Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 4. Übungsblattes: Fallbeispiel zum Datenschutz

Transkript

1 und der IT-Sicherheit Lösungen des 4. Übungsblattes: Fallbeispiel zum Datenschutz

2 4.1 Tangierte Normen eingetragener Verein nicht-öffentliche Stelle nach 2 Abs. 4 BDSG (da Verein = privatrechtliche Personenvereinigung) 3a 11 und BDSG wissenschaftliche Methoden ggf. Forschungsprivileg 40 BDSG Auskunft über Abmahner ggf. automatisiertes Abrufverfahren 10 BDSG Veröffentlichung ggf. Medienprivileg 41 BDSG Datenerhebung via Internet Teledienst, sofern nicht Medienprivileg 3 9 TDDSG sonst Mediendienst 4 20a MDStV Eingriff ins informationelle Selbstbestimmungsrecht BVerfGE 65,1 und Art. 2 Abs. 1 GG i.v.m. Art. 1 Abs. 1 GG 2

3 4.2 Berufung auf Privilegien (1) Forschungsprivileg (1): Zweckbindung bei Forschung: Forschungsdaten nur für Forschungszwecke verwendbar ( 40 Abs. 1 BDSG) Frühestmögliche Anonymisierung personenbezogener Forschungsdaten ( 40 Abs. 2 BDSG) Veröffentlichung personenbezogener Forschungsdaten nur mit Einwilligung der Betroffenen, es sei denn, über Ereignisse der Zeitgeschichte ( 40 Abs. 3 BDSG) Erhebung personenbezogener Daten ohne Mitwirkung des Betroffenen, wenn sonst unverhältnismäßiger Aufwand und keine höheren schutzwürdigen Betroffeneninteressen dagegen stehen ( 4 Abs. 2 Nr. 2 lit. b) BDSG) 3

4 4.2 Berufung auf Privilegien (2) Forschungsprivileg (2): keine schriftliche Einwilligung von Betroffenen erforderlich, wenn dies den Forschungszweck erheblich beeinträchtigen würde ( 4a Abs. 2 BDSG) erleichterte Übermittlung für andere Forschungsvorhaben ( 28 Abs. 3 Nr. 4 BDSG) keine Betroffenenbenachrichtigung bei Forschungsvorhaben erforderlich ( 33 Abs. 2 Nr. 5 BDSG) keine Auskunftspflicht bei Nichterfordernis der Betroffenenbenachrichtigung ( 34 Abs. 4 BDSG) 4

5 4.2 Berufung auf Privilegien (3) Forschungsprivileg (3): keine Verwendungsbeschränkung ausschließlich auf andere Forschungsprojekte, sondern nur Einsatz wissenschaftlicher Methoden! somit auch keine Berufung auf Forschungsprivileg möglich! keine Auskunftsverweigerung aufgrund Forschungsprivileg möglich! 5

6 4.2 Berufung auf Privilegien (4) Medienprivileg (1): Zweckbindung bei Medien: Mediendatenschutz gilt nur, wenn ausschließlich zu journalistisch-redaktionellen oder literarischen Zwecken personenbezogene Daten erhoben, verarbeitet oder genutzt werden ( 41 Abs. 1 BDSG) Auskunftsrecht des Betroffenen einerseits und Informandenschutz andererseits ( 16 Abs. 3 MDStV) keine Verwendungsbeschränkung ausschließlich zu Medienzwecken, sondern nur Veröffentlichung geplant! somit auch keine Berufung auf Medienprivileg möglich! keine Auskunftsverweigerung aufgrund Medienprivileg möglich! 6

7 4.3 Maßgebliches Gesetz (1) MDStV (1): MDStV nur für das Angebot und die Nutzung von an die Allgemeinheit gerichteten Mediendiensten unter Benutzung elektromagnetischer Schwingungen ohne Verbindungsleitung anwendbar ( 2 Abs. 1 MDStV) Zu den Mediendiensten zählen insbesondere Abrufdienste, bei denen Darbietungen auf Anforderung aus elektronischen Speichern zur Nutzung übermittelt werden mit Ausnahme der Dienste, bei denen der individuelle Leistungsaustausch oder die reine Übermittlung von Daten im Vordergrund steht ( 2 Abs. 2 MDStV) 7

8 4.3 Maßgebliches Gesetz (2) MDStV (2): im Vordergrund des Falles geht es um das Auskunftsrecht des Betroffenen Medienprivileg nach 4.2 nicht anwendbar, da nicht ausschließliche Orientierung an journalistisch-redaktionellen oder literarischen Zwecken vorliegt bei A. steht das Abmahner-Vorwarn-System im Vordergrund individueller Leistungsaustausch durchaus gegeben: Eingaben von Abmahnerdaten einerseits, Abmahner-Vorwarn-Meldung andererseits MDStV nicht maßgeblich! 8

9 4.3 Maßgebliches Gesetz (3) TDDSG (1): entscheidend ist, ob ein elektronischer Dienst vorliegt, der für die individuelle Nutzung kombinierbarer Daten bestimmt ist und mittels Telekommunikation übermittelt wird ( 2 Abs. 1 TDG) das Internet-Angebot fällt unter 2 Abs. 2 TDG Personenbezogene Daten dürfen von Diensteanbieter nur auf der Grundlage einer Rechtsvorschrift oder einer Einwilligungserklärung des Nutzers erhoben, verarbeitet oder genutzt werden ( 3 Abs. 1 TDDSG) im Vordergrund des Falles geht es um das Auskunftsrecht des Betroffenen dieses ist zu gewährleisten, soweit nicht überwiegendes Allgemeininteresse dagegen steht 9

