Embed Size (px)
Citation preview
Grundlagen zu Datenschutz und Datensicherheit im
Unternehmen
Einführung
In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt. Dieses basiert auf dem Volkszählungsurteil des Bundesverfassungsgerichtes vom 15. Dezember 1983.
In diesem Urteil wurde der Begriff des informationellen Selbstbestimmungsrechtes geprägt.
In dieses Grundrecht darf nur eingegriffen werden, wenn ein Gesetz das ausdrücklich erlaubt.
In den Datenschutzgesetzen der meisten Bundesländer ist der Begriff wiederzufinden, im BDSG das allgemeinere und umfassendere Persönlichkeitsrecht.
Datenschutz geht alle an!
Informationelle Selbstbestimmung
Jeder Betroffene soll wissen und (in Grenzen) mitbestimmen können,
wer sich welche seiner Daten zu welchem Zweck beschafft,
wie er sie verarbeitet und
an wen er sie weitergibt.
Datenschutz: Gesetzliche Grundlagen
Im deutschen Recht gibt es als allgemeine Bestimmungen zum Datenschutzrecht
das Bundesdatenschutzgesetz (BDSG), sowie
die Landesdatenschutzgesetze (LDSG).
In Bezug auf Medien und Telekommunikation insbesondere
das Telekommunikationsgesetz (TKG),
das Telemediengesetz (TMG).
Darüber hinaus gelten
Betriebsinterne Vereinbarungen und Richtlinien,
Tarifverträge,
in Vertragswerken Datenschutzregelungen/Richtlinien.
Zweck des BDSG
Der Einzelne (Betroffene) soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten (pbDaten) in seinem Persönlichkeitsrecht beeinträchtigt wird.
Geschützt werden alle pbDaten. Besonderen Einschränkungen unterliegt insbesondere jedoch die Verarbeitung derjenigen pbDaten, die unter Einsatz von DV-Anlagen oder Karteien verarbeitet werden.
Aufbau des BDSG
1. Abschnitt:
Allgemeine Bestimmungen
2. Abschnitt:
Öffentliche Stellen
– Rechtsgrundlagen
der DV
– Rechte des
Betroffenen
– Bundesbeauftragter
für den Datenschutz
(§§ 12 – 26)
3. Abschnitt:
Nicht-öffentliche Stellen
– Rechtsgrundlagen
der DV
– Rechte des
Betroffenen
– Aufsichtsbehörde
(§§ 27 – 38a)
4. Abschnitt:
Sondervorschriften
– Berufs- und
Amtsgeheimnisse
– Forschung
– Medien
– Datenpannen
(§§ 39 – 42a)
5. Abschnitt: Bußgeld- und Strafvorschriften (§§ 43 – 44)
6. Abschnitt: Übergangsvorschriften (§§ 45 – 48)
Grundregeln des BDSG I
Das Verarbeiten ist zulässig, wenn der Betroffene zustimmt oder eine Rechtsvorschrift es gestattet. (Rechtmäßigkeit) Bei der Datenverarbeitung muss Transparenz für die Betroffenen herrschen. Die verantwortliche Stelle muss dem Betroffenen bekannt und für ihn erreichbar sein. (Verantwortlichkeit) Datenverarbeitungssysteme sind auf Datenvermeidung und
Datensparsamkeit auszurichten.
Grundregeln des BDSG II
Jede Datenverarbeitung muss auf einen bestimmten Zweck
begrenzt werden (z. B. Vertragsabwicklung, Werbung,
Auswertung des Nutzerverhaltens). (Zweckbindung)
Die verantwortliche Stelle muss die Verarbeitung pbDaten auf
das Maß begrenzen, das für die Erreichung der
(unternehmerischen) Ziele erforderlich ist. (Verhältnismäßigkeit)
Überflüssige, unzulässige und bestrittene Daten sind zu sperren
oder zu löschen. Unrichtige Daten müssen berichtigt werden.
