Fernkurs Betrieblicher

Transkript

1 Fernkurs Betrieblicher Datenschutzbeauftragter gemäß 4f BDSG. Referent: Wirtschaftsinformatiker Michael J. Schüssler Geprüfter und anerkannter EDV Sachverständiger, zertifizierter externer Datenschutzbeauftragter gemäß 4f BDSG, ISO/IEC Foundation ISMS zertifiziert. 1

2 Präambel Aus unserer langjährigen Erfahrung heraus resultierend wissen wir sehr wohl, dass dieser Fernkurs oder das Präsenztraining unseren Teilnehmern einiges abverlangt, jedoch sollte eine fundierte Datenschutzausbildung auf soliden Beinen stehen. Den Ersten Schritt haben Sie bereits getan! Beim Rest begleiten wir Sie. Wir stehen Ihnen nach Terminabsprache gerne mit Rat und Tat zur Verfügung. Ihr EDV Sachverständigenbüro Michael J. Schüssler Wirtschaftsinformatiker, EDV Sachverständiger & externer ANSCHRIFT Hanauer Straße Aschaffenburg Tel.: / Mobil: 0179 / info@svb-ms.de Internet: Internet: 2

3 Die Würde des Menschen ist unantastbar(gg Art. 1, Abs. 1). Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Die Gedanken sind frei. Wer kann sie erraten? Datenschutz betrifft uns alle! 3

4 Datenschutzbeauftragter gemäß 4f, 4g BDSG. Gewaltenteilung in der Bundesrepublik Deutschland und die Stellung des BfDI Legislative Gesetzgebung Bundesregierung Behörden des Bundes Erlass von Gesetzen BfDI berät die Bundesregierung Exekutive Bundesregierung, Behörden und Polizei etc. Überprüfung der Gesetzmäßigkeit Judikative Gerichte Rechtsprechung(HE) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Beauftragte des Bundes sowohl für den Datenschutz als auch für die Informationsfreiheit - BSI Bundesamt für Sicherheit in der Informationstechnik. Darüber hinaus gibt es die Datenschutzbeauftragten der Länder, insgesamt 16 Stück. 4

5 Zweck des Bundesdatenschutzgesetzes 1 Abs. 1 Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Es wird das Persönlichkeitsrecht des Einzelnen geschützt, nicht die personenbezogenen Daten oder die Person oder die Identität! 2 Öffentliche und nicht-öffentliche Stellen Öffentliche Stellen des Bundes sind die Behörden Öffentliche Stellen der Länder sind die Behörden Vereinigungen des privaten Rechts, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. 5

6 Zusammenfassend - wen schützt das BDSG? 1 Schutz der/des Person Persönlichkeitsrechts Daten Identität Kreuzen Sie bitte die richtige Lösung an. 6

7 Zusammenfassend - wen oder was schützt das BDSG? 2 Schutz der/des Öffentliche und nichtöffentliche Stellen Daten juristischer Personen PbD jedes lebenden Mensch PbD von Mitglieder in juristischen Person Kreuzen Sie bitte die richtige Lösung an. 7

8 Arten von personenbezogenen Daten Bestimmte personenbezogene Daten Frau Schmidt hat blaue Augen und graue Haare. Die Angaben blaue Augen und graue Haare sind Frau Schmidt zugeordnet und werden dadurch zu personenbezogenen Daten. 1 Bestimmbare personenbezogene Daten Der Amerikaner hat schon sieben mal die Tour de France gewonnen. Die einzelne Person ist zwar nicht namentlich genannt. Allerdings sind die genannten Merkmale für die gemeinte Person so eindeutig, dass sie nicht zu verwechseln sind. Die Person wird somit bestimmbar. 2 Besonders sensible Daten Ein Arbeitgeber erfährt nach dem Arztbesuch eines Mitarbeiters die genau Diagnose. Vgl. 3 Abs. 9 BDSG i.v.m. 203 StGB Schweigepflicht. Verbot der Offenbarung von Privatgeheimnissen. Verpflichtung bestimmter Berufsgruppen, (Reglementierte Berufe) ihnen anvertraute Geheimnisse nicht an Dritte weiterzugeben. 3 8

