Weiterbildung Datenschutz

Transkript

1 1 Weiterbildung Datenschutz

2 2 Wann spielt der Datenschutz eine Rolle? lt. Grundgesetz gibt es das Recht auf informationelle Selbstbestimmung Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten Recht wird eingeschränkt durch überwiegendes Allgemeininteresse, das in anderen gesetzlichen Regelungen niedergelegt ist Einzelheiten sind im Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-LSA) niedergelegt, welches für öffentliche Einrichtungen in Sachsen-Anhalt anzuwenden ist (nicht das Bundesdatenschutzgesetz) In jedem Fall muss geprüft werden, ob es spezielle Rechtsvorschriften gibt, die das Datenschutzgesetz ergänzen oder vorrangig anzuwenden sind

3 3 Was sind personenbezogene Daten? Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, z.b. Name, Anschrift, Geburtsdatum, Familienangehörige, Schulbildung, besondere Fähigkeiten, Gesundheitsdaten, Arbeitsdaten, Werturteile... besondere Arten personenbezogener Daten: rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten Erhebung und Verarbeitung nur zulässig, wenn es ein Gesetz oder eine Rechtsvorschrift gibt, die sie erlaubt oder anordnet oder mit Einwilligung der betroffenen Person

4 4 Zulässigkeit der Datenverarbeitung Erlaubnisvorbehalt, Erforderlichkeit: strenger Maßstab, Verarbeitung muss nicht nur nützlich sondern unerlässlich sein Einwilligung des Betroffenen: freie Entscheidung, hinweisen auf Zweck, Folgen der Verweigerung, schriftliche Form (evtl. auch andere Form möglich) personenbezogene Daten von Beschäftigten: wenn zwingend erforderlich für die Durchführung oder Begründung des Beschäftigungsverhältnisses Aufdeckung von Straftaten: wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, schutzwürdiges Interesse des Beschäftigten am Ausschluss nicht überwiegt und Art und Ausmaß nicht unverhältnismäßig sind

5 5 Grundsätze für den Ablauf der Datenverarbeitung Datensparsamkeit: Pflicht zur Datenvermeidung, auf das für die Aufgabenerledigung erforderliche Minimum beschränken Zweckbindung: Verwendungszweck ergibt sich aus Rechtsvorschrift, Ähnlichkeit von Aufgaben ist nicht ausreichend, Zusammenführen von für unterschiedliche Zwecke gespeicherten Daten problematisch innerhalb der verantwortlichen Stelle: aufgabenspezifische Trennung Betroffenenrechte: Auskunft, Löschung, Sperrung, Widerruf der Einwilligung, Recht auf Einwendung gegen Datenverwendung bei besonderen persönlichen Gründen

6 6 NSA, PRISM und Überwachung anlasslose, flächendeckende Speicherung und Auswertung personenbezogener Daten auch deutscher und europäischer Bürger Patriot Act: Überwachung auch von Nicht-US-Bürgern außerhalb der USA durch Sicherheitsbehörden (der USA) erlaubt Verpflichtung der Datenhalter zur Herausgabe von Daten, wenn sie rechtlich oder tatsächlich in der Lage sind, sich Zugang zu verschaffen! US-Unternehmen müssen Daten von Tochterunternehmen herausgeben, sonst drohen Sanktionen verletzt deutsche und europäische Grundrechte! anlasslose Vorratsdatenspeicherung stellt einen besonders schwerwiegenden Grundrechtseingriff dar

7 7 NSA, PRISM und Überwachung : Internet Service Provider mit Sitz in den USA müssen bei Vorliegen eines in den USA gültigen Durchsuchungsbefehls auch Daten ihrer Nutzer herausgeben, wenn diese Daten selbst außerhalb der USA gespeichert sind (im Beispielfall war es Irland) gem. BDSG muss für Übermittlung personenbezogener Daten an eine Stelle außerhalb der EU ein Erlaubnistatbestand vorliegen und schutzwürdiges Interesse der Betroffenen am Ausschluss der Übermittlung darf nicht überwiegen Grund für Ausschluss: kein angemessenes Datenschutzniveau beim Empfänger

8 8 NSA, PRISM und Überwachung USA hat kein angemessenes Datenschutzniveau, d.h. Übermittlung generell unzulässig ABER: problematisch wegen wirtschaftlicher Auswirkungen Lösungen: Safe Harbor: Organisationen in den USA geben freiwillige Selbstverpflichtung bezügl. angemessenem Datenschutzniveau ab Ausnahmeregelungen durch zuständige Aufsichtsbehörde verbindliche Unternehmensregeln 2010: Bedenken der Datenschutzaufsichtsbehörden gegenüber Safe- Harbor-Zertifizierung, deutsche Unternehmen sollen zusätzliche Nachweise für Einhaltung der Grundsätze einholen

9 9 NSA, PRISM und Überwachung Safe Harbor erlaubt Einschränkung der Safe Harbor Klauseln zugunsten der NSA, aber nicht anlasslos und begrenzt auf das für die Zwecke Erforderliche, deshalb ist NSA-Überwachung nicht zulässig nach geltender Rechtslage müsste Datenübermittlung in die USA verboten werden Welche Daten übermitteln Sie in die USA? Quelle: Die Zulässigkeit der Übertragung personenbezogener Daten in die USA im Kontext der NSA- Überwachung, DuD August 2014, Vol. 38, Heft 8, S

10 10 Datenschutz aktuell: Termine verabreden Termine vereinbaren mit Doodle? - werbefinanzierter Dienst aus dem Ausland (Schweiz) nur bei zwingenden Gründen und unter folgenden Voraussetzungen: - es ist nicht die einzige Option der Terminabstimmung - keine vertraulichen Informationen im Titel der Veranstaltung angeben - Hinweis an Teilnehmer, dass keine Registrierung nötig ist und Pseudonyme verwendet werden können - eigener Versand der Einladung per Mail, nicht direkt von Doodle - Löschen des Doodle-Eintrags nach Ende der Abstimmung Alternative: dfn-terminplaner

11 11 Datenschutz aktuell: Skype Microsoft liest mit Meldung bei heise (Mai 2013) bei Nutzung Einverständniserklärung, dass Microsoft alles mitlesen darf Microsoft tut das auch: z.b. werden im Skype-Chat eingetippte https-urls besucht, Passage aus Datenschutzrichtlinien von Skype: "Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/ oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden." Zweifel an dieser Aussage: https-verbindungen normalerweise nicht von Spam betroffen, nur Verwaltungsinformationen überprüft, nicht Seiteninhalte Fazit: Microsoft hat Zugriff auf übertragene Daten

12 12 Datenschutz aktuell: Skype Speicherung von Nachrichten auf Microsoft-Servern (Änderung der Nutzungsbedingungen) soll geräteübergreifende Synchronisation von Nachrichten und Inhalten, die über die Messaging-Funktion verschickt werden, ermöglichen Zensur: Verbot obszöner Inhalte wie wird das überprüft? bei Benutzung von Skype bestehen Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Daten (Universität Bielefeld, ) Verwendung ist kritisch, Bedrohung für Datensicherheit der Infrastruktur, da die Software Firewalls überwinden und beliebige Dateien transferieren kann

13 13 Datenschutz aktuell: Skype aus einem Urteil zur Verwertbarkeit von Chatprotokollen auf Arbeitsplatzrechnern (Juli 2012, LAG Hamm):... Der Datenbestand ist danach hinsichtlich seiner Vertraulichkeit nicht anders zu bewerten als die Verwertung von schriftlichen Notizen, die ein Arbeitnehmer im Büroschreibtisch zurücklässt. In der Erläuterung heißt es u.a.... überwiegt sein Interesse an der der Wahrung seiner selbst durch die Nutzung von Skype aus der Hand gegebenen informationellen Selbstbestimmung.

14 14 Datenschutz aktuell: dropbox Kann ich meine Daten in der dropbox ablegen? Dropbox gibt Daten bereitwillig an PRISM Nutzung entspricht dem Eingehen eines Vertrages mit Mietcharakter grundsätzlich ist Übermittlung von (personenbezogenen) Daten an ausländische (außerhalb EU) Anbieter unzulässig also ausschließlich für nicht-personenbezogene (und -beziehbare) Daten benutzen Rechte an den hochgeladenen Dateien verbleiben beim Nutzer, aber zumindest eingeschränkte Rechte, die für das Betreiben des Services notwendig sind, werden auf den Betreiber übertragen Datenschutzrechtlich akzeptabel: verschlüsselte Daten speichern, Verschlüsselung lokal vor der Übertragung

15 15 Datenschutz aktuell: Google-Dienste keine Dateien mit vertraulichen, personenbezogenen oder dienstlichen Inhalten in Google Docs bearbeiten niemand darf genötigt werden, sich bei externen Anbietern anzumelden, um universitäre Angebote zu nutzen Abstufungen: freiwillige Angebote (nicht empfohlen) vs. verpflichtende Angebote (nicht erlaubt) gilt auch für soziale Netzwerke etc.

16 16 Datenschutz aktuell: Überwachung Tracking von Webseiten: Sammeln von Daten im Hintergrund, z.b. Serverprotokolle, Scripte, Tastatureingaben, Mausbewegungen Vergleich dieser Daten mit Nutzerinformationen von anderen Plattformen (wie Facebook) durch Zugriff auf externe Datenbanken weitreichendes Wissen über Personen, ohne dass diese sich authentifizieren müssen Welche Webseiten sammeln welche Daten? Lightbeam (Add-on für Firefox) zeigt, von welchen Seiten man beim Surfen überwacht wird Was kann ich tun, wenn ich Webseitentracking datenschutzgerecht betreiben möchte?

17 17 Datenschutz aktuell: Dienstvereinbarung zur -Nutzung: automatische Weiterleitung von dienstlichen s an externe -Adressen ist untersagt manuelle Weiterleitung einzelner dienstlicher Mails unterliegt der Verantwortung des Mitarbeiters und ist grundsätzlich erlaubt, immer unter Berücksichtigung der bestehenden Unsicherheiten (mögliche Auswertungen durch fremde Provider, Erstellung von Profilen, Schadenersatzansprüche gegenüber der Universität) für Studierende besteht kein generelles Verbot der Weiterleitung, beachten beim Versenden von Mails an Empfängergruppen, die Mitarbeiter und Studierende enthalten!

18 18 Datenschutz aktuell: Mails an mehrere Empfänger: prüfen, ob eine Weitergabe der adressen aller Empfänger datenschutzrechtlich erlaubt ist Fall: aus Unternehmen Mail mit umfangreichem -Verteiler an Kunden versendet, Bußgeld! Lösung: Empfänger in bcc setzen, nicht cc, oder Mailinglisten Mailinglisten.html Fälle, in denen alle Empfänger im cc genannt werden dürfen: z.b. Adressen sind untereinander bekannt wie z.b. bei internen Verteilern oder Diskussionen, bei denen alle Teilnehmer bekannt sein sollen

19 19 Weitere Informationen, Quellen Datenschutzbeauftragte: Dipl.-Inf. Rita Freudenberg, Tel Webseite des Landesbeauftragten für den Datenschutz Sachsen-Anhalt (mit Tätigkeitsbericht, FAQ, Informationsmaterial...)

20 20 Vielen Dank für Ihre Aufmerksamkeit! Weitere Fragen...