Personenbezogene Daten sind vor Missbrauch
zu schützen. (Datensicherheit)
Wichtige Begriffe des BDSG (1)
Personenbezogene Daten (pbDaten):
Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten
oder bestimmbaren Person (Betroffener)
Automatisierte Verarbeitung:
Erhebung, Verarbeitung und Nutzung pbDaten unter Einsatz von
Datenverarbeitungsanlagen
Nicht automatisierte Datei:
Jede Sammlung pbDaten, die gleichartig aufgebaut ist und nach bestimmten
Merkmalen zugänglich ist und ausgewertet werden kann (z. B. Karteikarten)
Wichtige Begriffe des BDSG (2)
Erheben:
Beschaffen von Daten über den Betroffenen
Verarbeiten:
Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten
Nutzen:
das Verwenden von Daten, soweit nicht Verarbeiten vorliegt
Verändern:
das inhaltliche Umgestalten gespeicherter Daten
Sperren:
das Kennzeichnen gespeicherter Daten, um ihre weitere Verarbeitung und
Nutzung einzuschränken
Wichtige Begriffe des BDSG (3)
Übermitteln:
Bekanntgabe gespeicherter oder durch DV gewonnener Daten an einen Dritten
durch Weitergabe oder zur Verfügung stellen zur Einsicht bzw. zum Abruf
Löschen:
Unkenntlichmachen gespeicherter Daten
Anonymisieren:
Verändern pbDaten derart, dass Einzelangaben nicht mehr oder nur mit
erheblichem Aufwand einem Betroffenen zugeordnet werden können
Pseudonymisieren:
Ersetzen von Identifikationsmerkmalen durch Kennzeichen, damit die Bestimmung
des Betroffenen erschwert wird
Wichtige Begriffe des BDSG (4)
Verantwortliche Stelle:
Jede Person oder Stelle, die Daten für sich selbst speichert oder im Auftrag
speichern lässt (natürliche und juristische Personen)
Empfänger:
Jede Person oder Stelle, die Daten erhält (auch interne Organisationseinheiten)
Dritter:
Jede Person oder Stelle außerhalb der speichernden Stelle
Pflichtenverteilung im Unternehmen
Geschäftsführung (Verantwortliche Stelle):
Grundsatzverantwortung, insb. Sicherstellen der
ordnungsgemäßen Datenverarbeitung im Unternehmen
Auswahl und Unterstützung des DSB
Datensicherheit (§ 9 BDSG) und Anlage
Verfahrensübersicht
Belehrung, Schulung und Überwachung der Mitarbeiter
Mitarbeiter:
Treuepflicht und Eigenverantwortung
Zusammenarbeit mit dem DSB
Datengeheimnis mit allen Konsequenzen (§ 5 BDSG)
Pflichten des DSB
abhängig vom erteilten Auftrag und den eingeräumten Befugnissen Hinwirken auf die Einhaltung der Vorschriften des BDSG und anderer Vorschriften zum Datenschutz Überwachung der Anwendung der DV-Programme Information und Schulung der Mitarbeiter Vorabkontrolle bei kritischer Datenverarbeitung regelmäßige Berichte an die Geschäftsleitung
Verarbeitung personenbezogener Daten
Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist
grundsätzlich verboten!
Für die Erhebung und Verarbeitung personenbezogener Daten ist also stets
zu prüfen, ob ein Erlaubnistatbestand vorliegt!
Personenbezogene Daten
Geschützt sind nur Einzelpersonen (natürliche Personen), die durch Ihren Namen bestimmt oder z. B. durch ihre Personal-, Kunden-, Lieferanten oder sonstige Nummer oder aufgrund der gespeicherten Daten bestimmbar sind.
Alle Angaben über persönliche oder sachliche Verhältnisse der Betroffenen sind personenbezogene Daten, unabhängig davon wie sensibel sie sind und woher sie stammen.
Name und Anschrift sind bereits pbDaten.
Zulässigkeit der Verarbeitung Die Verarbeitung personenbezogener Daten ist zulässig, wenn
… der Betroffene eingewilligt hat (z. B. Markt- und Meinungsforschung,
Werbung)
… dies für die Begründung, Durchführung oder Beendigung eines
rechtsgeschäftlichen oder rechtsgeschäftsähnlichen
Schuldverhältnisses mit dem Betroffenen erforderlich ist,
… ein nachweislich berechtigtes Interesse besteht,
… wenn Daten bereits öffentlich zugänglich sind, oder
… in Sonderfällen (z. B. Forschungszwecke).
Zweckbindung
Personenbezogene Daten dürfen nur dann erhoben, verarbeitet, genutzt und
weitergegeben werden, soweit und solange dies für einen bestimmten Zweck
erforderlich ist.
Eine Änderung des Zwecks ist nur eingeschränkt zulässig. Gegebenenfalls muss
eine neue Einwilligung vom Betroffenen vorliegen.
Besondere Beschränkungen gelten für Adresshandel, Markt- und
Meinungsforschung sowie Werbung.
Verantwortlichkeit
Jedes Unternehmen, jede Person, Behörde oder sonstige Organisation, die
pbDaten verarbeitet, muss namentlich für ihr Tun verantwortlich gemacht werden
können.
Zum Zweck der Kontrolle muss sie ihr Tun dokumentieren.
(Dokumentationspflicht Verfahrensverzeichnis)
Bei Auftragsdatenverarbeitung (z. B. Anmieten externer Server, Cloud Computing)
hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der technischen und organisatorischen
Maßnahmen beim Auftragnehmer zu überzeugen und das Ergebnis zu
dokumentieren.
Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung bei dem
Dienstleister verantwortlich!
Rechtmäßigkeit
Für alle Verwendungszwecke und Verarbeitungsschritte mit pbDaten muss eine
gesetzliche oder sonstige Grundlage (z. B. Vertrag, Betriebsvereinbarung,
Tarifvertrag) bestehen.
Ansonsten ist die Datenverarbeitung unzulässig, kann sanktioniert werden und zu
Schadenersatz führen.
Datensicherheit
Die Vertraulichkeit der pbDaten und ihre notwendige Verfügbarkeit müssen
sichergestellt werden.
pbDaten sind vor Manipulation und Missbrauch zu schützen.
Ihre Verarbeitung muss nachvollziehbar sein.
Technische, organisatorische und personelle Maßnahmen
Verhältnismäßigkeit
Technische, organisatorische und personelle Maßnahmen sind
in dem Maße zu treffen, wie ihr Aufwand in einem angemessenen
Verhältnis zum Schutzzweck steht.
Soweit möglich, sollten anonymisierte oder pseudonymisierte Daten verwendet
werden, z. B. bei der Auswertung des Nutzerverhaltens auf Homepages.
Unternehmerische Entscheidungen müssen jedoch möglich bleiben.
Beispielsweise darf ein Unternehmer nicht gezwungen werden, ein
Ladengeschäft einzurichten, um eine anonyme Zahlung (Barzahlung) zu
ermöglichen.
Arbeitnehmerdatenschutz
Im Bereich des Datenschutzes innerhalb von Unternehmen können
Interessenkonflikte auftreten:
Der Arbeitgeber ist verpflichtet, ordnungsgemäße, gesetzmäßige
Datenverarbeitung im Unternehmen sicherzustellen.
Deshalb muss er die Mitarbeiter bei Ausübung ihrer Tätigkeit
kontrollieren und in gewissem Maße überwachen.
Diese Maßnahmen können das Persönlichkeitsrecht einschränken.
Der Arbeitnehmerdatenschutz sucht einen angemessenen Ausgleich
dieser Interessen zu finden, insbesondere durch die Maßstäbe der
Erforderlichkeit und der Verhältnismäßigkeit.
Datensicherungsmaßnahmen
8 Gebote der Datensicherheit:
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennungsgebot
Verstöße gegen den Datenschutz
Es gibt viele Verstöße gegen den Schutz personenbezogener und auch
betrieblicher Daten.
Die meisten geschehen aus Unkenntnis, die wenigsten aus Vorsatz.
Zum Beispiel:
Datenmissbrauch bei unzulässiger Nutzung zu Werbezwecken
Datenverfälschung auf schlecht abgesicherten PC
Datenzerstörung aus Unachtsamkeit (z.B. eingeschleppte Viren)
Informationspflicht bei Datenpannen
Die Betroffenen und die Aufsichtsbehörde müssen unterrichtet werden, wenn
eine verantwortliche Stelle feststellt, dass bei ihr bestimmte gespeicherte
Daten unrechtmäßig Dritten zur Kenntnis gelangt sind, und
deshalb schwerwiegende Beeinträchtigungen der Betroffenen drohen, und
zwar
unverzüglich nach Kenntnis und Ergreifen erster Schutzmaßnahmen!
Betroffene Daten:
solche, die einem Berufsgeheimnis unterliegen
Daten, die sich auf strafbare Handlungen/OWi oder deren Verdacht beziehen
Daten zu Bank- oder Kreditkartenkonten
Daten über Gesundheit, ethnische Herkunft, Weltanschauungen u. ä.
Rechtliche Konsequenzen (1)
Mit Geldbußen bis zu Euro 50.000 wird belegt,
wer als verantwortliche Stelle u. a.:
der Meldepflicht nicht nachkommt,
einen Beauftragten für den Datenschutz nicht ordnungsgemäß bestellt,
Betroffene nicht ordnungsgemäß über Widerspruchsrechte informiert,
Daten inkorrekt übermittelt oder nutzt,
Gründe zur Datenübermittlung nicht aufzeichnet,
Betroffene nicht ordnungsgemäß benachrichtigt,
bestrittene Daten ohne Gegendarstellung übermittelt,
Prüfungen der Aufsichtsbehörde behindert oder
vollziehbare Anordnungen der Aufsichtsbehörde nicht beachtet.
Rechtliche Konsequenzen (2)
Mit Geldbußen bis zu Euro 300.000 wird belegt,
wer vorsätzlich oder fahrlässig z. B.:
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind,
- erhebt oder verarbeitet,
- zum Abruf mittels automatisierten Verfahrens bereithält,
- abruft oder sich oder einem anderen verschafft,
die Übermittlung nicht allgemein zugänglicher pbDaten durch unrichtige
Angaben erschleicht,
pbDaten entgegen der Zweckbegrenzung an Dritte weitergibt
anonymisierte Daten verbotswidrig mit Einzelangaben von Betroffenen
zusammenführt
die erforderlichen Mitteilungen bei einer Datenpanne nicht, unvollständig oder
verspätet gibt
Rechtliche Konsequenzen (3)
Mit Freiheitsstrafe bis zu 2 Jahren oder
mit Geldstrafe wird belegt, wer:
… vorsätzlich gegen Entgelt handelt oder
… in der Absicht handelt, sich oder einen anderen zu bereichern oder einen
anderen zu schädigen.
Die Tat wird nur auf Antrag verfolgt.
Rechtliche Konsequenzen (4)
Verstöße gegen das BDSG können zugleich auch
Straftaten nach dem Strafgesetzbuch (StGB) sein, z. B.:
Verletzung des Briefgeheimnisses § 202
Ausspähen von Daten § 202a
Computerbetrug § 263a
Fälschung technischer Aufzeichnungen § 268
Fälschung beweiserheblicher Daten § 269
Täuschung im Rechtsverkehr bei DV § 270
Datenveränderung § 303a
Computersabotage § 303b
Ausblick
Bei richtiger Vorsorge ist auch Ihr Unternehmen fit für die Herausforderungen
des modernen, stetigem Wandel unterworfenen Datenschutzes!
Vielen Dank für Ihre Aufmerksamkeit!
