Datenschutz und Datensicherheit: Pflichten und Nutzen

Größe: px
Ab Seite anzeigen:

Download "Datenschutz und Datensicherheit: Pflichten und Nutzen"

Transkript

1 Datenschutz und Datensicherheit: Pflichten und Nutzen

2 Meine Erwartung an die Veranstaltung Ich werde ab Dienstag DSB Bestätigung das DV unproblematisch Weiß nicht 2

3 Betrieblicher Datenschutz Einführung Worum geht es? 3

4 Datenschutz vs. IT-Sicherheit IT-Sicherheit IT-Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz (z. B. Blitzschutz) IT-Sicherheit und Datenschutz IT-Sicherheitsmaßnahmen mit gleichzeitiger Datenschutzrelevanz (z. B. Protokollierung) Bemerkung: Anforderungsunterschiede sind zu beachten Datenschutz Spezifische Maßnahmen des Datenschutzes (z. B. Sicherstellung der Zweckbindung, Verfahrensverzeichnis, Meldepflicht) 3

5 Ich kenne das Datenschutzrecht Ja Nein Weiß nicht 4

6 Gesetzliche Regelungen Gesetze BDSG (Bundesdatenschutzgesetz) ABMG (Autobahnmautgesetz) AentG (Arbeitnehmer-Entsendegesetz) AO (Abgabeordnung) AufenthG (Aufenthaltsgesetz) AZR-Gesetz (Ausländerzentralregistergesetz) BND-Gesetz (Bundesnachrichtendienstgesetz) BstatG (Bundesstatistikgesetz) BArchG (Bundesarchivgesetz) BKAG (Bundeskriminalamtgesetz) BPolG (Bundespolizeigesetz) BVerfSchG (Bundesverfassungsschutzgesetz) BZRG (Bundeszentralregistergesetz) EStG (Einkommensteuergesetz) KBAG (Gesetz Errichtung Kraftfahrt-Bundesamt) PersAuswG (Gesetz über Personalausweise) KapMuG (Kapitalanleger-Musterverfahrensgesetz) KWG (Kreditwesengesetz) MRRG (Melderechtsrahmengesetz) PaßG (Paßgesetz) PDSV (Postdienste-Datenschutzverordnung) PostG (Postgesetz) PStG (Personenstandsgesetz) SchwarzArbG (Schwarzarbeitsbekämpfungsgesetz) SGBI (Sozialgesetzbuch I) SGBII (Sozialgesetzbuch II) SGBIV (Sozialgesetzbuch IV) SGBV (Sozialgesetzbuch V) SGBX (Sozialgesetzbuch X) SigG (Signaturgesetz) StGB (Strafgesetzbuch) StPO (Strafprozessordnung) StUG (Stasi-Unterlagengesetz) TKG (Telekommunikationsgesetz) TKÜV (Telekommunikations-Überwachungsverordnung) TMG (Telemediengesetz) ZensVorbG (Zensusvorbereitungsgesetz) 6

7 Entwicklung des Datenschutzes in Deutschland : Weltweit erstes Datenschutzgesetz in Hessen Datenschutz = Datensicherheit : Volkszählungsgesetz : Urteil zur Volkszählung Grundrecht auf informationelle Selbstbestimmung Beschränktes Eingriffsrecht des Staates Datenschutz = Schutz der Person : Bundesdatenschutzgesetz : Großer Lauschangriff Kernbereich der privaten Lebensgestaltung : Fernmeldeüberwachung : Rasterfahndung : Online-Durchsuchung/Bundestrojaner Computer-Grundrecht : Massenabgleich von KFZ-Kennzeichen : Drei Novellierungen des BDSG : Ende der Übergangsregelung zur Datennutzung zu Werbezwecken. 7

8 Ich kenne das Datenschutzrecht Sind Sie immer noch sicher? 8

9 Meine Einrichtung beachtet den Datenschutz Ja Nein Weiß nicht 9

10 Was Sie über Cookies im Internet wissen sollten Süddeutsche.de am Daten gelten in der digitalen Welt als das neue Öl oder Gold. Ihre Daten. Jeder weiß, dass sie im Internet von fast allen Seiten erhoben werden, damit auf persönliche Interessen zugeschnittene Anzeigen angezeigt werden können, damit Sie individuelle Newsletter oder Kaufempfehlungen bei Online-Händlern bekommen - oder damit zum Beispiel analysiert werden kann, wie viele Leser eine Nachrichtenseite wie Süddeutsche.de hat. - Persönliche Daten, mit denen wir Sie identifizieren können - diese nutzen wir nur nach ausdrücklicher Anmeldung. - Anonymisierte Daten - mit Hilfe von Cookies analysieren wir die Klicks auf unserer Seite; Werbekunden nutzen diese Technik, um personalisierte Anzeigen aufzuspielen. 10

11 Datenschutz in sozialen Netzwerken Viele Nutzer bei Facebook veröffentlichen derzeit das oben stehende Foto um der kommerziellen Nutzung ihrer Daten zu widersprechen. Problem: - Ein Widerspruch ist nur wirksam, wenn er dem betroffenen Unternehmen auch (schriftlich also per Post!!!) zugegangen ist; - Letzte Änderung der AGB von Facebook stammt vom !!! - Vorher durften Nutzer über die Änderung abstimmen nur 0,04% der Nutzer von erforderlichen 1/3 haben abgestimmt. Quoren werden daher abgeschafft. 11

12 Datenschutz in sozialen Netzwerken Den Abstimmungslink finden Sie unter: https://www.facebook.com/notes/facebook-site-governance/reaktion-aufeuer-feedback/

13 Das Recht am eigenen Bild Grundsätzlich kann jede Person eigene Aufnahmen im Internet freigeben. Davon gibt es allerdings beachtliche Einschränkungen - Stellt eine Aufnahme eine oder mehrere Personen dar, kann die Veröffentlichung durch Persönlichkeitsrechte der Abgebildeten eingeschränkt werden. Jeder Mensch darf grundsätzlich selbst darüber bestimmen, ob überhaupt und in welchem Kontext Bilder von ihm veröffentlicht werden ohne Erlaubnis ist also ein Hochladen verboten. Ausnahmen: - Öffentliche Versammlungen oder Veranstaltungen - Absolute Person der Zeitgeschichte Die Veröffentlichung von Fotos von urheberrechtlich geschützten Gebäuden (Werke der Architektur) in Deutschland (sowie in Österreich, der Schweiz und weiteren Ländern) ist generell durch die Panoramafreiheit gedeckt, jedoch nur: - Lediglich die äußere Ansicht dargestellt wird (Urheberrecht des Architekten); - Der Aufnahmestandort allgemein und ohne Hilfsmittel zugänglich ist. Problem: Veröffentlichung von Werkfotografien, sofern sich das Werk in einem geschlossenen Raum und das Fotografieren untersagt ist. 13

14 Sicherheitslücken in Whats App Whats App war in den letzten Monaten wiederholt wegen erheblicher Sicherheitslücken und leicht hackbarer Nutzeraccounts in der Fachpresse. Im November wurden Sicherheitsupdates ausgerollt. Wirkung Stand : - Noch immer soll es relativ leicht sein, den Account eines WhatsApp-Nutzers zu knacken und in seinem Namen auf dem Smartphone Nachrichten zu senden oder abzufangen. - Nach heise.de sei es möglich, lediglich mit der Handy-Nummer und der Seriennummer (IMEI) eines Smartphones einen Whatsapp-Account zu kapern. Benötigt werde hierzu nur ein Skript. - Eine Nachfrage beim Anbieter soll eine sofortige Reaktion ergeben haben, wonach sich der Anbieter nach der Version der App erkundigt haben soll. 14

15 Änderung der Sicherheitsstandards bei App s Auf Drängen der kalifornischen Generalstaatsanwältin haben sich sechs Großunternehmen darauf geeinigt, den Datenschutz bei Apps zu verbessern: - Apps für Smartphones und Tablets dürfen keine heimlichen Datensauger mehr sein. Hierzu gab es im Februar 2012 eine Vereinbarung mit Apple als Betreiber des App Store für iphone und ipad, Google mit seiner Android- Plattform, Microsoft, dem Blackberry-Anbieter RIM, Hewlett-Packard sowie Amazon. - Der Nutzer muss darüber aufgeklärt werden, welche Daten von ihm gesammelt werden und was damit geschieht. - Zudem müssen die Plattform-Betreiber innerhalb eines halben Jahres einen Kanal für Nutzer-Beschwerden einrichten. - Die Datenschutz-Charta sieht den Angaben zufolge unter anderem vor, dass Internetbrowser einen Knopf für mehr Datenschutz erhalten. Klicken die Internetnutzer darauf, wollen die großen Internetkonzerne die Aktivitäten der Nutzer nach eigener Aussage nicht mehr verfolgen. 15

16 Datenschutz American Style Geheimnisse der New Yorker Polizei liegen nach der Thanks-Giving Parade auf der Straße!!! - Bei der traditionellen Parade zum Thanksgiving-Feiertag in New York regnete es Konfetti mit vertraulichen Informationen der Polizei; - "Das waren ganze Sätze, Nummernschilder und Polizeiberichte", sagte der Anwalt Saul Finkelstein zu CNN. - Selbst Sozialversicherungsnummern, für viele Amerikaner der wichtigste Ausweis ihrer Identität, seien lesbar gewesen. 16

17 Geplante EU Rechtsetzung Anfang 2012 wurde eine neue geplante EU-Verordnung durch die EU Kommission vorgestellt - Die Europäische Kommission beklagt "die unterschiedliche Handhabung des Datenschutzes in der Union" und "die öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist"; - Der Datenschutz soll direkt geltendes und detailliertes EU-Recht werden!!!! - Das Bundesdatenschutzgesetz (Zivilrecht und öffentliche Stellen des Bundes) und die Landesdatenschutzgesetze (öffentliche Stellen in den Ländern) sollen ersatzlos entfallen. - Aber: Datenschutz ist kein Rechtsgebiet wie etwa die Agrarmarktregelung oder die Arbeitnehmerfreizügigkeit. Informationen prägen alle Rechtsgebiete, das materielle wie das Verfahrensrecht, daher würde eine europäische Datenschutzordnung unser gesamtes Dasein reglementieren und die nationalen Rechtsordnungen weitgehend überformen. - => Rechtsetzungskompetenz EU????? 17

18 EU - Datenschutzgrundverordnung Verordnungsentwurf wurde am vorgestellt und umfasst folgende Inhalte (auf 138 Seiten): - Rechtssetzungskompetenz basiere auf Art. 5 EÜV, da unionsweite Regelung erforderlich; - Datenschutz in EU-Mitgliedstaaten aktuell nicht in gleichem Maße gewährleistet bei stetig steigendem grenzüberschreitenden Datenverkehr - Allein die EU sei der geeignete Ansprechpartner um den Transfer in Drittländer adäquat zu regeln - Art. 4 definiert die Begriffe unter Abänderung der ursprünglichen Richtlinie 95/46/EG neu oder hat sie übernommen (geändert oder neu z. B. Gesundheitsdaten auf körperlichen oder geistigen Zustand oder Gesundheitsleistung bezogen, biometrische Daten, Hauptsitz, Unternehmen, Unternehmensgruppe, explizit als Eigenschaftswort zur Einwilligung ). - Aufnahme des Grundsatzes der Transparenz und der Datenminimierung (Art. 5) aber Senkung Schutzniveau für Unternehmen mit weniger als 250 AN 18

19 - Art. 6 und 7 definieren die Kriterien einer rechtmäßigen Verarbeitung EU - Datenschutzgrundverordnung - Art. 7 regelt neu, unter welchen Voraussetzungen eine wirksame Einwilligung in eine Datenverarbeitung erteilt werden kann (ohne Zwang, Erklärung oder sonst. Handlung Beweislast beim Verantwortlichen keine Ausnutzung von Ungleichgewicht) - Art. 8 regelt die Bedingungen unter den Daten von Kindern rechtmäßig verarbeitet werden können. - Art. 9 beinhaltet das Verbot der Verarbeitung bestimmter Kategorien von personenbezogenen Daten und Ausnahmetatbestände hierzu - Art. 26 Neuregelung der Auftragsdatenverarbeitung der vor allem eine doppelte Verantwortlichkeit des Auftraggebers und des Auftragnehmers vorsieht - Art. 28 Dokumentationspflicht aller Verarbeitungsvorgänge - Art. 30 bei der Auftragsdatenverarbeitung sind Auftraggeber und Auftragnehmer zur Sicherstellung der Datensicherheit verpflichtet - Art. 33 Auftragnehmer und Auftraggeber sind zur einer (vorherigen) Folgenabschätzung verpflichtet - Art. 35 betrieblicher Datenschutzbeauftragter nur noch in Großunternehmen (mehr als 250 AN oder Unternehmenstätigkeit liegt in der Datenverarbeitung) - Art. 40 ff. Datenübermittlung in Drittländer (Beurteilung Datenschutzniveau durch Kommission sog. Angemessenheitbeschluss) 19

20 Krebsfrüherkennungsgesetz (KFRG) Die herausragende Zielsetzung des Krebsregistergesetzes der Realisierung der bestmöglichen Krebsbehandlung für alle Patienten wird durch eine entscheidende Verschlechterung des bisherigen Niveaus des Datenschutzes krebskranker Patienten überlagert. So werden: Die Daten nicht mehr anonymisiert, sondern nur noch pseudonymisiert. Sie könnten also jederzeit wieder einer bestimmten Person zugeordnet werden. Ist eine Personenbeziehbarkeit jederzeit herstellbar, können die Daten zumindest theoretisch für sachfremde Zwecke genutzt werden. Der bisherige bei klinischen Krebsregistern bestehende Datenschutz wird durch die Aufhebung der Anonymisierung ausgehöhlt. Wie schon beim ursprünglichen Entwurf des Melderegistergesetzes wird der Grundsatz der vorherigen Einwilligung zu Gunsten einer generellen gesetzlichen Erlaubnis mit Widerspruchsrecht modifiziert. Entgegen 299 SGB V findet keine Stichprobe sondern eine Vollerhebung statt, ohne die für Vollerhebungen wie z. B. Volkszählungen geltenden Voraussetzungen zu beachten (Anonymisierung). 20

21 Beschäftigtendatenschutzes Die Bundesregierung hat zur Drucksache 17/4230 eine Neuregelung des Beschäftigtendatenschutzes in Form eines Referentenentwurfes vorgelegt, der vor allem auch den Bereich Call-Center berücksichtigen soll. Ziel des Gesetzes ist es nach der Stellungnahme in der Drucksache 17/10666: - Praxisgerechte Regelungen für Beschäftigte im Sinne des 3 Absatz 11 des Bundesdatenschutzgesetzes (BDSG) zu schaffen. Es sollen für Zwecke des Beschäftigungsverhältnisses nur solche Daten verarbeitet werden dürfen, die für dieses Verhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Beschäftigungsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, sollen (zukünftig) ausgeschlossen sein. Mit den Neuregelungen sollen Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben werden. Der Gesetzentwurf enthält daher Regelungen für die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten vor und nach Begründung eines Beschäftigungsverhältnisses. - Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 32f Absatz1 BDSG-E schafft für die Videoüberwachung in nicht öffentlich zugänglichen Betriebsstätten eine besondere gesetzliche Grundlage, die der Wahrung des allgemeinen Persönlichkeitsrechts der Beschäftigten und dem Recht am eigenen Bild im Verhältnis zum Arbeitgeberinteresse Rechnung trägt. Dementsprechend ist auch die Videoüberwachung zur Qualitätskontrolle nur zulässig, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn nach Art und Ausmaß keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Beschäftigten am Ausschluss der Datenerhebung überwiegen. - 32d Absatz 3 BDSG-E regelt, für welche Zwecke und in welcher Form der Arbeitgeber einen automatisierten Abgleich von für andere Zwecke des Beschäftigungsverhältnisses erhobenen, mithin bei ihm vorhandenen Beschäftigtendaten, mit von ihm geführten Dateien durchführen darf. Der Abgleich ist nur zulässig zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch den Beschäftigten im Beschäftigungsverhältnis. 21

22 Betrieblicher Datenschutzbeauftragter: Ihr erster Arbeitstag Ausgangssituation - Ihr neuer Auftraggeber wurde durch das Auffinden von Bewohnerakten auf dem Acker aufgeweckt - Sie, Stephan W., wurden als externer Datenschutzbeauftragter bestellt - Am Vorabend Wiesn s Fest einer Chirurgischen Klinik. Zug ist heute auch verspätet, Ankunft erst gegen 12:00 Uhr - Mitarbeiter alle zu Tisch - Sie betreten die kaufmännische-abteilung des Unternehmens und finden folgende Situation vor: 22

23 23

24 24

25 Sie überprüfen das WLAN. 25

26 Sie hacken das WLAN mit. 26

27 Meine Einrichtung beachtet den Datenschutz Sind Sie sicher? 27

28 Grundlagen des Datenschutzrechts Datenschutz ist ein Grundrecht. Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt. Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können. 28

29 Allgemeines Persönlichkeitsrecht Inhalt Das Recht der Betroffenen zur aktiven und individuellen Gestaltung der Persönlichkeit in den von der Verfassung und den Gesetzen gezogen Grenzen, soweit es nicht bereits Gegenstand spezialgesetzlicher Vorschriften oder Verfassungsnormen ist. Bestandteile Menschenwürde (Art. 1 Abs. 1 GG) - Persönlichkeitsgüter (Geist, Körper, Gesundheit, Existenz) allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) aktive (freie) Gestaltung der Lebensführung - Individualität (äußeres Erscheinungsbild, Auftreten, Äußerungsformen, persönliche Anlagen, Besonderheiten Schranken unmittelbarer Verfassungs- und Gesetzesvorbehalt 29

30 Recht auf informationelle Selbstbestimmung Inhalt Das Recht des Betroffenen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen er persönliche Lebensverhältnisse offenbart Reichweite im öffentlichen Bereich im nicht-öffentlichen Bereich stellt die Grundbedingung jeglicher Datenverarbeit dar und betrifft daher die datenschutzrechtliche Ordnung insgesamt ist nicht nur nur Abwehrrecht, sondern gilt auch im Privatrecht und strahlt nicht nur als Interpretationshilfe bei der Auslegung von Generalklauseln ein Einschränkbarkeit - im überwiegenden Allgemeininteresse Voraussetzungen - die Einschränkung bedarf einer (verfassungsmäßigen) Grundlage (Gesetzesvorbehalt) - Aus der gesetzlichen Regelung müssen der Tatbestand und die Rechtsfolge geregelt und ersichtlich sein - die Norm muß verhältnismäßig sein (geeignet, erforderlich und angemessen) - es müssen ausreichende organisatorische und verfahrensrechtliche Regelungen zum Schutz des Betroffenen enthalten sein (Transparenz) - die Norm muß eine eindeutige Bestimmung des Verwendungszweckes enthalten (Zweckbindung) Abb. 3 30

31 Personenbezogene Daten Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare Person beziehen. Beispiele: Name Adresse Gehalt Geburtsjahr Vermögensverhältnisse Wohnverhältnisse Kreditkartennummer Telefonnummer 31

32 Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Name 32

33 Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Bestimmbar wird eine Person, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird. IP-Adresse Abgleich mit Providerdaten 33

34 Besondere personenbezogene Daten Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind. Politische Meinung Ethnische Herkunft Religiöse Überzeugung Gesundheit Gewerkschaftszugehörigkeit Sexualleben 34

35 BDSG Zulässigkeit Zweckbindung Transparenz Korrekturrecht Datensicherheit Kontrolle Sanktionen Verbotsprinzip Erforderlichkeitsprinzip Datenvermeidung und Datensparsamkeit 35

36 Datenerhebung Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, erlaubt diese aber unter bestimmten Voraussetzungen (Verbot mit Erlaubnisvorbehalt). Datenerhebung ist somit zulässig, wenn sie durch das BDSG selbst Beispiel: öffentlich zugängliche Daten oder durch eine andere Rechtsvorschrift Beispiel: Steuern, Abgaben oder durch die Einwilligung des Betroffenen Beispiel: Einverständniserklärung zur Datennutzung erlaubt wird. 36

37 Datenverarbeitung Erheben Beschaffen von Daten: - Die Daten sind direkt beim Betroffenen zu erheben (Grundsatz des Vorrangs der Direkterhebung). - Dadurch kann der Betroffene im Sinne des informationellen Selbstbestimmungsrechts die Datenerhebung maßgeblich beeinflussen. Verarbeiten Umgang mit den Daten in der Praxis: Speichern Verändern Übermitteln Sperren Löschen Nutzen Jede sonstige Verwendung, z. B. - zur Korrespondenz mit dem Betroffenen - Duplizieren, kopieren - Auswertungen - zur Information des Betroffenen über das Vorhandensein von Daten - Übersendung zur Auftragsdatenverarbeitung sowie Rückgabe nach derselben 37

38 Zweckbindung bedeutet: (1) Personenbezogene Daten.dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.( 3a BDSG) 38

39 Erforderlichkeit bedeutet Rechtsprinzip (auch BDSG), das allgemein zum Ausdruck bringt, dass Maßnahmen, die in die Rechte des Betroffenen eingreifen, voraussetzen, dass die Maß-nahmen unabdingbar sein müssen, um einen bestimmten Zweck zu erreichen. Es steht keine gleichermaßen wirksame Maßnahme zur Verfügung, mit der der angestrebte Zweck erreicht werden kann. Damit genügt es nicht, dass die Datenerhebung eine grundsätzlich dienliche oder brauchbare Maßnahme ist. 39

40 Sparsamkeit bedeutet Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. ( 3a BDSG) 40

41 Betroffenenrechte Unternehmenspflicht zur Auskunft und zur Wahrung der Betroffenenrechte Information bei Erhebung oder Benachrichtigung bei Speicherung Betroffener Unternehmen Auskunftsrecht Berichtigungsanspruch Löschungsanspruch Sperrungsanspruch 41

42 Datenschutzrecht im Unternehmenskontext Internationales Recht Stand der Technik Nationales Recht Compliance Archivierungspflichten Datenschutz- Recht Vertragliche Vereinbarungen Vgl. Witt, B. (2008): Datenschutz, S. 9 f. Interne Regelungen Standards & Frameworks 42

43 Ich kenne das Datenschutzrecht!! Sind Sie sich immer noch sicher? 43

44 Meine Einrichtung beachtet den Datenschutz Sind Sie sich immer noch sicher? 44

45 BDSG Novellen BDSG-Novellen I-III 2009 Informationspflichten bei Datenschutzpannen Erweiterte Anforderungen an die Auftragsdatenverarbeitung Zulässigkeit der personalisierten Werbung Zulässigkeit der Scorings Gesetz zur Umsetzung der Verbraucherkreditrichtlinie ( BDSG-Novelle III ) Neuregelung für automatisierte Entscheidungen Erweiterte Rechte des Betroffenen Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten Datenschutz im Beschäftigungsverhältnis Erweiterte Kompetenzen der Aufsichtsbehörden Verschärfung der Bußgeldbestimmungen 45

46 Novellierung des BDSG - Umfangreiche Änderungen - Zu unterschiedlichen Terminen mit Übergangsfristen Übergangsregelung Für die Datenverarbeitung und Nutzung vor dem erhobener oder gespeicherter Daten ist 28 in der bis dahin gültigen Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum für Zwecke der Werbung bis zum

47 Informationspflicht bei Datenschutzpannen BDSG-Novellen I-III 2009 Informationspflichten bei Datenschutzpannen Wenn sensible Kunden- oder Mitarbeiterdaten abhanden kommen und ein erhebliches Missbrauchsrisiko besteht, so sind die Betroffenen und die Aufsichtsbehörde zu informieren ggf. öffentlich. Hinweis: Nicht unterschätzt werden dürfen die potentiell nachteiligen Auswirkungen dieser Informierung Betroffener auf die Produktvermarktung. Dies muss Anreiz zu sorgfältigem Umgang mit Personendaten sein, nicht aber Anlass zu Verzögerungen, da sich hierdurch Schäden und damit die Haftung der verantwortlichen Stelle noch ausweiten können. 47

48 Warum Cloud Computing? 48

49 Cloud als neue Betriebsform 49

50 Office 2010 & Office Web Apps 50

51 Weltweite Rechenzentren 51

52 Übermittlung ins Ausland ( 4b BDSG) - Zulässig nur, wenn hinreichendes Datenschutzniveau sichergestellt ist Unproblematisch bei Übermittlung innerhalb der EU/EWR Datenübermittlung in Ländern mit verbindlicher Feststellung eines hinreichendes Datenschutzniveaus durch die Kommission (z. B. Schweiz, Kanada) USA: Safe-Harbor-Lösung Sicherstellung durch Vertragsgestaltung (Hinreichende Sanktionierung) 52

53 DV außerhalb des EU-/EWR-Raumes - Clouds außerhalb EU-/EWR-Raum sind generell unzulässig Optionsmöglichkeit der räumlichen Einschränkung - Ausnahmemöglichkeit bei festgestellter Angemessenheit des DS- Niveaus ( 4b II 2, 3 BDSG): CH, CN, Argent. - Safe-Harbor-Selbst-Zertifizierung von US-Unternehmen genügt nicht - EU-Standardvertragsklauseln zur DViA (Art. 26 II EU-DSRL) - Analog Binding Corporate Rules (BDRs) 53

54 1. Hintergrund: Warum ist dies kritisch? Die Datenweitergabe an den Dienstleister ist der kritische Prozess, weil eine Datenweitergabe Im Krankenhaus/Seniorenheim besonders sanktioniert ist. Erheben Speichern Übermitteln Nutzen Verändern Löschen Es besteht eine besondere Pflicht für diese Arbeitsphase die unbefugte Weitergabe ist strafbar. = ärztliche Schweigepflicht 54

55 1. Hintergrund: Ärztliche Schweigepflicht 203 StGB Verletzung von Privatgeheimnissen Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis offenbart, das ihm als Arzt, Zahnarzt, Apotheker oder Angehöriger eines anderen Heilberufes (mit staatlich geregelter Ausbildung) anvertraut worden oder sonst bekanntgeworden ist,... wird bestraft. Den Ärzten, stehen ihre berufsmäßigen tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. 55

56 1. Hintergrund: Wer sind Geheimnisträger? Einer vergleichbaren Geheimhaltungspflicht unterliegen alle in 203 StGB aufgezählten Personengruppen: 1. Arzt, Zahnarzt, Tierarzt, Apotheker, Heilberufsangehöriger 2. Berufspsychologen 3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger 4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen 5. Schwangerschaftsabbruchsberater, anerkannte Sozialarbeiter 6. Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstelle 56

57 2. Allgemeine rechtliche Anforderung Bei der Einbindung externer Stellen müssen zwei Aspekte berücksichtigt werden: 1. Externe allgemein beteiligen nach Regeln der Auftragsdatenverarbeitung 2. geschützte Daten offenbaren durch eine Befugnis 57

58 2. Allgemeine rechtliche Anforderung Aber: Allein die richtige Einbindung des Externen reicht nicht. Es werden Daten offenbart. Missbraucht der Dienstleister diese, wird aber nicht bestraft. Das ist eine Minderung des Patientendatenschutzes. Arzt Arzt Unbefugt = strafbar Dienstleister Unbefugt = NICHT strafbar Presse Presse 58

59 3. Offenbarungsbefugnis Kernfrage: Wie können Daten gegenüber dem Dienstleister befugt offenbart werden? 59

60 3. Offenbarungsbefugnis Offenbarungsbefugnis Einwilligung Gesetz Grundsätzlich sind zwei Wege denkbar: Daten können mit Einwilligung oder durch eine gesetzliche Erlaubnis offenbart werden. 60

61 4. Lösung 1 Mit Einwilligung Einwilligung MÜSSEN bestimmte Voraussetzungen erfüllen: freiwillig, vorherige Aufklärung, bes. Hinweis auf Erklärung usw.. z. B. 4a BDSG; 4 DGSG- NRW; 50 LKHG BaWü; 36 Abs. 2 LKHG RHPf Damit kann jeder Dienstleister eingebunden werden, keine besonderen Anforderungen an den DL notwendig Aber: In welche Methode willigt der Patient wirklich ein? 61

62 - Formelle Vorgaben Schriftform Hervorhebungspflicht Einwilligung ( 4a BDSG) - Freiwilligkeit Aufklärungspflicht über Zweck, Umfang und Folgen einer Verweigerung der Einwilligung Einwilligung ist unwiderruflich Verwendung von Kundendaten zu Werbezwecken (BGH, Urteil v Payback) - Opt-Out-Lösung: Formularmäßige Einwilligung in Papierform - Opt-In-Lösung: Formularmäßige Einwilligung im Internet / SMS - Trennungsgebot 62

63 Einwilligung ( 4a BDSG) 63

64 Vertrag & Anlagen Die wichtigste Einwilligungserklärung für Pflegeeinrichtungen ist der der Heim- oder Pflegevertrag mit den betreffenden Anlagen. Im Vertrag ist auf die Einhaltung des Datenschutzes / der Schweigepflicht hinzuweisen. Nach Möglichkeit sollte eine Anlage mit einer mit einer Einwilligungserklärung Teil des Vertrags sein, die vom Vertragspartner zu unterschreiben ist. Damit erklärt sich der Bewohner / Leistungsnehmer einverstanden mit der Nutzung seiner personenbezogenen Daten. 64

65 Keine Lösung: Zulässige Datenverarbeitung im w. S Abs. 1, Abs. 2 BDSG Unmittelbare Datenverarbeitung für eigene Zwecke Enge Anbindung an ein konkretes Schuldverhältnis (Erfüllung eines vertraglichen oder vertragsähnlichen Zwecks) Außerhalb eines konkreten Schuldverhältnisses nur mit Interessenabwägung Keine Übermittlung an Dritte - Kein Konzernprivileg! - Genaue Prüfung bei Vertragsübernahmefällen 65

66 5. Lösung 2: ohne Offenbarung Außer Einwilligung und Verarbeitung durch Geheimhaltungsträger ist auch eine dritte Lösung denkbar: Der Dienstleister verarbeitet so, dass er mit Daten nicht in Berührung kommt. Dann findet keine Offenbarung statt! Verschlüsselt Pseudonymisiert Die verschlüsselte externe Speicherung hat die Bayerische Aufsichtsbehörde bereits als zulässig bewertet siehe 21. Tätigkeitsbericht von

67 Auftragsdatenverarbeitung ( 11 BDSG) - Auftragsdatenverarbeitung aus Auftraggebersicht Kein Übergang der Verantwortlichkeit (sonst Funktionsübergang) Auswahl unter besonderer Berücksichtigung der Eignung der technischen und organisatorischen Maßnahmen beim Auftragnehmer Schriftformgebot - Auftragsdatenverarbeitung aus Auftraggebersicht Keine Haftungsfreistellung Hinweispflicht bei datenschutzwidrigen Weisungen - Fernwartung ( 11 Abs. 5 BDSG) Möglichkeit des Datenzugriffs reich aus Schriftform Sicherstellung der Datenstandards durch den Auftraggeber 67

68 Auftragsdatenverarbeitung BDSG-Novellen I-III 2009 Erweiterte Anforderungen an die Auftragsdatenverarbeitung Auftragsdatenverarbeitung ist die Verarbeitung von pb Daten durch Dritte. Beispiele: Steuerberater, Lohnbüro, Akten- und Datenträgervernichter, Call-Center, EDV- Dienstleister usw. Auftragsdatenverarbeitung bedarf der Schriftform. Auftragnehmer sind vorab und während der Tätigkeit zu kontrollieren, ob der Datenschutz eingehalten wird. Der Auftraggeber hat die gesetzliche Pflicht und das Recht beim Auftraggeber entsprechende Informationen einzuholen, z. B. Kontrolle der IT-Struktur. Dokumentationspflicht des Auftraggebers über durchgeführte Kontrollen. Die Verantwortung für den Datenschutz liegt beim Auftraggeber! Der Auftragnehmer hat eine Auskunftspflicht. Beachtet der Auftragnehmer den Datenschutz nicht oder nicht im erforderlichen Umfang, darf er nicht beauftragt werden! 68

69 Auftragsdatenverarbeitung Was ist neu seit ? Erhebung, Verarbeitung oder Nutzung personenbezogner Daten im Auftrag Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: die Berichtigung, Löschung und Sperrung von Daten, die Pflichten des Auftragnehmers, die Kontrolle des Auftraggebers, mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften zum Schutz personenbezogener Daten. Fazit: Überprüfung aller Verträge Überprüfung der technischen und organisatorischen Maßnahmen 69

70 Auftragsdatenverarbeitung Was ist neu seit ? Datenerhebung, -verarbeitung und nutzung für Zwecke des Beschäftigungsverhältnisses Zur Aufdeckung von Straftaten dürfen personenbezogene Daten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen,.. Fazit: Überarbeitung von Betriebsvereinbarungen Überarbeitung von internen Richtlinien Überarbeitung des Management-Handbuches 70

71 Auftragsdatenverarbeitung Was ist neu seit ? Datenerhebung, -verarbeitung und nutzung für eigene Zwecke Bei der Erhebung personenbezogener Daten sind die Zwecke, für die Daten verarbeitet oder genutzt werden, konkret festzulegen.. 47 Übergangsregelung: Für vor dem erhobene oder gespeicherte Daten ist der 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. den Zwecke der Markt- oder Meinungsforschung 2. für Zwecke der Werbung. Fazit: Bildung von logisch getrennten Datenbeständen keine Mischung von eigenen und fremden Daten 71

72 Auftragsdatenverarbeitung Was ist neu seit ? Kontrollrechte des Auftragsgebers Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Kontrollrechte des Auftragsgebers 11 gilt entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 72

73 Auftragsdatenverarbeitung Was bedeutet das in der Praxis für einen IT-Dienstleister? - Ein IT-Dienstleister muss nachweisen, dass er gem. dem Stand der Technik geeignete technische und organisatorische Maßnahmen getroffen hat und zukünftig treffen wird. - Ein IT-Dienstleister hat regelmäßig seinen Auftraggeber vor Ort, die sich von der Einhaltung der Maßnahmen überzeugen. 73

74 Neuerungen im Einzelnen a) Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) Inhalt des neuen 10-Punkte-Katalogs - Gegenstand und Dauer - Umfang, Art und Zweck, Datenarten und Betroffene - Technische und organisatorische Maßnahmen - Berichtigung, Löschung und Sperrung - Pflichten gem. 11 Abs. 4 BDSG - Unterauftragsverhältnisse - Kontrollrechte und Mitwirkungspflichten - Mitteilungspflichten bei Verstößen - Weisungsbefugnisse - Rückgabepflichten bei Vertragsbeendigung 74

75 Neuerungen im Einzelnen a) Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) Umfang der Verpflichtungen - Status quo und Status quo ante - Kein abschließender Charakter ( insbesondere) Umsetzung - Festlegung im Einzelnen - Regelungsdichte und Detaillierungsgrad Beispiel: Technische und organisatorische Maßnahmen - Relevanter Maßstab - Verweis auf BSI-Grundschutz - Datenschutzaudit 75

76 Neuerungen im Einzelnen b) Kontrollpflichten ( 11 Abs. 2 S. 4 BDSG) Gegenstand - Technische und organisatorische Maßnahmen - Handlungspflichten und Mitwirkungs- bzw. Duldungspflichten Art und Weise von Kontrollmaßnahmen - Persönliche Vor-Ort-Kontrolle - Prüfung durch externe Dritte - Selbstauskunft des Auftragnehmers - Auswirkungen auf besondere Geschäftsmodelle (Cloud Computing, Verlagerung ins Ausland) 76

77 Neuerungen im Einzelnen b) Kontrollpflichten ( 11 Abs. 2 S. 4 BDSG) Zeitpunkt - Erstmalig vor beginn der Datenverarbeitung - Nach Beginn der Datenverarbeitung regelmäßig Kontrollfrequenz - Beurteilungskriterien Umfang der Auslagerung Sensibilität der betroffenen Daten Vertragslaufzeit Anlehnung an Revisionspraktiken? 77

78 Auswirkungen auf Altverträge Übergangsregelungen - Gesetzlich nicht vorgesehen - Gewährung einer Schonfrist durch Aufsichtsbehörden? Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) - Unverzügliche umzusetzen - Nutzung von Weisungsrechten - Anpassungsanspruch des Auftraggebers? Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) - Unverzüglich umzusetzen - Ggf. auch Erstkontrolle trotz bestehenden Vertragsschlusses 78

79 Konsequenzen für Vertragsgestaltung Flucht in die Funktionsübertragung? - Vorteile Verantwortungsverlagerung auf Auftragnehmer Eingeschränkte Kontroll- und Dokumentationspflichten Begrenzung Bußgeldrisiko - Nachteile Beschränkte Herrschaft über Daten Oftmals mangelnde Realisierbarkeit wegen erforderlicher Datenübertragung und damit Offenbarung. Auswirkungen auf Verlagerungen ins nicht EU-Ausland - EU-Standardvertragsklauseln bleiben grundsätzlich unberührt - Hinweis: Aber Änderung der Klauseln durch Kommission beschlossen (Amtsblatt Nr. L 039 v , S. 5 18) 79

80 Unternehmenspflichten Bundesdatenschutzgesetz (BDSG) 4a-g, 5, 9, 34 und 38 BDSG Pflichten des Unternehmens Bestellung des Datenschutzbeauftragten (schriftlich, ab 9+ Personen) Bereitstellung von Räumen, Einrichtungen, Geräten und Mittel Meldepflicht bei Vorhaben zur automatisierten Verarbeitung von personenbezogenen Daten ( 4 g) Einrichtung der notwendigen technischen und organisatorischen Maßnahmen zum aktiven Datenschutz Informationspflicht bei Erhebung ( 4 Abs. 3), Auskunftspflicht ggü. Betroffenem ( 34), Auskunftspflicht ggü. Aufsichtsbehörde ( 38 Abs. 3), Verpflichtungspflicht auf Datengeheimnis ( 5) 80

81 Betrieblicher Datenschutzbeauftragter BDSG-Novellen I-III 2009 Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten Kündigungsschutz des innerbetrieblichen Datenschutzbeauftragten. Pflicht des Unternehmens zur Übernahme der Weiter- und Fortbildungskosten. Pflicht des Unternehmens, ausreichende Mittel für die Belange des Datenschutzes zur Verfügung zu stellen. 81

82 Betrieblicher Datenschutzbeauftragter Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) Wann muss ein Unternehmen einen DSB bestellen? - Ab 9 Mitarbeitern muss ein DSB bestellt werden, wenn die personenbezogenen Daten elektronisch verarbeitet werden. - Ab 20 Mitarbeitern muss ein DSB bestellt werden, wenn die Daten auf herkömmlicher Weise (z. B. Karteikasten) verarbeitet werden. - Verwendung besonders sensitiver Daten. - Verwendung besonderer Verfahren der Datenverarbeitung, die eine Vorabkontrolle erfordern, z. B. Videoüberwachung. 82

83 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Anforderungen - Fachkunde - Zuverlässigkeit Pflichten: - Den gesetzlichen Regelungen unterworfen & zur Verschwiegenheit verpflichtet - Zusammenarbeitsgebot mit dem Betriebsrat - Zusammenarbeit erwünscht mit den angrenzenden Fachstellen (CISO, CIO, interne Revision, Risikomanagement etc.) - Recherchen zur aktuellen Rechtslage - Lesen und Auswerten von Fachartikeln, Weiterbildungsmaßnahmen - Datenschutzaudit (per Gesetz ab 2009) durchzuführen - Zentraler Ansprechpartner für alle Datenschutz-relevanten Themen 83

84 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Rechte - Weisungsfreiheit - Direkt der Geschäftsführung unterstellt, Management Commitment - Vom Unternehmen durch Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel zu unterstützen - Aktives und passives Informationsrecht - Zugangsrecht zu Gebäuden und Räumen - Benachteiligungsverbot (Besonderer Kündigungsschutz für interne Datenschutzbeauftragte und ausreichende Vertragslaufzeit (mindestens 3 Jahre) für externe Datenschutzbeauftragte - Akten und andere Schriftstücke unterliegen Beschlagnahmeverbot - Aufsichtsbehörde als zentraler Ansprechpartner verfügbar 84

85 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Aufgaben - Koordination aller Datenschutz-relevanten Tätigkeiten im Unternehmen - Hinwirken auf die Einhaltung datenschutzrechtlicher Vorschriften - Überwachung der automatisierten Verarbeitung, bei welcher personenbezogene Daten verarbeitet werden (Datenschutzaudit) - Datenschutzrechtliche und technische Schulung und Sensibilisierung der Personen, die personenbezogene Daten erheben, verarbeiten oder nutzen - Durchführung von Vorabkontrollen - Beratung des Unternehmens bei datenschutzrechtlichen Fragen - Vertretung des Unternehmens in Gesprächen mit Aufsichtsbehörden - Aktive Pflege des Verfahrensverzeichnis - Ansprechpartner für Betroffene 85

86 Datenschutzmaßnahmen Pflicht zur Durchführung geeigneter technisch-organisatorischer Maßnahmen Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 86

87 Zutrittskontrolle Zugangskontrolle Kontrollmaßnahmen der Anlage zu 9 BDSG: Unbefugten ist der "körperliche" Zutritt zu Datenverarbeitungsanlagen, mit denen Verfügbarkeitskontrolle personenbezogene Daten verarbeitet werden, zu verwehren. Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 87

88 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Zugangskontrolle Eingabekontrolle Verfügbarkeitskontrolle Verhinderung der unbefugten Nutzung von Datenverarbeitungsanlagen, also dem Eindringen in das EDV-System Trennungsgebot seitens unbefugter (externer) Personen sowie die geregelte Zugangskontrolle eines grundsätzlich Berechtigten. Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 88

89 Pflichten des Unternehmens Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Eingabekontrolle Zugriffskontrolle Trennungsgebot Gewährleistung der nachträglichen Überprüfbarkeit, welche personenbezogenen Daten durch wen zu welcher Zeit in Datenverarbeitungssysteme Auftragskontrolle eingegeben bzw. dort verändert, gelöscht oder entfernt worden sind. Weitergabekontrolle

90 Pflichten des Unternehmens Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Zugriffskontrolle Auftragskontrolle Gewährleistung, dass die zur Benutzung Berechtigten nur auf die für ihre jeweils rechtmäßige Aufgabenstellung benötigten Weitergabekontrolle Daten zugreifen können.

91 Kontrollmaßnahmen der Anlage zu 9 BDSG: Die Verfügbarkeitskontrolle zielt auf den Schutz vor zufälliger Zerstörung ab, wie z.b. Wasserschäden, Zutrittskontrolle Brand, Blitzschlag, Stromausfall. Zugangskontrolle Verfügbarkeitskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 91

92 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Zugangskontrolle Eingabekontrolle Technische Sicherstellung der zweckbestimmten Verarbeitung von persönlichen Daten. Gemeint ist damit zumindest eine logische Trennung Verfügbarkeitskontrolle Trennungsgebot Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 92

93 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Der Auftragnehmer hat zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend Eingabekontrolle den Weisungen des Auftraggebers verarbeitet werden. Zugriffskontrolle Trennungsgebot Auftragskontrolle Weitergabekontrolle 93

94 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Die Weitergabekontrolle soll verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder gelöscht werden können und gewähr- Eingabekontrolle leisten, dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen Zugriffskontrolle zur Datenübertragung vorgesehen ist. Trennungsgebot Auftragskontrolle Weitergabekontrolle 94

95 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Eingabekontrolle Datenschutz durch Datensicherung Trennungsgebot Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 95

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015 Big Data - Herausforderung Datenschutz meistern Philip Liegmann Frankfurt am Main, 19. Mai 2015 Inhalt/Agenda 01 Warum Datenschutz? 02 Überblick über das Bundesdatenschutzgesetz (BDSG) 03 Begriffe und

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Einführung In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt.

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort... V Teil 1: Grundzüge des BDSG Kapitel 1: Einführung.... 1 I. Einleitung... 1 II. Entwicklung des BDSG von 1977 2010... 2 1. Verkündung 1977... 3 2. Volkszählungsurteil von 1983... 3 3. Erste

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Mindestumsetzung im Datenschutz

Mindestumsetzung im Datenschutz Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/02 V 1.0 Rev. 0 1 1 Mindestumsetzung im Datenschutz Vortrag im Rahmen der Veranstaltung Datenschutz und IT-Sicherheit Veranstalter: ebusiness-lotse

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

LEITFADEN DATENSCHUTZ

LEITFADEN DATENSCHUTZ In diesem Dokument wird aufgeführt, was bei dem Aufbau einer Datenschutzorganisation beachtet werden muss. Auch wird vermerkt, welche einmaligen und regelmäßigen Aufgaben durch den Datenschutzbeauftragten

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Einführung in Datenschutz und Haftungsrecht. - Fragen aus dem Klinikalltag -

Einführung in Datenschutz und Haftungsrecht. - Fragen aus dem Klinikalltag - Einführung in Datenschutz und Haftungsrecht - Fragen aus dem Klinikalltag - ! Übersicht! Datengeheimnis und Verschwiegenheitspflicht 29.09.2005 2 ! Übersicht! Datengeheimnis und Verschwiegenheitspflicht!

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort zur zweiten Auflage.... Vorwort zur ersten Auflage... V VI Teil 1: Grundzüge des BDSG Kapitel 1: Einführung...................................... 1 I. Einleitung.... 1 II. Was sollte man zur Entwicklung

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Wozu brauchen wir Datenschutzbestimmungen? Risiken der Informationsgesellschaft Information at your fingertips

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe -

Christoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe - Christoph Ohrmann Meldepflichten bei Datenpannen (Data Breach) Übersicht über die Arbeitshilfen vertragszusatz.doc Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung maßnahmen.doc ersterfassung.doc

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Neues vom Datenschutz

Neues vom Datenschutz FG IT-Sicherheit medien forum freiburg Neues vom Datenschutz Die Auswirkungen der BDSG-Novelle 2009 Dr. jur. Astrid Breinlinger Von 1989 bis 1997 Leiterin der Datenschutzaufsichtsbehörde in Hessen (Rhein-Main-

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Datenschutz. Anwaltskanzlei Baron v. Hohenhau

Datenschutz. Anwaltskanzlei Baron v. Hohenhau Datenschutz Anwaltskanzlei Baron v. Hohenhau Beim Datenschutz stehen, anders als der Begriff zunächst vermuten lässt, nicht die Daten im Vordergrund, sondern die Personen, über die Informationen (Daten)

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Datenschutz in Kindertageseinrichtungen der EKHN. Jürgen Porth Datenschutzbeauftragter der EKKW und der EKHN datenschutz@ekhn-kv.

Datenschutz in Kindertageseinrichtungen der EKHN. Jürgen Porth Datenschutzbeauftragter der EKKW und der EKHN datenschutz@ekhn-kv. Datenschutz in Kindertageseinrichtungen der EKHN Jürgen Porth Datenschutzbeauftragter der EKKW und der EKHN datenschutz@ekhn-kv.de Datenschutz in der Evangelischen Kirche 1) Allgemeines zum Datenschutz

Mehr

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG Autoren: Daniela Weller (DIIR e.v.) In Zusammenarbeit mit Uwe Dieckmann (GDD e.v.) und Volker Hampel

Mehr

»Bring Your Own Device«(BYOD)

»Bring Your Own Device«(BYOD) »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den 26.11.2013 Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover AGENDA

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg. Datenschutz Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh

Mehr

Datenschutz. Nutzen oder Hemmschuh?

Datenschutz. Nutzen oder Hemmschuh? Datenschutz www.datenschutz-roemer.de Nutzen oder Hemmschuh? Impulsveranstaltung im Rahmen der Qualifizierungsoffensive Mittelhessen Weiterbildungsforum Europaviertel Gießen, 10. März 2006 Ilse Römer Datenschutz-Auditorin

Mehr