Datenschutz und Datensicherheit: Pflichten und Nutzen

Größe: px
Ab Seite anzeigen:

Download "Datenschutz und Datensicherheit: Pflichten und Nutzen"

Transkript

1 Datenschutz und Datensicherheit: Pflichten und Nutzen

2 Meine Erwartung an die Veranstaltung Ich werde ab Dienstag DSB Bestätigung das DV unproblematisch Weiß nicht 2

3 Betrieblicher Datenschutz Einführung Worum geht es? 3

4 Datenschutz vs. IT-Sicherheit IT-Sicherheit IT-Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz (z. B. Blitzschutz) IT-Sicherheit und Datenschutz IT-Sicherheitsmaßnahmen mit gleichzeitiger Datenschutzrelevanz (z. B. Protokollierung) Bemerkung: Anforderungsunterschiede sind zu beachten Datenschutz Spezifische Maßnahmen des Datenschutzes (z. B. Sicherstellung der Zweckbindung, Verfahrensverzeichnis, Meldepflicht) 3

5 Ich kenne das Datenschutzrecht Ja Nein Weiß nicht 4

6 Gesetzliche Regelungen Gesetze BDSG (Bundesdatenschutzgesetz) ABMG (Autobahnmautgesetz) AentG (Arbeitnehmer-Entsendegesetz) AO (Abgabeordnung) AufenthG (Aufenthaltsgesetz) AZR-Gesetz (Ausländerzentralregistergesetz) BND-Gesetz (Bundesnachrichtendienstgesetz) BstatG (Bundesstatistikgesetz) BArchG (Bundesarchivgesetz) BKAG (Bundeskriminalamtgesetz) BPolG (Bundespolizeigesetz) BVerfSchG (Bundesverfassungsschutzgesetz) BZRG (Bundeszentralregistergesetz) EStG (Einkommensteuergesetz) KBAG (Gesetz Errichtung Kraftfahrt-Bundesamt) PersAuswG (Gesetz über Personalausweise) KapMuG (Kapitalanleger-Musterverfahrensgesetz) KWG (Kreditwesengesetz) MRRG (Melderechtsrahmengesetz) PaßG (Paßgesetz) PDSV (Postdienste-Datenschutzverordnung) PostG (Postgesetz) PStG (Personenstandsgesetz) SchwarzArbG (Schwarzarbeitsbekämpfungsgesetz) SGBI (Sozialgesetzbuch I) SGBII (Sozialgesetzbuch II) SGBIV (Sozialgesetzbuch IV) SGBV (Sozialgesetzbuch V) SGBX (Sozialgesetzbuch X) SigG (Signaturgesetz) StGB (Strafgesetzbuch) StPO (Strafprozessordnung) StUG (Stasi-Unterlagengesetz) TKG (Telekommunikationsgesetz) TKÜV (Telekommunikations-Überwachungsverordnung) TMG (Telemediengesetz) ZensVorbG (Zensusvorbereitungsgesetz) 6

7 Entwicklung des Datenschutzes in Deutschland : Weltweit erstes Datenschutzgesetz in Hessen Datenschutz = Datensicherheit : Volkszählungsgesetz : Urteil zur Volkszählung Grundrecht auf informationelle Selbstbestimmung Beschränktes Eingriffsrecht des Staates Datenschutz = Schutz der Person : Bundesdatenschutzgesetz : Großer Lauschangriff Kernbereich der privaten Lebensgestaltung : Fernmeldeüberwachung : Rasterfahndung : Online-Durchsuchung/Bundestrojaner Computer-Grundrecht : Massenabgleich von KFZ-Kennzeichen : Drei Novellierungen des BDSG : Ende der Übergangsregelung zur Datennutzung zu Werbezwecken. 7

8 Ich kenne das Datenschutzrecht Sind Sie immer noch sicher? 8

9 Meine Einrichtung beachtet den Datenschutz Ja Nein Weiß nicht 9

10 Was Sie über Cookies im Internet wissen sollten Süddeutsche.de am Daten gelten in der digitalen Welt als das neue Öl oder Gold. Ihre Daten. Jeder weiß, dass sie im Internet von fast allen Seiten erhoben werden, damit auf persönliche Interessen zugeschnittene Anzeigen angezeigt werden können, damit Sie individuelle Newsletter oder Kaufempfehlungen bei Online-Händlern bekommen - oder damit zum Beispiel analysiert werden kann, wie viele Leser eine Nachrichtenseite wie Süddeutsche.de hat. - Persönliche Daten, mit denen wir Sie identifizieren können - diese nutzen wir nur nach ausdrücklicher Anmeldung. - Anonymisierte Daten - mit Hilfe von Cookies analysieren wir die Klicks auf unserer Seite; Werbekunden nutzen diese Technik, um personalisierte Anzeigen aufzuspielen. 10

11 Datenschutz in sozialen Netzwerken Viele Nutzer bei Facebook veröffentlichen derzeit das oben stehende Foto um der kommerziellen Nutzung ihrer Daten zu widersprechen. Problem: - Ein Widerspruch ist nur wirksam, wenn er dem betroffenen Unternehmen auch (schriftlich also per Post!!!) zugegangen ist; - Letzte Änderung der AGB von Facebook stammt vom !!! - Vorher durften Nutzer über die Änderung abstimmen nur 0,04% der Nutzer von erforderlichen 1/3 haben abgestimmt. Quoren werden daher abgeschafft. 11

12 Datenschutz in sozialen Netzwerken Den Abstimmungslink finden Sie unter: https://www.facebook.com/notes/facebook-site-governance/reaktion-aufeuer-feedback/

13 Das Recht am eigenen Bild Grundsätzlich kann jede Person eigene Aufnahmen im Internet freigeben. Davon gibt es allerdings beachtliche Einschränkungen - Stellt eine Aufnahme eine oder mehrere Personen dar, kann die Veröffentlichung durch Persönlichkeitsrechte der Abgebildeten eingeschränkt werden. Jeder Mensch darf grundsätzlich selbst darüber bestimmen, ob überhaupt und in welchem Kontext Bilder von ihm veröffentlicht werden ohne Erlaubnis ist also ein Hochladen verboten. Ausnahmen: - Öffentliche Versammlungen oder Veranstaltungen - Absolute Person der Zeitgeschichte Die Veröffentlichung von Fotos von urheberrechtlich geschützten Gebäuden (Werke der Architektur) in Deutschland (sowie in Österreich, der Schweiz und weiteren Ländern) ist generell durch die Panoramafreiheit gedeckt, jedoch nur: - Lediglich die äußere Ansicht dargestellt wird (Urheberrecht des Architekten); - Der Aufnahmestandort allgemein und ohne Hilfsmittel zugänglich ist. Problem: Veröffentlichung von Werkfotografien, sofern sich das Werk in einem geschlossenen Raum und das Fotografieren untersagt ist. 13

