DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck Sehr geehrter Gast, Sie hatten beim DQS-Kundentag keine Gelegenheit, den Datenschutz-Kurzcheck durchführen zu lassen? Gerne ermöglichen wir es Ihnen – oder dem fachlich zuständigen Ansprechpartner in Ihrem Unternehmen –, diesen Service auch nach der Veranstaltung in Anspruch zu nehmen. In diesem Falle füllen Sie den Fragebogen aus und senden Ihn per Post oder per Telefax an 069 95427-404 an uns zurück. Wir benötigen dabei bitte folgende Angaben von Ihnen: _______________________________________________________________________ Vorname, Nachname des Teilnehmers am Kundentag _______________________________________________________________________ ggf. Vorname, Nachname des fachlichen Ansprechpartners Datenschutz ______________________________ ____________________________________ Telefon E-Mail Bitte beachten Sie: Wir verarbeiten Ihre Daten elektronisch, um für Sie einen unverbindlichen Datenschutz-Check durchzuführen und Ihnen die Daten zukommen zu lassen. Anschließend werden Ihre Daten von uns datenschutzkonform vernichtet. Diese Einwilligung können Sie jederzeit widerrufen. Die Auswertung der Antworten hätten Sie gerne per Post per E-Mail. __________________________________________________________________________ Datum Unterschrift Mit freundlichen Grüßen Ihr Team der DQS-Kundentage 2010 Kurz-Check zum Datenschutzmanagement entfällt teilweise nein ja Dieser Kurz-Check zum Datenschutz wendet sich an Unternehmen (keine öffentlichen Stellen). Ziel diese Checks ist es, die Verantwortlichen bezüglich der Aufgaben, die für ein Unternehmen aus dem gesetzlichen Datenschutz erwachsen, zu sensibilisieren. Die Antworten aus dem Test sind rechtlich unverbindlich. 1. Thema: Datenschutzmanagement Mit Datenschutzmanagement werden die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement ist die übergeordnete Umsetzung des Datenschutzes in einer Organisation. Gibt es im Unternehmen eine Datenschutz-Leitlinie oder -Policy, die den Mitarbeitern auch bekannt ist? Gibt es im Unternehmen Richtlinien/Betriebsvereinbarungen/Arbeitsanweisungen zum Datenschutz? Ist das Thema Datenschutz in den Unternehmensprozessen eingearbeitet? Sind Meldewege für Datenschutz- und Sicherheitsvorfälle vorhanden (Incident-Management)? 2. Thema: Verantwortlichkeit im Datenschutz Das BDSG verlangt, dass unter gewissen Voraussetzungen ein Datenschutzbeauftragter (DSB) zu bestellen ist. Der DSB hat primär eine beratende Funktion und wirkt auf die Umsetzung des Datenschutzes hin. Bei der Umsetzung des Datenschutzes muss er durch diverse Personen im Unternehmen unterstützt werden (Unternehmensleitung, Abteilungsleiter, IT-Sicherheitsberater, Administrator, Benutzer etc.). Damit er wirkungsvoll unterstützt wird, müssen auch hier Verantwortlichkeiten festgelegt werden. Ist ein Datenschutzbeauftragter schriftlich bestellt worden? Ist im Unternehmen eine Stellenbeschreibung für den Datenschutzbeauftragten vorhanden? Sind die Verantwortlichkeiten für weitere involvierte Mitarbeiter klar geregelt (z.B. Abteilungsleiter, Vorgesetzte, EDV-Abteilung)? 3. Thema: Prüfung der rechtlichen Rahmenbedingungen Der Gesetzgeber untersagt Unternehmen prinzipiell die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, außer, es liegt eine Einwilligung des Betroffenen vor oder ein Gesetz oder das BDSG erlauben oder ordnen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten an. Ist bekannt, in welchen Prozessen personenbezogene Daten erhoben, verarbeitet und genutzt werden? Ist bekannt, an wen personenbezogene Daten weitergegeben werden (interne Stellen und auch Dritte)? Wurde die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten vorab auf ihre Rechtmäßigkeit geprüft? © Dipl.-Ök. Stephan Rehfeld Seite 1/4 entfällt teilweise nein ja Kurz-Check zum Datenschutzmanagement 4. Thema: Technisch-organisatorische Maßnahmen Der Datenschutz in einem Unternehmen kann nur umgesetzt werden, wenn alle Beteiligten über den Datenschutz unterrichtet sind und datenschutzkonform handeln. Ein wichtiger Baustein ist aber auch, dass der Einsatz von Technik datenschutzkonform geplant und umgesetzt wird. Gibt es im Unternehmen Risiko- oder Gefährdungsanalysen zum Einsatz von Technik bei der Verarbeitung von personenbezogenen Daten? Gibt es einen Projektplan zur Ergreifung von Maßnahmen, um den Risiken- oder Gefährdungen bei der elektronischen Verarbeitung von personenbezogenen Daten entgegenzuwirken? Gibt es im Unternehmen Arbeitsanweisungen, Richtlinien, Betriebsvereinbarungen, die den Technikeinsatz bei der Verarbeitung von personenbezogenen Daten regeln (z.B. Richtlinie zur PC-Nutzung, Richtlinie zur Datenträgervernichtung, Richtlinie zum Einsatz von Laptops und Smartphones)? 5. Thema: Unterrichtung und Verpflichtung der Mitarbeiter auf das Datengeheimnis Der Mitarbeiter ist ein wichtiger Baustein, damit ein Unternehmen datenschutzkonform arbeitet. Daher schreibt der Gesetzgeber vor, dass alle Mitarbeiter über das Datengeheimnis gemäß § 5 BDSG unterrichtet und anschließend verpflichtet werden müssen. Sind alle Mitarbeiter über das Datengeheimnis arbeitsplatzspezifisch unterrichtet worden? Kann das Unternehmen nachweisen, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet worden sind? Ist sichergestellt, dass neu eingestellte Mitarbeiter über das Datengeheimnis unterrichtet und darauf verpflichtet werden? 6. Thema: Wahrung der Rechte der Betroffenen Betroffene verfügen über Rechte, die auch durch Vertrag nicht ausgeschlossen werden können. Unternehmen müssen die Rechte der Betroffenen wahren (Auskunft, Korrektur, Sperrung, Löschung, Verfahrensverzeichnis für jedermann). Ist gewährleistet, dass Anfragen von Betroffenen auf Auskunft, Berichtigung, Sperrung und Löschung erfüllt werden können? Ist gewährleistet, dass das „Verfahrensverzeichnis für jedermann“ anfragenden Personen in einem angemessenen Zeitraum zur Verfügung gestellt werden kann? 7. Thema: Meldepflicht und Verfahrensverzeichnisse Gewisse Verarbeitungen müssen vor Inbetriebnahme der zuständigen Aufsichtsbehörde gemeldet werden. Ferner müssen Unternehmen sog. Verfahrensverzeichnisse führen. Wurde/wird der Meldepflicht nachgekommen? Liegen vollständig aktuelle Verfahrensverzeichnisse vor und werden die Verzeichnisse weitergeführt? 8. Thema: Datenschutzrechtliche Freigabe Werden personenbezogene Daten in Testsystemen verwendet, sind datenschutzrechtliche Anforderungen zu erfüllen. Der DSB ist frühzeitig einzubinden. © Dipl.-Ök. Stephan Rehfeld Ist die frühzeitige Einbindung des DSB bei Verwendung von personenbezogenen Daten in Testsystemen sichergestellt? Seite 2/4 entfällt teilweise nein ja Kurz-Check zum Datenschutzmanagement 9. Thema: Abrufverfahren Werden personenbezogene Daten für Dritte zum Abruf bereitgehalten, so stellen diese Abrufverfahren (z.B. Fernwartung) eine besondere datenschutzrechtliche Gefährdung dar und es müssen spezielle gesetzliche Regelungen beachtet werden (z.B. § 10 BDSG). Sind im Unternehmen für alle Abrufverfahren die rechtlichen Regelungen umgesetzt und die Beteiligten über diese Regelungen informiert worden? 10. Thema: Auftragsdatenverarbeitung Häufig werden personenbezogene Daten nicht durch die verantwortliche Stelle (Unternehmen) selbst, sondern durch Dritte erhoben, verarbeitet oder genutzt (Form des Outsourcings). Das Unternehmen bedient sich bei der technischen Ausführung der Aufgabe eines Dienstleisters. Beispiele hierfür können Inkassounternehmen, Marktforscher, Adressdienstleister, Call Center oder auch externe Auditoren sein. Sind alle Auftragsdatenverarbeitungen im Unternehmen identifiziert worden (Unternehmen als Auftraggeber und Auftragnehmer)? Liegen zu allen Auftragsdatenverarbeitungen schriftliche Verträge vor und entsprechen diese Verträge dem aktuellen Rechtsstand (Unternehmen als Auftraggeber)? Sind im Unternehmen datenschutzkonforme Musterverträge vorhanden (Unternehmen als Auftraggeber)? Gibt es Prüfpläne für bestehende Auftragsdatenverarbeitungen (Unternehmen als Auftraggeber)? 11. Thema: Regelung der Verknüpfung und Verwendung von personenbezogenen Daten Standardmäßig wird der Nutzer mit Hilfe von Bildschirmmasken für die Datenerfassung und -auswertung durch eine Software geführt. Dennoch können personenbezogene Daten exportiert und mit Hilfe von freien Abfragesprachen ausgewertet werden (z.B. SQL). Dies stellt aus Sicht des Datenschutzes eine besondere Gefährdung dar. Ist der Einsatz von freien Abfragesprachen (z.B. SQL) auf das erforderliche Minimum beschränkt und geregelt? 12. Thema: Dokumentation der datenschutzrechtlichen Zulässigkeit Vor Einsatz von Hard- und Software zur Verarbeitung von personenbezogenen Daten muss die datenschutzrechtliche Zulässigkeit geprüft werden. Wird vor dem Einsatz neuer Hard- und Software eine Gefährdungsanalyse durchgeführt? Wird der DSB bei Vorhaben automatisierter Verarbeitung personenbezogener Daten frühzeitig hinzugezogen? Wird die ordnungsgemäße Anwendung bestehender EDV-Systeme gewährleistet? © Dipl.-Ök. Stephan Rehfeld Seite 3/4 entfällt teilweise nein ja Kurz-Check zum Datenschutzmanagement 13. Thema: Datenschutz im laufenden Betrieb Die Aufrechterhaltung des Datenschutzes im laufenden Betrieb muss kontrolliert werden. Auf der einen Seite hat der DSB Kontrollaufgaben, auf der anderen Seite soll die Arbeit des DSB kontrolliert werden (Revision). Wird das Datenschutzmanagement regelmäßig einer Revision unterworfen? Wird die IT-Sicherheit regelmäßig einer Revision unterworfen? Führt der DSB regelmäßig folgende Kontrollen durch: Kontrolle der Einhaltung der Rechtsgrundlagen und Zweckbestimmung? Kontrolle der Wahrung der Rechte der Betroffenen? Kontrolle der Unterrichtung und Verpflichtung der Mitarbeiter? Kontrolle der Aktualität der Verfahrens- und Geräteverzeichnisse? 14. Thema: Datenschutzgerechte Löschung und Vernichtung Zur Einhaltung des gesetzlichen Datenschutzes ist es wichtig, dass Datenträger und Unterlagen vernichtet und nicht wiederhergestellt werden können. Sind Regelungen zu Löschung/Vernichtung von Datenträgern vorhanden? Ist gewährleistet, dass alle Datenträger und Unterlagen vernichtet werden? Gibt es Regelungen zur Einhaltung der gesetzlichen Aufbewahrungsfristen? © Dipl.-Ök. Stephan Rehfeld Seite 4/4