Upload
siemen-leindecker
View
105
Download
0
Embed Size (px)
Citation preview
Thomas Herrmann
Datenschutz 99
27.09.99 1
Dritte
Kontrollinstanzen
Rollen im Umfeld des Datenschutzes
verwenden
Kon-trolle
BfD/LfD
betriebl.DB
Schulung/ Kontrolle
Betriebs-rat
Beteiligung
speicherndeStelle
Bearbeiter
mitteilen
Trägervon(Zusatz-)wissen
Umgang mit personenbezogenen Daten
Be-trof-fener
Daten
Em-pfän-ger
übermitteln
beauftragen
Auftrags-bearbeiter
Vertrag,Gesetz
Thomas Herrmann
Datenschutz 99
27.09.99 2
Grundregel - Zulässigkeit der Datenverarbeitung
Verarbeitung und Nutzung ist nur zulässig, wenn
• der Betroffene einwilligt
• oder eine ausdrückliche gesetzliche Erlaubnis vorliegt
Einwilligung bedarf der Schriftform
Es ist hinzuweisen auf:
• Zweck der Speicherung, ggf. der Übermittlung auf Folgen
der Verweigerung (bei Verlangen)
Thomas Herrmann
Datenschutz 99
27.09.99 3
Zulässigkeit auf gesetzlicher Basis- im öffentlichen Bereich
Erhebung zulässig wenn:die Kenntnis der Daten zur Erfüllung der Aufgabe erforderlich ist.
Daten sind beim Betroffenen zu erheben.
Hinweis auf Rechtsgrundlage, zu erzielende Rechtsvorteile oder Freiwilligkeit.
Speichern, Verändern, Nutzen nur zulässig wennes zur Erfüllung ... der Aufgaben erforderlich ist UND nur für die ursprünglichen Zwecke der Erhebung oder Speicherung.
Thomas Herrmann
Datenschutz 99
27.09.99 4
Erforderlichkeit:
I Erforderlichkeit ist dann gegeben, wenn ohne die Daten die Aufgabe gar nicht oder zumindest nicht vollständig erfüllt werden kann (als conditio sine qua non).
II Erforderlichkeit ist schon dann gegeben, wenn Daten zur Erreichung des Zwecks objektiv geeignet sind und im Verhältnis zum Zweck auch angemessen erscheinen (Dies schließt auf jeden Fall eine Vorratsspeicherung oder die Speicherung von Hintergrundinformationen aus).
Thomas Herrmann
Datenschutz 99
27.09.99 5
Verarbeitung für ursprünglich nicht vorgesehene Zwecke
Durchbrechung der Zweckbindung nach BDSG §14(2)
Daten
Grundregelerfüllt
Überprü-fung derAngaben
von B
Abwehrvon Nach-teilen fürGemein-wohl oder
Dritte
Straf-verfol-gung
öffentl.speichernde
Stelle
Daten ausöffentlichen
Quellenoder
für Forschung
im Inte-ressevon B
Betroffener
Thomas Herrmann
Datenschutz 99
27.09.99 6
Zulässigkeit im nicht - öffentlichen Bereich§28 u. 29
Thomas Herrmann
Datenschutz 99
27.09.99 7
Verarbeiten
speicherndeStelle
v für eigene Zwecke nach §28
GegeninteresseBe-trof-fener
pers.- bez. Daten
Interesse
GI > I
V zur Wahrnehmung berech-tigter Interessen der spS
keinGrundzur An-nahme
übermittelnnutzen
V im vertraglichen Rahmen
I>GI erheblichund nicht anders
möglich
Wiss-Forschung
öffentlich zugäng-lich §28 (1) 3
nichtoffen-sicht-lich Geschäftliches v §29kein Grund
GI anzunehmen
Listen § 28 (2) 1b, § 29 (2) 1b
für Werbung+
übermitteln
glaubhaftes Empfänger I
Thomas Herrmann
Datenschutz 99
27.09.99 8
pers.- bez. Daten
sensibleDaten
öffentlich zugäng-lich §28 (1) 3
Verarbeiten
Geschäftliches v §29
übermitteln
speicherndeStelle
v für eigene Zwecke nach §28
V zur Wahrnehmung berech-tigter Interessen der spS
Wiss-Forschung
V im vertraglichen Rahmen
Be-trof-fener
glaubhaftes Empfänger I für Werbung+
I>GI erheblichund nicht anders
möglich
Interesse
kein Grund GI anzunehmen
übermitteln nutzen
V zur Wahrnehmung berechtigter Interessen
Wiss.Forschung
I>GI erheblichund nicht anders
möglich
DritteÖffent-lichkeit
Em-pfän-ger
I
Wissen-schaft
I
kein GrundGI anzunehmen
Listen § 28 (2) 1b, § 29 (2) 1b
ü für Werbung +
Kein Wider-spruch
V nach §28
V für Zweck der Übermittlungkein Grund
GI anzu-nehmen
Thomas Herrmann
Datenschutz 99
27.09.99 9
Rechte der Betroffenen (1)(T/E, Teil IV, Kap. 6)
Allgemeiner Teil:
§6 (1) unabdingbares Recht auf Auskunft, Berichtigung, Löschung, Sperrung (nicht wie früher üblich durch bspw. Arbeitsvertrag ausschließbar)
Kernstück des Datenschutzes!
Thomas Herrmann
Datenschutz 99
27.09.99 10
Rechte der Betroffenen (2)
Benachrichtigen
Daten
SpeicherndeStelle Betroffener
Reaktion
Berichtigen, Löschen,Sperren, Schaden ersetzen
StellungnahmeBeweis fordern
Auskunft verlangen
Auskunft erteilen
Anspruch anmelden,Widerspruch
Thomas Herrmann
Datenschutz 99
27.09.99 11
Rechte der Betroffenen (3)Benachrichtigungen der Betroffenen bei nicht-öffentl. Stellen
• §33(1) Bei der erstmaligen Speicherung ist der Betroffene davon in Kenntnis zu setzen; bei der Speicherung zur geschäftsmäßigen Übermittlung, vor der ersten Übermittlung.
• Dabei hat eine genaue Angabe über speichernde Stelle und die Art der gespeicherten/ übermittelten Daten zu erfolgen.
• (Wir haben über Sie Namen, Adresse, Tätigkeit, Bankverbindung und die sonst im Rahmen des Vertragsverhältnisses und zur Kundenbetreuung benötigten Daten gespeichert.)
• keine Schriftform nötig
Thomas Herrmann
Datenschutz 99
27.09.99 12
Benachrichtigung - Ausnahmen
• wenn der Betroffene bereits Kenntnis hat
• Geheimhaltungsinteresse zu Gunsten Dritter
• Gefährdung öffentlicher Sicherheit
• Beeinträchtigung des Geschäftsinteresses
• Daten aus allgemeinzugänglichen Quellen oder Listen von Datenhändlern
• Vorübergehende Dateien (Aufbewahrungsdauer < 3 Monate)
Thomas Herrmann
Datenschutz 99
27.09.99 13
Auskunftsrecht
• bzgl. Daten, Zweck, Herkunft, Empfänger, Stellen an die regelmäßig übermittelt wird.
• Unentgeldlich (es sei denn, Weiterverwendung für wirtschaftliche Zwecke)
• Ausnahmen wie bei Benachrichtigung!(es sei denn, aus öffentlichen Quellen oder Listenmäßige Daten)
hierzu gibt es Auskunft
Thomas Herrmann
Datenschutz 99
27.09.99 14
Rechte der Betroffenen (1)öffentlicher Bereich
§20(1) Berichtigung:
• Ist ein Datum unrichtig ist es zu berichtigen, unabhängig davon, ob es sich in einer Datei oder Akte befindet: bei Akten ist dies zu vermerken oder auf sonstige Art festzuhalten!(dürfen meist nicht verändert werden (Urkundencharakter)!)
nicht - öffentlicher Bereich
Berichtigung nur bei Dateien !?
Thomas Herrmann
Datenschutz 99
27.09.99 15
Rechte der Betroffenen (2)nicht öffentlicher Bereich
§ 35 (5) Nichtberichtigung von Daten bei Unrichtigkeit
• Wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind.(Ausnahmen: sensible Daten)
• Allerdings muß auf Verlangen des Betroffenen eine Gegendarstellung beigefügt werden, die bei Übermittlungen ebenfalls übermittelt werden muß.(Dokumentation über Zeitzeugen)
Thomas Herrmann
Datenschutz 99
27.09.99 16
Rechte der Betroffenen (3)öffentlicher Bereich
§ 20 (2) Löschung:
• 1. wenn die Speicherung unzulässig ist
• 2. Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich
Thomas Herrmann
Datenschutz 99
27.09.99 17
Rechte der Betroffenen (4)nicht öffentlicher Bereich
§ 35 (2) Löschung
• Löschungen sind grundsätzlich jederzeit möglich, es sei denn Fristen stehen dem entgegen.
• Löschungen sind vorzunehmen, wenn:1. die Speicherung unzulässig ist
2. von der speichernden Stelle nicht bewiesen werden kann, daß gespeicherte Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen richtig sind
3. bei Verarbeitung für eigene Zwecke die Kenntnis des Datums zur Zweckerfüllung nicht mehr nötig ist
4. Daten, die zum Zweck der Übermittlung gespeichert sind, in den letzten 5 Jahren nicht mehr übermittelt wurden und eine weiter Speicherung nicht erforderlich ist.
Thomas Herrmann
Datenschutz 99
27.09.99 18
Rechte der Betroffenen (5)
Sperrung anstatt Löschung
1. Wenn einer Löschung Aufbewahrungsfristen (Gesetz, Satzung Vertrag) entgegenstehen
2. Die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigen würde
3. Die Löschung einen zu großen Aufwand bedeuten würde
4. Die Richtigkeit wird vom Betroffenen bestritten und es kann weder die Richtigkeit, noch die Unrichtigkeit bewiesen werden
Thomas Herrmann
Datenschutz 99
27.09.99 19
Rechte der Betroffenen (6)öffentlicher Bereich
§20 (7) Benachrichtigung
Alle Stellen, die Daten regelmäßig zur Speicherung empfangen, sind von Berichtigungen, Sperrungen wg. bestrittener Richtigkeit, Löschungen oder Sperrungen wg. Unzulässigkeit der Speicherung zu verständigen,
wenn dies zur Wahrung schutzwürdiger Belange des Betroffenen erforderlich ist.
Thomas Herrmann
Datenschutz 99
27.09.99 20
Zulässigkeit der Datenverarbeitung im nicht-öffentlichen Bereich (§ 28)
Widerspruchsmöglichkeiten:
Widerspruchsmöglichkeit bei Nutzung und Übermittlung der Daten zum Zweck der Werbung, Meinungs- und Marktforschung; dann ist die Nutzung und Übermittlung unzulässig (Robinsonliste).
Daten sind zu sperren!
Thomas Herrmann
Datenschutz 99
27.09.99 21
Die Adresse der "Robinsonliste":
An den
Deutschen Direktmarketing-Verband e.V.
Schiersteiner Straße 29
Wiesbaden
Text:
... ich bitte Sie meinen Namen und meine Anschrift
...
in die Robinsonliste aufzunehmen und mir dies
zu bestätigen.
Thomas Herrmann
Datenschutz 99
27.09.99 22
Rechte der Betroffenen (7)Allgemeiner Teil
• §7 Schadensersatzansprüche gegenüber öffentlicher Stellen (max. 250.000,-)
• Gefährdungshaftung (gilt also auch dann, wenn die Behörde oder ihre Bediensteten keine Schuld trifft)
• Voraussetzungen: Schaden muß aus einer unzulässigen oder unrichtigen automatisierten Verarbeitung personenbezogener Daten entstanden sein!
T/E, Teil II, Kap. 7.2
Thomas Herrmann
Datenschutz 99
27.09.99 23
Rechte der Betroffenen (8) Allgemeiner Teil
Schadensersatzansprüche gegenüber nichtöffentlichen Stellen:
• Es gibt Schutzpflichten nach § 242BGB (Treu und Glauben), deren schuldhafte Verletzung Schadensersatzpflichten bewirkt.
• Entstehen Schäden durch unerlaubte Handlungen einer speichernden Stelle, so haftet diese nach den Vorschriften des BGB.
Thomas Herrmann
Datenschutz 99
27.09.99 24
Rechte der Betroffenen (9)Allgemeiner Teil
§8 Schadensersatz durch nicht-öffentliche Stellen:
Zur leichteren Durchsetzung der Schadensersatzansprüche
muß der Betroffene nur nachweisen, daß
eine Handlung der speichernden Stelle vorliegt und
ein Schaden eingetreten ist.
Die Speichernde Stelle muß nachweisen
daß Handlungen nicht ursächlich für den Schaden war
daß sie kein Verschulden trifft.
Thomas Herrmann
Datenschutz 99
27.09.99 25
Kontrollinstanzen (1)Bundes-/ Landesbeauftragter für den
Datenschutz
Er kontrolliert öffentliche Stellen
Er ist von den zu prüfenden Stellen bei der Erfüllung seiner Aufgaben zu unterstützen
Ihm ist Zutritt in alle Diensträume zu gewähren
Ihm sind alle Auskünfte zu gewähren, alle Unterlagen und Akten zur Verfügung zu stellen, Einblick in alle Daten und Programme zu gewähren.
Thomas Herrmann
Datenschutz 99
27.09.99 26
Kontrollinstanzen (2)Verzeichnisse zur Sicherstellung des
Datenschutzes: Bezeichnung und Art der Daten
Zweckbestimmung
Art der gespeicherten Daten
betroffener Personenkreis
Art der regelmäßig zu übermittelnden Daten und deren Empfänger
Regelfristen für die Löschung von Daten
zugriffsberechtigte Personengruppen oder Personen
Thomas Herrmann
Datenschutz 99
27.09.99 27
Kontrollinstanzen (3)des betrieblichen Datenschutzbeauftragten
nicht öffentlicher Bereich
Bestellung ist vorgeschrieben, wenn mehr als 5
Beschäftigte mit der automatisierten DV bzw. mehr als
20 Beschäftigte auf andere Weise persbez. Daten
verarbeiten.
1. Er hat die Ausführung dieses und anderer Gesetze zum Datenschutz sicherzustellen.
2. Dazu hat er die ordnungsgemäße Anwendung der Programme zu überwachen.
3. Die Personen zu schulen, die mit persbez. Daten arbeiten.
4. Bei Einstellungen mitzuwirken (sofern es um Personen geht, die mit persbez. Daten arbeiten sollen).
Thomas Herrmann
Datenschutz 99
27.09.99 28
Überblick zu Spezialgesetzen (1)
• Als Bürger– Gesetze zu staatl. Registern (z.B. Meldegesetze)
– SGB(Daten nur für gesetzliche Aufgaben nach SGB zu verarbeiten und zu übermitteln [Tinnefeld S. 302f])
– Bundesstatistikgesetz (personenbezogene Daten nur zu Organisation von Erhebungen
– Gesetze zu Sicherheitsbehörden (inkl. Schengener Abkommen)(Beschränkte Auskunft, Datenaustausch)
– StGB (Verletzung der Vertraulichkeit des Wortes, des Briefgeheimnisses)
(Vergl. T/E, Teil I) Kap. 4,5,6)
Thomas Herrmann
Datenschutz 99
27.09.99 29
Spezialgesetze im Überblick (2)
• als Berufstätiger– Betriebsverfassungsgesetz, Bundes- & Landes-
– personalvertretungsgesetz
– DeVo - DüVo (Verordnungen)
• als Teilnehmer im Wirtschaftsgeschehen und in der Ausbildung– Abgabenordnung (Steuergeheimnis)
– Telekommunikationsdienstunternehmen - Datenschutzverordnung
– Teledienstedatenschutzgesetz
– Bafög
– Vergabeverordnung für Studienplätze
Thomas Herrmann
Datenschutz 99
27.09.99 30
Neuerungen durch die EG - Richtlinie (1)
Anwendungsbereich
keine Trennung zwischen privatem und öffentlichem Bereich
Ziel der Bestimmungen: "Verantwortlicher für die Verarbeitung" statt "speichernde Stelle"
Der Ort, wo der Verantwortliche ansässig ist, zählt!(nicht der der Verarbeitung)Ausnahme: Niederlassungen
Vermeidung von Datenoasen: es zählt das Recht des Staates, wo auf Daten zugegriffen wird
S. #5385
Thomas Herrmann
Datenschutz 99
27.09.99 31
Neuerungen durch EG - Richtlinie (2)
• Struktur:
– Keine Unterscheidung zwischen Akten vs. Dateien
– Datei gilt als strukturelle Sammlung
– Bestehendes nationales Schutzniveau bleibt erhalten(bzgl. Akten im öffentlichen Bereich)
– Erhebung ist Bestandteil von Verarbeitung
• Zulässigkeit:
– striktere Zweckbindung (weniger Ausnahmen)
– "Erforderlichkeit für Vertragserfüllung" ist ausschließlich Zulässigkeitskriterium
– Keine Ausnahmen bei öffentlich zugänglichen Daten
– ethnische und rassische Daten bewirken eine Einschränkung
Thomas Herrmann
Datenschutz 99
27.09.99 32
Neuerungen durch EG - Richtlinie (3)
Informationspflicht
• generelle Benachrichtigung (immer bei nicht direkter Datenerhebung)
• Benachrichtigung bzgl. Zweck, Weiterleitung, Empfänger und bzgl. der Rechte
Auftragsbearbeiter gelten auch als Empfänger
• Information über logischen Aufbau einer Datei• Widerspruchsmöglichkeiten bei besonderen Umständen keine
automatische Einzelentscheidung mit Rechtsfolgen (z.B. Kreditwürdigkeitsprüfung)
• Risikoprüfung durch den betrieblichen Datenschutzbeauftragten