Aktuelle Herausforderungen im Datenschutz Johannes Landvogt c/o Bundesbeauftragter für den Datenschutz und Informationsfreiheit BSI & SIZ Grundschutz Tag Bonn, 09. Februar 2012 1 1
Inhalt Cloud Computing Beschäftigtendatenschutz Soziale Netze De Mail RFID PIA Framework EU Datenschutzverordnung 2 2
Cloud Computing Auftragsdatenverarbeitung, der neue 11 BDSG Outsourcing mit speziellen gesetzlichen Regelungen: SGB anwendbares nationales Recht, zum Beispiel Patriot Act Zertifizierung von Cloud Diensten hinsichtlich Sicherheit und Datenschutz 3 3
Beschäftigtendatenschutz Gesundheitliche Untersuchungen Videoüberwachung Ortungssysteme Biometrische Verfahren Nutzung von Telefon, E Mail und Internet Korruptionsbekämpfung/Compliance Anforderungen Datenerhebung im Einstellungsverfahren / Ausscheiden aus dem Beschäftigungsverhältnis Zeitplan Gesetzgebung 4 4
Soziale Netze leicht zugängliche verständliche Information über Datenerhebung und Verarbeitungszwecke Kontaktdaten für Ansprüche auf Auskunft, Berichtigung und Löschung Verwertung von Fotos für Gesichtserkennung nur mit ausdrücklicher Einwilligung Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, ohne hinreichende Information unzulässig Daten von Minderjährigen besonders schützen rechtliche Fragen (EU Datenschutz RL, Telemediengesetz, 1 Abs. 5 Satz 3 BDSG Inlandsvertreter,...) Düsseldorfer Kreis; LfD HH; Irland 5 5
De Mail Ende zu Ende Sicherheit De Mail Kriterienkatalog für den Datenschutznachweis (Version 1.2) Datenschutzzertifikat für Firma Mentana Claimsoft GmbH erteilt Zertifikat ist Bestandteil des Akkreditierungsverfahrens beim Bundesamt für die Sicherheit in der Informationstechnik (BSI) Weitere Anträge in der Prüfung 6 6
RFID PIA Framework Privacy Impact Assessment Framework for RFID (radiofrequency identification) Datenschutzfolgenabschätzungen für RFID Anwendungen Einhaltung geltender Vorschriften/Vorgaben für den Datenschutz dauerhaft gewährleisten Risiken für ihre Organisationen und Nutzer erkennen und vermeiden den Nutzen von RFID Anwendungen und die Wirksamkeit des eingebauten Datenschutzes (privacy by design) öffentlich darstellen Offene Punkte: Akzeptanz (?), Zuständigkeit unterschiedlicher Aufsichtsbehörden, Sanktionen 7 7
Decision tree for initial analysis Quelle: EC2011 8 8
EU Datenschutzverordnung Chance für einen europaweit wirksameren Schutz personenbezogener Daten EU Recht gilt auch dann, wenn sich Unternehmen aus Nicht EU Ländern mit ihren Diensten an EU Bürger wenden (auch ohne Niederlassung in Europa) Verpflichtung zur Verwendung datenschutzfreundlicher Technologien (Privacy by Design) und Grundeinstellungen (Privacy by Default); z.b. bei Sozialen Netzwerken: Veröffentlichung von Daten immer nur mit ausdrücklicher Freigabe durch den Nutzer Bestellung der betrieblichen und behördlichen Datenschutzbeauftragten europaweit verbindlich (ABER: 250 Mitarbeitern für Bestellung ungeeignet) EU einheitliches Sanktionssystem einschließlich Verhängung (empfindlicher) Bußgelder EU Datenschutzverordnung und Richtlinie für den Polizeiund Justizbereich in Arbeit Kritik: zb (LfDs) zur eu weiten Zentralisierung (eine zuständige Stelle in der EU) viele Möglichkeiten/Regelungen durch Kommission Richtlinie für Polizei und Justiz 9 9
IT Sicherheit / Zertifizierung elementare Schutzziele des Datenschutzes (zb in Artikel 3 des Entwurfs aufnehmen): Vertraulichkeit Unversehrtheit Verfügbarkeit Transparenz Zweckbindung (Nichtverkettbarkeit) Intervenierbarkeit Unabhängigkeit der Zertifizierung und technisch organisatorische Vorgaben (fehlen im Entwurf, ähnlich PP in CC?) Ermächtigung der Kommission technische Standards (und mehr) festzulegen (zb Artikel 23 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) 10 10
Ihre Fragen......und vielen Dank für Ihre Aufmerksamkeit! Johannes Landvogt Referat Technologischer Datenschutz & Informationstechnik Bundesbeauftragter für den Datenschutz und Informationsfreiheit (BfDI) Tel: 0228 99 7799 610 email: ref6@bfdi.bund.de 11 11