Grundlagen des Datenschutzes

Ähnliche Dokumente
Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1b) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit (4)

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Einführung in die Datenerfassung und in den Datenschutz

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1b) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Webinar Betrieblicher Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit (3)

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Der betriebliche Datenschutzbeauftragte

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenschutz und Schule

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz im Spendenwesen

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Medienrecht I: Vorlesung im Sommersemester 2008 an der Universität Ulm Gastvortrag von Bernhard C. Witt

Mittagsinfo zum Thema

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Privatsphäre & Datenschutz: Welche Rechte haben wir eigentlich, um uns vor totaler Überwachung zu schützen?

Datenschutz-Unterweisung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Bayerisches Landesamt für Datenschutzaufsicht

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Gründe für ein Verfahrensverzeichnis

Gesetzliche Grundlagen des Datenschutzes

Checkliste «Datenbekanntgabe»

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Secorvo. Partner und Unterstützer

Grundlagen des Datenschutzes und der IT-Sicherheit (11) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

IMI datenschutzgerecht nutzen!

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1b) Vorlesung im Sommersemester 2015 an der Universität Ulm von Bernhard C.

Big Data, Amtliche Statistik und der Datenschutz

Der Schutz von Patientendaten

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

INFORMATIONS- UND DATENSCHUTZRECHT

Datenschutz im E-Commerce

Einführung in den Datenschutz

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Firmeninformation zum Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

- Datenschutz im Unternehmen -

Hinweise zum Erstellen eines Verfahrensverzeichnisses

FachInfo Dezember 2012

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

GDD-Erfa-Kreis Berlin

BDSG - Interpretation

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Datenschutz bei Rechtsanwälten

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Guter Datenschutz schafft Vertrauen

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Qualitätskriterien patientenorientierter Forschung: Der rechtliche Rahmen im Spannungsfeld von Datenschutz und Wissenschaftsfreiheit

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz im E-Learning Sektor. Ingrid Pahlen-Brandt Behördliche Datenschutzbeauftragte an der Freien Universität Berlin GML 2009, 13.

Datenschutz im Arbeitsverhältnis

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom : BDSG (1)

Der betriebliche Datenschutzbeauftragte

Datenschutzvereinbarung

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Drei Fragen zum Datenschutz im. Nico Reiners

D i e n s t e D r i t t e r a u f We b s i t e s

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz ist Persönlichkeitsschutz

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Einführung in die Datenerfassung und in den Datenschutz

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Facebook und Datenschutz Geht das überhaupt?

Datenschutzbeauftragte

Cloud Computing - und Datenschutz

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Informationsveranstaltung Camping- und Wassersporttourismus

Transkript:

Vorlesung im Sommersemester 2009 an der Universität Ulm von 1. Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche Prinzipien Mehrseitige IT-Sicherheit Technischer Datenschutz Risiko-Management Schwerpunktthema zur Vertiefung Konzeption von IT-Sicherheit Subsidiarität Verbot mit Erlaubnisvorbehalt Zweckbindung Transparenz Vorrang der Direkterhebung Verhältnismäßigkeit Datensparsamkeit Kontrollprinzip vs Lizenzprinzip Betroffenenrechte Abgrenzungen Datenschutzkontrolle 2

Subsidiaritätsprinzip resultierend aus der Normenklarheit: bereichsspezifische Regelungen haben immer Vorrang vor allgemeinen Regelungen fehlende Regelungen des Bereichsrechts werden durch entsprechende Regelungen des Allgemeinrechts aufgefangen gesetzliche Regelungen stehen in Hierarchie zueinander (ggf. dennoch Verbindung verschiedener Rechtsnormen oder gegenseitige Verdrängung), Lücken werden durch Richterrecht geschlossen 3 Subsidiarität: Anzuwendendes Recht 4

Abgrenzung BDSG & LDSGe BDSG: Anwendung für Unternehmen Bundesbehörden Behörden im Wettbewerb LDSGe: Anwendung für Landesbehörden kommunale Behörden keine Anwendung, wenn DV zur ausschließlichen persönlichen bzw. familiären Tätigkeit! Grundsatz: lex specialis hat Vorrang! [ Subsidiarität!] 5 Verbot mit Erlaubnisvorbehalt (1) Grundsatz: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten! Eine Gestattung ist jedoch unter Umständen möglich. 6

Verbot mit Erlaubnisvorbehalt (2) Anforderungen an die Einwilligung: der Betroffene muss frei entscheiden können dem Betroffenen muss vorher der Zweck der geplanten Verarbeitung mitgeteilt werden der Betroffene soll über seine Rechte sowie die Folgen einer Ablehnung aufgeklärt werden die Einwilligung soll schriftlich erfolgen 7 Verbot mit Erlaubnisvorbehalt (3) Öffentliche Quellen: Adress- und Telefonbücher öffentliche Register Veröffentlichungen Internet (sofern nicht passwortgeschützt) Hinweis: bei besonderen Arten personenbezogener Daten (z.b. Religionszugehörigkeit, Gesundheitsdaten) sind Daten nur öffentlich, wenn sie durch den Betroffenen selbst öffentlich gemacht wurden Unzulässig veröffentlichte Daten bleiben unzulässig 8

