Rechtsanwältin Sigrid Wild LL.M.

Transkript

1 Datenschutzrecht bei internetbasierten IT Projekten Vortrag am 26. März 2004 Sitzung des Fachausschusses für Datenschutz und Datensicherheit der DGRI Rechtsanwältin Sigrid Wild LL.M. Augsburg Rechtsanwälte Waibel und Kollegen Patentanwälte Charrier und Kollegen Steuerberater Simonek und Keil

2 RECHTSANWÄLTE PATENTANWÄLTE STEUERBERATER Waibel Hoppert Rubach & Kollegen Gesellschaftsrecht Gewerbl. Rechtsschutz IT-und Internet Recht Strafrecht Charrier Rapp & Liebau Patent- und Markenrecht Simonek & Keil Wirtschaftsberatung Steuerberatung

3 CV Sigrid Wild LL.M. Seit Dezember 2003 Tätigkeit als Rechtsanwältin im IT- und Internetrecht 2002/2003 LL.M. Studium im subject grouping Computer- und Kommunikationsrecht Queen Mary University of London Referendariat und Nebentätigkeiten in Nürnberg und Köln Studium der Rechtswissenschaften in Erlangen Praktika und Nebentätigkeiten in Kanzleien und Unternehmen in Tennenlohe, Frankfurt, Köln und London

4 Inhalt Einleitung Problemstellung Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz Softwareerstellungsverträge und Datenschutz Internetprojekte und Datenschutz Checkliste / Datenschutzrechtliche Vereinbarkeit bei IT- Projekten Ausblick/Fazit

5 Einleitung I Warren & Brandeis (1890): right to be let alone BVerfG 1983: informationelles Selbstbestimmungs -recht G l o b a l e V e r n e t z u n g death of distance

6 Einleitung II Beispiel eines internetbasierten IT-Projektes: Bewerber ame, Adresse,Geburtsdatum, örpergröße, Gewicht, Religion, rankheiten, Sexualleben, rassische er ethnische Herkunft Kunden Bewerbung Zusage/ Absage Messegesellschaft Server USA Mitarbeiter Mitarbeiter Mitarbeiter Bearbeitung der Daten in Deutschland me, Adresse, Kreditkartendaten - sucher, Aussteller Indien Konzernintern

7 Einleitung Problemstellung Inhalt

8 Problemstellung Risiko der Reputationsschädigung Vertrauensverlust der Verbraucher Unterbrechung der Geschäftsabläufe Strafrechtliche Sanktionen Zivilrechtliche Haftung

9 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze

10 Übersicht der für IT-Projekte relevanten Datenschutzvorschriften BDSG - 3a BDSG, 4 BDSG, 4b BDSG, 4d BDSG, 5 BDSG, 6 BDSG, 11 BDSG, 28 BDSG, 33 ff. BDSG TDDSG 3 TDDSG 4 TDDSG 5,6 TDDSG MDStV 17 MDStV 18 MDStV 19 MDStV 20 MDStV

11 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien

12 Datenschutzprinzipien Verbotsprinzip Zweckbindungsgrundsatz Trennungsgrundsatz Datensparsamkeit Anonym/Pseudonym Datenvermittlung an Dritte Datenvermeidungsgrundsatz Nutzerprofile Bestands-, Nutzungs- und Abrechnungsdaten

13 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle

14 Informationspflichten der datenverarbeitenden Stelle Unterrichtungspflicht Elektronische Einwilligungen Anzeigepflicht Cookies Benachrichtigungsrecht Auskunftsrecht

15 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer

16 Grenzüberschreitender Datentransfer EU rittländer (z.b. USA, apan, Indien,...) Angemessenes Schutzniveau oder Einwilligung Vertragserfüllung und Unterrichtung Überwiegendes öffentliches Interesse Lebenswichtige Interessen des Betroffenen EWR (Norwegen, Liechtenstein und Island) Angemessenes Schutzniveau: Schweiz, Ungarn, USA ( safe harbor Liste) Standardvertragsklauseln

17 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz

18 IT-Outsourcing und Datenschutz Auslagerung betrieblicher IT-Funktionen Rückverlagerung Auftragsdatenverarbeitung Auftraggeber (Datenverantwortlicher) Auftragnehmer = Dritter => privilegiert Funktionsübergang Übertragung der gesamten Aufgabe (Informationsfkt.) Auftragnehmer: Datenverarbeitg. Für fremde Zwecke => Zulässigkeit nach 28 ff. BDS

19 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz Softwareerstellungsverträge und Datenschutz

20 Softwareerstellungsverträge und Datenschutz Auftrag zur Softwareerstellung Vertraulichkeit von Geschäftsgeheimnissen wahren Recht zum fristlosen Rücktritt Verpflichtung auf das Datengeheimnis Verfahren für personellen Geheimschutz Sicherung von Unterlagen gegen Kenntnisnahme durch Dritte Herausgabe von Unterlagen Sicherung der erstellten Software

21 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz Softwareerstellungsverträge und Datenschutz Internetprojekte und Datenschutz

22 Internetprojekte und Datenschutz Bestandsdaten: Name, Adresse, -Adr., Geburtsdatum, Telefon, Zahlungsmethode, Bankeinzug, Kreditkartenangaben, Zugangsdaten (Passwort, Pseudonym) Nutzungsdaten: IP-Adressen, D a t e n s c h u t z h i n w e i s Identifikationsmerkmale, Cookies, Beginn, Ende und Umfang der Nutzung Abrechnungsdaten: Name, Adresse, Zahlungsmethode, Bankeinzug, Kreditkartenangaben

23 Einleitung Problemstellung Inhalt Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz Softwareerstellungsverträge und Datenschutz Internetprojekte und Datenschutz Checkliste/Datenschutzrechtliche Vereinbarkeit von IT-Projekten

24 Checkliste Identifizierung der involvierten Datenverarbeitungsprozesse (data flow map) Datenschutz-Audit (Überprüfung aller datenschutzrelevanten Aktivitäten) Überprüfung von Verfahren zur ständigen Beachtung des Datenschutzes Datenschutzexperten so früh wie möglich in IT-Projekten involvieren Abschluss von Verträgen zwischen dem Daten-Verantwortlichen und dem Daten-Verarbeiter Grenzüberschreitender Datentransfer (Strategien)

25 Inhalt Einleitung Problemstellung Übersicht der für IT-Projekte relevanten Datenschutzgesetze Datenschutzprinzipien Informationspflichten der datenverarbeitenden Stelle Grenzüberschreitender Datentransfer IT-Outsourcing und Datenschutz Softwareerstellungsverträge und Datenschutz Internetprojekte und Datenschutz Checkliste/Datenschutzrechtliche Vereinbarkeit von IT-Projekten Ausblick/Fazit

26 Ausblick / Fazit Rasant voranschreitende technologische Weiterentwicklung => Datenschutzvorschriften obsolet? Datenschutzrechtliche Prinzipien + unabhängige Datenschutzbehörden Flexibilität Interesse des Individuums Bedürfnisse einer immer mehr vernetzten Wirtschaft Unvorhersehbares Risikomanagement Harmonisierung der Datenschutzvorschriften