Grundlagen des Datenschutzes und der IT-Sicherheit (4) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Transkript

1 und der IT-Sicherheit (4) Vorlesung im Sommersemester 2005 von

2 Ergebnis Datenschutzrecht (4) Umfang der Betroffenenrechte Allgemein gültige Regelungen im Datenschutzrecht und deren Ausnahmen (hinsichtlich öffentliche bzw. privilegierte Stellen) Aufgaben des, Anforderungen für den und Absicherung des Datenschutzbeauftragten Erfordernisse für eine Vorabkontrolle Besondere Regelungen in den Datenschutzgesetzen Geheimhaltungspflichten Aufgaben von Aufsichtsbehörden 2

3 Ergebnis Datenschutzrecht (5) Zuständigkeiten des Landesdatenschutzbeauftragten typische Dauerbrenner im Tätigkeitsfeld des LfD und die zugrundeliegenden Normen typische Datenschutzverstöße Prüfkriterien: - Zulässigkeitsüberprüfung der Datenverarbeitung (Gesetz oder Einwilligungserklärung) - Überprüfung der technischen und organisatorischen Maßnahmen - Einhaltung der Datensparsamkeit - Gewährleistung der Betroffenenrechte 3

4 Internationaler Datenverkehr (1) Wo ist der Sitz der verantwortlichen Stelle? Sitz in der BRD bzw. Niederlassung in BRD: deutsches Datenschutzrecht Sitz (ohne Niederlassung) innerhalb EU bzw. EWR: Datenschutzrecht des EU-Landes bzw. EWR-Landes Sitz außerhalb der EU bzw. des EWR: bei Niederlassung: deutsches Datenschutzrecht bei Datentransit: nur Kontrolle nach dt. DSR ansonsten: deutsches Datenschutzrecht (unter Beachtung vertragsrechtlicher Bestimmungen) Anm.: EWR-Staaten sind Norwegen, Island & Liechtenstein 4

5 Internationaler Datenverkehr (2) Datenübermittlung ins Ausland angemessenes Datenschutzniveau entscheidend: zulässig bei Sitz innerhalb der EU, des EWR bzw. bei Organen oder Einrichtungen der EU zulässig bei Sitz im Land mit angemessenem Datenschutzniveau (Schweiz, Kanada, Argentinien) ansonsten nur zulässig, wenn Betroffeneninteresse dies nicht ausschließt und entweder Safe Harbor, EU-Standardvertrag, Codes of Conduct oder Einwilligung/Vertragsverhältnis vorliegt 5

6 Internationaler Datenverkehr (3) Safe Harbor (Anhang I + II zu K 2000/520/EG) Aushandlung zw. EU-Kommission & US-Regierung: Informationspflichten Gewährleistung der Wahlmöglichkeit ( opt-out ) Weitergabebestimmungen Sicherheitsbestimmungen Sicherstellung der Datenintegrität Auskunftsrecht der Betroffenen Durchsetzungsgewähr (z.b. via Schiedsgericht) US-Handelsministerium führt betreffendes Verzeichnis 6

7 Internationaler Datenverkehr (4) EU-Standardvertrag Nutzung der Standardvertragsklauseln nach den Vorgaben der EU-Kommission ohne Änderungen Codes of Conduct Genehmigung durch Aufsichtsbehörde Verbindliche Unternehmensregelungen über - zu übermittelnde Datenarten und -mengen, - Sensitivität der Daten und - Sicherstellung der Betroffenenrechte 7

8 Rechtsfolgen der EU in der BRD 8

9 Datenschutz in der EU DSRL: 1995 EG-Datenschutzrichtlinie RL 95/46/EG Umsetzung durch BDSG 2001 umfassende Regelungen Grundlage für weitere Regelungen DSVO: 2000 Datenschutz- Verordnung EG 45/2001 automatisch in Kraft Einführung des Europäischen Datenschutzbeauftragten bindend für EU- Organe und Einrichtungen EKRL: 2002 Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG Umsetzung durch TKG & UWG 2004 schützt auch juristische Personen 9

10 Datenschutz in EU-Verfassung (1) Artikel 50: Schutz personenbezogener Daten (1) Jeder Mensch hat das Recht auf Schutz der ihn betreffenden personenbezogenen Daten. (2) Europäische Gesetze legen Regeln über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr fest. Die Einhaltung dieser Vorschrift wird von einer unabhängigen Behörde überwacht. 10

11 Datenschutz in EU-Verfassung (2) Artikel II-8: Schutz personenbezogener Daten (1) Jeder Mensch hat das Recht auf Schutz der ihn betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jeder Mensch hat das Recht, Auskunft über die ihn betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. 11

12 Datensicherheit (1): Begriffsdefinitionen (1) Definition 12: Sicherheit Abwesenheit von Gefahren Definition 13: Datensicherung Maßnahmen zur Erhaltung und Sicherung des DV-Systems, der Daten und Datenträger vor Fehler, Missbrauch und höherer Gewalt Datensicherung zielt insb. auf Ausfallsicherheit ab! Definition 14: Datenschutz Sicherstellung des informationellen Selbstbestimmungsrechts bei der Verarbeitung personenbezogener Daten 12

13 Datensicherheit (2): Verhältnis Datenschutz zu Datensicherung 13

14 Datensicherheit (3): Begriffsdefinitionen (2) Definition 15: Datensicherheit Schutz von Daten vor Gefährdungen der Vertraulichkeit, Integrität Verfügbarkeit, Zurechenbarkeit und Rechtsverbindlichkeit Definition 16: Mehrseitige IT-Sicherheit Schutz von Hardware, Software und Daten vor Gefährdungen der Vertraulichkeit, Integrität Verfügbarkeit, Zurechenbarkeit und Rechtsverbindlichkeit Datensicherung nur Teil der Verfügbarkeit: Ausfallsicherheit Datensicherheit ist Teil der IT-Sicherheit technische & organisatorische Maßnahmen dienen Datenschutz und IT-Sicherheit 14

15 Datensicherheit (4): Schutz vor unbeabsichtigten Ereignissen: Safety Schutz gegen beabsichtigte Angriffe: Security IT-Sicherheit = Safety + Security Abgrenzungen 15

16 Datensicherheit (5): Zusammenhang zwischen mehrseitiger IT-Sicherheit und Datenschutz: Überschneidung bei der Verarbeitung personenbezogener Daten Schwerpunkt liegt auf Security Abgrenzungen 16

17 Mediendatenschutz: Übersicht 17

18 Mediendatenschutz: Netze Telekommunikation: zuständig: Bund zentral: technische Seite Gesetz: Telekommunikationsgesetz (TKG) alleinige Zuständigkeit des Bundes nach Art. 73 Ziff. 7 GG: Der Bund hat die ausschließliche Gesetzgebung über: (...) 7. das Postwesen und die Telekommunikation; Art. 70 Abs. 1 GG: Die Länder haben das Recht der Gesetzgebung, soweit dieses Grundgesetz nicht dem Bundes Gesetzgebungsbefugnisse verleiht. 18

19 Mediendatenschutz: Dienste Teledienste: zuständig: Bund zentral: Individualkommunikation Gesetz: Teledienstegesetz (TDG) & Teledienstedatenschutzgesetz (TDDSG) Telekommunikation Mediendienste: zuständig: Länder zentral: Ausstrahlung f. Allgemeinheit Gesetz: Mediendienste- Staatsvertrag & Rundfunkstaatsvertrag elektro-magnetische Schwingungen 19

20 Mediendatenschutz: Inhalte Allgemeiner Datenschutz: zuständig: Bund oder Länder (je nach Anwendung) zentral: Anwendungsbereich Gesetz: Bereichsregelung ( lex specialis ) und/oder Bundesdatenschutzgesetz oder jeweiliges Landesdatenschutzgesetz 20

21 Mediendatenschutz: Daten Bestandsdaten = (notwendige) Vertragsdaten ( 95 TKG, 5 TDDSG; 47b RStV, 14 MDStV) Verkehrsdaten = Verbindungsdaten ( 96 TKG) Nutzungsdaten = Abrechnungsdaten (erforderliche Verbindungsdaten & genutzte Teledienste) ( 97 TKG, 6 TDDSG; 47c RStV, 15 MDStV) Hinweis: Geschäftsmäßigkeit zielt auf Dauerhaftigkeit, Gewinnerzielungsabsicht nicht maßgeblich! Inhaltsdaten 21

22 Ergebnis Datenschutzrecht (6) Beim internationalen Datenverkehr ist entscheidend, wo die verantwortliche Stelle ihren Sitz hat und ob die zu übermittelnden Daten an eine Stelle in einem Staat übermittelt wird, der ein angemessenes Datenschutzniveau vorweist Definitionen und Ziele von Datensicherung, Datensicherheit und mehrseitiger IT-Sicherheit Besonderheiten beim Mediendatenschutz 22

23 Literaturhinweise zum Datenschutzrecht: Lutz Bergmann, Roland Möhrle, Armin Herb: Datenschutzrecht Kommentar Bundesdatenschutzgesetz, Datenschutzgesetze der Länder und Kirchen, Bereichsspezifischer Datenschutz, Loseblatt-Sammlung, Richard Boorberg Verlag, Stuttgart, Alexander Roßnagel (Hrsg): Handbuch Datenschutzrecht, Verlag C.H. Beck, München,

24 Überblick: Letzter Datenschutzteil 24

25 Allgemeines Persönlichkeitsrecht Grundlage: Art. 2 Abs. 1 GG Ausprägungen: Informationelles Selbstbestimmungsrecht Datenschutz Urheberrecht Urheberschutz Recht am eigenen Namen Namensschutz Recht am eigenen Bild Bildnisschutz analog: KunstUrhG digital: BDSG, soweit KunstUrhG nicht prioritär 25

26 Details zum Bildnisschutz 22 Satz 1 KunstUrhG: Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. 23 Abs. 1 KunstUrhG: Ohne die nach 22 erforderliche Einwilligung dürfen verarbeitet und zur Schau gestellt werden: 1. Bildnisse aus dem Bereich der Zeitgeschichte; 2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen; 3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben; 4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient. 24 KunstUrhG: Für Zwecke der Rechtspflege und der öffentlichen Sicherheit dürfen von den Behörden Bildnisse ohne Einwilligung des Berechtigten sowie des Abgebildeten oder seiner Angehörigen vervielfältigt, verbreitet und öffentlich zur Schau gestellt werden. 26

27 Fernmeldegeheimnis Grundlage: Art. 10 Abs. 1 GG Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. Ausprägungen: Telekommunikation Fernmeldegeheimnis 88 TKG: Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. 27