Beschäftigtendatenschutz Worauf müsst ihr achten...

Jörg Schlißke

Beschäftigtendatenschutz – Worauf müsst

ihr achten? Handlungshilfen für Euch

TÜV Informationstechnik GmbH

TÜV NORD GROUP

Jörg Schlißke, LL.B.

IT Security

Business Security & Privacy

Fachstelle für Datenschutz

Telefon: +49 201 8999 – 533

Mobil: +49 160 888 – 5643

E-Mail: [email protected]

URL: www.tuvit.de

Zur Person

© TÜV Informationstechnik GmbH – TÜV NORD GROUP 1 24.10.2015

Über TÜViT

24.10.2015 © TÜV Informationstechnik GmbH – TÜV NORD GROUP 2

TÜViT – Der Trust Provider für Qualität und Sicherheit

in der Informationstechnik

Neutral, objektiv und unabhängig von:

Herstellern,

Entwicklern,

Aktionären / Mitglieder

Interessengruppen oder

Regierungen

TÜViT ist ein privatwirtschaftliches Unternehmen, das

Produkte weder entwickelt noch verkauft

Agenda

Beschäftigtendatenschutz

Personalakte

Personalaktenführung

Rechte des Betriebsrates

Rechtsprechung

Das „neue“ IT-Sicherheitsgesetz (ITSiG)




Beschäftigten-

datenschutz



Arbeitgeber

Pflicht/Interesse, Informationen über die

Beschäftigten zu erheben und zu speichern

Arbeitnehmer

Interesse an Richtigkeit, Auskunft und Korrektur

Betriebsrat

Pflicht zur Förderung der Persönlichkeitsrechte

durch Kontroll- und Einflussmöglichkeiten

Allgemeine Feststellumgen



Datenschutzrechtliche Beziehung zwischen

Arbeitgeber und Arbeitnehmer:

Individualrecht, geregelt durch das Bundes-

datenschutzgesetz (BDSG) und bereichs-

spezifische Regelungen

Nach BDSG ist die Datenverarbeitung

grundsätzlich erlaubt für:

Begründung

Durchführung oder

Beendigung Beschäftigungsverhältnisses

zur Aufdeckung von Straftaten

Allgemeine Feststellungen



Datenschutzrechtliche Beziehung zwischen

Arbeitgeber und Arbeitnehmer:

Individualrecht, geregelt durch das Bundes-

datenschutzgesetz (BDSG) und bereichs-

spezifische Regelungen

Beispiel: Grundsätze des Personalakten-

einsichtsrechts, u.a. basierend auf

Fürsorgepflicht, § 75 II BetrVG

§ 83 BetrVG (Einsicht, Gegendarstellung)

BGB (Korrekturrechte, Schadensersatz etc.)




Kontroll- und Mitbestimmungsrechte der

Mitarbeitervertretung:

Kollektivrecht, geregelt durch das

Betriebsverfassungsgesetz (BetrVG),

z.B. in Form einer Betriebsvereinbarung




Personalakte

Personalakte



Zur Personalakte zählen alle

Aufzeichnungen, die sich mit der Person

des Arbeitnehmers und dem Inhalt und

Verlauf seines Beschäftigungsverhält-

nisses befassen – unabhängig davon, in

welcher Form oder unter welcher

Bezeichnung die Daten gespeichert sind.

Personalakte










Dazu zählen:

Personalunterlagen

Entscheidungsgründe

Dienstliche Beurteilungen

Personalakte










Dazu zählen nicht!!!:

Ermittlungen

Prüfungsakten

Sicherheitsakten

Personalplanungen

Prozessakten

Zeugnisentwürfe

Vorüberlegungen zu Stellenbesetzungen

Personalakte



Transparenz

Benachrichtigung, Anhörung, Einsichtsrecht, Auskunft

Richtigkeit/Aktenwahrheit

Gegendarstellung, Korrektur, Entfernung, Löschung

Zulässigkeit/Zweckbindung


Vertraulichkeit

Zugriffs- und Übermittlungsverbot, organisatorische Abschottung




Transparenz


Die Einsichtnahme und inhaltliche Korrektur der Personalakte

durch den Betroffenen gehört zu den grundlegenden

Datenschutzrechten im Beschäftigungsverhältnis.

Sie dient der Gefahrenbegegnung des Betroffenen vor

unzutreffenden oder unzulässigen Unterlagen

(Nachteilsvorbeugung).

Sie leistet Beitrag zur Richtigkeit der gesammelten Daten.

Sie ermöglicht die Kenntnisnahme der Inhalte.




Richtigkeit/Aktenwahrheit

Gegendarstellung, Korrektur, Entfernung, Löschung

Die Personalakte muss ein zutreffendes Bild des

Beschäftigten zeigen.

Keine Aufnahme unzulässiger und damit rechtswidriger

Daten.




Zulässigkeit/Zweckbindung


Die Datenerhebung ist immer zulässig, soweit sie rechtmäßig

ist.

Wahrung des Persönlichkeitsschutzes

Schutz vor Diskriminierung

Wahrung des Grundsatzes der Verhältnismäßigkeit

Hinsichtlich der Frage, welche Daten genutzt werden dürfen,

ist auf die Grundsätze, die in der Rechtsprechung zum Frage-

recht des Arbeitgebers bzw. zur Offenbarungspflicht des

Arbeitnehmers entwickelt worden sind, zurückzugreifen.




Vertraulichkeit

Zugriffs- und Übermittlungsverbot, org. Abschottung

Der Zugriff auf Personalakten darf nur für solche Beschäftigte

und auf solche Daten eröffnet werden, soweit dies im Rahmen

der Personalverwaltung erforderlich ist.

Trennung besonders sensibler Daten (z.B. Angaben über

Abmahnungen) von anderen Daten und Vorgängen.




Der Mitarbeitervertretung steht kein generelles, von konkreten,

gesetzlich zugewiesenen Aufgaben losgelöstes Informationsrecht

durch Zugriff auf die Personalakten oder ein Personalinformations-

system zu.

Arbeitgeber und Betriebsrat müssen die freie Entfaltung der

Persönlichkeit der Mitarbeiter wahren und fördern.

(§ 75 Abs. 2 BetrVG)

Der Betriebsrat achtet darauf, dass die Personaldaten-

verarbeitungen den gesetzlichen Anforderungen genügen.

Eine daraus resultierende Betriebsvereinbarung ist betriebs-

internes Datenschutzrecht und eine spezielle Erlaubnisnorm

im Sinne von § 4 Abs. 1 BDSG.




BetrVG Inhalt der Bestimmung

§ 75 II Schutz und Förderung der freien Entfaltung der Persönlichkeit

der Arbeitnehmer

§ 80 I Kontrolle der Einhaltung sämtlicher zu Gunsten der Arbeitnehmer

bestehender Datenschutzregelungen

§ 83 Einsicht in die Personalakten

§ 90 Unterrichtung und Beratung über die Auswirkungen geplanter

neuer Techniken

§ 87 I Mitbestimmung beim Einsatz neuer Überwachungseinrichtungen;

d.h. auch bei jeder automatisierten Verarbeitung von Arbeitnehmer-

daten mit der Möglichkeit der Leistungs- und Verhaltenskontrolle

§ 94 I Mitbestimmung bei formalisierter Erhebung von Arbeitnehmerdaten

§ 94 II Mitbestimmung bei der Gestaltung von Beurteilungsgrundsätzen

§ 95 I Mitbestimmung bei der Gestaltung von Auswahlrichtlinien




OVG Münster: Urteil vom 09.05.2011 - 1 A 440/10

Das dem Betriebsrat des Betriebs, in dem der Beamte die zugewiesene

Tätigkeit ausübt zukommende Recht zur Stellungnahme beinhaltet keinen

Anspruch auf Einsicht in Personalakten und insbesondere ärztliche Gutachten.

Gleichwohl ist der Betriebsrat möglichst umfassend über die Gründe der

Zurruhesetzung zu unterrichten, soweit dadurch nicht das allgemeine

Persönlichkeitsrecht des Beamten verletzt wird.

aber!

§ 83 Einsicht in die Personalakten

(1) Der Arbeitnehmer hat das Recht, in die über ihn geführten Personalakten

Einsicht zu nehmen. Er kann hierzu ein Mitglied des Betriebsrats

hinzuziehen. Das Mitglied des Betriebsrats hat über den Inhalt der

Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im

Einzelfall nicht von dieser Verpflichtung entbunden wird.

(2) Erklärungen des Arbeitnehmers zum Inhalt der Personalakte sind dieser auf

sein Verlangen beizufügen.

Rechtsprechung

IT-Sicherheitsgesetz (ITSiG)


IT-Sicherheitsgesetz

1977 - Einbruch im Computer der US AIRFORCE

1986 - NASA Hack

1994 - Betriebsspionage bei Siemens (ICE)

2000 - „I Love You“ oder „In einem Tag um die Welt...“

2009 - Conficker, Befall u.a. bei Bundeswehr, brit. u. franz. Armee

2010 - zunehmend Industrie-Malware (Stuxnet, Duqu, Flame)

2013 - Entwendung von Kundendaten bei Vodafone und Telekom

2014 - Viren in kostenlosen Smartphone-Apps

2014 - Datendiebstahl von Sony-Servern (100 Terabyte)

2015 - Ausfall der französischen Sendergruppe TV5 Monde

2015 - Angriff auf Datennetz des Bundestags mit Spähprogramm

2015 - Cyberattacke auf Personalverwaltung der US-Regierung


24.10.2015 22 © TÜV Informationstechnik GmbH – TÜV NORD GROUP

Vorkommnisse



Häufigste IT-Sicherheitsvorfälle in Unternehmen (2014/2015) Quelle: Statista 2015

Folgeschäden durch

einen Cyberangriff Quelle: Kaspersky 2014

8%

8%

14%

16%

17%

19%

28%

Ausspähen elektr. Kommunikation

Abhören von Besprechungen

Diebstahl physicher Dokumente

Sabotage IT-Systemen, Prozesse

Diebstahl elektronischer Dokumente

Social Engineering

Diebstahl von IT- oder TK-Geräten

Kleine und mittlere

Unternehmen

33.000 €

Mittelständische

Unternehmen

41.000 €

Großunternehmen

363.000 €

Entwicklung von IT-Sicherheitsereignissen



Auftreten von Computerkriminalität nach Branchen (2014 / 2015) Quelle: Statista 2015

44%

44%

45%

48%

51%

52%

52%

58%

58%

60%

66%

68% Automobilbau

Chemie und Pharma

Finanz und Versicherungswesen

Medien und Kultur

Gesundheit

IT und Telekommunikation

Handel

Gesamt

Transport und Verkehr

Energie- und Wasserversorger

Ernährung

Maschinen- und Anlagenbau

Entwicklung von IT-Sicherheitsereignissen



Ziele des IT-Sicherheitsgesetzes

Mindestanforderungen an IT-Sicherheit für KRITIS, gesetzlich verankern

Sicherheit informationstechnischer Systeme in Deutschland verbessern

im Hinblick auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität

Aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam

begegnen

Verstärkter Schutz der Bürgerinnen und Bürger im Internet

Verbesserung der IT-Sicherheit von Unternehmen

Stärkung des BSI und des Bundeskriminalamtes (BKA)

Besondere Aufmerksamkeit gilt KRITIS-Betreibern

Unterschiedlichste Sicherheitsniveaus

Mindestniveau an IT-Sicherheit schaffen

Kommunikation mit BSI ausbauen

Vert

raulic

hkeit

Verf

ügbark

eit

Inte

gritä

t

Auth

entizität

IS-Sicherheit



Entwicklung des IT-Sicherheitsgesetzes

03/2013: Referentenentwurf des BMI

12/2013: Entwurf IT-Sicherheitskatalog der BNetzA

08/2014: Referentenentwurf I

12/2014: Beschlussfassung des Bundeskabinetts

(mehr Datenschutz für betroffene Firmen)

02/2015: Stellungnahme der Bundesregierung, Übergabe an BT

03/2015: 1. Beratung im Bundestag

04/2015: Öffentliche Anhörung

06/2015: Beschluss des Bundesrats

07/2015: Verabschiedung im Bundesrat Inkrafttreten

Ende 2015: Verordnung: Spezifizierung von KRITIS-Betreibern – 1. Korb

(Energie, IKT, Ernährung, Wasser)

Mitte 2016: Verordnung: Spezifizierung von KRITIS-Betreibern – 2. Korb

(Transport & Verkehr, Finanzen, Gesundheit)

Ende 2018: ITSiG in allen Sektoren umgesetzt



Umfang des IT-Sicherheitsgesetzes

Gesetz zur Erhöhung der Sicherheit informationstechnischer

Systeme

kein eigenständiges Gesetz, sondern Artikelgesetz

Sammlung von Änderungen und Erweiterungen bereits

bestehender Gesetze

Findet lediglich Anwendung für KRITIS-Betreiber

BSIG

AtG EnWG

TMG TKG BBesG BKAG BGebG

Änderungen und

Erweiterungen

Ge

se

tz z

ur

Stä

rku

ng

de

r S

ich

erh

eit in

de

r

Info

rma

tio

nste

chn

ik

Ato

mg

ese

tz

En

erg

iew

irts

ch

afts-

ge

se

tz

Te

lem

ed

ien

ge

setz

Te

leko

mm

un

ika

tio

ns-

ge

se

tz

Bu

nd

esb

eso

ldu

ngs-

ge

se

tz

Bu

nd

eskrim

ina

lam

t-

ge

se

tz

Bundesgebühre

n-

ge

se

tz

Bereits bestehende

Gesetze




Übersicht Kritischer Infrastrukturen (KRITIS)

