Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Transkript

1 Zwei-Stufen-Modell 1. Stufe: Umsetzung der EG-Datenschutzrichtlinie und Ergänzung durch einige innovative Neuregelungen Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Datenschutz-Audit ( 9 a BDSG-E) Videoüberwachung ( 6 b BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E) 2. Stufe: Umfassende Neukonzeption des BDSG (Modernisierung, Vereinfachung, Erhöhung der Lesbarkeit) /Abt/Name/Dateiname Seite 1 Zeitplan für die 1. Stufe 14. Juni 2000: Verabschiedung des Referentenentwurfs durch das Bundeskabinett 29. September 2000: Stellungnahme des Bundesrates 27. Oktober 2000: 1. Lesung im Bundestag Ende Februar 2001: Behandlung im Bundesrat (Termin reserviert) /Abt/Name/Dateiname Seite 2 Seite 1

2 Forderungen für die zweite Stufe Z.B.: Aufnahme eines Grundrechts auf informationelle Selbstbestimmung ins GG, ggf. in Verbindung mit einem Grundrecht auf unbeobachtete Kommunikation Gleichstellung des öffentlichen und nicht-öffentlichen Bereichs (z.b. bei Dateibezug, Erhebung, materielle Rechtsgrundlagen) Völlige Unabhängigkeit, Vereinheitlichung und Exekutivbefugnisse der Aufsichtsbehörden Neubestimmung der Anforderungen an die Sicherheit der Informationstechnik Gleichbehandlung des bereichsspezifischen Datenschutzrechts, neue Rechtsnormen im Bereich sensitiver Daten (z.b. Arbeitnehmer-, Gesundheitsdatenschutz) Schaffung eines Rechtes auf Informationszugang ( Informationsfreiheit ) und ausgeglichene Balance zur informationellen Selbstbestimmung /Abt/Name/Dateiname Seite 3 Stellungnahme des Bundesrates I Erhebung im nicht-öffentlichen Bereich, 4 Absatz 2 und 4 BDSG Meldepflicht auf den Einsatz eines automatisierten Verfahrens als Ganzes; 4d BDSG Inhalte der Meldung / Löschungsfristen; 4e Nr. 7 BDSG automatisierte Einzelentscheidung; 6a BDSG gesetzliche oder vertragliche Aufbewahrungsvorschriften / Zwecke der Datensicherung und der Datenschutzkontrolle; 34 BDSG Gefährdung von Geschäftszwecken; 34 Abs. 4 BDSG Gleichstellung der EU mit Inland; 4b BDSG (Mitbestimmung bei der Bestellung eines DSB; 4f Abs. 1a, 1b BDSG) /Abt/Name/Dateiname Seite 4 Seite 2

3 Stellungnahme des Bundesrates II Information im Benehmen mit dem Leiter der verantwortlichen Stelle; 4g Abs. 1 Gefährdungshaftung; 7, 8 BDSG Streichung Datenschutzaudit; 9a BDSG Überzeugung in geeigneter Weise beim Auftragnehmer; 11 BDSG Erhebung, Verarbeitung, Nutzung von Daten aus öffentlichen Quellen; 28, 29 BDSG Benachrichtigung bei Werbung; 28 Abs. 4 BDSG Kontrolle durch die Aufsichtsbehörden; 38 BDSG Erläuterung bei Verhaltensregelungen; 38a Abs. 1 BDSG Reform der Strafvorschriften; 43 BDSG Reform der Ordnungswidrigkeiten; 44 BDSG /Abt/Name/Dateiname Seite 5 Wesentliche Aspekte der Novelle Erweiterter Geltungsbereich Erweiterte Transparenz Erweiterte Verarbeitungsrestriktionen Erweiterte Kontrollen/Sanktionen /Abt/Name/Dateiname Seite 6 Seite 3

4 Erweiterter Geltungsbereich Dateibegriff: teilweise Aufgabe bei nicht-öffentlichen Stellen nicht-automatisierte Datei: Neudefinition unter Wegfall der Ausnahme der Akten und der Zuordnung von Bild- und Tonträgern zum Aktenbegriff kurzfristige und interne Dateien: Volle Einbeziehung in den Geltungsbereich persönliche oder familiäre Tätigkeiten: Ausnahme vom Geltungsbereich Sitzlandprinzip für EU-Stellen Auftragnehmer: im Inland und im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedsstaaten der EU gleichgestellt Videoüberwachung /Abt/Name/Dateiname Seite 7 Erweiterter Geltungsbereich Geänderte Definition der Datei: automatisierte Verarbeitung: Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, wenn sie unter Einsatz von Datenverarbeitungsanlagen durchgeführt wird nicht-automatisierte Datei: nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann /Abt/Name/Dateiname Seite 8 Seite 4

5 Kurzfristdateien /Abt/Name/Dateiname Seite 9 ersatzlosen Streichung der Regelung für Kurzfristdateien ( 1 Abs. 3 Nr. 1 BDSG a. F.) Betroffen z. B.: temporäre Auslagerungsdateien bei Windows-Programmen temporäre Zwischenspeicherungen auf -Servern temporäre Zwischenspeicherungen in Knotenpunkten bei der Datenübertragung (z. B. beim Internet, Intranet etc.) temporäre Dateien, die bei Verarbeitungen als Zwischenschritte, z. B. bei Datenbankabfragen, anfallen Folge z. B.: Speicherung dieser Dateien, um die Vorschriften des BDSG umzusetzen Eigene Zulässigkeitsvorraussetzungen für die Verarbeitung bzw. Nutzung Aufnahme in die Übersicht die nach 4 g Abs. 2 Satz 1 BDSG n. F. Benachrichtigung des Betroffenen (Streichung des 33 Abs. 2 Nr. 5 BDSG a. F.) bzw. Anzeige der Inanspruchnahme einer Ausnahme von der Benachrichtigungspflicht bei der Aufsichtsbehörde Erweiterter Geltungsbereich Video-Überwachung 6 b Beobachtung öffentlich zugänglicher Räume Zulässigkeit der Videoüberwachung Aufgabenerfüllung Wahrung des Hausrechts Erfüllung eigener Geschäftszwecke und kein Entgegenstehen überwiegender schutzwürdiger Interessen der betroffenen Personen Erkennbarkeit der Maßnahme und der verantwortlichen Stelle Speicherung der Daten nur bei Erforderlichkeit Löschungsverpflichtung bei Zweckerfüllung Entgegenstehen schutzwürdiger Interessen der Betroffenen /Abt/Name/Dateiname Seite 10 Seite 5

6 Erweiterte Transparenz Vorverlagerung und Erweiterung der Benachrichtigungspflichten: Prinzip der Direkterhebung Unterrichtung des Betroffenen über Zweck; Auskunftspflicht, etc. Zweckbestimmung, verantwortliche Stelle und Kategorien von Empfängern beim Ausnahmekatalog = Streichungen und Erweiterungen Unterrichtung des Betroffenen über Datenschutzverletzung durch die Aufsichtsbehörde Information über Widerspruchsrecht bei Werbung Einsicht in Verfahrensverzeichnis Erweiterung der Auskunftspflichten /Abt/Name/Dateiname Seite 11 Inhalt der Meldepflicht 4 e BDSG 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder nutzung 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten, 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind /Abt/Name/Dateiname Seite 12 Seite 6

7 Meldepflicht 4 d BDSG Grundsatz Meldung an die Aufsichtsbehörde 4 d Abs. 1 BDSG n. F. Ausnahme Bestellung DSB ( Verpflichtung) 4 d Abs. 2 BDSG Bestellung DSB ( freiwillig) 4 d Abs. 2 BDSG Verarbeitung mit Einwilligung / Vertragsverhältnis 4 d Abs. 3 BDSG Geschäftsmäßige Verarbeitungen zum Zwecke der Übermittlung 4d Abs. 4 BDSG Übersichten Übersicht ( alle Verarbei - tungen ) gemäß 4 e Nr. 1-9 BDSG 4 g Abs. 2 S. 1 BDSG Übersicht bei der Aufsichts - behörde gemäß 4 e Nr. 1-9 BDSG n. F. 38 Abs. 2 BDSG Publizität Auf Antrag 4 g Abs. 2 S. 2, 3 BDSG immer 38 Abs. 2 BDSG /Abt/Name/Dateiname Seite 13 Benachrichtigung 33 BDSG (I) Werden erstmals personenbezogene Daten für eine Zwecke ohne Kenntnis des Betroffenen gespeichert, ist er zu benachrichtigen Inhalt der Benachrichtigung: Speicherung und Art der Daten Zweckbestimmung der Erhebung, Verarbeitung und Nutzung Identität der verantworlichen Stelle Kategorien von Empfängern, soweit nicht mit einer Übermittlung zu rechnen ist Ausnahmen u.a.: anderweitige Kenntnis Aufbewahrungsvorschriften und Unverhältnismäßigkeit Daten müssen nach einer Rechtsvorschrift oder ihrem Wesen nach geheimgehalten werden müssen Speicherung oder Übermittlung ist durch Gesetz ausdrücklich vorgesehen allgemein zugängliche Quellen und wegen Vielzahl unverhältnismäßig /Abt/Name/Dateiname Seite 14 Seite 7

8 Benachrichtigung 33 BDSG (II) Streichung des 33 Abs. 2 Nr. 5 BDSG a. F. (Daten, die nur vorübergehend vorgehalten werden) Verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung abgesehen wird. Ausnahme hiervon: Kenntnis des Betroffenen auf andere Weise ( 33 Abs. 2 Nr. 1) /Abt/Name/Dateiname Seite 15 Auskunft, 34 BDSG Inhalt der Auskunft: gespeichete Daten und deren Herkunft Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden Ausnahmen: 33 Nr. 3 Geheinmhaltungspflicht 33 Nr. 6 Gefährdung des Gemeinwohls Wegfall der Ausnahmen u.a. zu Speicherung wegen Aufbewahrungsvorschriften 3-Monats-Dateien /Abt/Name/Dateiname Seite 16 Seite 8

9 Erweiterte Verarbeitungsrestriktionen Datenerhebung: Einbeziehung in das Verbot mit Erlaubnisvorbehalt und Vorrang der Direkterhebung Umgang mit sensitiven Daten Stärkung der Zweckbindung automatisierte Einzelentscheidungen: eingeschränktes Verbot Datenübermittlungen in das EU-Ausland allgemeines Widerspruchsrecht Datenvermeidung und Datensparsamkeit: generelles Gebot der nebst pseudonymisierter und anonymisierter Verarbeitung /Abt/Name/Dateiname Seite 17 Sensitive Daten, 3 Abs. 9 BDSG Sensitive personenbezogener Daten sind: rassische und ethnische Herkunft religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben Umgang mit sensitiven Daten nur mit Einwilligung bei Geltendmachung, Ausübung, Verteidigung rechtlicher Ansprüche zur wissenschaftlichen Forschung Veröffentlichung der Daten durch den Betroffenen Vorabkontrolle /Abt/Name/Dateiname Seite 18 Seite 9

10 Automatisierte Einzelentscheidung 6 a Grundsätzliches Verbot automatisierter Einzelentscheidungen Ausnahme: Begehren des Betroffenen wurde stattgegeben Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen, insbesondere Möglichkeit, Standpunkt geltend zu machen Auskunft auf Antrag über den strukturierten Ablauf der automatisierten Verarbeitung (Verweigerungsmöglichkeit aus Gründen des Betriebs- oder Geschäftsgeheimnisses in Bezug auf die verwendete Software) /Abt/Name/Dateiname Seite 19 Drittlandtransfer Zulässigkeit der Übermittlung personenbezogener Daten in Staaten außerhalb der EU grundsätzlich nur bei angemessenem Schutzniveau Ein angemessenes Schutzniveau kann durch ausreichende Garantien geschaffen werden: Verbindliche Untennehmensregelungen Vertragsregelungen Genehmigung durch die Datenschutzaufsichtsbehörden Ausnahmen: informierte Einwilligung Datentransfer ist Vertragszweck /Abt/Name/Dateiname Seite 20 Seite 10

11 Datenvermeidung, 3 a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogen Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen Vorrang anonymer und pseudonymer Formen der Datenverarbeitung /Abt/Name/Dateiname Seite 21 Erweiterte Kontrollen und Sanktionen Bestellpflicht interner Datenschutzbeauftragter Aufgabenkatalog der internen Datenschutzbeauftragten Kontrollen bei der Auftragsdatenverarbeitung Kompetenzen der Aufsichtsbehörden Schadensersatz Datenschutzaudit /Abt/Name/Dateiname Seite 22 Seite 11

12 Vorabkontrolle 4 d Abs. 5, 6 Satz 2 BDSG Vorabkontrolle bei bei Verarbeitung sensitiver Daten Verarbeitung personenbezogener Daten ist dazu bestimmt, die Persönlichkeit der betroffenen Person zu bewerten einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens Ausnahmen: gesetzliche Verpflichtung Einwilligung Erhebung, Verarbeitung oder Nutzung dient der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten (oder Aufsichtsbehörde) /Abt/Name/Dateiname Seite 23 Technische und organisatorische Maßnahmen Die innerbetriebliche Organisation ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird Insbesondere (acht Gebote) 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Gebot der Datentrennung /Abt/Name/Dateiname Seite 24 Seite 12

13 Datenschutzaudit, 9 a BDSG Ziel: Verbesserung des Datenschutzes und der Datensicherheit Kreis der Betroffenen: Anbieter von Datenverarbeitungssystemen und programmen und datenverarbeitende Stellen Gegenstand: Datenschutzkonzept sowie technischen Einrichtungen /Abt/Name/Dateiname Seite 25 Seite 13