Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe"

Transkript

1 Sebastian Meissner Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe Qualitativ hochwertige Zertifizierungskriterien sind eine fundamentale Voraussetzung für den Erfolg und die Reputation eines Gütesiegels. Dies gilt auch und gerade für das zurzeit im Rahmen des Projekts EuroPriSe (European Privacy Seal) konzipierte und erprobte europäische Datenschutzgütesiegel. Der Beitrag beschreibt, wie bei der Entwicklung der EuroPriSe- Kriterien vorgegangen worden ist, und stellt die einschlägigen Zertifizierungskriterien in einem Überblick vor. Einleitung Der Erfolg und die Reputation eines jeden Gütesiegels hängen von verschiedenen Faktoren ab, zu denen neben der Unabhängigkeit und Fachkunde der das Siegel vergebenden Stelle und der Transparenz des Verfahrens auch die Qualität und Nachvollziehbarkeit der inhaltlichen Zertifizierungskriterien gehören. Dies gilt auch für das Europäische Datenschutzgütesiegel, welches gegenwärtig im Rahmen des Projekts EuroPriSe konzeptionell entwickelt und erprobt wird. Ziel des nachfolgenden Beitrags ist es, die Entwicklung der EuroPriSe-Kriterien transparent und nachvollziehbar zu machen und hierdurch die hohe Qualität der entwickelten Zertifizierungskriterien unter Beweis zu stellen. Hierzu werden die materiellrechtlichen Regelungen und sonstigen Quellen benannt, die für die Entwicklung der EuroPriSe-Kriterien maßgeblich gewesen sind. Des Weiteren wird die Methodik, die bei der Erarbeitung der Zertifizierungskriterien angewendet worden ist, beschrieben und mittels zweier Beispiele veranschaulicht. Ass. iur. Sebastian Meissner ist Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig- Holstein (ULD) Schließlich werden die im bisherigen Verlauf des Projekts entwickelten und im EuroPriSe-Kriterienkatalog zusammengefassten Zertifizierungskriterien im Überblick vorgestellt. Zu Beginn informiert der Beitrag aber zunächst über Rahmendaten und wesentliche Ziele und Inhalte des Projekts EuroPriSe. 1 Das Projekt EuroPriSe Der Startschuss für das von der Europäischen Union im Rahmen des eten-programms mit 1,2 Mio. geförderte Projekt EuroPriSe European Privacy Seal 1 fiel im Juni Das Projektkonsortium besteht aus neun europäischen Organisationen und Unternehmen, welche unter der Leitung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bis Ende November 2008 eine Marktevaluierung für ein Europäisches Datenschutz-Gütesiegel vornehmen. Zudem erarbeiten die Projektpartner auch das Konzept für ein solches Datenschutzgütesiegel und erproben dieses im Rahmen von Pilotzertifizierungen. Die Konzeption eines europäischen Datenschutzgütesiegels beinhaltet insbesondere die Festlegung des zu durchlaufenden Verfahrens, die Voraussetzungen für eine Zulassung von Sachverständigen sowie die Entwicklung inhaltlicher Zertifizierungskriterien. Nachfolgend werden einige wesent- 1 Die Website des Projekts ist abrufbar unter liche Elemente des im Rahmen von Euro- PriSe erarbeiteten Konzepts skizziert. 2 Das europäische Datenschutzgütesiegel wird auf Antrag an Hersteller von IT-Produkten (z. B. Hard- und Software) und Anbieter IT-basierter Dienstleistungen (z. B. Auftragsdatenverarbeitung oder webbasierte Dienstleistungen wie Online- Banking) verliehen, wenn diesen der Nachweis gelingt, dass das Produkt bzw. die Dienstleistung mit europäischem Datenschutzrecht in Einklang steht. Der Hersteller eines zertifizierten Produkts kann dieses mit dem europäischen Datenschutzgütesiegel bewerben und sich durch dieses Alleinstellungsmerkmal einen Wettbewerbsvorteil gegenüber seinen Konkurrenten am Markt verschaffen. Kunden wiederum können das EuroPri- Se-Siegel als Entscheidungskriterium bei der Auswahl eines Produkts heranziehen. Eine wesentliche Voraussetzung für die Durchführung der Pilotzertifizierungen war die Anerkennung rechtlicher und technischer IT-Experten als EuroPriSe- Sachverständige für die Pilotphase. Im bisherigen Verlauf des Projekts haben über 40 Gutachter 3 aus zehn EU-Staaten das Zulassungsverfahren, das u. a. die Teil- 2 Weitergehende Informationen finden sich bei Bock, DuD 2007, 410, Bock/Probst in Expanding the Knowledge Economy: Issues, Applications, Case Studies sowie bei Bock/Meissner/Probst, dataprotectionreview.eu, Nº4. 3 Eine Liste der bislang für die Pilotphase zugelassenen EuroPriSe-Experten, die einer Veröffentlichung zugestimmt haben, kann abgerufen werden unter DuD Datenschutz und Datensicherheit

2 nahme an einem Workshop und die Anfertigung eines Trainingsgutachtens beinhaltet, erfolgreich absolviert. Sie haben damit die Berechtigung erworben, nach Beauftragung durch den Hersteller eines Produkts bzw. den Anbieter einer Dienstleistung an einer Pilotzertifizierung mitzuwirken. Hersteller eines Produkts und Anbieter einer Dienstleistung setzen durch die Beauftragung anerkannter EuroPriSe-Sachverständiger ein zweistufiges Verfahren in Gang: Zunächst wird das Produkt bzw. die Dienstleistung von den beauftragten Sachverständigen auf Konformität mit EU-Datenschutzrecht und Erfordernissen der Datensicherheit hin begutachtet. Attestieren die Experten die Einhaltung aller im Einzelfall relevanten EuroPriSe-Kriterien, wird ihr Gutachten zusammen mit dem Antrag auf Erteilung eines Gütesiegels bei einer unabhängigen Zertifizierungsstelle 4 eingereicht. Die jeweilige Zertifizierungsstelle überprüft sodann in einem zweiten, die Qualität der Zertifizierung sichernden Schritt, ob das Gutachten vollständig, schlüssig und nachvollziehbar ist und verleiht in diesem Fall das EuroPriSe-Zertifikat. 5 Auf Wunsch des Herstellers bzw. des Anbieters der Dienstleistung kann die Verleihung des Siegels öffentlich vorgenommen werden. Das erste europäische Datenschutzgütesiegel etwa wurde im Rahmen des Festakts 30 Jahre Datenschutz in Schleswig-Holstein am 14. Juli 2008 an die Meta-Suchmaschine Ixquick verliehen. 6 Das Europäische Datenschutzgütesiegel ist zwei Jahre lang gültig; nach Ablauf dieser Zeitspanne kann ein Re-Zertifizierungsverfahren durchgeführt werden. 4 Zurzeit gibt es mit dem ULD und der Datenschutzaufsichtsbehörde von Madrid (Agencia de Protección de Datos de la Communidad Madrid - AP- DCM) zwei solche Stellen. 5 Kommt die Zertifizierungsstelle zu dem Schluss, dass die Voraussetzungen für die Verleihung eines Gütesiegels nicht vorliegen, wird dies nur an die andere(n) Zertifizierungsstelle(n), jedoch nicht nach außen d.h. öffentlich kommuniziert. 6 Die Pressemitteilung zur Verleihung des 1. European Privacy Seal ist abrufbar unter euro-pean-privacy-seal.eu/press-room/pressreleases/. 2 Entwicklung und Auslegung der Kriterien 2.1 Katalog des ULD Ausgangspunkt der Entwicklung des EuroPriSe-Kriterienkatalogs (EuroPriSe Criteria Catalogue) war der Anforderungskatalog für das Gütesiegelverfahren beim ULD, welches seit 2001 auf der Grundlage des Paragrafen 4 Absatz 2 des Landesdatenschutzgesetzes Schleswig-Holstein (LDSG SH) durchgeführt wird. 7 Der Anforderungskatalog des ULD ist in vier verschiedene Komplexe unterteilt und benennt exemplarisch Datenschutz- und Datensicherheitsanforderungen, die in erster Linie aus dem LDSG SH und der schleswig-holsteinischen Datenschutzverordnung (DSVO) abgeleitet worden sind. Diese grundlegende Strukturierung in vier inhaltliche Komplexe wurde für den EuroPriSe-Katalog übernommen. Die Aufgabenstellung für die Projektpartner bestand nun darin, den Katalog an die Rahmenbedingungen auf Ebene der Europäischen Union und damit insbesondere an das europäische Datenschutzrecht anzupassen. 2.2 Inhaltliche Aussage des EuroPriSe-Gütesiegels Zunächst war die grundlegende Frage zu beantworten, welche materiellrechtlichen Regelungen bei der Entwicklung der EuroPriSe-Kriterien zu berücksichtigen sein würden. Voraussetzung für eine Antwort auf diese Frage war die exakte Festlegung dessen, was das Europäische Datenschutzgütesiegel bescheinigt. Für die EuroPriSe- Projektphase verständigten sich die Projektpartner insoweit auf die folgende Definition: The European Privacy Seal certifies that an IT product or IT-based service facilitates the use of that product or service in a way compliant with European regulations on privacy and data protection, taking into account the legislation in the pilot countries. Das Europäische Datenschutz-Gütesiegel bescheinigt also, dass ein IT-Produkt oder eine IT-basierte Dienstleistung eine Nutzung dieses Produkts oder dieser Dienstleistung erleichtert, die mit den Vorschriften des EU-Datenschutzrechts vereinbar ist. Bei der Beantwortung der Frage, ob 7 Hierzu vgl. etwa Bäumler, DuD 2004, 80. dies der Fall ist, ist zudem die nationale Gesetzgebung (zunächst nur) in den Euro- PriSe-Pilotstaaten zu berücksichtigen. Dieser Definition lässt sich entnehmen, dass das europäische Datenschutzgütesiegel gerade keine Compliance mit nationalem Recht bescheinigt. Dies gilt insbesondere auch für das nationale Recht der Pilotstaaten Deutschland, Großbritannien, Österreich, Schweden, Slowakei und Spanien und ergibt sich insoweit aus der Formulierung, dass die nationale Gesetzgebung in den Pilotstaaten lediglich zu berücksichtigen ist. 8 Sofern Hersteller daran interessiert sind, neben der Vereinbarkeit ihres Produkts mit EU-Datenschutzrecht auch die Einhaltung des nationalen Rechts eines Pilotstaats oder eines anderen EU-Mitgliedsstaats bescheinigt zu bekommen, sind sie auf das gegenwärtig im Entstehen begriffene Angebot an nationalen Gütesiegelmodellen zu verweisen. 9 Im Idealfall werden künftig nationale Gütesiegel in den einzelnen EU-Mitgliedstaaten das europäische Gütesiegel wie in einem Baukastensystem um spezifische Aspekte des jeweiligen nationalen Rechts ergänzen. Darüber hinaus mag es erstaunen, dass das EuroPriSe-Gütesiegel auch keine definitive Compliance mit europäischem Datenschutzrecht bescheinigt, sondern aussagt, dass ein Produkt oder eine Dienstleistung eine mit EU-Datenschutzrecht vereinbare Nutzung erleichtert. Dies resultiert daraus, dass eine datenschutzgerechte Nutzung eines IT-Produkts stets von demjenigen abhängt, der das Produkt verwendet. Auch wenn der Hersteller des Produkts dieses in höchstem Maße datenschutzfreundlich ausgestaltet, besteht nämlich immer die Möglichkeit, dass der Erwerber es nicht im Einklang mit europäischem Datenschutzrecht einsetzt. Etwas anders stellt sich die Situation hinsichtlich IT-basierter Dienstleistungen dar: Diese werden von einem Provider in einer konkreten Art und Weise erbracht, weshalb bei ihnen eine weitergehende Compliance-Untersuchung vorgenommen werden kann. Hierbei ist zudem das 8 Es wird noch an anderer Stelle in diesem Beitrag darauf einzugehen sein, was dies konkret bedeutet. 9 In Frankreich werden zurzeit die gesetzlichen Grundlagen für ein nationales Datenschutzgütesiegel- und auditmodell geschaffen. Es sei auch darauf hingewiesen, dass in der Schweiz am 01. Januar 2008 die neue Datenschutz-Zertifizierungsverordnung in Kraft getreten ist. 526 DuD Datenschutz und Datensicherheit

3 nationale Recht des Staates, in dem die Datenverarbeitung hauptsächlich stattfindet, einer genaueren Prüfung zu unterziehen. 2.3 Relevantes europäisches Datenschutzrecht Aus der Definition dessen, was das Europäische Datenschutzgütesiegel aussagt, folgt, dass die inhaltlichen Zertifizierungskriterien primär aus den Vorschriften des EU-Datenschutzrechts abzuleiten sind. Wichtigste Quelle für die Entwicklung der Kriterien ist damit die allgemeine Datenschutzrichtlinie (DSRL) der Europäischen Union. 10 Diese zielt darauf ab, durch eine Harmonisierung 11 der nationalen Datenschutzvorschriften ein hohes Schutzniveau für personenbezogene Daten in der Europäischen Union sicherzustellen, gleichzeitig aber auch darauf, den freien Verkehr mit personenbezogenen Daten innerhalb der EU zu gewährleisten und hierdurch zum Funktionieren des Europäischen Binnenmarkts beizutragen. Die DSRL stellt generelle Regeln auf, die bei einer automatisierten oder dateibasierten Verarbeitung personenbezogener Daten zu beachten sind. Wie jede EG-Richtlinie stellt die DSRL aber grundsätzlich kein unmittelbar in den EU-Mitgliedstaaten geltendes Recht dar. Vielmehr bedarf auch sie der Umsetzung in das innerstaatliche Recht der Mitgliedstaaten. Mittlerweile ist diese Umsetzung in allen EU- Staaten erfolgt. Eine weitere wichtige Quelle für die Entwicklung der EuroPriSe-Kriterien ist die Datenschutzrichtlinie für elektronische Kommunikation (DSRLeK). 12 Wie schon der Name dieser Richtlinie besagt, enthält sie spezielle Regelungen für den Bereich der elektronischen Kommunikation, wie etwa zur Zulässigkeit der Verarbeitung von Verkehrs- und Standortdaten oder der Zusendung unerbetener Nachrichten (SPAM). Die DSRLeK stellt damit 10 Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 11 Zur kontrovers diskutierten Frage, ob die Richtlinie nur Mindeststandards vorschreibt oder eine verbindliche Obergrenze für nationale Vorschriften festlegt, vgl. Kuner, European Data Protection Law, Rn ff. 12 Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. bereichsspezifisches Datenschutzrecht dar: Sie konkretisiert und ergänzt die Bestimmungen der allgemeinen Datenschutzrichtlinie. Auch die DSRLeK ist mittlerweile von allen EU-Mitgliedstaaten in nationales Recht umgesetzt worden. Neben den beiden bereits genannten Datenschutzrichtlinien ist bei der Entwicklung der EuroPriSe-Kriterien auch die Richtlinie 2006/24/EG 13 in Betracht zu ziehen, welche Regelungen zur Vorratsdatenspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, enthält. Schließlich ist darauf hinzuweisen, dass es auf EU-Ebene vereinzelt noch weitere bereichsspezifische Datenschutzbestimmungen wie etwa Artikel 8 der Signaturrichtlinie 14 gibt. Sind diese Regelungen einschlägig, müssen auch sie im Rahmen eines Zertifizierungsverfahrens beachtet werden. 2.4 Konkretisierung und Auslegung des EU-Rechts Problemstellung Die europäische Datenschutzrichtlinie gibt den Mitgliedstaaten der Europäischen Union zum Einen detailgetreue rechtliche Regelungen vor, bei deren Umsetzung in nationales Recht den Mitgliedstaaten keine bzw. nur minimale eigene Gestaltungsbefugnisse verbleiben. Sie enthält zum anderen aber auch eine Reihe von Vorschriften, die lediglich gewisse Leitlinien vorgeben, hinsichtlich deren Implementierung in nationales Recht den Mitgliedstaaten ein beträchtlicher Spielraum eingeräumt wird. So finden sich etwa in Artikel 17 Absatz 1 DSRL nur generelle Leitlinien dazu, welche technisch-organisatorischen Maßnahmen der für die Verarbeitung Verantwortliche zu treffen hat, um die Sicherheit der Verarbeitung zu gewährleisten. Solche Regelungen sind aber nicht dazu geeignet, aus ihnen konkrete, zertifizierungstaugliche Kriterien abzuleiten. Dieses Problem lässt sich auch unter Zuhilfenahme der am Anfang der Richtlinie aufgelisteten Erwä- 13 Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/ EG. 14 Richtlinie 1999/93/EG vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen. gungsgründe 15 nicht zufriedenstellend lösen. Im Rahmen der Entwicklung der EuroPriSe-Kriterien stellte sich deshalb die Frage, wie aus den in der Richtlinie enthaltenen Vorschriften, die lediglich Leitlinien und Zielvorgaben enthalten, hinreichend konkrete Kriterien abgeleitet werden können. Hierzu bieten sich auf EU- Ebene verschiedene Hilfsmittel an, die nachfolgend vorgestellt werden. Rechtsprechung von EuGH und EuG Zunächst einmal lag es nahe, die Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Europäischen Gerichts erster Instanz (EuG) daraufhin zu untersuchen, ob sich ihr Konkretisierungen der Vorschriften der allgemeinen Datenschutzrichtlinie entnehmen lassen. Eine entsprechende Analyse ergab, dass sich beide Gerichte bislang nur in einigen wenigen Entscheidungen explizit mit Fragestellungen aus dem Bereich des Datenschutzrechts befasst haben. 16 Zu nennen sind hier etwa die beiden EuGH-Urteile Bodil Lindqvist 17 und Österreichischer Rundfunk 18. Einige Aussagen, die in den bislang ergangenen Entscheidungen mit Datenschutzbezug getroffen wurden, konnten für die Entwicklung der EuroPriSe-Kriterien bzw. zur Erstellung von Hinweisen zu deren Auslegung verwendet werden. Als Beispiel seien hier nur die Ausführungen des EuGH zur Auslegung des in Artikel 8 Absatz 1 der Richtlinie verwendeten Begriffs Daten über Gesundheit in der bereits erwähnten Bodil Lindqvist -Entscheidung genannt. 19 Hiernach ist dieser Begriff in dem Sinne weit auszulegen, dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten körperlichen wie psychischen betreffen Hinsichtlich Artikel 17(1) DSRL ist Erwägungsgrund Nr. 46 einschlägig. 16 Eine Übersicht der bisherigen Rechtsprechung des Europäischen Gerichtshofs und des Europäischen Gerichts erster Instanz kann abgerufen werden unter privacy/law/index_de.htm. 17 Urteil des Europäischen Gerichtshofs vom 06. November 2003 in der Sache C-101/ Urteil des Europäischen Gerichtshofs vom 20. Mai 2003 in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/ Lindqvist-Urteil (s. o. Fn. 17), Rz Konkret bedeutete dies, dass auch die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit gehört. DuD Datenschutz und Datensicherheit

