Herzlich Willkommen zur Ihrer Datenschutzausbildung Betrieblicher Datenschutzbeauftragter gemäß 4f Abs. 2 S. 1 BDSG.

Transkript

1 Herzlich Willkommen zur Ihrer Datenschutzausbildung Betrieblicher Datenschutzbeauftragter Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler. Geprüfter und anerkannter EDV Sachverständiger, zertifizierter externer Datenschutzbeauftragter, ISO/IEC 2700 TÜV SÜD Foundation zertifiziert und PECB zertifizierter ISMS Lead-Auditor. Best Practice Training.

2 Legende: Fortlaufende Themennummern: Fragen zum Thema Datenschutz Die Lösungen finden Sie unter Datenschutz-Lösungen Das sollten Sie wissen! Literatur-Empfehlungen: Bundesamt für Sicherheit in der Informationstechnik Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Der betriebliche Datenschutzbeauftragte Virtuelles Datenschutzbüro Datenschutz von A bis Z, (Haufe), ISBN:

3 Präambel Was bedeutet eigentlich der Begriff Datenschutz? Der Begriff Datenschutz ist Ende der 60er Jahre entstanden. Datenschutz kann nicht die Daten als solche schützen, sondern schützt seit jeher die Persönlichkeitsrechte der Betroffenen. Auch in früheren Zeiten gab es hierzu schon zahlreiche Rechtsvorschriften. In diesem Abschnitt soll Ihnen ein erster Einblick in die Historik des Datenschutzes und dem rechtlichen Rahmen des deutschen und europäischen Datenschutzes geben werden. Mit dem voranschreiten der computerisierten und vernetzten Informationsgesellschaft hat auch die Bedeutung des Datenschutzes an Bedeutung gewonnen. Datenschutz hat sich etabliert und Einzug in unsere Gesetzgebung gefunden. Datenschutz leistet einen wichtigen Beitrag zur Gewährleitung von Persönlichkeitsrechten und stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt. Die bestehenden Tendenzen zum so genannten gläsernen Menschen durch permanente Überwachung oder Ausspähung widerspricht diesem Prinzip und greift in erblichem Maße in die Persönlichkeits- und Freiheitsrechte der Betroffenen ein. Eine Informationelle-Selbstbestimmungs-Gesellschaft(ISG), benötigt die freie Entfaltung der Persönlichkeit und den Schutz der Privatsphäre, ohne Generalüberwachung. Die Gewährleistung dieser Grundrechte sind unabdingbar. Sie regeln einen wichtigen Teil der freiheitlich-demokratischen Grundordnung( FdGO) Die Menschenrechte. Datenschutz, ein Relikt aus vergangenen Zeiten? 3

4 Übung - Zusammenfassend Die Würde des Menschen ist unant (G. Art.. Abs..) Allgemeine Erklärung der Menschenrechte(UNO - 948). Jeder hat das Recht auf die freie Entfaltung seiner Persönlich.(G. Art.. Abs..) Das Grundrecht auf information. Selbstbestimm (BVerfG, 9..) Europäische Datenschutzrichtl. 95/../..(9..) Bundesdatenschutzgesetz(Novelle von 20..) Datenschutz betrifft uns alle! 4

5 Übung - Zusammenfassend 2. Abs.. BD.. Zweck dieses Gesetzes ist es, den Einzelnen davor zu s , dass er durch den Umg... mit seinen personenbez Da... in seinem Persönlichkeits..... beeint wird. 5

6 Übung: Begriffsdefinitionen I + II - Zusammenfassend Was ist eine natürliche Person? Juristische Personen des Privatr..... sind? Juristische Personen des öffentl..... Rechts sind? Vom BDSG geschützt wird? Jeder und sein 6 Das Persönlichkeitsrecht umfasst? das R.... auf freie Entf der Persönlichk... gemäß Art.. Abs. G. und das Recht auf Sch... vor Eing in den pri..... Lebens- und Freiheits Personenbezogene Daten gemäß 3 Abs. BDSG sind? Einzelangaben über pers oder sachl.... Verhältn.... einer bestimmt.. oder bestimmb.... natürlich.. Person(Betroff....) 8 Welche Risiken beinhalten besondere Arten pbd gemäß 3 Abs. 9 BDSG? Die Erhebung dieser Daten ohne Rechtsgrund.... kann die Persönlichkeitsr..... der Betroff.... erheblich verl..... und sind unter dem Aspekt des Datenschutzes als höchst kri..... einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzp.... gemäß 4.. auslösen. 6

7 Zusammenfassend - wen oder was schützt das BDSG? 4 Eine natürliche Person und den Umgang mit dessen Daten Seine Persönlichkeitsrechte Die Person Seine Identität Kreuzen Sie bitte die richtigen Lösung an. 7

8 Übungsaufgabe 6 Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu. Z. B. Z. B. Alter Steuerklasse Kreditdaten Krankheit Religion Eigentum 8

9 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten 2 Wie beurteilen Sie die Veröffentlichung dieser Daten aus heutiger Datenschutzsicht? Und welche der o.g. Angaben könnten evtl. eine Datenschutzpanne auslösen? 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Nr. 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten Beurteilen Sie ob eine Beeinträchtig der Betroffenen vorliegen könnte, in Bezug auf folgende Risikoarten und die Schutzstufen: Risiko: Materieller oder immaterieller Schäden? Risiko auf Identitätsbetrug? Risiko sozialer Nachteile? Könnte eine Gefahr auf Erpressbarkeit, Bloßstellung oder Rufschädigung bestehen? 9

10 Zusammenfassend 3 Welche Arten von pbd sind ohne Rechtsgrundlage nicht zu erfassen? Welche pbd beinhalten besondere Risiken für die Betroffenen?. Abs.. Begründen Sie dies: 0

11 Informationspflicht gemäß 42a(Legaldefinition) Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen: Besondere Arten von personenbezogenen Daten gemäß 3 Abs. 9 BDSG (etwa Gesundheitsdaten oder Religions / Gewerkschaftszugehörigkeit) etc besondere Arten personenbezogener Daten ( 3 Absatz 9), Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder RA ) Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen Daten zu Bank oder Kreditkartenkonten 3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beeinträchtigungen drohen, etwa finanzielle Schäden bei Kreditkarten-Informationen oder die Gefahr eines Identitätsdiebstahls.

12 Resümee, was sind Ihre vorrangigen Aufgaben als DSB? J N Die Belange und Vorgaben der Geschäftsleitung umzusetzen? Die Belange und Vorgaben Ihres Vorgesetzten umzusetzen? Auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden zu achten? Die Belange und Vorgaben des IT-Leiters umzusetzen? Auf das nicht erfassen von pbd gemäß 3 Abs. 9 hinzuwirken? Die Persönlichkeitsreche der Betroffenen zu wahren? Sie schützen Daten natürlicher- und juristischer Personen? Sie schützen pbd natürlicher Person? Sie wahren die Rechte der Betroffenen durch Veranlassung von Berichtigung, Löschung und Sperrung der pbd bei der aut. DV? Kreuzen Sie bitte die richtige Lösung an. 2

13 Übungsaufgabe: Die Systematik des BDSG 5 Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen) inkl. Paragraphen im unteren Schaubild ein:. Abschnitt Abschnitt Z. B. 34 Auskunft 4 4. Abschnitt Abschnitt Abschnitt Anlage zu. Satz. - (IT Sicherheits.....) Der sachl.... Anwendungsber.... ist zwischen öffentl..... und nicht-öffentlichen Stell.. zu unterscheid.. (vgl. Abs.. Nr.. BDSG). 3

14 Übungsaufgabe - Historik zum BDSG(Teil und 2) 6 Tragen Sie die verschiedenen BDSG Novellen unten in das Schaubild ein. Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG. von.... BDSG.. von.... BDSG von BDSG. von 9.. Schutz pers D.... vor Missbrauch der Beeinträchtigung schutz Belange der Betroff.... bei der Datenverarbeitung. BDSG.. von 9.. Informa Selbst (Volkszählungsurteil 9..) Schutz des Einzelnen vor Beeinträchtigung seines Persönlich beim Umgang mit personenb Daten. BDSG von 20.. beinhaltet E. -Datenschutzrichtlinie 9./4./E. (9..) International vergl Datenschutz Vorab besonders sen Datenverarbeitungen 4

15 Übungsaufgabe 9 Was besagt das Informationelle Selbstbestimmungsrecht? 2 Was bedeutet der Begriff Normenklarheit? 3 Was verstehen Sie unter dem Begriff Schrankentrias? 5

16 Übungsaufgabe - Beispiel vorrangige Gesetze 20 Bereichsspezifische Regelungen Grundgesetz(GG) 23. Mai 949 TKG TMG UWG SGB BetrVG TV Bundesdatenschutzgesetz(BD..) Anzahl.? Landesdatenschutzgesetze(LD..) Anzahl..? Was bedeuten nachfolgende Abkürzungen? TKG: TMG: UWG: MeldeG: SGB: BetrVG: TV: HE: 6

17 Übungsaufgabe 2 Das Ulmer Urteil besagt? 2 Was ist eine Rechtsnorm oder Rechtsvorschrift? 3 In welchem Paragraphen im BDSG wird beschrieben, dass das BDSG subsidiär ist und was genau bedeutet dies? Angabe inkl. Normkörper. 7

18 Teilaspekte der Informationssicherheit Anforderungen Informationen Erwartungen Normative Anforderungen Erwartungen Informationen Authentizität Login ins Passwörter Zugangs-Codes Zugriffs-Codes Unternehmensdaten Kundenstamm Lieferantenstamm Personalstamm Zurechenbarkeit Verbindlichkeit Verlässlichkeit Zutrittskontrolle zu Gebäuden und Serverräumen... Zugangskontrolle Authentifikation Zugriffskontrolle Berechtigungskonzept 8

19 Begriffsabgrenzung Datenschutz Schutz des Rechts auf informationelle Selbstbestimmung, Schutz der Persönlichkeitsrechte bei der Datenverarbeitung. Datenschutz stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt und schütz dessen Privatsphäre(vgl. Abs. BDSG). 2 Datensicherheit - (Data must be Complete, Intact and Available!) CIA. Ziel der Datensicherheit ist es, Daten vor Verlust, Verfälschung(Integrität) und vor unbefugtem Zugang, Zugriff zu bewahren. Durch unterschiedliche vorbeugende Maßnahmen sollen Daten vor diversen Risiken geschützt werden(vgl. Anlage zu 9, Nr. bis Nr. 5 BDSG). 3 Datensicherung (Verfügbarkeitskontrolle) Ziel der Datensicherung ist es, Sicherungskopien (sog. Backups) von Datenbeständen anzufertigen und diese an einem sicheren Ort zu verwahren. Im Falle eines Datenverlustes oder einer Datenverfälschung kann dann, der ursprüngliche(originale) Datenbestand wieder hergestellt werden.(vgl. Anlage zu 9, Nr. 7 BDSG). 9

20 Telekommunikationsgesetz (TKG) 88 Abs. TKG - Dem Fernmeldegeheimnis unterliegen Telefon Fax SMS Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten. () Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes. (2) Ziele der Regulierung sind:. die Wahrung der Nutzer-, insbesondere der Verbraucherinteressen auf dem Gebiet der Telekommunikation und die Wahrung des Fernmeldegeheimnisses. 20

21 Anbieterkennzeichnung - Impressum gemäß TMG & RStV Telemediendiensteanbieter gemäß 3 Abs. TMG Impressumspflicht gemäß 5 TMG Eigene Haftung für Inhalte der Webseite gemäß 7 Abs. TMG 2007 Telemediengesetz (TMG) Freiwillige Einwilligung,, widerruf gemäß 3 Abs. 2 TMG Haftungsausschluss Disclaimer Gemäß 8 bis 0 TMG 2007 Rundfunkstaatsvertrag (RStV) Journalistisch-redaktioneller Inhalt nach 55 Abs. 2 RStV 2

22 Datenschutzpuzzel - weisen Sie den Aussagen die zu Mehr als 9 Personen pbd verarbeiten 6 Besondere Arten personenbezogener Daten 9 8 Impressumspflicht A B C D Abs. 3. S. E F G 4d Abs. 5 5 TMG 4f Abs. Satz 4 H I Abs. A 22

23 Übung 3 Weit... Begriffsbestimmungen Abs... BDSG 25 () Personenbez Dat.. (2) Automat.... Verarb. Datenverarbeitungsschritte gemäß 3 Abs... BDSG Erh Ver. Nutz Sp. Ver Überm Sp.. Lö.. 3 Weitere Begriffsbestimmungen Abs.... BDSG (6) Anonym. (6a) Pseudonym. (7) Verantwortl. S.. (8) Empf.. (9) Besond Art.. pb. (0) Mob pb Speich..- () Beschäft. sind 23

24 Zusammenfassend Datenschutzfragen erster Tag 29 A B Welches ist die aktuelle BDSG Novelle und aus welchem Jahr ist diese? Was ist der Zweck des BDSG, inkl. Angabe des Paragraphen? C D E F G H I J In welchem wird beschrieben, dass das BDSG subsidiär ist? Was bedeutet der Begriff Subsidiaritätsprinzip? Welches ist die aktuelle EU-DSRL und aus welchem Jahr ist diese? In welchem werden die besonderen Arten pbd beschrieben? Welche Arten von Daten können eine Datenschutzpanne auslösen, inkl.? Unter welchem finden Sie die Aufgaben des Datenschutzbeauftragten? In welchem ist die Bestellpflicht eines DSB beschrieben? Wann liegt ein Verstoß gegen 88 Abs. TKG vor? 24

25 Anwendbarkeit der Datenerhebung und der Vorabkontrolle J N Ein Bauunternehmen speichert sensible Daten gemäß 3 Abs. 9 über seine Kunden? Ein Anzeigen-Verlag verarbeitet Chiffre-Anzeigen im Bereich Bekanntschaften. Unterliegt dies der Vorabkontrolle? In einem Personalstamm(Beschäftigungsdatenschutz) werden Daten über die Religionszugehörigkeit gespeichert? Ein Unternehmen möchte eine Arbeitszeitüberwachung seiner Mitarbeiter einführen, ist dies erlaubt? Unterliegt dies der Vorabkontrolle? Ein Arzt verarbeitet Gesundheitsdaten mit seiner Patientenverwaltung. Unterliegt dies der Vorabkontrolle? Weitere wichtige Informationen für den Beauftragte für den Datenschutz, gibt es im Seminar Datenschutz praktisch Angewandt. 25

26 Auftragsdatenverarbeitung gemäß BDSG Schematischer Datenfluss zwischen den Unternehmen 32 Auftraggeber(A) Verantwortliche Stelle Personen bezogene Daten Auftragnehmer(B) Auftragnehmer(E) Unterauftragnehmer (C) Unterauftragnehmer (D) Beschreiben Sie die Auftragsverhältnisse gemäß BDSG zwischen den Unternehmen. Auftraggeber(A) bittet Auftragnehmer(B) die Daten an Auftragnehmer(E) zu übersenden, ist die zulässig? 2 26

27 Anlage zu 9 (Technische und organisatorische Maßnahmen) Nr. bis 8 2 Zutrittskontrolle zu Gebäuden und Serverräumen... 9 plus Anlage Nr. Zugangskontrolle Authentifikation Benutzername und Passwort, Firewalls 3 Zugriffskontrolle Berechtigungskonzept 4 Weitergabekontrolle(SSL, VPN ) 9 plus Anlage Nr. 3 5 Eingabekontrolle(Protokolldatei ) 6 Auftragskontrolle(gem. BDSG) 7 Verfügbarkeitskontrolle(Backups ) Verschlüsselungsverfahren mit Passwort 8 Zwecktrennungsgebot (Zweckb.) 27

28 Anlage (zu 9 Satz ) IT Sicherheit. 2. Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zwecktrennungsgebot Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 28

29 Über das BSI ISO/IEC 2700 Information Security Management System(ISMS) A B C BSI steht für? Bundesamt für Sicherheit in der Informationstechnik Was macht das BSI? Das BSI untersucht Sicherheitsrisiken bei der Anwendung der Informationstechnik und entwickelt Sicherheitsvorkehrungen Die IT-Grundschutz-Standards BSI-Standard 00-: Managementsysteme für Informationssicherheit(ISMS) BSI-Standard 00-2: IT-Grundschutz-Vorgehensweise BSI-Standard 00-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 00-4: Notfallmanagement 29

30 Abkürzungsverzeichnis BAG BDSG BGB BGH BRAO BSI Bundesarbeitsgericht Bundesdatenschutzgesetz Bürgerliches Gesetzbuch Bundesgerichtshof Bundesrechtsanwaltsordnung Bundesamt für Sicherheit in der Informationstechnik BVerfG Bundesverfassungsgericht BetrVG Betriebsverfassungsgesetz HE Höchstrichterliche Entscheidung HGB Handelsgesetzbuch DV Datenverarbeitung ISO International Organization for Standardization i.s.v. im Sinne von i.v.m. in Verbindung mit ISMS Information Security Management System SigV Signaturverordnung StGB Strafgesetzbuch SGB Sozialgesetzbücher SigG Signaturgesetz SigV Signaturverordnung SchulG Schulgesetz TKG Telekommunikationsgesetz TMG Telemediengesetz TV Tarifvertrag EuGH Europäischer Gerichtshof EWR Europäischer Wirtschaftsraum KUG KWG Kunsturhebergesetz Kreditwesengesetz UrhG Urheberrechtsgesetz UWG Gesetz gegen unlauteren Wettbewerb GG Grundgesetz GewO Gewerbeordnung MeldeG Meldegesetze MDStV Mediendienstestaatsvertrag ZPO Zivilprozeßordnung 30

31 Urheberrechte - Bildernachweis Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: Betrieblicher Datenschutzbeauftragter gemäß 4f, 4g BDSG dienen, wurden erworben bei Fotolia.com Quellangaben: BDSG III von 2009, ww.lfd.niedersachsen.de, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Hajo Köppen Datenschutz A bis Z. 3