Verbot mit Erlaubnisvorbehalt (4) Gesetzliche Erlaubnis: entweder im Datenschutzgesetz selbst oder in einer anderen Rechtsvorschrift (Gesetz, Verordnung, Satzung eines autonomen öffentlich-rechtlichen Verbandes mit gesetzlicher Ermächtigung), die verfassungsgemäß (normenklar und verhältnismäßig) ist stellt Regelfall dar! (wg. Verweis auf Vertragsverhältnis bzw. vertragsähnliches Vertrauensverhältnis in 28 BDSG) 9 Prinzip der Zweckbindung Erfordernis der Zweckfestlegung bei der Erhebung Zweck abhängig von geplanter Verwendung Datenschutzrechtlich relevante Verfahren (= festgelegte Art & Weise, wie Tätigkeit / Prozess auszuführen ist) zweckabhängig zweckbezogen verknüpfte Verarbeitungsschritte Verarbeitungsschritte unterliegen Zweckbindung Zweckänderung nur bei berechtigtem Interesse unter Abwägung ( abhängig vom Schutzgrad) teilweise existiert besondere Zweckbindung 10

Prinzip der Transparenz Betroffener muss ihn betreffende Verfahren kennen Anlegen von Verfahrensverzeichnissen Nachvollziehbarkeit durchgeführter Verfahren Information des Betroffenen bei Einwilligung Auskunftsrecht des Betroffenen Benachrichtigungspflicht bei fehlender Direkterhebung es existieren besondere Informationspflichten (z.b. zu Videoüberwachung & Chipkarten) 11 Zum Verfahrensverzeichnis jedes einzelne Verfahren zur Verarbeitung personenbezogener Daten aufzuführen inhaltliche Anforderung aus 4e BDSG (Meldepflicht gegenüber Aufsichtsbehörden, sofern kein Datenschutzbeauftragter bestellt wurde) Einsichtsrecht für Jedermann Unterteilung in öffentlichen Teil und nicht öffentlichen Teil der nicht öffentliche Teil unterscheidet sich bei nicht-öffentlichen Stellen (BDSG) von öffentlichen Stellen (jeweiliges LDSG bzw. BDSG) eine fundierte Datenschutzkontrolle erfordert detailliertere Angaben, als das Gesetz vorschreibt (Grund für Beschränkung: Betriebsgeheimnisse und Technikoffenheit!) 12

Vorrang der Direkterhebung damit Betroffener Datenerhebung im Sinne des informationellen Selbstbestimmungsrechts beeinflussen kann Transparenz am höchsten bei Direkterhebung Ausnahmen nur zulässig, wenn Daten bereits von Betroffenem veröffentlicht wurden oder aufgrund gesetzlicher Vorschriften einsehbar/nutzbar sind (z.b. öffentliche Register) Schriftform der Einwilligung zur normenklaren Willenserklärung ( bei konkludenter Einwilligung auf Umstand abzielen) Koppelungsverbot & Freiwilligkeit bei Einwilligung 13 Verhältnismäßigkeitsprinzip (1) Abstufung zwischen erforderlich (um Aufgaben rechtmäßig, vollständig & in angemessener Zeit erfüllen zu können) und zwingend (unerlässlich für Aufgabenerfüllung) maßgeblich ist der Einzelfall geringerer Eingriff ins inf. Selbstbestimmungsrecht vorrangig (z.b. mittels Anonymisierung) Autom. Verarbeitung nach Treu und Glauben Beachtung von Schutzgraden & technischem / organisatorischem Ausgleich (Zumutbarkeit) öffentliche Stelle restriktiver als nicht-öffentliche (da Abwehrrecht statt mittelbarer Wirkung) 14

Verhältnismäßigkeitsprinzip (2) 15 Prinzip der Datensparsamkeit (1) Anforderung zur Gestaltung der eingesetzten IT- Systeme Verbot unnötiger Vorratsdatenhaltung Vermeidung des Personenbezugs, sofern dieser nicht unbedingt erforderlich ist Verwendung datenschutzfreundlicher Techniken Ermöglichung anonymer und unbeobachteter Nutzung von Telemedien 16

Prinzip der Datensparsamkeit (2) 17 Kontrollprinzip vs Lizenzprinzip Kontrollprinzip: Grundsätzliche Erlaubnis Einschränkung durch Normen Tätigkeit nur im Rahmen geltender Normen Kontrolle der Konformität mit Normen Lizenzprinzip: Grundsätzliches Verbot Genehmigung auf Antrag mit Auflagen Tätigkeit nur im Rahmen der Genehmigung Kontrolle der Einhaltung der Auflagen 18

Weitere Regelungen zum Datenschutzrecht Gewährleistung der Betroffenenrechte Abgrenzungen: Übermitteln vs Nutzen Auftragsdatenverarbeitung vs Funktionsübertragung DV-Durchführende auf Datengeheimnis verpflichtet [ohne Folie] Datenschutzkontrolle: Selbstkontrolle durch Betroffene Eigenkontrolle durch Datenschutzbeauftragte Fremdkontrolle durch Aufsichtsbehörde 19 Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung unrichtiger personenbezogener Daten, auf Löschung unzulässiger personenbezogener Daten oder auf Sperrung nicht mehr benötigter personbezogener Daten Recht auf Anrufung des zuständigen Datenschutzbeauftragten Recht auf Schadensersatz bei schweren Verstößen Niemand darf wegen der Geltendmachung seiner Rechte benachteiligt werden! 20

Übermitteln vs Nutzen (1) Übermittlung: Transfer an oder Kenntnisnahme bzw. Abruf durch Dritten, also außerhalb der verantwortlichen Stelle ( 3 Abs. 4 Nr. 3 BDSG i.v.m. 3 Abs. 8 Satz 2 BDSG) Nutzung: Kenntnisnahme oder Verwendung (ohne Veränderung, Speicherung oder Übermittlung), also z.b. Auswertung, innerhalb der gleichen verantwortlichen Stelle ( 3 Abs. 5 BDSG) 21 Übermitteln vs Nutzen (2) Übermittlung: Datenweitergabe an verbundene, aber eigenständige Unter- nehmen ( 3 Abs. 4 BDSG i.v.m. 3 Abs. 7 und 8 BDSG) Auftragsdatenverarbeitung außerhalb der EU ( 11 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) Nutzung: Auskunftserteilung an Betroffenen ( 19 und 34 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) Transfer an Auftragnehmer innerhalb EU ( 11 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) 22

Übermitteln vs Nutzen (3) Übermittlung: Verfügungsgewalt über weitergegebene Daten liegt bei neuer verantwortlicher Stelle! Nutzung: Verfügungsgewalt über weitergegebene Daten liegt weiterhin bei alter verantwortlicher Stelle! 23 Auftragsdatenverarbeitung vs Funktionsübertragung 24

Der Datenschutzbeauftragte (1) Aufgaben von Datenschutzbeauftragten: Hinwirken auf die Einhaltung datenschutzrechtlicher Vorschriften datenschutzrechtliche und -technische Überwachung der automatisierten Datenverarbeitung, mit der personenbezogene Daten verarbeitet werden datenschutzrechtliche Schulung der Personen, die personenbezogene Daten verarbeiten & Verpflichtung dieser auf das Datengeheimnis (IT, Personalabteilung, Poststelle, Empfang, Betriebsdatenerfassung, ggf. Vertrieb) Mitwirkung bei Abschluss von Verträgen, Betriebsvereinbarungen, Policies und Dienstanweisungen Ansprechpartner für Betroffene ( Prüfung von Beschwerden) Durchführung der Vorabkontrolle bei besonders riskanten automatisierten Verarbeitungen 25 Der Datenschutzbeauftragte (2) Anforderungen an Datenschutzbeauftragte: Fachkunde: Datenschutzrecht, Datenverarbeitung, betriebliche Organisation, Didaktik, Psychologie [Urteil des LG Ulm, 1990] Zuverlässigkeit: Verschwiegenheit, ohne Interessenkonflikte, charakterliche Eignung nur natürliche Person kann bestellt werden Absicherung des Datenschutzbeauftragten: unmittelbar der Geschäftsführung unterstellt Weisungsfreiheit Benachteiligungsverbot Kündigungsschutz Unterstützung durch Unternehmen 26

Der Datenschutzbeauftragte (3) Typische Tätigkeiten eines Datenschutzbeauftragten: Recherchen zur aktuellen Rechtslage (Auswertung aktueller Urteile) Lesen & Auswerten zahlreicher & umfangreicher Fachartikel & Fachliteratur Vorbereitung von & Teilnahme an & Protokollierung der Meetings (Geschäftsführung, IT-Leitung, Fachverantwortliche) Erstellung von Stellungnahmen & Verfahrensverzeichnissen Durchführung & Dokumentation von Vor-Ort-Kontrollen & Vertragskontrollen (u.a. zur Abgrenzung einer Auftrags-DV) Durchführung von Vorabkontrollen bei kritischen DV Erstellung & Begutachtung von Sicherheitskonzepten Planung & Durchführung von Mitarbeiterschulungen Gespräche mit Aufsichtsbehörden 27 Der Datenschutzbeauftragte (4) Unerfreuliche Erfahrungen eines Datenschutzbeauftragten: komplexe Materie erfordert permanente Erneuerung der Informationsbasis verspätete Information hat Mehrarbeit & Mehrkosten zur Folge Buhmann bei Verlangsamung einer schönen neuen Welt Feststellung von Fehlverhalten wichtiger Mitarbeiter & strukturellen Defiziten festgestellte Datenschutzverstöße teilweise Kündigungsgrund von Mitarbeitern Durchsicht von Festplatten mit (Kinder-) Pornographie Anrufung mit Ziel der Verhinderung arbeitsrechtlicher Aufklärung 28

Checks & Balances bei der Datenschutzkontrolle 29 Unterschiede zwischen DSB & IT-Sicherheitsbeauftragter 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback