Datenschutz Zwischen Anforderung und Wirklichkeit. RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)

Transkript

1 Datenschutz Zwischen Anforderung und Wirklichkeit RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)

2 Subjektive Sichtweisen Datenschutz als Innovationsbremse Praktikabilität vor Datenschutz Normalerweise nichts zu verbergen Dem Arbeitgeber gehören doch ohnehin alle Daten Datenschutz als Schutz vor Missbrauch Kontodaten- und Kreditkartenmissbrauch Diverse Vorkommnisse im Einzelhandel Rufschädigungen durch Offenlegung persönlicher Informationen

3 Objektive Probleme Verrechtlichter Datenschutz /Technisierte Datensicherheit Erfassung des Datenschutzes vom Recht aus Strukturelle Unterlegenheit des Rechts Effektiver Datenschutz erfordert Aufwand Verstöße führen meist nicht unmittelbar zu Folgen Vollzugsdefizite Schäden oft mittelbar

4 DS als Organisationsaufgabe Compliance /Grundsatz der Gesetzmäßigkeit der Verwaltung Schutz von unternehmens- bzw. organisationskritischen Informationen Übernahme der Fürsorgepflicht gegenüber Mitarbeitern Vorsorge vor möglichen Schäden bei Kunden

5 DS als Organisationsvorteil Prozessoptimierung Übergreifende Sicherheitsverbesserung Gewährleistung der Revisionsfähigkeit Mehr Mitarbeiterzufriedenheit Sorgfaltsnachweis im Schadenfall Einhaltung von Standards als Werbeeffekt

6 DS als Managementaufgabe Grundsatz: Verantwortlichkeit der Leitung Betrieblicher/Behördlicher Datenschutzbeauftragter Betriebs-/Personalrat IT-Sicherheitsbeauftragter IT-Administratoren Fachvorgesetzte Mitarbeiter

7 Grundlegende Elemente des Datenschutzes RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)

8 IT-Sicherheit und DS IT-Sicherheit als Grundlage für effektiven Datenschutz IT-Sicherheit kontra Datenschutz

9 Einhaltung der Datenschutzgesetze BDSG: Unternehmen, privatrechtliche Vereinigungen, Behörden und Körperschaften des Bundes LDSGe: Landesbehörden und Landeskörperschaften DSG-EKD, KDO: Kirchen und Organisationen in kirchlicher Trägerschaft Bereichsspezifischer Datenschutz: Hochschulgesetze, Telemediengesetz, Telekommunikationsgesetz...

10 Datenschutzgerechte Verfahren Rechtmäßigkeit Datensparsamkeit Beachtung der Zweckbindung Dokumentation in Verfahrensübersicht Öffentlich zugängliches Verfahrensverzeichnis Sicherstellung der Betroffenenrechte Ggf. Vorabkontrolle

11 Förderung interner Datenschutzkontrolle Bestellung eines/einer fachkundigen Datenschutzbeauftragten Rückendeckung durch die Leitung bei fachlicher Weisungsfreiheit Gewährleistung der Einbindung und des Informationsflusses Ausreichend zeitliche Ressourcen Ausreichend sachliche und fachliche Ressourcen Fortbildungsmöglichkeiten

12 Zusammenarbeit mit Aufsichtsbehörden Konflikte und Auslegungszweifel Beratung und Unterstützung Hindernisse: Knappe Ressourcen Keine schlafenden Hunde wecken Angst vor dogmatischer Behandlung von Anfragen

13 Einbindung der Beschäftigten Förderung einer Sicherheitskultur Konkrete Vorgaben in Dienstanweisungen Förderung des Sicherheitsbewusstseins durch Beratung Vorbildfunktion der Vorgesetzten Stärkung der Administratoren

14 Wo hakt es in der Praxis besonders oft? RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)

15 Grundsatz Grundsätzliches Verbot der Erhebung und Verwendung personenbezogener Daten, es sei denn: Es besteht eine Rechtsgrundlage: Gesetzliche Erlaubnis Formgerechte Einwilligung

16 Datenschutzeinwilligung (1) Warum wird diese überhaupt benötigt? Handelt es sich um eine freiwillige Einwilligung? Handelt es sich um eine informierte Einwilligung? Welche Form ist einzuhalten?

17 Datenschutzeinwilligungen (2) Form Grundsatz: Gesetzliche Schriftform Ausnahme: Aufgrund besonderer Umstände andere Form angemessen Telemedien: Elektronische Einwilligung ausreichend, aber: Bewusst und eindeutig erteilt Protokollierung Jederzeitige Abrufbarkeit des Inhalts Jederzeitige Widerrufbarkeit ex nunc

18 Fotos auf Webseiten 22 Kunsturhebergesetz Verbreitung und öffentliche Zurschaustellung von Bildnissen Einwilligung erforderlich Ausnahmen? Form?

19 Privatnutzung dienstlicher Systeme Vor allem und Internet Fernmeldegeheimnis Recht auf informationelle Selbstbestimmung Ausschluss der Privatnutzung? Gegenüber Studierenden praktisch nicht möglich Eindeutige Regelung und Kontrolle erforderlich

20 Sonderregelungen für Professoren Nichteinbeziehung in die Sicherheitsinfrastruktur Verweis auf Wissenschafts- und Forschungsfreiheit

21 Interne Übermittlung von Daten Beachtung der Zwecktrennung! Vorsicht vor nur scheinbar internen Übermittlungen!

22 Alumniverwaltung an Hochschulen Alumni sind i.d.r. keine Studierenden der Hochschule mehr Hierauf bezogene Erlaubnisnormen greifen daher nicht

23 Verpflichtung der Mitarbeiter Verpflichtung auf das Datengeheimnis Umfang und Inhalt der Verpflichtung Ggf. auch Verpflichtung auf das Telekommunikationsgeheimnis erforderlich

24 Protokollierung auf Webservern Protokollierung von IP-Adressen Personenbezug von IP-Adressen? Ja: LG Berlin, Urt. v und sämtliche Aufsichtsbehörden Nein: AG München, Urt. v Rechtsgrundlage? 15 Abs. 3 TMG? Einwilligung?

25 Datenschutzerklärung auf Webseiten Zwingend gemäß 13 Abs. 1 TMG: Unterrichtung zu Beginn der Nutzung Information über Art, Umfang und Zwecke der Erhebung und Verwendung Datenverarbeitung außerhalb EU/EWR? Stets für den Nutzer abrufbar Vollständigkeit! Nichterfüllung: Bis zu Euro Geldbuße

26 Vielen Dank für Ihre Aufmerksamkeit! RA Dr. Jan K. Köcher, DFN-CERT