4 Dennoch reichte die bisherige Rechtsprechung der beiden Gerichte der Europäischen Union für sich genommen nicht dazu aus, um hieraus alle relevanten Zertifizierungskriterien zu entwickeln und ausreichende Auslegungshilfen zu den einzelnen Kriterien zur Verfügung zu stellen. Dokumente der Artikel 29 Datenschutzgruppe Deshalb war zu überlegen, welche weiteren Quellen für eine Konkretisierung und Auslegung der allgemeinen Datenschutzrichtlinie zur Verfügung stehen. Identifiziert wurden insoweit insbesondere die Empfehlungen, Stellungnahmen und sonstigen Dokumente der durch Artikel 29 DSRL eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten (Art. 29 Datenschutzgruppe). 21 Diese Gruppe ist das unabhängige Beratungsgremium der EU in allen Fragen des Datenschutzes. Ihr gehören neben einem Vertreter der EU- Kommission und dem Europäischen Datenschutzbeauftragten auch Vertreter der nationalen Datenschutzaufsichtsbehörden an. Die Art. 29 Datenschutzgruppe hat seit 1997 mehr als 150 Dokumente 22 verabschiedet, die vielfach spezielle datenschutzrechtliche Fragestellungen (z. B. Datenschutz und Suchmaschinen WP 148) oder generelle Problemstellungen (z. B. Personenbezug von Daten WP 136) zum Gegenstand haben. 23 Auch wenn die Stellungnahmen und Empfehlungen der Gruppe nicht rechtsverbindlich sind, sondern nur beratenden Charakter haben, wurden diese Dokumente als weitere Quelle für die Entwicklung und Auslegung der EuroPriSe-Zertifizierungskriterien herangezogen. Dadurch dass in der Art. 29 Datenschutzgruppe der Sachverstand aller nationalen Datenschutzaufsichtsbehörden der EU- Mitgliedstaaten sowie des Europäischen Datenschutzbeauftragten gebündelt wird, 21 Als weitere potentielle Quelle wurde die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) zu Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) ausgemacht. 22 Sämtliche Dokumente sind abrufbar unter 23 In anderen Dokumenten positioniert sich die Gruppe beispielsweise zu laufenden Gesetzgebungsverfahren auf EU-Ebene (z.b. WP 150 zur Reform der Richtlinie 2002/ 58/EG) oder zur Angemessenheit des Datenschutzniveaus in bestimmten sogenannten Drittstaaten. kann man nämlich davon ausgehen, dass bei Befolgung der Stellungnahmen und Empfehlungen der Gruppe ein hohes Datenschutzniveau im Sinne der allgemeinen Datenschutzrichtlinie 24 sichergestellt ist. Berücksichtigung des Rechts der Pilotstaaten Wie bereits erwähnt ist bei einer EuroPri- Se-Zertifizierung auch das nationale Recht der Pilotstaaten zu berücksichtigen. Vor der eigentlichen Entwicklung der Zertifizierungskriterien war also noch zu klären, was diese relativ vage formulierte Aussage konkret bedeutet, da hiervon abhing, ob und inwieweit das nationale Recht Eingang in die Entwicklung und Auslegung der EuroPriSe-Kriterien finden würde. Insoweit wurde Folgendes festgehalten: Es sind nur solche nationalen Rechtsvorschriften in Betracht zu ziehen, die EU- Datenschutzrecht implementieren. 25 Sonstiges bereichsspezifisches Datenschutzrecht der Pilotstaaten wird hingegen nicht berücksichtigt, da dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Nationales Recht der Pilotstaaten findet nur dann Eingang in die Kriterien des EuroPriSe-Katalogs, wenn einschlägige Regelungen des EU-Rechts nur generelle Leitlinien vorgeben und zudem weder der Rechtsprechung der Europäischen Gerichte noch den Dokumenten der Art. 29 Datenschutzgruppe ausreichende Konkretisierungen entnommen werden können. Berücksichtigt wurde das nationale Recht der Pilotstaaten insbesondere bei der Entwicklung der Kriterien zu technischen und organisatorischen Maßnahmen der Datensicherheit. 26 Hinweise auf gravierende Besonderheiten des nationalen Rechts (z. B. das grundsätzliche Schriftformerfordernis der Einwilligung nach deutschem Recht) sind Bestandteil der Auslegungshilfen zu den Kriterien Vgl. Erwägungsgrund 10 der Richtlinie. 25 Primär handelt es sich also um die Vorschriften, die die allgemeine Datenschutzrichtlinie in nationales Recht umsetzen. 26 Nähere Ausführungen hierzu folgen sogleich im Abschnitt Beispiele für die Entwicklung und Auslegung von Kriterien. 27 Ausdrücklich hingewiesen sei an dieser Stelle aber nochmals darauf, dass das Europäische Datenschutzgütesiegel in keinem Fall Compliance mit nationalen Rechtsvorschriften bescheinigt. Beispiele für die Entwicklung und Auslegung von Kriterien Anhand zweier Beispiele soll nun verdeutlicht werden, wie hinsichtlich der Entwicklung und Auslegung der EuroPriSe- Kriterien konkret vorgegangen wurde: Beispiel 1: Trechnisch-organisatorische Maßnahmen Gegenstand des ersten Beispiels ist die Entwicklung von Kriterien zu technischen und organisatorischen Maßnahmen der Datensicherheit auf der Grundlage des bereits erwähnten Artikels 17 Absatz 1 DS- RL. Da diese Regelung nur Leitlinien und Zielvorgaben enthält, konnten aus ihr alleine keine konkreten Zertifizierungskriterien für den EuroPriSe-Katalog abgeleitet werden. Auch die bisherige Rechtsprechung des EuGH und des EuG enthält keine Aussagen zu Artikel 17(1) DSRL, aus denen geeignete Kriterien hätten abgeleitet werden können. Schließlich hat auch die Artikel 29 Datenschutzgruppe noch nicht ausführlich zu den Vorgaben und Anforderungen dieser Bestimmung Stellung genommen. Somit lagen alle Voraussetzungen vor, die für die Ableitung von Kriterien aus nationalen Rechtsvorschriften der Pilotstaaten definiert worden waren. Eine Analyse zeigte, dass hinsichtlich der Art und Weise der Implementierung von Artikel 17(1) DSRL in den EuroPriSe-Pilotstaaten signifikante Unterschiede bestehen. So definiert das nationale Recht einiger Pilotstaaten ähnlich der DSRL lediglich Sicherheitsziele, trifft aber keinerlei Aussagen zu den technischen und organisatorischen Maßnahmen, die zur Erreichung dieser Ziele von dem für die Verarbeitung Verantwortlichen zu treffen sind 28 (Gruppe 1). Eine zweite Gruppe von Pilotstaaten ist bei der Implementierung hierüber hinausgegangen und hat die zu treffenden Maßnahmen in den einschlägigen gesetzlichen Regelungen mehr oder weniger detailliert spezifiziert 29 (Gruppe 2). In den verbleibenden Pilotstaaten gibt es schließlich nationale Rechtsvorschriften, die sowohl mögliche Risiken bei der Verarbeitung personenbezogener Daten identifizieren als auch unterschiedliche Sicherheitslevel für verschiedene Arten der Datenverarbeitung festlegen und für jedes Sicherheitslevel technische und organisatorische Maß- 28 So etwa das schwedische Datenschutzgesetz (Artikel 31). 29 So z.b. das deutsche Bundesdatenschutzgesetz (Paragraf 9 nebst Anlage). 528 DuD Datenschutz und Datensicherheit

