Erfahrungsaustausch der betrieblichen Datenschutzbeauftragten. Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen

Ähnliche Dokumente
Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf die Kirche. Jupp Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen

12. Fachtag IV / IT des BeB - Datenschutz Fragestellungen aus dem tatsächlichen IT-Leben

EU-DatenschutzGrundverordnung. in der Praxis

Beschreibung zur sicheren -Kommunikation mit der IFB Hamburg

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Datenschutzerklärung der Perfekt Finanzservice GmbH

Geschäftsordnungsmuster 2014

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Gesetzgebung zum Internetrecht

Bitte haben Sie Verständnis dafür, dass wir auch über die gesicherte kommunikation grundsätzlich keine Kundenaufträge entgegennehmen können.

Kundeninformation für den sicheren -Verkehr mit Ihrer Sparkasse Grünberg

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Rechtliche Aspekte bei der Nutzung von Social Media

Helmut Kleinschmidt. Pflicht ab

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Erfassen von personenbezogenen Daten

Datenschutzerklärung. Datenschutz

Schleswig-Holstein Der echte Norden. 31. Januar 2017 Dataport Bildungstag

(Text von Bedeutung für den EWR)

1232/J XXIII. GP. Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

verschlüsselung "Secure Mail Aargau"

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Tagung zum Einheitspatent und Einheitlichen Patentgericht im europäischen Integrationsprozess aus verfassungsrechtlicher, wissenschaftlicher und

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Umgang mit mobilen IT Geräten

Das Tablet mit Android 6.x. Kommunikation & Organisation Fotos, Videos & Medien. Markus Krimm. 1. Ausgabe, Juli 2016 ISBN

Artikel 12 VO (EG) Nr. 883/2004

Die Delegationen erhalten in der Anlage das Kommissionsdokument - D007617/03.

In 1 Sekunde rund um die Welt. Regine Bolter, Patrick Ritschel

Konzepte der Selbstkontrolle der Industrie

SOZIALE MEDIEN IM UNTERNEHMEN NUTZEN ABER SICHER! LERNEINHEIT 6

Datenschutz in der Bildung

Datenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO

Sichere Nutzung

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutzerklärung und Informationen zum Datenschutz

Steffen Wolf Referat II 4 - Technischer Verbraucherschutz, Marktaufsicht

Mecklenburg-Vorpommern: Das Dienstleistungsportal

Computeria Kurs vom

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Datenschutzhinweis Datenschutz bei NETTO Reifen-Räder-Discount Erhebung und Verarbeitung persönlicher Daten

Der Nationale Normenkontrollrat hat den Regelungsentwurf geprüft.

WhatsApp & Co. Datenschutz bei Smartphone- Messengern LEONHARD WEITZ DATENSCHUTZRECHT WS

s versenden aber sicher! Kundeninformation zu Secure

Checkliste zum Datenschutz in Kirchengemeinden

D für Kommunen und Behörden -Sparpotenzial und Nutzen- -Sparpotential und Nutzen-

Datenschutz im Web

Allgemeine Verwaltungsvorschrift der Bundesregierung

Kunden finden - Kunden binden über Mail, Newsletter, Facebook & Co

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

I. ALLGEMEINE BESTIMMUNGEN. Art. 1 Nutzungspflicht. Art. 2 Gegenstand. Art. 3 Zugriffsberechtigung. Art. 4 Legitimationsmerkmale. Vom Regl.

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

MAR-Leitlinien Aufschub der Offenlegung von Insiderinformationen

Der Nachdruck und die Auswertung von Pressemitteilungen bzw. Reden sind mit Quellenangabe allgemein gestattet.

Online-Marketing Praxistag 2016

Datenschutz im Pfarrbüro

Bedingungen und Hinweise zur Nutzung des Internetzuganges in den Wohnanlagen des Studentenwerkes Leipzig

Wenn Sie unsere Webseiten besuchen, speichert unser Webserver, sofern Sie nicht widersprechen, standardisiert folgende Angaben:

Mülheim an der Ruhr, Laufende Nummer: 11/2012

Anwendung des Datenschutzgesetzes in der BRD

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz

Pretty Good Privacy (PGP)

Kirchlicher Datenschutz

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Rechtspolitische Thesen zur Reform des Arbeitnehmerdatenschutzes

Aktuelle Herausforderungen im Datenschutz

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Cloud und Datenschutz

B E R I C H T D E S K R E I S A U S S C H U S S E S

Mehr Verschlüsselung im Unternehmen? Ein Jahr nach Snowden noch ist viel zu tun

Datenschutzerklärung der Gütermann GmbH

Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung DSVO)

DATENSCHUTZ & WERBUNG

Bayerisches Landesamt für Datenschutzaufsicht

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

NACHRICHTEN FÜR LUFTFAHRER

1 Gewinnspiel. 2 Teilnehmer

Einsatz von Sozialen Netzwerken an Schulen

«/IE Cache & Cookies» Umfrage startet nicht?