14 Sicherheitslücken in Whats App Whats App war in den letzten Monaten wiederholt wegen erheblicher Sicherheitslücken und leicht hackbarer Nutzeraccounts in der Fachpresse. Im November wurden Sicherheitsupdates ausgerollt. Wirkung Stand : - Noch immer soll es relativ leicht sein, den Account eines WhatsApp-Nutzers zu knacken und in seinem Namen auf dem Smartphone Nachrichten zu senden oder abzufangen. - Nach heise.de sei es möglich, lediglich mit der Handy-Nummer und der Seriennummer (IMEI) eines Smartphones einen Whatsapp-Account zu kapern. Benötigt werde hierzu nur ein Skript. - Eine Nachfrage beim Anbieter soll eine sofortige Reaktion ergeben haben, wonach sich der Anbieter nach der Version der App erkundigt haben soll. 14

15 Änderung der Sicherheitsstandards bei App s Auf Drängen der kalifornischen Generalstaatsanwältin haben sich sechs Großunternehmen darauf geeinigt, den Datenschutz bei Apps zu verbessern: - Apps für Smartphones und Tablets dürfen keine heimlichen Datensauger mehr sein. Hierzu gab es im Februar 2012 eine Vereinbarung mit Apple als Betreiber des App Store für iphone und ipad, Google mit seiner Android- Plattform, Microsoft, dem Blackberry-Anbieter RIM, Hewlett-Packard sowie Amazon. - Der Nutzer muss darüber aufgeklärt werden, welche Daten von ihm gesammelt werden und was damit geschieht. - Zudem müssen die Plattform-Betreiber innerhalb eines halben Jahres einen Kanal für Nutzer-Beschwerden einrichten. - Die Datenschutz-Charta sieht den Angaben zufolge unter anderem vor, dass Internetbrowser einen Knopf für mehr Datenschutz erhalten. Klicken die Internetnutzer darauf, wollen die großen Internetkonzerne die Aktivitäten der Nutzer nach eigener Aussage nicht mehr verfolgen. 15

16 Datenschutz American Style Geheimnisse der New Yorker Polizei liegen nach der Thanks-Giving Parade auf der Straße!!! - Bei der traditionellen Parade zum Thanksgiving-Feiertag in New York regnete es Konfetti mit vertraulichen Informationen der Polizei; - "Das waren ganze Sätze, Nummernschilder und Polizeiberichte", sagte der Anwalt Saul Finkelstein zu CNN. - Selbst Sozialversicherungsnummern, für viele Amerikaner der wichtigste Ausweis ihrer Identität, seien lesbar gewesen. 16

17 Geplante EU Rechtsetzung Anfang 2012 wurde eine neue geplante EU-Verordnung durch die EU Kommission vorgestellt - Die Europäische Kommission beklagt "die unterschiedliche Handhabung des Datenschutzes in der Union" und "die öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist"; - Der Datenschutz soll direkt geltendes und detailliertes EU-Recht werden!!!! - Das Bundesdatenschutzgesetz (Zivilrecht und öffentliche Stellen des Bundes) und die Landesdatenschutzgesetze (öffentliche Stellen in den Ländern) sollen ersatzlos entfallen. - Aber: Datenschutz ist kein Rechtsgebiet wie etwa die Agrarmarktregelung oder die Arbeitnehmerfreizügigkeit. Informationen prägen alle Rechtsgebiete, das materielle wie das Verfahrensrecht, daher würde eine europäische Datenschutzordnung unser gesamtes Dasein reglementieren und die nationalen Rechtsordnungen weitgehend überformen. - => Rechtsetzungskompetenz EU????? 17

18 EU - Datenschutzgrundverordnung Verordnungsentwurf wurde am vorgestellt und umfasst folgende Inhalte (auf 138 Seiten): - Rechtssetzungskompetenz basiere auf Art. 5 EÜV, da unionsweite Regelung erforderlich; - Datenschutz in EU-Mitgliedstaaten aktuell nicht in gleichem Maße gewährleistet bei stetig steigendem grenzüberschreitenden Datenverkehr - Allein die EU sei der geeignete Ansprechpartner um den Transfer in Drittländer adäquat zu regeln - Art. 4 definiert die Begriffe unter Abänderung der ursprünglichen Richtlinie 95/46/EG neu oder hat sie übernommen (geändert oder neu z. B. Gesundheitsdaten auf körperlichen oder geistigen Zustand oder Gesundheitsleistung bezogen, biometrische Daten, Hauptsitz, Unternehmen, Unternehmensgruppe, explizit als Eigenschaftswort zur Einwilligung ). - Aufnahme des Grundsatzes der Transparenz und der Datenminimierung (Art. 5) aber Senkung Schutzniveau für Unternehmen mit weniger als 250 AN 18

19 - Art. 6 und 7 definieren die Kriterien einer rechtmäßigen Verarbeitung EU - Datenschutzgrundverordnung - Art. 7 regelt neu, unter welchen Voraussetzungen eine wirksame Einwilligung in eine Datenverarbeitung erteilt werden kann (ohne Zwang, Erklärung oder sonst. Handlung Beweislast beim Verantwortlichen keine Ausnutzung von Ungleichgewicht) - Art. 8 regelt die Bedingungen unter den Daten von Kindern rechtmäßig verarbeitet werden können. - Art. 9 beinhaltet das Verbot der Verarbeitung bestimmter Kategorien von personenbezogenen Daten und Ausnahmetatbestände hierzu - Art. 26 Neuregelung der Auftragsdatenverarbeitung der vor allem eine doppelte Verantwortlichkeit des Auftraggebers und des Auftragnehmers vorsieht - Art. 28 Dokumentationspflicht aller Verarbeitungsvorgänge - Art. 30 bei der Auftragsdatenverarbeitung sind Auftraggeber und Auftragnehmer zur Sicherstellung der Datensicherheit verpflichtet - Art. 33 Auftragnehmer und Auftraggeber sind zur einer (vorherigen) Folgenabschätzung verpflichtet - Art. 35 betrieblicher Datenschutzbeauftragter nur noch in Großunternehmen (mehr als 250 AN oder Unternehmenstätigkeit liegt in der Datenverarbeitung) - Art. 40 ff. Datenübermittlung in Drittländer (Beurteilung Datenschutzniveau durch Kommission sog. Angemessenheitbeschluss) 19

20 Krebsfrüherkennungsgesetz (KFRG) Die herausragende Zielsetzung des Krebsregistergesetzes der Realisierung der bestmöglichen Krebsbehandlung für alle Patienten wird durch eine entscheidende Verschlechterung des bisherigen Niveaus des Datenschutzes krebskranker Patienten überlagert. So werden: Die Daten nicht mehr anonymisiert, sondern nur noch pseudonymisiert. Sie könnten also jederzeit wieder einer bestimmten Person zugeordnet werden. Ist eine Personenbeziehbarkeit jederzeit herstellbar, können die Daten zumindest theoretisch für sachfremde Zwecke genutzt werden. Der bisherige bei klinischen Krebsregistern bestehende Datenschutz wird durch die Aufhebung der Anonymisierung ausgehöhlt. Wie schon beim ursprünglichen Entwurf des Melderegistergesetzes wird der Grundsatz der vorherigen Einwilligung zu Gunsten einer generellen gesetzlichen Erlaubnis mit Widerspruchsrecht modifiziert. Entgegen 299 SGB V findet keine Stichprobe sondern eine Vollerhebung statt, ohne die für Vollerhebungen wie z. B. Volkszählungen geltenden Voraussetzungen zu beachten (Anonymisierung). 20

21 Beschäftigtendatenschutzes Die Bundesregierung hat zur Drucksache 17/4230 eine Neuregelung des Beschäftigtendatenschutzes in Form eines Referentenentwurfes vorgelegt, der vor allem auch den Bereich Call-Center berücksichtigen soll. Ziel des Gesetzes ist es nach der Stellungnahme in der Drucksache 17/10666: - Praxisgerechte Regelungen für Beschäftigte im Sinne des 3 Absatz 11 des Bundesdatenschutzgesetzes (BDSG) zu schaffen. Es sollen für Zwecke des Beschäftigungsverhältnisses nur solche Daten verarbeitet werden dürfen, die für dieses Verhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Beschäftigungsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, sollen (zukünftig) ausgeschlossen sein. Mit den Neuregelungen sollen Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben werden. Der Gesetzentwurf enthält daher Regelungen für die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten vor und nach Begründung eines Beschäftigungsverhältnisses. - Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 32f Absatz1 BDSG-E schafft für die Videoüberwachung in nicht öffentlich zugänglichen Betriebsstätten eine besondere gesetzliche Grundlage, die der Wahrung des allgemeinen Persönlichkeitsrechts der Beschäftigten und dem Recht am eigenen Bild im Verhältnis zum Arbeitgeberinteresse Rechnung trägt. Dementsprechend ist auch die Videoüberwachung zur Qualitätskontrolle nur zulässig, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn nach Art und Ausmaß keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Beschäftigten am Ausschluss der Datenerhebung überwiegen. - 32d Absatz 3 BDSG-E regelt, für welche Zwecke und in welcher Form der Arbeitgeber einen automatisierten Abgleich von für andere Zwecke des Beschäftigungsverhältnisses erhobenen, mithin bei ihm vorhandenen Beschäftigtendaten, mit von ihm geführten Dateien durchführen darf. Der Abgleich ist nur zulässig zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch den Beschäftigten im Beschäftigungsverhältnis. 21

22 Betrieblicher Datenschutzbeauftragter: Ihr erster Arbeitstag Ausgangssituation - Ihr neuer Auftraggeber wurde durch das Auffinden von Bewohnerakten auf dem Acker aufgeweckt - Sie, Stephan W., wurden als externer Datenschutzbeauftragter bestellt - Am Vorabend Wiesn s Fest einer Chirurgischen Klinik. Zug ist heute auch verspätet, Ankunft erst gegen 12:00 Uhr - Mitarbeiter alle zu Tisch - Sie betreten die kaufmännische-abteilung des Unternehmens und finden folgende Situation vor: 22

23 23

24 24

25 Sie überprüfen das WLAN. 25

26 Sie hacken das WLAN mit. 26

27 Meine Einrichtung beachtet den Datenschutz Sind Sie sicher? 27

28 Grundlagen des Datenschutzrechts Datenschutz ist ein Grundrecht. Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt. Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können. 28

29 Allgemeines Persönlichkeitsrecht Inhalt Das Recht der Betroffenen zur aktiven und individuellen Gestaltung der Persönlichkeit in den von der Verfassung und den Gesetzen gezogen Grenzen, soweit es nicht bereits Gegenstand spezialgesetzlicher Vorschriften oder Verfassungsnormen ist. Bestandteile Menschenwürde (Art. 1 Abs. 1 GG) - Persönlichkeitsgüter (Geist, Körper, Gesundheit, Existenz) allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) aktive (freie) Gestaltung der Lebensführung - Individualität (äußeres Erscheinungsbild, Auftreten, Äußerungsformen, persönliche Anlagen, Besonderheiten Schranken unmittelbarer Verfassungs- und Gesetzesvorbehalt 29

30 Recht auf informationelle Selbstbestimmung Inhalt Das Recht des Betroffenen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen er persönliche Lebensverhältnisse offenbart Reichweite im öffentlichen Bereich im nicht-öffentlichen Bereich stellt die Grundbedingung jeglicher Datenverarbeit dar und betrifft daher die datenschutzrechtliche Ordnung insgesamt ist nicht nur nur Abwehrrecht, sondern gilt auch im Privatrecht und strahlt nicht nur als Interpretationshilfe bei der Auslegung von Generalklauseln ein Einschränkbarkeit - im überwiegenden Allgemeininteresse Voraussetzungen - die Einschränkung bedarf einer (verfassungsmäßigen) Grundlage (Gesetzesvorbehalt) - Aus der gesetzlichen Regelung müssen der Tatbestand und die Rechtsfolge geregelt und ersichtlich sein - die Norm muß verhältnismäßig sein (geeignet, erforderlich und angemessen) - es müssen ausreichende organisatorische und verfahrensrechtliche Regelungen zum Schutz des Betroffenen enthalten sein (Transparenz) - die Norm muß eine eindeutige Bestimmung des Verwendungszweckes enthalten (Zweckbindung) Abb. 3 30

31 Personenbezogene Daten Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare Person beziehen. Beispiele: Name Adresse Gehalt Geburtsjahr Vermögensverhältnisse Wohnverhältnisse Kreditkartennummer Telefonnummer 31

32 Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Name 32

33 Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Bestimmbar wird eine Person, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird. IP-Adresse Abgleich mit Providerdaten 33

34 Besondere personenbezogene Daten Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind. Politische Meinung Ethnische Herkunft Religiöse Überzeugung Gesundheit Gewerkschaftszugehörigkeit Sexualleben 34

35 BDSG Zulässigkeit Zweckbindung Transparenz Korrekturrecht Datensicherheit Kontrolle Sanktionen Verbotsprinzip Erforderlichkeitsprinzip Datenvermeidung und Datensparsamkeit 35

36 Datenerhebung Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, erlaubt diese aber unter bestimmten Voraussetzungen (Verbot mit Erlaubnisvorbehalt). Datenerhebung ist somit zulässig, wenn sie durch das BDSG selbst Beispiel: öffentlich zugängliche Daten oder durch eine andere Rechtsvorschrift Beispiel: Steuern, Abgaben oder durch die Einwilligung des Betroffenen Beispiel: Einverständniserklärung zur Datennutzung erlaubt wird. 36

37 Datenverarbeitung Erheben Beschaffen von Daten: - Die Daten sind direkt beim Betroffenen zu erheben (Grundsatz des Vorrangs der Direkterhebung). - Dadurch kann der Betroffene im Sinne des informationellen Selbstbestimmungsrechts die Datenerhebung maßgeblich beeinflussen. Verarbeiten Umgang mit den Daten in der Praxis: Speichern Verändern Übermitteln Sperren Löschen Nutzen Jede sonstige Verwendung, z. B. - zur Korrespondenz mit dem Betroffenen - Duplizieren, kopieren - Auswertungen - zur Information des Betroffenen über das Vorhandensein von Daten - Übersendung zur Auftragsdatenverarbeitung sowie Rückgabe nach derselben 37

38 Zweckbindung bedeutet: (1) Personenbezogene Daten.dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.( 3a BDSG) 38

39 Erforderlichkeit bedeutet Rechtsprinzip (auch BDSG), das allgemein zum Ausdruck bringt, dass Maßnahmen, die in die Rechte des Betroffenen eingreifen, voraussetzen, dass die Maß-nahmen unabdingbar sein müssen, um einen bestimmten Zweck zu erreichen. Es steht keine gleichermaßen wirksame Maßnahme zur Verfügung, mit der der angestrebte Zweck erreicht werden kann. Damit genügt es nicht, dass die Datenerhebung eine grundsätzlich dienliche oder brauchbare Maßnahme ist. 39

40 Sparsamkeit bedeutet Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. ( 3a BDSG) 40

41 Betroffenenrechte Unternehmenspflicht zur Auskunft und zur Wahrung der Betroffenenrechte Information bei Erhebung oder Benachrichtigung bei Speicherung Betroffener Unternehmen Auskunftsrecht Berichtigungsanspruch Löschungsanspruch Sperrungsanspruch 41

42 Datenschutzrecht im Unternehmenskontext Internationales Recht Stand der Technik Nationales Recht Compliance Archivierungspflichten Datenschutz- Recht Vertragliche Vereinbarungen Vgl. Witt, B. (2008): Datenschutz, S. 9 f. Interne Regelungen Standards & Frameworks 42

43 Ich kenne das Datenschutzrecht!! Sind Sie sich immer noch sicher? 43

44 Meine Einrichtung beachtet den Datenschutz Sind Sie sich immer noch sicher? 44

45 BDSG Novellen BDSG-Novellen I-III 2009 Informationspflichten bei Datenschutzpannen Erweiterte Anforderungen an die Auftragsdatenverarbeitung Zulässigkeit der personalisierten Werbung Zulässigkeit der Scorings Gesetz zur Umsetzung der Verbraucherkreditrichtlinie ( BDSG-Novelle III ) Neuregelung für automatisierte Entscheidungen Erweiterte Rechte des Betroffenen Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten Datenschutz im Beschäftigungsverhältnis Erweiterte Kompetenzen der Aufsichtsbehörden Verschärfung der Bußgeldbestimmungen 45

46 Novellierung des BDSG - Umfangreiche Änderungen - Zu unterschiedlichen Terminen mit Übergangsfristen Übergangsregelung Für die Datenverarbeitung und Nutzung vor dem erhobener oder gespeicherter Daten ist 28 in der bis dahin gültigen Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum für Zwecke der Werbung bis zum

47 Informationspflicht bei Datenschutzpannen BDSG-Novellen I-III 2009 Informationspflichten bei Datenschutzpannen Wenn sensible Kunden- oder Mitarbeiterdaten abhanden kommen und ein erhebliches Missbrauchsrisiko besteht, so sind die Betroffenen und die Aufsichtsbehörde zu informieren ggf. öffentlich. Hinweis: Nicht unterschätzt werden dürfen die potentiell nachteiligen Auswirkungen dieser Informierung Betroffener auf die Produktvermarktung. Dies muss Anreiz zu sorgfältigem Umgang mit Personendaten sein, nicht aber Anlass zu Verzögerungen, da sich hierdurch Schäden und damit die Haftung der verantwortlichen Stelle noch ausweiten können. 47

48 Warum Cloud Computing? 48

49 Cloud als neue Betriebsform 49

50 Office 2010 & Office Web Apps 50

51 Weltweite Rechenzentren 51

52 Übermittlung ins Ausland ( 4b BDSG) - Zulässig nur, wenn hinreichendes Datenschutzniveau sichergestellt ist Unproblematisch bei Übermittlung innerhalb der EU/EWR Datenübermittlung in Ländern mit verbindlicher Feststellung eines hinreichendes Datenschutzniveaus durch die Kommission (z. B. Schweiz, Kanada) USA: Safe-Harbor-Lösung Sicherstellung durch Vertragsgestaltung (Hinreichende Sanktionierung) 52

53 DV außerhalb des EU-/EWR-Raumes - Clouds außerhalb EU-/EWR-Raum sind generell unzulässig Optionsmöglichkeit der räumlichen Einschränkung - Ausnahmemöglichkeit bei festgestellter Angemessenheit des DS- Niveaus ( 4b II 2, 3 BDSG): CH, CN, Argent. - Safe-Harbor-Selbst-Zertifizierung von US-Unternehmen genügt nicht - EU-Standardvertragsklauseln zur DViA (Art. 26 II EU-DSRL) - Analog Binding Corporate Rules (BDRs) 53

54 1. Hintergrund: Warum ist dies kritisch? Die Datenweitergabe an den Dienstleister ist der kritische Prozess, weil eine Datenweitergabe Im Krankenhaus/Seniorenheim besonders sanktioniert ist. Erheben Speichern Übermitteln Nutzen Verändern Löschen Es besteht eine besondere Pflicht für diese Arbeitsphase die unbefugte Weitergabe ist strafbar. = ärztliche Schweigepflicht 54

55 1. Hintergrund: Ärztliche Schweigepflicht 203 StGB Verletzung von Privatgeheimnissen Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis offenbart, das ihm als Arzt, Zahnarzt, Apotheker oder Angehöriger eines anderen Heilberufes (mit staatlich geregelter Ausbildung) anvertraut worden oder sonst bekanntgeworden ist,... wird bestraft. Den Ärzten, stehen ihre berufsmäßigen tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. 55

56 1. Hintergrund: Wer sind Geheimnisträger? Einer vergleichbaren Geheimhaltungspflicht unterliegen alle in 203 StGB aufgezählten Personengruppen: 1. Arzt, Zahnarzt, Tierarzt, Apotheker, Heilberufsangehöriger 2. Berufspsychologen 3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger 4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen 5. Schwangerschaftsabbruchsberater, anerkannte Sozialarbeiter 6. Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstelle 56

57 2. Allgemeine rechtliche Anforderung Bei der Einbindung externer Stellen müssen zwei Aspekte berücksichtigt werden: 1. Externe allgemein beteiligen nach Regeln der Auftragsdatenverarbeitung 2. geschützte Daten offenbaren durch eine Befugnis 57

58 2. Allgemeine rechtliche Anforderung Aber: Allein die richtige Einbindung des Externen reicht nicht. Es werden Daten offenbart. Missbraucht der Dienstleister diese, wird aber nicht bestraft. Das ist eine Minderung des Patientendatenschutzes. Arzt Arzt Unbefugt = strafbar Dienstleister Unbefugt = NICHT strafbar Presse Presse 58

59 3. Offenbarungsbefugnis Kernfrage: Wie können Daten gegenüber dem Dienstleister befugt offenbart werden? 59

60 3. Offenbarungsbefugnis Offenbarungsbefugnis Einwilligung Gesetz Grundsätzlich sind zwei Wege denkbar: Daten können mit Einwilligung oder durch eine gesetzliche Erlaubnis offenbart werden. 60

61 4. Lösung 1 Mit Einwilligung Einwilligung MÜSSEN bestimmte Voraussetzungen erfüllen: freiwillig, vorherige Aufklärung, bes. Hinweis auf Erklärung usw.. z. B. 4a BDSG; 4 DGSG- NRW; 50 LKHG BaWü; 36 Abs. 2 LKHG RHPf Damit kann jeder Dienstleister eingebunden werden, keine besonderen Anforderungen an den DL notwendig Aber: In welche Methode willigt der Patient wirklich ein? 61

62 - Formelle Vorgaben Schriftform Hervorhebungspflicht Einwilligung ( 4a BDSG) - Freiwilligkeit Aufklärungspflicht über Zweck, Umfang und Folgen einer Verweigerung der Einwilligung Einwilligung ist unwiderruflich Verwendung von Kundendaten zu Werbezwecken (BGH, Urteil v Payback) - Opt-Out-Lösung: Formularmäßige Einwilligung in Papierform - Opt-In-Lösung: Formularmäßige Einwilligung im Internet / SMS - Trennungsgebot 62

63 Einwilligung ( 4a BDSG) 63

64 Vertrag & Anlagen Die wichtigste Einwilligungserklärung für Pflegeeinrichtungen ist der der Heim- oder Pflegevertrag mit den betreffenden Anlagen. Im Vertrag ist auf die Einhaltung des Datenschutzes / der Schweigepflicht hinzuweisen. Nach Möglichkeit sollte eine Anlage mit einer mit einer Einwilligungserklärung Teil des Vertrags sein, die vom Vertragspartner zu unterschreiben ist. Damit erklärt sich der Bewohner / Leistungsnehmer einverstanden mit der Nutzung seiner personenbezogenen Daten. 64

65 Keine Lösung: Zulässige Datenverarbeitung im w. S Abs. 1, Abs. 2 BDSG Unmittelbare Datenverarbeitung für eigene Zwecke Enge Anbindung an ein konkretes Schuldverhältnis (Erfüllung eines vertraglichen oder vertragsähnlichen Zwecks) Außerhalb eines konkreten Schuldverhältnisses nur mit Interessenabwägung Keine Übermittlung an Dritte - Kein Konzernprivileg! - Genaue Prüfung bei Vertragsübernahmefällen 65

66 5. Lösung 2: ohne Offenbarung Außer Einwilligung und Verarbeitung durch Geheimhaltungsträger ist auch eine dritte Lösung denkbar: Der Dienstleister verarbeitet so, dass er mit Daten nicht in Berührung kommt. Dann findet keine Offenbarung statt! Verschlüsselt Pseudonymisiert Die verschlüsselte externe Speicherung hat die Bayerische Aufsichtsbehörde bereits als zulässig bewertet siehe 21. Tätigkeitsbericht von

67 Auftragsdatenverarbeitung ( 11 BDSG) - Auftragsdatenverarbeitung aus Auftraggebersicht Kein Übergang der Verantwortlichkeit (sonst Funktionsübergang) Auswahl unter besonderer Berücksichtigung der Eignung der technischen und organisatorischen Maßnahmen beim Auftragnehmer Schriftformgebot - Auftragsdatenverarbeitung aus Auftraggebersicht Keine Haftungsfreistellung Hinweispflicht bei datenschutzwidrigen Weisungen - Fernwartung ( 11 Abs. 5 BDSG) Möglichkeit des Datenzugriffs reich aus Schriftform Sicherstellung der Datenstandards durch den Auftraggeber 67

68 Auftragsdatenverarbeitung BDSG-Novellen I-III 2009 Erweiterte Anforderungen an die Auftragsdatenverarbeitung Auftragsdatenverarbeitung ist die Verarbeitung von pb Daten durch Dritte. Beispiele: Steuerberater, Lohnbüro, Akten- und Datenträgervernichter, Call-Center, EDV- Dienstleister usw. Auftragsdatenverarbeitung bedarf der Schriftform. Auftragnehmer sind vorab und während der Tätigkeit zu kontrollieren, ob der Datenschutz eingehalten wird. Der Auftraggeber hat die gesetzliche Pflicht und das Recht beim Auftraggeber entsprechende Informationen einzuholen, z. B. Kontrolle der IT-Struktur. Dokumentationspflicht des Auftraggebers über durchgeführte Kontrollen. Die Verantwortung für den Datenschutz liegt beim Auftraggeber! Der Auftragnehmer hat eine Auskunftspflicht. Beachtet der Auftragnehmer den Datenschutz nicht oder nicht im erforderlichen Umfang, darf er nicht beauftragt werden! 68

69 Auftragsdatenverarbeitung Was ist neu seit ? Erhebung, Verarbeitung oder Nutzung personenbezogner Daten im Auftrag Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: die Berichtigung, Löschung und Sperrung von Daten, die Pflichten des Auftragnehmers, die Kontrolle des Auftraggebers, mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften zum Schutz personenbezogener Daten. Fazit: Überprüfung aller Verträge Überprüfung der technischen und organisatorischen Maßnahmen 69

70 Auftragsdatenverarbeitung Was ist neu seit ? Datenerhebung, -verarbeitung und nutzung für Zwecke des Beschäftigungsverhältnisses Zur Aufdeckung von Straftaten dürfen personenbezogene Daten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen,.. Fazit: Überarbeitung von Betriebsvereinbarungen Überarbeitung von internen Richtlinien Überarbeitung des Management-Handbuches 70

71 Auftragsdatenverarbeitung Was ist neu seit ? Datenerhebung, -verarbeitung und nutzung für eigene Zwecke Bei der Erhebung personenbezogener Daten sind die Zwecke, für die Daten verarbeitet oder genutzt werden, konkret festzulegen.. 47 Übergangsregelung: Für vor dem erhobene oder gespeicherte Daten ist der 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. den Zwecke der Markt- oder Meinungsforschung 2. für Zwecke der Werbung. Fazit: Bildung von logisch getrennten Datenbeständen keine Mischung von eigenen und fremden Daten 71

72 Auftragsdatenverarbeitung Was ist neu seit ? Kontrollrechte des Auftragsgebers Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Kontrollrechte des Auftragsgebers 11 gilt entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 72

73 Auftragsdatenverarbeitung Was bedeutet das in der Praxis für einen IT-Dienstleister? - Ein IT-Dienstleister muss nachweisen, dass er gem. dem Stand der Technik geeignete technische und organisatorische Maßnahmen getroffen hat und zukünftig treffen wird. - Ein IT-Dienstleister hat regelmäßig seinen Auftraggeber vor Ort, die sich von der Einhaltung der Maßnahmen überzeugen. 73

74 Neuerungen im Einzelnen a) Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) Inhalt des neuen 10-Punkte-Katalogs - Gegenstand und Dauer - Umfang, Art und Zweck, Datenarten und Betroffene - Technische und organisatorische Maßnahmen - Berichtigung, Löschung und Sperrung - Pflichten gem. 11 Abs. 4 BDSG - Unterauftragsverhältnisse - Kontrollrechte und Mitwirkungspflichten - Mitteilungspflichten bei Verstößen - Weisungsbefugnisse - Rückgabepflichten bei Vertragsbeendigung 74

75 Neuerungen im Einzelnen a) Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) Umfang der Verpflichtungen - Status quo und Status quo ante - Kein abschließender Charakter ( insbesondere) Umsetzung - Festlegung im Einzelnen - Regelungsdichte und Detaillierungsgrad Beispiel: Technische und organisatorische Maßnahmen - Relevanter Maßstab - Verweis auf BSI-Grundschutz - Datenschutzaudit 75

76 Neuerungen im Einzelnen b) Kontrollpflichten ( 11 Abs. 2 S. 4 BDSG) Gegenstand - Technische und organisatorische Maßnahmen - Handlungspflichten und Mitwirkungs- bzw. Duldungspflichten Art und Weise von Kontrollmaßnahmen - Persönliche Vor-Ort-Kontrolle - Prüfung durch externe Dritte - Selbstauskunft des Auftragnehmers - Auswirkungen auf besondere Geschäftsmodelle (Cloud Computing, Verlagerung ins Ausland) 76

77 Neuerungen im Einzelnen b) Kontrollpflichten ( 11 Abs. 2 S. 4 BDSG) Zeitpunkt - Erstmalig vor beginn der Datenverarbeitung - Nach Beginn der Datenverarbeitung regelmäßig Kontrollfrequenz - Beurteilungskriterien Umfang der Auslagerung Sensibilität der betroffenen Daten Vertragslaufzeit Anlehnung an Revisionspraktiken? 77

78 Auswirkungen auf Altverträge Übergangsregelungen - Gesetzlich nicht vorgesehen - Gewährung einer Schonfrist durch Aufsichtsbehörden? Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) - Unverzügliche umzusetzen - Nutzung von Weisungsrechten - Anpassungsanspruch des Auftraggebers? Vertragliche Anforderungen ( 11 Abs. 2 S. 2 BDSG) - Unverzüglich umzusetzen - Ggf. auch Erstkontrolle trotz bestehenden Vertragsschlusses 78

79 Konsequenzen für Vertragsgestaltung Flucht in die Funktionsübertragung? - Vorteile Verantwortungsverlagerung auf Auftragnehmer Eingeschränkte Kontroll- und Dokumentationspflichten Begrenzung Bußgeldrisiko - Nachteile Beschränkte Herrschaft über Daten Oftmals mangelnde Realisierbarkeit wegen erforderlicher Datenübertragung und damit Offenbarung. Auswirkungen auf Verlagerungen ins nicht EU-Ausland - EU-Standardvertragsklauseln bleiben grundsätzlich unberührt - Hinweis: Aber Änderung der Klauseln durch Kommission beschlossen (Amtsblatt Nr. L 039 v , S. 5 18) 79

80 Unternehmenspflichten Bundesdatenschutzgesetz (BDSG) 4a-g, 5, 9, 34 und 38 BDSG Pflichten des Unternehmens Bestellung des Datenschutzbeauftragten (schriftlich, ab 9+ Personen) Bereitstellung von Räumen, Einrichtungen, Geräten und Mittel Meldepflicht bei Vorhaben zur automatisierten Verarbeitung von personenbezogenen Daten ( 4 g) Einrichtung der notwendigen technischen und organisatorischen Maßnahmen zum aktiven Datenschutz Informationspflicht bei Erhebung ( 4 Abs. 3), Auskunftspflicht ggü. Betroffenem ( 34), Auskunftspflicht ggü. Aufsichtsbehörde ( 38 Abs. 3), Verpflichtungspflicht auf Datengeheimnis ( 5) 80

81 Betrieblicher Datenschutzbeauftragter BDSG-Novellen I-III 2009 Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten Kündigungsschutz des innerbetrieblichen Datenschutzbeauftragten. Pflicht des Unternehmens zur Übernahme der Weiter- und Fortbildungskosten. Pflicht des Unternehmens, ausreichende Mittel für die Belange des Datenschutzes zur Verfügung zu stellen. 81

82 Betrieblicher Datenschutzbeauftragter Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) Wann muss ein Unternehmen einen DSB bestellen? - Ab 9 Mitarbeitern muss ein DSB bestellt werden, wenn die personenbezogenen Daten elektronisch verarbeitet werden. - Ab 20 Mitarbeitern muss ein DSB bestellt werden, wenn die Daten auf herkömmlicher Weise (z. B. Karteikasten) verarbeitet werden. - Verwendung besonders sensitiver Daten. - Verwendung besonderer Verfahren der Datenverarbeitung, die eine Vorabkontrolle erfordern, z. B. Videoüberwachung. 82

83 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Anforderungen - Fachkunde - Zuverlässigkeit Pflichten: - Den gesetzlichen Regelungen unterworfen & zur Verschwiegenheit verpflichtet - Zusammenarbeitsgebot mit dem Betriebsrat - Zusammenarbeit erwünscht mit den angrenzenden Fachstellen (CISO, CIO, interne Revision, Risikomanagement etc.) - Recherchen zur aktuellen Rechtslage - Lesen und Auswerten von Fachartikeln, Weiterbildungsmaßnahmen - Datenschutzaudit (per Gesetz ab 2009) durchzuführen - Zentraler Ansprechpartner für alle Datenschutz-relevanten Themen 83

84 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Rechte - Weisungsfreiheit - Direkt der Geschäftsführung unterstellt, Management Commitment - Vom Unternehmen durch Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel zu unterstützen - Aktives und passives Informationsrecht - Zugangsrecht zu Gebäuden und Räumen - Benachteiligungsverbot (Besonderer Kündigungsschutz für interne Datenschutzbeauftragte und ausreichende Vertragslaufzeit (mindestens 3 Jahre) für externe Datenschutzbeauftragte - Akten und andere Schriftstücke unterliegen Beschlagnahmeverbot - Aufsichtsbehörde als zentraler Ansprechpartner verfügbar 84

85 Betrieblicher Datenschutzbeauftragter Datenschutzbeauftragter Aufgaben - Koordination aller Datenschutz-relevanten Tätigkeiten im Unternehmen - Hinwirken auf die Einhaltung datenschutzrechtlicher Vorschriften - Überwachung der automatisierten Verarbeitung, bei welcher personenbezogene Daten verarbeitet werden (Datenschutzaudit) - Datenschutzrechtliche und technische Schulung und Sensibilisierung der Personen, die personenbezogene Daten erheben, verarbeiten oder nutzen - Durchführung von Vorabkontrollen - Beratung des Unternehmens bei datenschutzrechtlichen Fragen - Vertretung des Unternehmens in Gesprächen mit Aufsichtsbehörden - Aktive Pflege des Verfahrensverzeichnis - Ansprechpartner für Betroffene 85

86 Datenschutzmaßnahmen Pflicht zur Durchführung geeigneter technisch-organisatorischer Maßnahmen Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 86

87 Zutrittskontrolle Zugangskontrolle Kontrollmaßnahmen der Anlage zu 9 BDSG: Unbefugten ist der "körperliche" Zutritt zu Datenverarbeitungsanlagen, mit denen Verfügbarkeitskontrolle personenbezogene Daten verarbeitet werden, zu verwehren. Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 87

88 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Zugangskontrolle Eingabekontrolle Verfügbarkeitskontrolle Verhinderung der unbefugten Nutzung von Datenverarbeitungsanlagen, also dem Eindringen in das EDV-System Trennungsgebot seitens unbefugter (externer) Personen sowie die geregelte Zugangskontrolle eines grundsätzlich Berechtigten. Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 88

89 Pflichten des Unternehmens Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Eingabekontrolle Zugriffskontrolle Trennungsgebot Gewährleistung der nachträglichen Überprüfbarkeit, welche personenbezogenen Daten durch wen zu welcher Zeit in Datenverarbeitungssysteme Auftragskontrolle eingegeben bzw. dort verändert, gelöscht oder entfernt worden sind. Weitergabekontrolle

90 Pflichten des Unternehmens Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Zugriffskontrolle Auftragskontrolle Gewährleistung, dass die zur Benutzung Berechtigten nur auf die für ihre jeweils rechtmäßige Aufgabenstellung benötigten Weitergabekontrolle Daten zugreifen können.

91 Kontrollmaßnahmen der Anlage zu 9 BDSG: Die Verfügbarkeitskontrolle zielt auf den Schutz vor zufälliger Zerstörung ab, wie z.b. Wasserschäden, Zutrittskontrolle Brand, Blitzschlag, Stromausfall. Zugangskontrolle Verfügbarkeitskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 91

92 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Zugangskontrolle Eingabekontrolle Technische Sicherstellung der zweckbestimmten Verarbeitung von persönlichen Daten. Gemeint ist damit zumindest eine logische Trennung Verfügbarkeitskontrolle Trennungsgebot Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 92

93 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Der Auftragnehmer hat zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend Eingabekontrolle den Weisungen des Auftraggebers verarbeitet werden. Zugriffskontrolle Trennungsgebot Auftragskontrolle Weitergabekontrolle 93

94 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Die Weitergabekontrolle soll verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder gelöscht werden können und gewähr- Eingabekontrolle leisten, dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen Zugriffskontrolle zur Datenübertragung vorgesehen ist. Trennungsgebot Auftragskontrolle Weitergabekontrolle 94

95 Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Eingabekontrolle Datenschutz durch Datensicherung Trennungsgebot Auftragskontrolle Zugriffskontrolle Weitergabekontrolle 95

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten

Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten GMDS Karlsruher Archivtage 06.12.2007 Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten Marco Biewald, Rechtsanwalt, Datenschutzbeauftragter Klinikum Braunschweig,

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

Webinar Betrieblicher Datenschutz

Webinar Betrieblicher Datenschutz Webinar Betrieblicher Datenschutz In Zusammenarbeit mit der Wirtschaftsförderung Kreis Coesfeld Robert Kandzia 10. Oktober 2013 10:00 Uhr Ziele Ursprünge und Begriff Terminologie im Datenschutz typische

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern Kirchliches Amtsblatt für die Diözese Osnabrück, Band 48, Nr. 7, Seite 41 ff., Art. 50, Änderung im KA für die Diözese Osnabrück, Band

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Datenschutz im Spendenwesen

Datenschutz im Spendenwesen Datenschutz im Spendenwesen Corinna Holländer, Referentin beim Berliner Beauftragten für f r Datenschutz und Informationsfreiheit (Bereiche: Wirtschaft, Sanktionsstelle) Berlin, den 16. Mai 2011 1 Gliederung

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit CRM und Datenschutz Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit www.ds-quadrat.de Telefon (kostenlos): 0800 951 36 32 E-Mail: info@ds-quadrat.de Leistungsspektrum ds²

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte seit 1990 in Jena RA Claus Suffel, FA Bau- und Architektenrecht RA Jan Schröder, FA für Arbeitsrecht RA Dr. Mathis Hoffmann RA David Conrad www.jenanwalt.de Datenschutzrecht für kleine und mittlere Unternehmen

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG)

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Die Erfindung des Datenschutzes 1983: Volkszählungsurteil des Bundesverfassungsgerichts Grundrecht auf informationelle Selbstbestimmung als Teil des

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Datenschutz-Schulung

Datenschutz-Schulung Datenschutz-Schulung Revowerk ist gesetzlich dazu verpflichtet, seine Stammkundenbetreuer im Bereich Datenschutz zu schulen und sie vertraglich auf die Einhaltung der Datenschutzrichtlinien zu verpflichten.

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Eine Veranstaltung der IHK Regensburg am 27.10.2009 Referentin: Sabine Sobola, Rechtsanwältin, Lehrbeauftragte für IT-Recht

Mehr

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin Landessportbund Berlin e. V. Datenschutz Cornelia Köhncke, Justitiarin Übersicht Rechtsgrundlagen Datenschutz Datenschutz in der Praxis Aktuelles Grundlagen BVerfG: Volkszählungsurteil vom 15.12.1983 Berührt

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Kassenzahnärztliche Vereinigung Bayerns KZVB

Kassenzahnärztliche Vereinigung Bayerns KZVB Kassenzahnärztliche Vereinigung Bayerns Quellen des Datenschutzes Grundgesetz (GG) Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) Bundesdatenschutzgesetz (BDSG) für

Mehr

HEUKING KÜHN LÜER WOJTEK. Datenpanne Was passiert, wenn es passiert ist, und wem passiert etwas?

HEUKING KÜHN LÜER WOJTEK. Datenpanne Was passiert, wenn es passiert ist, und wem passiert etwas? HEUKING KÜHN LÜER WOJTEK Datenpanne Was passiert, wenn es passiert ist, und wem passiert etwas? Frankfurt, 12. Februar 2014 Dr. Herbert Palmberger, M.C.J. I Szenarien von Datenpannen (Auswahl) Hackerangriff

Mehr

e-mail, Internet + Datenschutz am Arbeitsplatz

e-mail, Internet + Datenschutz am Arbeitsplatz GÖRG GÖRG WIR BERATEN THE BUSINESS UNTERNEHMER. LAWYERS. München, 29. September 2010 DR. AXEL CZARNETZKI, LL.M. e-mail, Internet + Datenschutz am Arbeitsplatz 1 E-Mail und Internet am Arbeitsplatz Datenschutz

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz März 2013 Einführung in den Datenschutz Mitarbeiterschulung Einführung Personenbezogene Daten Ihre Pflichten Schutz der Daten Unternehmensrichtlinien Rechte des Betroffenen Sanktionen Der Datenschutzbeauftragte

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015 Big Data - Herausforderung Datenschutz meistern Philip Liegmann Frankfurt am Main, 19. Mai 2015 Inhalt/Agenda 01 Warum Datenschutz? 02 Überblick über das Bundesdatenschutzgesetz (BDSG) 03 Begriffe und

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Einführung In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt.

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz? 17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Rechtlicher Rahmen für Lernplattformen

Rechtlicher Rahmen für Lernplattformen Rechtlicher Rahmen für Lernplattformen Johannes Thilo-Körner Plattlinger Str. 58a, 94486 Osterhofen, Mobil.: 0151 / 61 61 46 62; Tel.: 09932 / 636 13 66-0, Fax.: 09932 / 636 13 66-9 E-Mail: Johannes@Thilo-Koerner-Consulting.de,Web:

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr