und der IT-Sicherheit Lösungen zur 1. Übung: BDSG des Datenschutzes (1) Schutz vor Missbrauch 4 Abs. 1 BDSG (Zulässigkeitsprüfung) Begr.: Gewährleistung, dass nur zulässige DV stattfindet 4 Abs. 2 BDSG (Primärerhebung beim Betroffenen) Begr.: Betroffene gestattet ausdrücklich DV 4d Abs. 5 BDSG (Vorabkontrolle) Begr.: Verhinderung besonderer Risiken 4g Abs. 1 Nr. 1 BDSG (Überwachungsaufgabe Datenschutzbeauftragter) Begr.: Sicherstellung einer ordnungsgemäßen DV 2
des Datenschutzes (2) Schutz vor Missbrauch (1. Forts.) 6b Abs. 2 BDSG (Hinweis auf Videoüberwachung) Begr.: Kenntnis über durchgeführte Videoüberwachung 6c Abs. 2 BDSG (Unentgeldliches Chiplesegerät) Begr.: Sicherstellung, dass Betroffene unentgeldlich Chipkartendaten einsehen können 13 Abs. 1 BDSG (Erforderlichkeitsprüfung) Begr.: Erhebung durch öffentliche Stelle nur, wenn die personenbezogenen Daten zwingend benötigt 3 des Datenschutzes (3) Schutz vor Missbrauch (2. Forts.) 14 Abs. 1 BDSG (zweckgebundene Erforderlichkeitsprüfung) Begr.: Verarbeitung oder Nutzung durch öffentliche Stelle nur, wenn für konkreten Zweck erforderlich 19 Abs. 1 BDSG (Auskunftsrecht) Begr.: Grundlage für andere Betroffenenrechte bei öffentlichen Stellen 19a Abs. 1 BDSG (Benachrichtigungspflicht) Begr.: Kenntnis des Betroffenen bei öffentlichen Stellen sicherstellen 4
des Datenschutzes (4) Schutz vor Missbrauch (3. Forts.) 21 BDSG (BfDI-Anrufung) Begr.: Einschaltung der Kontrollinstanz öffentlicher Stellen 24 Abs. 1 BDSG (BfDI-Aufgaben) Begr.: Sicherstellung der Einhaltung von Datenschutz-Bestimmungen bei öffentlichen Stellen 28 Abs. 1 BDSG (Zulässigkeitsprüfung für eigene Geschäftszwecke) Begr.: Sicherstellung, dass DV bei nicht-öffentlicher Stelle nur zulässig und zweckgebunden erfolgt 5 des Datenschutzes (5) Schutz vor Missbrauch (4. Forts.) 31 BDSG (besondere Zweckbindung) Begr.: Daten aus Datenschutzkontrolle, Datensicherung und Betriebssicherstellung mit starker Zweckbindung 33 Abs. 1 BDSG (Benachrichtigungspflicht) Begr.: Kenntnis des Betroffenen bei nicht-öffentlichen Stellen sicherstellen 34 Abs. 1 BDSG (Auskunftsrecht) Begr.: Grundlage für andere Betroffenenrechte bei nicht-öffentlichen Stellen 6
des Datenschutzes (6) Schutz vor Missbrauch (5. Forts.) 39 Abs. 1 BDSG (Zweckbindung Berufs-/ Amtsgeheimnis) Begr.: Sicherstellung besonders geschützter Daten Nr. 3 zur Anlage von 9 BDSG (Zugriffskontrolle) Begr.: Gewährleistung, dass kein Unbefugter Zugriff auf das entsprechende DV-System nehmen kann Nr. 4 zur Anlage von 9 BDSG (Weitergabekontrolle) Begr.: Gewährleistung, dass kein Unbefugter Kenntnis auf weitergegebene Daten erhält 7 des Datenschutzes (7) Schutz vor falschen Wirklichkeitsmodellen 4d Abs. 5 BDSG (Vorabkontrolle) Begr.: Verhinderung besonderer Risiken 6a BDSG (automatisierte Einzelentscheidung) Begr.: Kein blindes Vertrauen in automatisierte DV 8
des Datenschutzes (8) Schutz der informationellen Gewaltenteilung 3a BDSG (Datenvermeidung) Begr.: Reduzierung gesammelter Daten 4d Abs. 5 BDSG (Vorabkontrolle) Begr.: Verhinderung besonderer Risiken 5 BDSG (Datengeheimnis) Begr.: Besondere Verpflichtung der Beschäftigten 6b Abs. 1 BDSG (Zulässige Videoüberwachung) Begr.: Beschränkung zulässiger Videoüberwachung 9 des Datenschutzes (9) Schutz der informationellen Gewaltenteilung (1. Fs.) 10 Abs. 1 und 2 BDSG (automatisierte Abrufverfahren) Begr.: Zulässigkeit und Kontrollanforderung automatisierter Abrufverfahren 13 Abs. 1 BDSG (Erforderlichkeitsprüfung) Begr.: Erhebung durch öffentliche Stelle nur, wenn die personenbezogenen Daten zwingend benötigt 14 Abs. 1 BDSG (zweckgebundene Erforderlichkeitsprüfung) Begr.: Verarbeitung oder Nutzung durch öffentliche Stelle nur, wenn für konkreten Zweck erforderlich 10
des Datenschutzes (10) Schutz der informationellen Gewaltenteilung (2. Fs.) 20 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von öffentlicher Stelle zu löschen 28 Abs. 1 BDSG (Zulässigkeitsprüfung für eigene Geschäftszwecke) Begr.: Sicherstellung, dass DV bei nicht-öffentlicher Stelle nur zulässig und zweckgebunden erfolgt 35 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von nicht-öffentlicher Stelle zu löschen 11 des Datenschutzes (11) Schutz der informationellen Gewaltenteilung (3. Fs.) 38 Abs. 1 BDSG (Aufsichtsbehörde) Begr.: Zur Datenschutzkontrolle gespeicherte Daten sind zweckgebunden Nr. 3 zur Anlage von 9 BDSG (Zugriffskontrolle) Begr.: Gewährleistung, dass kein Unbefugter Zugriff auf das entsprechende DV-System nehmen kann Nr. 8 zur Anlage von 9 BDSG (Datentrennung) Begr.: Keine Zusammenführung von Daten, die für unterschiedliche Zwecke erhoben wurden 12
des Datenschutzes (12) Schutz vor dem Kontextproblem 3a BDSG (Datenvermeidung) Begr.: Reduzierung gesammelter Daten 4d Abs. 5 BDSG (Vorabkontrolle) Begr.: Verhinderung besonderer Risiken 6a BDSG (automatisierte Einzelentscheidung) Begr.: Kein blindes Vertrauen in automatisierte DV 20 Abs. 1 BDSG (Berichtigungspflicht) Begr.: Unrichtige Daten sind bei öffentlichen Stellen zu berichtigen 13 des Datenschutzes (13) Schutz vor dem Kontextproblem (1. Forts.) 20 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von öffentlicher Stelle zu löschen 35 Abs. 1 BDSG (Berichtigungspflicht) Begr.: Unrichtige Daten sind bei nicht-öffentlichen Stellen zu berichtigen 35 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von nicht-öffentlicher Stelle zu löschen 14
des Datenschutzes (14) Schutz vor verletzlichen DV-Systemen 7 BDSG (Schadensersatz) Begr.: Unzulässige DV kann zu Schadensersatz führen 8 Abs. 1 BDSG (öffentlicher Schadensersatz) Begr.: verschuldensunabhängiger Schadensersatz öffentlicher Stellen 10 Abs. 1 und 2 BDSG (automatisierte Abrufverfahren) Begr.: Zulässigkeit und Kontrollanforderung automatisierter Abrufverfahren 15 des Datenschutzes (15) Schutz vor verletzlichen DV-Systemen (1. Forts.) 20 Abs. 1 BDSG (Berichtigungspflicht) Begr.: Unrichtige Daten sind bei öffentlichen Stellen zu berichtigen 20 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von öffentlicher Stelle zu löschen 35 Abs. 1 BDSG (Berichtigungspflicht) Begr.: Unrichtige Daten sind bei nicht-öffentlichen Stellen zu berichtigen 16
des Datenschutzes (16) Schutz vor verletzlichen DV-Systemen (2. Forts.) 35 Abs. 2 BDSG (Löschungspflicht) Begr.: Unzulässige bzw. nicht mehr erforderliche Daten sind von nicht-öffentlicher Stelle zu löschen 43 BDSG (Ordnungswidrigkeit) Begr.: Bestrafung ordnungswidrigen Verhaltens 44 BDSG (Straftaten) Begr.: Bestrafung strafbaren Verhaltens Nr. 5 zur Anlage von 9 BDSG (Eingabekontrolle) Begr.: Nachvollziehbarkeit der Eingabeverantwortung 17 des Datenschutzes (17) Schutz vor verletzlichen DV-Systemen (3. Forts.) Nr. 6 zur Anlage von 9 BDSG (Auftragskontrolle) Begr.: Kontrolle der Einhaltung der Weisungen Nr. 7 zur Anlage von 9 BDSG (Verfügbarkeitskontrolle) Begr.: Verhinderung zufälliger Zerstörung bzw. von Verlust 18
1.3 Einwilligungserklärung (1) Anforderungen an eine Einwilligungserklärung: Einwilligung nur wirksam, wenn aufgrund freier Entscheidung des Betroffenen erfolgt ( 4a Abs. 1 Satz 1 BDSG) Verwendungszweck ist anzugeben ( 4a Abs. 1 Satz 2 BDSG) Schriftform i.d.r. erforderlich ( 4a Abs. 1 Satz 3 BDSG) Einwilligung muss gut erkennbar sein ( 4a Abs. 1 Satz 4 BDSG) 19 1.3 Einwilligungserklärung (2) Anforderungen an eine Einwilligungserklärung: (Fs.) Bei besonderen Arten personenbezogener Daten muss dies ausdrücklich erklärt werden ( 4a Abs. 3 BDSG) 20
1.3 Einwilligungserklärung (3) Fragwürdige Einwilligungserklärungen: Kopplung der Einwilligung an andere Leistungen Belohnung der Einwilligung durch Geschenke oder Vergünstigungen Einwilligung in unbestimmte Zwecke Einwilligung in beliebige Zweckänderungen Einwilligung in Verzicht auf Betroffenenrechte Einwilligung ohne Aufklärung über Folgen Einwilligung in umfassende AGBs ohne Abänderbarkeit 21 1.3 Einwilligungserklärung (4) Fragwürdige Einwilligungserklärungen: (Forts.) Einwilligung in beliebige Weiterübermittlung Einwilligung in umfangreiche Erhebungen bei Bewerbungen bzw. Beschäftigungs-/Dienstantritt 22
1.3 Einwilligungserklärung (5) Muster einer Einwilligungserklärung: Hiermit willige ich ein, dass die unten aufgeführten personenbezogenen Daten von der <Bezeichnung der verantwortlichen Stelle> zum Zweck der <Zweck> erhoben, verarbeitet und genutzt werden dürfen. Ich wurde darüber informiert, dass ich diese Einwilligung jederzeit ohne Nachteile widerrufen kann. Von der <Bezeichnung der verantwortlichen Stelle> wurde mir versichert, dass meine datenschutzrechtlichen Belange ohne Einschränkung gewährleistet werden und keine Übermittlung meiner Daten an Dritte erfolgt. 23 1.4 Übermittlung vs Nutzung (1) Übermittlung: Transfer an oder Kenntnisnahme bzw. Abruf durch Dritten, also außerhalb der verantwortlichen Stelle ( 3 Abs. 4 Nr. 3 BDSG i.v.m. 3 Abs. 8 Satz 2 BDSG) Nutzung: Kenntnisnahme oder Verwendung (ohne Veränderung, Speicherung oder Übermittlung), also z.b. Auswertung, innerhalb der gleichen verantwortlichen Stelle ( 3 Abs. 5 BDSG) 24
1.4 Übermittlung vs Nutzung (2) Übermittlung: Datenweitergabe an verbundene, aber eigenständige Unternehmen ( 3 Abs. 4 BDSG i.v.m. 3 Abs. 7 und 8 BDSG) Auftragsdatenverarbeitung außerhalb der EU ( 11 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) Nutzung: Auskunftserteilung an Betroffenen ( 19 und 34 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) Transfer an Auftragnehmer innerhalb EU ( 11 BDSG i.v.m. 3 Abs. 8 Satz 3 BDSG) 25 1.4 Übermittlung vs Nutzung (3) Übermittlung: Verfügungsgewalt über weitergegebene Daten liegt bei neuer verantwortlicher Stelle! Nutzung: Verfügungsgewalt über weitergegebene Daten liegt weiterhin bei alter verantwortlicher Stelle! 26
1.5 Schema zu 28 BDSG (1) 27 1.5 Schema zu 28 BDSG (2) 28