Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband
Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können orts- und zeitunabhängig unbegrenzt zusammengeführt werden Gefahrenpotential: Verfälschung Zerstörung Nutzung durch Unberechtigte
Haftung In Unternehmen haftet die Geschäftsleitung persönlich für Schäden, die durch fahrlässigen oder missbräuchlichen Umgang mit Daten entstehen, und auch der fahrlässige Umgang mit personenbezogenen Daten kann weit reichende Konsequenzen nach sich ziehen.
Datenschut z Personen sollen vor dem Missbrauch ihrer Daten geschützt werden nicht die Daten stehen im Vordergrund, sondern die Personen, über die Informationen bzw. Daten verarbeitet werden dient dem Schutz der Privatsphäre jedes Einzelnen, wird auch als Recht auf informationelle Selbstbestimmung bezeichnet Grundlage für ordnungsgemäße Erhebung, Sammlung und Verwendung personenbezogener Daten: EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) Bundesdatenschutzgesetz Landesdatenschutzgesetz
Datensicherheit Schutz der Daten vor Verlust Verfälschung Beschädigung oder Löschung organisatorischen Maßnahmen regelmäßige Backups Zugangskontrollen Schutzsoftware gegen Schadprogramme beinhaltet Vorkehrungen zur: Vermeidung von Schäden technische Maßnahmen gegen physische Zerstörung der Datenträger Notstromversorgung Brandschutzkonzept Wiederherstellung im Schadensfall
Unterschied Datenschutz und Datensicherheit Datenschutz Schützt die Person vor dem Missbrauch ihrer Daten Datensicherheit Schützt Hardware, Software und Daten jeder Art Ausreichende Datensicherheit ist wichtige Voraussetzung für effektiven Datenschutz. Ohne geeignete Schutzmaßnahmen können vertrauliche oder personenbezogene Daten leicht in unbefugte Hände gelangen. Kein Datenschutz ohne Datensicherheit
Daten Datensicherheit Fachverband Datenschutz und Datensicherheit Maßnahmen Datenschutz Datenschutz umfasst neben Datensicherheit weitere Maßnahmen Datensicherheit umfasst noch weitere Daten
Grundlegende Prinzipien des Datenschutzes Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG) das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten außer der Betroffene hat seine Einwilligung erklärt oder eine ausdrückliche gesetzliche Regelung, insb. 28 BDSG, enthält eine Erlaubnis oder sogar eine Anordnung dazu vom Bundesverfassungsgericht im sog. Volkszählungsurteil geprägt Im sog. Volkszählungsurteil vom 15.12.1983 hat das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts gem. Art. 2 Abs.1 und Art. 1 Abs. 1 (Schutz der Menschenwürde) des Grundgesetzes entwickelt.
Grundlegende Prinzipien des Datenschutzes Direkterhebung die Erhebung von personenbezogenen Daten soll, wenn möglich, direkt beim Betroffenen erfolgen Ausnahmen: z.b. ein Gesetz regelt die Erhebung Erhebung beim Betroffenen selbst ist unverhältnismäßig aufwändig allgemein zugängliche Quellen Datensparsamkeit Daten sollen nur solange gespeichert bleiben, wie dies erforderlich ist Als äußerste Grenze sind die gesetzlichen Speicherfristen zu beachten Datenvermeidbarkeit so wenige Daten wie möglich erheben nur die Daten, die für die Zweckerfüllung unbedingt notwendig sind
Grundlegende Prinzipien des Datenschutzes Erforderlichkeit grundsätzlich ist etwas nur dann erforderlich, wenn es zur Zweckerreichung das mildeste Mittel ist Zweckbindung erhobene Daten dürfen nur zu dem Zweck verarbeitet, genutzt und weitergegeben werden, für den sie erhoben wurden der Zweck sollte schon vor der Verarbeitung festgelegt sein und darf während der Verarbeitung nicht verändert werden wahllos aufgebaute Datensammlungen, unzulässige Verknüpfung von Daten verschiedener Zweckbindung sind nicht zulässig
Grundlegende Prinzipien des Datenschutzes Transparenz heimliche Datenverarbeitung ist generell verboten Hinweispflicht über die Identität der verantwortlichen Stelle Betroffene haben ein umfangreiches Auskunftsrecht, welche Daten über sie zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gespeichert werden Kontrolle Selbstkontrolle Betroffener Eigenkontrolle der Unternehmen, z.b. durch Ernennung eines betrieblichen Datenschutzbeauftragten (empfiehlt sich immer) Fremdkontrolle durch Aufsichtsbehörden
Grundlegende Prinzipien des Datenschutzes Datenschutzrechte des Betroffenen Betroffenen stehen bei jeder Datenerhebung oder Datenspeicherung ein Auskunftsrecht zu, was u.a. einen Anspruch umfasst auf Informationen über die zur Person gespeicherten Daten, Zweck und Rechtsgrundlage zu Erhebung, Verarbeitung und Nutzung der Daten, Herkunft der Daten und Empfänger regelmäßiger Datenübermittlungen Betroffenen steht das Recht zu, bestimmte Daten berichtigen, löschen oder sperren zu lassen
Grundlegende Prinzipien des Datenschutzes Schutzgut Bundesdatenschutzgesetz schützt nur personenbezogene Daten, d.h. Daten, die Rückschlüsse auf eine bestimmte Person zulassen der Umgang mit anonymisierten personenbezogenen Daten ist jederzeit möglich und nicht an die strengen Bestimmungen des BDSG geknüpft (Anonymisieren: Verändern personenbezogener Daten derart, dass Angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig großen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können)
Recht auf informationelle Selbstbestimmung - Überblick jeder muss bestimmen können, wer, was, wann und bei welcher Gelegenheit über ihn weiß jeder muss wissen können, wer, was, wann und bei welcher Gelegenheit über ihn weiß nicht jeder darf alles wissen, was der andere weiß informelle Gewaltenteilung Einschränkungen bedürfen gesetzlicher Grundlagen müssen verhältnismäßig sein
Gefährdung der informationellen Selbstbestimmung automatisierte Datenverarbeitung bietet fast unbegrenzte Möglichkeiten, Informationen zu speichern und zu kombinieren teilweise ohne Wissen des Betroffenen kann auf immer mehr persönliche Daten zurückgegriffen werden in der sozialen Gemeinschaft stehende Personen müssen gewisse Beschränkungen ihrer Selbstbestimmung hinnehmen, wenn ein überwiegendes Allgemeininteresse dies erfordert - z.b. polizeiliche Gefahrenabwehr und Strafverfolgung auch betriebliche Verhaltenskontrolle haben Gefährdungspotential Protokollieren der Zugriffe auf Internetseiten, E-Mail-Verkehr jeden Kundenkontakt mit Stoppuhren erfasst lückenlose GPS-Ortung der Beschäftigten im Außendienst
Verfahrensmäßige Vorkehrungen zum Schutz personenbezogener Daten Datengeheimnis ( 5 BDSG) Verbot der unbefugten Nutzung personenbezogener Daten Verpflichtung auf das Datengeheimnis auch nach Ende der Tätigkeit Automatisierte Abrufverfahren ( 10 BDSG) Zulässigkeit Kontrolle Verantwortung Verantwortung bei Auftragsdatenverarbeitung ( 11 BDSG) Verantwortung des Auftraggebers Rechte und Pflichten des Auftragnehmers Schriftliche Auftragserteilung (Art und Umfang, einzuhaltende organisatorische Maßnahmen)
Datenschutzbeauftragter wirkt in einer Organisation auf die Einhaltung des Datenschutzes hin kann Mitarbeiter dieser Organisation sein oder extern bestellt werden Aufgaben und Tätigkeiten in 4f und 4g des BDSG sowie in entsprechenden landesrechtlichen Vorschriften geregelt muss bestellt werden bei personenbezogener Datenverarbeitung in allen öffentlichen Stellen in nicht-öffentlichen Stellen bei automatisierter Datenverarbeitung mind. 9 Personen bei manueller Datenverarbeitung mind. 20 Personen Persönliche Voraussetzungen Fachkunde Zuverlässigkeit Unabhängigkeit
Datenschutzbeauftragter Aufgaben Sicherstellen, dass BDSG eingehalten wird Auswahl und Schulung der Personen, die mit personenbezogenen Daten arbeiten Prüfung / Überwachung der Anwendungen Führung des Verfahrensverzeichnisses Erteilen datenschutzrechtlicher Freigaben Abberufung wichtige Gründe im Sinne einer fristlosen Kündigung auf Verlangen der Aufsichtsbehörde wg. fehlender Fachkunde und Zuverlässigkeit
Folgen von Datenschutzverletzungen Mitarbeiter Abmahnung, Kündigung Schadenersatz Unternehmer / Unternehmen Imageverlust finanzielle Einbußen infolge Prozesskosten und Schadenersatzforderungen Arbeitsplatzabbau Konkurs
Kontrollinstanzen Interner Datenschutzbeauftragter wirkt auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hin ( 4g I 1 BDSG) Aufsichtsbehörde Datenschutzaufsichtsbehörden überprüfen im Einzelfall die Einhaltung der Datenschutzbestimmungen der nichtöffentlichen Stellen und verlangen gegebenenfalls die Beseitigung festgestellter Mängel Betroffener Datenschutzrechte des Betroffenen Betriebs- / Personalrat Schnittstellen zu Datenschutzbeauftragten z.b. die Erstellung von Betriebsvereinbarungen
Vielen Dank für Ihre Aufmerksamkeit! Petra Schulze Fachverband Baden- Württemberg Tel.: 0711/95590666 Fax: 0711/551875 E-Mail: Petra.Schulze@fv-eit-bw.de