5 nahmen auflisten, die von dem für die Verarbeitung Verantwortlichen zu ergreifen sind 30 (Gruppe 3). Mit Hilfe der nationalen Rechtsvorschriften, die Gruppe 2 und 3 zuzuordnen sind, war es nun möglich, hinreichend konkrete Kriterien zu technisch-organisatorischen Maßnahmen zu entwickeln. Zudem kann mangels Alternativen auch bei der Auslegung der EuroPriSe-Kriterien auf diese Regelungen zurückgegriffen werden. Beispiel 2: Sensitive Daten Das zweite Beispiel betrifft die Frage, welche Arten sensitiver Daten bei der Entwicklung der Kriterien zu berücksichtigen sind. Insoweit war zunächst zu beachten, dass Artikel 8 Absatz 1 DSRL einen Katalog bestimmter Arten personenbezogener Daten (sog. sensitive Daten 31 ) enthält, die der Richtliniengeber als besonders schutzwürdig angesehen hat und für deren Verarbeitung er deshalb besonders strenge Voraussetzungen vorgesehen hat. Zu klären war, ob über die in Artikel 8(1) DSRL aufgezählten Datenkategorien hinaus noch weitere, aus dem nationalen Recht der Pilotstaaten entlehnte Arten sensitiver Daten in den EuroPriSe-Katalog aufzunehmen waren. So findet sich etwa im slowakischen Recht ein Katalog sensitiver Daten, der neben den in Artikel 8(1) DSRL genannten Datenkategorien explizit auch die Mitgliedschaft in politischen Parteien oder Bewegungen aufführt. 32 Da der Katalog in Artikel 8(1) DSRL die verschiedenen Arten sensitiver Daten abschließend benennt, waren solche weiteren Kategorien sensitiver Daten bei der Entwicklung der EuroPriSe-Kriterien jedoch nicht zu berücksichtigen. Schließlich sei angemerkt, dass sowohl der EuGH als auch insbesondere die Artikel 29 Datenschutzgruppe bereits Hinweise dazu gegeben haben, wie die in Artikel 8(1) DSRL verwendeten Termini im Einzelfall auszulegen sind So insbesondere die detaillierten Vorschriften des spanischen Rechts (Verordnung 1720/2007). 31 Im Rahmen von EuroPriSe wird terminologisch zwischen besonderen Kategorien personenbezogener Daten (Oberbegriff, der alle in Artikel 8 aufgeführten Arten von Daten umfasst) und sensitiven Daten (Unterbegriff, der nur den Katalog in Artikel 8(1) umfasst) differenziert. 32 Artikel 8 Absatz 1 des slowakischen Datenschutzgesetzes. 33 So hat sich die Art. 29 Gruppe z.b. dazu geäußert, wann es sich bei bestimmten biometrischen Daten um sensitive Daten im Sinne der DSRL handelt (WP 80 Working Document on biometrics). 3 Der EuroPriSe- Kriterienkatalog 3.1 Allgemeines Die Zertifizierungskriterien des europäischen Datenschutzgütesiegels sind im EuroPriSe-Kriterienkatalog aufgelistet. Dieses Dokument ist für jedermann frei zugänglich und kann von der Projekt-Website abgerufen werden. 34 Anerkannten EuroPriSe-Sachverständigen wird eine um prüfungsspezifische Hinweise ergänzte Version dieses Katalogs zur Verfügung gestellt. Ein weiteres Dokument für Sachverständige, der EuroPriSe-Kommentar, enthält Auslegungshilfen und weitere Anmerkungen zu den einzelnen Kriterien. 35 Im EuroPriSe-Katalog werden die entwickelten Kriterien nicht nur benannt, sondern es werden auch inhaltliche Fragen zu jedem einzelnen Kriterium aufgelistet. Diese Fragen sind bei der Entwicklung der Kriterien als für deren Prüfung besonders relevant identifiziert worden und sollen eine Evaluation auf der Grundlage des EuroPriSe-Katalogs erleichtern. Hieraus darf allerdings nicht der Schluss gezogen werden, dass es sich bei dem Katalog um eine reine Prüfungscheckliste handelt, die im Rahmen einer Evaluation von den Sachverständigen schlicht abgehakt werden muss. Vielmehr haben weder die aufgeführten Kriterien noch die zu diesen formulierten Fragen abschließenden Charakter. EuroPriSe-Sachverständige werden durch den Katalog also gerade nicht davon entbunden, eigenständig zu prüfen, ob nicht im Einzelfall noch weitere Kriterien zu berücksichtigen bzw. Fragen zu beantworten sind. Der EuroPriSe-Kriterienkatalog setzt sich aus zwei Bestandteilen zusammen: Auf einen Einleitungsteil mit wesentlichen Definitionen und Hinweisen zur Spezifizierung und Analyse des Zertifizierungsgegenstands folgt der eigentliche Kriterienkatalog. Bevor nachfolgend ein Überblick über die EuroPriSe-Kriterien gegeben wird, ist zunächst noch auf die Relevanz einer exakten Definition des Zertifizierungsgegenstands einzugehen criteria 35 Im Rahmen dieses Beitrags wird auf den EuroPriSe-Kommentar und auf den erweiterten Katalog für Sachverständige nicht näher eingegangen. 3.2 Bestimmung des Zertifizierungsgegenstands Die genaue Festlegung des Zertifizierungsgegenstands gebräuchlicher ist der englische Terminus Target of Evaluation (ToE) ist von elementarer Bedeutung für ein Zertifizierungsverfahren, da selbst vermeintlich kleine Änderungen des Zertifizierungsgegenstands gravierende Auswirkungen auf die durchzuführende Prüfung und das Prüfungsergebnis haben können. 36 Das ToE muss nicht notwendigerweise ein komplettes IT-Produkt sein. Vielmehr kann es sich bei ihm auch um einen oder mehrere Bestandteile eines Produkts handeln. Ebenso ist es möglich, mehrere Produkte zu einem Zertifizierungsgegenstand zusammenzufassen. Entsprechendes gilt für die Zertifizierung IT-basierter Dienstleistungen. Ausführungen zum ToE bilden einen wichtigen Bestandteil eines jeden Sachverständigengutachtens. Zu Beginn des Gutachtens sind der Zertifizierungsgegenstand und sein konkreter Anwendungsbereich so genau wie möglich zu bestimmen. Darüber hinaus wird von den Sachverständigen an dieser Stelle verlangt, die beim Einsatz des ToE entstehenden Datenflüsse abzubilden und eine erste Analyse der anwendbaren Rechtsvorschriften vorzunehmen. 3.3 Die Kriterien im Überblick Der EuroPriSe-Kriterienkatalog als solcher besteht aus vier thematischen Komplexen, auf die sich die einzelnen Kriterien verteilen: Komplex 1: Fundamentale Gesichtspunkte Der erste dieser Komplexe befasst sich mit fundamentalen Gesichtspunkten der Funktionsweise und des technischen Designs des Zertifizierungsgegenstands. In einem ersten Teilkomplex sind elementare Aspekte der mit der Nutzung des ToE verbundenen Datenverarbeitung zu untersuchen. Zu prüfen ist an dieser Stelle insbesondere, welche Datenverarbeitungsschritte erfolgen, zu welchen Zwecken dies jeweils geschieht, ob und wenn ja welche personenbezogenen Daten verarbeitet 36 Deshalb ist etwa bei der Zertifizierung von Software stets festzulegen, welche Version der jeweiligen Applikation Gegenstand des Verfahrens sein soll. DuD Datenschutz und Datensicherheit