9 Personenbezogene Daten gemäß 3 Abs. 1 (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hans, Mustermann Blau 183 cm Name persönliche Verhältnisse Augenfarbe persönliche Verhältnisse Körpergröße persönliche Verhältnisse brutto Einkommen sachliche Verhältnisse Vermögen sachliche Verhältnisse Steuernr. sachliche Verhältnisse 9

10 Übungsaufgabe 3 Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu. Z. B. Z. B. Alter Steuerklasse Kreditdaten Krankheit Religion Eigentum 10

11 Personenbezogene Daten gemäß 3 Abs. 9 Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispiele: Rassische und ethnische Herkunft Weißer, Europäer... Politische Meinungen SPD, LINKE Christ, Atheist Religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben IG Metall, Verdi Bronchitis, Epilepsie Diese Arten von pbd sind ohne Rechtsgrundlage nicht zu erheben!!! Vgl. 42a, 4d Abs. 5, 3a BDSG

12 Arten von personenbezogenen Daten Bestimmte personenbezogene Daten Frau Schmidt hat blaue Augen und graue Haare. Die Angaben blaue Augen und graue Haare sind Frau Schmidt zugeordnet und werden dadurch zu personenbezogenen Daten. 1 Bestimmbare personenbezogene Daten Der Amerikaner hat schon sieben mal die Tour de France gewonnen. Die einzelne Person ist zwar nicht namentlich genannt. Allerdings sind die genannten Merkmale für die gemeinte Person so eindeutig, dass sie nicht zu verwechseln sind. Die Person wird somit bestimmbar. 2 Besonders sensible Daten Ein Arbeitgeber erfährt nach dem Arztbesuch eines Mitarbeiters die genau Diagnose. Vgl. 3 Abs. 9 BDSG i.v.m. 203 StGB Schweigepflicht. Verbot der Offenbarung von Privatgeheimnissen. Verpflichtung bestimmter Berufsgruppen, (Reglementierte Berufe) ihnen anvertraute Geheimnisse nicht an Dritte weiterzugeben. 3 12

13 Schutzstufen A bis E Klassifizierung schutzwürdiger Belange durch den Landesbeauftragten für den Datenschutz Niedersachsen. Stufe A: Frei zugängliche Daten (nach dem Listenprivileg) 1 Stufe B: Berechtigte Interesse des Einsichtnehmenden 2 Stufe C:Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse 3 Stufe D: Erhebliche Beeinträchtigung der gesellschaftlichen Stellung oder der wirtschaftlichen Verhältnisse 4 Stufe E: Beeinträchtigung von Gesundheit, Leben oder Freiheit 5 13

14 Übungsaufgabe - Schutzstufen A bis E 5 Ordnen Sie den nachfolgend genannten Prozessen oder Datenkategorien, Schutzstufen von (A bis E) zu und begründen Sie Ihre Einstufung. Stufe A: B: C: D: E: Meldepfl. Infektionskrankheiten Begründung 1 Stufe A: B: C: D: E: Begründung 2 Schufa Auskunft Stufe A: B: C: D: E: Begründung 3 Adressdaten Stufe A: B: C: D: E: Geburtsjahr einer Person Begründung Lösungsbeispiel Frei zugänglich - Listenprivileg 4 Stufe A: B: C: D: E: Zeuge einer strafbaren Handlung Begründung 5 14

15 Zusammenfassend 8 Welche Arten personenbezogener Daten sehen Sie als kritisch an? Welche pbd beinhalten besondere Risiken für die Betroffenen?. Abs.. Begründen Sie dies: 15

16 Die Systematik des BDSG Die Regelungen des Bundesdatenschutzgesetzes (BDSG) für die öffentliche Stellen des Bundes(Behörden, Organe etc.) (Vgl. 2 Öffentliche und nicht-öffentliche Stellen Abs. 1 3 BDSG) Abschnitt Allgemeine Bestimmungen Abschnitt DV der öffentlichen Stellen Abschnitt Sondervorschriften 5. Abschnitt Schlussvorschriften Anlage (zu 9 Satz 1 ) (IT Sicherheitsziele) 16

17 Die Systematik des BDSG Die Regelungen des Bundesdatenschutzgesetzes (BDSG) für die nicht öffentliche Stellen - natürliche und juristische Personen. (vgl. 2 Öffentliche und nicht-öffentliche Stellen Abs. 4 BDSG) Abschnitt Allgemeine Bestimmungen Abschnitt DV der nicht öffentl. Stellen Abschnitt Sondervorschriften 5. Abschnitt Schlussvorschriften Anlage (zu 9 Satz 1 ) (IT Sicherheitsziele) 17

18 Übungsaufgabe: Die Systematik des BDSG 10 Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen), im unteren Schaubild ein:

19 Übungsaufgabe - Systematik des BDSG 11 Erster Abschnitt 1 11 Allg und gemeins... Best Zweiter Abschnitt Datenver der öffentl..... St Dritter Abschnitt Datenver n.... öffentl..... St..... Vierter Abschnitt Sonderv Fünfter Abschnitt Schlussv Sechster Abschnitt Übergangsv Anl... (z. 9 S... 1)

20 Historik des BDSG Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG I von 1977 BDSG II von 1990 BDSG III von BDSG I von 1977 Schutz personenbezogener Daten vor Missbrauch der Beeinträchtigung schutzwürdiger Belange der Betroffenen bei der Datenverarbeitung BDSG II von 1990 Informationelles Selbstbestimmungsrecht (Volkszählungsurteil 1983) Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personenbezogenen Daten BDSG III International vergleichbarer Datenschutz Vorabkontrolle besonders sensibler Datenverarbeitungen 20

21 Datenschutzrichtlinie 95/46/EG (1995) Richtlinie 95/46/EG des Europäischen Parlaments 1995 umgesetzt (2001) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Im Jahr 2001 erfolgte die Anpassung des Bundesdatenschutzgesetzes an die EG-Datenschutzrichtlinie (Richtlinie 95/46/EG), mit der innerhalb der Europäischen Gemeinschaft der Datenaustausch erleichtert und ein einheitlicher Datenschutz-Mindeststandard geschaffen wurde. Entwurf einer EU-Datenschutz Grundverordnung vom: Einheitlicher Rechtsrahmen für den Datenschutz in der EU. TKG, TMG Bereichsspezifische Regelungen sollen erhalten bleiben. Die geltende EG-Datenschutzrichtlinie 95/46/EG soll dadurch ablösen werden. Der Vorschlag wird derzeit im Europäischen Parlament und im Rat der Europäischen Union beraten. 21

22 Übungsaufgabe - Historik zum BDSG(Teil 1 und 2) 12 Tragen Sie die verschiedenen BDSG Novellen unten in das Schaubild ein. Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG. von.... BDSG.. von.... BDSG von BDSG. von 19.. Schutz pers D.... vor Missbrauch der Beeinträchtigung schutz Belange der Betroff.... bei der Datenverarbeitung. BDSG.. von 19.. Informa Selbst (Volkszählungsurteil 19..) Schutz des Einzelnen vor Beeinträchtigung seines Persönlich beim Umgang mit personenb Daten. BDSG von 20.. beinhaltet E. -Datenschutzrichtlinie 9./4./E. (19..) International vergl Datenschutz Vorab besonders sen Datenverarbeitungen 22

23 Rangordnung der Rechtsvorschriften EU Recht Staatenverbund(27) Wirtschafts- und Währungsunion Anwendungsvorrang vor nationalem Recht bei Kollision Richtlinie 95/46/EG des Europäischen Parlaments 1995 umgesetzt (2001) Richtlinie für elektronische Kommunikation 2002/58/EG (2002) Charta der Grundrechte der EU (2000) Grundgesetz TKG TMG UWG SGB BetrVG TV Bundesdatenschutzgesetz(BDSG - subsidiär) Landesdatenschutzgesetze(LDSG - subsidiär) 23

24 Gesetzesvorschriften und Normkörper Ein vollständiges Zitat einer Gesetzes- bzw. einer Rechtsvorschrift besteht z.b. aus Artikel oder Paragraphenzeichen und der genau zitierten Norm. Paragraph (bzw. Artikel), ggf. - Absatz, Nummer und Satz + Normkörper z.b. 4f Abs. 3 S. 4 BDSG i.v.m. 626 Abs. 1, 2 BGB. Beachten Sie bitte, dass im GG keine Paragraphen, sondern Artikel verwendet werden. Ferner ist immer anzugeben, aus welchem Normkörper die zitierte Vorschrift stammt, also z.b. aus dem BGB oder aus dem BDSG Was besagt folgende Rechtsvorschrift? 4d Abs. 5 Nr. 2 S. 1 BDSG Unter welchem finden Sie die Aufgaben des DSB und wann ein DSB bestellt werden muss? inkl. Normkörper. Was besagt folgender Rechtsvorschrift? 4f Abs. 1 S. 6 BDSG 24

25 Das IT-Grundrecht im Detail Zur dogmatischen Einordnung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Die im nordrhein-westfälischen Verfassungsschutzgesetz (VSG) vorgesehene Online-Durchsuchung ist verfassungswidrig. Das entschied am 27. Februar 2008 das BVerfG (1 BvR 370/07, 1 BvR 595/07). In seiner Entscheidung entwickelt das Gericht ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Recht schützt den Betroffenen vor Zugriffen auf Computer, Netzwerke und vergleichbare Systeme, wenn diese Zugriffe sein Persönlichkeitsrecht gefährden. 1 2 IT Grundrecht Nur die berechtigten Personen dürfen auf Informationen zugreifen Vertraulichkeit und Integrität informationstechnischer Systeme. Informationen sind komplett, echt, unverändert, korrekt und unversehrt 25

26 Übungsaufgabe 14 1 Was besagt das Informationelle Selbstbestimmungsrecht? 2 Was bedeutet der Begriff Normenklarheit? 3 Was verstehen Sie unter dem Begriff Schrankentrias? 26

27 Das BDSG ist ein Auffanggesetz, gemäß 1 Abs. 3 S. 1 Der Datenschutz findet seine rechtlichen Grundlagen vor allem, aber nicht nur im Bundesdatenschutzgesetz (BDSG). Vielmehr dient dieses Gesetz als sogenanntes Auffanggesetz (vgl. 1 Abs. 3 S. 1). Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes(BDSG) vor - Subsidiaritätsprinzip. Datenschutzrechtliche Vorschriften finden sich vor allem auch in bereichsspezifischen Gesetzen wieder z. B. dem: 1 TKG Telekommunikationsgesetz 2 TMG Telemediengesetz etc. Diese gehen dann als speziellere Regelungen dem Bundesdatenschutzgesetz vor. Über sämtlichen nationalen Regelungen steht das Europäische Recht. 27

28 Auffanggesetz BDSG 1 Abs. 3 S. 1 "Bundesrecht bricht Landesrecht" wird der in Art. 31 GG festgelegte Grundsatz bezeichnet, dass im Fall eines Widerspruchs zwischen einer Norm des Landesrechts und einer Norm des Bundesrechts, die Regelung des Bundesrechts Vorrang hat. Vorrangige Rechtsvorschriften vor dem BDSG TKG - Telekommunikationsgesetz TMG Telemediengesetz RstV - Rundfunkstaatsvertrag KUG Kunsturhebergesetz, recht am eigenen Bild UWG - Gesetz gegen den unlauteren Wettbewerb BetrVG - Betriebsverfassungsgesetz Sozialgesetzbücher (SGB) Meldegesetze, Schulgesetze, Kirchenrecht Tarifvertrag etc. 28

29 Übungsaufgabe 15 1 Das Ulmer Urteil besagt das: 2 Was ist eine Rechtsnorm oder Rechtsvorschrift? 3 In welchem Paragraphen im BDSG wird beschrieben, dass das BDSG subsidiär ist und was genau bedeutet dies? Angabe inkl. Normkörper. 29

30 Aktuelle BDSG Novelle III, von 2009 Schwerpunkte der Änderungen 1 Erweiterte Rechte des Betroffenen (z.b. Auskunftsrechte 34 BDSG) Zulässigkeit der personalisierten Werbung (z.t. mit Bußgeldandrohung!) Erweiterte Anforderungen an die Auftragsdatenverarbeitung( 11 BDSG) Informationspflichten bei Datenschutzpannen ( 42 a BDSG) Erweiterte Kompetenzen der Aufsichtsbehörden (mit Untersagungsbefugnis der Verarbeitung bei fehlenden Zulässigkeitsvoraussetzungen/Verhängung von Zwangsgeldern. 38 BDSG) Zulässigkeit des Scorings( 28 b BDSG) Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten (u.a. Kündigungsschutz vgl. 4f Abs. 3 S. 4 BDSG i.v.m. 626 BGB) Neuregelung zum Arbeitnehmerdatenschutz( 32 BDSG) Inkrafttreten/Umsetzungsfristen 30

31 Datenschutzrechtliche Grundsätze A B Subsidiaritätsprinzip: Auffanggesetz - Bereichsrecht hat Vorrang! Verbot mit Erlaubnisvorbehalt: Automatisierte Datenverarbeitung personenbezogener Daten benötigt ausdrückliche Gestattung! C D E F G Prinzip der Zweckbindung: Erhebungsgründe bestimmen auch Verarbeitungs- und Nutzungszwecke! Prinzip der Transparenz: Betroffener muss erkennen können, wie seine Daten automatisiert verarbeitet werden! Verhältnismäßigkeitsprinzip: Angemessene Zweck-Ziel-Relation bei der automatisierten Verarbeitung zu beachten! Prinzip der Datensparsamkeit: Personenbezug möglichst gering halten! Sitzlandprinzip: Entscheidend ist der Sitz der verantwortlichen Stelle (nicht der Ort der Verarbeitung)! 31

32 Die drei Grundwerte der Informationssicherheit Gewährleistung und Erhalt der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Informationen sind dann verfügbar, wenn sie benötigt werden(servicezeiten) Nur die berechtigten Personen dürfen auf Informationen zugreifen Informationen sind komplett, echt, unverändert, korrekt und unversehrt Auszug aus dem BSI/Grundschutz/Leitfaden/GS-Leitfaden 32

33 Teilaspekte der Informationssicherheit Anforderungen Informationen Erwartungen Normative Anforderungen Erwartungen Informationen Authentizität Login ins Passwörter Zugangs-Codes Zugriffs-Codes Unternehmensdaten Kundenstamm Lieferantenstamm Personalstamm Zurechenbarkeit Verbindlichkeit Verlässlichkeit Zutrittskontrolle zu Gebäuden und Serverräumen... Zugangskontrolle Authentifikation Zugriffskontrolle Berechtigungskonzept 33

34 Übungsaufgabe Die drei Grundwerte der Informationssicherheit 16 Vertr Ver Inte Quelle: Bundesamt für Sicherheit in der Informationstechnik 1 Vertraulichkeit: Vertrauliche Informationen müssen vor unb Preisg... gesch.... werden. 2 3 Verfügbarkeit: Dem Benutzer stehen Dienstl , Funkt..... eines IT-Systems oder auch Informationen zum geforderten Zeitp.... zur Verf Integrität: Die Daten sind vollst..... und unver Der Begriff Information wird in der Informationstechnik für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstell... zugeordnet werden können. Der Verlust der Integ..... von Informat..... kann daher bedeuten, dass diese unerlaubt veränd... wurden oder Angaben zum Autor verf wurden oder der Zeitpunkt der Erstellung manip wurde. Auszug aus dem BSI/Grundschutz/Leitfaden/GS-Leitfaden 34

35 Übung Datenschutz, Datensicherheit und Datensicherung 17 Nennen Sie die drei IT - Bereiche, welche in Ihrer Gesamtheit zu betrachten sind Datenschutz (vgl.. Abs.. BDSG). Datensicherheit (Integrität) (vgl. Anlage zu., Nr.. BDSG). Datensicherung (Verfügbarkeitskontrolle) (vgl. Anlage zu., Nr.. BDSG). 35

36 Übung - Der Dreiklang von TKG, TMG und BDSG Telekommunikationsgesetz (T..) Telemediengesetz (T..) 88 Abs.. TKG Fernmeldege Impressumspflicht nach. TMG Bundesdatenschutzgesetz (BD..) 2... Schutz personenbezogener Daten gemäß. Abs.. BDSG 36

37 TKG stand Mai 2012 Telekommunikationsgesetz (TKG) Dem 88 Fernmeldegeheimnis unterliegen z.b. Telefon Fax SMS Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten. 2 Regulierung, Ziele und Grundsätze Abs. 1 Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes 37

38 88 TKG und die Folgen einer unzulässigen Maßnahme Unterlassungsansprüche des Arbeitnehmers oder Betriebsrates gegen den Arbeitgeber. Rechtsquellen: 890 ZPO, 85 ArbGG, 87 Abs. 1 BetrVG Bußgeldzahlungen gemäß 43 BDSG oder 149 TKG oder strafrechtliche Konsequenzen z.b. 206 StGB Beweisverwertungsverbot, bei ziviloder arbeitsrechtlichen Verfahren Zugriff auf geschäftliche s nicht so einfach möglich! 38

39 88 Abs.1 TKG besagt? Übungsaufgabe TKG, StGB 20 Unter welchem Pragrahen wird der Begriff Diensteanbieter" im TKG beschrieben? Was ist unter dem Begriff Diensteanbieter zu verstehen? Was ist unter dem Begriff Anzeigepflicht zu verstehen? Unter welchem Pragrahen im TKG wird dieser erwähnt? Nach welchem Pragrahen im StGB Nichtanzeige geplanter Straftaten wird dies geahndet? Wann wird ein Unternehmen zum geschäftsmäßigen Diensteanbieter? Was besagt 206 Strafgesetzbuch? 39

40 Beispiel vorrangige Gesetze Bereichsspezifische Regelungen Grundgesetz(GG) 23. Mai 1949 TKG TMG UWG SGB BetrVG TV Bundesdatenschutzgesetz(BDSG) Landesdatenschutzgesetze(LDSG) Bereichsspezifische Regelungen: TKG Telekommunikationsgesetz, TMG Telemediengesetz UWG - Gesetz gegen den unlauteren Wettbewerb RStV Rundfunkstaatsvertrag, SGB - Sozialgesetzbücher BetrVG Betriebsverfassungsgesetz, Betr.-Ver. - Betriebsvereinbarungen TV Tarifvertrag, HE - Höchstrichterliche Entscheidungen etc. 40

41 Anbieterkennzeichnung - Impressum gemäß TMG & RStV Impressumspflicht nach 5 TMG 2007 Telemediengesetz (TMG) 2007 Rundfunkstaatsvertrag (RStV) Journalistisch-redaktioneller Inhalt nach 55 Abs. 2 RStV 41

42 Impressumspflicht gemäß 5 TMG Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten: Name des Unternehmens, 5 Abs. 1 Nr. 1 TMG Nr. 1 den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben zum Kapital gemacht werden, ist das Stamm- oder Grundkapital und der Gesamtbetrag der ausstehenden Einlagen anzugeben. Bei nicht im Handelsregister eingetragenen Einzelunternehmen wird der Vorund Zuname des Geschäftsinhabers anzugeben. Angaben zur Kontaktaufnahme, 5 Abs. 1 Nr. 2 TMG Nr. 2 Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post - adresse, Angaben zur zuständigen Aufsichtsbehörde, 5 Abs. 1 Nr. 3 TMG Nr. 3 soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, z.b. nach 34c GewO. Es sind Angaben zur zuständigen Aufsichtsbehörde anzugeben. Z. B. (Gewerbeerlaubnis gemäß 34c GewO erteilt durch die Stadt Name, Ordnungsamt, Berufsaufsichtsbehörde gem. 34c GewO: Ordnungsamt Ort, Vertretungsberechtigter: Vorname Nachname, Berufskammer: IHK Ort),

43 Impressumspflicht gemäß 5 TMG Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt Angabe von Registereintragungen, 5 Abs. 1 Nr. 4 TMG Nr. 4 das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das sie eingetragen sind, und die entsprechende Registernummer z.b.(hrb X), eine Steuernummer ist nicht anzugeben, Angaben im Falle reglementierter Berufe, 5 Abs. 1 Nr. 5 TMG Nr. 5 Reglementierte Berufe sind z.b. (Ärzte, Rechtsanwälte, Steuerberater ) oder bei welchen die Führung eines beruflichen Titels von bestimmten Voraussetzungen abhängig ist (z.b. Architekten, Ingenieure und fast alle Heilberufe). Notwendige zusätzliche Angaben sind: Zuständige Berufskammer, welcher der Diensteanbieter angehört, gesetzliche Berufsbezeichnung, der Staat, in dem diese Berufsbezeichnung verliehen wurde, jeweils geltende berufsrechtlichen Regelungen und wie diese zugänglich sind, Angabe der Umsatzsteueridentifikationsnr. / Wirtschaftsidentifikationsnr. 5 Abs. 1 Nr. 6 TMG Nr. 6 in Fällen, in denen sie eine Umsatzsteueridentifikationsnummer nach 27a des Umsatzsteuergesetzes oder eine Wirtschafts-Identifikationsnummer nach 139c der Abgabenordnung besitzen, die Angabe dieser Nummer, Abwicklung oder Liquidation, 5 Abs. 1 Nr. 7 TMG Nr. 7 Befindet sich eine AG, KGaA oder GmbH in Abwicklung oder Liquidation, ist dies angegeben

44 Pseudonymisierung 3 Abs. 6a Keine Pseudonymisierten Daten Personenbezogene Daten gemäß 3 Abs. 1 Bes. Arten pbd 3 Abs. 9 Pseudonymisierung - Definition Pseudonymisieren Verfahren: Ein auf Personendaten angewendetes Verfahren, welches die Identifikationsmerkmale z.b. Personendaten oder Krankheitsbilder einer Person in separaten Referenztabellen mit Schlüsselfeldern auslagert(dritte Normalform). Klartext- Identifikationen sind wo immer möglich durch Anonymisierung oder der Pseudonymisierung zu ersetzen. Der Zugriff auf die Daten erfolgt ausschließlich über die Schlüsselfelder. Da ein Schlüsselfeld z.b. die ErkrankungNr= 4711 noch nichts über die Art der Erkrankung aussagt, ist der Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren erfüllt - Referenz-Pseudonyme. 44

45 Beispiel - Pseudonymisierung Die Pseudonymisierung ermöglicht unter Zuhilfenahme eines weiteren Schlüsselfeldes die Zuordnung der personenbezogene Daten und der Krankheitsdaten zu einer Person, zu erschweren. Ohne die Referenztabellen kann die Identität der betroffenen Personen nicht so einfach bestimmt werden 45

46 Beispiel - Pseudonymisierung Die Besondere Arten pbd sind nur über die Referenz ErkrankungNr aus derer Tabelle tbl_erkrankungs_arten zu ermitteln. Die Erkrankungs_Art in der Tabelle tbl_fall als Nummer gibt keine Auskunft über die Art der Erkrankung. 46

47 Zusammenfassend 4f Beauftragter für den Datenschutz Wann muss ein Datenschutzbeauftragter bestellt werden? I Wenn mehr als 19 Personen ständig Daten in nicht digitaler Form verarbeiten (vgl. 4f Abs. 1 Satz 3). 1 Wenn mehr als 9 Personen ständig automatisiert Daten verarbeiten (vgl. 4f Abs. 1 Satz 4). 2 Die Daten einer Vorabkontrolle unterliegen (vgl. 4f Abs. 1 Satz 6, 4d Abs. 5, 3 Abs. 9). 3 Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet oder Daten für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden. (vgl. 4f Abs. 1 Satz 6). 4 47

48 Stellung und Befugnisse des DSB Die unabhängige- und weisungsfreie Funktion des Datenschutzbeauftragten, ist für seine Aufgabenerfüllung von ausschlaggebender Bedeutung (vgl. 4f Abs. 3 Satz 2). In seiner Funktion als Datenschutzbeauftragter ist der Datenschutzbeauftragte nach 4f Abs. 3 Satz 1 dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen (Stabsstelle). Er darf bei der Wahrnehmung seiner Aufgaben nicht den Weisungen der nicht-öffentlichen Stelle unterliegen, er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Geschäftsleitung Unternehmensorganigramm Betriebsrat(BetrVG) DSB(BDSG) IT EK VK PERSONAL REVISION 48

49 Übung Verfahrensverzeichnis Erstellen Sie gem. 4g Abs. 2 i.v.m. 4e ein öffentliches Verfahrensverzeichnis

50 Übung Verfahrensverzeichnis Erstellen Sie gem. 4g Abs. 2 i.v.m. 4e ein öffentliches Verfahrensverzeichnis

51 1 2 Übung - Aufgaben des Datenschutzbeauftragten Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin? Der Beauftragte für den Datenschutz kann sich in Zweifelsfällen an die zuständige Landesdatenschutzbehörde wenden - nach 38 Abs. 1 S. 2 J N Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen? Der Datenschutzbeauftragte schult das Personal, das im Umgang mit pbd tätig ist, mit den Vorschriften des Datenschutzes? Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar Der Datenschutzbeauftragte ist letztendlich verantwortlich für den Datenschutz? 7 Der Datenschutzbeauftragte ist für die Datensicherung(Backup) verantwortlich? 51

52 Die acht Grundprinzipien des Datenschutzes Sanktionen / Bußgelder etc. Kontrolle Datensicherheit Korrekturrechte Transparenz - Auskunft Datenvermeidung Zweckbindung Verbot mit Erlaubnisvorbehalt Säulen im Datenschutz 52 In Anlehnung an Quelle: GDD-Datenschutz-Jahrbuch 2013

53 4a Einwilligung Welche Voraussetzungen stellt das BDSG an eine gültige Einwilligungserklärung? 1 2 Einwilligung muss auf freier Entscheidung beruhen, also ohne Zwang gemäß ( 4a Abs. 1 Satz 1 i.v.m. 28 Abs. 3b) Kopplungsverbot! Es ist auf den Zweck der Verarbeitung hinzuweisen. ( 4a Abs. 1 Satz 2) Es ist auf die Folgen der Verweigerung der Einwilligung hinzuweisen. ( 4a Abs. 1 Satz 2). Einwilligung muss schriftlich erfolgen gemäß ( 4a Abs. 1 Satz 3). Bei nichtöffentlichen Stellen i.v.m. ( 28 Abs. 3a und i.v.m. 13 Abs. 2 TMG). Erklärung, ist im Erscheinungsbild hervorzuheben. Einwilligung muss gut erkennbar sein ( 4a Abs. 1 Satz 4 i.v.m. 28 Abs. 3a). Werden besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt muss dies ausdrücklich erklärt werden ( 4a Abs. 3). Ausnahme zu Punkt 6 im Bereich der wissenschaftlichen Forschung gemäß (GG Art. 5 Abs. 3) i.v.m. ( 4a Abs. 2 Satz 1 und 4a Abs. 2 Satz 2). 53

54 Übung Listenprivileg Welche Angaben dürfen Sie nach 28 BDSG nutzen?

55 Auftragsdatenverarbeitung gemäß 11 BDSG Schematischer Datenfluss zwischen den Unternehmen 29 Auftraggeber(A) Verantwortliche Stelle Personen bezogene Daten Auftragnehmer(B) Auftragnehmer(E) Unterauftragnehmer (C) Unterauftragnehmer (D) Beschreiben Sie die Auftragsverhältnisse gemäß 11 BDSG zwischen den Unternehmen. 1 Auftraggeber(A) bittet Auftragnehmer(B) die Daten an Auftragnehmer(E) zu übersenden, ist die zulässig? 2 55

56 Anlage zu 9 (Technische und organisatorische Maßnahmen) Nr. 1 bis Zutrittskontrolle zu Gebäuden und Serverräumen... 9 plus Anlage Nr. 1 Zugangskontrolle Authentifikation Benutzername und Passwort, Firewalls 3 Zugriffskontrolle Berechtigungskonzept 4 Weitergabekontrolle(SSL, VPN ) 9 plus Anlage Nr. 3 5 Eingabekontrolle(Protokolldatei ) 6 Auftragskontrolle(gem. 11 BDSG) Verschlüsselungsverfahren mit Passwort 7 8 Verfügbarkeitskontrolle(Backups ) Zwecktrennungsgebot (Zweckb.) 56

57 Übungsaufgabe 9 plus Anlage (1) Nennen Sie die acht IT - Sicherheitsziele 57

58 Übungsaufgabe 9 plus Anlage (2) Nennen Sie geeignete Maßnahmen um die IT-Sicherheitsziele zu realisieren. 58

59 Übungsaufgabe: BSI Was bedeutet der Begriff BSI? 2. Was macht das BSI? 3. Nennen Sie die vier IT-Grundschutz-Standards(BSI Standards)

60 Danke für Ihre Aufmerksamkeit In der folgenden 60 Minuten, findet der Fachkundenachweis gemäß 4f Abs. 2 Satz 1 BDSG statt. Ich wünsche Ihnen viel Erfolg! 60

61 Urheberrechte - Bildernachweis Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: betrieblicher Datenschutzbeauftragter gemäß 4f, 4g BDSG dienen, wurden erworben bei Fotolia.com Quellangaben: Bundesdatenschutzgesetz - BDSG III von 2009, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Dr. Wilfried Grieger, Seminar zum Kommunikationsrecht Prof. Dr. Gersdorf, Hajo Köppen Datenschutz A bis Z. 61