Institutionen mit zentraler Bedeutung für das staatliche Gemeinwesen

Einrichtungen, Anlagen oder Teile aus verschiedenen Sektoren und Branchen

sind häufig vernetzt und voneinander abhängig Risiko: Kaskadeneffekt

Ausfälle oder Beeinträchtigungen bedeuten nachhaltig erhebliche

Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit

Schwerpunkt auf Versorgung der Gesellschaft mit wichtigen Dienstleistungen

(Top-Down)

Qualität: Dienstleistungen in KRITIS-Sektoren, relevant für Versorgungskette

Quantität: Schwellwerte innerhalb dieser Dienstleistungen werden getroffen

In Summe geschätzte (lt. ITSiG) 2.000 KRITIS-Betreiber

Ende 2015 soll BMI mit Rechtsverordnung konkrete Abgrenzungen der

KRITIS-Betreiber genauer festlegen

Outsourcing schützt nicht vor KRITIS-Status!



Übersicht Kritischer Infrastrukturen (KRITIS)



Beispiel zur Identifikation relevanter KRITIS-Anlagen

KRITIS-Sektor: Energie

Branche / Dienstleistung Prozessschritte Anlagentypen

Stromversorgung Erzeugung Kraftwerke, dezentrale

Energieerzeugungsanlagen

Übertragung Übertragungsnetze,

Strombörsen,

Speicherkraftwerke

Verteilung Verteilnetze,

Stromanschlüsse

Gasversorgung Förderung Gasaufbereitungsanlagen

Transport Ferngasnetze, Speicher,

Börsen

Verteilung Verteilnetze, Anschlüsse



Nicht erfasste KRITIS-Anlagen

Von der Anwendbarkeit (§§ 8a und 8b) ausgeschlossen

„…die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die

mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind“

Kleinstunternehmen i. S. d. Empfehlung 2003/361/EG der EU-Kommission

(< 10 Mitarbeiter, < 2 Mio. € Jahresumsatz bzw. Jahresbilanzsumme)

Betreiber öffentlicher TK-Netze oder öffentlich zugänglicher TK-Dienste

Sicherheitskonzept [§ 109 TKG-E]

Betreiber von Energieversorgungsnetzen oder Energieanlagen i. S. d.

EnWG IT-Sicherheitskatalog [§ 11 (1b) EnWG-E]

Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes

Leitfaden für Sicherheitsüberprüfungen [§ 19a (1) AtG]

sonstige KRITIS-Betreiber mit vergleichbaren oder weitergehenden

Anforderungen ähnlich denen zu § 8b Absatz 3 bis 5 BSIG-E

Erkenntnisse des BSI werden dennoch weitergegeben



Aufgaben betroffener KRITIS-Betreiber

Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit

Nachweiserbringung über die Einhaltung durch Sicherheitsaudits

Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle

Meldung erheblicher IT-Sicherheitsvorfälle (BSI oder BNetzA)



Aufgaben betroffener KRITIS-Betreiber

Einhaltung eines angemessenen Mindestniveaus an IT-Sicherheit Implementierung angemessener technischer, organisatorischer Vorkehrungen

entsprechend dem Stand der Technik (Soll-Vorschrift)

zeitnahe Sicherheits-Updates könnten unvorhersehbare Auswirkungen auf komplexe

KRITIS-System haben und diese somit gefährden

Vermeidung von Störungen der Grundwerte (Sicherheitsziele):

Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität

Schutz der IT-Systeme, Komponenten oder Prozesse, welche für die

Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind

Wahrung der Angemessenheit hinsichtlich Kostenaufwand Schutzbedarf

Umsetzungsfrist von zwei Jahren nach Inkrafttreten des ITSiG (25.07.2017)

Sicherheitskonzepte von Betreibern öffentlicher Telekommunikationsnetze

werden alle zwei Jahre von der BNetzA überprüft



Verfügbarkeit [availability]

Zugriff auf Informationen

im vereinbarten Rahmen

Vertraulichkeit [confidentiality]

Zugriff auf Informationen

nur durch Berechtigte

Authentizität [authenticity]

Echtheit, Zuverlässigkeit

und Glaubwürdigkeit

Integrität [integrity]

Richtigkeit, Vollständigkeit

von Informationen



KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische

Standards zur Gewährleistung der Sicherheitsanforderungen vorschlagen

BSI muss Eignung dieser Sicherheitsstandards auf Antrag feststellen

bereits existierende Standards (noch nicht offiziell vom BSI anerkannt)

IT-Sicherheitskatalog: IS-Anforderungen für Strom- und Gasnetzbetreiber

BDEW Whitepaper: Anforderungen an sichere Steuerungs- und TK-Systeme

BSI TR-03109: Technische Vorgaben für Betrieb intelligenter Messsysteme

VGB-S-175: IT-Sicherheit für Erzeugungsanlagen

ICS Security Kompendium: IT-Sicherheit für industrielle Steuerungsanlagen

Mitwirkung bei optionalen Sicherheitsbewertungen durch das BSI von

IT-Produkten, -Systemen oder -Diensten

Pflicht zur Aktualisierung oder zum Austausch dieser

unabhängig von der eigenen Risikobewertung



Nachweiserbringung über die Einhaltung durch Sicherheitsaudits

zweijährige Nachweispflicht über die Einhaltung der Sicherheitsstandards

Nachweiserfüllung auf „geeignete Weise“

(Sicherheitsaudits, Prüfungen oder Zertifizierungen)

lediglich 3rd-Party-Audits zulässig

Übermittlung einer Aufstellung der Überprüfungen einschließlich eventuell

aufgedeckter Mängel an das BSI

Befugnisse des BSI bei aufgedeckten Mängeln:

Einfordern der gesamten Audit-, Prüf-, oder Zertifizierungsergebnisse

Verlangen der Mängelbeseitigung im Einvernehmen mit Aufsichtsbehörde



Einrichtung, Betrieb und Aufrechterhaltung einer Kontaktstelle

Benennung (innerhalb von 6 Monaten) einer Kontaktstelle an das BSI

für die Kommunikation zur Krisenfrüherkennung, -reaktion und -bewältigung

Sicherstellung der Erreichbarkeit dieser Kontaktstelle zu jeder Zeit (24/7)

impliziert hohe Verfügbarkeit der Meldesysteme

bidirektionale Kommunikation mit BSI zum Austausch über Informationen zur

Lage der Informationssicherheit

Benennung einer, dem gleichen Sektor übergeordneten Kontaktstelle möglich

(SPOC = Single Point of Contact)

Ablauf des Übermittlungsprozesses muss nachvollziehbar und auditierbar sein



Meldung erheblicher IT-Sicherheitsvorfälle

Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Vertraulichkeit

und Authentizität (lt. ITSiG) bei möglichem oder tats. Ausfall der KRITIS.

Energienetzbetreiber Weiterleitung durch BSI an die Bundesnetzagentur

(BNetzA)

unverzügliche Meldung, auch im Vorfeld konkreter Schadenseintritte

1. zur Verfügung stehende Informationen, ohne viel Rechercheaufwand

2. nachträgliche Ergänzung zusätzlich relevanter Informationen aus dem Verlauf

der Bearbeitung des Vorfalls

Art und Umfang der Störung

technische Rahmenbedingungen

vermutetet oder tatsächliche Ursache

Auswirkungen und betroffene Informationstechnik

Branche des KRITIS-Betreibers

pseudonyme Meldung bei Störungen an Systemen

z. B. durch Schadprogramme, Hackerattacken, technische Defekte

namentliche Meldung nur bei tatsächlichem Ausfall oder Beeinträchtigung

Empfehlung: Etablierung einer IT-Sicherheitsorganisation:

IT-Sicherheitsbeauftragter (ITSB)

Betrieblicher Datenschutzbeauftragter (DSB)

Informationssicherheitsmanagement-Team (IS-Team):

ITSB

bDSB

Betriebsrat

CIO / Unternehmensentwicklung

Leiter IT bzw. Bereichsverantwortliche



TÜV Informationstechnik GmbH TÜV NORD GROUP

Jörg Schlißke, LL.B.

IT Security – Fachstelle für Datenschutz

Langemarckstr. 20

45141 Essen

Telefon: +49 201 8999 – 533

Telefax: +49 201 8999 – 666

E-Mail: [email protected]

URL: www.tuvit.de

Vielen Dank für Ihre Aufmerksamkeit!


Beschäftigtendatenschutz Worauf müsst ihr achten...

Documents

Transcript of Beschäftigtendatenschutz Worauf müsst ihr achten...