Mustertexte

HRM.de ist ein Online-Netzwerk für Personaler und ein Wissensportal für das Human Resource Management. hrm.de bietet Fachartikel, Hr-jobs, Studien, MP3s von Vorträgen sowie Checklisten oder Formulare.

Richtlinie zum Abfluss von Informationen an Dritte

Mustertext

Unser Unternehmen beachtet gesetzliche Vorschriften und achtet auf die Wahrung unserer wie auch der Betriebs- und Geschäftsgeheimnisse unserer Geschäftspartner. Dazu gehören auch die personenbezogenen Daten wie Verbraucherdaten, Ansprechpartnerdaten und Beschäftigtendaten. Das schließt alle Formen der bei uns praktizierten oder durch Outsourcing bei Dienstleistern durchgeführten Datenverarbeitung ein. Vor diesem Hintergrund ergeht folgende Richtlinie:

I. Grundsätze

  1. Vermutete oder erwiesene Verstöße gegen Datensicherheit und Datenschutz („Datenpannen“) sind in unserem Unternehmen meldepflichtig nach Ziffer IV dieser Richtlinie.
  2. Die Meldepflicht wird für denjenigen Verantwortlichen ausgelöst, der in seinem Arbeitsbereich auf eine vermutete oder erwiesene „Datenpanne“ stößt oder hingewiesen wird. Beschäftigte melden derartige Beobachtungen dem Vorgesetzten.
  3. Die hier festgelegte Meldepflicht ist eine interne. Ob und inwieweit eine Offenlegung an Dritte, insbesondere an eine Aufsichtsbehörde oder an Betroffene, geboten ist, obliegt dem in Ziffer V bestellten Entscheidungsgremium, im Zweifel der Geschäftsleitung

II. Datenpannen

Als „Datenpannen“ werden alle schädlichen Ereignisse bei der Datenverarbeitung angesehen, die Betriebs- und Geschäftsgeheimnisse von uns oder von unseren Kunden betreffen oder die vom Datenschutzrecht geschützte personenbezogene Daten beinhalten.
Namentlich sind als „Datenpannen“ definiert:
  1. Formen bewusster oder unbewusster unbefugter Verarbeitung von Daten; dazu zählt namentlich Datenabfluss.
  2. Unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen;
  3. Angriffe auf die IT-Infrastruktur des Unternehmens. Unter „Verarbeitung von Daten“ ist zu verstehen: Erhebung, Speicherung, Veränderung, Abruf, Einsicht, Löschung, Nutzung, Übermittlung von Daten.

III. Erfassung von Datenpannen

Datenpannen können unterschiedlich wahrgenommen werden. Zu unterscheiden ist zwischen „intern“ und „extern“:
  1. Von innen: Alarme aufgrund von Warnmechanismen; Anomalien in der Verarbeitung schutzwürdiger Daten; Erkenntnisse aus dem Incident Handling sowie dem Problem Management nach ITIL; Erkenntnisse aus Prüfungen; Erkenntnisse aus Mitarbeitergesprächen.
  2. Von außen: Hinweise Dritter; Medienberichte; Anzeigen.

IV. Meldepflicht: Berichtswege und interne Abstimmung

  1. Mitarbeiter, die eine tatsächliche oder vermutete Datenpanne wahrnehmen, informieren unverzüglich
    -ihren Vorgesetzten und gleichzeitig
    -den betrieblichen Datenschutzbeauftragten.
  2. Vorgesetzter und betrieblicher Datenschutzbeauftragter fertigen ein als „vertraulich“ gekennzeichnetes Protokoll an, das die Erkenntnisse des meldenden Mitarbeiters beschreibt. Sie verteilen dieses Protokoll an:
    „Generelle Empfänger“: Geschäftsleitung; Leiter der Abteilungen, welche die Datenpanne berührt; IT-Sicherheitsbeauftragter (so vorhanden); Rechtsabteilung; Werkssicherheit; Interne Revision.
    „Fallorientierte Empfänger“: Einkauf, soweit Fremdfirmen betroffen sind oder sein können; Vertrieb, wenn Vertriebsstrukturen berührt sind oder sein können; Personalleitung, soweit es Hinweise auf Fehlverhalten von Beschäftigten gibt (die Personalleitung informiert ihrerseits den Betriebsrat, sofern es sich um Tatbestände der Informationspflicht oder Mitbestimmung nach dem Betriebsverfassungsgesetz handelt).
  3. Ist Vorgesetzter und/oder betrieblicher Datenschutzbeauftragter abwesend, ist gegenüber dem Anwesenden zu melden, im Zweifel an die Geschäftsleitung. Der Anwesende oder die Geschäftsleitung dokumentiert dann den Fall und informiert die Empfänger.
  4. Das Protokoll und die Ergebnisse weiterer Recherchen stehen dem Wirtschaftsprüfer zur Verfügung, der den Jahresabschluss zu testieren und dabei die Wirksamkeit des Internen Kontrollsystems (IKS) auf der Grundlage des Aktiengesetzes und der GoBS zu prüfen und zu testieren hat.

V. Klärung des Sachverhalts und Aktionen

  1. Über das weitere Vorgehen entscheidet die Geschäftsleitung nach Anhörung des betrieblichen Datenschutzbeauftragten und der Leiter der Abteilungen, die von der Datenpanne berührt sind sowie des IT-Sicherheitsbeauftragten.
  2. Zu klären ist, inwieweit
    - Strafanzeige zu erstatten ist,
    - personelle Maßnahmen zu ergreifen sind,
    - eine Zusammenarbeit mit einem betroffenen Unternehmen zu beenden ist,
    - Haftungsansprüche geltend gemacht werden können,
    - eine Benachrichtigung der Aufsichtsbehörde für den Datenschutz erforderlich ist,
    - von der Datenpanne betroffene Personen einzeln zu benachrichtigen sind, wahlweise eine allgemeine Anzeige in nach § 42a BDSG vorgeschriebenen Zeitungsannoncen durchzuführen ist und
    - Änderungen in bestehenden Verfahren vorzunehmen sind, um Wiederholungen zu vermeiden.
    -> Hinweis: Diese Liste ist kein „Fahrplan“, nur eine Art „Menü“ (Punkte, an die zu denken sind).
  3. Das Ergebnis wird protokolliert und steht neben den unter IV genannten „Empfängern“ dem Wirtschaftsprüfer zur Verfügung.

VI. Hinweise

  1. Alle Vorkommnisse werden intern und vertraulich behandelt. Über eine Veröffentlichungspflicht nach § 42a BDSG entscheidet eine Prüfung durch die Geschäftsleitung, die sich mit der Rechtsabteilung und dem betrieblichen Datenschutzbeauftragten abstimmen wird.
  2. Beschäftigte, die vermutete oder tatsächliche Datenpannen wahrgenommen und gemeldet haben, erleiden keinerlei Nachteile, weil sie gemäß dieser Richtlinie gehandelt haben.

Quelle: PERSONAL - Heft 02/2010

HRM.de - Das Netzwerk für Personalwesen. HR-Pedia - Der Wissenspool für das Human Resource Management. HR-Jobbörse
Index | Sitemap |ArbeitshilfenOutsourcing © HRM Research Institute GmbH, Germany | powered by SITEFORUM Social Networking for Business