Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zur 2. Übung: Vergleich von Datenschutzgesetzen

Transkript

1 und der IT-Sicherheit Lösungen zur 2. Übung: Vergleich von Datenschutzgesetzen

2 2.1 Anwendung von BDSG & LDSG: Öffentliche Stellen (1) Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes ( 1 II Nr. 1 i.v.m. 2 I) ggf. der Länder, die Bundesrecht ausführen ( 1 II Nr. 2 lit. a) Behörden und sonstige öffentliche Stellen des Landes ( 2 I) der juristischen Personen öffentlichen Rechts unter Aufsicht des Landes ( 2 I) der Gemeinden und Gemeindeverbände ( 2 I) Behörden, Einrichtungen und sonstige öffentliche Stellen es Landes ( 2 I) juristische Personen des öffentlichen Rechts unter Aufsicht des Landes und deren Vereinigungen ( 2 I) Gemeinden und Gemeindeverbände ( 2 I) Behörden und sonstige öffentliche Stellen ( 3 I Nr. 1) Vereinigungen des privaten Rechts, sow eit sie Aufgaben der öffentlichen Verw altung w ahrnehmen ( 3 I Nr. 2) 2

3 2.1 Anwendung von BDSG & LDSG: Öffentliche Stellen (2) ggf. Organe der Rechtspflege ( 1 II Nr. 2 lit. b) Gerichte bei Verw altungsaufgaben mit Einschränkungen ( 2 III) Gerichte bei Verw altungsaufgaben ( 2 I) sofern am Wettbew erb teilnehmend ( 27 I Nr. 2) Landtag bei Verw altungsaufgaben ( 2 III) Rechnungshof und staatliche Rechnungsprüfungsämter außerhalb der Prüftätigkeit ( 2 III) Behörden der Staatsanw altschaften ( 2 I) Landtag bei Verw altungsaufgaben ( 2 I) Datenzentrale Schlesw ig- Holstein ( 3 II) 3

4 2.1 Anwendung von BDSG & LDSG: Nicht-Öffentliche Stellen sofern Aufgaben der öffentlichen Verw altung Eigenbetriebe der Gemeinden oder Gemeindeverbände und am Wettbew erb teilnehmende juristische Personen unter Aufsicht des Landes, mit hoheitlichen Aufgaben ( w ahrgenommen w erden ( jew eils mit Einschränkungen 2 IV i.v.m. 1 II) 2 II) ( 2 II) sofern Datenverarbeitung nicht ausschließlich für persönliche bzw. familiäre Tätigkeiten ( 1 II Nr. 3) 4

5 2.2 Techn. & org. Maßnahmen: Umfang & Technik-Stand erforderliche Maßnahmen, um Anforderungen des Gesetzes (incl. Anlage) zu gew ährleisten ( 9) erforderliche Maßnahmen, um eine den Vorschriften des Gesetzes entsprechende Datenverarbeitung zu gew ährleisten ( 9 II) geeignete Maßnahmen zur Gew ährleistung der Ausführung dieser und anderer Datenschutz- Vorschriften ( 10 II i.v.m. 10 I) erforderliche Maßnahmen nach Stand der Technik und Schutzbedürftigkeit der Daten ( 5 II) Berücksichtigung des Standes der Technik ( 9 III) unter Berücksichtigung sich verändernder Rahmenbedingungen und Entw icklungen der Technik ( 10 III) erforderliche Maßnahmen nach Stand der Technik und Schutzbedürftigkeit der Daten ( 5 II) 5

6 2.2 Techn. & org. Maßnahmen: Anforderungen innere Organisation so gestalten, dass Datenschutz- Anforderungen gerecht w ird Ausrichtung an (Anlage zu 9) Datensparsamkeit ( 9 I) auf Grundlage eines Sicherheitskonzepts nach Vorabkontrolle ( 10 III) Sicherheitskonzept gemäß Datenschutzverordnung ( 5 III) Verschlüsselung von personenbezogenen Daten außerhalb der Räumlichkeiten der verarbeitenden Stelle ( 6 III) Überw achung der ordnungsgemäßen Anw endung ( 6 V) 6

7 2.2 Techn. & org. Maßnahmen: Ansatz BDSG: Kontrollbereiche BW: Kontrollbereiche NRW: Sicherheitsziele SH: Kontrollbereiche Zutrittskontrolle (Anlage zu 9, Nr. 1) Zutrittskontrolle ( 9 III Nr. 1) Vertraulichkeit ( 10 II Nr. 1) Zugangskontrolle ( 5 I Nr. 1) Zugriffs- und Zugangskontrolle (Anlage zu Datenträgerkontrolle ( 9 III Weitergabekontrolle ( 5 I Nr. 9, Nr. 2) Nr. 2) Integrität ( 10 II Nr. 2) 2 i.v.m. 6 I und II) Zugriffskontrolle (Anlage zu 9, Nr. 3) Speicherkontrolle ( 9 III Nr. 3) Verfügbarkeit ( 10 II Nr. 3) Eingabekontrolle ( 5 I Nr. 3 i.v.m. 6 II) Weitergabekontrolle (Anlage Benutzerkontrolle ( 9 III Nr. zu 9, Nr. 4) 4) Authentizität ( 10 II Nr. 4) Speicherkontrolle ( 6 IV) Eingabekontrolle (Anlage zu Revisionsfähigkeit ( 10 II Nr. 9, Nr. 5) Zugriffskontrolle ( 9 III Nr. 5) 5) Auftragskontrolle (Anlage zu Übermittlungskontrolle ( 9 III 9, Nr. 6) Nr. 6) Transparenz ( 10 II Nr. 6) Verfügbarkeitskontrolle (Anlage zu 9, Nr. 7) Eingabekontrolle ( 9 III Nr. 7) Trennungsgebot (Anlage zu 9, Nr. 8) Auftragskontrolle ( 9 III Nr. 8) Transportkontrolle ( 9 III Nr. 9) Verfügbarkeitskontrolle ( 9 III Nr. 10) Organisationskontrolle ( 9 III Nr. 11) 7

8 2.3 Bestellung von DSB: Öffentliche Stellen öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind zur Bestellung eines öffentliche Stellen können öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen DSB sow ie einen öffentliche Stelle, die Daten verarbeitet, kann einen behördlichen DSB einen behördlichen DSB Vertreter zu bestellen ( 32a behördlichen DSB bestellen verpflichtet ( 4f I) bestellen ( 10 I) I) ( 10 I) w enn es die Struktur einer öffentlichen Stelle erfordert, ist auch die Bestellung eines DSB für mehrere Bereiche möglich ( 4f I) mehrere Stellen können gemeinsam einen DSB bestellen ( 10 II) mehrere Stellen können gemeinsam einen DSB bestellen, w enn dadurch die Erfüllung der Aufgabe nicht beeinträchtigt w ird ( 32a I) eine Stelle kann auch mehrere DSB sow ie mehrere Vertreter bestellen ( 32a I) mehrere Stellen können gemeinsam einen DSB bestellen ( 10 I) 8

9 2.3 Bestellung von DSB: Nicht-Öffentliche Stellen nicht-öffentliche Stellen verpflichtet, w enn mehr als 4 Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind ( 4f I) nicht-öffentliche Stellen verpflichtet, w enn mindestens 20 Personen personenbezogene Daten nicht automatisiert erheben, verarbeiten oder nutzen ( 4f I) nicht-öffentliche Stellen, deren Verarbeitung eine Vorabkontrolle nach 4d V erfordern, müssen unabhängig von der Beschäftigtenzahl einen DSB bestellen ( 4f I) nicht-öffentliche Stellen, die personenbezogene Daten geschäftsmäßig zum Zw eck der (anonymisierten) Übermittlung gem. 29 oder 30 erheben, verarbeiten oder nutzen, müssen unabhängig von der Beschäftigtenzahl einen DSB bestellen ( 4f I) 9

10 2.3 Bestellung von DSB: Form & Anforderungen schriftlich ( 4f I) schriftlich ( 10 I) schriftlich ( 10 I) die zur Erfüllung der Aufgaben erforderliche Sachkunde und Zuverlässigkeit und durch die Besellung keinem die erforderliche Interessenkonflikt Sachkenntnis und ausgesetzt w ird ( 10 II) Zuverlässigkeit ( 32a I) die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit ( 4f II) externer DSB möglich ( 4f II) die erforderliche Sachkunde und Zuverlässigkeit und darf keinen Konflikt mit anderen dienstlichen Aufgaben ausgesetzt sein ( 10 II) 10

11 2.3 Bestellung von DSB: Besonderheiten BfD vom Bundestag mit absoluter Mehrheit der MdB zu w ählen ( 22 I) BfD muss mind. 35 Jahre alt sein ( 22 I) BfD mit Zeitbeschränkung (5 Jahre) und nur einmal w ieder w ählbar ( 22 III) LDI vom Landtag auf Vorschlag der LfD von Landesregierung mit Landesregierung mit Zustimmung des Landtags ( absoluter Mehrheit zu 26 I) w ählen ( 21 I) LfD muss Befähigung zum Richteramt oder zum höheren Verw altungsdienst haben oder für eine andere Laufbahn des höheren Dienstes befähigt sein ( 26 I) LfD mit Zeitbeschränkung (8 Jahre) und nur einmal w ieder w ählbar ( 26 I) LDI muss Befähigung zum Richteramt oder zum höheren Dienst haben ( 21 I) LDI mit Zeitbeschränkung (8 Jahre), aber unbeschränkt w ieder w ählbar ( 21 II) LDI muss die zur Erfüllung der Aufgaben erforderliche Fachkunde besitzen ( 21 I) LfD w ird ohne Aussprache vom Landtag auf Vorschlag einer Fraktion mit absoluter Mehrheit gew ählt ( 35 I i.v.m. 35 II) LfD ist Vorstand (= Leiter) der rechtsfähigen Anstalt öffentlichen Rechts mit dem Namen "Unabhängiges Landeszentrum für Datenschutz" ( 34 II i.v.m. 32 I) LfD mit Zeitbeschränkung (5 Jahre) und nur einmal w ieder w ählbar ( 35 I) 11

12 2.4 Ausnahmeregelungen: Privilegien Verarbeitung oder Nutzung personenbezogener Daten durch Verarbeitung personenbezogener Daten durch Datenverarbeitung für Datenverarbeitung für Forschungseinrichtungen ( Forschungseinrichtungen ( w issenschaftliche Zw ecke w issenschaftliche Zw ecke 40) 35) ( 28) ( 22) Übermittlung für Zw ecke der w issenschaftlichen Forschung ( 19) Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien ( 41) Verarbeitung personenbezogener Daten durch den Südw estrundfunk ( 37) Übermittlungen an Stellen der öffentlich-rechtlichen Religionsgesellschaften ( 17) Übermittlung an öffentlichrechtliche Relegionsgesellschaften ( 15) 12

13 2.4 Ausnahmeregelungen: Geheimnisse und Übermittlungen Verarbeitung personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen ( 34) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unerliegen ( 39) Übermittlungen personenbezogener Daten ins Ausland sow ie an überoder zw ischenstaatlichen Stellen ( 4b) Datenübermittlung an öffentliche Stellen ( 15) Datenübermittlung an nichtöffentliche Stellen ( 16) Übermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes ( 20) Übermittlungen an Stellen innerhalb des öffentlichen Bereichs ( 16) Übermittlung an Stellen außerhalb des öffentlichen Bereichs ( 18) Übermittlung an ausländische Stellen ( 17) Übermittlung innerhalb des öffentlichen Bereichs ( 14) Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs ( 16) Datenübermittlung an ausländische Stellen ( 16) Datenübermittlung an andere öffentliche Stellen ( 14) Datenübermittlung an nichtöffentliche Stellen ( 15) 13

14 2.5 Weitere Unterschiede: Verarbeiten & Datenschutzaudit Speichern, Verändern, Übermitteln, Sperren, Löschen ( 3 IV) durch besondere Gesetz ( 9a) Erheben, Speichern, Verändern, Übermitteln, Nutzen, Sperren, Löschen ( 3 II) Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen ( 3 II) Erheben, Speichern, Übermiteln, Sperren, Löschen, Anonymisieren, Pseudonymisieren, Verschlüsseln ( 2 II) durch besonderes Gesetz ( 10a) durch Verordnung ( 4) 14

15 2.5 Weitere Unterschiede: Besondere Vorschriften Datenverarbeitung in der gemeinsamen Dienststelle ( 33a) Verbunddateien ( 4a) Bundesverw altung ( 18) besondere Zw eckbindung bei Datenschutzkontrolle, Datensicherung und Sicherstellung eines ordnungsgemäßen Betriebs einer DV-Anlage ( 31) Verhaltensregeln durch Berufsverbände und andere vertretungsberechtigte Gruppen ( 38a) Nutzung von Verw altungsdaten für die Erstellung von Statistiken ( 31) Nutzung von Einzelangaben aus der amtlichen Statistik durch Gemeinden und Gemeindeverbände ( 32) öffentliche Auszeichnungen ( 24) besondere Dokumentationsstelle für Sekten ( 25) 15

16 Statistik zur 1. Übung: Schnitt: 1,71 4,16 3,24 2,39 2,50 [20..25] [15..20) [10..15) [05..10) [00..05) Verteilung: