Frau Bettina Ilgner

Werbung
DQS GmbH
Deutsche Gesellschaft zur Zertifizierung
von Managementsystemen
- Frau Bettina Ilgner August-Schanz-Straße 21
60433 Frankfurt am Main
Achtung! Auftragsdatenverarbeitung
Datenschutz-Kurzcheck
Sehr geehrter Gast,
Sie hatten beim DQS-Kundentag keine Gelegenheit, den Datenschutz-Kurzcheck
durchführen zu lassen? Gerne ermöglichen wir es Ihnen – oder dem fachlich zuständigen
Ansprechpartner in Ihrem Unternehmen –, diesen Service auch nach der Veranstaltung in
Anspruch zu nehmen. In diesem Falle füllen Sie den Fragebogen aus und senden Ihn per
Post oder per Telefax an 069 95427-404 an uns zurück. Wir benötigen dabei bitte folgende
Angaben von Ihnen:
_______________________________________________________________________
Vorname, Nachname des Teilnehmers am Kundentag
_______________________________________________________________________
ggf. Vorname, Nachname des fachlichen Ansprechpartners Datenschutz
______________________________
____________________________________
Telefon
E-Mail
Bitte beachten Sie: Wir verarbeiten Ihre Daten elektronisch, um für Sie einen
unverbindlichen Datenschutz-Check durchzuführen und Ihnen die Daten zukommen zu
lassen. Anschließend werden Ihre Daten von uns datenschutzkonform vernichtet.
Diese Einwilligung können Sie jederzeit widerrufen.
Die Auswertung der Antworten hätten Sie gerne
per Post
per E-Mail.
__________________________________________________________________________
Datum
Unterschrift
Mit freundlichen Grüßen
Ihr Team der DQS-Kundentage 2010
Kurz-Check zum
Datenschutzmanagement
entfällt
teilweise
nein
ja
Dieser Kurz-Check zum Datenschutz wendet sich an Unternehmen (keine öffentlichen Stellen). Ziel diese Checks ist es, die
Verantwortlichen bezüglich der Aufgaben, die für ein Unternehmen aus dem gesetzlichen Datenschutz erwachsen, zu sensibilisieren. Die Antworten aus dem Test sind rechtlich unverbindlich.
1. Thema: Datenschutzmanagement
Mit Datenschutzmanagement werden die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement ist die übergeordnete Umsetzung des Datenschutzes in einer
Organisation.
Gibt es im Unternehmen eine Datenschutz-Leitlinie oder -Policy, die den Mitarbeitern auch
bekannt ist?
Gibt es im Unternehmen Richtlinien/Betriebsvereinbarungen/Arbeitsanweisungen zum
Datenschutz?
Ist das Thema Datenschutz in den Unternehmensprozessen eingearbeitet?
Sind Meldewege für Datenschutz- und Sicherheitsvorfälle vorhanden (Incident-Management)?
2. Thema: Verantwortlichkeit im Datenschutz
Das BDSG verlangt, dass unter gewissen Voraussetzungen ein Datenschutzbeauftragter (DSB) zu bestellen ist. Der DSB hat
primär eine beratende Funktion und wirkt auf die Umsetzung des Datenschutzes hin. Bei der Umsetzung des Datenschutzes
muss er durch diverse Personen im Unternehmen unterstützt werden (Unternehmensleitung, Abteilungsleiter, IT-Sicherheitsberater, Administrator, Benutzer etc.). Damit er wirkungsvoll unterstützt wird, müssen auch hier Verantwortlichkeiten festgelegt
werden.
Ist ein Datenschutzbeauftragter schriftlich bestellt worden?
Ist im Unternehmen eine Stellenbeschreibung für den Datenschutzbeauftragten vorhanden?
Sind die Verantwortlichkeiten für weitere involvierte Mitarbeiter klar geregelt (z.B. Abteilungsleiter, Vorgesetzte, EDV-Abteilung)?
3. Thema: Prüfung der rechtlichen Rahmenbedingungen
Der Gesetzgeber untersagt Unternehmen prinzipiell die Erhebung, Verarbeitung und Nutzung personenbezogener Daten,
außer, es liegt eine Einwilligung des Betroffenen vor oder ein Gesetz oder das BDSG erlauben oder ordnen die Erhebung,
Verarbeitung oder Nutzung von personenbezogenen Daten an.
Ist bekannt, in welchen Prozessen personenbezogene Daten erhoben, verarbeitet und
genutzt werden?
Ist bekannt, an wen personenbezogene Daten weitergegeben werden (interne Stellen und
auch Dritte)?
Wurde die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten vorab auf
ihre Rechtmäßigkeit geprüft?
© Dipl.-Ök. Stephan Rehfeld
Seite 1/4
entfällt
teilweise
nein
ja
Kurz-Check zum
Datenschutzmanagement
4. Thema: Technisch-organisatorische Maßnahmen
Der Datenschutz in einem Unternehmen kann nur umgesetzt werden, wenn alle Beteiligten über den Datenschutz unterrichtet
sind und datenschutzkonform handeln. Ein wichtiger Baustein ist aber auch, dass der Einsatz von Technik datenschutzkonform
geplant und umgesetzt wird.
Gibt es im Unternehmen Risiko- oder Gefährdungsanalysen zum Einsatz von Technik bei
der Verarbeitung von personenbezogenen Daten?
Gibt es einen Projektplan zur Ergreifung von Maßnahmen, um den Risiken- oder Gefährdungen bei der elektronischen Verarbeitung von personenbezogenen Daten
entgegenzuwirken?
Gibt es im Unternehmen Arbeitsanweisungen, Richtlinien, Betriebsvereinbarungen, die den
Technikeinsatz bei der Verarbeitung von personenbezogenen Daten regeln (z.B. Richtlinie
zur PC-Nutzung, Richtlinie zur Datenträgervernichtung, Richtlinie zum Einsatz von Laptops
und Smartphones)?
5. Thema: Unterrichtung und Verpflichtung der Mitarbeiter auf das Datengeheimnis
Der Mitarbeiter ist ein wichtiger Baustein, damit ein Unternehmen datenschutzkonform arbeitet. Daher schreibt der Gesetzgeber
vor, dass alle Mitarbeiter über das Datengeheimnis gemäß § 5 BDSG unterrichtet und anschließend verpflichtet werden müssen.
Sind alle Mitarbeiter über das Datengeheimnis arbeitsplatzspezifisch unterrichtet worden?
Kann das Unternehmen nachweisen, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet worden sind?
Ist sichergestellt, dass neu eingestellte Mitarbeiter über das Datengeheimnis unterrichtet
und darauf verpflichtet werden?
6. Thema: Wahrung der Rechte der Betroffenen
Betroffene verfügen über Rechte, die auch durch Vertrag nicht ausgeschlossen werden können. Unternehmen müssen die
Rechte der Betroffenen wahren (Auskunft, Korrektur, Sperrung, Löschung, Verfahrensverzeichnis für jedermann).
Ist gewährleistet, dass Anfragen von Betroffenen auf Auskunft, Berichtigung, Sperrung und
Löschung erfüllt werden können?
Ist gewährleistet, dass das „Verfahrensverzeichnis für jedermann“ anfragenden Personen
in einem angemessenen Zeitraum zur Verfügung gestellt werden kann?
7. Thema: Meldepflicht und Verfahrensverzeichnisse
Gewisse Verarbeitungen müssen vor Inbetriebnahme der zuständigen Aufsichtsbehörde gemeldet werden. Ferner müssen
Unternehmen sog. Verfahrensverzeichnisse führen.
Wurde/wird der Meldepflicht nachgekommen?
Liegen vollständig aktuelle Verfahrensverzeichnisse vor und werden die Verzeichnisse
weitergeführt?
8. Thema: Datenschutzrechtliche Freigabe
Werden personenbezogene Daten in Testsystemen verwendet, sind datenschutzrechtliche Anforderungen zu erfüllen. Der DSB
ist frühzeitig einzubinden.
© Dipl.-Ök. Stephan Rehfeld
Ist die frühzeitige Einbindung des DSB bei Verwendung von personenbezogenen Daten in
Testsystemen sichergestellt?
Seite 2/4
entfällt
teilweise
nein
ja
Kurz-Check zum
Datenschutzmanagement
9. Thema: Abrufverfahren
Werden personenbezogene Daten für Dritte zum Abruf bereitgehalten, so stellen diese Abrufverfahren (z.B. Fernwartung) eine
besondere datenschutzrechtliche Gefährdung dar und es müssen spezielle gesetzliche Regelungen beachtet werden (z.B. § 10
BDSG).
Sind im Unternehmen für alle Abrufverfahren die rechtlichen Regelungen umgesetzt und
die Beteiligten über diese Regelungen informiert worden?
10. Thema: Auftragsdatenverarbeitung
Häufig werden personenbezogene Daten nicht durch die verantwortliche Stelle (Unternehmen) selbst, sondern durch Dritte
erhoben, verarbeitet oder genutzt (Form des Outsourcings). Das Unternehmen bedient sich bei der technischen Ausführung der
Aufgabe eines Dienstleisters. Beispiele hierfür können Inkassounternehmen, Marktforscher, Adressdienstleister, Call Center
oder auch externe Auditoren sein.
Sind alle Auftragsdatenverarbeitungen im Unternehmen identifiziert worden (Unternehmen
als Auftraggeber und Auftragnehmer)?
Liegen zu allen Auftragsdatenverarbeitungen schriftliche Verträge vor und entsprechen
diese Verträge dem aktuellen Rechtsstand (Unternehmen als Auftraggeber)?
Sind im Unternehmen datenschutzkonforme Musterverträge vorhanden (Unternehmen als
Auftraggeber)?
Gibt es Prüfpläne für bestehende Auftragsdatenverarbeitungen (Unternehmen als Auftraggeber)?
11. Thema: Regelung der Verknüpfung und Verwendung von personenbezogenen Daten
Standardmäßig wird der Nutzer mit Hilfe von Bildschirmmasken für die Datenerfassung und -auswertung durch eine Software
geführt. Dennoch können personenbezogene Daten exportiert und mit Hilfe von freien Abfragesprachen ausgewertet werden
(z.B. SQL). Dies stellt aus Sicht des Datenschutzes eine besondere Gefährdung dar.
Ist der Einsatz von freien Abfragesprachen (z.B. SQL) auf das erforderliche Minimum
beschränkt und geregelt?
12. Thema: Dokumentation der datenschutzrechtlichen Zulässigkeit
Vor Einsatz von Hard- und Software zur Verarbeitung von personenbezogenen Daten muss die datenschutzrechtliche Zulässigkeit geprüft werden.
Wird vor dem Einsatz neuer Hard- und Software eine Gefährdungsanalyse durchgeführt?
Wird der DSB bei Vorhaben automatisierter Verarbeitung personenbezogener Daten
frühzeitig hinzugezogen?
Wird die ordnungsgemäße Anwendung bestehender EDV-Systeme gewährleistet?
© Dipl.-Ök. Stephan Rehfeld
Seite 3/4
entfällt
teilweise
nein
ja
Kurz-Check zum
Datenschutzmanagement
13. Thema: Datenschutz im laufenden Betrieb
Die Aufrechterhaltung des Datenschutzes im laufenden Betrieb muss kontrolliert werden. Auf der einen Seite hat der DSB
Kontrollaufgaben, auf der anderen Seite soll die Arbeit des DSB kontrolliert werden (Revision).
Wird das Datenschutzmanagement regelmäßig einer Revision unterworfen?
Wird die IT-Sicherheit regelmäßig einer Revision unterworfen?
Führt der DSB regelmäßig folgende Kontrollen durch:
Kontrolle der Einhaltung der Rechtsgrundlagen und Zweckbestimmung?
Kontrolle der Wahrung der Rechte der Betroffenen?
Kontrolle der Unterrichtung und Verpflichtung der Mitarbeiter?
Kontrolle der Aktualität der Verfahrens- und Geräteverzeichnisse?
14. Thema: Datenschutzgerechte Löschung und Vernichtung
Zur Einhaltung des gesetzlichen Datenschutzes ist es wichtig, dass Datenträger und Unterlagen vernichtet und nicht wiederhergestellt werden können.
Sind Regelungen zu Löschung/Vernichtung von Datenträgern vorhanden?
Ist gewährleistet, dass alle Datenträger und Unterlagen vernichtet werden?
Gibt es Regelungen zur Einhaltung der gesetzlichen Aufbewahrungsfristen?
© Dipl.-Ök. Stephan Rehfeld
Seite 4/4
Herunterladen