10 4.3 Maßgebliches Gesetz (4) TDDSG (2): eine gesetzliche Erlaubnis für die privilegierte Verarbeitung personenbezogener Daten ist nach 4.2 nicht gegeben! falls B. als Person vom Abmahner-Vorwarn-System betroffen ist, gilt das Datenschutzrecht (nach Aufgabenstellung ist von einer Einzelperson oder Ein-Personen-Gesellschaft auszugehen) bei der Verarbeitung ist es unerheblich, ob A. die Abmahnerdaten von Dritten aufgedrängt werden, denn A. ruft ausdrücklich zur Eingabe von Abmahnerdaten auf TDDSG enthält keine Vorschriften hinsichtlich der Betroffenen, so dass das BDSG für Betroffenenrecht maßgeblich bleibt! 10

11 4.3 Maßgebliches Gesetz (5) BDSG: Da A. ein eingetragener Verein ist und damit eine privatrechtliche Personenvereinigung darstellt, ist das BDSG subsidiär heranzuziehen da weder der MDStV, noch das TDDSG im konkreten Fall Vorschriften der Betroffenenrechte von B. verdrängen können, ist das BDSG maßgeblich! 11

12 4.4 Relevanz automatisierter Datenverarbeitung Unter 4.3 wurde festgestellt, dass die Betroffenenrechte für den Fall maßgeblich sind (genauer: das nach 6 BDSG unabdingbare Auskunftsrecht des Betroffenen nach 34 BDSG) Nach 34 Abs. 2 BDSG ist es unerheblich, ob die personenbezogenen Daten des Betroffenen in einer automatisierten Verarbeitung oder in einer nicht automatisierten Datei gespeichert sind ( geschäftsmäßig = dauerhaft) da B. als Betroffener lediglich wissen will, ob über ihn selbst Daten gespeichert wurden, liegt kein Verweigerungsrecht für A. im Sinne eines Informandenschutzes nach 34 Abs. 2 BDSG vor es ist nicht entscheidend, ob automatisierte Datenverarbeitung vorliegt! 12

13 Allgemeiner Hinweis zum Fall Der vorgetragene Fall wurde am 1. Dezember 2004 vom Landgericht Ulm (Az.: 1 S 89/04) zugunsten des Betroffenen entschieden! Für den kompletten Fall siehe: Datenschutz und Datensicherheit 2/2005, S (bzw. mit fehlerhafter OCR-Bearbeitung: 13

14 4.5 Lernziele Lernziele sind die von Studierenden selbst gesteckte Ziele des eigenen Lernprozesses der Dozent dagegen formuliert Lehrziele, also Ziele für Fähigkeiten, Fertigkeiten oder Wissen, die/das im Rahmen der Lehrveranstaltung vermittelt bzw. erlernt werden sollen für Lernziele gibt es keine Musterlösung durch den Dozenten! die Lehrziele wurden im wesentlichen bereits als Ergebnis der einzelnen Abschnitte formuliert. 14

15 Lehrziele Datenschutz (1) Methoden (lt. Pinnwand-Eintrag): Wissenschaftliches Arbeiten in der Informatik Umgang mit juristischen Texten praktische Anwendung grundlegender Kenntnisse und nützlicher Tools Strukturieren und Analysieren auch umfangreicher Texte Abstrahieren von Sachverhalten selbstständiges Aufarbeiten neuen (und ungewohnten) Stoffes Beherrschen der Nomenklatura Einübung der für den Datenschutz typischen Fertigkeiten Anwendung von Kenntnissen in praxisrelevanten Fällen Problemlösung in Gruppenarbeit Hinterfragen vermittelten Stoffes bzw. zu lösender Übungsaufgaben 15

16 Lehrziele Datenschutz (2) Inhalte (lt. Pinnwand-Eintrag): Verständnis für Datenschutz Kenntnis der Entwicklungen und zentralen Begriffe von Datenschutz Benennung der Grundsätze und Prinzipien des Datenschutzes Anwendung von Datenschutz in ausgewählten Bereichen Angabe grundlegender Rechtsnormen zum Datenschutz Beherrschen der Nomenklatura Beschreibung der unterschiedlichen Facetten des Datenschutzes Erklärung und Abgrenzung der verschiedenen Aspekte des Datenschutzes Darstellung des Datenschutzes als Verfahrensschutz Erläuterung des informationellen Selbstbestimmungsrechts 16

17 Lehrziele Datenschutz (3) Fortsetzung Inhalte: Angabe der Grundsätze beim Datenschutzes Übertragung der Grundsätze auf neue Problemfälle Darstellung und Anwendung des Verbots mit Erlaubnisvorbehalts Anwendung des beim Datenschutz geltenden Subsidiaritätsprinzips Analyse der Datenschutzgesetze anhand abgrenzender Kriterien Einschätzung des anzuwendenden Datenschutzrechts Gegenüberstellen von Kontrollbereichen und Sicherheitszielen im Bereich der technischen und organisatorischen Maßnahmen Beschreibung der in der BRD geltenden Datenschutzkontrolle Ermittlung von Prüfkriterien zur Feststellung eines angemessenen Datenschutzniveaus Entscheidung über Zuordnungen beim Mediendatenschutz 17

18 Statistik zum 2. Übungsblatt: Schnitt: 3,71 3,21 2,29 1,64 0,57 [20..25] [15..20) [10..15) [05..10) [00..05) Verteilung: