Datenschutz bei der Datenverarbeitung außer Haus

Datenschutz bei der Datenverarbeitung außer Haus
Was passiert, wenn Daten rausgehen?
Worauf ihr achten müsst?
Vortrag Jürgen Fickert, TBS NRW e.V., im Rahmen
28. SAP/NT-Konferenz
03. - 05. November 2015
Crowne Plaza Hannover
© TBS NRW 2015
Vortrag Daten außer Haus
1
TBS Technologieberatungsstelle beim DGB NRW e. V.
Die TBS NRW e.V. wird
von den Gewerkschaften
in NRW sowie dem
Ministerium für Arbeit,
Integration und Soziales
getragen und
handelt im Rahmen eines
Landesauftrages.
35 Beschäftigte arbeiten
in den Regionalstellen
Düsseldorf, Dortmund und
Bielefeld
© TBS NRW 2015
Bielefeld
Dortmund
Düsseldorf
Vortrag SAP/NT-Konferenz; außer Haus
Ich darf mich kurz vorstellen
Arbeitsschwerpunkte
Jürgen
Fickert
Seit 1983 bei der TBS NRW
beschäftigt
© TBS NRW 2015
Alle EDV-Themen, z. B.
■Gestaltung von SAP-Programmen
■Überwachung bei Internet, E-Mail,
■EDV-Rahmenbetriebsvereinbarung
Wirtschaftlichkeit und
Beschäftigungssicherung
■Bewertung von Wirtschaftlichkeitsrechnungen, Bilanzen
■Vorgehen und Abwehr bei
Outsourcingprojekten
■Maßnahmen zur Beschäftigungssicherung
■Umgang mit Verzichtsforderungen
SAP für Betriebsräte
Praxisfälle bei „Daten außer Haus“
 Klassische Auftragsdatenverarbeitung durch externen IT-Dienstleister, z.B. SAP
 gemeinsame Datenverarbeitung in einer Unternehmensgruppe, gemeinsame




Eigentümer/Familienunternehmen
„Shared services“ - Zentralisierung z. B. FiBu, Einkauf, Personalentwicklung …
konzernweites Management von IT-Projekten, mit Personaleinsatz, -bewertung
internationale Konzerne mit Anwendungen wie Wissensdaten-banken,
Facebook, Beschäftigtenprofilen
Ansätze zur konzernweiten Personalentwicklungs und -einsatzplanung, z.B. für
F&E-Beschäftigte
© TBS NRW 2015
Daten außer Haus
4
Vortragsaufbau
•
•
•
•
Zulässigkeit der Datenverarbeitung nach BDSG
Anforderungen an die Auftragsdatenverarbeitung
Regelungen bei der Datenübermittlung
Anforderungen bei der Datenübermittlung ins Ausland Safe Habor gekippt
• Handlungsmöglichkeiten des Betriebsund Personalrats
© TBS NRW 2015
Seminar Daten außer Haus
5
Auswirkungen der externen Datenverarbeitung und von
Outsourcing - viel mehr als nur Datenschutz
• Verlagerung und Abbau von Arbeitsplätzen,
Rationalisierung
• Änderung von Arbeitsabläufen,
Geschäftsprozessen, Umstrukturierungen
• Unterstützung der Nutzer bei Problemen, Hotline,
Software-Ergonomie, aber auch
• kurzfristig zusätzliche Auswertungen
• Qualifizierungsmaßnahmen
• verbleibende IT-Kernkompetenz im Unternehmen
• Innovation und Investitionen im Unternehmen
© TBS NRW 2015
Daten außer Haus
6
Zulässigkeit der Verarbeitung und
Übermittlung nach …







§ 4 Abs. 1 BDSG eine andere Rechtsvorschrift, ein Gesetz
§ 32 BDSG Verarbeitung von Beschäftigtendaten
§ 28 BDSG - eigene oder andere Geschäftszwecke
als freiwillige Einwilligung nach § 4a BDSG;
auch nach Arbeitsvertrag oder
für besondere Arten von Daten nach § 28 (5-6) BDSG
im Rahmen einer „anderen Rechtsvorschrift“ nach § 4 Abs. 1 BDSG, z.B. einer
Betriebsvereinbarung
Quelle Bild: wikipedia.de
© TBS NRW 2015
Seminar Daten außer Haus
7
Zulässigkeit der Datenerhebung, -verarbeitung und nutzung nach § 4(1) BDSG
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit
• das BDSG selbst oder
• eine andere Rechtsvorschrift dies erlaubt oder
anordnet oder
• der Betroffene eingewilligt hat.
© TBS NRW 2015
Seminar Daten außer Haus
8
§ 32 Datenerhebung, -verarbeitung und -nutzung für
Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten eines Beschäftigten dürfen für
Zwecke des Beschäftigungsverhältnisses erhoben,
verarbeitet oder genutzt werden, wenn dies für die
Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung
erforderlich ist.
9
© TBS NRW 2015
Qualitätsstandards beim Datenschutz
• Transparenz der DV; Verfahrensregister als
Grunddokumentation
• Datenschutzkonzepte mit angemessenen
technischen und organisatorischen Maßnahmen (§ 9
BDSG); Audit; Schulungen, Datengeheimnis
• Aufgaben des Datenschutzbeauftragten DSB
• Regelungen bei der „externen“ Datenverarbeitung
• Rechte der Betroffenen
• Allgemeine Rechtskriterien
© TBS NRW 2015
Seminar Daten außer Haus
10
Fälle der Datenverarbeitung „außer Haus“
© TBS NRW 2015
Seminar Daten außer Haus
11
§11
Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten im Auftrag (1)
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die
Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften
über den Datenschutz verantwortlich.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der
Eignung der von ihm getroffenen technischen und organisatorischen
Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu
erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1.der Gegenstand und die Dauer des Auftrags,
2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung,
Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis
der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen
Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers,
insbesondere die von ihm vorzunehmenden Kontrollen,
© TBS NRW 2015
Seminar Daten außer Haus
12
§11 Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten im Auftrag (2)
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm
beschäftigten Personen gegen Vorschriften zum Schutz
personenbezogener Daten oder gegen die im Auftrag getroffenen
Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber
gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim
Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
… Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung
der beim Auftragnehmer getroffenen technischen und
organisatorischen Maßnahmen zu überzeugen. Das
Ergebnis ist zu dokumentieren. …
© TBS NRW 2015
Seminar Daten außer Haus
13
Bedingungen bei Auftragsdatenverarbeitung ADV
 ADV erfolgt für eigene Zwecke des Unternehmens / der






Geschäftsführung GF
GF bleibt „Herr der Daten“, verantwortliche Stelle
GF hat Überwachungspflichten
Es gibt kein „Privileg“ innerhalb von Konzernen oder
Unternehmensgruppen
Angemessene Dokumentation (Beteiligte; Art / Umfang der
Kontrollen; Feststellungen; Maßnahmen; Nachhaltigkeit, …)
ADV ist nur in EU- und EWR-Staaten
zulässig! (vgl. § 3 (8) BDSG; sonst
Übermittlung)
§ 10 BDSG Muster auch für DÜ
© TBS NRW 2015
Daten außer Haus
14
Vergleich
Auftragsdatenverarbeitung
Funktionsübertragung/Datenübermittlung
 Weitgehend weisungsgebundenes
Arbeiten des Auftragnehmers
 festgelegte Zwecke; Nutzungsverbot der Daten zu anderen
Zwecken
 der Auftraggeber kontrolliert
 IT-Dienstleister ist verlängerter
Arm des Auftraggebers, nicht
Dritter
 § 11 BDSG schreibt Inhalte eines
Vertrages mit dem Datenempfänger
vor.
 Datennutzung für eigene Aufgaben
und Zwecke (des Datenempfängers)
 fachliche Spielräume und
Entscheidungsbefugnis
 Datenempfänger ist verantwortliche Stelle; Dritter
 keine (direkte) rechtliche
Beziehung zu dem Beschäftigten
des Stammunternehmens
 Gesetzlich ist kein Vertrag zur
Datenübermittlung vorgeschrieben.
© TBS NRW 2015
Seminar Daten außer Haus
15
Datenübermittlung nach §3 (4) BDSG
Übermitteln DÜ ist das Bekanntgeben gespeicherter oder
durch Datenverarbeitung gewonnener personenbezogener
Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene
Daten einsieht oder abruft.
•
•
•
•
•
Daten liegen bereits in elektronischer Form/Datei vor
Bekanntgabe: Auch durch Gespräch, Fax, Papierlisten,…
Veröffentlichung ist keine Datenübermittlung
Auftragsdatenverarbeitung nach § 11 BDSG ist keine DÜ
Automatisches Abrufverfahren nach § 10 BDSG: schriftliche
Dokumentation mit Zweck, Empfänger,…
© TBS NRW 2015
Seminar Daten außer Haus
16
§ 32 (1) Datenverarbeitung (Übermittlung) und nutzung für Zwecke des Beschäftigungsverhältnisses
Personenbezogene Daten eines Beschäftigten dürfen für
Zwecke des Beschäftigungsverhältnisses erhoben,
verarbeitet oder genutzt werden, wenn dies für die …
Begründung, … Durchführung oder Beendigung des
Beschäftigungsverhältnisses erforderlich ist.
Beispiele? Praxis?
17
© TBS NRW 2015
§ 32 BDSG Datenerhebung, -verarbeitung
und –nutzung für eigene Zwecke
Zulässig ist die Übermittlung an andere Unternehmen oder im
Konzern für Zwecke des Beschäftigungsverhältnisses
• z. B. im Rahmen von Kunden- oder Lieferantenaufträgen
• erforderliche Daten bei Produktions-/ Logistikprozessen
mehrerer Unternehmen
• Daten im Rahmen von Zeit-/Leiharbeit
• Daten wie Namen, E-Mail-Adressen, …
Zielunternehmen darf sie nur für diese
Zwecke nutzen!
© TBS NRW 2015
Seminar Datenschutz
18
Datensicherheitsmaßnahme bei DÜ für
eigene Geschäftszwecke (Beispiele)
•
•
•
•
•
•
•
Es gibt ein konzernweites Datenschutzkonzepts
Konzernweiter Datenschutzbeauftragter
Transparenz des Verarbeitungsverlaufs und Datenflusses,
Dokumentation
Der Arbeitgeber bleibt für die Betroffenen verantwortlicher
Ansprechpartner für dessen Rechte
Es werden zusätzliche Datenschutzverträge (z.B. in Anlehnung
ADV-Vertrag) geschaffen
Zertifizierung nach ISO 27001/2/18 oder
bevorzugt nach BSI-Standard-100-2 zur
IT-Grundschutz-Vorgehensweise (der
ISO 27001/2 abdeckt)
Eine Betriebsvereinbarung wird
abgeschlossen
© TBS NRW 2015
Seminar Daten außer Haus
19
Zulässigkeit der Datenerhebung, -verarbeitung und nutzung nach § 4(1) BDSG
„Die Erhebung, Verarbeitung und Nutzung
personen-bezogener Daten sind nur zulässig,
soweit das BDSG oder eine andere
Rechtsvorschrift dies erlaubt oder anordnet … „
Andere Rechtsvorschrift:
Freiwillige Betriebsvereinbarung
© TBS NRW 2015
Seminar Datenschutz
20
Fälle der Verarbeitung von Beschäftigtendaten im
Konzern / in Unternehmesgruppen
1. Auftragsdatenverarbeitung nach §11 BDSG: Arbeitgeber
bleibt Herr der Daten; Konzern darf z.B. keine Weisungen zur
Personalpolitik und Personalarbeit erteilen
2. Übermittlung nach § 32 (1) BDSG im Rahmen der
Zweckbestimmung eines Beschäftigungsverhältnisses …
3. Übermittlung nach §28(1)2 oder §28(3)1BDSG:
Interessenabwägung, zugunsten des Beschäftigten!
4. Einwilligung des Beschäftigten nach §4(1) BDSG: Nein
5. Betriebs- oder Dienstvereinbarung nach §4(1) BDSG !
6. Schriftlicher Arbeitsvertrag mit konkretem Konzernbezug
7. Sonderfälle bei der DÜ ins Ausland, an „Dritte“
© TBS NRW 2015
Seminar Daten außer Haus
21
Der Datentransfer ins Ausland wird
datenschutzrechtlich in 2 Stufen geprüft
1. Der Datentransfers muss rechtlich zulässig sein
2. Ist die Zulässigkeit nach der 1. Stufe gegeben, wird in der 2.
Stufe geprüft, ob ein Datentransfer in das jeweilige Land
zulässig ist. Hierbei wird grob nach Staaten unterschieden
•
EU, EWR
•
Sichere Staaten mit angemessenem Datenschutzniveau
•
Staaten mit unangemessenem Datenschutzniveau
© TBS NRW 2015
Seminar Daten außer Haus
22
Fälle der DÜ ins Ausland
© TBS NRW 2015
Seminar Daten außer Haus
23
Vertragsformen für Staaten
ohne „angemessenes Datenschutzniveau“
1. EU-Standardverträge
Die EU stellt Musterverträge zur Verfügung, die ausreichende Garantien für die Persönlichkeitsrechte
gewährleisten sollen.
2. Individualvertrag
Erfordert die Genehmigung durch die zuständige Aufsichtsbehörde.
3. Binding Corporate Rules (BCR)
Verbindliche Konzernregelungen zum Datenschutz
© TBS NRW 2015
Seminar Daten außer Haus
24
Was tun bei der DÜ in die USA?
6. Darf mein Unternehmen überhaupt noch Daten in die USA übermitteln?
Die Datenschutzaufsichtsbehörden in Europa und in Deutschland sind schon seit
gestern in einem engen Austausch und werden voraussichtlich sehr schnell erste
Vorgaben machen. Dabei wird es sicher auch Übergangsfristen geben, die aber
nicht allzu lange sein dürfen, da materiell seit gestern klar ist, dass die
Datenübermittlungen per Safe Harbor unzulässig sind.
7. Wonach muss ich als Betriebsrat fragen, worauf ist besonders zu achten?
Betriebsräte von Safe-Harbor-Unternehmen sollten einen Plan von der
Unternehmens-leitung einfordern, in welcher Zeit welche Schritte unternommen
werden sollen, um die unzulässigen Datenübermittlungen in die USA zu stoppen
oder nachzubessern. Finden Standardvertragsklauseln oder Binding Corporate
Rules - BCRs - Anwendung, so sollte kurzfristig eine Stellungnahme eingefordert
werden, inwieweit diese noch mit der EuGH-Rechtsprechung vereinbar sind.
Quelle www.bund-verlag.de; Stichworte, fragen-zum-safe-harbor
Thilo Weichert, Datenschutzexperte und Fachautor beim Bund-Verlag
© TBS NRW 2015
Seminar Daten außer Haus
25
Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel
© TBS NRW 2015
Vortrag Daten außer Haus
26
© TBS NRW 2015
Vortrag Daten außer Haus
27
… und die Rechte des Betriebsrats
§ 80 (1) Allgemeine Aufgaben
… darüber zu wachen, dass die zugunsten der Arbeitnehmer
geltenden Gesetze, … durchgeführt werden
§ 87 Mitbestimmungsrechte
(1) Der Betriebsrat hat … in folgenden Angelegenheiten
mitzubestimmen:
6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt
sind, das Verhalten oder die
Leistung der Arbeitnehmer zu überwachen;
§ 94 Personalfragebogen, Beurteilungsgrundsätze
(1)Personalfragebogen bedürfen der
Zustimmung des Betriebsrats.
© TBS NRW 2015
Seminar Daten außer Haus
Leitfragen für den Betriebsrat
 Welche Qualität, welches Überwachungspotenzial





haben die (übertragenen) Daten?
Was ist die genaue Zweckbestimmung?
Wer sind die Berechtigten und Empfänger, im Konzern,
im In- und Ausland?
Sind Vorgesetzte beteiligt?
Gibt es gutes und überprüfbares Datenschutz- und sicherheitskonzept?
Handelt es sich um Überwachung oder „nur“ um ein
Datenschutzproblem?
© TBS NRW 2015
Seminar Daten außer Haus
29
TBS-Broschüre
von 10/2015
www.tbs-nrw.de
© TBS NRW 2015
Seminar Daten außer Haus
30

Download Report