgeld / Strafe / Schadensersatz)
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
5
Bereichsspezifische Gesetze (mitgeltende Unterlagen)(enthalten im Einzelfall Vorgaben für die Verarbeitung und Nutzung personenbezogener Daten)
• Altersteilzeitgesetz (AltTzG)
• Altersvermögensgesetz (AVmG)
• Arbeitnehmer-Entsendegesetz (AEntG)
• Arbeitnehmererfindungsgesetz (ArbErfG)
• Arbeitnehmerüberlassungsgesetz (AÜG)
• Arbeitsförderung (Sozialgesetzbuch III)
• Arbeitsplatzschutzgesetz (ArbPlSch)
• Arbeitsschutzgesetz (ArbSchG)
• Arbeitssicherheitsgesetz (ASiG)
• Arbeitszeitgesetz (ArbZG)
• Berufsbildungsgesetz (BBiG)
• Beschäftigungsförderungsgesetz (BeschFöG)
• Betriebsrentengesetz (BetrAVG)
• Betriebsverfassungsgesetz (BetrVG)
• Bundeserziehungsgeldgesetz (BErzGG)
• Bundesurlaubsgesetz BUrlG)
• Bürgerliches Gesetzbuch (BGB)• Einkommensteuergesetz (EStG)
• Entgeltfortzahlungsgesetz (EFZG)
• Entsenderichtlinie (96 / 71 / EG)
• Gleichbehandlungsrichtlinie
• Grundgesetz (GG)
• Handelsgesetzbuch (HGB)
• Heimarbeitsgesetz (HAG)
• Jugendarbeitsschutzgesetz (JArbSchG)
• Kündigungsfristengesetz (KüFG)
• Kündigungsschutzgesetz (KSchG)
• Ladenschlussgesetz (Ladenschl.G)
• Mutterschutzgesetz (MuSchG)
• Nachweisgesetz (NachwG)
• Schwerbehindertengesetz (SchwbG)
• Sozialgesetzbücher (SGB)
• Teilzeit- und Befristungsgesetz (TzBfG)Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit!
Weitere Rechtsnormen für den Datenschutz sind die EU Datenschutzrichtlinie (// zu BDSG), Sozialdatenschutz (SGB X § 67 ff., Telegesetze (z.B. Postgeheimnis) ...
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
6
Zulässigkeit des Umgangs mit personenbezogenen Daten
• Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 BDSG), jedoch Datenerhebung, -verarbeitung und -nutzung (§ 28 BDSG), wenn die jeweilige Verwendung der Daten - der Zweckbestimmung eines Vertragsverhältnisses ... dient, - durch berechtigte Interessen der verantwortlichen Stelle bedingt ist ..., - die Daten allgemein zugänglich sind oder gemacht werden dürfen ...
• Gebot der Datenvermeidung / Datensparsamkeit
• Befugnisse zur Datennutzung: Individueller Datenschutz - PersönlichkeitsrechtKollektiver Datenschutz - kein Persönlichkeitsrecht (z.B. Tarifvertr., § 87 BetrVG)
• Auch für arbeitnehmerähnliche Personen (z.B. Bewerber, Rentner ...)
• Die Rechte des Betroffenen (Auskunft, Berichtigung ...) sind nicht ausschließbar - aber Einsichtnahme dokumentieren!
• Bei Datenübermittlung (z.B. Lohnabrechnung, aber auch Telefonauskünfte!): - Berechtigung der empfangenden Stelle prüfen - sicherstellen, das nur der berechtigte Daten erhält
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
7
Pflichten des Unternehmens• Verpflichtung der Mitarbeiter nach § 5 BDSG
• DSB bestellen (§ 4f, schriftlich dokumentiert mit Befugnissen und Pflichten) - weisungsfreie Anwendung der Fachkunde, Leitung unmittelbar unterstellt - Zugang zu allen Stellen zu Überwachungszwecken (Schweigepflicht!) - Datenschutzverbesserung: Maßnahmenempfehlung und Anhörungsrecht
• Datenschutzrichtlinie erstellen, einführen und aufrecht erhalten, Datenschutzkontrollen
• Zulässigkeitsprüfung (Rechtsgrundlagen, Zweckbestimmtheit, Angemessenheit
• Meldeverfahren (§ 4d (1), falls kein DSB bestellt ist (§ 4 d (2) für Verfahren automatisierter
Verarbeitung),
• Interne Verarbeitungsübersicht / Verfahrensübersicht erstellen und aufrecht erhalten
• Vorabkontrolle (Zulässigkeit, Datensparsamkeit, Risiken)
• Erstellung Öffentliches Verfahrensverzeichnis (§ 4g, ab 24.05.2004 Pflicht)
• Maßnahmen der IT-Sicherheit (TOM: Datensicherheit)
• Bei Auftragsdatenverarbeitung/Funktionsübertragung: Datenschutzvertrag, Weisungsgebundenheit,
Auftragskontrolle
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
8
Kontrollsystem im Datenschutz
Verantwortliche Stelle
DATENSCHUTZ-BEAUFTRAGTERRichtlinien(Vorab-) KontrolleVerfahrensverzeichnis
BETRIEBSRAT(Arbeitnehmerdaten)Auskunft / MitbestimmungUnterlassung
AUFSICHTS-BEHÖRDEAuskunft / ZutrittMeldepflichtStrafantragsrecht
BETROFFENERBenachrichtigungAuskunft KorrekturWiderspruchsrecht
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
9
Datenschutz und IT-Sicherheitgemeinsame Maßnahmen für Informationssicherheit
BundesdatenschutzgesetzBundesdatenschutzgesetzEU-DatenschutzrichtlinieEU-Datenschutzrichtlinie
InformationssicherheitInformationssicherheitfür das Unternehmenfür das Unternehmen
Gefahr:Gefahr:Verletzung vonPersönlichkeits-rechten
Geschützt:Geschützt:Personen
IT-Sicherheit:IT-Sicherheit:Maßnahmen zum Schutzvon IT-Systemen, Sicherheit der Datenund Prozesse desUnternehmens
Technischeundorganisato-rischeMaßnahmen(§ 9 BDSG)
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
10
Technische und organisatorische Maßnahmen (TOM)
§ 9: Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Anlage (zu § 9 Satz 1)Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
11
Helfende Adressen
• Regierung von MittelfrankenBayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen BereichPostfach 606, 91511 Ansbach, Tel.: (0981) 53 - 0, Fax (0981) 53 - 1206e-mail: [email protected] 205 - Datenschutz und Personenstandsrecht (für ganz Bayern)Sachgebietsleiter: Ltd. RD Dorn (mit 5 weiteren MA)
• „Deutschland sicher im Netz“: www.sicher-im-netz.de Gemeinschaftsinitiative mit Partnern aus Politik, Wirtschaft und Gesellschaft
• Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.dekostenloser Newsletter 14tägig: [email protected]
• IHK Nürnberg für Mittelfranken: IHK/GDD-Anwenderclub „Datenschutz und Informationssicherung“dreimal jährlich Erfahrungsaustausch unter DSB´s, Dipl.-Inf. Knut HarmsenInternet: www.eforum.ihk-nuernberg.de/datenschutz
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
12
Allgemeine Sicherheitsziele
VerfügbarkeitHohe Betriebsbereitschaft der verwendeten Systeme und Anwendungen(hohe Ausfallsicherheit)
IntegritätSicherstellung der Korrektheit (Unversehrtheit) der Information (Datenintegrität)
VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme
AuthentizitätSicherstellung der Echtheit von Informationen bzw. der Identität der angegebenen Quelle
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
13
Beispiel: Verfügbarkeit
Risiko Ausfall der IT Infrastruktur
Bewertung Teilausfall:Schaden: bis hochWahrscheinlichkeit: mittel
Totalausfall:Schaden: bis existentiellWahrscheinlichkeit: gering
Sicherheitsanalyse(Ziele)
Das System darf max. n.. Stunden komplett ausfallen
Das System darf n Stunden mit X % der Leistung funktionieren
Maßnahmen-katalog
Analyse kritischer Komponenten Bewertung von Aufstellungsorten Regiebücher/Notfallpläne/Übungspläne erstellen
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
14
Risikomanagementprozess (Informations-Sicherheits-Management)
Unternehmensstrategie, Sicherheitspolitik
Risikenidentifizieren
Risikoanalyse und -bewertung - Schritt für Schritt
analysieren& bewerten
Do
kum
enti
eren
&ko
mm
un
izie
ren reflektieren
& verb
essern
Zieleableiten
Maßnahmenergreifen
Prozesse (Inventar)Managementprozesse
Operative Prozesse
10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM
15
Risikoportfolio - wesentliches transparent (Beispiel)E
intr
itts
wah
rsch
ein
lich
keit
Auswirkung / Schaden
Maßnahmen
fast sicher
hoch
mittel
gering
unwahrscheinlich
unbedeutend existentiellgering spürbar kritisch
D
G
F
C
A
E
B