Datenschutz Zwischen Anforderung und Wirklichkeit RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)
Subjektive Sichtweisen Datenschutz als Innovationsbremse Praktikabilität vor Datenschutz Normalerweise nichts zu verbergen Dem Arbeitgeber gehören doch ohnehin alle Daten Datenschutz als Schutz vor Missbrauch Kontodaten- und Kreditkartenmissbrauch Diverse Vorkommnisse im Einzelhandel Rufschädigungen durch Offenlegung persönlicher Informationen
Objektive Probleme Verrechtlichter Datenschutz /Technisierte Datensicherheit Erfassung des Datenschutzes vom Recht aus Strukturelle Unterlegenheit des Rechts Effektiver Datenschutz erfordert Aufwand Verstöße führen meist nicht unmittelbar zu Folgen Vollzugsdefizite Schäden oft mittelbar
DS als Organisationsaufgabe Compliance /Grundsatz der Gesetzmäßigkeit der Verwaltung Schutz von unternehmens- bzw. organisationskritischen Informationen Übernahme der Fürsorgepflicht gegenüber Mitarbeitern Vorsorge vor möglichen Schäden bei Kunden
DS als Organisationsvorteil Prozessoptimierung Übergreifende Sicherheitsverbesserung Gewährleistung der Revisionsfähigkeit Mehr Mitarbeiterzufriedenheit Sorgfaltsnachweis im Schadenfall Einhaltung von Standards als Werbeeffekt
DS als Managementaufgabe Grundsatz: Verantwortlichkeit der Leitung Betrieblicher/Behördlicher Datenschutzbeauftragter Betriebs-/Personalrat IT-Sicherheitsbeauftragter IT-Administratoren Fachvorgesetzte Mitarbeiter
Grundlegende Elemente des Datenschutzes RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)
IT-Sicherheit und DS IT-Sicherheit als Grundlage für effektiven Datenschutz IT-Sicherheit kontra Datenschutz
Einhaltung der Datenschutzgesetze BDSG: Unternehmen, privatrechtliche Vereinigungen, Behörden und Körperschaften des Bundes LDSGe: Landesbehörden und Landeskörperschaften DSG-EKD, KDO: Kirchen und Organisationen in kirchlicher Trägerschaft Bereichsspezifischer Datenschutz: Hochschulgesetze, Telemediengesetz, Telekommunikationsgesetz...
Datenschutzgerechte Verfahren Rechtmäßigkeit Datensparsamkeit Beachtung der Zweckbindung Dokumentation in Verfahrensübersicht Öffentlich zugängliches Verfahrensverzeichnis Sicherstellung der Betroffenenrechte Ggf. Vorabkontrolle
Förderung interner Datenschutzkontrolle Bestellung eines/einer fachkundigen Datenschutzbeauftragten Rückendeckung durch die Leitung bei fachlicher Weisungsfreiheit Gewährleistung der Einbindung und des Informationsflusses Ausreichend zeitliche Ressourcen Ausreichend sachliche und fachliche Ressourcen Fortbildungsmöglichkeiten
Zusammenarbeit mit Aufsichtsbehörden Konflikte und Auslegungszweifel Beratung und Unterstützung Hindernisse: Knappe Ressourcen Keine schlafenden Hunde wecken Angst vor dogmatischer Behandlung von Anfragen
Einbindung der Beschäftigten Förderung einer Sicherheitskultur Konkrete Vorgaben in Dienstanweisungen Förderung des Sicherheitsbewusstseins durch Beratung Vorbildfunktion der Vorgesetzten Stärkung der Administratoren
Wo hakt es in der Praxis besonders oft? RA Dr. Jan K. Köcher Syndikus, Datenschutzbeauftragter, Datenschutzauditor (TÜV)
Grundsatz Grundsätzliches Verbot der Erhebung und Verwendung personenbezogener Daten, es sei denn: Es besteht eine Rechtsgrundlage: Gesetzliche Erlaubnis Formgerechte Einwilligung
Datenschutzeinwilligung (1) Warum wird diese überhaupt benötigt? Handelt es sich um eine freiwillige Einwilligung? Handelt es sich um eine informierte Einwilligung? Welche Form ist einzuhalten?
Datenschutzeinwilligungen (2) Form Grundsatz: Gesetzliche Schriftform Ausnahme: Aufgrund besonderer Umstände andere Form angemessen Telemedien: Elektronische Einwilligung ausreichend, aber: Bewusst und eindeutig erteilt Protokollierung Jederzeitige Abrufbarkeit des Inhalts Jederzeitige Widerrufbarkeit ex nunc
Fotos auf Webseiten 22 Kunsturhebergesetz Verbreitung und öffentliche Zurschaustellung von Bildnissen Einwilligung erforderlich Ausnahmen? Form?
Privatnutzung dienstlicher Systeme Vor allem E-Mail und Internet Fernmeldegeheimnis Recht auf informationelle Selbstbestimmung Ausschluss der Privatnutzung? Gegenüber Studierenden praktisch nicht möglich Eindeutige Regelung und Kontrolle erforderlich
Sonderregelungen für Professoren Nichteinbeziehung in die Sicherheitsinfrastruktur Verweis auf Wissenschafts- und Forschungsfreiheit
Interne Übermittlung von Daten Beachtung der Zwecktrennung! Vorsicht vor nur scheinbar internen Übermittlungen!
Alumniverwaltung an Hochschulen Alumni sind i.d.r. keine Studierenden der Hochschule mehr Hierauf bezogene Erlaubnisnormen greifen daher nicht
Verpflichtung der Mitarbeiter Verpflichtung auf das Datengeheimnis Umfang und Inhalt der Verpflichtung Ggf. auch Verpflichtung auf das Telekommunikationsgeheimnis erforderlich
Protokollierung auf Webservern Protokollierung von IP-Adressen Personenbezug von IP-Adressen? Ja: LG Berlin, Urt. v. 6.9.2007 und sämtliche Aufsichtsbehörden Nein: AG München, Urt. v. 30.9.2008 Rechtsgrundlage? 15 Abs. 3 TMG? Einwilligung?
Datenschutzerklärung auf Webseiten Zwingend gemäß 13 Abs. 1 TMG: Unterrichtung zu Beginn der Nutzung Information über Art, Umfang und Zwecke der Erhebung und Verwendung Datenverarbeitung außerhalb EU/EWR? Stets für den Nutzer abrufbar Vollständigkeit! Nichterfüllung: Bis zu 50.000 Euro Geldbuße
Vielen Dank für Ihre Aufmerksamkeit! RA Dr. Jan K. Köcher, DFN-CERT koecher@dfn-cert.de