Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Thema
Datenschutz in der Praxis
Gesetzliche Grundlagen
• Der Datenschutz in Deutschland basiert auf verschiedenen rechtlichen Grundlagen
• Oberste Ebene bildet die Datenschutz-Grundverordnung DSGVO
• Derzeit befinden wir uns in einer Übergangsphase zur Einführung der DSGVO. Diese geht bis zum 25.05.2018
• Es wird nach diesem Zeitpunkt keine zusätzliche Toleranzphase geben
• Alle weiteren Gesetze basieren zukünftig auf der DSGVO. Beispielsweise das Bundes-datenschutzgesetz, Fachgesetze und die Landesdatenschutzgesetze
Florian Schirm 2Great Oak Datenschutz
GmbH & Co. KG
Gesetzliche Grundlagen
• Das Europarecht hat immer Vorrang vor Bundesgesetzen, Landesgesetzen, Fachgesetzen und Berufsordnungen
• Im nationalen Regelungsbereich haben Fachgesetze und Berufsordnungen Vorrang vor dem Bundesdatenschutzgesetz
• Weitere vorrangige Regelungen werden zukünftig vom europäischen Datenschutzausschuss erlassen
• Dort werden Regelungen konkretisiert, Auslegungen definiert und Handlungsanweisungen für die Datenschutzaufsicht vorgegeben
Florian Schirm 3Great Oak Datenschutz
GmbH & Co. KG
Gesetzliche Grundlagen
• Grundbegriffe des Datenschutzes:
– Personenbezogene Daten: Alle Daten mit einem Bezug zu einer real existierenden Person
– Besonders schützenswerte Daten: Alle Daten, die eine besondere Sensibilität haben (z.B. Gesundheitsdaten, Religion, Politische Meinung, genetische Daten, biometrische Daten usw.) (Art. 9 Abs. 1 DS-GVO)
– Datenverarbeitung: Erhebung, Nutzung/Änderung, Weitergabe, Löschung, Archivierung
Florian Schirm 4Great Oak Datenschutz
GmbH & Co. KG
Gesetzliche Grundlagen
• Jedes Bundesland hat eine Datenschutzaufsicht
• Diese arbeitet autonom im Rahmen der Vorgaben durch den Datenschutzausschuss
• Die Aufgaben sind beraten, kontrollieren und ahnden
• Alle Datenverarbeiter außerhalb des rein privaten Bereiches sind zur Zusammenarbeit verpflichtet
• Die Aufsichtsbehörden (und auch der betriebliche Datenschutzbeauftragte) haben ein uneingeschränktes, auch anlassloses, Kontrollrecht
Florian Schirm 5Great Oak Datenschutz
GmbH & Co. KG
Gesetzliche Grundlagen
• Die Kontrolle im Datenschutz erfolgt durch:– Praxisinhaber und Führungskräfte
– Betriebliche Datenschutzbeauftragte
– Landesdatenschutzbehörden des Bundeslandes der Betriebsstätte
• Konsequenzen bei Verstößen:– Bußgelder in zwei Stufen
• Bis zu 10.000.000 Euro / 2% des Jahresumsatzes bei Verstößen gegen Dokumentations- und Verwaltungsvorgaben
• Bis zu 20.000.000 Euro / 4% des Jahresumsatz bei Verletzung von Betroffenenrechten, Pflichten für Datenverarbeiter, Nicht-Befolgen von Anweisungen der Aufsichtsbehörden, illegale Datenverarbeitungen
– Haftstrafen
– Arbeitsrechtliche Konsequenzen
– Verwaltungsanordnungen (Verbot einer Datenverarbeitung)
• Merke: Es haften nicht nur die Praxis und der Verarbeitungsverantwortliche, sondern auch jeder Mitarbeiter persönlich, wenn er theoretisch in der Lage gewesen ist, sein Unrecht zu erkennen
Florian Schirm 6Great Oak Datenschutz
GmbH & Co. KG
Gesetzliche Grundlagen
• Es besteht eine Meldepflicht bei Datenschutzverstößen innerhalb von 72h– Bei jedem Datenverlust mit Risiko für den Betroffenen
– Bei illegaler Datenverarbeitung (auch intern)
– Bei jeder rechtswidrigen Datenzerstörung
• Gemeldet werden muss:– Was ist passiert
– Wer ist betroffen
– Welche Risiken bestehen für den Betroffenen
– Wie kann er sich vor weiteren Schäden schützen
– Welchen Gegenmaßnahmen haben Sie ergriffen
– Wie verhindern Sie zukünftig weitere solche Vorfälle
Florian Schirm 7Great Oak Datenschutz
GmbH & Co. KG
Zulässigkeit
• Jede Datenverarbeitung muss vor Beginn und dann jährlich auf Zulässigkeit geprüft werden
• Zulässig kann sie nur sein, wenn eine der folgenden Situationen vorliegt:– Freiwillige dokumentierte Einwilligung nach
Aufklärung durch den Betroffenen
– Gesetze fordern die Datenverarbeitung
– Die Datenverarbeitung ist zur Vertragsabwicklung unbedingt notwendig
• Jedoch muss immer der allgemeine Prinzipienkatalog des Art. 5 DS-GVO beachtet werden
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 8
Zulässigkeit
• Inhalt des Prinzipienkatalogs Art. 5 DS-GVO:
– Rechtmäßigkeit
– Treu und Glauben
– Transparenz
– Zweckbindung
– Datenminimierung und Datenverarbeitung als Ultima Ratio
– Richtigkeit der Datenbestände
– Speicherbegrenzung (zeitlich)
Florian Schirm 9Great Oak Datenschutz
GmbH & Co. KG
Betroffenenrechte
• Die Betroffenenrechte unterteilen sich in die Bereiche Transparenz und Intervention
• Transparenzrechte:– Information bei der Erhebung
– Benachrichtigung
– Information bei Datenpannen
– Auskunft / Kopie
– Recht auf Datenübertragbarkeit
• Interventionsrechte:– Berichtigung
– Löschung
– Recht auf Vergessenwerden
– Einschränkung der Datenverarbeitung
– Widerspruch
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 10
Datenschutzbeauftragter
• Der Datenschutzbeauftragte (DSB) soll die Kontrolle der Einhaltung der Gesetze vor Ort sicherstellen
• Es muss ein Datenschutzbeauftragter bestellt werden, wenn:– Mehr als 9 Mitarbeiter regelmäßig personenbezogene
Daten verarbeiten, egal wie umfangreich
– Oder hauptsächlich risikoreiche Daten verarbeitet werden
– Oder Daten verarbeitet werden, die einer Pflicht zur Datenschutzfolgenabschätzung unterliegen
• Es kann ein externer DSB bestellt werden oder ein eigener Mitarbeiter zum DSB ausgebildet werden
• Auch wenn keine Bestellpflicht besteht, darf ein DSB bestellt werden
Florian Schirm 11Great Oak Datenschutz
GmbH & Co. KG
Datenschutzbeauftragter
• Interner DSB
– Vorteile• Kennt interne Abläufe gut
• Enger Kontakt zu den Mitarbeitern
• Ab gewisser Größenordnung günstiger
– Nachteile• Muss ausgebildet und freigestellt werden
• Kündigungsschutz bis ein Jahr nach Abberufung
• Weisungsfreiheit
• Wenig bis kein Transferwissen
• Fehlende Autorität
Florian Schirm 12Great Oak Datenschutz
GmbH & Co. KG
Datenschutzbeauftragter
• Externer DSB– Vorteile
• Hohes Transferwissen
• Neutralität
• Haftung
• Autorität
• Entfall des Kündigungsschutzes
• Fest definierte Dienstleistung
• Bessere Ausbildung
– Nachteile• Nicht immer vor Ort
• Muss sich erst in die betrieblichen Abläufe einarbeiten
• Benötigt einen Datenschutzkoordinator vor Ort
Florian Schirm 13Great Oak Datenschutz
GmbH & Co. KG
Datenschutzbeauftragter
• Wichtige Auswahlkriterien für externe Datenschutzbeauftragte:
– Ausbildung (empf. Akademische Ausbildung in den Bereichen IT, Jura und BWL)
– Haftpflichtversicherung
– Bereitstellung eines Datenschutzmanagementsystems
– Seriöses Auftreten
– Mitglied in Berufsverbänden (GDD, BvD)
– Fortbildungen
Florian Schirm 14Great Oak Datenschutz
GmbH & Co. KG
Datengeheimnis
• Mit Datenverarbeitung befasste Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten
• In dieser Verpflichtung ist auf §53 BDSG neu Bezug zu nehmen und eine Kopie der §§ 53, 42, 43 BDSG neu und Art. 83 DSGVO auszuhändigen
• Bei Dienstleistern muss geprüft werden, ob dort ebenfalls alle gemäß diesen Anforderungen verpflichtet sind
• Bitte beachten Sie auch die Neuregelung des §203 StGB
http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s3618.pdf
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 15
Verfahrensverzeichnis
• Das Verfahrensverzeichnis beschreibt genau, welche Daten wo und wie verarbeitet werden
• Das Datenschutzverfahrensverzeichnis entspricht nicht dem QM-Verfahrensverzeichnis
• Es muss für alle Verfahren, die dauerhaft sind, erstellt werden
• Ab 250 MA oder bei sensiblen Daten auch für jede kurzfristige Verarbeitung
• Benennung eines Verarbeitungsverantwortlichen und Stellvertreters
• Dieser haftet für die Vollständigkeit der Dokumente, die Befolgung der Pflichten im Zusammenhang mit der Verarbeitung, sowie für Datenverluste
• Verfahren sind beispielsweise: Med. Dokumentation, Laboranforderung, Abrechnung GOÄ, Einstellung Mitarbeiter, Wartung IT, Webseite, Mahnwesen usw.
Florian Schirm 16Great Oak Datenschutz
GmbH & Co. KG
Verfahrensverzeichnis
• Für jedes Verfahren muss mindestens beschrieben werden:– der Name und die Kontaktdaten des Verantwortlichen und
gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
– die Zwecke der Verarbeitung;
– eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
– die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
– wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
– wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
• Wird auf Teile wg. Unmöglichkeit verzichtet, muss dies für jeden Verzicht einzeln schriftlich begründet werden
Florian Schirm 17Great Oak Datenschutz
GmbH & Co. KG
Datenschutzfolgenabschätzung
• Pflicht für alle risikoreichen Verfahren und Verarbeitungen von Art.9 Abs. 1 DS-GVO-Daten (Besondere Ausnahme für einzeln tätige Ärzte)
• Erfordert immer ein Verfahrensverzeichnis
• Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Bewertung der Risiken
• Darlegung, wie die Risiken minimiert werden
• Haftung für die Vollständigkeit und Korrektheit liegt beim Datenverarbeitungsverantwortlichen
• Datenschutzbeauftragter darf bei der Durchführung nur beraten
• Besonders risikoreiche Verfahren oder Verfahren mit nicht eliminierbaren Risiken müssen der Aufsichtsbehörde zur Genehmigung vorgelegt werden
Florian Schirm 18Great Oak Datenschutz
GmbH & Co. KG
Informationspflichten
• Immer wenn Sie Daten eines Betroffenen erheben, müssen Sie ihn über die Datenverarbeitung aktiv in Kenntnis setzen
• Stehen dem Betroffenen diese Informationen bereits zur Verfügung, müssen sie nicht noch mal zur Verfügung gestellt werden. Es sei denn, die Datenverarbeitung hat sich geändert
• Unterscheidung zwischen Datenerhebung beim Betroffenen selbst und einer Datenerhebung bei Dritten
• Bei Datenerhebung beim Betroffenen selbst müssen die Informationen direkt zur Verfügung gestellt werden
• Bei einer Datenerhebung durch Dritte müssen die Informationen per Benachrichtigung übermittelt werden
Florian Schirm 19Great Oak Datenschutz
GmbH & Co. KG
Informationspflichten
• Inhalt der Informationen Teil 1:
– Name und Kontaktdaten des Verantwortlichen
– Kontaktdaten des Datenschutzbeauftragten
– Zweck und Rechtsgrundlage der Verarbeitung
– Empfänger der Daten
– Informationen zur Übermittlung an ein
Drittland
– Dauer der Speicherung
Florian Schirm 20Great Oak Datenschutz
GmbH & Co. KG
Informationspflichten
• Inhalt der Informationen Teil 2:– Bestehen eines Rechts auf Auskunft, Berichtigung,
Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit
– Bestehen des Widerrufsrechts
– Bestehen eines Beschwerderechts
– Ggf. Informationen zur automatisierten Auswertung bzw. Profilierung
– Gesetzliche oder vertragliche Verpflichtung zur Bereitstellung der Daten und die Folgen bei Nichtbereitstellung
• Ergänzend bei Erhebung durch Dritte:– Kategorien der verarbeiteten Daten
– Quelle der Daten
Florian Schirm 21Great Oak Datenschutz
GmbH & Co. KG
Auftragsverarbeitung
• Auftragsverarbeitungen sind Dienstleistungen, bei denen personenbezogene Daten von einem Dienstleister (extern oder intern) verarbeitet werden bzw. Arbeiten an der IT/TK, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
• Nachweispflicht zur sorgfältigen Auswahl
• Haftung liegt bei Auftraggeber und Auftragnehmer
• Für jede dieser Verarbeitungen ist ein schriftlicher oder elektronischer Vertrag erforderlich, der bestimmt, dass der Auftragsverarbeiter:
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 22
Auftragsverarbeitung
• nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
• gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
• alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 23
Auftragsverarbeitung
• dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 76 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
• Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
• die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
• alle gemäß § 64 erforderlichen Maßnahmen ergreift und
• unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 64 bis 67 und 69 genannten Pflichten unterstützt.
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 24
Technisch-Organisatorische
Maßnahmen
• Für jede Datenverarbeitung sind diverse Technisch-Organisatorische-Maßnahmen (TOMs) vorgeschrieben:– Anonymisierungs- und Verschlüsselungspflicht
– Vertraulichkeit und Integrität
– Verfügbarkeit
– Belastbarkeit
– Backup
– Auftragskontrolle
– Prüfung und Evaluation
• Der Umfang der TOMs richtet sich nach dem Risikopotential der Datenverarbeitung
• Der jährliche Nachweis der Angemessenheit ist immer schriftlich und für ca. 10 Jahre rückwirkend zu führen
• Eine wichtige Komponente des Nachweises sind die Datenschutz- und IT-Sicherheitsrichtlinien
Florian Schirm 25Great Oak Datenschutz
GmbH & Co. KG
Datenschutz- und IT-
Sicherheitsrichtlinie
• In der Datenschutzrichtlinie (DSRL) regeln Sie alle Handlungen der Mitarbeiter im Umgang mit Daten, das Verhalten in Notfällen und legen allgemeine Sicherheitsvorgaben fest
• Achten Sie darauf, dass die DSRL praktikabel bleibt
• Weisen Sie jährlich nach, dass die DSRL den Mitarbeitern bekannt ist und eingehalten wird
• In der IT-Sicherheitsrichtline regeln Sie, wie der technische Schutz aufgebaut ist, welche Regeln der IT-Betreuer einzuhalten hat, wie und wo geprüft wird und welche Verfahren zum Einsatz kommen müssen
• Alternativ können Sie natürlich auch einen IT-Sicherheitsstandard einhalten
• Bei beiden Varianten müssen Sie jeweils jährlich die Einhaltung und die Wirksamkeit nachweisen. (Z.B. durch Audits)
Florian Schirm 26Great Oak Datenschutz
GmbH & Co. KG
ISMS
• Ein weiterer Teil zur Erfüllung der Nachweispflicht angemessenen Datenschutzes ist das IT-Sicherheitsmanagementsystem ISMS
• Im ISMS dokumentieren Sie die gesamte IT/TK-Infrastruktur und legen für jede Komponente Sicherheitsvorgaben fest
• Die Umsetzung der Sicherheitsvorgaben dokumentieren Sie ebenfalls im ISMS
• Aus dem ISMS generieren Sie Reports zur Nachweisdokumentation
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 27
DSM
• Auf Grund der Komplexität des Datenschutzes empfiehlt sich der Einsatz eines softwarebasierten Datenschutzmanagementsystems (DSM)
• Die Systeme helfen, strukturiert alle wichtigen Themen abzuarbeiten, alle Dokumentationen zu führen und Audits zu planen und durchzuführen
• Beispiele sind:
– otris privacy
– 2B Advice
– PRIVACYSOFT
– Uvm.
Florian Schirm 28Great Oak Datenschutz
GmbH & Co. KG
Benutzerrechte
• Jeder Benutzer ist als Verarbeiter individuell haftbar. Deshalb muss jeder Benutzer einen eigenen Benutzernamen und ein nur ihm bekanntes Passwort haben
• Die Benutzer müssen so eingeschränkt werden, dass jeder Benutzer nur die Daten sehen kann, die er auch verarbeiten muss
• Dieser Bereich wird bei Praxisprüfungen durch die Datenschutzaufsicht besonders eingehend geprüft
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 29
Verschlüsselung
• Alle personenbezogenen Daten müssen entweder anonymisiert oder verschlüsselt werden
• Folglich sollte jeder Rechner, Server, Smartphone usw. verschlüsselt sein
• Setzen Sie auf sichere Verschlüsselungsalgorithmen:
– AES 256
– SHA 256
– Passwort min. 16 Zeichen
– Bei TPM-Kryptochip im Rechner kann es auch kürzer ausfallen
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 30
Backup
• Als Datenverarbeiter haben Sie eine Pflicht zum zuverlässigen Backup aller personenbezogenen Daten
• Auch im eigenen Interesse sollten Sie ein gutes Backupkonzept etablieren
• Ideal ist:– 5 Tages-Backups (noch besser 14 Tage)
– 4 Wochen-Backups
– 8 Quartals-Backups
• Alle Backups müssen verschlüsselt sein
• Lagerung außer Haus oder in der Praxis im feuersicheren Safe
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 31
Entsorgung
• Die Entsorgung von Papier und Datenträgern regelt die DIN 66399
• Papier muss in der Praxis mit mindestens Stufe P4 (maximal 160mm2) besser P5 vernichtet werden
• Eine Anhebung auf P5 als Minimum ist zeitnah zu erwarten
• Lassen Sie extern vernichten, benötigen Sie ein Entsorgungszertifikat mit Angabe der DIN und der Vernichtungsstufe
Great Oak Datenschutz
GmbH & Co. KGFlorian Schirm 32
Schulung Mitarbeiter
• Da der Mitarbeiter das größte Risiko für den Datenschutz darstellt, besteht eine umfangreiche Schulungs- und Unterweisungspflicht
• Der Verantwortliche einer Datenverarbeitung hat den Mitarbeiter in diese einzuweisen und mit allen Regeln zum Schutz der Daten während der Verarbeitung vertraut zu machen
• Der Datenschutzbeauftragte vermittelt die gesetzlichen Anforderungen und macht die Mitarbeiter mit den spezifischen Inhalten vertraut
• Ebenfalls führt er Sensibilisierungsmaßnamen für bestimmte Bereiche durch
• Ist kein Datenschutzbeauftragter vorhanden, übernimmt die verantwortliche Stelle diese Aufgaben
Florian Schirm 33Great Oak Datenschutz
GmbH & Co. KG
Schulung Mitarbeiter
• Die Einweisung durch den Verantwortlichen und die Schulung durch den Datenschutzbeauftragten können kombiniert werden
• Es sollte eine umfangreiche Erstschulung stattfinden und diese dann jährlich aufgefrischt werden
• Minimaler Inhalt der Grundschulung:– Überblick über die Gesetze
– Kontrollen und Konsequenzen im Datenschutz
– Betroffenenrechte
– Pflichten der verarbeitenden Stelle
– Inhalt der Datenschutzrichtline
Florian Schirm 34Great Oak Datenschutz
GmbH & Co. KG
Schulung Mitarbeiter
• Die Sensibilisierungsmaßnamen sollen den
Mitarbeiter auf Gefahren bei bestimmten
Verarbeitungsvorgängen hinweisen und seine
erhöhte Achtsamkeit fördern
• Keine Vorgaben wie sie durchzuführen sind
• Es sollten mehrere Sensibilisierungen pro
Jahr durchgeführt werden
• Die Durchführung ist zu dokumentieren
Florian Schirm 35Great Oak Datenschutz
GmbH & Co. KG
Webseite
• Jede Webseite muss eine separate Datenschutzerklärung haben
• Alle Datenverarbeitungen der Seite müssen dort beschrieben sein, z.B. Google Analytics, Statistische Auswertungen, Facebook-Button, Kontaktformular usw.
• Prüfen Sie auch die technischen Aspekte der Webseite hinsichtlich ihrer Sicherheit
• Achten Sie auf die kommende ePrivacy-Verordnung (vermutlich Anfang 2019)
Florian Schirm 36Great Oak Datenschutz
GmbH & Co. KG
Fragen?
37
Vielen Dank!
Download unter
https://great-oak-datenschutz.de
38