Datenschutz im SOA. Dr. Johann Bizer Stellvertretender Landesbeauftragter für den Datenschutz in Schleswig-Holstein

Transkript

1 Datenschutz im SOA Dr. Johann Bizer Stellvertretender Landesbeauftragter für den Datenschutz in Schleswig-Holstein Sebastian Meissner / Martin Rost / Jan Schallaböck Unabhängiges Landeszentrum für Datenschutz (ULD) Das ULD Datenschutzaufsicht Öffentliche Verwaltung Wirtschaft Beratung: Servicezentrum Problemanalyse und Konzeptentwicklung Förderung von Unternehmen (ULD-i) Schulung (Datenschutzakademie) Beratung europäischer Partnerländer Projektstudien 1

2 Projektbereich TAUCIS Technikfolgenabschätzung Ubiquitäres Computing Privacy4DRM Nutzerorientiertes Digital Rights Management RISER Europäische Melderegisterauskunft Datenschutzrecht Verbraucherdatenschutzrecht Scoringverfahren Prime und FIDIS Identitätsmanagement Profiling Biometrie Policy Datenschutz durch Recht Datenschutz durch Technik Datenschutz als Wettbewerbsfaktor Datenschutz in die Prozesse 2

3 Datenschutz-Policy: Proaktiver Datenschutz Prozessmanagement Technik Wettbewerb Recht 3

4 Verortung der Verantwortung Verantwortlichkeit ist ein Rechtsprinzip Zurechnung von Pflichten Haftung für Schäden Haftung für Datenverarbeitung Pflichten aus Vertrag mit dem Kunden Pflichten aufgrund von Gesetz Der Verantwortliche hat Rechtspflichten Informationspflichten Risikominimierungpflichten Organisationspflichten Handlungspflichten Unterlassungspflichten Datenschutz ist ein Thema für Verantwortung Warum ist Datenschutz wichtig? Selbstbestimmung Verwendung personenbezogener Daten Wirtschaftliche Handlungsfreiheit Einwilligung / Vertragsschluss Normatives Postulat: Datenschutz als Kommunikationsmodell Gesellschaftliche Bedeutung Akzeptanz der Betroffenen Heimliche Erfassung Profiling Vorratsdatenspeicherung Staatliche Überwachung Identitätsmanagement 4

5 Datenschutz ist einfach: Sieben Goldenen Regeln Verantwortlichkeit für 1. Rechtmäßigkeit 2. Einwilligung 3. Zweckbindung 4. Erforderlichkeit 5. Transparenz 6. Datensicherheit 7. Kontrolle Datenverarbeitende Stelle Auftragsdatenverarbeitung Gesetz, Einwilligung, Vertrag Freiwilligkeit, Informiert Verwendung für definierte Zwecke Art, Umfang, Dauer Löschung, Information, Auskunft Risikoabschätzung / Sicherheitsmaßnahmen Externe und Interne Datenschutzkontrolle Beherrschbarkeitsfaktoren im Überblick rechtlich Abstraktionsmechanismen Auskunft Kontrollfähigkeit Kontrollmöglichkeit Zusicherungen Protokollierung technisch Methode 5

6 Datenverantwortung Protokollierung Auskunft AuftragsDV Weisung Kontrolle Vertrag Sub- Identität Zusicherung Zweckbindung Empfänger Datenverantwortung Protokollierung Zusicherung Auskunft Übermittlung Vertragszweck Einwilligung Zusicherung Identität Zweckbindung Empfänger Identität Zweckbindung Empfänger 6

7 Klärung der Beteiligten? Basis-Prozess der Datenverarbeitung Übernittlungen? AuftragsDV? Wer bin ich? Für welche Zwecke? Empfänger? Verarbeitungszweck Datenfluss- Modell Zusicherungen Verarbeitung personenbezogen er Daten Erhebung Verarbeitung Übermittlung Diensterbringung Abrechnung Sicherheitsmanagement Protokollierung Auskunft Strategien der Datenschutzkonformität Prozesse beschreiben Standardprozess Datenschutz Standardisierung Protection Profiles Zertifizierung vertrauenswürdiger Anwendungen 7

8 Gütesiegel und Audit Schleswig-Holstein Datenschutz-Gütesiegel für Produkte Datenschutz-Audit für Verfahren Europäisches Gütesiegel Gefördert durch die EU 8

9 ULD Gütesiegel IT-Produkt oder Dienstleistung Anerkannte/r Gutachter prüft Produkt oder Dienstleistung Verleihung des Gütesiegels Akkreditierte Zertifizierungsstelle überprüft Gutachten Datenverantwortung Protokollierung Zusicherung Auskunft Übermittlung Einwilligung Vertrag Zusicherung Identität Zweckbindung Empfänger Identität Zweckbindung Empfänger 9

10 Datenschutz-Gütesiegel bis 2007: knapp 40 Gütesiegel Fokus: Produkte von KMU s Internationale Anerkennung seit /2007: Microsoft Update 09/2007: Microsoft WGA Produkte (Auswahl) Internetanschluss Qualitätssicherungsinstrument Archivierungssysteme E-Government-Anwendungen Sozialdatenverarbeitung Medizinbereich Datenträgervernichtung Verwaltungsdokumentation Bonuskartensystem Verfahrensverzeichnis Parkgebühren über Handy ( ) Exkurs: Datenschutz-Audit Bis 2007: knapp 20 Auditverfahren in Behörden 08/2006: Landesnetz 08/2007: ISMS Dataport 10/2007: MLUR / ZIAF Landtag Ministerien Kommunalverwaltung Universitäten Anwendungen Pseudonyme Einlagerung von Blut- und Gewebeproben Anonyme Nutzung von Parlamentsinformationen Zutrittssystem / Videoüberwachung im Landtag Anonyme Nutzung des Parlamentsinformationssystems Personalverwaltungs- und Informationssystem Internetanbindungen Automatisierte Datenverarbeitungen Elektronische Kurkarte (Chipkarte) Landesnetz Schleswig-Holstein 10

11 Kontakt Dr. Johann Bizer Unabhängiges Landeszentrum für Datenschutz (ULD) Kiel, Holstenstraße 98 Telefon0431/ Telefax 0431/ Internet 11