Embed Size (px)
DESCRIPTION
Datenschutz ist für den Menschen da & Datensicherheit ist ein Faktor Ihres geschäftlichen Erfolgs. Wie Sie beides optimal verbinden erfahren Sie in gleichnamiger Broschüre, die Ihnen einen Rundumblick auf das Thema Datenschutz & Datensicherheit liefert. Wertvolle juristische und anwendungsorientierte Tipps werden Ihnen ebenso wie der Quick-Check schnell und einfach helfen, die aktuelle Situation Ihrer Organisation bezogen auf ggf. bestehende Risiken einzuschätzen. Für verantwortungsbewusste Entscheider eigentlich ein Muss, doch lesen und bewerten Sie selbst!
Citation preview
Datenschutz ist für den Menschen daDatensicherheit ist ein Faktor Ihres geschä lichen ErfolgsWie Sie beides op mal verbinden…
Impressum
BE-protected UG (Ha ungsbeschränkt)Kiesstraße 7 63500 Seligenstadt Deutschland
Tel: +49 (0) 6182 829031Fax: +49 (0) 6182 829041Mobil: +49 (0) 173 6543097
E-Mail: [email protected] Geschä sführer: Jens BurkardFirmensitz: SeligenstadtAmtsgericht Off enbach HRB 44471Umsatzsteuer-Iden fi ka onsnummer: DE 267870867
Konzep on & Gestaltung: stratum GmbH, Berlin (www.stratum-consult.de)Foto Titel: © lightspring/shu erstock.comFoto Rückseite: © christo/shu erstock.com
Inhalt
3
Datenalarm - Neueste Meldungen 4Trojaner, sensible Daten, Datenschutzverstöße
Aktuelles aus der Gesetzgebung 7 Beschä igtendatenschutzgesetz & IT-Sicherheitsgesetz
Brauchen wir einen Datenschutzbeau ragten? 10Aufgaben, Ha ung, Bestellung
Erste Schri e zur Umsetzung Die wich gsten Punkte des Bundesdatenschutzgesetzes 13
Datenschutz im Marke ng 14Datenschutz-Web-Siegel
Quick Check: Sind Sie bereits auf der sicheren Seite?Bewertung Ihrer aktuellen Datenschutzsitua on 16
Für soziale Lerner: Seminare und VorträgeDeutschlandweit für Einsteiger & Experten 19
Über BE-protected 20
Bi e kontak eren Sie mich 22
4
Date
nala
rm -
Neu
este
Mel
dung
en Datenalarm - Neueste Meldungen
Immer wieder versuchen Trojaner Social Media-Nutzer z.B. in Facebook zum Besuch manipulierter Webseiten zu verleiten. Von dort wird die Schadso ware dann automa sch heruntergeladen und der Trojaner verschickt nach der Installa on den Link per Chat an alle Einträge der Freundesliste. Zusätzlich lädt der Trojaner weitere Schadso ware nach, die es auf Bankdaten abgesehen hat.
Bereits im letzten Jahr trieb dieser Virus vor allem in den Niederlanden sein Unwesen. Hier waren im August besonders Behörden und Unternehmen betroff en. Die Gemeinde Weert musste ihre Website komple vom Netz nehmen. Innerhalb kurzer Zeit waren mehr als 3000 Computer weltweit befallen.
Noch drama scher ist die Gefahrenmeldung des BSI (Bundesamt für Sicherheit in der Informa onstechnik) vom April 2013. Online-Kriminelle haben erneut in großem Umfang OpenX-Server zur Auslieferung von Wer-bebannern kompromi ert. Bereits im Januar dieses Jahres ha e das BSI auf dieses Problem hingewiesen. Aktuell werden auf vielen bekannten und teils viel besuchten deutschsprachigen Webseiten – darunter auch die Online-Angebote von Nachrichten-, Poli k-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen – manipulierte Werbebanner ausgeliefert, welche schädlichen JavaScript-Code enthalten, der auf so genannte Exploit-Kits verweist. Diese nutzen bekannte Schwach-stellen unter anderem in Java, im Adobe Reader, in Adobe Flash oder im Microso Internet Explorer aus. Ziel der Angreifer ist es, Schadprogram-me wie Online-Banking-Trojaner auf Windows-basierten PCs der Besu-cher der Webseiten zu installieren. Die Infek on des Rechners erfolgt dabei allein durch den Besuch einer Webseite, auf der ein entsprechend manipuliertes Werbebanner eingeblendet wird. Eine zusätzliche Nut-zerak on wie beispielsweise das Anklicken des Werbebanners ist für die Infek on nicht erforderlich.
Was tun
BE-protected empfi ehlt allen Nutzern, den Stand der Sicherheitsaktualisierungen ihres Betriebssystems, sowie des Browsers und anderer genutzter Anwenderso ware wie Java, Adobe Reader und Adobe Flash regelmäßig zu überprüfen und von den Herstellern bereitgestellte Sicherheitsupdates zeitnah zu installieren. Auch die Firewall und Virenschutzso ware muss immer aktuell gehalten werden.
...das Anklicken des Werbebanners ist für
die Infek on nicht erforderlich...
Datenalarm - N
eueste Meldungen
Unbekannte Kriminelle haben den verbreiteten No zdienst Evernote gehackt und sich so
Zugang zu sensiblen Daten wie Passwörtern und E-Mail-Adressen verscha , be-richtete die S ung Warentest. Der Hersteller hat auf die illegalen Ak vitäten reagiert und alle Passwörter zurückgesetzt.
Wie entsteht dieses Risiko? Evernote ist ein Dienst, bei dem Nutzer ihre No zen, Dokumente und Fotos on-line in einer Cloud hinterlegen können. Die Daten landen also nicht auf einer sta onären Festpla e im Büro oder zu Hause, sondern auf den Rechnern des Cloud-Dienstleisters. So stehen sie via App auf dem Smart-phone genauso zur Verfügung wie auf dem Tablet oder dem Desktopcomputer. Circa 50 Millionen Menschen nutzen diesen Dienst schätzungsweise. Andere ähnliche Dienste sind Microso OneNote & Apples iCloud. Der Betreiber von Evernote ha e bekannt gegeben, dass die hauseigene Sicherheitsabteilung verdäch ge Ak -vitäten im Netzwerk entdeckt und blockiert habe. Den Eindringlingen sei es gelungen, Zugang zu sensiblen Daten wie Passwörtern und E-Mail-Adressen zu erhalten. Evernote hat deshalb vorsichtshalber alle Nutzer-passwörter zurückgesetzt.
Was tun BE-protected empfi ehlt Ihnen, Ihre Passwörter mög-lichst sicher zu gestalten, denn 80 Prozent aller Passwör-ter können Hacker innerhalb weniger Stunden knacken. Besonders einfach machen Nutzer es den Kriminellen, wenn sie echte Wörter, die auch in Wörterbüchern auffi ndbar sind, verwenden. Gleiches gilt für die Ver-wendung von Namen oder Geburtsdaten. Außerdem können die Hacker bes mmte Muster in Passwörtern erkennen, die immer wieder au auchen. Ein sicheres Passwort besteht aus mindestens acht Zeichen, enthält große und kleine Buchstaben sowie Zahlen und Son-derzeichen. Passwörter sollten zudem für jeden Dienst individualisiert sein. Niemals sollte eine Liste von Passwörtern angelegt und unverschlüsselt gespeichert werden. Schon gar nicht bei einem Cloud-Dienst wie zum Beispiel Evernote.
Damit Sie si� si� er fuhlen
5
Ein sicheres Passwort besteht aus mindestens
acht Zeichen, enthält große und kleine Buch-
staben sowie Zahlen und Sonderzeichen.
6
Date
nala
rm -
Neu
este
Mel
dung
en
Die aktuelle PwC-Studie „Daten schützen“ befragte 2012 250 Unternehmen verschiedener Größenordnung. Dabei stellte sich heraus, dass gut jedes vierte Unternehmen (28%) im
Jahr 2012 mindestens einen Verstoß gegen den Datenschutz melden musste. Dabei seien weniger Datendiebstähle oder Angriff e von Hackern die Ursache für Daten-schutz-Probleme, sondern „die Unwissenheit und die Unkenntnis der eigenen Mitarbeiter“, die als die Hauptgründe für Verstöße gegen den Datenschutz auff allen.
Außerdem zeigte sich, dass die Datenschutzbeau ragten mit dem Einsatz von Social Media und Cloud Com-pu ng vor neuen Fragen und Herausforderungen stehen. Die damit verbundenen Chancen und Risiken werden von vielen Unternehmen noch nicht beherrscht. Die Studie kommt zu dem Schluss: „Sicherheitsbedenken im Bereich Datenschutz halten Unternehmen zurzeit noch o davon ab, die Potenziale der neuen Medien und Techniken zu nutzen.
Was tun
Hat ein Unternehmen nicht die nö gen Ressourcen oder das rich ge Know-how für einen professionellen Datenschutz, sollte es in Betracht ziehen, das Angebot eines externen Dienstleisters zu nutzen. Dieser stellt sowohl das Personal als auch das Wissen zur Verfügung, um die Anforderungen an den Datenschutz zu erfüllen, was wiederum die Grundlage für einen hohen Vertrauensfaktor bei bestehenden und potenziellen Kunden ist.
Das BE-protected Angebot!
Kostenfreie Erstberatung zur FrageVerstößt meine Organisa on gegen Datenschutzvorschri en?
... mit Einsatz von Social Media neue Fragen und Herausforderungen für
Datenschutzbeau ragte...
Aktuelles aus der GesetzgebungDamit Sie si� si� er fuhlen
7
Aktuelles aus der Gesetzgebung
Unternehmen und Verbände verfügen über eine große Menge sensibler Daten von Arbeit-nehmern, Mitgliedern, Kunden und Förderern, die sie für den Betriebsalltag benö gen. Um die Persönlichkeitsrechte dieser Betroff enen zu schützen und die Daten auf das Nö gste zu beschränken, gibt es zahlreiche Gesetze & Vorschri en, die von den Geschä sführern und Vorständen zu beachten und zu verantworten sind. Der Datenschutzbeau ragte muss sich nicht nur mit dem Bundesdatenschutzgesetz (BDSG) auskennen, sondern auch zusätzliche Gesetze kennen und beachten, wie z.B. Teledienstegesetz, Telekommunika ons-Daten-schutzverordnung, Mediendienste-Staatsvertrag, Kunsturhebergesetz, Informa ons-Kom-munika onsgesetz, Steuer/Sozialverordnungen, diverse EU-Verordnungen sowie die jeweili-gen Datenschutzgesetze der Bundesländer.
O sind es nur kleine Änderungen an bestehenden Vorschri en, die aktualisiert werden und Einfl uss auf den betrieblichen Alltag haben. Derzeit stehen aber zwei große Gesetze zur Diskussion, welche intensive Verände-rungen für uns alle bedeuten werden: das Beschä igtendatenschutzgesetz & das IT-Sicherheitsgesetz.
§
Sie ha en als Geschä sführer und Vor-
stand bei Nichteinhaltung von Datenschutzbes mmungen.
Das kann Ihnen eine Geldbuße bis zu 50.000 Euro
„einbringen“.
8
Aktu
elle
s aus
der
Ges
etzg
ebun
g Hier kommen Anderun� n auf Sie zu
Das Beschä igtendatenschutzgesetz Trotz seiner großen prak schen Bedeutung war der Arbeitnehmerda-tenschutz in Deutschland bis 2009 gesetzlich nicht explizit geregelt. Seit 1978 griff die Praxis daher auf die all-gemeinen Regelungen des Bundesdatenschutzgesetzes zurück. In den Jahren 2008/2009 wurde bekannt, dass bedeutende deutsche Unternehmen wie der Lebensmi eldiscounter Lidl und die Deutsche Bahn ihre Be-schä igten mit teilweise unzulässigen Methoden überwacht ha en. Besondere Aufmerksamkeit erlangte die Überwachungsaff äre der Deutschen Telekom. Auf Grund dieser Vorfälle entschied sich die Bundesregierung im Februar 2009, die Arbeit an einem Arbeitnehmerdatenschutzgesetz wieder aufzunehmen. Als „Sofortmaß-nahme“ wurde das Bundesdatenschutzgesetz um § 32 BDSG ergänzt. Bei dieser Vorschri handelt es sich um eine Regelung zur Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschä igungsverhältnisses. Sie trat am 1. September 2009 in Kra .
Am 15. Dezember 2010 hat die Bundesregierung den vieldisku erten Entwurf zum Arbeitnehmerdaten-schutz auf den Weg gebracht. Wesentliche Diskussionspunkte sind u.a.:
Die off ene Videoüberwachung von Beschä igten soll bspw. zum Schutz vor Diebstahl erlaubt sein.Arbeitgeber dürfen kün ig Bewerberdaten, die allgemein zugänglich sind, ohne Einwilligung des
Bewerbers erheben und damit bspw. in Facebook ausgiebig recherchieren.E-Mails dürfen unter bes mmten Voraussetzungen kontrolliert werden, Regelungen zum Umgang mit
privater Korrespondenz sind indes nicht vorgesehen.Kollek vvereinbarungen müssen dem Schutzstandard des Bundesdatenschutzgesetzes entsprechen.
Die Folge wird sein, dass bestehende Betriebsvereinbarungen umfassend überarbeitet werden müssen.Auch die Übermi lung von Beschä igtendaten im Konzern soll erleichtert werden. Gleichwohl wird der
Austausch im interna onalen Umfeld nicht privilegiert, so dass gerade für interna onal tä ge Konzerne die Erleichterungen marginal sind.
Der Widerstand gegen diese „arbeitgeberfreundliche“ Auslegung der Rechte ist enorm und führte zu einer erneuten Verzögerung bei der Gesetzgebung. Die Regierungskoali on nahm die für den 01.02.2013 geplante Abs mmung des Bundestages über den Gesetzentwurf zur Regelung des Beschä igtendatenschutzes von der Tagesordnung und kündigte weitere Gespräche mit allen Beteiligten an. Mit einer Einführung noch in 2013 ist somit nicht mehr zu rechnen. Also müssen wir auch weiterhin mit vielen rechtlichen Lücken und Unsicherhei-ten arbeiten…
Aktuelles aus der GesetzgebungDamit Sie si� si� er fuhlen
9
Das IT-Sicherheitsgesetz Das Bundesdatenschutzgesetz regelt in § 9 die „technischen und organisatorischen Maßnahmen“ zum Schutz personenbezogener Daten. Allerdings bleibt dieses Gesetz sehr schwammig, wie man etwas umsetzen soll, und beschreibt nur die Disziplinen, welche zu beachten sind.
Einer Studie nach sind schon heute 50 Prozent aller deutschen Unternehmen abhängig vom Internet. Das führt dazu, dass einem deutschen Großunternehmen pro Jahr im Schni 4,8 Mio. € Kosten durch Cyber-Kri-minalität entstehen. Täglich werden 20.000 Webseiten mit Schadprogrammen infi ziert und 5-10 Spionagean-griff e auf die Bundesverwaltung registriert.
Das Bewusstsein, sich und seine IT schützen zu müssen, ist insbesondere bei kleinen und Mi elständischen Unternehmen kaum vorhanden. Das Bundesinnenministerium sieht deswegen den aktuellen Zustand der „freiwilligen Schutzmaßnahmen“ von Unternehmen und Verbänden als gescheitert und verordnet kün ig einzuhaltende Sicherheitsstandards. Der aktuelle Entwurf enthält drei Schwerpunkte:
Die Betreiber kri scher Infrastrukturen werden zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informa onstechnik und zur Verbesserung ihrer Kommunika on mit dem Staat bei IT-Vorfällen verpfl ichtet.
Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, werdenstärker als bisher hierfür in die Verantwortung genommen.
Das Bundesamt für Sicherheit in der Informa onstechnik wird in seinen Aufgaben und Kompetenzengestärkt.
Zusätzlich soll eine Meldepfl icht für „schwerwiegende Beeinträch gungen informa onstechnischer Systeme, Komponenten und Prozesse“ eingeführt werden. Dieser Punkt war bereits in dem ersten bekanntgewordenen Entwurf des Gesetzes zu fi nden und ha e mancherorts für Vers mmung gesorgt. Verbände und Unterneh-men sehen diese Maßgabe bislang kri sch, nicht zuletzt deshalb, weil gerade börsenno erte Unternehmen durch die verpfl ichtende Veröff entlichung von Hacka acken Imageschäden und andere Nachteile befürchten.
Der Entwurf für ein Gesetz zur IT-Sicherheit (Gesetz zum „Schutz von Telekommunika ons- und Datenverarbeitungssystemen gegen unerlaubten Zugriff “) hat die erste Hürde passiert. Es erscheint deshalb möglich, dass das Gesetz noch in dieser Legislaturperiode in Kra tri .
10
Brau
chen
wir
eine
n Da
tens
chut
zbea
u r
agte
n? Brauchen wir einen Datenschutzbeau ragten?
Datenschutzbeau ragte sorgen in ihren Organisa onen dafür, dass sämtliche Bes mmungen des Bundesdatenschutzgesetzes (BDSG) sowie andere Vorschri en über den Datenschutz einge-halten werden. Sie analysieren und kontrollieren den Umgang mit Daten und beraten ihre Ge-schä sführungen. Grundsätzlich gilt: Jede öff entliche Ins tu on muss einen Datenschutzbeauf-tragten haben. Bei Unternehmen und Verbänden ist dies abhängig von verschiedenen Faktoren, wie der Mitarbeiterzahl, die in Kontakt mit den Daten kommt, oder der Art der Datenerhebung.
Das Gesetz stellt es Organisa onen jedoch frei, ob sie einen Mitarbeiter als internen Datenschutzbeau rag-ten bestellen oder sich einen externen Experten für diesen Bereich mit ins Boot holen. Eine Organisa on muss einen Datenschutzbeau ragten bestellen, wenn:
mindestens 10 Mitarbeiter personenbezogene Daten automa siert erheben, verarbeiten oder nutzen mindestens 20 Mitarbeiter mit nicht automa siert erhobenen personenbezogenen Daten beschä igt
sind personenbezogene Daten geschä smäßig zum Zweck der Übermi lung oder der anonymisierten
Übermi lung erhoben, verarbeitet oder genutzt werden (z.B. Schufa) automa sierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle unterliegen.
Q?
Das BE-protected Angebot!
Mit uns als externem Datenschutzbeau ragten können Sie sicher gehen, dass Sie stets auf dem aktuellen Stand der gelten-den Datenschutzbes mmungen sind. Sta Verstöße befürchten
zu müssen, können Sie sich weiterhin voll und ganz auf Ihr eigentliches Geschä konzentrieren.
Brauchen wir einen Datenschutzbeau
ragten?Damit Sie si� si� er fuhlen
11
Als Datenschutzbeau ragte eignen sich Personen, welche die notwendige rechtliche, orga-nisatorische und technische Fachkunde über den Datenschutz besitzen. Um eine Eigenkon-trolle zu vermeiden, scheiden Personen, die der Geschä sführung angehören, Partner der Organisa on sowie deren IT- oder Personalleiter hierbei von vornherein aus. Auf Grund der enormen Verantwortung, die mit dem Amt des Datenschutzbeau ragten einhergeht, muss die Bestellung schri lich und gesondert von bestehenden Arbeitsverträgen erfolgen und von bei-
den Parteien unterzeichnet werden. Ihr beizufügen ist darüber hinaus eine genaue Aufgabenbeschreibung, Erläuterung der organisatorischen Eingliederung des Datenschutzbeau ragten in das Unternehmen und eine Erklärung, dass der Betrieb ihn bei seiner Arbeit voll unterstützt. Der betriebliche Datenschutzbeau ragte hat insbesondere folgende Aufgaben:
Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme Erstellung von Datenschutz- und Sicherheitskonzepten Schulung der bei der Verarbeitung personenbezogener Daten tä gen Personen bezüglich der Vor-
schri en, der Gesetze und den jeweiligen Erfordernissen Datenschutzgerechte Gestaltung von Personalinforma onssystemen Durchführung von Verfahrensverzeichnissen, der Meldepfl icht und internen Verfahrensübersichten.
Gut zu wissenDer Datenschutzbeau ragte genießt Weisungsfreiheit, welche ihm eine un-eingeschränkte Ausübung seiner Arbeit auch bei gegenläufi gen Interessen der Unternehmensleitung gewähren soll.
Wurde die Notwendigkeit eines Datenschutzbeau ragten festge-
stellt, so muss dieser innerhalb eines Monats schri lich bestellt werden.*
*Eine Missachtung oder fehlerha e Bestellung kann zu erheblichen Geldbußen bis zu 50.000 € führen.
Q!
12
Brau
chen
wir
eine
n Da
tens
chut
zbea
u r
agte
n?
Das sollten Sie zum Datens� utzbeauftragten wisseu
Grundsätzlich liegt die Verantwortung für den Datenschutz eines Unternehmens immer in den Händen der Geschä sleitung.
Dies gilt auch, wenn ein Datenschutzbeau ragter bestellt wurde. Die Geschä sführung ist also auf keinen Fall aus dem Schneider, wenn es um den Datenschutz geht. Bei betrieblichen Datenschutzbeau ragten gelten arbeitsrechtliche Besonderheiten: Bei einer Pfl ichtverletzung muss nicht der beschuldigte Arbeitnehmer seine Unschuld, sondern der Arbeitgeber die Schuld beweisen. Darüber hinaus ha et der Arbeitnehmer nur beschränkt, abhängig vom Grad der Fahrlässigkeit seines Handelns.
Ähnlich wie Betriebsräte genießen betriebliche Datenschutzbeau ragte einen Sonderkündi-gungsschutz.
Die Kündigung kann nach § 626 BGB demnach nur aus „wich gem Grund“ erfolgen, wenn eine Weiterbe-schä igung unzumutbar wäre. Dies ist allerdings nur bei efgreifenden Pfl ichtverletzungen, die in der Funk- on als Datenschutzbeau ragter begangen wurden, der Fall. Zu solchen efgreifenden Pfl ichtverletzungen
gehören beispielsweise der Verrat von Betriebs- oder Geschä sgeheimnissen. Auch nach Abberufung des betrieblichen Datenschutzbeau ragten läu dessen Kündigungsschutz noch ein Jahr fort.
Die Bestellung eines externen Datenschutzbeau ragten muss, wie bei den betrieblichen Daten-schutzbeau ragten, schri lich erfolgen.
In einem Dienstvertrag/Geschä sbesorgungsvertrag werden die genauen Aufgaben, Kompetenzen, Verant-wortlichkeiten, Ha ung und die Zusammenarbeit zwischen Betrieb und externem Berater geklärt. Externe Datenschutzbeau ragte ha en nach den üblichen zivilrechtlichen Vorschri en des BGB. Der Vorteil für das beau ragende Unternehmen liegt bei der Ha ung darin, dass externe Datenschutzbeau ragte im Gegensatz zu internen Datenschutzbeau ragten im Strei all selbst beweisen müssen, dass sie für vorgeworfene Pfl icht-verletzung nicht verantwortlich sind.
Erste Schri e zur Um
setzungDamit Sie si� si� er fuhlen
13
Erste Schri e zur Umsetzung Die wich gsten Punkte des Bundesdatenschutzgesetzes
Stellen Sie fest, ob Sie einen eigenen Datenschutzbeau ragten benö gen.
Wenn nein: Machen Sie sich klar, dass sich dennoch jemand um diese Aufgaben kümmern muss!
Verpfl ichten Sie Ihre Mitarbeiter auf §5 des BDSG - Verpfl ichtungserklärung auf das Datengeheimnis.
Sensibilisieren Sie Ihre Mitarbeiter für den Datenschutz (und den Umgang mit Daten).
Finden Sie heraus, wie Ihr Unternehmen funk oniert. Woher kommen Daten, wer macht was damit und warum, wohin wandern sie dann (Datenstromanalyse, Datenfl ussdiagramm)?
Ordnen Sie den Datenströmen Tä gkeiten zu und erstellen Sie für jede Tä gkeit eine schri liche Verfah-rensbeschreibung. Alle Ihre Verfahrensbeschreibungen führen Sie dann zusammen zu einem internen Verfahrensverzeichnis. Daraus streichen Sie alle Punkte, welche die Öff entlichkeit nichts angehen, und haben so Ihr öff entliches Verfahrensverzeichnis.
Gleichen Sie dann Ihre Verfahrensbeschreibungen mit den gesetzlichen Vorgaben ab und stellen Sie fest, ob eines oder mehrere Verfahren meldepfl ich g sind.
Wenn ja: Erstellen Sie eine Meldung an die zuständige Behörde.
Wenn Sie planen, ein neues Verfahren oder System in Betrieb zu nehmen, prüfen Sie, was man damit alles machen kann und ob man das auch darf. Das ist die gesetzlich vorgeschriebene Vorabkontrolle.
Wenn Sie mit externen Stellen wie Lohnbüro, Servicecenter, Druckereien etc. zusammenarbeiten, müs-sen Sie einen Vertrag zur Au ragsdatenverarbeitung erstellen, unterzeichen und regelmäßig prüfen.
Dokumenta on ist essenziell!Beschreiben Sie deutlich, was Sie alles für die Sicherheit
der von Ihnen erfassten Daten tun und wer sich darum kümmert.
14
Date
nsch
utz i
m M
arke
ng Datenschutz im Marke ng
Personenbezogene Daten sind der Schlüssel zu eff ek vem Marke ng. Um Verbraucher und Kunden zu schützen, unterliegen die Erhebung, Verarbei-tung und Nutzung dieser Daten jedoch strengen gesetzlichen Vorschri en.
Doch auch die Verbraucher selbst sind inzwischen durch die permanente nega ve Berichtersta ung über Datenmissbrauch im Internet skep scher und vorsich ger geworden, wenn es um die Eingabe sensibler Daten geht. Name, berufl iche Posi on, Telefonnummer, E-Mail-Adresse und Anschri werden nur noch un-gern angegeben, da die Gefahr der unkontrollierten Weitergabe bzw. missbräuchlichen Verwendung zu groß erscheint. Genau diese Daten brauchen Unternehmen und Verbände jedoch, um Informa onen und Angebo-te an Interessenten versenden zu können. Von unabhängigen Dri en ausgestellte Zer fi kate helfen hierbei, das Vertrauen wieder aufzubauen und den Verbrauchern zu signalisieren, dass ihre Daten in sicheren Händen sind.
Was tunDurch Web-Siegel können Unternehmen und Orga-nisa onen nach außen zeigen, dass sie den Daten-schutz nicht nur ernst nehmen, sondern in ihrer Organisa on auch anwenden. BE-protected verleiht ein solches Siegel in zwei Stufen an Organisa onen als Nachweis der Einhaltung des Datenschutzes.
Auch verschiedenste andere Ins tu onen bieten inzwischen als Reak on auf ein anges egenes Misstrauen der Verbraucher Zer fi kate und Siegel an, die Unternehmen die Einhaltung bes mmter datenschutzrechtli-cher Grundlagen bestä gen. Da die meisten dieser Siegel jedoch nicht nur den Internetau ri , sondern das ganze Unternehmen audi eren, sind die Kosten dafür gerade für kleinere Unternehmen und Verbände eine große Hürde.
Q!
Von Dri en ausgestellte Zer fi kate signalisieren Ver-
brauchern, dass ihre Daten in sicheren Händen sind.
Datenschutz-Web-Siegel Silber
Das Siegel bestä gt, dass alle von Nutzern auf Ihrer Webseite übermi elten Daten im
Einklang mit den gesetzlichen Bes mmungen zum Datenschutz bearbeitet werden.
Datenschutz-Web-Siegel Gold
Dieses Siegel zer fi ziert, dass das Unterneh-men/die Organisa on alle Aufl agen des Da-tenschutzes erfüllt, alle von den Nutzern auf
der Webseite übermi elten Daten konform der gesetzlichen Bes mmungen zum Datenschutz
bearbeitet werden und ein Datenschutzbe-au ragter dies ständig kontrolliert.
Datenschutz im M
arke ng
Damit Sie si� si� er fuhlen
15
Gut zu wissenBE-protected möchte, dass verantwor-tungsbewusster Umgang mit Daten be-zahlbar und opera v handhabbar bleibt. Deshalb konzentrieren wir uns in der Siegel-Vergabe auf den wesentlichen Kern der für Sie geltenden Vorgaben. Und das zu einem fairen Preis!
Das BE-protected Angebot!
Mit unserem Datenschutz-Web-Siegel zeigen Sie, dass Ihnen der sichere
Umgang mit den Daten Ihrer Kunden und Lieferanten am Herzen liegt
16
Qui
ck C
heck
: Sin
d Si
e be
reits
auf
der
sich
eren
Sei
te? Quick Check:
Sind Sie bereits auf der sicheren Seite?Bewertung Ihrer aktuellen Datenschutzsitua on
Grundsatz: Daten dürfen nur für den Zweck verarbeitet werden, für den sie auch erhoben wurden.Fragen, die Sie sich deshalb stellen müssen: Woher stammen unsere Daten und welcher Zweck wurde bei der Erhebung genannt? Wie sind unsere Unterlagen und Formulare hierfür gestaltet? Was passiert auf unserer Internetseite? Wann müssen wir die Daten löschen und wie lange müs-sen diese mindestens gespeichert werden?
Antworten Sie: A Diese Punkte sind in unserem Haus umfassend geklärt und werden datenschutzkonform umgesetzt. B Ich bin mir nicht sicher, ob all diese Punkte wirklich umgesetzt sind. C Davon habe ich noch nie etwas gehört. Aber Datenschutz ist auch nicht unsere Kernkompetenz!
Grundsatz: Nur unter bes mmten Voraussetzungen kann auf die Verpfl ichtung eines Datenschutz-beau ragten verzichtet werden. Aber: Dies bedeutet keine Befreiung von den gesetzlichen Aufl agen zum Datenschutz. Diese sind auf jeden Fall zu erfüllen.
Antworten Sie: A Ja, wir haben einen Datenschutzbeau ragten - und er ist auch für seine Aufgabe qualifi ziert. B Wir haben uns erkundigt: Wir benö gen keinen Datenschutzbeau ragten. C Ich weiß nicht, ob wir einen Datenschutzbeau ragten haben müssten.
Grundsatz: Die Unternehmensleitung/Geschä sführung hat die Verantwortung, alle Mitarbeiter schri lich auf das Datengeheimnis zu verpfl ichten. Fragen Sie sich also: Exis ert in unserem Perso-nalprozess ein solcher Schri ? Gibt es vorbereitete Unterlagen und Richtlinien, wie das Datenge-heimnis im Büroalltag umzusetzen ist?
Antworten Sie: A Alle unsere Mitarbeiter sind auf die Einhaltung des Datenschutzes verpfl ichtet worden. B Über Datenschutz wird gesprochen. Aber ich weiß nicht, ob alle Mitarbeiter ihre diesbezüglichen
Pfl ichten kennen. C Ich glaube nicht, dass bei uns alle Mitarbeiter eine schri liche Erklärung abgegeben haben.
Quick Check: Sind Sie bereits auf der sicheren Seite?
Damit Sie si� si� er fuhlen
17
Grundsatz: Jeder Mensch hat das Recht, von Ihrem Unternehmen zu erfahren, welche Daten Sie über ihn gespeichert haben. Fragen Sie sich also: Wo kommen die personenbezogenen Daten in unserem Unternehmen/unserer Organisa on her und an wen geben wir ggf. diese Daten zu wel-chem Zweck weiter? Können wir diese Angaben rich g, vollständig und zeitnah beantworten, um Bußgelder zu vermeiden? Ist unser Unternehmen auf entsprechende Anfragen vorbereitet? Wen würde ein solches Auskun sersuchen in unserem Unternehmen/unserer Organisa on erreichen?
Antworten Sie: A Wir haben 100-prozen ge Transparenz über alle Personendaten. B Wir können auf Anfrage sicher Auskun geben. C Dieses Thema ist bei uns noch nie aufgetaucht.
Fragen, die Sie sich zur elektronischen Datenverarbeitung stellen müssen: Wer kümmert sich um die IT-Sicherheit? Gibt es Regelungen zu Passwörtern, Virenschutz, Datensicherungen und -ausla-gerungen, Systemaktualisierungen etc.? Ist unseren Mitarbeitern die private Nutzung von E-Mail und Internet gesta et und wie verhindern wir den Abfl uss von vertraulichen Informa onen über diese Wege?
Antworten Sie: A Die IT-Sicherheit ist bei uns direkt an den Datenschutzbeau ragten angebunden. B Es gibt Vorschri en für den Umgang mit Passwörtern etc., aber nicht für alle Bereiche unseres Betriebs.C Bei uns gibt es für Mitarbeiter keine Einschränkungen in der IT-Nutzung.
No eren Sie Ihre Antworten! Auf der folgenden Seite erhalten
Sie die Testauswertung.
18
Qui
ck C
heck
: Sin
d Si
e be
reits
auf
der
sich
eren
Sei
te?
Grundsatz: Verliert oder missbraucht jemand Daten, während er für Sie arbeitet, sind Sie persönlich dafür ha bar. Deshalb gilt: Zur Absicherung muss zusätzlich zu den allgemeinen Verträgen mit dem Dienstleister ein Vertrag zur Au ragsdatenverarbeitung geschlossen werden. Das ist insbe-sondere wich g, wenn Sie mehrere Unternehmen haben, die untereinander vernetzt sind.
Antworten Sie: A Wir haben mit allen Dienstleistern und Sub-Unternehmern datenschutzrechtliche Verträge geschlossen. B Wir weisen externe Dienstleister auf den Datenschutz hin. C Wir haben nur sehr zuverlässige Dienstleister und Lieferanten. Hier gilt die Vertrauensbasis.
T Werten Sie selbst aus A 4-6 mal
Sie sind weitgehend auf der sicheren Seite! Wahrscheinlich bestehen Sie auf Anhieb den Check für das BE-protected Datenschutz-Siegel. Probieren Sie es aus!
B 3-6 malAuch wenn ein gewisses Datenschutz-Bewusstsein in Ihrer Organisa on herrscht, gibt es Schwächen in der Praxis. Holen Sie sich einen Experten, um die Lücken im Datenschutz zu schließen!
C 3-6 malDas Thema „Datenschutz“ ist in Ihrer Organisa on noch nicht wirklich angekommen! Beau ragen Sie schnell einen Experten für eine au lärende Beratung der Geschä sleitung.
Für soziale Lerner: Seminare und Vorträge
Damit Sie si� si� er fuhlen
19
Für soziale Lerner: Seminare und VorträgeDeutschlandweit für Einsteiger & Experten
Die Datenschutzanforderungen an Unternehmen und Verbände werden immer komplexer. Um diesen gerecht zu werden, erhalten Sie in den BE-protected-Seminaren alle nö gen Informa onen und bekommen prak -sche Umsetzungshilfen von unseren Experten. Neben den off en ausgeschriebenen Seminaren kommen wir gern auch für Inhouse-Seminare oder Vorträge in Ihre Organisa on - individuell auf Sie zugeschni en.
Sie sind herzli� ein� ladenjeweils 9:00 bis 16:00 Uhr...zum BE-protected-Basisseminar: 25. Juni & 6. September in Berlin 27. Juni & 5. November in Darmstadt 9. Juli in Köln 12. Juli in Stu gart
Das Basisseminar gibt Ihnen einen schnellen und umfassen-den Überblick über die Anforderungen von Datenschutz & Datensicherheit sowie einen Quick Check für Ihre eigene Organisa on. Am Ende des Seminars kennen Sie Ihre Sicher-heitslage und können Risiken und weiteren Handlungsbe-darf abschätzen. ...zum BE-protected-Experten-Workshop:11. Oktober in BerlinDer Experten-Workshop beantwortet Ihnen Ihre speziellen Fragen. Angesprochen sind vor allem diejenigen, die in einer Organisa on Datenschutz-Aufgaben übernehmen (sollen). Sie bekommen Hinweise auf die speziellen Anforderungen in verschiedenen Handlungsfeldern von Datenschutz & Datensicherheit.
Die BE-protected-Seminare!
Hier bekommen Sie nicht nur Expertenwissen aus erster
Hand, sondern erleben, dass Datenschutz Spaß machen
kann. Dies stets mit höchster Praxisrelevanz.
Das versprechen wir!
www.be-protected.de
Details & Anmeldung hier:
20
Übe
r BE-
prot
ecte
d Über BE-protected
BE-protected ist ein bundesweit agierendes Consul ng-Unternehmen, das Verbände und Unternehmen aus verschiedensten Branchen im Bereich Datenschutz und Datensicherheit berät.
Wir sind Ihr Partner fur
Neutrale Beratung, hohe Fachkenntnis & langjährige Erfahrung
Rechtssicherheit im Umgang mit den Datenschutzgesetzen & bei der Vertragsformulierung
Aktuelle Informa onen zu datenschutzrechtlichen Fragestellungen
Kompakte Praxisseminare zum Datenschutz
Kompetenz in der Datenforensik
Als Mitglied des Bundesverbandes der Datenschutzbeau ragten Deutschlands (BvD) sind wir den Datenschutzrichtlinien verpfl ichtet. Deshalb können Sie da-rauf vertrauen, dass BE-protected laufend auf dem neuesten Stand der techni-schen und rechtlichen Anforderungen in Datenschutz & Datensicherheit ist.
Datenschutzbeauftragter
nach Verbandskriterien
verpflichtet
Nr.: 100158
www.be-protected.deMehr hier:
Über BE-protected
Damit Sie si� si� er fuhlen
21
Jens Burkard, Inhaber von BE-protected, ist seit mehr als 20 Jahren im IT-Bereich tä g. In der Versicherungs-, Finanz- und Beratungsbranche hat er als System-Engineer, Produk ons- und Entwicklungsleiter viel Erfahrung gewonnen. Bis 2008 war er für den gesamten Bereich Engineering & IT-Betrieb der dezentralen Anwendungs-systeme, WEB-Portale und Mailsysteme bei einer großen Versicherung verantwortlich. Heute ist er als freier Berater und externer Datenschutzbeau ragter tä g.
Jens Burkard ist zer fi ziert als
Datenschutzbeau ragter vom TÜV Süd DSB Zer fi katsnummer: 0955#311041370
IT Service Management Experte (ITIL) vom TÜV Süd Projektmanager (PRINCE2) von der APM Group Datenschutzbeau ragter nach BvD Verbandskriterien
Meine Expertise zum Datens� utz haben Sie
Ihr Jens Burkard
22
Bi e
kon
tak
ere
n Si
e m
ich Bi e kontak eren Sie mich
BE-protected hat mein Interesse geweckt. Bi e informieren Sie mich ausführlicher zu (bi e ankreuzen):
Ihrem Beratungsangebot
Ihren Seminarthemen
Ihrem Angebot eines externen Datenschutzbeau ragten
Sons gem
Sie errei� en mi� unterName
Organisa on
Ort
Telefon
+49 (0) 6182 829041
Per Fax an:
Meine N
o zen
Damit Sie si� si� er fuhlen
23
Datenschutz ist für den Menschen daDatensicherheit ist ein Faktor Ihres geschä lichen ErfolgsWie Sie beides op mal verbinden…
Jetzt fuhle i� mi� si� er
