Harmonisierte Instrumente und Standards für Datenschutzkontrollen und Ermittlungsmethoden Die Situation in Deutschland Dr. Thilo Weichert Leiter des ULD Schleswig-Holstein Konferenz der Datenschutzbeauftragten in föderalen Staaten Berlin, Freitag 20. März 2009 Relevante Aspekte für Datenschutzstandards Zuständigkeit für Gesetzgebung Zuständigkeit für Verwaltung Zuständigkeit für Datenschutz Kooperationsformen bei der Datenschutzaufsicht Handlungsformen der Datenschutzaufsicht Kontrolldilemmas Vorteile dezentralen Vorgehens Notwendigkeit zentralisierten Vorgehens Notwendigkeit der Standardisierung Problemlösungen Inhalt
Relevante Aspekte für Datenschutzstandards Föderale Polizeikooperation und Datenschutz siehe https:///vortraege/050915_wei chert_polizeikooperation.htm Gesetzliche Normen Datenschutzkultur Datenschutzmanagement in verarbeitenden Stellen Datenschutzaufsicht und -kontrolle Rechtsprechung Zuständigkeit für Gesetzgebung Bund Wirtschaft, Bundesbehörden, Post, Telekommunikation, Strafverfolgung, Abwehr Terrorgefahren, Grenzkontrollen, Bundesgeheimdienste, Ausländer- und Asylrecht, Sozialrecht u.a. Länder Datenschutz bei Kommunen und Landesbehörden, Gefahrenabwehr, Geheimdienste der Länder (Verfassungsschutz), Gesundheit, Schule u.a.
Zuständigkeit für Verwaltung Bund Bundespolizei, Bundeskriminalamt, Generalbundesanwaltschaft, Bundesausländerbehörden (v.a. BAMF), Bundesgeheimdienste (BND, MAD, BfV), Arbeitsverwaltung u.a. Länder Justizverwaltung, Landespolizei, Ausländerbehörden Landesverfassungsschutz, Sozialbehörden, Bildung, u.a. > Gesetzgebungs- und Verwaltungszuständigkeit fallen auseinander, Bund erlässt Gesetze für Landesbehörden Zuständigkeit für Datenschutz Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) Bundesbehörden, Post, Telekommunikation Länder Landesbehörden, Kommunen, Wirtschaft, Telemedien Trennung bei Ländern: öffentl. Bereich Landesbeauftragte f. Datenschutz (LfD) nicht-öffentlicher Bereich Aufsichtsbehörden Aufsichtsbehörden: im Norden LfDs, im Süden Innenverwaltungen
Kooperationsformen bei Datenschutzaufsicht Öffentlicher Bereich: Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSB-K) mit Arbeitskreisen (z.b. Sicherheit, Justiz, Telemedien, Gesundheit+Soziales) Nicht-öffentlicher Bereich: Düsseldorfer Kreis (DK) mit Arbeitsgruppen (z.b. Kreditwirtschaft, Auskunfteien, Versicherungen, Telemedien, Internationales zusätzlich Konferenz der Informationsfreiheitsbeauftragten (IFK) mit Arbeitskreis (AKIF) Handlungsformen der Datenschutzaufsicht Repression Bearbeitung von Petitionen, Ermittlungen u. Sanktionen Systematische Prüfungen u. Sanktionen (v.a. Beanstandungen) Veröffentlichung von Verstößen Prävention Beratung, Ausbildung, Gutachten Gütesiegel, Audit (Zertifizierung v. Produkte, Verfahren) Öffentlichkeitsarbeit (Presse, Tätigkeitsbericht)
Kontrolldilemmata Kontrollen sind aufwändig bei knappen Ressourcen (Unterstützung von Betroffenen, Presse, Mitarbeiter als Anregung und Korrektiv wichtig) Wenig formalisierte Sanktionsmöglichkeiten (im öffentlichen Bereich v.a. Beanstandung) Kontrollen treffen Einzelfälle, nicht Gesetze u. Strukturen Datenschutzverstöße erfolgen zumeist fahrlässig bzw. strukturbedingt > Fortbildung, Strukturveränderung > Prävention wichtiger als Kontrollen > Kontrollen u. Sanktionen dienen v.a. Skandalisierung (Generalprävention, Öffentlichkeitsarbeit) Vorteile dezentralen Vorgehens Diversifizierte strategische Ansätze bzgl. Methoden, Fragestellungen, Verarbeitungsformen, verantwortlichen Stellen) Räumliche Nähe zu Stellen, Betroffenen, Medien Konkurrenz belebt das Geschäft Verschiedene Schwerpunktsetzung und Kompetenz bei Aufsicht mit Arbeitsteilung Dezentrale Werbung für Ressourcen
Notwendigkeit zentralisierten Vorgehens Einheitliche datenschutzfreundliche Rechtsauslegung Einheitliche Sicherheitsstandards Qualifizierter umfassender Informationsaustausch > Koordination und Kooperation besser als Direktion E-Mail-Listen, Verteiler, virtuelles Datenschutzbüro Informelle Institutionen (DSK-K, DK mit AKs und AGs) Enge operationelle Zusammenarbeit bei zentralem Problem u. dezentraler Verantwortung (Bspl. Lidl) Schwerpunktaufsichtsbehörden bei zentralem Problem und geringen Verstößen (Bspl. Illegaler Datenhandel, Internet) Notwendigkeit der Standardisierung Best Practice besser als verbindliche Vorgaben Zentrale technische Standardisierung (Mindeststandards) über nationale Stellen möglich (z.b. BSI-Grundschutz- Handbuch) falscher Ansatz: paritätische Gremien (so DSAuditG-E) Einflussnahme von nationale Gesetzgebung
Problemlösungen Einheitliche unabhängige Datenschutzkontrolle in den Ländern (öffentl. + nichtöffentl. Bereich, IFG) Zusammenlegung von kleinen DS-Behörden Industrialisierung von Beschwerdeverfahren Verbesserung der Ressourcen Ergänzung der Kontrollen durch präventive Instrumente Verstärkte Ausrichtung auf technischen Datenschutz Harmonisierte Standards für Datenschutz in Deutschland Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - ULD Holstenstr. 98, 24103 Kiel Tel. 0431 988-1200, Fax -1223 mail@datenschutzzentrum.de https://