3. Jahrestagung E-Akte 2011 E-Akte und Datenschutz? Katja Thalheim-Heinecke Der Sächsische Datenschutzbeauftragte Ref. Personalwesen, Kommunales, Gesundheitswesen www.datenschutz.sachsen.de 1
Ablauf Einführung / Allgemeine Hintergründe Vorteile und Risiken der E-Akte aus Sicht des Datenschutzes Grundlagen der datenschutzrechtlichen Herangehensweise Rechtliche und technisch-organisatorische Rahmenbedingungen Festlegung von technisch-organisatorischen Maßnahmen Fazit 2
Allgemeines Allensbach- Bericht vom Januar 2009 (http://www.ifdallensbach.de/n ews/prd_0906.h tml) 3
Allgemeines 4
Datenschutz in Deutschland Datenschutzbehörden Datenschutzrecht Öffentliche Stellen (Landesdatenschutz- Gesetze / BDSG) Nicht-öffentliche Stellen (BDSG) TK und Post (BDSG, 115 IV TKG, 42 III PostG) Landesdatenschutzbeauftragte Bundesdatenschutzbeauftragter Landesdatenschutzbeauftragte Bundesdatenschutzbeauftragter 5
Vorteile und Risiken der E-Akte aus Sicht des Datenschutzes Vorteile rein elektronischer Verfahren, z. B.: Hinterfragen etablierter Verwaltungsverfahren Rollen und Rechte der Nutzer festgelegt Durchführung einer Schutzbedarfsanalyse transparente Datenverarbeitung (technische Nachvollziehbarkeit) festgelegte Löschroutinen Skalierbarkeit Modularer Aufbau der genutzten Programme Datenschutzkontrolle leichter durchführbar Auskunftsrechte / -pflichten 6
Vorteile und Risiken der E-Akte aus Sicht des Datenschutzes Risiken: für das Grundrecht auf informationelle Selbstbestimmung und für den Schutz der Privatheit: Persönlichkeitsprofile, Manipulationsmöglichkeiten und zu lange Speicherung. Automatisiert können aus einer Datensammlung durch vielfältige Datenverknüpfungen und -kombinationen sowie durch die Erstellung von Hypothesen und deren Überprüfung bisher völlig unbekannte Informationen gewonnen werden. (eine Datenquelle) Gezielte Zusammenführung von personenbezogenen Daten aus unterschiedlichen Datenquellen und ihre Auswertung erfolgen überwiegend ohne Kenntnis der Betroffenen. (mehrere Datenquellen) Such- und Auswertungsfunktionen führen, wenn eine Volltextrecherche zugelassen ist, zu bisher nicht oder nicht in dem Umfang gegebenen Aussagen zu einer Person. Risiko, dass es für Bürgerinnen und Bürger noch schwerer wird, zu durchschauen, wer aus der Verwaltung Zugang zu ihren Daten hat. Möglichkeit einer permanenten Verhaltens- und Leistungskontrolle der Beschäftigten. 7
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Für die Verwendung eines Dokumentenmanagementsystems sind die allgemeinen datenschutzrechtlichen Grundsätze zu beachten: Personenbezogene Daten dürfen nur erhoben, verarbeitet oder sonst genutzt werden, wenn und soweit das zur rechtmäßigen Erfüllung der Aufgaben der Daten verarbeitenden Stelle gesetzlich gestattet ist oder der Betroffenen eingewilligt hat. Die Daten verarbeitende oder die in deren Auftrag arbeitende Stelle hat diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um den Schutz des informationellen Selbstbestimmungsrechts zu gewährleisten. 8
Grundlagen der datenschutzrechtlichen Herangehensweise Rolle des Datenschutzes bei der Einführung der E-Akte Dem Datenschutz kommt die Aufgabe zu, die informationelle Selbstbestimmung technikspezifisch und risikoadäquat zu gewährleisten. Es gilt alle Arten von personenbezogenen Daten im Verfahren der E- Akte zu schützen. 9
Grundlagen der datenschutzrechtlichen Herangehensweise Personenbezogene Daten im Verfahren der E-Akte Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (z. B. Name, Adresse, Eigenschaften einer Person, aber auch Beziehungen zur Umwelt oder Eigentumsverhältnisse). Bei der DV im Zusammenhang mit der E-Akte handelt es sich um: die Daten von Bürgerinnen und Bürgern, die bei der Kommunikation mit der Verwaltung und bei der Vorgangsbearbeitung zur Erledigung von Verwaltungsaufgaben anfallen und personenbezogene Daten von Mitarbeitern, die z. B. als Protokolldaten im IT-Verfahren der E-Akte anfallen. 10
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 11
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Legitimer Zweck/Zulässiges Handlungsziel Daten dürfen grundsätzlich nur für den Zweck verarbeitet werden, für den sie erhoben wurden, d.h. zur Erfüllung der gesetzlich festgelegten Aufgaben der öffentlichen Stelle zweckändernde Nutzungen sind nur im gesetzlich geregelten Ausnahmefall möglich (Strafverfolgung) Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 12
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit ohne die Kenntnis der Daten kann die gesetzlich zugewiesene Aufgabe nicht, nicht vollständig oder nicht rechtzeitig erfüllt werden nicht nur zweckmäßig oder dienlich Verhältnismäßigkeit Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 13
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit. die geeignete und erforderliche Datenverarbeitung muss sich in einer Abwägung der betroffenen Belange, namentlich mit den schützwürdigen Interessen der Betroffenen als angemessen erweisen (Übermaßverbot). Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 14
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Die Verarbeitung der personenbezogenen Daten muss zur rechtmäßigen Erfüllung der gesetzlichen Aufgaben der Daten verarbeitenden Stelle erforderlich sein. Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 15
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Transparenz Die Verfahrensweisen bei der Verarbeitung personenbezogener Daten müssen vollständig, aktuell und in einer Weise dokumentiert sein, dass sie in zumutbarer Zeit nachvollzogen werden können. Datenvermeidung und Datensparsamkeit Rechte der Betroffenen 16
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Bereits im Vorfeld bei der Entwicklung und Auswahl von Datenverarbeitungssystemen und bei der Ausgestaltung der konkreten Datenverarbeitungsprozesse ist darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden. Allgemeines Gestaltungsprinzip wonach das Entstehen von Daten mit Personenbezug oder Personenbeziehbarkeit von vornherein ausgeschlossen oder auf ein Minimum beschränkt werden soll. Ergebnis: Rechte der Betroffenen Handlungsvorgaben für die System- und Verfahrensausgestaltung (allgemein) 17
Grundlagen der datenschutzrechtlichen Herangehensweise Datenschutzrechtliche Grundsätze Zweckbindung Erforderlichkeit Verhältnismäßigkeit Zulässigkeit Transparenz Datenvermeidung und Datensparsamkeit Rechte der Betroffenen Auskunft über die zu seiner Person gespeicherten Daten Berichtigung, Löschung und Sperrung der zu seiner Person gespeicherten Daten Widerspruch gegen die Verarbeitung seiner Daten Schadensersatz Anrufung des zuständigen Landesdatenschutzbeauftragten Auskunft bei automatisierten Einzelentscheidungen Datenerhebung beim Betroffenen 18
Rechtliche und technisch-organisatorische Rahmenbedingungen Verfahrensverzeichnis und Vorabkontrolle in Sachsen Verfahrensverzeichnis Jede datenverarbeitende Stelle führt ein Verzeichnis der bei ihr eingesetzten automatisierten Verarbeitungsverfahren. Vorabkontrolle erfolgt vor dem erstmaligen Einsatz oder der wesentlichen Änderung eines automatisierten Abrufverfahrens, eines automatisierten Verfahrens, in dem besonders schutzwürdige Daten (z. B. Gesundheitsdaten) verarbeitet werden oder eines automatisierten Verfahrens, in dem Daten von Beschäftigten verarbeitet werden. Bei der Vorabkontrolle wird u. a. geprüft, ob die Datenverarbeitung zulässig ist und die vorgesehenen personellen, technischen und organisatorischen Maßnahmen nach z. B. 9 SächsDSG ausreichend sind, um eine den datenschutzrechtlichen Vorschriften entsprechende Datenverarbeitung zu gewährleisten. 19
Rechtliche und technisch-organisatorische Rahmenbedingungen Verfahrensverzeichnis und Vorabkontrolle in Sachsen Verfahrensverzeichnis Jede datenverarbeitende Stelle führt ein Verzeichnis der bei ihr eingesetzten automatisierten Verarbeitungsverfahren. Die datenverarbeitenden Stellen sind verpflichtet, dem Sächsischen Vorabkontrolle Datenschutzbeauftragten (bzw. dem beh. DSB) vor dem erstmaligen Einsatz erfolgt eines vor automatisierten dem erstmaligen Verarbeitungsverfahrens Einsatz oder der wesentlichen das Änderung Verzeichnis eines und vor Inbetriebnahme automatisiertes des Abrufverfahrens, Verfahrens die Unterlagen zur Vorabkontrolle zuzuleiten. eines automatisierten Verfahrens, in dem besonders schutzwürdige Daten (z. B. Gesundheitsdaten) verarbeitet werden oder eines automatisierten Verfahrens, in dem Daten von Beschäftigten verarbeitet werden. Bei der Vorabkontrolle wird u. a. geprüft, ob die Datenverarbeitung zulässig ist und die vorgesehenen personellen, technischen und organisatorischen Maßnahmen nach z. B. 9 SächsDSG ausreichend sind, um eine den datenschutzrechtlichen Vorschriften entsprechende Datenverarbeitung zu gewährleisten. 20
Rechtliche und technisch-organisatorische Rahmenbedingungen Voraussetzung zur Durchführung einer Vorabkontrolle Der Einsatz des Verfahrens, der rechtliche Rahmen und die technischen und organisatorischen Einsatzbedingungen müssen so beschrieben und festgelegt sein, dass auf dieser Grundlage eine Bewertung erfolgen kann, ob beim Einsatz Risiken für das informationelle Selbstbestimmungsrecht vermieden werden. Bestandteile der Vorabkontrolle, z. B.: Festlegungen allgemein (z. B. zentrale/dezentrale Datenhaltung) Festlegung organisatorischer und technischer Maßnahmen Sicherheitskonzept 21
Festlegung von technisch-organisatorischen Maßnahmen Mögliche technisch-organisatorischen Festlegungen: wer, die verantwortliche Stelle für den Einsatz der E-Akte ist ob ggf. ein Dienstleister die Daten im Sinne einer Datenverarbeitung im Auftrag verarbeitet welche Dokumente im E-Akte Verfahren verarbeitet werden sollen Ergebnisse der Schutzbedarfsanalyse der Dokumente/Daten auf Basis der Schutzbedarfsanalyse, welche der organisatorischen und technischen Maßnahmen zur Gewährleistung des informationellen Selbstbestimmungsrechts erforderlichen sind Organisationskonzept (u. a. mit Festlegungen über den konkreten Funktionsumfang; Festlegung zur Protokollierung und Dauer der Aufbewahrung der Protokolldaten der Zugriffe durch die Administration) Datenschutz- und Datensicherheitskonzept, Rollen- und Berechtigungskonzept 22
Festlegung von technisch-organisatorischen Maßnahmen Mögliche technisch-organisatorischen Festlegungen: Datenhaltungskonzept und diesem entsprechende Sicherheitsmaßnahmen (z. B. zu zentraler Datenhaltung oder nicht) Aufbewahrungsfristen Zweckbindung der Protokolldaten und der Verfahrensdaten Erstellung einer Analyse der den Beteiligten übertragenen Aufgaben und der Arbeitsabläufe Regelung des Umgangs mit Medienbrüchen und die Verbindung zur Rest- Papierakte Maßnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz elektronischer Dokumente über lange Aufbewahrungszeiträume sicherstellen. ob eine Unterstützung bei der Durchführung der Vorabkontrolle durch Verfahrensanbieter erfolgt 23
Festlegung von technisch-organisatorischen Maßnahmen Mögliche technisch-organisatorischen Festlegungen: Sicherstellung des Beweiswertes von Dokumenten Maßnahmen, die die Löschung unzulässig gespeicherter sowie nicht mehr benötigter und nicht archivwürdiger Dokumente sicherstellen Verfahrensweisen, die die Rechte der Betroffenen auf Berichtigung, Sperrung und Auskunft sicherstellen Maßnahmen, die verhindern, dass auf Verfahrens- und Protokolldaten von Beschäftigten unzulässig zugegriffen wird Maßnahmen, die die gesetzlich vorgesehene Akteneinsicht und den Informationszugang realisieren Sicherheitsziele und -maßnahmen bei der Behandlung von Dokumenten Einsatz von Signaturen 24
Festlegung von technisch-organisatorischen Maßnahmen Datenschutz- und Datensicherheitskonzept wird nicht ausdrücklich vom SächsDSG gefordert, ist aber bei Verarbeitungen, die wegen der spezifischen Risiken für die Rechte und Freiheiten von Betroffenen einer Vorabkontrolle unterliegen, regelmäßig angezeigt Häufige Fehler des Datenschutz- und Datensicherheitskonzepts: Es wird kein Schutzbedarf erkannt, obwohl z. B. Entwürfe von Schreiben oder E-Mails personenbezogene Daten enthalten Aneinanderreihen von Maßnahmen, ohne dass ersichtlich ist, welche bei welchen Daten zu welchem Schutzzweck angewandt werden Auswertung von Protokolldaten nicht festgelegt Verschlüsselung wird zu wenig genutzt 25
Fazit Ein guter Zeitpunkt zur Einbeziehung des zuständigen Datenschutzbeauftragten? Sinnvoll ist die Beteiligung ab Projektinitialisierung Mitarbeit im Projektteam neben dem Beauftragten für Informationssicherheit, der Personalvertretung, den Verantwortlichen von betroffenen Fachverfahren, der Revision, der Poststelle, der Registratur, dem IT Bereich (ggf. auch externe Dienstleister), weiteren Beschäftigten aus den jeweils betroffenen Behördenbereichen. 26
Fazit Datenschutz ein Projektrisiko? Abgesehen von den rechtlichen Zwängen zur Einhaltung des Datenschutzes: Welches Risiko gehen Sie ein, wenn Sie die Daten nicht ausreichend oder nicht schützen? 27
E-Akte und Datenschutz? Vielen Dank für Ihre Aufmerksamkeit! Katja Thalheim-Heinecke Der Sächsische Datenschutzbeauftragte Ref. Personalwesen, Kommunales, Gesundheitswesen Devrientstraße 1 01067 Dresden Telefon: 0351/493 5418 Katja.Thalheim@slt.sachsen.de 28