Datenschutz als Grundhaltung

Transkript

1 Warum das Ganze? Datenschutz als Grundhaltung V Köln Jochim Selzer jselzer@vorratsdatenspeicherung.de A57A 4E28 A59D 0385 D33D D CE1B 65F4 C445

2 Zur Person Beruflich Applikationsadministrator bei DPDHL Ehrenamtlich örtlicher Datenschutzbeauftragter zweier Kirchenkreise und mehrerer Kirchengemeinden Veranstalter von ca. 130 Cryptoparties Mitglied im AK Vorrat und im CCC

3 Warum sollte ich Daten schützen?

4

5 Warum sollte ich Daten schützen? a) Weil ich im Rahmen meines Dienstverhältnisses schriftlich auf die Einhaltung des Datenschutzes verpflichtet wurde b) Weil ich im Rahmen einer Betriebsvereinbarung zur Einhaltung des Datenschutzes verpflichtet bin c) Weil ich im Rahmen des DSG NRW und des SGB zur Einhaltung des Datenschutzes verpflichtet bin d) Weil ich aus Respekt meinen Mitmenschen gegenüber deren Privatsphäre achte

6 Gesetze um ihrer selbst Willen

7 Datenschutz 10 Verwechslungsgefahr Datensicherheit

8 Der Holzhammer h c s t a Ich habe nichts zu verbergen. u Q

9 Fehlannahme 1 Wer etwas zu verbergen hat, verheimlicht etwas Unredliches oder Ungesetzliches.

10 Fehlannahme 2 Weil ich nichts zu verbergen habe, dürfen auch alle Anderen nichts zu verbergen haben.

11 Fehlannahme 3 Ich habe wirklich nichts zu verbergen.

12 Vokabeln 3 Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person).

13 Vokabeln 3 Begriffsbestimmungen (2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. [...]

14 Vokabeln 3 Begriffsbestimmungen (3) Verantwortliche Stelle ist die Stelle im Sinne des 2 Abs. 1, die personenbezogene Daten in eigener Verantwortung selbst verarbeitet oder in ihrem Auftrag von einer anderen Stelle verarbeiten lässt. [siehe auch 11, ADV]

15 Vokabeln 3 Begriffsbestimmungen (7) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (8) Pseudonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die datenverarbeitende Stelle darf keinen Zugriff auf die Zuordnungsfunktion haben; diese ist an dritter Stelle zu verwahren.

16 Wann darf ich? 4 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn a) dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder b) die betroffene Person eingewilligt hat. Die Einwilligung ist die widerrufliche, freiwillige und eindeutige Willenserklärung der betroffenen Person, einer bestimmten Datenverarbeitung zuzustimmen.

17 Weitere Grundsätze Zweckbindung Datenvermeidung Datensparsamkeit Besonderer Schutz von Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben

18 Was dürfen die Erhobenen? 5 Rechte der betroffenen Person Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf 1. Auskunft, Einsichtnahme ( 18), 2. Widerspruch aus besonderem Grund ( 4 Abs. 5), 3. Unterrichtung ( 12 Abs. 2, 13 Abs. 2 Satz 2, 16 Abs. 1 Satz 2 und 3), 4. Berichtigung, Sperrung oder Löschung ( 19), 5. Schadensersatz ( 20), 6. Anrufung des Landesbeauftragten für Datenschutz und Informationsfreiheit ( 25 Abs. 1), 7. Auskunft aus dem beim zuständigen behördlichen Datenschutzbeauftragten geführten Verfahrensverzeichnis ( 8). Diese Rechte können auch durch die Einwilligung der betroffenen Person nicht ausgeschlossen oder beschränkt werden.

19 Technische und organisatorische Maßnahmen 10 Technische und organisatorische Maßnahmen (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität), 3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität), 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz). [vgl 8]

20 Links Landesdatenschutzgesetz NRW Datenschutzwiki der BfDI