Auszug aus den Seminarunterlagen Ausbildung zum Betrieblichen Datenschutzbeauftragten gemäß 4f BDSG.

Transkript

1 Auszug aus den Seminarunterlagen Ausbildung zum Betrieblichen Datenschutzbeauftragten gemäß 4f BDSG. Referent: Wirtschaftsinformatiker Michael J. Schüssler Geprüfter und anerkannter EDV Sachverständiger und zertifizierter externer 1

2 Zweck des BDSG 1 Abs. 1 Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Es wird das Persönlichkeitsrecht des Einzelnen geschützt, nicht die personenbezogenen Daten oder die Person oder die Identität! 2 Öffentliche und nicht-öffentliche Stellen (1) Öffentliche Stellen des Bundes sind die Behörden (2) Öffentliche Stellen der Länder sind die Behörden (3) Vereinigungen des privaten Rechts, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes (4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. 2

3 Wen schützt das BDSG? Schutz der/des Person Persönlichkeitsrechts Daten Identität Kreuzen Sie bitte die richtige Lösung an. 3

4 Personenbezogene Daten gemäß 3 Abs. 1 (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hans, Mustermann Blau 183 cm Name persönliche Verhältnisse Augenfarbe persönliche Verhältnisse Körpergröße persönliche Verhältnisse brutto Einkommen sachliche Verhältnisse Vermögen sachliche Verhältnisse Steuernr. sachliche Verhältnisse 4

5 Übungsaufgabe 2 Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu. Z. B. Z. B. Alter Steuerklasse Kreditdaten Krankheit Religion Eigentum 5

6 Personenbezogene Daten gemäß 3 Abs. 9 Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispiele: Rassische und ethnische Herkunft Politische Meinungen Religiöse oder philosophische Überzeugungen Weißer, Europäer... SPD, LINKE Christ, Atheist Gewerkschaftszugehörigkeit Gesundheit Sexualleben IG Metall, Verdi Bronchitis, Epilepsie... 6

7 Arten von personenbezogenen Daten Bestimmte personenbezogene Daten Frau Schmidt hat blaue Augen und graue Haare. Die Angaben blaue Augen und graue Haare sind Frau Schmidt zugeordnet und werden dadurch zu personenbezogenen Daten. 1 Bestimmbare personenbezogene Daten Der Amerikaner hat schon sieben mal die Tour de France gewonnen. Die einzelne Person ist zwar nicht namentlich genannt. Allerdings sind die genannten Merkmale für die gemeinte Person so eindeutig, dass sie nicht zu verwechseln sind. Die Person wird somit bestimmbar. 2 Besonders sensible Daten Ein Arbeitgeber erfährt nach dem Arztbesuch eines Mitarbeiters die genau Diagnose. Vgl. 3 Abs. 9 BDSG 3 7

8 Übung Arten von personenbezogenen Daten 1. Herr Schmitt fährt einen roten Porsche, Baujahr Bei der letzten Bundestagswahl hat Frau Schön, die SPD gewählt. 3. Herr Klein ist bei der Gewerkschaft Verdi. 4. Name, Vorname, Anschrift einer Person. 5. Die Telefonnummer von Frau Karin Groß 6. Er war Weltmeister und Gouverneur von Kalifornien 1 = Bestimmte personenbezogene Daten 2 = Bestimmbare personenbezogene Daten 3 = Besonders sensible Daten 8

9 Klassifizierung schutzwürdiger Belange durch den Landesbeauftragten für den Datenschutz Niedersachsen. Stufe A: Schutzstufen A bis E Frei zugängliche Daten (nach dem Listenprivileg) Stufe B: Berechtigte Interesse des Einsichtnehmenden Stufe C:Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse Stufe D: Erhebliche Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse Stufe E: Beeinträchtigung von Gesundheit, Leben oder Freiheit 9

10 Übungsaufgabe - Schutzstufen A bis E 13 Ordnen Sie den nachfolgend genannten Prozessen oder Datenkategorien, Schutzstufen von (A bis E) zu und begründen Sie Ihre Einstufung. Stufe A: B: C: D: E: Meldepfl. Infektionskrankheiten Begründung 1 Stufe A: B: C: D: E: Begründung 2 Schufa Auskunft Stufe A: B: C: D: E: Begründung 3 Adressdaten Stufe A: B: C: D: E: Geburtsjahr einer Person Begründung Lösungsbeispiel Frei zugänglich - Listenprivileg 4 Stufe A: B: C: D: E: Zeuge einer strafbaren Handlung Begründung 5 10

11 Die acht Grundprinzipien des Datenschutzes Sanktionen / Bußgelder etc. Kontrolle Datensicherheit Korrekturrechte Transparenz - Auskunft Datenvermeidung Zweckbindung Verbot mit Erlaubnisvorbehalt Säulen im Datenschutz 11 In Anlehnung an Quelle: GDD-Datenschutz-Jahrbuch 2013

12 1 Verbot mit Erlaubnisvorbehalt Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten! Das ist ein Grundsatz des BDSG. Eine Ausnahme besteht nur dann, wenn es eine andere Rechtsvorschrift erlaubt oder Sie freiwillig in die Verarbeitung Ihrer Daten eingewilligt haben Abs. 1 Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Zweckbindung Jeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen. Der Zweck muss vor der Verarbeitung festgelegt und dokumentieret worden sein. 14 Abs. 1 Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind etc. 12

13 Die acht Grundprinzipien des Datenschutzes 3 Datenvermeidung und Datensparsamkeit Daten sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern es soll mit ihnen sparsam umgegangen werden. Das bedeutet, dass sie zu löschen sind, wenn ihr Zweck entfällt. Im Grundsatz heißt es daher: So kurz wie möglich, so lange wie nötig. 3a 3a Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 4 Transparenz - Rechte des Betroffenen (Zweiter Unterabschnitt) Der Betroffene soll grundsätzlich aufgrund von Anzeige- und Benachrichtigungspflichten bzw. Registereinsichts- und Auskunftsrechten Informationen dazu erhalten, wer welche Art von Daten über ihn verarbeitet. 4g Abs. 2 S. 2 Jedermanns Verzeichnis 33 Benachrichtigung des Betroffenen 34 Auskunft an den Betroffenen 4g

14 Die acht Grundprinzipien des Datenschutzes 5 Korrekturrechte - Rechte des Betroffenen (Zweiter Unterabschnitt) Unrichtige Daten müssen berichtigt werden; unzulässig gespeicherte, nicht mehr benötigte oder bestrittene Daten müssen gelöscht oder gesperrt werden Abs. 1 Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen. 35 Berichtigung, Löschung und Sperrung von Daten Datensicherheit IT Sicherheitsziele Die Daten müssen vor Missbrauch Dritter und Verlust oder Zerstörung gesichert werden. 9 + Anl. 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Vgl. Anlage (zu 9 Satz 1) 14

15 Die acht Grundprinzipien des Datenschutzes 7 Kontrolle Hinsichtlich der Einhaltung der genannten Gebote ist die datenverarbeitende Stelle internen und externen Kontrollinstanzen nachweispflichtig Abs. 1 Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Sanktionen Unzulässige Verarbeitungen und Verstöße gegen datenschutzrechtlichen Verpflichtungen sind als Ordnungswidrigkeiten oder Straftaten sanktioniert. 43 Bußgeldvorschriften 44 Strafvorschriften

16 Übungsaufgabe Nennen Sie die Grundprinzipien des Datenschutzes! 16

17 Die Systematik des BDSG Die Regelungen des Bundesdatenschutzgesetzes (BDSG) für die öffentliche Stellen des Bundes(Behörden, Organe etc.) (vgl. 2 Öffentliche und nicht-öffentliche Stellen Abs. 1 3 BDSG). 2. Abschnitt DV der öffentlichen Stellen 1. Abschnitt Allgemeine Bestimmungen 4. Abschnitt Sondervorschriften 5. Abschnitt Schlussvorschriften Anlage (zu 9 Satz 1 ) (IT Sicherheitsziele) 17

18 Die Systematik des BDSG Die Regelungen des Bundesdatenschutzgesetzes (BDSG) für nichtöffentliche Stellen(natürliche und juristische Personen), die Privatwirtschaft (vgl. 2 Abs. 4 BDSG). 1. Abschnitt Allgemeine Bestimmungen 4. Abschnitt Sondervorschriften 5. Abschnitt Schlussvorschriften 3. Abschnitt DV der nicht öffentl. Sellen Anlage (zu 9 Satz 1 ) (IT Sicherheitsziele) 18

19 Übungsaufgabe: Die Systematik des BDSG 1 Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen), im unteren Schaubild ein: 19

20 Historisches zum BDSG Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG I von 1977 BDSG II von 1990 BDSG III von BDSG I von 1977 Schutz personenbezogener Daten vor Missbrauch der Beeinträchtigung schutzwürdiger Belange der Betroffenen bei der Datenverarbeitung 2. BDSG II von 1990 Informationelles Selbstbestimmungsrecht (Volkszählungsurteil 1983) Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personenbezogenen Daten 3. BDSG nach EU-DSRL (2001) International vergleichbarer Datenschutz Vorabkontrolle besonders sensibler Datenverarbeitungen 20

21 Übungsaufgabe - Systematik des BDSG 7 Erster Abschnitt 1 11 Allg und gemeins... Best Zweiter Abschnitt Datenver der öffentl..... St Dritter Abschnitt Datenver n.... öffentl..... St..... Vierter Abschnitt Sonderv Fünfter Abschnitt Schlussv Sechster Abschnitt Übergangsv Anl... (z. 9 S... 1)

22 Historisches zum BDSG Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG I von 1977 BDSG II von 1990 BDSG III von BDSG III (aktuelle Novelle) nach Datenschutzskandale (2009) Ergänzt werden die Vorschriften des Bundesdatenschutzgesetzes durch spezialgesetzliche Regelungen für spezifische Bereiche der Datenverarbeitung - wie z.b. den Telekommunikationssektor oder die Tätigkeit der Sicherheitsbehörden - und die Datenschutzgesetze der Länder. Zudem haben eine Reihe von internationalen(eu) Datenschutzvorgaben (z.b. die Datenschutzrichtlinie 95/46/EG (1995), Datenschutzkonvention des Europarats und Art. 8 der Europäischen Menschenrechtskonvention) Eingang in das deutsche Datenschutzrecht gefunden. Zum Beispiel durch mehr Nachweispflichten und höhere Strafen und Stärkung der Auskunft der Betroffener (vgl. 34 BDSG) etc. 22

23 Übungsaufgabe - Historisches zum BDSG(Teil 1 und 2) 8 Tragen Sie die verschiedenen BDSG Novellen unten in das Schaubild ein. Entwicklung des Bundesdatenschutzgesetzes (BDSG) von 1977 von 1990 von 23

24 Übungsaufgabe - Rangordnung der Rechtsvorschriften 4 Vervollständigen Sie nachfolgende Begriffe/Bereichsspezifische Regelungen EU R. Staatenverbund(27) Wirtschafts- und Währungsunion Anwendungsv vor nationalem Recht bei Kollision Richtlinie 95/46/.. des Europäischen Parlaments 1995 umgesetzt (2001) R für elektronische Kommunikation 2002/58/EG (2002) C.. der Grundrechte der EU (2000) Grundgesetz(G.) TK. TM. UW. SG. BetrV. T. Das Bundesdatenschutzgesetz(BD.. ist subs..) Die Landesdatenschutzgesetze(LD.. sind subs..) 24

25 Definition Volkszählungsgesetz - VZG Nach einem Gesetz von 1983 (Volkszählungsgesetz - VZG ) sollten sämtliche Einwohner der Bundesrepublik Deutschland statistisch erfasst werden. Es enthielt Vorschriften darüber, wie und mit welchem Inhalt die Befragungen durchgeführt werden sollten, was nach den Befragungen mit den gewonnenen Informationen geschehen sollte und wie und wofür sie verwendet werden sollten. Dagegen wehrten sich zahlreiche Betroffene vor dem Bundesverfassungsgericht (BVerfG). Urteil des Bundesverfassungsgerichts vom 15. Dezember 1983 Das Grundrecht (des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Informationelles Selbstbestimmungsrecht Grundrecht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 25

26 Definition Normenklarheit Dies bedeutet, dass das Gesetz klar verständlich sein muss und nicht zu sehr unbestimmte Rechtsbegriffe oder Generalklauseln enthalten darf. Das Gesetz soll also für den Bürger klar erkennbar sein. Das Bundesverfassungsgericht selbst formuliert das Gebot folgendermaßen: Das Gebot der Normenbestimmtheit und der Normenklarheit, soll die Betroffenen befähigen, die Rechtslage anhand der gesetzlichen Regelung zu erkennen, damit sie ihr Verhalten danach ausrichten können. 26

27 Grundgesetz(GG) für die Bundesrepublik Art 1 Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt. Art 2 (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden. 27

28 Das IT-Grundrecht im Detail Zur dogmatischen Einordnung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Die im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) vorgesehene Online-Durchsuchung ist verfassungswidrig. Das entschied heute das BVerfG (1 BvR 370/07, 1 BvR 595/07). In seiner Entscheidung entwickelt das Gericht ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Recht schützt den Betroffenen vor Zugriffen auf Computer, Netzwerke und vergleichbare Systeme, wenn diese Zugriffe sein Persönlichkeitsrecht gefährden. Was ist die Rechtsgrundlage bzw. Rechtsvorschrift zur Durchsuchung! 28

29 Schranken Im Namen des Volkes L e i t s ä t z e zum Urteil des Ersten Senats vom 27. Februar 2008 Das neue Grundrecht steht unter einem allgemeinen Gesetzesvorbehalt; gerechtfertigt können Eingriffe sowohl zur Prävention als auch zur Strafverfolgung sein (Abs. 207). Abs. 207 Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht schrankenlos. Eingriffe können sowohl zu präventiven Zwecken als auch zur Strafverfolgung gerechtfertigt sein. Der Einzelne muss dabei nur solche Beschränkungen seines Rechts hinnehmen, die auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen. 29

30 Schrankentrias - nach Art. 2 Abs. 1 Grundgesetz(GG) Das informationelle Selbstbestimmungsrecht ist durch die Schrankentrias (Bezeichnung für drei rechtliche Schranken ) beschränkt. Jeder Eingriff ins informationelle Selbstbestimmungsrecht erfordert eine gesetzliche Grundlage bzw. einer Rechtsvorschrift! Das Gesetz wiederum muss normenklar und verhältnismäßig sein und entsprechende Schutzvorkehrungen beinhalten. Erläuterung Schrankentrias - nach Art. 2 Abs. 1 GG Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. 30

31 Übungsaufgabe 9 Was besagt das Informationelle Selbstbestimmungsrecht? Was bedeutet der Begriff Normenklarheit? Was verstehen Sie unter dem Begriff Schrankentrias? 31

32 Das Ulmer Urteil zur Datenschutzfachkunde von 1990 Landgericht Ulm (Az.: 5T 153/90-01 LG Ulm) Beschluss des Landgerichts Ulm zum Berufsbild des betrieblichen und behördlichen Datenschutzbeauftragten (BGB 21,57 Abs. 1, 60; GG Art. 9 Abs. 1, 3, Art. 12 Abs.1; HGB 18 Abs. 2). Das Landgericht Ulm hat in seinem als "Ulmer Urteil" in die Rechtsgeschichte eingegangenen Beschluss festgestellt, dass betriebliche und behördliche Datenschutzbeauftragte einen Beruf ausüben! Weil sie mit ihrer Tätigkeit einen auf Dauer berechneten und nicht vorübergehenden Beitrag zur gesellschaftlichen Gesamtleistung erbringen. Auch wenn sie ihre Aufgabe als Datenschutzbeauftragte neben ihrem eigentlichen Hauptberuf ausüben, sei diese Tätigkeit aus verfassungsrechtlicher Sicht als Beruf anzusehen. 32

33 Rechtsvorschrift bzw. Gesetz Als Rechtsnorm oder Rechtsvorschrift versteht man entweder eine gesetzliche Regelung oder eine auf gesetzlicher Grundlage ergangene Vorschrift. Da das Bundesdatenschutzgesetz ein Rahmengesetz ist, das allen vorrangigen Rechtvorschriften zur Behandlung personenbezogener Daten den Vortritt lässt, muss sich der Anwender darüber Klarheit verschaffen, welche Rechtsvorschriften dem BDSG vorgehen. Die Wirkung der Rechtsvorschriften kann eine Erlaubnis oder eine Einschränkung enthalten; je nach Art der Bestimmungen kann sich die Notwendigkeit oder das Verbot der Speicherung von Daten ergeben. Ja, es kann sogar soweit gehen, dass eine Rechtsvorschrift die Speicherung von Daten zulässt, hinsichtlich ihrer Aufbewahrung bestimmte Fristen setzt. 33

34 Auffanggesetz BDSG 1 Abs. 3 S. 1 Der Datenschutz findet seine rechtlichen Grundlagen vor allem, aber nicht nur im Bundesdatenschutzgesetz (BDSG). Vielmehr dient dieses Gesetz als sogenanntes Auffanggesetz (vgl. 1 Abs. 3 S. 1). Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes(BDSG) vor - Subsidiaritätsprinzip. Datenschutzrechtliche Vorschriften finden sich vor allem auch in bereichsspezifischen Gesetzen z. B. dem: TKG Telekommunikationsgesetz TMG Telemediengesetz etc. Diese gehen dann als speziellere Regelungen dem Bundesdatenschutzgesetz vor. Über sämtlichen nationalen Regelungen steht das Europäische Recht. 34

35 Auffanggesetz BDSG 1 Abs. 3 S. 1 "Bundesrecht bricht Landesrecht" wird der in Art. 31 GG festgelegte Grundsatz bezeichnet, dass im Fall eines Widerspruchs zwischen einer Norm des Landesrechts und einer Norm des Bundesrechts, die Regelung des Bundesrechts Vorrang hat. Vorrangige Rechtsvorschriften vor dem BDSG. Telekommunikationsrecht TKG Telekommunikationsgesetz TMG Telemediengesetz RstV - Rundfunkstaatsvertrag KUG Kunsturhebergesetz, recht am eigenen Bild UWG - Gesetz gegen den unlauteren Wettbewerb BetrVG - Betriebsverfassungsgesetz Sozialgesetzbücher (SGB) Meldegesetze, Schulgesetze Kirchenrecht Tarifvertrag, Betriebsvereinbarungen etc. 35

36 Übungsaufgabe 10 Das Ulmer Urteil besagt das: Was ist eine Rechtsnorm oder Rechtsvorschrift? In welchem Paragraphen im BDSG wird beschrieben, dass das BDSG subsidiär ist und wann genau bedeutet dies? 36

37 Aktuelle Novelle III - BDSG Schwerpunkte der Änderungen Erweiterte Rechte des Betroffenen (mit Bußgeldandrohung!) Zulässigkeit der personalisierten Werbung (z.t. mit Bußgeldandrohung!) Erweiterte Anforderungen an die Auftragsdatenverarbeitung Informationspflichten bei Datenschutzpannen (mit Bußgeldandrohung!) Erweiterte Kompetenzen der Aufsichtsbehörden (mit Untersagungsbefugnis der Verarbeitung bei fehlenden Zulässigkeitsvoraussetzungen/Verhängung von Zwangsgeldern!) Zulässigkeit des Scorings Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten (u.a. Kündigungsschutz) Neuregelung zum Arbeitnehmerdatenschutz Inkrafttreten/Umsetzungsfristen 37

38 Die drei Grundwerte der Informationssicherheit Vertraulichkeit Verfügbarkeit Integrität Quelle: Bundesamt für Sicherheit in der Informationstechnik Vertraulichkeit: Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden. Verfügbarkeit: Dem Benutzer stehen Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung. Integrität: Die Daten sind vollständig und unverändert. Der Begriff Information wird in der Informationstechnik für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert wurden oder Angaben zum Autor verfälscht wurden oder der Zeitpunkt der Erstellung manipuliert wurde. 38

39 Übungsaufgabe Die drei Grundwerte der Informationssicherheit 11 Vertr Ver Inte Quelle: Bundesamt für Sicherheit in der Informationstechnik Vertraulichkeit: Vertrauliche Informationen müssen vor unb Preisg... gesch.... werden. Verfügbarkeit: Dem Benutzer stehen Dienstl , Funkt..... eines IT-Systems oder auch Informationen zum geforderten Zeitp.... zur Verf Integrität: Die Daten sind vollst..... und unver Der Begriff Information wird in der Informationstechnik für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstell... zugeordnet werden können. Der Verlust der Integ..... von Informat..... kann daher bedeuten, dass diese unerlaubt veränd... wurden oder Angaben zum Autor verf wurden oder der Zeitpunkt der Erstellung manip wurde. 39

40 Datenschutz, Datensicherheit und Datensicherung Obwohl die Zielsetzung der drei Bereiche unterschiedlich sind, sind sie nicht voneinander zu trennen. Da es in einigen Bereichen Überschneidungen gibt, sind die drei Bereiche am besten in ihrer Gesamtheit zu betrachten. Datenschutz Data protection Datensicherheit Data security Datensicherung Backup 40

41 Begriffsabgrenzung Datenschutz Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung oder Schutz der Privatsphäre. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz soll der in der zunehmend computerisierten und vernetzten Informationsgesellschaft bestehenden Tendenz zum so genannten gläsernen Menschen und dem Ausufern staatlicher Überwachungsmaßnahmen (Überwachungsstaat) entgegenwirken (vgl. 1 Abs.1 BDSG). 1 Datensicherheit (Integrität) Ziel der Datensicherheit ist es, Daten vor Verlust, Verfälschung(Integrität) und unbefugtem Zugang zu bewahren. Durch unterschiedliche vorbeugende Maßnahmen sollen Daten vor diversen Risiken geschützt werden(vgl. Anlage zu 9, Nr. 4 BDSG). 2 Datensicherung (Verfügbarkeitskontrolle) Ziel der Datensicherung ist es, Sicherungskopien von Daten anzufertigen und diese an einem sicheren Ort zu verwahren, damit im Falle eines Datenverlustes oder einer Datenverfälschung der ursprüngliche Datenbestand wiederhergestellt werden kann. (vgl. Anlage zu 9, Nr. 7 BDSG). 3 41

42 Übung Datenschutz, Datensicherheit und Datensicherung 12 Nennen Sie die drei IT - Bereiche, welche in Ihrer Gesamtheit zu betrachten sind. Datenschutz (vgl.. Abs.. BDSG). Datensicherheit (Integrität) (vgl. Anlage zu., Nr.. BDSG). Datensicherung (Verfügbarkeitskontrolle) (vgl. Anlage zu., Nr.. BDSG)

43 Übung - Der Dreiklang von TKG, TMG und BDSG Telekommunikationsgesetz (T..) Telemediengesetz (T..) 88 Abs.. TKG Fernmeldege Impressumspflicht nach. TMG Bundesdatenschutzgesetz (BD..) 2... Schutz personenbezogener Daten gemäß. Abs.. BDSG 43

44 TKG stand Mai 2012 Telekommunikationsgesetz (TKG) Dem 88 Fernmeldegeheimnis unterliegen z.b. Telefon Fax SMS 1 Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten. 2 Regulierung, Ziele und Grundsätze Abs. 1 Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes 44

45 88 Abs.1 TKG besagt? Übungsaufgabe TKG, StGB 15 Unter welchem Pragrahen wird der Begriff Diensteanbieter" im TKG beschrieben? Was ist unter dem Begriff Diensteanbieter zu verstehen? Was ist unter dem Begriff Anzeigepflicht zu verstehen? Unter welchem Pragrahen im TKG wird dieser erwähnt? Nach welchem Pragrahen im StGB Nichtanzeige geplanter Straftaten wird dies geahndet? Wann wird ein Unternehmen zum geschäftsmäßigen Diensteanbieter? Was besagt 206 Strafgesetzbuch? 45

46 Übungsaufgabe - Beispiel vorrangige Gesetze 16 Bereichsspezifische Regelungen Grundgesetz(GG) 23. Mai 1949 TKG TMG UWG SGB BetrVG TV Bundesdatenschutzgesetz(BDSG) Landesdatenschutzgesetze(LDSG) Was bedeuten nachfolgende Begriffe? TKG:, TMG: UWG: RStV:, SGB: BetrVG: TV: HE: 46

47 Anbieterkennzeichnung - Impressum gemäß TMG & RStV Impressumspflicht nach 5 TMG 2007 Telemediengesetz (TMG) 2007 Rundfunkstaatsvertrag (RStV) Journalistisch-redaktioneller Inhalt nach 55 Abs. 2 RStV 47

48 Impressumspflicht gemäß 5 TMG Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten: Name des Unternehmens, 5 Abs. 1 Nr. 1 TMG Nr. 1 den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben zum Kapital gemacht werden, ist das Stamm- oder Grundkapital und der Gesamtbetrag der ausstehenden Einlagen anzugeben. Bei nicht im Handelsregister eingetragenen Einzelunternehmen ist der Vorund Zuname des Geschäftsinhabers anzugeben. Angaben zur Kontaktaufnahme, 5 Abs. 1 Nr. 2 TMG Nr. 2 Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post - adresse, Angaben zur zuständigen Aufsichtsbehörde, 5 Abs. 1 Nr. 3 TMG Nr. 3 soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, z.b. nach 34c GewO, sind Angaben zur zuständigen Aufsichtsbehörde anzugeben. Z. B. (Gewerbeerlaubnis gemäß 34c GewO erteilt durch die Stadt Name, Ordnungsamt, Berufsaufsichtsbehörde gem. 34c GewO: Ordnungsamt Ort, Vertretungsberechtigter: Vorname Nachname, Berufskammer: IHK Ort),

49 Impressumspflicht gemäß 5 TMG Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt Angabe von Registereintragungen, 5 Abs. 1 Nr. 4 TMG Nr. 4 das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das sie eingetragen sind, und die entsprechende Registernummer z.b.(hrb X), eine Steuernummer ist nicht anzugeben, Angaben im Falle reglementierter Berufe, 5 Abs. 1 Nr. 5 TMG Nr. 5 Reglementierte Berufe sind z.b. (Ärzte, Rechtsanwälte, Steuerberater ) oder bei welchen die Führung eines beruflichen Titels von bestimmten Voraussetzungen abhängig ist (z.b. Architekten, Ingenieure und fast alle Heilberufe). Notwendige zusätzliche Angaben sind: Zuständige Berufskammer, welcher der Diensteanbieter angehört, gesetzliche Berufsbezeichnung, der Staat, in dem diese Berufsbezeichnung verliehen wurde, jeweils geltende berufsrechtlichen Regelungen und wie diese zugänglich sind, Angabe der Umsatzsteueridentifikationsnr. / Wirtschaftsidentifikationsnr. 5 Abs. 1 Nr. 6 TMG Nr. 6 in Fällen, in denen sie eine Umsatzsteueridentifikationsnummer nach 27a des Umsatzsteuergesetzes oder eine Wirtschafts-Identifikationsnummer nach 139c der Abgabenordnung besitzen, die Angabe dieser Nummer, Abwicklung oder Liquidation, 5 Abs. 1 Nr. 7 TMG Nr. 7 Befindet sich eine AG, KGaA oder GmbH in Abwicklung oder Liquidation, ist dies angegeben

50 Wichtige Begriffe im Datenschutz 3 Weitere Begriffsbestimmungen 3 Abs. 1, Abs. 2 und Abs. 3 Betroffener Automatisierte Verarbeitung Erheben Abs. 1 Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Abs. 2 Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann z.b. in Papierform. Abs. 3 Erheben ist das Beschaffen von Daten über den Betroffenen. 50

51 Wichtige Begriffe im Datenschutz 3 Weitere Begriffsbestimmungen 3 Abs. 4, Nr. 1, Nr. 2 Verarbeiten Speichern Verändern Abs. 4 Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: Nr. 1 Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, Nr. 2 Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 51

52 Wichtige Begriffe im Datenschutz 3 Weitere Begriffsbestimmungen 3 Abs. 4 Nr. 3, Nr. 4 und Nr. 5 Übermitteln Sperren Löschen Abs. 4 Nr. 3 Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, Nr. 4 Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, Nr. 5 Löschen das Unkenntlich machen gespeicherter personenbezogener Daten. 52

53 Wichtige Begriffe im Datenschutz 3 Weitere Begriffsbestimmungen 3 Abs. 5, Abs. 6 und Abs. 6a Nutzen Anonymisieren Pseudonymisieren Abs. 5 Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Abs. 6 Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können- zum B. durch einen (Aliasname). Abs. 6a Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren - zum B. durch einen (Primärschlüssel und keine Namensangaben). 53

54 Wichtige Begriffe im Datenschutz 3 Weitere Begriffsbestimmungen 3 Abs. 7, Abs. 8 und Abs. 9 Verantwortliche Stelle Empfänger Besondere Arten pbd Abs. 7 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Abs. 8 Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Abs. 9 Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschafts-zugehörigkeit, Gesundheit oder Sexualleben 54

55 Pseudonymisierung 3 Abs. 6a Keine Pseudonymisierten Daten Personenbezogene Daten gemäß 3 Abs. 1 Bes. Arten pbd 3 Abs. 9 Pseudonymisierung - Definition Pseudonymisieren Verfahren: Ein auf Personendaten angewendetes Verfahren, welches die Identifikationsmerkmale z. B. Personendaten oder Krankheitsbilder einer Person in separaten Referenztabellen mit Schlüsselfeldern auslagert(dritte Normalform). Der Zugriff auf die Daten erfolgt ausschließlich über die Schlüsselfelder. Da ein Schlüsselfeld z.b. die ErkrankungNr= 4711 noch nichts über die Art der Erkrankung aussagt, ist der Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren erfüllt - Referenz-Pseudonyme. 55

56 Beispiel - Pseudonymisierung Die Pseudonymisierung ermöglicht unter Zuhilfenahme eines weiteren Schlüsselfeldes die Zuordnung der personenbezogene Daten und der Krankheitsdaten zu einer Person, zu erschweren. Ohne die Referenztabellen kann die Identität der betroffenen Personen nicht so einfach bestimmt werden. 56

57 Beispiel - Pseudonymisierung Die Besondere Arten pbd sind nur über die Referenz ErkrankungNr aus derer Tabelle tbl_erkrankungs_arten zu ermitteln. Die Erkrankungs_Art in der Tabelle tbl_fall als Nummer gibt keine Auskunft über die Art der Erkrankung. 57

58 Zusammenfassend 4f Beauftragter für den Datenschutz Wann muss ein Datenschutzbeauftragter bestellt werden? I Wenn mehr als 19 Personen ständig Daten in nicht digitaler Form verarbeiten (vgl. 4f Abs. 1 Satz 3). 1 Wenn mehr als 9 Personen ständig automatisiert Daten verarbeiten (vgl. 4f Abs. 1 Satz 4). 2 Die Daten einer Vorabkontrolle unterliegen (vgl. 4f Abs. 1 Satz 6, 4d Abs. 5, 3 Abs. 9). 3 Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet oder Daten für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden. (vgl. 4f Abs. 1 Satz 6). 4 58

59 Ergänzend zu Punkt 3 4f Beauftragter für den Datenschutz Wann muss ein Datenschutzbeauftragter bestellt werden? II Wie viele andere Stellen/Personen teilen wir nicht die Auffassung, dass z. B. ein Steuerbüro oder eine Rechtsanwaltskanzlei immer, also unabhängig von der Anzahl der Beschäftigten, gemäß 4f BDSG einen Datenschutzbeauftragten bestellen muss. Eine Vorabkontrolle kann nach 4d Abs. 5 Satz 2 BDSG entfallen, wenn die Erhebung, Verarbeitung oder Nutzung der Daten für die Durchführung eines Vertragsverhältnisses mit dem Betroffenen erforderlich ist oder wenn eine Einwilligung des Betroffenen vorliegt. Wir schließen uns hier der erteilten Auskunft des Bayerischen Landesamtes für Datenschutzaufsicht und dem Hessischen Datenschutzbeauftragten an. 59

60 Übung 17 4f Beauftragter für den Datenschutz Wann muss ein Datenschutzbeauftragter bestellt werden? Wenn mehr als.. Personen st.. Daten in ni digitaler Form verarbeiten (vgl..f Abs. 1 Satz.). 1 Wenn mehr als. Personen st.. automatisiert Daten verarbeiten (vgl..f Abs. 1 Satz.). 2 Die Daten einer Vor.. unterliegen (vgl. 4f Abs. 1 Satz 6, 4d Abs. 5, 3 Abs..). Eingeschränkt!!! 3 Daten geschäfts.. zum Zweck der Überm. verarbeitet oder Daten für Zwecke der M.- oder Meinungs automatisiert verarbeitet werden. 4 60

61 Stellung und Befugnisse des DSB Die unabhängige- und weisungsfreie Funktion des Datenschutzbeauftragten, ist für seine Aufgabenerfüllung von ausschlaggebender Bedeutung (vgl. 4f Abs. 3 Satz 2). In seiner Funktion als Datenschutzbeauftragter ist der Datenschutzbeauftragte nach 4f Abs. 3 Satz 1 dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen (Stabsstelle). Er darf bei der Wahrnehmung seiner Aufgaben nicht den Weisungen der nicht-öffentlichen Stelle unterliegen, er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Geschäftsleitung Unternehmensorganigramm Betriebsrat(BetrVG) DSB(BDSG) IT EK VK PERSONAL REVISION 61

62 Übung Verfahrensverzeichnis Erstellen Sie gem. 4g Abs. 2 i.v.m. 4e ein öffentliches Verfahrensverzeichnis

63 Übung Verfahrensverzeichnis Erstellen Sie gem. 4g Abs. 2 i.v.m. 4e ein öffentliches Verfahrensverzeichnis

64 1 2 Übung - Aufgaben des Datenschutzbeauftragten Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin? Der Beauftragte für den Datenschutz kann sich in Zweifelsfällen an die zuständige Landesdatenschutzbehörde wenden - nach 38 Abs. 1 S. 2 J N Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen? Der Datenschutzbeauftragte schult das Personal, das im Umgang mit pbd tätig ist, mit den Vorschriften des Datenschutzes? Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar Der Datenschutzbeauftragte ist letztendlich verantwortlich für den Datenschutz? 7 Der Datenschutzbeauftragte ist für die Datensicherung(Backup) verantwortlich? 64

65 4a Einwilligung Welche Voraussetzungen stellt das BDSG an eine gültige Einwilligungserklärung? 1 2 Einwilligung muss auf freier Entscheidung beruhen, also ohne Zwang gemäß ( 4a Abs. 1 Satz 1 i.v.m. 28 Abs. 3b) Kopplungsverbot! Es ist auf den Zweck der Verarbeitung hinzuweisen. ( 4a Abs. 1 Satz 2) Es ist auf die Folgen der Verweigerung der Einwilligung hinzuweisen. ( 4a Abs. 1 Satz 2). Einwilligung muss schriftlich erfolgen gemäß ( 4a Abs. 1 Satz 3). Bei nichtöffentlichen Stellen i.v.m. ( 28 Abs. 3a und i.v.m. 13 Abs. 2 TMG). Erklärung, ist im Erscheinungsbild hervorzuheben. Einwilligung muss gut erkennbar sein ( 4a Abs. 1 Satz 4 i.v.m. 28 Abs. 3a). Werden besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt muss dies ausdrücklich erklärt werden ( 4a Abs. 3). Ausnahme zu Punkt 6 im Bereich der wissenschaftlichen Forschung gemäß (GG Art. 5 Abs. 3) i.v.m. ( 4a Abs. 2 Satz 1 und 4a Abs. 2 Satz 2). 65

66 Übungsaufgabe 4a Einwilligung Welche Voraussetzungen stellt das BDSG an eine gültige Einwilligungserklärung?

67 Übung Listenprivileg Welche Angaben dürfen Sie nach 28 BDSG nutzen?

68 Übungsaufgabe Nennen Sie die Kriterien zur qualifizierten Auftragsvergabe 11 BDSG 68

69 Auftragsdatenverarbeitung gemäß 11 BDSG Schematischer Datenfluss zwischen den Unternehmen Auftraggeber(A) Verantwortliche Stelle Personen bezogene Daten Auftragnehmer(B) Auftragnehmer(E) Unterauftragnehmer (C) Unterauftragnehmer (D) Beschreiben Sie die Auftragsverhältnisse gemäß 11 BDSG zwischen den Unternehmen. 1 Auftraggeber(A) bittet Auftragnehmer(B) die Daten an Auftragnehmer(E) zu übersenden, ist die zulässig? 2 69