Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Walther Fromm Geändert vor über 6 Jahren
2
Unsere Philosophie Wir leben Datenschutz!
Die Familienbildungsstätte Mönchengladbach, Arbeitskreis Katholische Familenbildung gGmbH ist eine vom Land anerkannte öffentliche Einrichtung der Erwachsenenbildung in NRW. Pro Jahr führen wir ca Unterrichtsstunden in unserem Haus in Rheydt, 44 Kitas und Familienzentren sowie in 35 Außenstellen in den Mönchengladbacher Stadtteilen durch. Unser Leitspruch ist: Bildung eröffnet Horizonte und Wege In diesem Sinne greifen wir in Kursen und Veranstaltungen die Themen auf, die Menschen in Bezug auf ihre persönliche Weiterentwicklung und auf ihre Systeme in denen sie leben, relevant und interessant sind: Familienbildung ist präventiv und ganzheitlich und hat als Querschnittsaufgabe die Entwicklung und Erweiterung von Basiskompetenzen. Die FBS blickt auf das System „Familie“ in seiner Entwicklung und im ständigen individuellen und gesellschaftlichen Wandel. Wir fördern in unseren Kursen die Gestaltungskompetenzen von Menschen in unterschiedlichen Lebensbereichen, ermutigen und bestärken sie damit sie über sich selbst hinauswachsen und ihre Zukunft aktiv gestalten. Wir leben Datenschutz! Durch das Internet, die automatisierte Datenverarbeitung und den Datenaustausch besteht zunehmend die Gefahr, dass Daten ohne Wissen des Betroffenen an Dritte weitergegeben werden oder abhanden kommen können. Um personenbezogene Daten zu schützen und jeden Datenmissbrauch zu verhindern, wurde ein hauptberuflicher externer Datenschutzbeauftragter bestellt. Gemeinsam haben wir ein Datenschutzkonzept entwickelt, welches gewährleistet, dass alle datenschutzrechtlichen Anforderungen umgesetzt werden – eine gesetzeskonforme Verarbeitung aller personenbezogener Daten ist dadurch sichergestellt. Da wir eine katholische Einrichtung sind gilt für uns das Datenschutzgesetz der Katholischen Kirche (KDG). Auf den folgenden Seiten finden Sie die wichtigsten Bausteine unseres Datenschutzkonzeptes.
3
Informationspflichten (gem. § 16 KDG)
Hier möchten wir Ihnen Ihre Rechte nach der EU DS-GVO vorstellen. Zu welchem Zweck und auf welcher Rechtsgrundlage wir personenbezogene Daten verarbeiten, können Sie im Einzelnen unserer Datenschutzerklärung entnehmen. § 14 KDO– Transparente Information und Kommunikation Beim Thema Datenschutz stehen Informationen rund um die Person im Mittelpunkt. Deshalb wird bereits zu Beginn der Verarbeitung nach dem Grundsatz der Transparenz gehandelt: Es ist notwendig, die betroffene Person umfassend darüber zu informieren, was mit ihren Daten geschieht. Nach § 13 KDG hat die FBS gGmbH als sog. verantwortliche Stelle geeignete Maßnahmen zu finden, um die betroffene Person informiert zu halten: sämtliche die Datenverarbeitung betreffende Tätigkeiten müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Art. 13 DS-GVO – Informationspflichten bei der Datenerhebung beim Betroffenen Alle personenbezogenen Daten (im folgenden Daten genannt) werden von der FBS gGmbH selbst erhoben. Zur Erfüllung unserer Informationspflichten erhalten die Besucher unserer Bildungsstätten (betroffene Personen) dabei immer folgende Informationen: Name und Kontaktdaten der Verantwortlichen innerhalb der FBS gGmbH sowie die Kontaktdaten des Datenschutzbeauftragten, Zwecke der Verarbeitung der Daten und dazugehörige Rechtsgrundlage, Empfänger der verarbeiteten Daten bzw. die Kategorien von Empfängern, konkrete Informationen bei der Datenübermittlung in ein Land außerhalb der EU sowie Informationen über die Dauer der Datenspeicherung, Aufklärung über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch, Aufklärung über das Recht auf Widerruf einer Einwilligung (bei Verarbeitung gem. § 8 KDG; § 11 KDG) Informationen zum Beschwerderecht gegenüber einer Aufsichtsbehörde, der katholischen Kirche , eine automatisierte Entscheidungsfindung durch IT-Systeme (Profiling) gibt es in unserem Unternehmen nicht!
4
Geschäftsführung und Datenschutzbeauftragter:
Geschäftsführerin der FBS gGmbH Externer örtlicher Datenschutz- beauftragter der FBS gGmbH Angelika Oberländer Geschäftsführung, Leitung Dipl. Oecotrophologin Verantwortlich für die Bereiche: Gesund leben, Hauswirtschaft und Ernährung, Glaube u. Spiritualität Tel.: Dirk Fromm (Jurist) Bergfeldstraße 11 83607 Holzkirchen Tel: Zertifizierter Datenschutzbeauftragter und Datenschutzauditor (TÜV PersCert) Information Security Officer - ISO (TÜV PersCert) CE21 - Gesellschaft für Kommunikationsberatung mbH
5
Informationspflichten Umsetzung von Datenschutzanforderungen
Inhalte: Informationspflichten Umsetzung von Datenschutzanforderungen Aufbau eines Datenschutzkonzeptes Verfahren und Verzeichnisse Technische und organisatorische Maßnahmen zur Sicherheit personenbezogener Daten Einige wichtige Begriffe im Datenschutz Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Diese Person ist im Datenschutz der/die Betroffene. „Verarbeitung“ von Daten ist jeder (mit oder ohne Hilfe automatisierter Prozesse) ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Gemeint sind: Erheben – Erfassen – Organisieren – Ordnen – Speichern – Anpassen – Verändern – Auslesen – Abfragen – Verwenden – Offenlegen durch Übermitteln, Verbreiten und anderer Bereitstellung – Abgleichen – Verknüpfen – Einschränken – Löschen – Vernichten
6
Informationspflichten (gem. § 15 KDG)
Welche personenbezogenen Daten verarbeiten wir von Ihnen? Um unserer Geschäftstätigkeit nachzugehen, werden folgende personenbezogene Daten von Ihnen durch uns verarbeitet: Adress- und Kommunikationsdaten (Name, Vorname, Adresse, Telefonnummer, Mobilfunknummer, Fax, -Adresse) Projektbezogen Daten (Name, Vorname von Ansprechpartnern von Kunden, Firmendaten: Telefonnummer, Mobilfunknummer, Fax, - Adresse). Bankdaten (IBAN, BIC, Kontodaten, Kreditkarten-Daten ) In der FBS gGmbH intern verarbeitete Daten: Personaldaten (Name, Vorname, Geburtsname, Geburtsland, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familienstand, Straße, PLZ, Ort, Sozialversicherungsnummer, Personalnummer, Steuernummer, Konfession, Zeugnisse, Arbeitsbewertungen, Bewerbungen, Fehlzeiten, Arbeitszeitkontrolle, Pfändungen/ Gehaltsabtretungen, Scheidungsurteile, Schwerbehindertenausweise, Führungszeugnisse) Finanzdaten (Debitoren, Kreditoren, Rechnungen, Mahnungen) Steuerdaten (Steuerdaten (AGS/Gemeinde-Nr, Finanzamt-Nr./Bezeichnung, Identifikationsnummer, Steuerklasse/Faktor, Kinderfreibeträge, Konfession), sonstige Freibeträge Mitarbeiterdaten: (Name, Vorname, Adresse, Telefonnummer, Mobilfunknummer, -Adresse) Bewerberdaten: (Name, Vorname, Adresse, Telefonnummer, Mobilfunknummer, -Adresse, Bewerbungsunterlagen)
7
Informationspflichten (§ 15 KDG)
Zwecke und Rechtsgrundlage der Datenverarbeitung Zweck der Datenverarbeitung: Der Zweck der Datenverarbeitung liegt ausschließlich in der Erfüllung gesetzlicher Anforderungen und der Aufrechterhaltung und Durchführung unserer Geschäftstätigkeit als Familienbildungsstätte. Jede Fachabteilung darf nur die personenbezogenen Daten verarbeiten, die sie zur Erfüllung ihrer Aufgaben benötigt. Rechtsgrundlage der Datenverarbeitung: Projekt- & Bankdaten: Datenerhebung zur Vertragsanbahnung und zu Vertragsabschlüssen , § 6 Abs. 1 c) KDG Personaldaten, Mitarbeiter- und Bewerberdaten, Steuerdaten: § 53 Abs. 1 KDG i.V.m § 6 Abs. 1 c) KDG Finanzdaten: § 147 AO i.V.m. § 6 Abs. 1 a) KDG Kontaktdaten: § 6 Abs. 1 g) KDG Alle darüber hinausgehenden Daten werden nur auf der Rechtsgrundlage einer Einwilligungserklärung erhoben (§ 8 KDG). Eine solche Einwilligung kann von Ihnen jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung berührt wird.
8
Informationspflichten (§ 15 KDG)
Wem gegenüber legen wir Ihre Daten offen? Ihre Daten werden von unseren Mitarbeitenden zweckgebunden in den Fachabteilungen verarbeitet. Unsere Mitarbeitenden greifen im Rahmen von Anschreiben und Projektkontakten auf Ihre Daten zu. Bei Zahlungsvorgängen werden Ihr Name und Ihre Kontodaten offengelegt. Steuerrelevante Daten werden an unser Steuerberatungsbüro weitergegeben. Im Rahmen von Steuerprüfungen werden Daten gegenüber den Finanzbehörden offengelegt. Wenn wir in Projekten Partnerfirmen einsetzen, erhalten diese Ihre Kontaktdaten (z. B. Ansprechpartner, Adressen). Die Weitergabe ist durch einen Auftragsverarbeitungsvertrag gem. § 29 KDG datenschutzrechtlich abgesichert. Die Personaldaten unserer Mitarbeiter müssen wir gegenüber Sozialdatenempfängern, Behörden, Banken und Steuerberatung offenlegen. Es werden nur die Daten weitergegeben, zu deren Weitergabe wir gesetzlich verpflichtet sind. Alle über diese Kategorien hinausgehenden Daten werden nur auf der Rechtsgrundlage einer Einwilligungserklärung weitergegeben.
9
Informationspflichten (§ 15 KDG)
Ihre Rechte als Betroffener § 17 KDG – Auskunftsrecht Das Auskunftsrecht zu den von Ihnen verarbeiteten Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Sie können von uns eine Bestätigung darüber verlangen, ob und wie personenbezogene Daten verarbeitet werden. Diese Auskunft beinhaltet folgende Informationen: Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden, Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer, soweit möglich die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer, Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie auf Widerspruch gegen die Verarbeitung, Information über das Beschwerderecht bei der Aufsichtsbehörde, Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, wenn Übermittlung an Drittländer/internationale Organisationen, dann Unterrichtung über die geeigneten Garantien gem. Art. 46 DS-GVO
10
Informationspflichten (§ 15 KDG)
Ihre Rechte als Betroffener Sobald Sie Auskunft über die von Ihnen bei uns gespeicherten Daten verlangen, wird der Vorgang durch einen vom Datenschutzbeauftragten festgelegten Prozess und einige speziell dafür entwickelte Formulare (digital und in Papierform) standardmäßig behandelt. Die Auskunft hat zeitnah (möglichst innerhalb von 7 Tagen) zu erfolgen. Im Auskunftsprozess wird die Identität des Antragstellers überprüft: persönlich bekannt, POSTIDENT-Verfahren, im Onlineverfahren z. B. Zeitpunkt von Vertragsabschlüssen oder der Abgabe einer Einwilligungserklärung. Der Betroffene erhält: Auskunft über die zu seiner Person gespeicherten Daten und Verarbeitungszwecke, Auskunft über die Kategorien oder von Empfängern, gegenüber denen die Daten offengelegt wurden und die vorgeschriebene oder geplante Dauer der Speicherung der Daten, Hinweise auf das Bestehen sämtlicher Betroffenen-Rechte und das Beschwerderecht bei der Aufsichtsbehörde, alle verfügbaren Informationen über die Herkunft der Daten.
11
Informationspflichten (gem. § 15 KDG)
Ihre Rechte als Betroffener § 18 KDG – Recht auf Berichtigung Sie haben das Recht, von uns unverzüglich die Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, wenn diese unrichtig sind. § 19 KDG – Recht auf Löschung, „Recht auf Vergessenwerden“ Sie können von uns verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, wenn einer der folgenden Gründe vorliegt (Art. 17 Abs. 1 DS-GVO): Wenn Ihre Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Wenn Sie eine uns gegenüber abgegebene Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DS-GVO) widerrufen. Wenn Sie begründet Widerspruch gegen die Verarbeitung einlegen. Wenn Ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. Wenn die Löschung Ihrer personenbezogenen Daten aufgrund eines spezielleren Gesetzes erforderlich und vorgeschrieben ist. Eine Löschung der Daten erfolgt allerdings dann nicht, wenn eine rechtliche Verpflichtung deren Verarbeitung vorschreibt oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. § 19 KDG – Öffentlich gemachte personenbezogene Daten Die FBS gGmbH veröffentlicht keine personenbezogenen Daten.
12
Informationspflichten (gem. § 15 KDG)
Ihre Rechte als Betroffener § 20 KDG – Recht auf Einschränkung der Verarbeitung Unter „Einschränkung der Verarbeitung“ ist eine der Löschung ähnliche Maßnahme zu verstehen, das sog. Sperren von Daten. In Datenbanksystemen können Daten oft nicht gelöscht werden (z. B. Buchungssysteme, revisionssichere Systeme). In diesen Fällen werden die Daten gesperrt, sodass diese zwar noch vorhanden sind, aber nicht mehr genutzt (verarbeitet) werden können. Das Recht auf eine eingeschränkte Verarbeitung ist aber ein beiderseitiges Recht. Sie haben unter folgenden Voraussetzungen uns gegenüber das Recht, eine Einschränkung der Verarbeitung zu verlangen: Wenn: die Richtigkeit Ihrer personenbezogenen Daten von Ihnen bestritten wird, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der Daten zu überprüfen, eine Verarbeitung unrechtmäßig ist, Sie eine Löschung der Daten aber ablehnen und stattdessen eine Einschränkung der Nutzung verlangen, wir die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung benötigen, Sie selbst aber die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, Sie Widerspruch gegen eine auf unsere berechtigten Interessen gestützte Verarbeitung einlegen und noch nicht feststeht, ob unsere schutzwürdigen Gründe für die Datenverarbeitung Ihre Interessen, Rechte und Freiheiten überwiegen. Wurde die Verarbeitung auf Ihren Antrag hin eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der EU verarbeitet werden. Außerdem müssen wir Sie vor Aufhebung der Einschränkung unterrichten (§ 20 Abs. 3 KDG).
13
Informationspflichten (§ 15 KDG)
Beschwerderecht § 15 Abs. 2 d) KDG – Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde Wenn Sie der Ansicht sind, dass Ihre datenschutzrechtlichen Ansprüche verletzt sind, können Sie bei jeder Aufsichtsbehörde katholischen Kirche von Ihrem Beschwerderecht Gebrauch machen: Diözesandatenschutzbeauftragter für Nordrhein-Westfälische Bistümer Katholisches Datenschutzzentrum Steffen Pau Brackeler Hellweg 144 44309 Dortmund Tel.: 0231 – – 0 Fax: 0231 – – 22 Webseite: Profiling § 15 Abs. 2 f) KDG - Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. § 24 KDO. In der FBS gGmbH werden keine Systeme zu einer automatisierten Entscheidungsfindung (Profiling) eingesetzt.
14
Informationspflichten (gem. § 15 KDG)
Datenschutz bei Stellenausschreiben und Bewerbungsverfahren Wir verarbeiten personenbezogene Daten von Bewerbern, die diese in Bewerbungen auf offene Stellen angeben. Der Zweck einer Bewerbung ist das Anstreben eines Beschäftigungsverhältnisses in unserem Unternehmen. Der Rechtsgrund für die damit verbundene Verarbeitung der Bewerberdaten ergibt sich aus § 26 Abs. 1 BDSG. Ihre personenbezogenen Daten werden dabei vertraulich behandelt und ausschließlich zum Zweck der Bewerbungsabwicklung verarbeitet, d.h. zur Personalanwerbung, zur Rekrutierung und zur Erstellung eines Arbeitsvertrages sowie zur Unterstützung der internen Stellenvergaben. Es ist zur Abwicklung des Bewerbungsprozesses unabdingbar, dass Mitarbeiterinnen und Mitarbeiter des Personalbereichs, des jeweiligen Fachbereichs und von ggf. zuständigen Gremien, wie z.B. dem Betriebsrat oder der Schwerbehindertenvertretung, Zugriff auf Ihre personenbezogenen Daten haben. Ihre personenbezogenen Daten werden über die Bewerbung auf eine konkrete Stelle oder einen konkreten Einstellungstermin hinaus verarbeitet, wenn Sie uns dazu Ihre Einwilligung erteilen, um Sie bei anderen auf Ihr Profil passenden Stellen zu kontaktieren. Es gelten die allgemeinen Aufbewahrungs- und Löschfristen. Wir speichern Ihre personenbezogenen Daten grundsätzlich solange, wie dies für die Entscheidung über Ihre Bewerbung erforderlich ist und darüber hinaus nur, soweit ein anderer Rechtsgrund für die weitergehende Speicherung besteht. Ein solcher anderer Rechtsgrund kann insbesondere aus steuerrechtlichen und buchhalterischen Pflichten oder aus der Abwehr möglicher Rechtsansprüche, insbesondere nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), folgen. Soweit Sie einer weiteren Datenverarbeitung für andere auf Ihr Profil möglicherweise passende Stellen nicht zugestimmt haben, löschen wir Ihre Daten spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens. Falls Sie in die Berücksichtigung für weitere Stellen eingewilligt oder sich ohne zeitliche Einschränkung initiativ beworben haben, speichern wir Ihre personenbezogenen Daten für einen Zeitraum von maximal drei Jahren, beginnend mit dem Ende des Jahres, in dem Sie Ihre Einwilligung uns gegenüber erklärt oder Ihre Bewerbung initiativ eingereicht haben. Im Fall einer erfolgreichen Bewerbung übernehmen wir Ihre Bewerbungsunterlagen in Ihre Personalakte.
15
Informationspflichten (gem. § 15 KDG)
Weitergabe Ihrer Daten an Dritte außerhalb der EU Weitergabe von personenbezogenen Daten in Länder außerhalb der EU Gem. § 15 Abs. 1 f) KDK i. V. m. Art. 40 EU DS-GVO müssen wir als Verantwortlicher Ihnen gegebenenfalls unsere Absicht mitteilen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Außerdem müssen wir Sie in diesem Fall über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der EU-Kommission informieren oder im Falle von Übermittlungen gemäß Artikel 46, Artikel 47 oder Artikel 49 Abs.1 UAbs.2 DS-GVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind, bereitstellen. Die FBS gGmbH verarbeitet personenbezogenen Daten nur in Deutschland.
16
Aufbau unseres Datenschutzkonzeptes
Das Datenschutzkonzept der FBS gGmbH erfüllt die Datenschutzanforderungen des KDG. Das KDG basiert auf den Grundlagen der EU DS- GVO. Für katholische kirchliche Einrichtungen gelten ausschließlich die Vorgaben des KDG. Im Schwerpunkt ist es auf folgende Gesetze und Verordnungen Gesetz über den Kirchlichen Datenschutz (KDG), in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017Das Datenschutzgesetz der Katholischen Kirche (KDG) Basierend auf die Europäische Datenschutzverordnung (EU DSGVO vom , veröffentlicht im Gesetzblatt der EU am , in Kraft getreten am ). Der technische Datenschutz gem. § 26 KDG basiert auf den Grundlagen des BSI Standard 200/DIN ISO/IEC Neben diesen Gesetzen und Verordnungen kommen je nach Fall weitere gesetzliche Anforderungen hinzu, z.B. aus dem Steuerrecht (AO, GoBD), § 156 BGB, UWG, Medienrechtsrahmengesetz (MRRG), Telekommunikationsgesetz (TKG), Telemediengesetz (TMD) sowie Rechtsverordnungen aus dem Bundes- und Landesrecht. Sollten durch den Datenschutzbeauftragten Mängel festgestellt werden, so werden diese der Geschäftsleitung unverzüglich mitgeteilt. Die Anweisung und Kontrolle der Mängelbeseitigung erfolgt durch die Geschäftsleitung der FBS gGmbH in Zusammenarbeit mit dem Datenschutzbeauftragten.
17
Aufbau unseres Datenschutzkonzeptes
Der Schutzzweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, und den freien Verkehr solcher Daten zu ermöglichen (§ 1 KDG). Zur Umsetzung der datenschutzrechtlichen Anforderungen arbeiten wir nach dem sogenannten ROT – Prinzip: Rechtliche Voraussetzungen: Hier wird sichergestellt und geprüft, ob das KDG und andere Gesetze, die den Datenschutz in Deutschland und Europa regeln, eingehalten werden. Organisation des Datenschutzes: Kein Schutz von personenbezogenen Daten ohne die richtige Organisation. Hier wird festgelegt, wie der Datenschutz einzuhalten und wie nach Vorschrift zu handeln ist. Personenbezogene Daten werden einer Risikoanalyse unterzogen und entsprechend den Risiken in unterschiedliche Sicherheitsstufen eingeteilt. Wie jeder Mitarbeitende mit personenbezogenen Daten umzugehen hat wird in Verfahrensanweisungen gem. § 31 KDG detailliert beschrieben. Technische Sicherheit bei automatisierter Datenverarbeitung: Wie diese in der FBS gGmbH sichergestellt ist und gelebt wird, ist in Dokumenten, wie die vorgegebenen „technisch organisatorischen Maßnahmen zu § 26 KDG“ und einem IT-Datenschutzaudit, dokumentiert.
18
Aufbau unseres Datenschutzkonzeptes
Rechtliche Anforderungen und Voraussetzungen Alle Vorgaben verschiedener datenschutzrechtlicher Gesetze müssen eingehalten werden, ohne dass es hierbei Differenzen und Widersprüche gibt. Seit dem das KDG das maßgebliche Gesetz für die Einhaltung des Datenschutzes in der Katholischen Kirche. Wichtige rechtliche Grundsätze sind neben vielen anderen: § 1 KDG i. V. m. § 4 KDG, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten. § 6 Abs. 1 c) KDO, die Rechtmäßigkeit der Verarbeitung: in der Name werden personenbezogene Daten nahezu ausschließlich durch vertragliche Verpflichtungen verarbeitet. Die Verarbeitung ist im Sinne der Erfüllung von rechtlichen Verpflichtungen gem. § 6 Abs. 1 d) KDG. § 15 KDG, Sicherstellung der Informationspflichten gegenüber den Betroffenen, § 8 KDG, außerhalb der Verarbeitung auf der Grundlage des § 6 Abs. 1 c) und d) ist sicherzustellen, dass eine wirksame Einwilligungserklärung gem. § 8 KDG vorliegt. Einhaltung und Überwachung technischer und organisatorischer Maßnahmen zur IT-Sicherheit gem. § 26 KDG. In Zusammenarbeit mit Partnerunternehmen und Dienstleistern die Anforderungen der Auftragsverarbeitung, gem. § 29 KDG Alle Beschäftigten wurden gem. § 6 KDG auf das Datengeheimnis verpflichtet, insbesondere auch Beschäftigte von Auftragsverarbeitern, § 29 Abs. 4 b) KDG sicherzustellen. Die Bestellung eines zertifizierten Datenschutzbeauftragten zur Konzeptentwicklung, Beratung und Prüfung der Einhaltung aller Vorgaben, gem. § 38 BDSG. Regelmäßige Schulung unserer Beschäftigten zum Datenschutz und zur Informationssicherheit, gem. § 38 c) KDG.
19
Aufbau unseres Datenschutzkonzeptes
Organisatorische Anforderungen und Voraussetzungen Alle gesetzlichen Vorgaben helfen nur dann, wenn es eine Organisation gibt, die dafür Sorge trägt, dass alle datenschutzrechtlichen Anforderungen auch umgesetzt werden. Hierzu gehören insbesondere: Wichtige Dienstanweisungen und Formulare, um Datenschutzverletzungen zu unterbinden und schnell den Anforderungen des KDG nachkommen zu können (verbindliche Handlungsanweisungen für den Umgang mit personenbezogenen Daten / Prozessbeschreibungen / Vorlagen zur Auskunft an den Betroffenen, zur ordnungsgemäßen Datenvernichtung, oder Vertraulichkeits- und Geheimhaltungsverpflichtungen). Die Erstellung von „Verzeichnissen von Verarbeitungstätigkeiten“, gem. § 31 KDG für jeden Fachbereich, der personenbezogene Daten verarbeitet und bei dem ein Datenverlust mit hohen Risiken für den Betroffenen verbunden ist. Die Erfassung der Softwareapplikationen, mit denen personenbezogene Daten verarbeitet werden, ihre Risikoeinschätzung und die Anweisung, wie mit personenbezogenen Daten hier umzugehen ist (Applikationsverzeichnis). Die Dokumentation, welche Rechte die Beschäftigten in Bezug auf Vertraulichkeit und Datenintegrität haben. z.B. wer ist berechtigt Daten zu verarbeiten oder nur zu lesen, bzw. Anweisungen zu erteilen oder Widerspruch bei der Verarbeitung zu erheben. Einhaltung der Zweckbindung: Beschäftigte dürfen nur die Daten verarbeiten, die sie zur Umsetzung Ihrer Aufgaben benötigen. Auch unterliegt der Datenschutz einem Qualitätsmanagement. In regelmäßigen Abständen werden in einzelnen Bereichen Audits durchgeführt um sicherzustellen, dass die datenschutzrechtliche Organisation einwandfrei und rechtskonform verläuft.
20
Aufbau unseres Datenschutzkonzeptes
Technische und organisatorische Anforderungen Bei den personenbezogenen Daten hat sich das Verhältnis zwischen Papierdokumenten und digital erfassten Daten sehr stark zu Lasten einer digitalen Datenverarbeitung verändert. Heute werden über 90% der datenschutzrelevanten Daten in Computersystemen und Datenbanken gespeichert. Daher ist die technische Prüfung der IT- und Datensicherheit sehr wichtig. Nirgendwo können Daten in großen Mengen schneller abhandenkommen als hier. Demzufolge wird in der IT der FBS gGmbH sehr viel Wert auf IT-Sicherheit und Datenschutz gelegt. Die festgelegten Anforderungskriterien sind in § 26 und 27 KDG festgeschrieben. Sie sind über technische und organisatorische Maßnahmen umgesetzt und werden durch IT-Audits des Datenschutzbeauftragten ständig überwacht. Auf den Endgeräten dürfen sich keine personenbezogenen Daten befinden. Sie liegen ausschließlich auf Servern im Rechenzentrum der Oberland eG. Befinden sich personenbezogene Daten auf mobilen Datenträgern müssen diese verschlüsselt sein. Der Betrieb des Rechenzentrums erfolgt durch qualifiziertes IT Fachpersonal und spezialisierte IT-Dienstleister. Der Zutritt zum Rechenzentrum ist streng geregelt und wird überwacht. Für Mitarbeiterinnen und Mitarbeiter gibt es feste Regeln für den Zugriff und Umgang mit personenbezogenen Daten. Hierzu gehören Anweisungen, wie Passwörter zu erstellen sind, wie lang diese sein müssen und in welchen Abständen das Passwort zu erneuern ist. Namen und Geburtsdaten dürfen in Passwörtern nicht verwendet werden. Über eine Zugriffskontrolle werden Rechte vergeben, sodass jede Mitarbeiterin und jeder Mitarbeiter nur die Daten sehen darf, die zu ihrem oder seinem Aufgabengebiet gehören. Auch Themen wie Pseudonymisierung, Anonymisierung und Datenverschlüsselung, Datensicherheit durch regelmäßige Datensicherung der Systeme, Konzepte zur Datenwiederherstellung nach Ausfällen, Notfall- und Brandschutzmaßnahmen gehören hier zum Aufgabengebiet der IT. Mit dem Einzug neuer Technologien verändert sich auch hier permanent das Aufgabenspektrum. So wird durch die Einführung von Smart Phones und Tablet-PCs auch hier ein spezifiziertes Sicherheitskonzept notwendig, um den Datenschutz zu gewährleisten. Vor jeder Einführung neuer Technologien wird vom Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung durchgeführt (§ 35 KDG).
21
Aufbau unseres Datenschutzkonzeptes
Applikations- und Anwenderverzeichnis Zur Übersicht und Kontrolle wird ein Applikationsverzeichnis geführt. 1. Applikationsverzeichnis Es enthält alle Informationen über eingesetzte Applikationen (Softwareanwendungen), die datenschutzrechtlich relevant sein können. Es ist in 5 Abschnitte eingeteilt: Applikationsbeschreibung (laufende Nummer, Applikationsname, Applikationsbeschreibung). Betriebsdaten und Ansprechpartner. Spezifische, datenschutzrelevante Informationen (Anwendergruppe, welche Daten werden verarbeitet, Datenklassifikation, Schutzbedarf, Zugangsschutz, Verschlüsselung, Einverständniserklärung des Betroffenen, Vorabkontrolle, Verfahrensbeschreibung). Sicherheitseinstufung (Vertraulichkeit, Integrität und Verfügbarkeit). e. Zusätzliche Informationen zur Hardware und zu den Applikationen: Einsatz der Software auf RZ-Servern, Server und Client, Kunden-Server, Lizenznummer, Anzahl der Lizenzen. Sicherstellung der Mandantentrennung Alle Zugriffsberechtigungen werden über fachbereichsbezogene Gruppenrechte festgelegt, sodass die Mandantentrennung über ein Active Directory umgesetzt und sichergestellt wird.
22
Aufbau unseres Datenschutzkonzeptes
Verzeichnisse von Verarbeitungstätigkeiten und Risikoanalysen Für folgende Geschäftsprozesse gibt es Verzeichnisse von Verarbeitungstätigkeiten nach den Vorgaben § 31 KDO. Neben den gesetzlichen Anforderungen enthalten unsere Verzeichnisse von Verarbeitungstätigkeiten auch eine Risikobewertung, eine Sicherheitseinstufung und festgelegte Vorgaben für den Arbeitsplatz für unsere Mitarbeitenden. So gewährleisten wir, dass Ihre Daten bei uns in sicheren Händen sind. Unsere Verzeichnisse von Verarbeitungstätigkeiten: Verarbeitung personenbezogener Daten im Personalwesen Verarbeitung personenbezogener Daten im Finanz- und Rechnungswesen Verarbeitung personenbezogener Daten in der Projektierung. Verarbeitung personenbezogener Daten in den IT-Systemen und Datenbanken. Risikoanalyse von verwendeten Datenkategorien mit Sicherheitseinstufung. IT-Audit Bericht mit Risikoanalyse und Maßnahmenkatalog.
23
Aufbau unseres Datenschutzkonzeptes
Risikobewertung personenbezogener Daten Personenbezogene Daten werden in der FBS gGmbH gem. den Anforderungen des § 26 KDG auf Basis des BSI Standard 200 und der DIN ISO/IEC eingestuft. Jeder Fachbereich hat seine verarbeiteten personenbezogenen Daten in Schutzklassen einzustufen. Einstufungshilfen sind die Vorgaben der DIN ISO/IEC und die des § 26 KDG. In einem festgelegten Prozess werden alle personenbezogenen Daten Schutzklassen zugeordnet. Schutzklasse 3 – streng vertraulich z. B. alle besondere Arten von personenbezogenen Daten gem. § 11 KDG. Schutzklasse 2 – vertraulich z.B. Vertragsunterlagen, Daten zu Immobilien, alle Informationen im Umfeld von Bewerbungen, Zeugnisse, Bankdaten etc. Schutzklasse 1 – intern z.B. Alle Unternehmensdaten und personenbezogenen Daten, die nicht streng vertraulich oder öffentlich sind. Schutzklasse 0 – öffentlich z.B. frei im Internet verfügbare Daten, Daten aus Adress- und Telefonbüchern, Dokumente, die als öffentlich gekennzeichnet sind (Broschüren, Informationsmaterial etc.) Eine genaue und abschließende Beschreibung der Zuordnung einzelner Datenkategorien ist in einem Schutzklassenverzeichnis enthalten, welches allen Beschäftigten zur Einsichtnahme und als Arbeitshilfe zur Verfügung steht.
24
TOM – Technische & organisatorische Maßnahmen gem. § 26 KDG
Unsere technischen & organisatorischen Maßnahmen sind in einem gesonderten Dokument beschrieben. Die TOM müssen ein dem festgelegten Risiko entsprechendes Schutzniveau gewährleisten und umfassen nach § 26 KDG folgende Punkte: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Bei der Beurteilung des angemessenen Schutzniveaus werden insbesondere die Risiken berücksichtigt, die mit der Verarbeitung verbunden sind. Insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.
25
Kontrolle und Audits Der Datenschutzbeauftragte (DSB) kontrolliert regelmäßig alle Einrichtungen der FBS gGmbH, in denen personenbezogene Daten verarbeitet werden und überprüft die Einhaltung der datenschutzrechtlichen Vorgaben und Datenschutzrichtlinien. Dazu gehört die Begehung der Arbeitsplätze, die Einhaltung der Verzeichnisse von Verarbeitungstätigkeiten, die Einhaltung der technischen und organisatorischen Maßnahmen im Rechenzentrum und die Einhaltung der verbindlichen Vorgaben in der Informationssicherheit (Datenschutz und IT Sicherheitsvorgaben). Alle zwei Jahre werden die Datenschutzanforderungen geprüft und auditiert. Falls Mängel festgestellt werden, wird den Beschäftigten direkt vor Ort mitgeteilt und Wege aufgezeigt, wie datenschutzkonform gearbeitet werden kann. Ziel ist nicht, die Beschäftigten zu sanktionieren, sondern sie für ein datenschutzkonformes Arbeiten zu motivieren. Werden dem Datenschutzbeauftragten Schwachstellen oder Verletzungen des Datenschutzes gemeldet, geht er diesen unverzüglich nach und prüft, ob Datenschutzverstöße vorliegen. Alle erkannten Mängel werden der Geschäftsleitung unverzüglich gemeldet und Maßnahmen getroffen, um die Mängel unverzüglich zu beseitigen. In einem Datenschutzbericht wird der Status der Datenschutzumsetzung dokumentiert, um gegebenenfalls weitere Maßnahmen zur Verbesserung des Datenschutzes aufzeigen zu können.
26
Historie Dokument Änderung Bearbeitet von Datum
Datenschutzkonzept FBS gGmbH – V.1.0 V2.0 Freigabe des Dokuments Erstellung des Dokuments Endprüfung, Korrektur Dirk Fromm Frau Oberländer
Ähnliche Präsentationen
© 2025 SlidePlayer.org Inc.
All rights reserved.