und der IT-Sicherheit (2) Vorlesung im Sommersemester 2006 an der Universität Ulm von Ergebnis der Einordnung (Wdh) durchgängige Verwendung einheitlicher Definitionen Besonderheiten der Information als Rohstoff berücksichtigen informationstechnische Fortentwicklung erfordert technisches Grundverständnis gesellschaftliche Werte für Handlung maßgeblich Normen sind das Ergebnis staatlicher Gewalt Verantwortung durch Ausrichtung auf Permanenz menschlichen Lebens 2
Überblick zum Datenschutz 3 Geschichte des Datenschutzes: 7 Schutzziele 4
Datenschutz als Abwehrrecht (1) Ausgleich des Ungleichgewichtes Schutz vor Missbrauch (Ende 60er) Kontrolle durch Datenschutzbeauftragte! 5 Datenschutz als Abwehrrecht (2) im Zuge der 1. Rasterfahndung Schutz vor falschen Wirklichkeitsmodellen (Ende 70er) Merkmal 1: A B D G H Merkmal 2: A C D E H Merkmal 3: B D E F H Person D & H weisen alle 3 Merkmale auf! keine automatisierte Einzelentscheidung! 6
Datenschutz als Abwehrrecht (3) gegen die Sammelwut des Staates Schutz der informationellen Gewaltenteilung (Anfang 80er) personenbezogene Daten anonymisieren! 7 Datenschutz als Abwehrrecht (4) gegen die Vernachlässigung des Alterns von Daten Schutz vor dem Kontextproblem (Ende 80er) Beachtung von Löschungsfristen! 8
Datenschutz als Abwehrrecht (5) gegen den Irrglauben unfehlbarer Software Schutz vor verletzlichen DV-Systemen (Anfang 90er) Regelungen zum Schadensersatz! 9 Datenschutz zur Gestaltung (1) die Verwirklichung eigener Rechte erfordert Zugang zu Informationen Recht auf Information (Ende 90er) Akteneinsichtsrecht! 10
Datenschutz zur Gestaltung (2) an Erfordernissen künftiger Generationen orientieren Nachhaltigkeit (Ende 00er?) Reversibilität von Entscheidungen! Verantwortlichkeit von Handlungen! 11 Ergebnis der 7 Schutzziele Datenschutz hat viele Facetten Datenschutz entstanden als Abwehrrecht gegen übermächtigen Staat Ausrichtung des Datenschutzes verändert sich Datenschutz ist eher Schutz der Informationen über Personen Datenschutz ist Schutz vor unerwünschten Verfahren Informationstechnik beschleunigt Entwicklung des Datenschutzes 12
Rechtsgeschichte: Urteile 1958 BGH: Herrenreiterurteil (Schadensersatz für die Verletzung des Persönlichkeitsrechts) 1969 BVerfG: Mikrozensusbeschluss (Menschen nicht als Sachen behandeln) 1970 BVerfG: Scheidungsaktenbeschluss (unantastbarer Bereich privater Lebensführung) 1973 BVerfG: Lebachurteil (Eingriff ins Persönlichkeitsrecht zeitlich begrenzt) 1983 BVerfG: Volkszählungsurteil (informationelles Selbstbestimmungsrecht) 13 Rechtsgeschichte: Gesetze 1970 Hessen: (erstes!) Datenschutzgesetz 1977 BRD: Bundesdatenschutzgesetz 1978 NRW: Grundrecht auf Datenschutz in Landesverfassung 1980 BRD: Sozialgesetzbuch X 1990 BRD: Bundesdatenschutzgesetz (Version 2) 1995 EU: Datenschutzrichtlinie 1997 BRD: Informations- u. Kommunikationsdienstegesetz 1998 Brandenburg: Akteneinsichts- u. Informationszugangsgesetz 1998 BRD: Großer Lauschangriff 2001 BRD: Bundesdatenschutzgesetz (Version 3) 2002 BRD: Terrorismusbekämpfungsgesetz 2006 BRD: Informationsfreiheitsgesetz 14
Literaturhinweise zur Geschichte 7 Schutzziele des Datenschutzes: Gerhard Kongehl, Warum Datenschutz, warum IT- Sicherheit?, in Gerhard Kongehl (Hrsg), Datenschutz- Management, WRS Verlag, Planegg/München, 2005, 1. Ergänzungslieferung 2006 (mit freundlicher Genehmigung des Autors) Rechtsgeschichte des Datenschutzes: Ralf-Bernd Abel, Geschichte des Datenschutzrechts, in Alexander Roßnagel (Hrsg), Handbuch Datenschutzrecht, Verlag C. H. Beck, München, 2003, S. 194-217 15 Datenschutzrecht (1) 16
Datenschutzrecht (2) Gliederung des 1. Teils: Begriffsbestimmungen anzuwendendes Datenschutzrecht allgemein gültige Regelungen 17 Begriffsbestimmungen (1) Definition 6: Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Hinweise: bestimmbar ist eine Person anhand vorliegender Daten, wenn der Personenbezug ohne unverhältnismäßigen Aufwand an Zeit, Kosten oder Arbeitskraft wieder hergestellt werden kann ( auch IP-Adresse ist personenbezogenes Datum!) es gibt kein belangloses personenbezogenes Datum juristische Personen sind ausgeklammert 18
begriffliche Abgrenzungen Persönliche Daten = Daten über persönliche Verhältnisse: Identifikationsdaten (z.b. Name, Personalnummer) Gesundheitsdaten (z.b. biometrische Daten, Krankheiten) Sozialbezugsdaten (z.b. Familienstand, Beruf, Vorstrafen) Zeiterfassungsdaten (z.b. Arbeitszeiten, Lenkzeiten) Daten über sachliche Verhältnisse einer Person sind dagegen: Daten über Einkommens- und Vermögensverhältnisse Versicherungsdaten Daten über Kundenprofile Beides zusammen sind personenbezogene Daten 19 Begriffsbestimmungen (2) Definition 7: Verantwortliche Stelle Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Hinweise: Kennzeichnend ist, ob die Stelle Herr der Daten ist, also bestimmen kann, welche Daten wie zu verarbeiten sind. Entscheidend ist, wo die Stelle ihren Sitz hat (und nicht auf welchem Gebiet sie tätig ist). Bei Unternehmen gilt Einheitstheorie (1 Stelle für 1 Unternehmen), bei Behörden dagegen Gliederungstheorie (1 Stelle für jede Funktion). 20
Anzuwendendes Recht 21 Abgrenzung BDSG & LDSGe BDSG: Anwendung für Unternehmen Bundesbehörden Behörden im Wettbewerb LDSGe: Anwendung für Landesbehörden kommunale Behörden keine Anwendung, wenn DV zur ausschließlichen persönlichen bzw. familiären Tätigkeit! Grundsatz: lex specialis hat Vorrang! 22
Allgemein gültige Regelungen (1) Betroffenenrechte: Recht auf Auskunft Recht auf Berichtigung unrichtiger personenbezogener Daten, auf Löschung unzulässiger personenbezogener Daten oder auf Sperrung nicht mehr benötigter personbezogener Daten Recht auf Anrufung des zuständigen Datenschutzbeauftragten Recht auf Schadensersatz bei schweren Verstößen Niemand darf wegen der Geltendmachung seiner Rechte benachteiligt werden! 23 Allgemein gültige Regelungen (2) Zulässigkeit der Datenverarbeitung durch: Einwilligungserklärung Rechtsvorschrift Verpflichtung auf das Datengeheimnis auch über Beschäftigungsdauer hinaus Grundsätze: Direkterhebung beim Betroffenen Zweckbindung erhobener Daten Datensparsamkeit Kontrolle durch Datenschutzbeauftragte 24
Allgemein gültige Regelungen (3) Aufgaben von Datenschutzbeauftragten: Hinwirken auf die Einhaltung datenschutzrechtlicher Vorschriften Überwachen der automatisierten Datenverarbeitung, mit der personenbezogene Daten verarbeitet werden datenschutzrechtliche Schulung der Personen, die personenbezogene Daten verarbeiten Ansprechpartner für Betroffene Führen von Verzeichnissen eingesetzter Verfahren automatisierter Verarbeitung von personenbezogenen Daten Durchführung der Vorabkontrolle bei besonders riskanten automatisierten Verarbeitungen 25 Allgemein gültige Regelungen (4) Anforderungen an Datenschutzbeauftragte: Fachkunde: Datenschutzrecht, Datenverarbeitung, betriebliche Organisation, Didaktik, Psychologie Zuverlässigkeit: Verschwiegenheit, ohne Interessenkonflikte, charakterliche Eignung nur natürliche Person kann bestellt werden Absicherung des Datenschutzbeauftragten: unmittelbar der Geschäftsführung unterstellt Weisungsfreiheit Benachteiligungsverbot Kündigungsschutz Unterstützung durch Unternehmen 26
Aus dem Alltag eines DSB Typische Tätigkeiten eines Datenschutzbeauftragten: Recherchen zur aktuellen Rechtslage Lesen & Auswerten von Fachartikeln Vorbereitung von & Teilnahme an & Protokollierung von Meetings (Geschäftsführung, IT-Leitung, Fachverantwortliche) Erstellung von Stellungnahmen & Verfahrensverzeichnissen Durchführung & Dokumentation von Vor-Ort-Kontrollen & Vertragskontrollen Durchführung von Vorabkontrollen bei kritischen DV Erstellung & Begutachtung von Sicherheitskonzepten Planung & Durchführung von Mitarbeiterschulungen Gespräche mit Aufsichtsbehörden 27