und der IT-Sicherheit (6) Vorlesung im Sommersemester 2006 an der Universität Ulm von Verwandte Gebiete zum Datenschutz 2
Allgemeines Persönlichkeitsrecht Grundlage: Art. 2 Abs. 1 GG Ausprägungen: Informationelles Selbstbestimmungsrecht Datenschutz Urheberrecht Urheberschutz ( 2 UrhG) Recht am eigenen Namen Namensschutz ( 12 BGB) Recht am eigenen Bild Bildnisschutz analog: KunstUrhG digital: BDSG, soweit KunstUrhG nicht prioritär 3 Details zum Bildnisschutz 22 Satz 1 KunstUrhG: Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. 23 Abs. 1 KunstUrhG: Ohne die nach 22 erforderliche Einwilligung dürfen verarbeitet und zur Schau gestellt werden: 1. Bildnisse aus dem Bereich der Zeitgeschichte; 2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen; 3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben; 4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient. 24 KunstUrhG: Für Zwecke der Rechtspflege und der öffentlichen Sicherheit dürfen von den Behörden Bildnisse ohne Einwilligung des Berechtigten sowie des Abgebildeten oder seiner Angehörigen vervielfältigt, verbreitet und öffentlich zur Schau gestellt werden. 4
Videoüberwachung öffentliche Plätze: Grundlage: 6b BDSG berechtigter Zweck erforderlich Kennzeichnungspflicht (Signet) strenge Zweckbindung unverzügliche Löschung nötig nicht-öffentliche Plätze: Grundlage: 4 Abs. 3 BDSG i.v.m. 4 Abs. 2 BDSG, 31 BDSG, 35 Abs. 2 Nr. 3 BDSG Aufklärungspflicht Zweckbindung (streng, wenn Sicherung der DV-Anlagen) unverzügliche Löschung nötig Nachweis der Erforderlichkeit besonders gravierender Eingriff wegen kontinuierlicher Überwachung Vorabkontrolle (& ggf. Mitbestimmung) erforderlich unzulässige Videoüberwachung gerichtlich nicht verwertbar heimliche Videoüberwachung allenfalls durch Staat zulässig 5 Fernmeldegeheimnis (1) Grundlage: Art. 10 Abs. 1 GG Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. Ausprägungen: Telekommunikation Fernmeldegeheimnis 88 TKG: Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. 6
Fernmeldegeheimnis (2) Beschränkungen beim Eingriff ins Fernmeldegeheimnis: (BverfG-Urteil zu den BND-Befugnissen zur Fernmeldeüberwachung vom 14.07.1999; Az.: 1 BvR 2226/94, 2420, 2437/95) Eingriff nur aufgrund einer gesetzlichen Regelung Übertragbarkeit der Anforderungen aus dem Volkszählungsurteil Erforderlichkeit der Fernmeldeüberwachung Zweckbindung bei der Verwendung erlangter Kenntnisse ( Kennzeichnungspflicht über Herkunft) Kontrolle durch unabhängige und an keine Weisung gebundene staatliche Organe wegen Unbemerkbarkeit der Eingriffe Übermittlungsschwellen nach dem Grundsatz der Verhältnismäßigkeit ( Einschreitschwellen) 7 Zum Rasterfahndungsbeschluss (BVerfG-Beschluss vom 04.04.2006; Az.: 1 BvR 518/02) Schwere des Eingriffs darf nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe stehen Maßgebend sind: die Gestaltung der Einschreitschwellen, die Zahl der Betroffenen und die Intensität der individuellen Beeinträchtigung Eingriffsintensität ist hoch, wenn Informationen betroffen sind, bei deren Erlangung Vertraulichkeitserwartungen verletzt werden ( Schutz besonderer Arten personenbezogener Daten), oder wenn der Eingriff heimlich vorgenommen wird Bei Einbeziehung nahezu sämtlicher personenbezogenen Daten, die bei irgendeiner öffentlichen oder nicht-öffentlichen Stelle vorhanden sind Risiko der Vorratsdatensammlung Eingriff erst ab Schwelle einer hinreichend konkreten Gefahr für die bedrohten Rechtsgüter zulässig 8
Beschränkung beim überwiegenden Allgemeininteresse 9 Mit Datenschutz vergleichbar Gesetzliche Geheimhaltungspflichten: Ärzte, Apotheker, Heilberufe, Psychologen, Mitarbeiter von Beratungsstellen, Sozialarbeiter... ( 203 StGB); Betriebs- und Geschäftsgeheimnis ( 17 UWG) Berufsgeheimnisse: Notare ( 18 I BNotO), Rechtsanwälte ( 43a II BRAO), Steuerberater ( 57 I StBerG), Wirtschaftsprüfer ( 43 I 1 WiPrO) besonderes Amtsgeheimnisse: Steuergeheimnis ( 30 AO), Sozialgeheimnis ( 35 SGB I), Statistikgeheimnis ( 16 I BStatG), Meldegeheimnis ( 5 I MRRG) Vertragliche (oder gewohnheitsrechtliche) Geheimhaltungspflichten: Bankgeheimnis 10
Datenschutzrecht (Teil 3) 11 Zum Verfahrensverzeichnis jedes einzelne Verfahren zur Verarbeitung personenbezogener Daten inhaltliche Anforderung aus 4e BDSG (Meldepflicht gegenüber Aufsichtsbehörden, sofern kein Datenschutzbeauftragter bestellt wurde) Einsichtsrecht für Jedermann Unterteilung in öffentlichen Teil und nicht öffentlichen Teil der nicht öffentliche Teil unterscheidet sich bei nicht-öffentlichen Stellen (BDSG) von öffentlichen Stellen (jeweiliges LDSG bzw. BDSG) eine fundierte Datenschutzkontrolle erfordert detailliertere Angaben, als das Gesetz vorschreibt (Grund für Beschränkung: Betriebsgeheimnisse und Entwicklungsoffenheit!) 12
Wichtige Datenschutz-Normen außerhalb der DSGe (1) Arbeitnehmervertretungsrechte Betriebsverfassungsgesetz: 80 Abs. 1 BetrVG: Betriebsrat hat Einhaltung von Schutznormen zu überwachen auch Datenschutz! 87 Abs. 1 Nr. 6 BetrVG: technische Einrichtungen, die zur Leistungs- und Verhaltenskontrolle bestimmt sind, unterliegen der Mitbestimmung des Betriebsrats Bundespersonalvertretungsgesetz: 68 Abs. 1 Nr. 2 BPersVG: wie 80 BetrVG 75 Abs. 3 Nr. 17 BPersVG: wie 87 Abs. 1 Nr. 6 BetrVG 13 Wichtige Datenschutz-Normen außerhalb der DSGe (2) Sozialgesetzbuch Zehn: 67 85a SGB X: entspricht im Wesentlichen dem BDSG (allerdings detailliertere Hinweise zur Übermittlung von Sozialdaten an andere Stellen und stärkere Beschränkungen im Rahmen der technischen und organisatorischen Maßnahmen) Gesundheits- und Krankenhausgesetze der Länder Polizei- und Verfassungsschutzgesetze der Länder Statistik- und Volkszählungsgesetze Melderechtsgesetze Landeshochschulgesetz Baden-Württemberg: 5 LHG: Evaluation 12 LHG: Verarbeitung personenbezogener Daten 14
Datensicherheit (1): Begriffsdefinitionen (1) Definition 8: Sicherheit Abwesenheit von Gefahren Definition 9: Datensicherung Maßnahmen zur Erhaltung und Sicherung des DV-Systems, der Daten und Datenträger vor Fehler, Missbrauch und höherer Gewalt Datensicherung zielt insb. auf Ausfallsicherheit ab! 15 Datensicherheit (2): Verhältnis Datenschutz zu Datensicherung 16
Datensicherheit (3): Begriffsdefinitionen (2) Definition 10: IT-Sicherheit nach 2 Abs. 2 BSIG Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen/Komponenten Datensicherung nur Teil der Verfügbarkeit: Ausfallsicherheit Datensicherheit nur Spezialfall der IT-Sicherheit hinsichtlich der Daten (statt informationstechnischer Systeme/Komponenten) technische & organisatorische Maßnahmen dienen Datenschutz und IT-Sicherheit 17 Klassische IT-Sicherheit vs Mehrseitige IT-Sicherheit Klassische IT-Sicherheit: Verfügbarkeit Unversehrtheit = Integrität Vertraulichkeit Vermeidung unzureichender Beeinträchtigungen der IT- Systeme, Daten, Funktionen und Prozesse in Bestand, Nutzung oder Verfügbarkeit Verlässlichkeit der IT- Systeme Sicherheit der Systeme Mehrseitige IT-Sicherheit: klassische IT-Sicherheit ergänzt um weitere Sicherheitsziele (insb. Authentizität und Verbindlichkeit) Berücksichtigung der Interessen aller Beteiligten Verlässlichkeit und Beherrschbarkeit der IT- Systeme Sicherheit der Systeme und vor den Systemen 18
Datensicherheit (4): Abgrenzungen Schutz vor unbeabsichtigten Ereignissen: Safety Schutz gegen beabsichtigte Angriffe: Security IT-Sicherheit = Safety + Security 19 Datensicherheit (5): Abgrenzungen Zusammenhang zwischen mehrseitiger IT-Sicherheit und Datenschutz: Überschneidung bei der Verarbeitung personenbezogener Daten Schwerpunkt liegt auf Security 20
Literaturhinweise zum Datenschutzrecht: Lutz Bergmann, Roland Möhrle, Armin Herb: Datenschutzrecht Kommentar Bundesdatenschutzgesetz, Datenschutzgesetze der Länder und Kirchen, Bereichsspezifischer Datenschutz, Loseblatt-Sammlung, Richard Boorberg Verlag, Stuttgart, 2004. Alexander Roßnagel (Hrsg): Handbuch Datenschutzrecht, Verlag C.H. Beck, München, 2003. 21