Meyer Wischeropp & Sümke

Transkript

1 MAGDEBURG DRESDEN Meyer Wischeropp & Sümke RECHTSANWÄLTE STEUERBERATER

2 Datenschutz- Ein Überblick Ernst-Bernd Wischeropp Rechtsanwalt Rechtsanwälte

3 Datenschutz, was ist das? Schutz des Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 1 Abs. 1 Bundesdatenschutzgesetz (BDSG) 1 Zweck und Anwendungsbereich des Gesetzes (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

4 geschichtliche Entwicklung Vereinzelt schon seit langem Bestimmungen, die dem Schutz der Privatsphäre dienten (ärztliche und anwaltliche Schweigepflicht, Beichtgeheimnis, Postgeheimnis etc.) Seit Anfang der 70er Jahre durch computergestützte Datenverarbeitung Möglichkeit Daten besser und schneller sammeln, zu verarbeiten und auszuwerten. Erstes Datenschutzgesetz in Hessen bereits aus dem Jahre 1970 (Problemkreis des Datenschutzes dort vor Regelung auf Bundesebene bekannt) Beschleunigung und Rationalisierung von Verwaltungsabläufen birgt die Gefahr der ungerechtfertigten Durchleuchtung, mithin die zunehmende Abhängigkeit und Steuerbarkeit des Bürgers.

5 Mirkozensus-Urteil des BVErfG (Auszug): Im Lichte dieses Menschenbildes kommt dem Menschen in der Gemeinschaft ein sozialer Wert- und Achtungsanspruch zu. Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen [...]. Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist. [...] Nicht jede statistische Erhebung über Persönlichkeits- und Lebensdaten verletzt jedoch die menschliche Persönlichkeit in ihrer Würde oder berührt ihr Selbstbestimmungsrecht im innersten Lebensbereich. Als Gemeinschaftsbezogener und gemeinschaftsgebundener Bürger [...] muss jedermann die Notwendigkeit statistischer Erhebungen über seine Person in gewissem Umfang, wie z.b. bei einer Volkszählung, als Vorbedingung für die Planmäßigkeit staatlichen Handelns hinnehmen. (BVerfGE 27, 1)

6 1 Abs. 1 BDSG in der Fassung vom 27. Januar 1977 (BGBl. I 1977, 201), : "Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken." Anwendungsbereich des BDSG beschränkt auf personenbezogene Daten, die nicht zur Übermittlung an Dritte bestimmt sind und in nicht automatisierten Verfahren verarbeitet werden.

7 Änderung erst 1983 nach dem sog. Volkszählungsurteil des Bundesverfassungsgerichts (BVerfGE 65, 1). Dort wurde das (Grund-)Recht auf Datenschutz zum ersten Mal als Ausprägung des grundrechtlichen Schutzes der Art. 1 Abs. 1 Grundgesetz und Artikel 2 Abs. 1 Grundgesetz anerkannt. Art 1 Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Art. 2 Abs. 1GG: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

8 Aus den Leitsätzen des Volkszählungsurteils: 1. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 2. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken. (BVerfGE 65, 1)

9 1 BDSG in der heute geltenden Fassung (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

10 Überblick über das BDSG Das BDSG besteht aus sechs Abschnitten: Im ersten Abschnitt ( 1 11) werden allgemeine und gemeinsame Bestimmungen erläutert, im zweiten Abschnitt ( 12 26) die Datenverarbeitung für öffentliche Stellen und im dritten Abschnitt ( 27 38a) für private Stellen geregelt. Der vierte Abschnitt ( 39 42) enthält Sondervorschriften, im fünften Abschnitt ( 43 44) werden Straf- und Bußgeldvorschriften und im sechsten Abschnitt ( 45 46) Übergangsvorschriften genannt.

11 Grundsätze Verbotsprinzip mit Erlaubnisvorbehalt. (Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Prinzip verboten und nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (d.h.., das Gesetz erlaubt die Datenverarbeitung in diesem Fall) oder wenn die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat. Ebenfalls gilt der Grundsatz der Datenvermeidung und Datensparsamkeit: alle Datenverarbeitungssysteme sollen sich an dem Ziel ausrichten, keine oder so wenig personenbezogene Daten wie möglich zu verwenden und insbesondere von den Möglichkeiten der Anonymysierung und Pseudonymisierung Gebrauch zu machen.

12 Geschützte Daten Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, -Adresse, IP-Adresse beim Surfen, Personalnummer etc.). Im Gegensatz dazu stehen anonyme Daten, bei denen die Person unbekannt (also unbestimmbar) ist. Pseudonyme Daten, bei denen der Name durch einen Decknamen ersetzt wird, fallen wieder unter den Geltungsbereich des BDSG, weil es sich dabei um Angaben bestimmbarer Personen handelt. Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbHs, AGs usw.). Besonders geschützt werden so genannte besondere Arten von Daten gemäß 3 Abs. 9 BDSG, nämlich Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben. Bei diesen Daten ist das Verbotsprinzip mit Erlaubnisvorbehalt durch einen Ausnahmekatalog noch enger definiert und eine ausdrückliche Einwilligung des Betroffenen notwendig.

13 Räumlicher Anwendungsbereich Bei einem Sitz der verantwortlichen Stelle im EG/EWR-Ausland gilt grundsätzlich das Sitzprinzip, d.h. der Sitz der verantwortlichen Stelle ist maßgeblich für das nationale Recht. Eine Firma mit Sitz in Frankreich beispielsweise kann ihr französisches Recht bei der Datenverarbeitung in Deutschland exportieren. Falls die Stelle jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, d.h. es gilt das deutsche BDSG. Dies gilt ebenso für Stellen, die einen Sitz in einem Nicht-EG/EWR-Staat haben.

14 Normadressaten Im BDSG wird unterschieden zwischen Datenschutz von staatlichen ( öffentlichen ) und von privaten ( nicht-öffentlichen ) Stellen. Öffentlich-rechtliche Wettbewerbsunternehmen, die im Wettbewerb zu privaten Unternehmen stehen (z.b. die Deutsche Bahn), werden wie private Stellen behandelt.

15 Datenverarbeitung der privaten Stellen Jede private Stelle (z.b. Unternehmen), in der zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten (kurz DSB). Desgleichen bei zwanzig oder mehr Mitarbeitern wenn die Daten manuell (z.b. mit Karteikarten) verarbeitet werden, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymer Übermittlung (Meinungsforschung) verarbeitet werden.

16 Kontrolle des Datenschutzes Datenschutzbeauftragter Zuständig für Kontrolle der ordnungsgemäßen Organisation des Datenschutzes im Unternehmen, sofern vorgeschrieben. Insbesondere sachgerechte Beratung der Geschäftsleitung und Hinwirkungspflicht auf Einhaltung sämtlicher datenschutzrechtlicher Regelungen. Datenschutz-Aufsichtsbehörden Für die staatliche Kontrolle des Datenschutzes sind in jedem Bundesland Datenschutz-Aufsichtsbehörden eingerichtet, die die Aufgabe haben, die ordnungsgemäße Organisation des Datenschutzes im Unternehmen zu prüfen, und die dabei auch verschiedene Weisungsbefugnisse gegenüber den geprüften Unternehmen haben.

17 Sanktionen Datenschutz-Aufsichtsbehörde Wenn sich im Rahmen einer Datenschutz-Prüfung im Unternehmen durch die Datenschutz- Aufsichtsbehörde Mängel in der Datenschutzorganisation herausstellen, kann die Datenschutz- Aufsichtsbehörde neben der Forderung zur Beseitigung der Mängel auch Bußgelder verhängen oder bei besonders schwerwiegenden Verstößen auch Strafverfahren einleiten. Bußgelder Bußgelder in einer Höhe von bis zu Euro muss z. B. ein Unternehmen befürchten, das keinen betrieblichen Datenschutzbeauftragten wirksam bestellt, obwohl es dazu verpflichtet ist, das die Rechte der Betroffenen nicht ordnungsgemäß wahrt, oder das personenbezogene Daten unzulässig benutzt. Bußgelder in einer Höhe von bis zu Euro muss z. B. ein Unternehmen befürchten, das nicht allgemein zugängliche personenbezogene Daten unbefugt nutzt oder zum Abruf bereithält. Freiheitsstrafen Wer gegen datenschutzrechtliche Bestimmungen vorsätzlich und gegen Entgelt verstößt oder die Absicht verfolgt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, kann mit Freiheitsstrafe von bis zu zwei Jahren bestraft werden.

18 Datenschutzbeauftragter Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in 4f und 4g des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Er hat vorrangig die Datenverarbeitungsprogramme zu überwachen und das datenverarbeitende Personal mit dem Datenschutz vertraut zu machen. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Der Datenschutzbeauftragte ist schriftlich zu bestellen. Damit diese Funktion wirklich unabhängig wahrgenommen werden kann, darf kein Interessenskonflikt bestehen. Personen aus der Geschäftsleitung, leitende Positionen aus dem Personalwesen oder der IT-Abteilung können daher in der Regel den Posten des Datenschutzbeauftragten nicht übernehmen. Es ist möglich, einen externen Datenschutzbeauftragten zu bestellen.

19 Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals praktische Schwierigkeiten für ein Unternehmen, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol in ihrem 17. Datenschutzbericht formulierte. Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter [ ] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten. Im Jahre 1990 hatte das Landgericht Ulm als erstes Gericht in Deutschland über das Berufsbild von Datenschutzbeauftragten zu entscheiden. In seinem in Fachkreisen oft zitierten Ulmer Urteil definierte das Gericht die Tätigkeit des Datenschutzbeauftragten als eigenständigen Beruf und legte Kriterien für die Fachkunde fest (Az: 5T 153/90-01 LG Ulm). Es gibt diverse Anbieter, die eine Ausbildung zum qualifizierten und geprüften Datenschutzbeauftragten anbieten. Die Ausbildungsdauer ist bei entsprechenden Vorkenntnissen wenige Wochen. Ob eine Ausbildung als ausreichend anzusehen ist, kann man bei der für seine Unternehmung zuständigen Datenschutzaufsichtsbehörde oder auch dem Berufsverband der Datenschutzbeauftragten Deutschlands klären lassen.

20 Datenverarbeitung der privaten Stellen Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie u.a.: Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung) transparente und dokumentierte EDV (Verfahrensverzeichnis), Schutz der EDV und der Daten im Sinne der IT-Sicherheit ( 9 BDSG nebst Anhang) Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

21 Rechte der Betroffenen Betroffene (natürliche Personen, über die Daten bei öffentlichen oder nichtöffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz folgende (gem. 6 Abs. 1 BDSG) unabdingbare Rechte: Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden Berichtigung von falschen personenbezogenen Daten Übermittlung persönlicher Daten an Dritte zu untersagen Löschung seiner Daten Sperrung seiner Datensätze Beschwerderecht bei der zuständigen Aufsichtsbehörde für den Datenschutz

22 Jeder Bürger hat ein Auskunftsrecht bezüglich der über ihn gespeicherten Daten sowie ein Recht auf Richtigstellung falscher Daten. Für die befragten Stellen ergibt sich eine Auskunftspflicht, von der jedoch Polizei und Geheimdienste ausgenommen sind. Die Auskunft ist von öffentlichen Stellen unentgeltlich zu erteilen ( 19 Abs. 4 BDSG). Bei der Auskunftserteilung durch private Stellen kann unter Umständen ein Entgelt verlangt werden ( 34 BDSG), allerdings muss der Betroffene darauf hingewiesen und ggf. eine kostenfreie Alternative angeboten werden.

23 Für die Behörden der Länder und Gemeinden gelten die jeweiligen Landesdatenschutzgesetze. Öffentlich-rechtliche Religionsgesellschaften unterliegen weder dem Bundesdatenschutzgesetz noch den Landesdatenschutzgesetzen.

24 EDV Dokumentation Transparente Dokumentation sämtlicher EDV Prozesse Ausgerichtet an Qualitätssicherungsnormen DIN EN ISO 9001 DIN EN ISO 9001 Regelt Qualitätsmanagementsysteme - Anforderungen (ISO 9001: ) Kurzbeschreibung: Anforderungen an ein Qualitätsmanagementsystem die Anforderungen an ein Qualitätsmanagementsystem (QM-System) für den Fall fest, dass eine Organisation ihre Fähigkeit darlegen muss, Produkte bereitzustellen, welche die Anforderungen der Kunden behördliche Anforderungen erfüllen, und anstrebt, die Kundenzufriedenheit zu erhöhen.

25 Einzelne Anforderungen nach DIN EN ISO 9001(nicht abschließend) für: QM-Handbuch Lenkung von Dokumenten Kennzeichnung Erstellung Prüfung Freigabe Verteilung Verfügbarkeit Änderung ungültige Dokumente Vernichtung Archivierung

26 IT-Sicherheit Anforderungen gemäß 9 BDSG sowie der Anlage zu 9 Satz 1 BDSG 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

27 Aus 9 BDSG und der Anlage zu 9 Satz 1 ergeben sich die folgenden 8 Gebote, die jedes Unternehmen durch entsprechende technische und organisatorische Maßnahmen umzusetzen hat: Zutrittskontrolle Unbefugten ist der Zutritt zu DV-Anlagen zu verwehren Zugangskontrolle Unbefugte dürfen DV-Anlagen nicht nutzen Zugriffskontrolle Berechtigte dürfen nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen Weitergabekontrolle kein unbefugtes Lesen, Kopieren, Verändern, Entfernen von personenbezogenen Daten während Übertragung Eingabekontrolle Nachvollziehen von Eingaben und Änderungen ermöglichen Auftragskontrolle Verarbeitung nur entsprechend den Weisungen des Auftraggebers Verfügbarkeitskontrolle Schutz gegen Zerstörung oder Verlust Getrennte Verarbeitung von zu unterschiedlichen Zwecken erhoben Daten

28 Welche konkreten Maßnahmen zur Gewährleistung der o.a. Kontrollen im Unternehmen, der Praxis oder Kanzlei zu ergreifen sind hängt vom Einzelfall ab und ist Ergebnis einer detaillierten und systematischen Aufnahme der Datenverarbeitungs- Hardware, -Software und Prozesse im Unternehmen. Leisten kann diese Aufnahme im Normalfall nur ein Spezialist, der in der Lage ist, die IT-Infrastruktur des Unternehmens aufzunehmen und die Risikoanalyse und -Bewertung vorzunehmen, um dann die geeigneten Maßnahmen zur Umsetzung der Kontrollen nach 9 BDSG zu konzipieren und die Umsetzung voranzutreiben.

29 Vielen Dank für Ihre Aufmerksamkeit!