Datenschutzrichtlinie für die Plattform FINPOINT

Deutsche Mailanbieter sichern Daten ihrer Kunden besser

24. Februar 2014, Bonn 27. August 2014, Berlin

Rat der Europäischen Union Brüssel, den 30. Oktober 2015 (OR. en)

Thema Kategorie Fernlehrgang möglich Inhouse im Schulungscenter möglich Expertenstandard: Entlassungsmanagement

DIE KRAFT DER ZEHN FAKTEN ZUM DEUTSCHEN -MARKT

Allgemeine Geschäftsbedingungen

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

RAT DER (26.01) EUROPÄISCHEN UNION (OR.

D Mythen und Tatsachen

Gesetzliche Rahmenbedingungen der Telemedizin in Deutschland

Vergaben unterhalb der EU- Schwellenwerte Wie wirken sich die Neuerungen aus?

Zur Anwendbarkeit des Bundesdatenschutzgesetzes auf Internet-Diensteanbieter

24. Februar 2014, Bonn

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Transkript:

Erfahrungsaustausch der betrieblichen Datenschutzbeauftragten Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen

Hauptthemen Die neueste Rechtsentwicklung Das neue KDG Die gerichtliche Verfahrensordnung Was ändert sich in der Praxis? Kommunikation per E-Mail per Messenger Ergebnisse der Datenschutzaufsichtstätigkeit (Mayinger) Hinweise zur datenschutzgerechten Handhabung privater Konten bei sozialen Medien. 11.07.2017 Datenschutz in Schulen 2

Europäische Union Die Europäische Union hatte bisher eine Datenschutzrichtlinie von 1995. Sie war nicht unmittelbar geltendes Recht, sondern verpflichtete nur die Mitgliedsstaaten, richtlinienkonformes Recht zu erlassen. Für Deutschland war das ohne Bedeutung, weil das deutsche Recht erheblich weiter ging als die Richtlinie. Die EU erließ aber 2016 schon eine Datenschutzverordnung, die am 25.5.2018 in Kraft treten soll. Sie ist dann unmittelbar geltendes Recht. In ihren Regelungen geht sie teilweise über das deutsche Recht hinaus, teilweise bleibt sie zurück. Die Gründe dafür: Immer mehr Angreifer wollen möglichst unerkannt an die Daten der Bürger. 11.07.2017 Datenschutz in Schulen 3

Facebook (What s App), Twitter, Google (Youtube) Payback- Systeme oder Kundenkarten -Betreiber Schon vorhandene Vertragspartner des Kunden wie z.b. Kabelversorger, Telefonanbieter, Energieversorger Alle wollen an meine Daten! Legale Angreifer wie z.b. Preisausschreiben oder Antwort auf Werbebriefe Illegale Angreifer (Adresshandel, Phishing) 11.07.2017 Datenschutz in Schulen 4

Warum wollen die Unternehmen eigentlich an die Daten der Bürger? Die Daten sind unmittelbar etwas wert: Ein Datensatz kann für (geschätzt) 0,60 auf dem grauen Markt zu Werbezwecken verkauft werden. Für manche Unternehmen ist der Wert noch höher: Beispiel REWE-Payback. Mit diesem und ähnlichen Systemen wird eine ziemlich sichere Aussage darüber, was Frau Mayer an einem Mittwochvormittag in ihrem örtlichen Laden kaufen wird, ermöglicht und damit eine wettbewerbssichere kostengünstigere Lagerhaltung ermöglicht. 11.07.2017 Datenschutz in Schulen 5

Datenschutzebenen bis 25.5.2018 Richtlinie BDSG Bundes- und teilweise Landesbehörden sowie nicht-öffentliche Stellen Landesdatenschutzgesetze Landesbehörden Art. 137 WRV Kirchen 11.07.2017 Datenschutz in Schulen 6

Die Rechtslage nach Inkrafttreten der VO 25.5.2018 BDSG nur, soweit in der VO vorbehalten Verordnung Art. 137 WRV, 140 GG Behörden und nicht-öffentliche Stellen Die Kirchen behalten ihr eigenes Datenschutzrecht 11.07.2017 Datenschutz in Schulen 7

Datenschutzrecht der Kirchen Es besteht kirchliche Selbstverwaltungsfreiheit, Art. 137 WRV i.v.m. 140 GG Das BDSG ist in seinen Abschnitten 2 und 3 auf die Kirchen (auch bei privatrechtlichen Organisationsformen wie der Caritas) nicht direkt anwendbar. Die Kirchen behalten nach Art. 91 EU-VO ihre Datenschutz-Selbstverwaltung, sofern zum Zeitpunkt des Inkrafttretens am 25.5.2018 eine gleichwertige kirchliche Regelung vorliegt. Daran arbeiteten die zuständigen Gremien schon: Die KDO wird sich also noch ganz erheblich ändern. 11.07.2017 Datenschutz in Schulen 8

EU-Datenschutz-Grundverordnung Nach Art. 91 diese Verordnung muss das kirchliche Datenschutzrecht mit demjenigen der Europäischen Union in Einklang stehen, d.h. es muss gleichwertig sein. Dies erfordert eine ganz erhebliche Anpassungsarbeit, welche sich gegenwärtig auf ihre letzte Phase hin zubewegt. Es liegt ein Entwurf der Arbeitsgruppe Datenschutz und Melderecht vor, der noch ein letztes Mal von den kirchlichen Stellen diskutiert werden muss. 11.07.2017 Datenschutz in Schulen 9

Wesentliche Änderungen im Hinblick auf den betrieblichen Datenschutzbeauftragten In der verfassten Kirche wird sicher keine Mindestzahl der Beschäftigten mehr festgelegt, ab der ein betrieblicher Datenschutzbeauftragter vorhanden sein muss. Es muss ihn künftig immer geben. Festgeschrieben wird, dass der betriebliche Datenschutzbeauftragte seine Dienststelle berät. Eine Haftung lässt sich daraus nicht ableiten. Wer betrieblicher Datenschutzbeauftragter ist, muss bis zum 25. Mai 2018 dem Diözesandatenschutzbeauftragten mitgeteilt werden. Auch die Veröffentlichung des Namens zum Beispiel auf der Webseite wird zum Erfordernis. 11.07.2017 Datenschutz in Schulen 10

Gerichtliche Überprüfung der Entscheidungen des Diözesandatenschutzbeauftragten Die EU-DS-GVO verlangt einen Rechtsweg gegen Entscheidungen des Diözesandatenschutzbeauftragten. Dieser findet sich nun im Entwurf einer Datenschutz- Gerichtsordnung. Das Datenschutzgericht wird beim VDD angesiedelt, bietet zwei Instanzen und hat seinen Sitz in Bonn. Die Ordensgemeinschaften sind teilnahmeberechtigt. Entscheidungen des Datenschutzgerichts binden dem Grunde nach die staatlichen Zivilgerichte in Fragen des Schadensersatzes. 11.07.2017 Erfahrungsaustausch 13.7.2017 11

Elektronische Kommunikation Teil 1: E-Mails Wie sicher ist der E-Mail-Verkehr? Im Ergebnis kann an jedem Punkt die unberechtigte Kenntnisnahme erfolgen. Merksatz: Das normale E-Mail entspricht der Postkarte, nur das verschlüsselte dem Brief. 11.07.2017 Erfahrungsaustausch 2017 12

Wo können E-Mails unberechtigt mitgelesen werden? Zugriff auf Sender/ Empfängersystem Zugriff auf Mailserver, die zwischen Sender und Empfänger liegen Zugriff auf beliebige Netzwerkknoten (Router/ Switches) + unverschlüsselte Übertragung auf dem Streckenabschnitt Zugriff auf Netzwerkkabel + unverschlüsselte Übertragung zwischen Sender und Mailserver des Senders Zugriff auf Netzwerkkabel + unverschlüsselte Übertragung zwischen unterschiedlichen Mailservern Zugriff auf Netzwerkkabel + unverschlüsselte Übertragung zwischen Mailserver des Empfängers und Empfänger 11.07.2017 Datenschutz in Schulen 13

Gegenmaßnahmen und Sicherungen: Der E-Mail-Verkehr zwischen kirchlichen Dienststellen in Bayern ist sicher genug: Dienststelle 1 Hier arbeiten kirchliche (verpflichtete) Personen. Rechenzentrum Eichstätt Dienststelle 2 11.07.2017 Datenschutz in Schulen 14

Gegenmaßnahmen und Sicherungen: Der E-Mail-Verkehr zwischen kirchlichen Dienststellen in Deutschland ist dann sicher genug, wenn nur kirchliche Rechenzentren eingeschaltet sind. Dienststelle 1 Hier arbeiten kirchliche (verpflichtete) Personen. Rechenzentrum Essen Dienststelle 2 11.07.2017 Datenschutz in Schulen 15

Gegenmaßnahmen und Sicherungen: Eine Privatperson kann sich direkt auf den Webserver einer Dienststelle einloggen und von dort ein E-Mail an den Sachbearbeiter verschicken: Privatperson Server der Dienststelle Sachbearbeiter in der Dienststelle 11.07.2017 Datenschutz in Schulen 16

Gegenmaßnahmen und Sicherungen: Das Idgard -Prinzip: Der E-Mail-Verkehr zwischen kirchlichen (staatlichen, unternehmerischen) Dienststellen mit (beliebig vielen privaten) Teilnehmern wird über ein virtuelles privates Netzwerk abgewickelt: P1 P2 P3 P4 Dienststelle P6 P5 P7 11.07.2017 Datenschutz in Schulen

Gegenmaßnahmen und Sicherungen: Punkt-zu-Punkt-Verschlüsselung: Dienststelle 1 sendet verschlüsseltes E-Mail unter Verwendung des öffentlichen Schlüssels des Empfängers Hat auch einen privaten Schlüssel Provider Dienststelle 2 11.07.2017 Datenschutz in Schulen 18

Beispiel der Gothaer Versicherung 11.07.2017 Erfahrungsaustausch 13.7.2017 19

Zusammenfassung und Beschluss der deutschen Diözesandatenschutzbeauftragten E-Mails, die dienstliche personenbezogene Daten enthalten, dürfen künftig nur verschickt werden wenn zwischen Absender und Empfänger nur kirchliche Rechner vorhanden sind oder wenn ein virtuelles privates Netzwerk einen Zugriff Dritter sicher ausschließt oder wenn die E-Mails sicher verschlüsselt sind. E-Mails, die dienstliche personenbezogene Daten im Sinne des 2 Abs. 10 KDO (besondere personenbezogene Daten) enthalten, dürfen künftig gar nicht verschickt werden. 11.07.2017 Erfahrungsaustausch 13.7.2017 20

Elektronische Kommunikation Teil 2: Messenger Ein Messenger ist eine Computeranwendung, die eine unmittelbare Kontaktaufnahme mit anderen im Internet eingeloggten Nutzern über Schrift, Sprache, Bildversendung oder sonstigen Digitalverkehr ermöglicht. Ausgangspunkt war der Windows Live Messenger, der vom Internet-Explorer unterstützt wurde, aber inzwischen kaum noch installiert ist. Der bisher erfolgreichste Messenger ist What s App mit ca. 1 Mrd. Nutzer. 11.07.2017 Erfahrungsaustausch 2017 21

What s App ist Teil des sozialen Mediums Facebook und tauscht mit Facebook auch ungefragt Nutzerdaten aus. Weitere Probleme: Physikalische Datenspeicherung außerhalb des EWR Undurchsichtige Datenschutzbestimmungen Verkauf von Nutzerdaten mehrfach nachgewiesen aber: Telefonfunktion und Verschlüsselung Beschluss der Diözesandatenschutzbeauftragten- Konferenz am 3.5.2017: Die Nutzung dienstlicher Daten mit What s App ist bundesweit untersagt. 11.07.2017 Erfahrungsaustausch 13.7.2017 22

Alternative Messenger s. zunächst die Zusammenstellung unter https://de.wikipedia.org/wiki/liste_von_mobilen_instant- Messengern Threema gilt als sicherer Messenger und unterliegt dem relativ strikten Schweizer Recht; Datenspeicherung in der Schweiz und damit im Gebiet des EWR, Verschlüsselung, Preis 0,99 Free Message (kostenlos), wird von United Internet vertrieben (1und1, GMX, Web.de), Verschlüsselung, Datenspeicherung in Deutschland. 11.07.2017 Erfahrungsaustausch 13.7.2017 23