Datenschutz in der betrieblichen Praxis

Transkript

1 Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter

2 Überblick zur Person Datenschutzrecht Zielsetzung der Datensicherheit IT-Sicherheit Datenschutzorganisation Aus- und Weiterbildung Arbeitshilfen

3 Alfred W. Jäger betrieblicher Datenschutzbeauftragter (DSB) gelernter Techniker juristisch interessiert Erfahrung mit heterogenen Netzen Erfahrung mit Aus- und Weiterbildung Datenschutzbeauftragter seit 2004 Deutschlandweit tätig verheiratet, 2 erwachsene Söhne

4 Datenschutzrecht Verbot mit Erlaubnisvorbehalt Bundesdatenschutzgesetz (BDSG) - Recht auf informationelle Selbstbestimmung - Konstrukt als Auffanggesetz

5 Datenschutzrecht

6 1. Kündigungsschutz für interne Datenschutzbeauftragte 2. Listenprivileg bleibt über Umwege erhalten: Formal wurde das Listenprivileg abgeschafft. Grundsätzlich bedarf es nun einer Einwilligung des Betroffenen in die Datenweitergabe; zahlreiche Ausnahmen weichen die Regelung aber auf. 3. Arbeitnehmerdatenschutz: Massenscreenings sind nur bei begründetem Verdacht zulässig; ansonsten heißt es nur allgemein, dass Arbeitgeber personenbezogene Daten der Arbeitnehmer nur "für Zwecke des Beschäftigungsverhältnisses" verarbeiten darf. 4. Informationspflicht bei Datenschutzpannen 5. höhere Bußgelder bei Datenschutzverstößen 6. Mehr Kompetenzen für die Aufsichtsbehörden, aber keine personelle Aufstockung. 7. Kennzeichnungspflicht, die die Herkunft von Daten offenlegt, jedoch keine genaue Regelung, wie die Kennzeichnung auszusehen hat. 8. Kopplungsverbot: Leistungen dürfen nicht davon abhängig gemacht werden dass der Betroffene in die Verarbeitung seiner Daten zu Werbezwecken einwilligt. 9. detailiertere Vorgaben zur Auftragsdatenverarbeitung 10. Stärkung der Verpflichtung zur Anonymisierung

7 Datenschutzrecht Sozialrecht Melderecht Telekommunikationsrecht Multimediarecht Urheberrecht Standesrecht BetrVG und viele weitere Gesetzgebungen

8 Datenschutzrecht Anwendungsbereich & Definitionen personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Ein Datum, das ohne Bezug zu einer Person einfach im Raum steht, auch wenn es ursprünglich von einer bestimmten Person stammt, unterliegt dem Schutz nicht. Das BDSG gilt nicht, wenn die Erhebung und Verarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt.

9 Datenschutzrecht Anwendungsbereich & Definitionen Verantwortliche Stelle ist jede Person oder Stelle, die für sich selbst personenbezogene Daten erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Ein Dritter ist jede Stelle außerhalb der verantwortlichen Stelle. Ein Empfänger ist jeder, welcher personenbezogene Daten erhält. Innerhalb wie außerhalb der verantwortlichen Stelle.

10 Datenschutzrecht Anwendungsbereich & Definitionen Verarbeitung personenbezogener Daten ist Sammelbegriff für - Speichern - Verändern - Übermitteln -Sperren - Löschen von Daten bestimmter oder bestimmbarer Personen.

11 Datenschutzrecht Anwendungsbereich & Definitionen Meldung an die Aufsichtsbehörde Betrieblicher Datenschutzbeauftragte Vorabkontrolle Verpflichtung auf das Datengeheimnis Übermittlung ins Ausland Sonderformen der Datenverarbeitung Datenschutzaufsicht

12 Zielsetzung der Datensicherheit Unternehmensinteressen: - Geschäft operativ fortführen - Bußgeldern effektiv vorbeugen - Schadensersatzforderungen verhindern Mitarbeiter- und Kundeninteressen: - Recht auf informationelle Selbstbestimmung - Schutz der Person

13 Zielsetzung der Datensicherheit 201 StGB Vertraulichkeit des Wortes 202 StGB Briefgeheimnis 202a StGB Ausspähen von gespeicherten Daten 203 StGB Geheimnisse bestimmter Berufsträger 206 StGB Post- und Fernmeldegeheimnis 263a StGB Computerbetrug 269 StGB Fälschung beweiserheblicher Daten 303a StGB Datenveränderung 303b StGB Computersabotage Rechtsfolgen strafbarer Handlungen vermeiden!

14 IT-Sicherheit In Mensch-Maschine-Systemen ist der Mensch das am wenigsten verlässliche Element.

15 IT-Sicherheit Anwendungsbereich & Definitionen Vertraulichkeit - keine unbefugte Einsichtnahme von Daten - kein unbefugtes Erschließen von Informationen - kein unbefugtes Interpretieren von Daten - kein unbefugtes Einsehen von Kontexten - keine unbefugte Weiterverwendung - usw.

16 Integrität IT-Sicherheit Anwendungsbereich & Definitionen - keine unbefugte, unbemerkte Änderung von Daten oder Funktionen des Systems - Sicherung der Authentizität - Korrektheit der Ein- und Ausgangsdaten (Konsistenz) - Korrektheit der Verarbeitung (interne Konsistenz)

17 IT-Sicherheit Anwendungsbereich & Definitionen Verfügbarkeit - Funktionsbereitschaft zum geforderten Zeitpunkt - Ablauf der Prozesse im vorgegebenen Zeitrahmen - Sicherung durch Redundanz der Daten - Sicherung durch Redundanz der Verarbeitung - Sicherung gegen Denial of Service - usw.

18 IT-Sicherheit Anwendungsbereich & Definitionen Revisionsfähigkeit - Nachweis der Ordnungsmäßigkeit durch Dritte - Beweisbarkeit gegenüber Dritten - Verhinderung falschen Abstreitens - Beweis der Originalität (Authentizität) = Rechtsverbindlichkeit

19 Security Policy IT-Sicherheit IT - Sicherheitsorganisation Sicherheitsprozess Rechtevergabe allgemeine organisatorische Maßnahmen Hard- und Softwaremanagement

20 IT-Sicherheit Personelle Schutzmaßnahmen Sicherheitsrisiken dokumentieren Verantwortlichkeiten festlegen Personalwechsel planen Beziehungen Personal und Organisation hinterfragen Schulungsmaßnahmen

21 IT-Sicherheit Allgemeine infrastrukturelle Schutzmaßnahmen Arten der Bedrohung Allgemeine Infrastruktur Brandschutz gesicherte Stromversorgung Klimatisierung Gesamtkonzept Infrastrukturschutz

22 zur Person Datenschutzrecht Zielsetzung der Datensicherheit IT-Sicherheit Datenschutzorganisation Aus- und Weiterbildung Arbeitshilfen

23 Aus- und Weiterbildung

24 Arbeitshilfen Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Landesbeauftragter für Datenschutz und Informationsfreiheit NRW

25 Arbeitshilfen Gesellschaft für Datenschutz und Datensicherheit (GDD) Virtuelle Datenschutzbüro Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein (ULD)

26 Arbeitshilfen Onlineportal vom Heise-Verlag Heiko Rittelmeier, Nüdlingen

27 Datenvermeidung Datensparsamkeit Technische Maßnahmen Organisatorische Maßnahmen

28 Datenschutz in der betrieblichen Praxis

29 Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung