Datenschutzunterlagen für Datenschutzinteressierte In Anlehnung an 4f Abs. 2 S. 1 BDSG(Fachkunde).

Transkript

1 Datenschutzunterlagen für Datenschutzinteressierte In Anlehnung an 4f Abs. 2 S. 1 BDSG(Fachkunde). Datenschutz ist ein spannendes Thema welches auch Ihre Persönlichkeitsrechte betrifft! 1

2 Legende: Fortlaufende Themennummern: Fragen zum Thema Datenschutz Die Lösungen finden Sie unter Datenschutz-Lösungen Das sollten Sie unbedingt wissen! Literatur-Empfehlungen: Bundesamt für Sicherheit in der Informationstechnik Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Der betriebliche Datenschutzbeauftragte Virtuelles Datenschutzbüro Datenschutz von A bis Z, (Haufe), ISBN: Autor: Michael J. Schüssler, Wirtschaftsinformatiker, EDV Sachverständiger, externer Datenschutzbeauftragter gemäß 4f BDSG & TÜV Süd ISO/IEC Foundation ISMS zertifiziert. 2

3 Präambel Was bedeutet eigentlich der Begriff Datenschutz? Der Begriff Datenschutz ist Ende der 60er Jahre entstanden. Datenschutz kann nicht die Daten als solche schützen, sondern schützt seit jeher die Persönlichkeitsrechte der Betroffenen. Auch in früheren Zeiten gab es hierzu schon zahlreiche Rechtsvorschriften. In diesem Abschnitt soll Ihnen ein erster Einblick in die Historik des Datenschutzes und dem rechtlichen Rahmen des deutschen und europäischen Datenschutzes geben werden. Mit dem voranschreiten der computerisierten und vernetzten Informationsgesellschaft hat auch die Bedeutung des Datenschutzes an Bedeutung gewonnen. Datenschutz hat sich etabliert und Einzug in unsere Gesetzgebung gefunden. Datenschutz leistet einen wichtigen Beitrag zur Gewährleitung von Persönlichkeitsrechten und stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt. Die bestehenden Tendenzen zum so genannten gläsernen Menschen durch permanente Überwachung oder Ausspähung widerspricht diesem Prinzip und greift in erblichem Maße in die Persönlichkeitsrechte der Betroffenen ein. Freie Entfaltung seiner Persönlichkeit und die Freiheit der Person ist unverletzlich. Relikte aus vergangen Zeiten? 3

4 Damals Antiker Datenschutz Der Eid des Hippokrates Ein Bestandteil der ärztlichen Ethik: Die Schweigepflicht Datenschutz Historik I Strafgesetzbuch Heute 203 StGB Verletzung von Privatgeheimnissen - Arzt, Apotheker, Rechtsanwalt, Patentanwalt, Notar 1 Schweigepflicht: Im Beichtstuhl Kirche und Recht(KuR) 2 Die geistliche Schweigepflicht besteht bereits seit dem 13. Jahrhundert, als die Wahrung des Beichtgeheimnisses in das Kirchenrecht aufgenommen wurde. Älteste Datenschutzinstitution Das Beichtgeheimnis ist unverbrüchlich". So formuliert es 17 Abs. 1 Pfarrdienstgesetz. Das Staatskirchenrecht ist ein Querschnitt aus verschiedenen Rechtsgebieten. Erlass Friedrichs des Großen zum Bankgeheimnis - Anno 1776 Wir verbieten bei unserer königlichen Ungnade allen und jedem nachzuforschen, wie viel ein anderer auf seinem Folio zu Gute habe Der Bundesgerichtshofs (BGH) geht generell von einer Verschwiegenheitspflicht der Banken über die finanziellen Verhältnisse der Bankkunden gegenüber Dritten aus. Das Bankgeheimnis ist als Gewohnheitsrecht einzuordnen, rechtliche Grundlage (Vgl. 311 BGB). 3 4

5 Damals Weimarer Reichsverfassung (Aug. 1919) Artikel 114 (1) Die Freiheit der Person ist unverletzlich 1 Artikel 117 (1) Das Briefgeheimnis sowie das Post-, und Fernsprechgeheimnis sind unverletzlich Datenschutz Historik II Heute Grundgesetz(Mai 1949 ) Art. 2 Abs. 2 S. 2 Grundgesetzes (GG) Die Freiheit der Person ist unverletzlich. Art. 10 Abs. 1 Grundgesetzes (GG) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. Das erste(formelle), weltweite Landesdatenschutzgesetz. Das HDSG von Die Geschichte der deutschen Datenschutzgesetzgebung auf Landesebene beginnt mit dem Tag der Verkündung des Hessischen Datenschutzgesetzes(HDSG), am: 07. September BDSG Novelle I(1. Februar 1977 ) Gesetzgebung auf Bundesebene Das erste Bundesdatenschutzgesetz(BDSG) wurde verkündet und in Kraft gesetzt. Das Volkszählungsurteil des Bundesverfassungsgerichts(15. Dezember 1983) Zum ersten mal stand eine richterliche Entscheidung im Mittelpunkt des Datenschutzes. Gegen dieses Bundesgesetz wurden allerdings schon im Vorfeld mehrere Verfassungsbeschwerden eingereicht. Das BVerfG - Urteilte: dass zahlreiche Vorschriften des Volkszählungsgesetzes erheblich und ohne Rechtfertigung in die Grundrechte des Einzelnen eingriffen und verfassungswidrig sei. Das Grundrecht auf informationelle Selbstbestimmung war geboren

6 Datenschutz Historik IV Die Zukunft des Datenschutzes bleibt offen? Begründung: Die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten ist nicht mit EU-Recht vereinbar. Das hat der Europäische Gerichtshof (EuGH) in Luxemburg entschieden und damit die EU-Richtlinie(2006/24/EG) zur Sicherung von Telefonund -Informationen gekippt. Die Richtlinie muss nun reformiert und die verdachtlose Speicherung von Verbindungsdaten von Telefon, Internet und s künftig "auf das absolut Notwendige beschränkt" werden. Quellangabe: Entwurf einer EU-Datenschutz Grundverordnung( ) Einheitlicher Rechtsrahmen für den Datenschutz in der EU. Die geltende EG- Datenschutzrichtlinie 95/46/EG soll durch die EU-Datenschutz Grundverordnung abgelöst werden. Der Vorschlag wird derzeit im Europäischen Parlament und im Rat der Europäischen Union beraten. Vorratsspeicherung: Bundestag verschärft Datenkontrolle( ) Der Bundestag hat das umstrittene Gesetz zur Datenvorratsspeicherung verabschiedet. Kritiker fürchten, dass das Gesetz die Bürger unter Generalverdacht stellt Quellangabe: 6

7 Rechtsgrundlagen und Meilensteine im Datenschutz Die Würde des Menschen ist unantastbar (GG Art. 1 Abs. 1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit (GG Art. 2 Abs. 1) Das Grundrecht auf informationelle Selbstbestimmung(BVerfG, 1983) Europäische Datenschutzrichtlinie 95/46/EG(1995) Bundesdatenschutzgesetz(Novelle III von 2009) Datenschutz betrifft uns alle! 7

8 Zweck des Bundesdatenschutzgesetzes 1 Abs. 1 1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Die Verfassungsrechtliche Grundlage des Datenschutzes, beruht auf dem Volkszählungsurteil des Bundesverfassungsgericht(BVerfG) von 1983, dem Recht auf informationelle Selbstbestimmung. 8

9 Volkszählungsgesetz - VZG von 1983 Nach den Bestimmungen des Volkszählungsgesetzes sollte im Frühjahr 1983 eine Volkszählung in Form einer Totalerhebung durchgeführt werden. Gegen dieses Bundesgesetz wurden allerdings schon im Vorfeld mehrere Verfassungsbeschwerden eingereicht. Die Bundesregierung als auch die Landesregierungen hielten das Volkszählungsgesetz und das Vorhaben für verfassungsgemäß. Dem widersprach das Bundesverfassungsgericht! In seinem Urteil vom 15. Dezember 1983 stelle es fest, dass zahlreiche Vorschriften des Volkszählungsgesetzes erheblich und ohne Rechtfertigung in Grundrechte des Einzelnen eingriffen. Das Bundesverfassungsgericht leitete dieses Recht aus Art. 2 Abs. 1 GG, dem Recht auf freie Entfaltung der Persönlichkeit, und aus Art. 1 Abs. 1 GG, der Unantastbarkeit der Menschenwürde, ab. Das Grundrecht (des Art. 2 Abs. 1 i.v.m Art. 1 Abs. 1 GG) gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Informationelles Selbstbestimmungsrecht Grundrecht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Quellangabe: 9

10 Gewaltenteilung in der Bundesrepublik Deutschland und die Stellung des BfDI Legislative Gesetzgebende Gewalt Erlass von Gesetzen BfDI berät die Bundesregierung gesetzgebende Gewalt Exekutive Bundesregierung, Behörden und Polizei etc. Überprüfung der Gesetzmäßigkeit Judikative Gerichte Rechtsprechung(HE) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Beauftragte des Bundes sowohl für den Datenschutz als auch für die Informationsfreiheit BSI Bundesamt für Sicherheit in der Informationstechnik. Darüber hinaus gibt es die Datenschutzbeauftragten der Länder, insgesamt 16 Stück. 10

11 Übung - Zusammenfassend 2. Abs.. BD.. Zweck dieses Gesetzes ist es, den Einzelnen davor zu s , dass er durch den Umg... mit seinen personenbez Da... in seinem Persönlichkeits..... beeint wird. 11

12 Begriffsdefinitionen I 1 Natürliche Person, eine natürliche Person ist gemäß 1 BGB der Mensch, sobald er geboren wird. Eine natürliche Person ist jeder lebende Mensch mit seinen Rechten und Pflichten (Rechtsfähigkeit). Datenschutz betrifft nicht Informationen über Verstorbene, da diese keine natürlichen Personen mehr darstellen und die Rechtsfähigkeit dieser erloschen ist. Daten über Verstorbene werden aber durch spezialgesetzliche Bestimmungen weiter geschützt. 2 3 Das Persönlichkeitsrecht ist das Grundrecht auf freie Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 Grundgesetz(GG ) und das Recht auf Schutz vor Eingriffen in den privaten Lebens- und Freiheitsbereich des Einzelnen. Personenbezogene Daten(pbD) gemäß 3 Abs. 1 BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person(Betroffener). Vom BDSG wird also das Persönlichkeitsrecht jedes lebenden Menschen geschützt, gemäß 1 Abs. 1 BDSG. Durch Ihre Rechtsfähigkeit haben die Betroffenen z. B. ein Recht auf Auskunft gemäß 34 BDSG. 12

13 Begriffsdefinitionen II 4 Besondere Arten personenbezogener Daten gemäß 3 Abs. 9 BDSG sind Angaben über: 1 rassische und ethnische Herkunft 2 politische Meinungen 3 religiöse oder philosophische Überzeugungen 4 Gewerkschaftszugehörigkeit 5 Gesundheit 6 oder Sexualleben. Die Erhebung dieser Daten ohne Rechtsgrundlage kann die Persönlichkeitsrechte der Betroffenen erheblich verletzen und sind unter dem Aspekt des Datenschutzes als höchst kritisch einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzpanne gemäß 42a auslösen. Liegen diese Arten von Daten im Unternehmen vor und diese sind nicht anonymisiert oder pseudonymisiert und nicht verschlüsselt, so handelt das Unternehmen, fahrlässig. 13

14 Übung: Begriffsdefinitionen I + II - Zusammenfassend Was ist eine natürliche Person? Juristische Personen des Privatr..... sind? Juristische Personen des öffentl..... Rechts sind? Vom BDSG geschützt wird? Jeder und sein 6 Das Persönlichkeitsrecht umfasst? das R.... auf freie Entf der Persönlichk... gemäß Art.. Abs. 1 G. und das Recht auf Sch... vor Eing in den pri..... Lebens- und Freiheits Personenbezogene Daten gemäß 3 Abs. 1 BDSG sind? Einzelangaben über pers oder sachl.... Verhältn.... einer bestimmt.. oder bestimmb.... natürlich.. Person(Betroff....) 8 Welche Risiken beinhalten besondere Arten pbd gemäß 3 Abs. 9 BDSG? Die Erhebung dieser Daten ohne Rechtsgrund.... kann die Persönlichkeitsr..... der Betroff.... erheblich verl..... und sind unter dem Aspekt des Datenschutzes als höchst kri..... einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzp.... gemäß 4.. auslösen. 14

15 Zusammenfassend - wen oder was schützt das BDSG? 5 Schutz der/des Öffentliche und nichtöffentliche Stellen Daten juristischer Personen PbD jedes lebenden Mensch PbD von Mitglieder in juristischen Person Kreuzen Sie bitte die richtige Lösung an. 15

16 Übungsaufgabe 6 Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu. Z. B. Z. B. Alter Steuerklasse Kreditdaten Krankheit Religion Eigentum 16

17 Personenbezogene Daten gemäß 3 Abs. 9 Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispiele: Rassische und ethnische Herkunft Weißer, Europäer... Politische Meinungen SPD, LINKE Christ, Atheist Religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben IG Metall, Verdi Bronchitis, Epilepsie Diese Arten von pbd sind ohne Rechtsgrundlage nicht zu erheben!!! Vgl. 42a, 4d Abs. 5, 3a BDSG... 17

18 Schutzstufen A bis E Klassifizierung schutzwürdiger Belange durch den Landesbeauftragten für den Datenschutz Niedersachsen. Stufe A: Frei zugängliche Daten (nach dem Listenprivileg) 1 Stufe B: Berechtigte Interesse des Einsichtnehmenden 2 Stufe C:Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse 3 Stufe D: Erhebliche Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse 4 Stufe E: Beeinträchtigung von Gesundheit, Leben oder Freiheit 5 18 Quellangabe:

19 Übung - Arten von personenbezogenen Daten Herr Schmitt fährt einen roten Porsche, Baujahr Bei der letzten Bundestagswahl hat Frau Schön, die SPD gewählt Herr Klein ist bei der Gewerkschaft Verdi. Name, Vorname, Anschrift einer Person. Die Telefonnummer von Frau Karin Groß Herr Müller wird wegen Steuerhinterziehung gesucht Er war Weltmeister und Gouverneur von Kalifornien 1 = Bestimmte personenbezogene Daten 2 = Bestimmbare personenbezogene Daten 3 = Besonders sensible Daten Geben Sie zusätzlich die Schutzstufen A bis E an. 19

20 Übung - Zusammenfassend 8 Welche Arten von pbd sind ohne Rechtsgrundlage nicht zu erfassen? Welche pbd beinhalten besondere Risiken für die Betroffenen?. Abs.. Begründen Sie dies: 20

21 Informationspflicht gemäß 42a(Legaldefinition) Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen: Besondere Arten von personenbezogenen Daten gemäß 3 Abs. 9 BDSG (etwa Gesundheitsdaten oder Religions / Gewerkschaftszugehörigkeit) etc besondere Arten personenbezogener Daten ( 3 Absatz 9), Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder RA ) Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen Daten zu Bank oder Kreditkartenkonten 3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beeinträchtigungen drohen, etwa finanzielle Schäden bei Kreditkarten-Informationen oder die Gefahr eines Identitätsdiebstahls. 21

22 4.. Informationspflicht bei unrechtmäßiger Kenntnis von Daten 5 Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2( 2 Abs ) fest, dass bei ihr gespeicherte besondere A.... personenbezogener Daten gemäß.. Abs.. BDSG Daten, die einem Daten über straf.... personenbezogene Berufsgeheimnis Handlungen oder Ordnungs- Daten zu B....- oder unterliegen gemäß... widrigkeiten oder über St.. einen solchen Ver..... Kreditkartenk..... Unrecht.. übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (Häcker, Diebstahl ) und drohen schwerw Beeinträchtigungen für die R..... oder schutzwürdigen Interessen der Betroff....? Schwerwiegende Beeinträchtigungen z.b. durch K (....-Nr.,..., od....., BIC oder Skimming ) Erpressbar....t(Kontostand: ), Bloßstellung oder Rufschädigung etc. Schutzstufenkategorie. oder.? Besteht ein Risiko: Materieller oder immaterieller Schäden oder ein Risiko auf Identitätsdieb.....(Online-Gesch....)? J J Unrechtm.. Kenntniserlang durch Dri? Dr.... schwerwiegende Beeinträchtigungen? N Sind die Daten gemäß. Abs.. anonymisiert? N J J Sind die Daten gemäß. Abs... pseudonymisiert und oder verschlüsselt? N N Meldepflicht!?? N??? 22

23 Resümee, was sind Ihre vorrangigen Aufgaben als DSB? J N Die Belange und Vorgaben der Geschäftsleitung umzusetzen? Die Belange und Vorgaben Ihres Vorgesetzten umzusetzen? Auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden zu achten? Die Belange und Vorgaben des IT-Leiters umzusetzen? Auf das nicht erfassen von pbd gemäß 3 Abs. 9 hinzuwirken? Die Persönlichkeitsreche der Betroffenen zu wahren? Sie schützen Daten natürlicher- und juristischer Personen? Sie schützen Daten natürlicher Personen? Sie wahren die Rechte der Betroffenen durch Veranlassung von Berichtigung, Löschung und Sperrung der Daten bei der aut. DV? Kreuzen Sie bitte die richtige Lösung an. 23

24 Übungsaufgabe: Die Systematik des BDSG 16 Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen) im unteren Schaubild ein: 1 Z. B... Auskunft BDSG Z. B... Auskunft BDSG

25 Übungsaufgabe - Systematik des BDSG 17 Erster Abschnitt 1 11 Allg und gemeins... Best Zweiter Abschnitt Datenver der öffentl..... St Dritter Abschnitt Datenver n.... öffentl..... St..... Vierter Abschnitt Sonderv Fünfter Abschnitt Schlussv Sechster Abschnitt Übergangsv Anl... (z. 9 S... 1)

26 Historik des BDSG Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG I von 1977 BDSG II von 1990 BDSG III von BDSG I von 1977 Schutz personenbezogener Daten vor Missbrauch der Beeinträchtigung schutzwürdiger Belange der Betroffenen bei der Datenverarbeitung BDSG II von 1990 Informationelles Selbstbestimmungsrecht (Volkszählungsurteil 1983) Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personenbezogenen Daten BDSG III International vergleichbarer Datenschutz Vorabkontrolle besonders sensibler Datenverarbeitungen 26

27 Das BDSG ist ein Auffanggesetz, gemäß 1 Abs. 3 S Der Datenschutz findet seine rechtlichen Grundlagen vor allem, aber nicht nur im Bundesdatenschutzgesetz (BDSG). Vielmehr dient dieses Gesetz als sogenanntes Auffanggesetz (vgl. 1 Abs. 3 S. 1). Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes(BDSG) vor - Subsidiaritätsprinzip. 3 4 Datenschutzrechtliche Vorschriften finden sich vor allem auch in bereichsspezifischen Gesetzen oder bereichsspezifischen Regelungen wieder z. B. dem: A TKG Telekommunikationsgesetz B TMG Telemediengesetz etc. Diese gehen dann als speziellere Regelungen dem Bundesdatenschutzgesetz vor. Über sämtlichen nationalen Regelungen steht das Europäische Recht. 27

28 Teilaspekte der Informationssicherheit Anforderungen Informationen Erwartungen Normative Anforderungen Erwartungen Informationen Authentizität Login ins Passwörter Zugangs-Codes Zugriffs-Codes Unternehmensdaten Kundenstamm Lieferantenstamm Personalstamm Zurechenbarkeit Verbindlichkeit Verlässlichkeit Zutrittskontrolle zu Gebäuden und Serverräumen... Zugangskontrolle Authentifikation Zugriffskontrolle Berechtigungskonzept 28

29 Der Dreiklang von TKG, TMG und BDSG Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) 88 Abs. 1 TKG Fernmeldegeheimnis Impressumspflicht nach 5 TMG Bundesdatenschutzgesetz (BDSG) 2009 Schutz personenbezogener Daten gemäß 1 Abs. 1 BDSG 29

30 Telekommunikationsgesetz (TKG) 88 Abs. 1 TKG - Dem Fernmeldegeheimnis unterliegen Telefon Fax SMS Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten. 2 Regulierung, Ziele und Grundsätze Abs. 1 Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes 30

31 88 TKG Fernmeldegeheimnis und s Fallbeispiel Ein Unternehmen stellt seinen Arbeitnehmer einen -Account zur Verfügung. Der Arbeitgeber gestattet es diesen -Account auch für den privaten -Verkehr zu nutzen. In Folge eines Verdachtes will der Arbeitgeber auf die s des Arbeitnehmers zugreifen, weil dieser den Verdacht hegt es läge eine arbeitsvertragliche Verletzung des Mitarbeiters vor. Dazu weist er den Systemadministrator an, das Postfach des Arbeitnehmers auszulesen und im Beisein des Arbeitgebers in Augenschein zu nehmen. Begründung: Z. B. Verdacht auf Arbeitszeitbetrug oder Industriespionage. 31

32 Wiederholung Datenschutzfragen 1 A B C Welches ist die aktuelle BDSG Novelle und aus welchem Jahr ist diese? Was ist der Zweck des BDSG, inkl. Angabe des Paragraphen? In welchem wird beschrieben, dass das BDSG subsidiär ist? D E F G H I J Was bedeutet der Begriff Subsidiaritätsprinzip? Welches ist die aktuelle EU-DSRL und aus welchem Jahr ist diese? In welchem werden die besonderen Arten pbd beschrieben? Welche Arten von Daten können eine Datenschutzpanne auslösen, inkl.? Unter welchem finden Sie die Aufgaben des Datenschutzbeauftragten? In welchem ist die Bestellpflicht eines DSB beschrieben? Wann liegt ein Verstoß gegen 88 Abs. 1 TKG vor? 32

33 Die acht Grundprinzipien des Datenschutzes Sanktionen / Bußgelder etc. Kontrolle Datensicherheit Korrekturrechte Transparenz - Auskunft Datenvermeidung Zweckbindung Verbot mit Erlaubnisvorbehalt Säulen im Datenschutz In Anlehnung an: GDD-Datenschutz-Jahrbuch

34 Erlaubnis per Gesetz 28 Abs Datenerhebung und -speicherung für eigene Geschäftszwecke Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1 wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient (3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. 28 Abs. 3 S. 2 Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig(listenprivileg) oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist. Z.B. Arbeitsvertrag, Kaufvertrag, Mietvertrag, Bewerbung,... 34

35 Beschäftigungsdatenschutz 32 A B C Eine Akteneinsicht der Beschäftigten ist gemäß ( 83 Abs. 1 BetrVG) gegeben Korrektur, nämlich Löschung, Berichtigung ( 35 BDSG) Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts gemäß ( 823 Abs. 1 BGB) kann gefordert und eingeklagt werden. Aufbewahrung: Der Arbeitgeber ist verpflichtet Eine Datei oder Datenbankverschlüsselung und eine Pseudonymisierung ist zu empfehlen! 35

36 Schadensersatz 7 BDSG Schadensersatz Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. 8 Schadensersatz bei aut. Datenverarbeitung durch öffentliche Stellen (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von Euro begrenzt. 36

37 Datengeheimnis 5 BDSG Datengeheimnis Alle mit der Datenverarbeitung beschäftigten Personen unterliegen dem Datengeheimnis, gemäß 5 BDSG. Ihnen ist es untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Eine unbefugte Nutzung liegt bereits dann vor, wenn durch einen Mitarbeiter dessen persönliche, ihm intern zugewiesene Nutzungsberechtigung überschritten wird. Verstöße gegen das Datengeheimnis können neben personellen Konsequenzen auch die Verfolgung als Ordnungswidrigkeit oder gar als Straftat zur Folge haben. 5 BDSG: Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. (Datengeheimnis). Diese Personen sind, soweit sie bei nicht öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit.. Verantwortlich für die Verpflichtung auf das Datengeheimnis ist die verantwortliche Stelle, also der Arbeitgeber. Erfolgt keine Verpflichtung, muss der Datenschutzbeauftragte auf eine Durchführung hinwirken. 37

38 Anlage zu 9 (Technische und organisatorische Maßnahmen) Nr. 1 bis Zutrittskontrolle zu Gebäuden und Serverräumen... 9 plus Anlage Nr. 1 Zugangskontrolle Authentifikation Benutzername und Passwort, Firewalls 3 Zugriffskontrolle Berechtigungskonzept 4 Weitergabekontrolle(SSL, VPN ) 9 plus Anlage Nr. 3 5 Eingabekontrolle(Protokolldatei ) 6 Auftragskontrolle(gem. 11 BDSG) 7 Verfügbarkeitskontrolle(Backups ) Verschlüsselungsverfahren mit Passwort 8 Zwecktrennungsgebot (Zweckb.) 38

39 Anlage (zu 9 Satz 1) IT Sicherheit Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zwecktrennungsgebot Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 39

40 Übungsaufgabe: BSI Was bedeutet der Begriff BSI? 2. Was macht das BSI? 3. Nennen Sie die vier IT-Grundschutz-Standards(BSI Standards)

41 Urheberrechte - Bildernachweis Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: Betrieblicher Datenschutzbeauftragter gemäß 4f, 4g BDSG dienen, wurden erworben bei Fotolia.com Quellangaben: BDSG III von 2009, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Hajo Köppen Datenschutz A bis Z. 41