6 werden und wer für die Datenverarbeitung verantwortlich ist. Die Besonderheit dieses Teilkomplexes besteht somit darin, dass bei seiner Bearbeitung nicht die Einhaltung konkreter Kriterien zu überprüfen ist. Die Aufgabenstellung für Sachverständige besteht vielmehr darin, einen Überblick über wesentliche Aspekte der bei Verwendung des Zertifizierungsgegenstands erfolgenden Datenverarbeitung zu liefern. Anders sieht dies aber bereits hinsichtlich des zweiten Teilkomplexes aus, anhand dessen das technische Design des ToE evaluiert wird. Relevante Kriterien dieses Teilkomplexes sind Datenvermeidung und sparsamkeit sowie Transparenz. Zu prüfen ist hier also, ob der Zertifizierungsgegenstand technisch so ausgestaltet ist, dass so wenig personenbezogene Daten wie möglich verarbeitet werden, und ob von vorhandenen Möglichkeiten einer Anonymisierung oder Pseudonymisierung Gebrauch gemacht wird. Ebenso ist hier zu untersuchen, ob sowohl für die Benutzer eines Produktes als auch für die von der Datenverarbeitung betroffenen Personen ein genügendes Maß an Transparenz gewährleistet ist. Insoweit sind vorhandene Dokumente wie z. B. ein Benutzerhandbuch, aber auch datenschutzspezifische Informationen, wie sie etwa im Rahmen einer Datenschutzerklärung auf einer Website zur Verfügung gestellt werden, auf ihre Vollständigkeit, Richtigkeit, Verständlichkeit und Aktualität hin zu evaluieren. Komplex 2: Rechtmäßigkeit der Datenverarbeitung Gegenstand des zweiten Komplexes des EuroPriSe-Katalogs ist die Rechtmäßigkeit der Datenverarbeitung. Hier befasst sich der erste Teilkomplex mit der zentralen Frage nach dem Vorhandensein einer Rechtsgrundlage für jegliche, bei der Benutzung des Zertifizierungsgegenstands erfolgende Verarbeitung personenbezogener Daten. Dieser Teilkomplex ist in verschiedene Gruppen von Kriterien unterteilt: Diese befassen sich insbesondere mit der Frage nach der Existenz einer Rechtsgrundlage für eine Verarbeitung normaler personenbezogener Daten sowie für eine Verarbeitung sensitiver Daten. Zudem finden sich hier auch erstmals Kriterien, die aus der Datenschutzrichtlinie für elektronische Kommunikation abgeleitet worden sind und folglich deren Anwendbarkeit 37 voraussetzen: Diese Kriterien betreffen spezielle Voraussetzungen für die Rechtmäßigkeit der Verarbeitung von Verkehrs- und Standortdaten sowie für die Zusendung unerbetener Werbenachrichten. Ein zweiter Teilkomplex hat Kriterien zum Gegenstand, die sich mit der Rechtmäßigkeit spezieller Phasen der Datenverarbeitung befassen. Zu prüfen ist hier beispielsweise, ob die betroffenen Personen bei der Erhebung von Daten ordnungsgemäß informiert werden, ob Daten an Dritte übermittelt werden dürfen oder wann Daten nicht mehr erforderlich und damit zu löschen sind. Im Zentrum eines weiteren Teilkomplexes steht die Frage nach der Vereinbarkeit der Datenverarbeitung mit wichtigen Datenschutzprinzipien wie Zweckbindung, Verhältnismäßigkeit und Qualität sprich Richtigkeit der Daten. Gegenstand des vierten Teilkomplexes sind Kriterien, die die Rechtmäßigkeit spezieller Varianten der Datenverarbeitung wie Auftragsdatenverarbeitung und Übermittlung personenbezogener Daten in Drittländer 38 betreffen. Im letzten Teilkomplex geht es schließlich um die Verpflichtung des für die Verarbeitung Verantwortlichen zur Meldung einer Datenverarbeitung bei der Kontrollstelle 39 und zur Vorabkontrolle von Verarbeitungen, die spezifische Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können. Komplex 3: Technisch-organisatorische Maßnahmen Der dritte Komplex des Katalogs betrifft die zur Gewährleistung der Datensicherheit von dem für die Verarbeitung Verantwortlichen zu treffenden technisch-organisatorischen Maßnahmen. Im Rahmen einer Evaluation dieses Komplexes ist stets zu beachten, dass nach Artikel 17(1) DSRL 37 Grundsätzlich ist die DSRLeK nur dann anwendbar, wenn die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in öffentlichen Kommunikationsnetzen erfolgt. Laut Art. 29 Datenschutzgruppe handelt es sich aber jedenfalls bei Artikel 5(3) und 13 der DSRLeK um generelle Vorschriften, die bei jeglicher Verwendung von Cookies bzw. Versendung von SPAM anwendbar sind (vgl. WP 148, S. 12). 38 Dies er Begriff bezeichnet solche Staaten, die weder Mitglied der Europäischen Union sind noch zum Europäischen Wirtschaftsraum (EWR) gehören. 39 Mit diesem von der DSRL verwendeten Begriff ist die zuständige Datenschutzaufsichtsbehörde gemeint. nicht alle theoretisch denkbaren Maßnahmen zu treffen sind, sondern lediglich solche, die hinsichtlich der konkret zu prüfenden Datenverarbeitung geeignet und angemessen sind. In einem ersten Teilkomplex werden Kriterien aufgelistet, die generelle Pflichten zum Gegenstand haben. Hierzu zählt etwa die Pflicht zur Kontrolle des Zutritts zu Datenverarbeitungssystemen oder zur Verhinderung einer unbefugten Nutzung solcher Systeme. Außerdem gehören dazu auch die Pflichten zur Protokollierung der Datenverarbeitung, zur Gewährleistung von Netzwerk- und Transportsicherheit und zur Verhinderung eines zufälligen Verlusts von Daten. Die verbleibenden Kriterien dieses Teilkomplexes betreffen schließlich technische Aspekte der Löschung von Daten, temporäre Dateien und die Dokumentation von Produkten und Dienstleistungen aus der Perspektive eines Kunden. Gegenstand des zweiten Teilkomplexes sind spezielle, technik- und dienstleistungsspezifische Anforderungen. Die insoweit einschlägigen Kriterien betreffen Themen wie Verschlüsselung, Anonymisierung und Pseudonymisierung sowie die Pflicht zur Gewährleistung der Transparenz automatisierter Einzelentscheidungen. Komplex 4: Betroffenenrechte Der vierte und letzte Komplex des Katalogs beinhaltet schließlich Kriterien, die die subjektiven Rechte der von einer Datenverarbeitung betroffenen Personen zum Gegenstand haben. Der erste Teilkomplex betrifft subjektive Rechte, die durch die allgemeine Datenschutzrichtlinie garantiert werden. Hierzu gehört zunächst einmal das Recht auf Information, welches den Pflichten des für die Verarbeitung Verantwortlichen zur Unterrichtung und Benachrichtigung der betroffenen Personen korrespondiert. Die weiteren Kriterien dieses Teilkomplexes befassen sich mit den Rechten auf Auskunft, Berichtigung, Löschung und Sperrung sowie mit dem Recht, einer Datenverarbeitung in bestimmten Fällen zu widersprechen. Die Kriterien des zweiten Teilkomplexes betreffen die subjektiven Rechte, die den Teilnehmern oder Nutzern eines öffentlich zugänglichen elektronischen Kommunikationsdienstes von der Datenschutzrichtlinie für elektronische Kom- 530 DuD Datenschutz und Datensicherheit

7 munikation eingeräumt werden. 40 Zu nennen sind insoweit das Recht, über Sicherheitsrisiken informiert zu werden, das Recht auf Vertraulichkeit der Kommunikation sowie das Recht, über Cookies und andere Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, informiert zu werden. Weitere durch die DSRLeK verbriefte Rechte sind das Recht, Rechnungen ohne Einzelgebührennachweis zu erhalten, das Recht auf Rufnummernunterdrückung und Abstellung einer automatischen Anrufweiterschaltung sowie besondere Rechte im Hinblick auf die Aufnahme in Teil- 40 Diese Kriterien sind nur dann einschlägig, wenn die DSRLeK im Hinblick auf den Zertifizierungsgegenstand anwendbar ist (hierzu Fn. 37). nehmerverzeichnisse elektronischer Kommunikationsdienste (z. B. Telefonbücher). 4 Ausblick Der EuroPriSe-Kriterienkatalog muss seine erste Bewährungsprobe im Rahmen der zurzeit laufenden Pilotzertifizierungen bestehen. Er ist ein Dokument, das kontinuierlich weiterentwickelt und verbessert wird. Eine Weiterentwicklung ist schon deshalb erforderlich, weil die Zertifizierungskriterien aus dem geltenden EU- Datenschutzrecht entwickelt worden sind und zukünftige Änderungen des materiellen Rechts deshalb zwangsläufig auch zu Anpassungen im Kriterienkatalog führen müssen. Gleiches gilt für Veränderungen des state of the art im Bereich der Technik. Da sich das Gesetzgebungsverfahren für eine Reform der Datenschutzrichtlinie für elektronische Kommunikation bereits in einem fortgeschrittenen Stadium befindet 41, ist schon jetzt absehbar, dass es in naher Zukunft zu einer inhaltlichen Weiterentwicklung des EuroPriSe-Katalogs kommen wird. 41 Vgl. den Vorschlag für eine Richtlinie zur Änderung der Richtlinie 2002/22/EG, der Richtlinie 2002/58/EG und der Verordnung (EG) Nr. 2006/2004 (KOM(2007) 698). DuD Datenschutz und Datensicherheit

Zertifizierungen im Datenschutz - Chancen international und Nutzen?

Zertifizierungen im Datenschutz - Chancen international und Nutzen? Zertifizierungen im Datenschutz - Chancen international und Nutzen? Sebastian Meissner Head of the EuroPriSe Certification Authority 3. Hamburger Datenschutztage Hamburg, 19.03.-20.03.2015 Grundsätzliches

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh Gutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig-Holstein (Re-Zertifizierung) für das IT-Produkt BackStor Datensicherung, Version 1.2 im Auftrag der Sachsen DV Betriebs-

Mehr

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik Vortrag im Seminar Designing for Privacy (Theorie und Praxis datenschutzfördernder Technik) Benjamin Kees

Mehr

Technisches und rechtliches Rezertifizierungs-Gutachten

Technisches und rechtliches Rezertifizierungs-Gutachten Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch

Mehr

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Datenschutz Schleswig-Holstein Übersicht Wer oder Was ist das Unabhängige Landeszentrum für? Was bedeutet Datenschutz Compliance grundsätzlich?

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Das Facebook Urteil des EuGH EuGH, Ut. v. 06.10.2015, Rs. C-352/14 (Schrems)

Das Facebook Urteil des EuGH EuGH, Ut. v. 06.10.2015, Rs. C-352/14 (Schrems) Das Facebook Urteil des EuGH EuGH, Ut. v. 06.10.2015, Rs. C-352/14 (Schrems) Vortrag zum öffentlich-rechtlichen Kolloquium der Fakultät III der Universität Bayreuth am 03.11.2015 Prof. Dr. Heinrich Amadeus

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive 12. Konferenz Biometrics Institute, Australien Sydney, 26. Mai 2011 Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive Peter Hustinx Europäischer

Mehr

Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein

Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein Barbara Körffer Dr. Thomas Probst Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel www.datenschutzzentrum.de Einführung von

Mehr

ARTIKEL-29-DATENSCHUTZGRUPPE

ARTIKEL-29-DATENSCHUTZGRUPPE ARTIKEL-29-DATENSCHUTZGRUPPE 12110/04/DE WP 102 Muster-Checkliste Antrag auf Genehmigung verbindlicher Unternehmensregelungen angenommen am 25. November 2004 Die Gruppe ist gemäß Artikel 29 der Richtlinie

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

GIOVANNI BUTTARELLI STELLVERTRETENDER DATENSCHUTZBEAUFTRAGTER

GIOVANNI BUTTARELLI STELLVERTRETENDER DATENSCHUTZBEAUFTRAGTER GIOVANNI BUTTARELLI STELLVERTRETENDER DATENSCHUTZBEAUFTRAGTER Frau Beáta GYÕRI-HARTWIG Exekutivagentur für Gesundheit und Verbraucher (EAHC) DRB A3/045 L-2920 LUXEMBURG Brüssel, 25. Januar 2011 GB/IC/kd

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Risk Management und Compliance. Datenschutz als Wettbewerbsfaktor

Risk Management und Compliance. Datenschutz als Wettbewerbsfaktor Risk Management und Compliance Datenschutz als Wettbewerbsfaktor Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) 3. Februar 2005 Erwartungen 2 Was bedeutet Datenschutz? Informationelle

Mehr

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. Heute hat der EuGH in der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz- Aufsichtsbehörde) eine weitreichende

Mehr

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz und Geoinformationen - Ampelstudie eine Studie für die GIW-Kommission

Datenschutz und Geoinformationen - Ampelstudie eine Studie für die GIW-Kommission Datenschutz und Geoinformationen - Ampelstudie eine Studie für die Kongress DIHK und Wirtschaftsförderung mit Online-Geodaten 05. Juni 2008, DIHK Berlin Leiter des ULD Schleswig-Holstein, Unabhängiges

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

WELCOME. Die 7 Säulen des ULD. www.european-privacy-seal.eu. EuroPriSe. Sommerakademie Kiel 2008 2. Aufsicht Beratung Bildung.

WELCOME. Die 7 Säulen des ULD. www.european-privacy-seal.eu. EuroPriSe. Sommerakademie Kiel 2008 2. Aufsicht Beratung Bildung. WELCOME Die 7 Säulen des ULD Aufsicht Beratung Bildung DATEN- SCHUTZ- AKADEMIE IT Labor Model Projekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Inhaltsverzeichnis Abkürzungsverzeichnis... 13 Kapitel I: Gegenstand und Gang der Untersuchung... 21 A. Einführung in die besondere Problematik des Datenschutzes... 21 B. Untersuchungsgegenstand der Dissertation...

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Outsourcing und Tracking in einer vernetzten Welt

Outsourcing und Tracking in einer vernetzten Welt Outsourcing und Tracking in einer vernetzten Welt Infobörse 2 Referent: Dr. Sven Polenz, ULD Moderation: Harald Zwingelberg, ULD Übersicht 1.1 Auftragsdatenverarbeitung öffentlicher/nichtöffentlicher Stellen

Mehr

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Seite 2 Inhalt: Folgen

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015 Datenschutzrecht im Digitalen Binnenmarkt 16. Salzburger Telekom-Forum 27. August 2015 Datenschutz in der EU Aktuelle Rechtsgrundlagen: - Art 8 GRC: Jede Person hat das Recht auf Schutz der sie betreffenden

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012 Datenschutzrecht Grundlagen Dr. Gregor König, LLM., Datenschutzkommission 15. November 2012 Inhalt Grundlagen Datenschutzrecht Rollen und Pflichten Datenschutzrecht Betroffenenrechte Soziale Netzwerke

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder. Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM

Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder. Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM Das Grundrecht auf Datenschutz im Europarecht Wirkungen und Problemfelder Ao. Univ.-Prof. Dr. Alina-Maria Lengauer, LLM Das Grundrecht auf Datenschutz im Europarecht 1. Zur Genese des Grundrechtes auf

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023 im Auftrag der 4U GmbH datenschutz cert GmbH Februar 2011 Inhaltsverzeichnis Gutachten

Mehr

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin D Dr. iur. Rainer Frank Arbeitsgruppe Hinweisgeber Geschäftsstelle D- Tel.: (49) (30) 54 98 98 0 Tel. (dienstl.): (49) (30) 31 86 853 Fax: (49) (30) 54 98 98 22 E-Mail: rfrank@transparency.de www.transparency.de

Mehr

Big Data in der Medizin

Big Data in der Medizin Big Data in der Medizin Gesundheitsdaten und Datenschutz Dr. Carola Drechsler Sommerakademie 2013 Inhalt Was bedeutet Big Data? Welche datenschutzrechtlichen Fragestellungen sind zu berücksichtigen? Welche

Mehr

Gesamtkonzept für den Datenschutz in der Europäischen Union Mitteilung der Kommission vom 04. November 2010 - KOM (2010) 609

Gesamtkonzept für den Datenschutz in der Europäischen Union Mitteilung der Kommission vom 04. November 2010 - KOM (2010) 609 Stellungnahme Gesamtkonzept für den Datenschutz in der Europäischen Union Mitteilung der Kommission vom 04. November 2010 - KOM (2010) 609 Die vbw Vereinigung der Bayerischen Wirtschaft e. V. ist die zentrale

Mehr

Verordnung über die Datenschutzzertifizierungen

Verordnung über die Datenschutzzertifizierungen Verordnung über die Datenschutzzertifizierungen (VDSZ) 235.13 vom 28. September 2007 (Stand am 1. April 2010) Der Schweizerische Bundesrat, gestützt auf Artikel 11 Absatz 2 des Bundesgesetzes vom 19. Juni

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

EUROPÄISCHES PARLAMENT

EUROPÄISCHES PARLAMENT EUROPÄISCHES PARLAMENT 2004 Petitionsausschuss 2009 17.12.2009 MITTEILUNG AN DIE MITGLIER Betrifft: Petition 0230/2006 eingereicht von Michael Reichart, österreichischer Staatsangehörigkeit, betreffend

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG - EIN ÜBERBLICK - OTFRIED BÜTTNER, LL.M. GDD stellvertretender ERFA-Kreisleiter Mülheim an der Ruhr/Essen/Oberhausen IHK Gesprächsforum Datenschutz migosens GmbH 1 Die

Mehr

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs.

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 09/2010 Antrag auf Anerkennung als Sachverständige(r) durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 1 DSAVO 1. Angaben zur Person 1.1 Persönliche Daten Titel/akademischer

Mehr

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken EuGH erklärt Datentransfer in die USA für illegal 6. Oktober Rechtsanwalt Arnd Böken EuGH erklärt Datentransfer in die USA für illegal Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden,

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Grundsätzlich ist jeder Steuerberater zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, er beschäftigt

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienste. Datenschutz-Gütesiegel

Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienste. Datenschutz-Gütesiegel Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienste Datenschutz-Gütesiegel Inhalt 1 Einleitung 1 1.1 Vertraulichkeit personenbezogener Daten 1 1.2 IT-Sicherheit und Datenschutz 2 1.3 Ziele

Mehr

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen BvD Symposium 22. Oktober 2015 Ulrich Weinbrenner Leiter der PG Datenschutz im BMI Der Reformprozess Bedeutung der Reform Wer entscheidet

Mehr

Kirchliches Gesetz über die elektronische Verwaltung in der Evangelischen Landeskirche in Baden (EVerwG)

Kirchliches Gesetz über die elektronische Verwaltung in der Evangelischen Landeskirche in Baden (EVerwG) Elektronische Verwaltung in der Ekiba EVerwG 520.900 Kirchliches Gesetz über die elektronische Verwaltung in der Evangelischen Landeskirche in Baden (EVerwG) Vom 25. April 2015 (GVBl. 2015 S. 98) Die Landessynode

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

3. In dieser Richtlinie bezeichnet der Ausdruck "Mitgliedstaat" die Mitgliedstaaten mit Ausnahme Dänemarks.

3. In dieser Richtlinie bezeichnet der Ausdruck Mitgliedstaat die Mitgliedstaaten mit Ausnahme Dänemarks. EU-Richtlinie zur Mediation vom 28.02.2008 Artikel 1 Ziel und Anwendungsbereich 1. Ziel dieser Richtlinie ist es, den Zugang zur alternativen Streitbeilegung zu erleichtern und die gütliche Beilegung von

Mehr

Vorteile für Unternehmen durch Datenschutz-Zertifizierung

Vorteile für Unternehmen durch Datenschutz-Zertifizierung Vorteile für Unternehmen durch Datenschutz-Zertifizierung Dr. Thilo Weichert Leiter des ULD Schleswig-Holstein eco/mmr-kongress Moderner Datenschutz Berlin, Dienstag 31. März 2009 Inhalt Datenschutz schadet

Mehr

Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14

Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 POSITIONSPAPIER VOM 14.10.2015 Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 Dieses Positionspapier richtet sich an nichtöffentliche und öffentliche

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Informationen zum Datenschutz im Maler- und Lackiererhandwerk Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Der europäische Datenschutzstandard

Der europäische Datenschutzstandard Nadine Bodenschatz Der europäische Datenschutzstandard PETER LANG Internationaler Verlag der Wissenschaften Inhaltsverzeichnis 1. Kapitel-Einführung und Überblick 15 I. Einführung und Überblick 15 II.

Mehr

Wie verhindern wir den gläsernen Kunden? Datenschutz beim Smart Metering

Wie verhindern wir den gläsernen Kunden? Datenschutz beim Smart Metering Wie verhindern wir den gläsernen Kunden? Datenschutz beim Smart Metering Lars Konzelmann Referent beim Sächsischen Datenschutzbeauftragten Die Behörde Die Behörde Sitz in Dresden, angesiedelt beim Sächsischen

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) 2016 Q047 MO (1. Modul) 25.10. 27.10.2016 (1.

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) 2016 Q047 MO (1. Modul) 25.10. 27.10.2016 (1. Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2016 Q047 MO (1. Modul) Termin: 25.10. 27.10.2016 (1. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Anlage zum Schreiben des Herrn Ministers an GRC- und ITA-Vorsitz

Anlage zum Schreiben des Herrn Ministers an GRC- und ITA-Vorsitz 1 Anlage zum Schreiben des Herrn Ministers an GRC- und ITA-Vorsitz Vorschlag für eine Roadmap zur Beschleunigung der Verhandlungen über die EU-Datenschutzreform 1. Rechtsform und höhere Datenschutzstandards

Mehr

Datenschutzbestimmungen im Vergleich D.A.CH

Datenschutzbestimmungen im Vergleich D.A.CH Österreich Markante Phasen der Entwicklung: Datenschutzgesetz (1978) - Grundrecht auf Datenschutz, Definitionen (Daten, Betroffene, Auftraggeber, Verarbeiter, ), Meldung der Verarbeitung, Auskunftsrecht,

Mehr

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 54/14 Luxemburg, den 8. April 2014 Presse und Information Urteil in den verbundenen Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und

Mehr

Big Data Small Privacy?

Big Data Small Privacy? Big Data Small Privacy? Herausforderungen für den Datenschutz Future Internet Kongress Palmengarten, Frankfurt 4. Dezember 2013 Übersicht 1. Schutzgut des Datenschutzrechts Informationelle Selbstbestimmung

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Angenommen am 14. April 2005

Angenommen am 14. April 2005 05/DE WP 107 Arbeitsdokument Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien Angenommen

Mehr

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG 1 Allgemeines (Stand 17.04.2015) (1) Der Vorstand führt die Geschäfte der ICG nach Maßgabe der Gesetze, der Satzung und der

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr