Herzlich Willkommen zur Ihrer Datenschutzausbildung Betrieblicher Datenschutzbeauftragter gemäß 4f Abs. 2 S. 1 BDSG.

Transkript

1 Herzlich Willkommen zur Ihrer Datenschutzausbildung Betrieblicher Datenschutzbeauftragter Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler. Geprüfter und anerkannter EDV Sachverständiger, zertifizierter externer Datenschutzbeauftragter gemäß 4f BDSG und ISO/IEC Foundation ISMS zertifiziert - Best Practice Trainings. 1

2 Datenschutz ist ein spannendes Thema welches auch Ihre Persönlichkeitsrechte betrifft! Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit (GG Art. 2 Abs. 1) 2

3 Legende: Fortlaufende Themennummern: Fragen zum Thema Datenschutz Die Lösungen finden Sie unter Datenschutz-Lösungen Das sollten Sie unbedingt wissen! Literatur-Empfehlungen: Bundesamt für Sicherheit in der Informationstechnik Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Der betriebliche Datenschutzbeauftragte Virtuelles Datenschutzbüro Datenschutz von A bis Z, (Haufe), ISBN: Autor: Michael J. Schüssler, Wirtschaftsinformatiker, EDV Sachverständiger, externer Datenschutzbeauftragter gemäß 4f BDSG & TÜV Süd ISO/IEC Foundation ISMS zertifiziert. 3

4 Präambel Was bedeutet eigentlich der Begriff Datenschutz? Der Begriff Datenschutz ist Ende der 60er Jahre entstanden. Datenschutz kann nicht die Daten als solche schützen, sondern schützt seit jeher die Persönlichkeitsrechte der Betroffenen. Auch in früheren Zeiten gab es hierzu schon zahlreiche Rechtsvorschriften. In diesem Abschnitt soll Ihnen ein erster Einblick in die Historik des Datenschutzes und dem rechtlichen Rahmen des deutschen und europäischen Datenschutzes geben werden. Mit dem voranschreiten der computerisierten und vernetzten Informationsgesellschaft hat auch die Bedeutung des Datenschutzes an Bedeutung gewonnen. Datenschutz hat sich etabliert und Einzug in unsere Gesetzgebung gefunden. Datenschutz leistet einen wichtigen Beitrag zur Gewährleitung von Persönlichkeitsrechten und stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt. Die bestehenden Tendenzen zum so genannten gläsernen Menschen durch permanente Überwachung oder Ausspähung widerspricht diesem Prinzip und greift in erblichem Maße in die Persönlichkeitsrechte der Betroffenen ein. Freie Entfaltung seiner Persönlichkeit und die Freiheit der Person ist unverletzlich. Relikte aus vergangen Zeiten? 4

5 Damals Antiker Datenschutz Der Eid des Hippokrates Ein Bestandteil der ärztlichen Ethik: Die Schweigepflicht Datenschutz Historik I Strafgesetzbuch Heute 203 StGB Verletzung von Privatgeheimnissen - Arzt, Apotheker, Rechtsanwalt, Patentanwalt, Notar 1 Schweigepflicht: Im Beichtstuhl Kirche und Recht(KuR) 2 Die geistliche Schweigepflicht besteht bereits seit dem 13. Jahrhundert, als die Wahrung des Beichtgeheimnisses in das Kirchenrecht aufgenommen wurde. Älteste Datenschutzinstitution Das Beichtgeheimnis ist unverbrüchlich". So formuliert es 17 Abs. 1 Pfarrdienstgesetz. Das Staatskirchenrecht ist ein Querschnitt aus verschiedenen Rechtsgebieten. Erlass Friedrichs des Großen zum Bankgeheimnis - Anno 1776 Wir verbieten bei unserer königlichen Ungnade allen und jedem nachzuforschen, wie viel ein anderer auf seinem Folio zu Gute habe Der Bundesgerichtshofs (BGH) geht generell von einer Verschwiegenheitspflicht der Banken über die finanziellen Verhältnisse der Bankkunden gegenüber Dritten aus. Das Bankgeheimnis ist als Gewohnheitsrecht einzuordnen, rechtliche Grundlage (Vgl. 311 BGB). 3 5

6 Datenschutz Historik III BDSG II von 1990 Die zweite Fassung des BDSG im Jahre 1990 beruht auf dem Urteil des Bundesverfassungsgerichts (BVerfG am ) zum Volkzählungsgesetz. (Dem Grundrecht auf informationelle Selbstbestimmung). 4 Richtlinie 95/46/EG des Europäischen Parlaments (24. Juli 1995 ) Die EG-Richtlinie "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (EG-DSRL) wurde verabschiedet. BDSG III (akt. Novelle) von 2009 beinhaltet EG Datenschutzrichtlinie(95/46/EG). 5 6 Die Zukunft des Datenschutzes bleibt offen? Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten Die Richtlinie verlangt die Speicherung aller Verbindungsdaten für mindestens sechs Monate und höchstens zwei Jahre, um damit Straftaten besser aufklären zu können. (Begründet durch die Terroranschläge in Madrid 2004 und London 2005). April 2014 Der Europäische Gerichtshof (EuGH) kippt die EU-Richtlinie(2006/24/EG) zur Vorratsdatenspeicherung(VDS)... 6

7 Datenschutz Historik IV Die Zukunft des Datenschutzes bleibt offen? Begründung: Die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten ist nicht mit EU-Recht vereinbar. Das hat der Europäische Gerichtshof (EuGH) in Luxemburg entschieden und damit die EU-Richtlinie(2006/24/EG) zur Sicherung von Telefonund -Informationen gekippt. Die Richtlinie muss nun reformiert und die verdachtlose Speicherung von Verbindungsdaten von Telefon, Internet und s künftig "auf das absolut Notwendige beschränkt" werden. Quellangabe: Entwurf einer EU-Datenschutz Grundverordnung( ) Einheitlicher Rechtsrahmen für den Datenschutz in der EU. Die geltende EG- Datenschutzrichtlinie 95/46/EG soll durch die EU-Datenschutz Grundverordnung abgelöst werden. Der Vorschlag wird derzeit im Europäischen Parlament und im Rat der Europäischen Union beraten. Vorratsspeicherung: Bundestag verschärft Datenkontrolle( ) Der Bundestag hat das umstrittene Gesetz zur Datenvorratsspeicherung verabschiedet. Kritiker fürchten, dass das Gesetz die Bürger unter Generalverdacht stellt Quellangabe: 7

8 Rechtsgrundlagen und Meilensteine im Datenschutz Die Würde des Menschen ist unantastbar (GG Art. 1 Abs. 1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit (GG Art. 2 Abs. 1) Das Grundrecht auf informationelle Selbstbestimmung(BVerfG, 1983) Europäische Datenschutzrichtlinie 95/46/EG(1995) Bundesdatenschutzgesetz(Novelle III von 2009) Datenschutz betrifft uns alle! 8

9 Übung - Zusammenfassend 1. Abs.. BD.. Zweck dieses Gesetzes ist es, den Einzelnen davor zu s , dass er durch den Umg... mit seinen personenbez Da... in seinem Persönlichkeits..... beeint wird. 9

10 Gewaltenteilung in der Bundesrepublik Deutschland und die Stellung des BfDI Legislative Gesetzgebende Gewalt Erlass von Gesetzen BfDI berät die Bundesregierung gesetzgebende Gewalt Exekutive Bundesregierung, Behörden und Polizei etc. Überprüfung der Gesetzmäßigkeit Judikative Gerichte Rechtsprechung(HE) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Beauftragte des Bundes sowohl für den Datenschutz als auch für die Informationsfreiheit BSI Bundesamt für Sicherheit in der Informationstechnik. Darüber hinaus gibt es die Datenschutzbeauftragten der Länder, insgesamt 16 Stück. 10

11 Begriffsdefinitionen I 1 Natürliche Person, eine natürliche Person ist gemäß 1 BGB der Mensch, sobald er geboren wird. Eine natürliche Person ist jeder lebende Mensch mit seinen Rechten und Pflichten (Rechtsfähigkeit). Datenschutz betrifft nicht Informationen über Verstorbene, da diese keine natürlichen Personen mehr darstellen und die Rechtsfähigkeit dieser erloschen ist. Daten über Verstorbene werden aber durch spezialgesetzliche Bestimmungen weiter geschützt. 2 3 Das Persönlichkeitsrecht ist das Grundrecht auf freie Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 Grundgesetz(GG ) und das Recht auf Schutz vor Eingriffen in den privaten Lebens- und Freiheitsbereich des Einzelnen. Personenbezogene Daten(pbD) gemäß 3 Abs. 1 BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person(Betroffener). Vom BDSG wird also das Persönlichkeitsrecht jedes lebenden Menschen geschützt, gemäß 1 Abs. 1 BDSG. Durch Ihre Rechtsfähigkeit haben die Betroffenen z. B. ein Recht auf Auskunft gemäß 34 BDSG. 11

12 Begriffsdefinitionen II 4 Besondere Arten personenbezogener Daten gemäß 3 Abs. 9 BDSG sind Angaben über: 1 rassische und ethnische Herkunft 2 politische Meinungen 3 religiöse oder philosophische Überzeugungen 4 Gewerkschaftszugehörigkeit 5 Gesundheit 6 oder Sexualleben Die Erhebung dieser Daten ohne Rechtsgrundlage kann die Persönlichkeitsrechte der Betroffenen erheblich verletzen und sind unter dem Aspekt des Datenschutzes als höchst kritisch einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzpanne gemäß 42a auslösen. Liegen diese Arten von Daten im Unternehmen vor und diese sind nicht anonymisiert oder pseudonymisiert und nicht verschlüsselt, so handelt das Unternehmen, fahrlässig. 12

13 Übung: Begriffsdefinitionen I + II - Zusammenfassend Was ist eine natürliche Person? Juristische Personen des Privatr..... sind? Juristische Personen des öffentl..... Rechts sind? Vom BDSG geschützt wird? Jeder und sein 6 Das Persönlichkeitsrecht umfasst? das R.... auf freie Entf der Persönlichk... gemäß Art.. Abs. 1 G. und das Recht auf Sch... vor Eing in den pri..... Lebens- und Freiheits Personenbezogene Daten gemäß 3 Abs. 1 BDSG sind? Einzelangaben über pers oder sachl.... Verhältn.... einer bestimmt.. oder bestimmb.... natürlich.. Person(Betroff....) 8 Welche Risiken beinhalten besondere Arten pbd gemäß 3 Abs. 9 BDSG? Die Erhebung dieser Daten ohne Rechtsgrund.... kann die Persönlichkeitsr..... der Betroff.... erheblich verl..... und sind unter dem Aspekt des Datenschutzes als höchst kri..... einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzp.... gemäß 4.. auslösen. 13

14 Zusammenfassend - wen oder was schützt das BDSG? 5 Schutz der/des Öffentliche und nichtöffentliche Stellen Daten juristischer Personen PbD jedes lebenden Mensch PbD von Mitglieder in juristischen Person Kreuzen Sie bitte die richtige Lösung an. 14

15 Übungsaufgabe 6 Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu. Z. B. Z. B. Alter Steuerklasse Kreditdaten Krankheit Religion Eigentum 15

16 Personenbezogene Daten gemäß 3 Abs. 9 Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispiele: Rassische und ethnische Herkunft Weißer, Europäer... Politische Meinungen SPD, LINKE Christ, Atheist Religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben IG Metall, Verdi Bronchitis, Epilepsie Diese Arten von pbd sind ohne Rechtsgrundlage nicht zu erheben!!! Vgl. 42a, 4d Abs. 5, 3a BDSG... 16

17 Resümee, was sind Ihre vorrangigen Aufgaben als DSB? J N Die Belange und Vorgaben der Geschäftsleitung umzusetzen? Die Belange und Vorgaben Ihres Vorgesetzten umzusetzen? Auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden zu achten? Die Belange und Vorgaben des IT-Leiters umzusetzen? Auf das nicht erfassen von pbd gemäß 3 Abs. 9 hinzuwirken? Die Persönlichkeitsreche der Betroffenen zu wahren? Sie schützen Daten natürlicher- und juristischer Personen? Sie schützen Daten natürlicher Personen? Sie wahren die Rechte der Betroffenen durch Veranlassung von Berichtigung, Löschung und Sperrung der Daten bei der aut. DV? Kreuzen Sie bitte die richtige Lösung an. 17

18 Übungsaufgabe: Die Systematik des BDSG 14 Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen) im unteren Schaubild ein: 1 Z. B... Auskunft BDSG Z. B... Auskunft BDSG

19 Übungsaufgabe - Systematik des BDSG 15 Erster Abschnitt 1 11 Allg und gemeins... Best Zweiter Abschnitt Datenver der öffentl..... St Dritter Abschnitt Datenver n.... öffentl..... St..... Vierter Abschnitt Sonderv Fünfter Abschnitt Schlussv Sechster Abschnitt Übergangsv Anl... (z. 9 S... 1)

20 Übungsaufgabe - Historik zum BDSG(Teil 1 und 2) 16 Tragen Sie die verschiedenen BDSG Novellen unten in das Schaubild ein. Entwicklung des Bundesdatenschutzgesetzes (BDSG) BDSG. von.... BDSG.. von.... BDSG von BDSG. von 19.. Schutz pers D.... vor Missbrauch der Beeinträchtigung schutz Belange der Betroff.... bei der Datenverarbeitung. BDSG.. von 19.. Informa Selbst (Volkszählungsurteil 19..) Schutz des Einzelnen vor Beeinträchtigung seines Persönlich beim Umgang mit personenb Daten. BDSG von 20.. beinhaltet E. -Datenschutzrichtlinie 9./4./E. (19..) International vergl Datenschutz Vorab besonders sen Datenverarbeitungen 20

21 Übungsaufgabe 19 1 Was besagt das Informationelle Selbstbestimmungsrecht? 2 Was bedeutet der Begriff Normenklarheit? 3 Was verstehen Sie unter dem Begriff Schrankentrias? 21

22 Das BDSG ist ein Auffanggesetz, gemäß 1 Abs. 3 S. 1 1 Der Datenschutz findet seine rechtlichen Grundlagen vor allem, aber nicht nur im Bundesdatenschutzgesetz (BDSG). Vielmehr dient dieses Gesetz als sogenanntes Auffanggesetz (vgl. 1 Abs. 3 S. 1) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes(BDSG) vor - Subsidiaritätsprinzip. Datenschutzrechtliche Vorschriften finden sich vor allem auch in bereichsspezifischen Gesetzen oder bereichsspezifischen Regelungen wieder z. B. dem: A TKG Telekommunikationsgesetz B TMG Telemediengesetz etc. Diese gehen dann als speziellere Regelungen dem Bundesdatenschutzgesetz vor. Über sämtlichen nationalen Regelungen steht das Europäische Recht. 22

23 Übungsaufgabe - Beispiel vorrangige Gesetze 20 Bereichsspezifische Regelungen Grundgesetz(GG) 23. Mai 1949 TKG TMG UWG SGB BetrVG TV Bundesdatenschutzgesetz(BD..) Anzahl.? Landesdatenschutzgesetze(LD..) Anzahl..? Was bedeuten nachfolgende Abkürzungen? TKG:, TMG: UWG: RStV:, SGB: BetrVG: TV: HE: 23

24 Übungsaufgabe 21 1 Das Ulmer Urteil besagt? 2 Was ist eine Rechtsnorm oder Rechtsvorschrift? 3 In welchem Paragraphen im BDSG wird beschrieben, dass das BDSG subsidiär ist und was genau bedeutet dies? Angabe inkl. Normkörper. 24

25 Übung - Der Dreiklang von TKG, TMG und BDSG Telekommunikationsgesetz (T..) Telemediengesetz (T..) 88 Abs.. TKG Fernmeldege Impressumspflicht nach. TMG Bundesdatenschutzgesetz (BD..) 2... Schutz personenbezogener Daten gemäß. Abs.. BDSG 25

26 88 Abs. 1 TKG besagt? Übungsaufgabe TKG, StGB 24 Unter welchem Paragraphen wird der Begriff Diensteanbieter" im TKG beschrieben? Was ist unter dem Begriff Diensteanbieter zu verstehen? Wann wird ein Unternehmen zum geschäftsmäßigen Diensteanbieter? Was kann einen Verstoß gegen 88 Abs. 1 TKG auslösen? Was besagt 206 Strafgesetzbuch? 26

27 Anbieterkennzeichnung - Impressum gemäß TMG & RStV Impressumspflicht nach 5 TMG 2007 Telemediengesetz (TMG) 2007 Rundfunkstaatsvertrag (RStV) Journalistisch-redaktioneller Inhalt nach 55 Abs. 2 RStV 27

28 Übung 3 Weit... Begriffsbestimmungen Abs... BDSG 25 (1) Personenbez Dat.. (2) Automat.... Verarb. Datenverarbeitungsschritte gemäß 3 Abs... BDSG Erh Ver. Nutz Sp. Ver Überm Sp.. Lö.. 3 Weitere Begriffsbestimmungen Abs.... BDSG (6) Anonym. (6a) Pseudonym. (7) Verantwortl. S.. (8) Empf.. (9) Besond Art.. pb. (10) Mob pb Speich..- (11) Beschäft. sind 28

29 Übung f Beauftragter für den Datenschutz Wann muss ein Datenschutzbeauftragter bestellt werden? Wenn mehr als.. Personen st.. pbd in ni digitaler Form verarbeiten (vgl..f Abs. 1 Satz.). 1 Wenn mehr als. Personen st.. automatisiert pbd verarbeiten (vgl..f Abs. 1 Satz.). 2 Die Daten einer Vor.. unterliegen (vgl. 4f Abs. 1 Satz 6, 4d Abs. 5, 3 Abs..). Eingeschränkt!!! 3 Daten geschäfts.. zum Zweck der Überm. verarbeitet oder Daten für Zwecke der M.- oder Meinungs automatisiert verarbeitet werden. 4 29

30 Verfahrensverzeichnisse und Meldepflichten gegenüber den Datenschutzaufsichtsbehörden - 4d BDSG(MP) Datenverarbeitung zur Erfüllung eigener Geschäftszwecke gemäß 28 BDSG. Mehr als 9 Personen mit aut. DV beschäftigt, DSB bestellt! keine MP Max. 9 Personen mit aut. DV beschäftigt, kein DSB bestellt! Einwilligung gemäß 4a BDSG keine MP Gemäß 28 Abs.1 Nr. 1 keine MP weder Einwilligung 4a noch 28 Abs. 1 Nr. 1 Gesetzliche Verpflichtung vorhanden keine MP. Keine gesetzliche Verpflichtung vorhanden, Vorabkontrolle gemäß 4d Abs. 5 Nr1. bzw. Nr.2 erforderlich, aber Pflicht zur Bestellung eines DSB sobald bestellt, keine MP. keine Vorabkontrolle erforderlich MP. Auch wenn die Meldepflicht nach 4d Absätze 2, 3 BDSG entfällt, muss jedes Unternehmen, Verfahrensverzeichnisse führen. Dies ergibt sich aus 4g Abs. 2 S. 1 BDSG. 30

31 Übung - Aufgaben des Datenschutzbeauftragten 30 J N 1 2 Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin? Der Beauftragte für den Datenschutz kann sich in Zweifelsfällen an die zuständige Landesdatenschutzbehörde wenden - nach 38 Abs. 1 S Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen? Der Datenschutzbeauftragte schult das Personal, das im Umgang mit pbd tätig ist, mit den Vorschriften des Datenschutzes? Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar Der Datenschutzbeauftragte ist letztendlich verantwortlich für den Datenschutz? 7 Der Datenschutzbeauftragte ist für die Datensicherung(Backup) verantwortlich? 31

32 Übungsaufgabe Nennen Sie die Grundprinzipien des Datenschutzes! 32

33 Auftragsdatenverarbeitung gemäß 11 BDSG Schematischer Datenfluss zwischen den Unternehmen 35 Auftraggeber(A) Verantwortliche Stelle Personen bezogene Daten Auftragnehmer(B) Auftragnehmer(E) Unterauftragnehmer (C) Unterauftragnehmer (D) Beschreiben Sie die Auftragsverhältnisse gemäß 11 BDSG zwischen den Unternehmen. 1 Auftraggeber(A) bittet Auftragnehmer(B) die Daten an Auftragnehmer(E) zu übersenden, ist die zulässig? 2 33

34 Anlage zu 9 (Technische und organisatorische Maßnahmen) Nr. 1 bis Zutrittskontrolle zu Gebäuden und Serverräumen... 9 plus Anlage Nr. 1 Zugangskontrolle Authentifikation Benutzername und Passwort, Firewalls 3 Zugriffskontrolle Berechtigungskonzept 4 Weitergabekontrolle(SSL, VPN ) 9 plus Anlage Nr. 3 5 Eingabekontrolle(Protokolldatei ) 6 Auftragskontrolle(gem. 11 BDSG) 7 Verfügbarkeitskontrolle(Backups ) Verschlüsselungsverfahren mit Passwort 8 Zwecktrennungsgebot (Zweckb.) 34

35 Anlage (zu 9 Satz 1) IT Sicherheit Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zwecktrennungsgebot Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 35

36 Urheberrechte - Bildernachweis Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: Betrieblicher Datenschutzbeauftragter gemäß 4f, 4g BDSG dienen, wurden erworben bei Fotolia.com Quellangaben: BDSG III von 2009, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Hajo Köppen Datenschutz A bis Z. 36