Datenschutz. Einführung in den Datenschutz für Betriebe. Jürgen Schüler Leiter Fachbereiche Technologietransfer und KOMZET

Transkript

1 Einführung in den Datenschutz für Betriebe Jürgen Schüler Leiter Fachbereiche Technologietransfer und KOMZET Handwerkskammer Rheinhessen Datenschutz 1 Datenschutz Inhalte Was versteht man unter Datenschutz? Das Bundesdatenschutzgesetz Recht und Organisation des Datenschutzes Der Datenschutzbeauftragte Das Bundesdatenschutzgesetz Datenschutz und Kommunikation 2 1

2 Was sind personenbezogene Daten? Was ist Datenschutz? Welche Rechten und Pflichten habe ich? Wie gehe ich im Unternehmen vor? 3 Datenschutz Definition: Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch. Personenbezogene Daten sind alle Informationen, die einen Rückschluss auf eine bestimmte oder bestimmbare Person zulassen. 4 2

3 Zweck des Datenschutzes Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Abgeleitet aus den Verfassungsartikeln: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist die Verpflichtung aller staatlichen Gewalt. (Artikel 1 Abs. 1 GG) Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Artikel 2 Abs. 1 GG) Art 8 Charta der Grundrechte der Europäischen Union 5 Warum Datenschutz? 6 3

4 Das Bundesdatenschutzgesetz Datenschutz 7 Das Bundesdatenschutzgesetz Das deutsche BDSG regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden. Das BDSG ist ein Auffanggesetz. Soweit besondere Rechtsvorschriften des Bundes oder Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, haben sie als >Lex specialis< Anwendungsvorrang. Für den freien Datenverkehr innerhalb der EG gilt bis Juli 2018 die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Sitz der verantwortlichen Stelle ist maßgeblich für das anzuwendende Recht. 8 4

5 Europäische Datenschutz-Grundverordnung Die EU-Datenschutz-Grundverordnung wurde am vom Europäischen Parlament verabschiedet und wird im Juni/Juli 2018 in Kraft treten. Sie wird dann die bisherigen Datenschutzgesetze der 28 EU-Mitgliedstaaten besonders die Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. Ziel: Angleichen der unterschiedlichen europäischen Datenschutzniveaus Neu: "Recht auf Vergessen Nutzer müssen auch der Weiterverarbeitung ihrer Daten ausdrücklich zustimmen. Auftragsdatenverarbeiter sind für die Einhaltung des Datenschutzes verantwortlich 9 Personenbezogene Daten Schutzgut Geschützt von den Datenschutzgesetzen sind nur diejenigen Daten, die auch einen Rückschluss auf eine bestimmte Person zulassen, die damit schutzbedürftig ist, sog. Personenbezogene Daten Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) [ 3 Abs. 1 BDSG] Personenbezogene Daten dürfen nur gesammelt werden mit der informierten Einwilligung bezüglich wer : wer sammelt / verwendet die Daten wozu : zu welchem Zweck was : Art und Menge, die diesem Zweck angemessen ist Handwerkskammer Jürgen Schüler,2014 Musterstadt, Musterstraße 123, Musterstadt 20. Juni

6 Verbot mit Erlaubnisvorbehalt - Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1, 4a BDSG) Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist Erlaubnisvorbehalt Jede Verarbeitung von Daten bedarf einer ausdrücklichen Erlaubnis Zulässigkeitsvoraussetzungen Gesetzesgrundlage die Datenschutzgesetze selbst ( 28 ff BDSG) Spezielle Rechtsvorschriften (Lex specialis vor Lex generalis) Wirksame Einwilligung des Betroffenen (informierte Einwilligung) Handwerkskammer Musterstadt, Musterstraße 123, Musterstadt 20. Juni Recht auf informationelle Selbstbestimmung - zusammengefasst Jeder muss bestimmen können, wer, was, wann und bei welcher Gelegenheit über ihn weiß Jeder muss wissen können, wer, was, wann und bei welcher Gelegenheit über ihn weiß Es besteht die Pflicht zur informationellen Gewaltenteilung --> nicht jeder Bereich darf alles wissen, was der andere weiß Einschränkungen bedürfen einer gesetzlichen Grundlage --> sie müssen verhältnismäßig sein. Handwerkskammer Jürgen Schüler,2014 Musterstadt, Musterstraße 123, Musterstadt 20. Juni

7 Bereichsspezifischer Datenschutz Personaldatenschutz. Datenerhebung beim Bewerber. Personalaktenführung. Speicherung und Verarbeitung von Telefondaten. Betriebsrat / Personalvertretung. Sozialdaten. 13 Datenschutz Wodurch werden Datenschutzprobleme verursacht? Datenschutz 14 7

8 Datenschutzprobleme verursacht durch Mitarbeiter auf administrativer Seite: Fehlerhafte Installation und Konfiguration. Ausfall / Krankheit der Mitarbeiter. auf Benutzer Seite: Unwissenheit bei Vorschriften und Arbeitsvorgängen. Datendiebstahl / Spionage. Manipulation. Social Engineering. 15 Fitness-Tracker Handwerkskammer Musterstadt, Musterstraße 123, Musterstadt 20. Juni

9 Bewegungsdaten Handy Handwerkskammer Musterstadt, Musterstraße 123, Musterstadt 20. Juni Datenschutz Rechtsaspekte des Datenschutzes Datenschutz 18 9

10 Prinzipien im Datenschutz Datenvermeidung und Datensparsamkeit Das Ziel ist so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Zweckbindungsprinzip Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn diese für die Erfüllung der definierten Aufgaben unabdingbar sind. 19 Datengeheimnis ( 5 BDSG) Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Sie sind auf das Datengeheimnis zu verpflichten. Die Verpflichtung besteht nach Beendigung der Tätigkeit weiter

11 Unterlassungsklagegesetz Am trat das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft (Unterlassungsklagengesetz) Verstößt ein Unternehmen gegen Vorschriften, die dem Schutz des Verbrauchers dienen, kann er durch Verbände und Institutionen, die sich dem Verbraucherschutz verschrieben haben auf Unterlassung in Anspruch genommen werden. Was ändert sich für die Unternehmen? Unternehmen müssen sich darauf einstellen, nunmehr vermehrt Post von den Verbraucherzentralen zu erhalten. Neben das bisher im Datenschutzrecht geltende System unabhängiger Aufsichtsbehörden ist mit der Änderung des Unterlassungsklagengesetzes ein Verbandsklagerecht getreten. Ob und wie sich das auf die Rechtsauslegung und Rechtsprechung auswirken wird, bleibt abzuwarten. 21 Datenübermittlung Datenschutz 22 11

12 Rechtsgrundlagen für die Datenübermittlung Übermittlung an nicht-öffentliche Stellen ist nur nach BDSG 16 Abs,1 zulässig (zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich) wenn die Daten dem Erhebungszweck entsprechend verwendet werden (BDSG 14 (1) oder der Betroffene eingewilligt hat (BDSG 14 (2) Nr.1) 23 Einzuhaltende Maßnahmen bei der Datenübermittlung Unternehmen erhalten personenbezogene Kundendaten Nach Anlage (zu 9 Satz 1) sind insbesondere Maßnahmen zu treffen, die. 4. gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, 24 12

13 Rechtsvorschriften des Datenschutzes Datenübermittlung im grenzüberschreitenden Datenverkehr Für die Datenübermittlung im grenzüberschreitenden Datenverkehr finden die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995 Anwendung bis Juli Innerhalb der Mitgliedstaaten der Europäischen Union existiert ein vergleichbar hohes Datenschutzniveau. Datenübermittlungen innerhalb des europäischen Binnenmarktes sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland. 25 Datenübermittlung und EU-DSGVO An den Regelungen zum Transfer von personenbezogenen Daten in Staaten außerhalb der EU/des EWA (sogenannten Drittstaaten) hat sich auch mit dem Inkrafttreten der Datenschutz-Grundverordnung nichts geändert. Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus sind beispielsweise: Binding Corporate Rules (BCR), verbindliche, selbstauferlegte Unternehmensvorschriften zum Umgang mit personenbezogenen Daten. Mindestanforderungen hinsichtlich des notwendigen Inhalts werden in in Art. 43 festgelegt. EU-Standardverträge, von der EU-Kommission vorgegeben Klauseln, deren Inhalt nicht abgeändert werden darf. Artikel 44 EU-DSGVO beispielsweise ermöglicht es personenbezogene Daten auf Basis einer Einwilligung oder zur Erfüllung eines Vertrages zu übermitteln

14 Weitere Möglichkeiten zur Datenübermittlung ins nichteuropäische Ausland Sofern Datenübermittlungen nicht über Ausnahmeregelungen zulässig sind und auch keine besonderen Mechanismen ergriffen wurden, sollen sie dennoch zulässig sein, wenn: die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Dabei sind die Aufsichtsbehörde und die betroffene Person in Kenntnis zu setzen. Zusätzlich werden Verhaltensregel (Art. 38 DS-GVO) und die Möglichkeit einer Zertifizierung (Art. 39 DS-GVO) vorgesehen, auf deren Grundlage nach erfolgter Genehmigung ebenfalls ein Datentransfer möglich ist. 27 Einwilligung Datenschutz 28 14

15 Datenerhebung,-verarbeitung und -nutzung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn wenn es zu rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. dies durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat. 29 Einwilligung des Betroffenen Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Die Einwilligung bedarf der Schriftform und ist klar von anderen Einwilligungen abzugrenzen

16 Einwilligung des Betroffenen auf elektronische Wege Zulässig nur dann, wenn die Erklärung: durch eine eindeutige und bewusste Handlung der handelnden Person erfolgt. sie nicht unerkennbar verändert werden kann. ihr Urheber erkannt werden kann. 31 Einwilligung des Betroffenen auf elektronische Wege Zulässig nur dann wenn die Erklärung: die Einwilligung bei der betroffenen Stelle protokolliert wird, der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann. Double-Opt-in Verfahren (Die Information wird in einem zweiten Schritt bestätigt) 32 16

17 Rechte des Betroffenen ( 19, 34 BDSG) Die Betroffenen haben das Recht auf Auskunft, Berichtigung, Sperrung oder Löschung Sind die Daten des Betroffen automatisiert bei mehreren Stellen gespeichert, kann er sich an jede dieser Stellen wenden. Modalitäten (Form, Kostenfreiheit, Ausnahmen) 33 Auftragsdatenverarbeitung Datenschutz 34 17

18 Anwendungsbereiche der Auftragsdatenverarbeitung Sie lassen Daten in Ihrem Auftrag verarbeiten: Buchhaltungsservice Lohn- und Gehaltsabrechnung Steuerberater Mailing-Aktionen (z.b. durch Lettershop) 35 Auftragsdatenverarbeitung ( 11 BDSG) Der Auftraggeber: ist für die Einhaltung der anzuwendenden Rechtsvorschriften zum Datenschutz verantwortlich. Der ist schriftlich zu erteilen ( 11 Abs. 2 Satz 2 BDSG), wobei detailliert festzulegen sind: die Art und der Umfang der Datenerhebung, -verarbeitung oder -nutzung, die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Maßnahmen und ob und unter welchen Voraussetzungen es zulässig ist, Subunternehmer bei Einzelaufgaben zu beteiligen. hat sich über die Einhaltung von technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen. Der Auftragnehmer: darf die Daten nur im Rahmen von Weisungen des Auftraggebers erheben, verarbeiten oder nutzen

19 Checkliste Auftragsdatenverarbeitung 37 Nach Anlage zu 9 BDSG zu treffende Maßnahmen Datenschutz 38 19

20 Technische und organisatorische Maßnahmen 39 Technische und organisatorische Maßnahmen Die Technische und organisatorische Maßnahmen sind so zu setzen dass die folgenden Ziele erreicht werden können: Grundforderung auf Vertraulichkeit Vertraulichkeit bedeutet, dass Informationen nur diejenigen erreichen, die diese Informationen auch besitzen dürfen. Datenintegrität bedeutet, dass die Korrektheit (engl. Integrity) der Daten gewährleistet sein muss. Verfügbarkeit (engl. Availability) bedeutet, dass die Daten gegen versehentliches Löschen geschützt sind 40 20

21 Videoüberwachung Datenschutz 41 Videoüberwachung ( 6b BDSG) (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen(Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zumachen. Sobald die Zweckbindung wegfällt sind die Daten unverzüglich zu löschen

22 Beispiel: 43 Datenschutz und Internet Datenschutz 44 22

23 Datenschutz beim Einsatz neuer Technologien World Wide Web-Dienst (WWW) Ab ist jeder Websitebetreiber verpflichtet, seinen Besuchern eine Datenschutzerklärung zu präsentieren. Datenschutzerklärung umschreibt Maßnahmen, die ein Unternehmen ergreift, um die Privatsphäre seines Kunden oder Benutzers zu wahren. Soweit Unternehmen Informationsangebote im WWW bereitstellen, die u.a. Daten über Beschäftigte beinhalten, bedarf es einer Einwilligung der Betroffenen. 45 Öffentliches Verfahrensverzeichnis Gemäß 4g Abs. 2 Satz 2 BDSG macht der Datenschutzbeauftragte die Angaben nach 4e Satz 1 Nrn. 1-8 BDSG auf Antrag Jedermann in geeigneter Weise verfügbar. Sofern ein Datenschutzbeauftragter nicht bestellt ist, obliegt diese Verpflichtung der verantwortlichen Stelle. Muster 46 23

24 Telefonie (DECT / VoIP) Personenbezogene Daten oder sensible Daten wie z.b. beim Telefonbanking sollten ebenso wie technische Know-How-Informationen nicht per schnurlosem (DECT)-Telefon übertragen werden. VoIP Gespräche können mitgeschnitten und empfangene RTP Pakete in der chronologisch, richtigen Reihenfolge zu einer Audiodatei zusammengesetzt werden. 47 versus GoBD (früher GDPdU) Unternehmen müssen die strengen Vorgaben des TKD und des BDSG beachten. Handelsrecht und Steuergesetzbuch machen den Blick in die -Postfächer notwendig

25 Datenschutz bei Telearbeit Die Zulässigkeit der Telearbeit ist in Abhängigkeit von der Empfindlichkeit der personen-bezogenen Daten zu bewerten, i.d.r. bedarf es der Einwilligung des Betroffenen. Aus datenschutzrechtlicher Sicht sind Maßnahmen zur Gewährleistung der Vertraulichkeit und der Integrität zu treffen: Zugangskontrolle, Zugriffskontrolle, Übermittlungskontrolle. 49 Datenschutz Der Datenschutzbeauftragte Thema der Präsentation Referent 50 25

26 Der Datenschutzbeauftragten und seine Funktion Der Datenschutzbeauftragte ist zu bestellen, wenn mehr als 9 Köpfe mit der Verarbeitung personenbezogener Daten beschäftigt sind. Er wirkt auf die Einhaltung der Datenschutzbestimmungen hin, hat jedoch kein Weisungsrecht. ist in seinem Gebiet weisungsfrei und unabhängig von Vorgesetzten. darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. 51 Ausbildung und Berufung zum Datenschutzbeauftragten Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die Person kann Mitarbeiter des Unternehmens sein oder als Externer Datenschutzbeauftragter bestellt sein. Der Datenschutzbeauftragte ist schriftlich zu bestellen. Damit diese Funktion wirklich unabhängig wahrgenommen werden kann, darf kein Interessenskonflikt bestehen. Eine Kündigung ist nur aus einem außerordentlichen Grund möglich

27 53 Praktische Umsetzung in der Betriebsberatung und in Handwerksbetrieben Datenschutz 54 27

28 Gehen Sie schrittweise vor: Datenschutzbeauftragten bestellen Mitarbeiter sensibilisieren und schulen Verpflichtung der Mitarbeiter auf den Datenschutz mit Formularen des Landesdatenschutzbeauftragten Ermitteln Sie wo personenbezogene Daten erfasst werden (Branchensoftware, Cloud, Schließanlage, Telefonanlage, Zeiterfassung) Erstellen Sie eine Datenschutzerklärung für den Internetauftritt (Muster Erstellen Sie das Verfahrensverzeichnis (Muster BITKOM, ggf. Software verwenden) Überprüfen Sie die Einhaltung der Anlage zu 9 BDSG 55 Wer kann helfen IT-Sicherheit und Datenschutz betreffen das ganze Unternehmen und die Verantwortung lässt sich nicht delegieren, deshalb: 1. Verantwortung übernehmen 2. Kleine Schritte vorbereiten 3. Datenschutz und Datensicherheit sind ein Prozess 56 28

29 Datenschutz sollte beidseitig sein: Unsere Daten zu schützen und uns vor ihnen. Erhard Blanck (*1942), deutscher Heilpraktiker, Schriftsteller und Maler 57 Vielen Dank für Ihre Aufmerksamkeit Jürgen Schüler Projektleiter Kompetenzzentrum IT-Sicherheit und Signatur der HWK Rheinhessen Dagobertstraße Mainz Telefon Telefax j.schueler@hwk.de Handwerkskammer Musterstadt, Musterstraße 123, Musterstadt 20. Juni