DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM DGQ Regionalkreis Nürnberg Arbeitskreis QMB Datenschutz / Datensicherheit 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Übersicht Datenschutz Bundesdatenschutzgesetz (Stand: 18.05.2001) Arbeitnehmer Datenschutz (aus EU-Vorgabe) Allgemeiner Datenschutz Betriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“) Physische und umgebungsbezogene Sicherheit IT-Sicherheit Mitgeltende Unterlagen Personenbezogene Daten sind unabhängig vom Medium!!! - also z.B. Papier, Diskette, Festplatte, CD, Microfiche, Film, Foto, Video ... ... u n d d a s g e s p r o c h e n e W o r t BDSG betrifft nicht nur Personendaten, sondern u.U. auch Betriebsdaten, die „Personendaten“ gleichzustellen sind 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM BDSG Erste Fassung vom 01.02.1977 / ab 01.01.1979 in Kraft Derzeit gültige 3. Fassung seit 18.05.2001 in Kraft, enthält Umsetzung der EU-Datenschutzrichtlinie von 1995 Leitsätze: Grundrecht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen sind nur im überwiegenden Allgemeininteresse zulässig und - bedürfen verfassungsgemäßer gesetzlicher Grundlage nach rechtsstaatlichem Gebot - für Gesetzgeber gilt der Grundsatz der Verhältnismäßigkeit 1. Abschnitt: Allgemeine Bestimmungen §§ 1 bis 11 (Zweck und Anwendungsbereich, Datenvermeidung und -sparsamkeit, Zulässigkeit, Meldepflicht / Datenschutzbeauftragter, Datengeheimnis(§5), Rechte des Betroffenen, Technische und organisatorische Maßnahmen (§9 T.O. Maßnahmen) 2. Abschnitt: öffentliche Stellen §§ 12 bis 26 3. Abschnitt: Nicht-öffentliche Stellen §§ 27 bis 38a (Rechtsgrundlagen, Rechte der Betroffenen, Aufsichtsbehörde, Verhaltensregeln) 4. Abschnitt: Sondervorschriften §§ 39 bis 42 (Berufs- und Amtsgeheimnisse, Forschung, Medien, Bundesrundfunk) 5. Abschnitt: Bußgeld und Strafvorschriften §§43 bis 44 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Die 7 Säulen des Datenschutzes Zulässigkeit (§ 4, 4a ff) (Verbot mit Erlaubnisvorbehalt) Zweckverbindung, Datenvermeidung (§ 3a) Transparenz (§ 4b) (Informationen, Benachrichtigung) Korrekturrechte (§20) (Berichtigung, Sperrung, Löschung, Widerspruch) Schutz vor Verlust, Sabotage, unbefugten Zugriff Datensicherung (intern / extern) Kontrolle Sanktionen (§ 43 - 44) (Bußgeld / Strafe / Schadensersatz) 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM Bereichsspezifische Gesetze (mitgeltende Unterlagen) (enthalten im Einzelfall Vorgaben für die Verarbeitung und Nutzung personenbezogener Daten) Altersteilzeitgesetz (AltTzG) Altersvermögensgesetz (AVmG) Arbeitnehmer-Entsendegesetz (AEntG) Arbeitnehmererfindungsgesetz (ArbErfG) Arbeitnehmerüberlassungsgesetz (AÜG) Arbeitsförderung (Sozialgesetzbuch III) Arbeitsplatzschutzgesetz (ArbPlSch) Arbeitsschutzgesetz (ArbSchG) Arbeitssicherheitsgesetz (ASiG) Arbeitszeitgesetz (ArbZG) Berufsbildungsgesetz (BBiG) Beschäftigungsförderungsgesetz (BeschFöG) Betriebsrentengesetz (BetrAVG) Betriebsverfassungsgesetz (BetrVG) Bundeserziehungsgeldgesetz (BErzGG) Bundesurlaubsgesetz BUrlG) Bürgerliches Gesetzbuch (BGB) Einkommensteuergesetz (EStG) Entgeltfortzahlungsgesetz (EFZG) Entsenderichtlinie (96 / 71 / EG) Gleichbehandlungsrichtlinie Grundgesetz (GG) Handelsgesetzbuch (HGB) Heimarbeitsgesetz (HAG) Jugendarbeitsschutzgesetz (JArbSchG) Kündigungsfristengesetz (KüFG) Kündigungsschutzgesetz (KSchG) Ladenschlussgesetz (Ladenschl.G) Mutterschutzgesetz (MuSchG) Nachweisgesetz (NachwG) Schwerbehindertengesetz (SchwbG) Sozialgesetzbücher (SGB) Teilzeit- und Befristungsgesetz (TzBfG) Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit! Weitere Rechtsnormen für den Datenschutz sind die EU Datenschutzrichtlinie (// zu BDSG), Sozialdatenschutz (SGB X § 67 ff., Telegesetze (z.B. Postgeheimnis) ... 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Zulässigkeit des Umgangs mit personenbezogenen Daten Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 BDSG), jedoch Datenerhebung, -verarbeitung und -nutzung (§ 28 BDSG), wenn die jeweilige Verwendung der Daten - der Zweckbestimmung eines Vertragsverhältnisses ... dient, - durch berechtigte Interessen der verantwortlichen Stelle bedingt ist ..., - die Daten allgemein zugänglich sind oder gemacht werden dürfen ... Gebot der Datenvermeidung / Datensparsamkeit Befugnisse zur Datennutzung: Individueller Datenschutz - Persönlichkeitsrecht Kollektiver Datenschutz - kein Persönlichkeitsrecht (z.B. Tarifvertr., § 87 BetrVG) Auch für arbeitnehmerähnliche Personen (z.B. Bewerber, Rentner ...) Die Rechte des Betroffenen (Auskunft, Berichtigung ...) sind nicht ausschließbar - aber Einsichtnahme dokumentieren! Bei Datenübermittlung (z.B. Lohnabrechnung, aber auch Telefonauskünfte!): - Berechtigung der empfangenden Stelle prüfen - sicherstellen, das nur der berechtigte Daten erhält Die EDV dient hier als Mittel zum Zweck, d.h. zur Erreichung eines dahinter stehenden Geschäftszwecks. 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Pflichten des Unternehmens Verpflichtung der Mitarbeiter nach § 5 BDSG DSB bestellen (§ 4f, schriftlich dokumentiert mit Befugnissen und Pflichten) - weisungsfreie Anwendung der Fachkunde, Leitung unmittelbar unterstellt - Zugang zu allen Stellen zu Überwachungszwecken (Schweigepflicht!) - Datenschutzverbesserung: Maßnahmenempfehlung und Anhörungsrecht Datenschutzrichtlinie erstellen, einführen und aufrecht erhalten, Datenschutzkontrollen Zulässigkeitsprüfung (Rechtsgrundlagen, Zweckbestimmtheit, Angemessenheit Meldeverfahren (§ 4d (1), falls kein DSB bestellt ist (§ 4 d (2) für Verfahren automatisierter Verarbeitung), Interne Verarbeitungsübersicht / Verfahrensübersicht erstellen und aufrecht erhalten Vorabkontrolle (Zulässigkeit, Datensparsamkeit, Risiken) Erstellung Öffentliches Verfahrensverzeichnis (§ 4g, ab 24.05.2004 Pflicht) Maßnahmen der IT-Sicherheit (TOM: Datensicherheit) Bei Auftragsdatenverarbeitung/Funktionsübertragung: Datenschutzvertrag, Weisungsgebundenheit, Auftragskontrolle 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Kontrollsystem im Datenschutz Verantwortliche Stelle DATENSCHUTZ-BEAUFTRAGTER Richtlinien (Vorab-) Kontrolle Verfahrensverzeichnis BETRIEBSRAT (Arbeitnehmerdaten) Auskunft / Mitbestimmung Unterlassung AUFSICHTS-BEHÖRDE Auskunft / Zutritt Meldepflicht Strafantragsrecht BETROFFENER Benachrichtigung Auskunft Korrektur Widerspruchsrecht 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM Datenschutz und IT-Sicherheit gemeinsame Maßnahmen für Informationssicherheit Bundesdatenschutzgesetz EU-Datenschutzrichtlinie Informationssicherheit für das Unternehmen Gefahr: Verletzung von Persönlichkeits- rechten Geschützt: Personen Technische und organisato- rische Maßnahmen (§ 9 BDSG) IT-Sicherheit: Maßnahmen zum Schutz von IT-Systemen, Sicherheit der Daten und Prozesse des Unternehmens 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Technische und organisatorische Maßnahmen (TOM) Anlage (zu § 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. § 9: Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM Helfende Adressen Regierung von Mittelfranken Bayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich Postfach 606, 91511 Ansbach, Tel.: (0981) 53 - 0, Fax (0981) 53 - 1206 e-mail: datenschutz@reg-mfr.bayern.de Sachgebiet 205 - Datenschutz und Personenstandsrecht (für ganz Bayern) Sachgebietsleiter: Ltd. RD Dorn (mit 5 weiteren MA) „Deutschland sicher im Netz“: www.sicher-im-netz.de Gemeinschaftsinitiative mit Partnern aus Politik, Wirtschaft und Gesellschaft Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.de kostenloser Newsletter 14tägig: newsletter_anmelden@bsi-fuer-buerger.de IHK Nürnberg für Mittelfranken: IHK/GDD-Anwenderclub „Datenschutz und Informationssicherung“ dreimal jährlich Erfahrungsaustausch unter DSB´s, Dipl.-Inf. Knut Harmsen Internet: www.eforum.ihk-nuernberg.de/datenschutz 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Allgemeine Sicherheitsziele Verfügbarkeit Hohe Betriebsbereitschaft der verwendeten Systeme und Anwendungen (hohe Ausfallsicherheit) Integrität Sicherstellung der Korrektheit (Unversehrtheit) der Information (Datenintegrität) Vertraulichkeit Schutz gegen unberechtigte Kenntnisnahme Authentizität Sicherstellung der Echtheit von Informationen bzw. der Identität der angegebenen Quelle 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Beispiel: Verfügbarkeit Risiko Ausfall der IT Infrastruktur Bewertung Teilausfall: Schaden: bis hoch Wahrscheinlichkeit: mittel Totalausfall: Schaden: bis existentiell Wahrscheinlichkeit: gering Sicherheitsanalyse (Ziele) Das System darf max. n.. Stunden komplett ausfallen Das System darf n Stunden mit X % der Leistung funktionieren Maßnahmen- katalog Analyse kritischer Komponenten Bewertung von Aufstellungsorten Regiebücher/Notfallpläne/Übungspläne erstellen 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Risikomanagementprozess (Informations-Sicherheits-Management) Unternehmensstrategie, Sicherheitspolitik Risiken identifizieren Risikoanalyse und -bewertung - Schritt für Schritt analysieren & bewerten Dokumentieren & kommunizieren reflektieren & verbessern Ziele ableiten Maßnahmen ergreifen Prozesse (Inventar) Managementprozesse Operative Prozesse 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

Risikoportfolio - wesentliches transparent (Beispiel) Eintrittswahrscheinlichkeit Auswirkung / Schaden Maßnahmen fast sicher hoch mittel gering unwahrscheinlich unbedeutend existentiell spürbar kritisch D G F C A E B 10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM