© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
1
Datenschutzunterlagen für Datenschutzinteressierte
In Anlehnung an § 4f Abs. 2 S. 1 BDSG(Fachkunde).
Datenschutz ist ein spannendes Thema welches auch Ihre Persönlichkeitsrechte betrifft!
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
2
Legende: Fortlaufende Themennummern:
Fragen zum Thema Datenschutz – Die Lösungen finden Sie unter Datenschutz-Lösungen
Das sollten Sie unbedingt wissen!
Literatur-Empfehlungen: Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de/DE/Datenschutz/datenschutz-node.html
Der betriebliche Datenschutzbeauftragte www.datenschutz.rlp.de/downloads/oh/Betrieblicher_DSB.pdf
Virtuelles Datenschutzbüro http://www.datenschutz.de/
Datenschutz von A bis Z, (Haufe), ISBN: 978-3-648-04391-2
Autor: Michael J. Schüssler, Wirtschaftsinformatiker, EDV Sachverständiger, externer Datenschutzbeauftragter gemäß § 4f BDSG & TÜV Süd ISO/IEC 27001 Foundation ISMS zertifiziert.
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
3
Präambel
Was bedeutet eigentlich der Begriff „Datenschutz“? Der Begriff Datenschutz ist Ende der 60er Jahre entstanden. Datenschutz kann nicht die Daten als solche schützen, sondern schützt seit jeher die Persönlichkeitsrechte der Betroffenen. Auch in früheren Zeiten gab es hierzu schon zahlreiche Rechts-vorschriften.
In diesem Abschnitt soll Ihnen ein erster Einblick in die Historik des Datenschutzes und dem rechtlichen Rahmen des deutschen und europäischen Datenschutzes geben werden.
Mit dem voranschreiten der computerisierten und vernetzten Informations-gesellschaft hat auch die Bedeutung des Datenschutzes an Bedeutung gewonnen. Datenschutz hat sich etabliert und Einzug in unsere Gesetzgebung gefunden. Datenschutz leistet einen wichtigen Beitrag zur Gewährleitung von Persönlich-keitsrechten und stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt.
Die bestehenden Tendenzen zum so genannten gläsernen Menschen durch permanente Überwachung oder Ausspähung widerspricht diesem Prinzip und greift in erblichem Maße in die Persönlichkeitsrechte der Betroffenen ein.
Freie Entfaltung seiner Persönlichkeit und die Freiheit der Person ist unverletzlich. Relikte aus vergangen Zeiten?
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
4
Datenschutz Historik I
Damals Heute
Antiker – Datenschutz… Der Eid des Hippokrates Ein Bestandteil der ärztlichen Ethik: Die Schweigepflicht
Strafgesetzbuch § 203 StGB Verletzung von Privat-geheimnissen - Arzt, Apotheker, Rechtsanwalt, Patentanwalt, Notar…
Schweigepflicht: Im Beichtstuhl Die geistliche Schweigepflicht besteht bereits seit dem 13. Jahrhundert, als die Wahrung des Beichtgeheimnisses in das Kirchenrecht aufgenommen wurde. Älteste Datenschutzinstitution
Kirche und Recht(KuR) Das Beichtgeheimnis ist unverbrüchlich". So formuliert es § 17 Abs. 1 Pfarrdienstgesetz. Das Staatskirchenrecht ist ein Querschnitt aus verschiedenen Rechtsgebieten.
Erlass Friedrichs des Großen zum Bankgeheimnis - Anno 1776 „Wir verbieten bei unserer königlichen Ungnade allen und jedem nachzu-forschen, wie viel ein anderer auf seinem Folio zu Gute habe…„
Der Bundesgerichtshofs (BGH) geht generell von einer Verschwiegenheits-pflicht der Banken über die finanziellen Verhältnisse der Bankkunden gegenüber Dritten aus. Das Bankgeheimnis ist als Gewohnheitsrecht einzuordnen, rechtliche Grundlage (Vgl. § 311 BGB).
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
5
1
Datenschutz Historik II
Damals Heute
Weimarer Reichsverfassung (Aug. 1919) Artikel 114 (1) Die Freiheit der Person ist unverletzlich… Artikel 117 (1) Das Briefgeheimnis sowie das Post-, und Fernsprechgeheimnis sind unverletzlich…
Grundgesetz(Mai 1949 ) Art. 2 Abs. 2 S. 2 Grundgesetzes (GG) Die Freiheit der Person ist unverletzlich. Art. 10 Abs. 1 Grundgesetzes (GG) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
3
Das erste(formelle), weltweite Landesdatenschutzgesetz. Das HDSG von 1970. Die Geschichte der deutschen Datenschutzgesetzgebung auf Landesebene beginnt mit dem Tag der Verkündung des „Hessischen Datenschutzgesetzes(HDSG)“, am: 07. September 1970.
BDSG Novelle I(1. Februar 1977 ) – Gesetzgebung auf Bundesebene Das erste Bundesdatenschutzgesetz(BDSG) wurde verkündet und in Kraft gesetzt.
Das Volkszählungsurteil des Bundesverfassungsgerichts(15. Dezember 1983) Zum ersten mal stand eine richterliche Entscheidung im Mittelpunkt des Daten-schutzes. Gegen dieses Bundesgesetz wurden allerdings schon im Vorfeld mehrere Verfassungsbeschwerden eingereicht. Das BVerfG - Urteilte: “dass zahlreiche Vorschriften des Volkszählungsgesetzes erheblich und ohne Rechtfertigung in die Grundrechte des Einzelnen eingriffen und verfassungswidrig sei.“
Das Grundrecht auf informationelle Selbstbestimmung war geboren.
4
5
6
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
6
Datenschutz Historik IV
Die Zukunft des Datenschutzes bleibt offen? Begründung: Die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten ist nicht mit EU-Recht vereinbar. Das hat der Europäische Gerichtshof (EuGH) in Luxemburg entschieden und damit die EU-Richtlinie(2006/24/EG) zur Sicherung von Telefon- und E-Mail-Informationen gekippt. Die Richtlinie muss nun reformiert und die verdachtlose Speicherung von Verbindungsdaten von Telefon, Internet und E-Mails künftig "auf das absolut Notwendige beschränkt" werden. Entwurf einer EU-Datenschutz Grundverordnung( 25.01.2012) Einheitlicher Rechtsrahmen für den Datenschutz in der EU. Die geltende EG-Datenschutzrichtlinie 95/46/EG soll durch die EU-Datenschutz Grundverordnung abgelöst werden. Der Vorschlag wird derzeit im Europäischen Parlament und im Rat der Europäischen Union beraten. Vorratsspeicherung: Bundestag verschärft Datenkontrolle(16.10.2015) Der Bundestag hat das umstrittene Gesetz zur Datenvorratsspeicherung verabschiedet. Kritiker fürchten, dass das Gesetz die Bürger unter Generalverdacht stellt…
Quellangabe: http://www.tagesschau.de/ausland/vorratsdatenspeicherung222.html
Quellangabe: http://www.spiegel.de/politik/deutschland/vorratsspeicherung-bundestag-verschaerft-datenkontrolle-a-516482.html
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
7
Rechtsgrundlagen und Meilensteine im Datenschutz
Datenschutz betrifft uns alle!
Die Würde des Menschen ist unantastbar… (GG Art. 1 Abs. 1)
Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit…(GG Art. 2 Abs. 1)
Das Grundrecht auf informationelle Selbstbestimmung(BVerfG, 1983)
Bundesdatenschutzgesetz(Novelle III von 2009)
Europäische Datenschutzrichtlinie 95/46/EG(1995)
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
8
§ 1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
Zweck des Bundesdatenschutzgesetzes § 1 Abs. 1
Die Verfassungsrechtliche Grundlage des Datenschutzes, beruht auf dem Volkszählungsurteil des Bundesverfassungsgericht(BVerfG)
von 1983, dem Recht auf informationelle Selbstbestimmung.
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
9
Nach den Bestimmungen des Volkszählungsgesetzes sollte im Frühjahr 1983 eine Volkszählung in Form einer Totalerhebung durchgeführt werden. Gegen dieses Bundesgesetz wurden allerdings schon im Vorfeld mehrere Verfassungsbeschwerden eingereicht. Die Bundesregierung als auch die Landesregierungen hielten das Volks-zählungsgesetz und das Vorhaben für verfassungsgemäß. Dem widersprach das Bundesverfassungsgericht! In seinem Urteil vom 15. Dezember 1983 stelle es fest, dass zahlreiche Vorschriften des Volkszählungsgesetzes erheblich und ohne Rechtfertigung in Grundrechte des Einzelnen eingriffen. Das Bundesverfassungsgericht leitete dieses Recht aus Art. 2 Abs. 1 GG, dem Recht auf freie Entfaltung der Persönlichkeit, und aus Art. 1 Abs. 1 GG, der Unantastbarkeit der Menschenwürde, ab. „Das Grundrecht (des Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG) gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Informationelles Selbstbestimmungsrecht Grundrecht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
Volkszählungsgesetz - VZG von 1983
Quellangabe: www.bfdi.bund.de/DE/.../Themen/.../151283_VolkszaehlungsUrteil.html
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
10
Gewaltenteilung in der Bundesrepublik Deutschland und die Stellung des BfDI
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Beauftragte des Bundes sowohl für den Datenschutz als auch für die Informationsfreiheit –
BSI Bundesamt für Sicherheit in der Informationstechnik. Darüber hinaus gibt es die Datenschutzbeauftragten der Länder, insgesamt 16 Stück.
Überprüfung der Gesetzmäßigkeit
Legislative Gesetzgebende Gewalt
Erlass von Gesetzen BfDI berät die Bundesregierung
Exekutive Bundesregierung,
Behörden und Polizei etc.
Judikative Gerichte
Rechtsprechung(HE)
gesetzgebende Gewalt
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
11
Übung - Zusammenfassend
§ . Abs. . BD . . Zweck dieses Gesetzes ist es, den Einzelnen davor zu s . . . . . . ., dass er durch den Umg . . . mit seinen personenbez . . . . . . Da . . . in seinem Persönlichkeits . . . . . beeint . . . . . . . . wird.
2
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
12
Natürliche Person, eine natürliche Person ist gemäß § 1 BGB der Mensch, sobald er geboren wird. Eine natürliche Person ist jeder lebende Mensch mit seinen Rechten und Pflichten (Rechtsfähigkeit). Datenschutz betrifft nicht Informationen über Verstorbene, da diese keine natürlichen Personen mehr darstellen und die Rechtsfähigkeit dieser erloschen ist. Daten über Verstorbene werden aber durch spezialgesetzliche Bestimmungen weiter geschützt.
Das Persönlichkeitsrecht ist das Grundrecht auf freie Entfaltung der
Persönlichkeit gemäß Art. 2 Abs. 1 Grundgesetz(GG - 1949) und das Recht auf Schutz vor Eingriffen in den privaten Lebens- und Freiheitsbereich des Einzelnen.
Personenbezogene Daten(pbD) gemäß § 3 Abs. 1 BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person(Betroffener). Vom BDSG wird also das Persönlichkeitsrecht jedes lebenden Menschen geschützt, gemäß § 1 Abs. 1 BDSG. Durch Ihre Rechtsfähigkeit haben die Betroffenen z. B. ein Recht auf Auskunft gemäß § 34 BDSG.
Begriffsdefinitionen I
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
13
Besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG sind Angaben über: rassische und ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit oder Sexualleben. Die Erhebung dieser Daten ohne Rechtsgrundlage kann die Persönlichkeitsrechte der Betroffenen erheblich verletzen und sind unter dem Aspekt des Datenschutzes als höchst kritisch einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutz-panne gemäß § 42a auslösen. Liegen diese Arten von Daten im Unternehmen vor und diese sind nicht anonymisiert oder pseudonymisiert und nicht verschlüsselt, so handelt das Unternehmen, fahrlässig.
Begriffsdefinitionen II
4
1
2
3
4
5
6
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
14
Was ist eine natürliche Person?
Juristische Personen des Privatr . . . . . sind?
Juristische Personen des öffentl . . . . . Rechts sind?
Vom BDSG geschützt wird? Jeder
und sein
Das Persönlichkeitsrecht umfasst?
das R . . . . auf freie Entf . . . . . . der Persönlichk . . . gemäß Art. . Abs. 1 G. und das Recht auf Sch . . . vor Eing . . . . . . in den pri . . . . . Lebens- und Freiheits . . . . . . .
Personenbezogene Daten gemäß § 3 Abs. 1 BDSG sind?
Einzelangaben über pers . . . . . . . oder sachl . . . . Verhältn . . . . einer bestimmt . . oder bestimmb . . . . natürlich . . Person(Betroff . . . .)
Welche Risiken beinhalten besondere Arten pbD gemäß § 3 Abs. 9 BDSG?
Die Erhebung dieser Daten ohne Rechtsgrund . . . . kann die Persönlichkeitsr . . . . . der Betroff . . . . erheblich verl . . . . . und sind unter dem Aspekt des Datenschutzes als höchst kri . . . . . einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzp . . . . gemäß § 4 . . auslösen.
Übung: Begriffsdefinitionen I + II - Zusammenfassend 3
6
7
8
3
1
2
4
5
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
15
Zusammenfassend - wen oder was schützt das BDSG?
Öffentliche und nicht-
öffentliche Stellen
Daten juristischer Personen
PbD jedes lebenden Mensch
PbD von Mitglieder in juristischen
Person
Schutz der/des
Kreuzen Sie bitte die richtige Lösung an.
5
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
16
Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu.
Übungsaufgabe
Alter
Steuerklasse Kreditdaten
Krankheit
Religion
Eigentum
Z. B. Z. B.
6
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
17
Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Über-
zeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispiele:
Personenbezogene Daten gemäß § 3 Abs. 9
Weißer, Europäer . . .
SPD, LINKE …
Christ , Atheist…
IG Metall, Verdi …
Bronchitis, Epilepsie …
. . .
Rassische und ethnische Herkunft
Politische Meinungen
Religiöse oder philosophische
Über-zeugungen
Gewerkschafts-zugehörigkeit
Gesundheit Sexualleben
Diese Arten von pbD sind ohne Rechtsgrundlage nicht zu erheben!!! Vgl. §§§ 42a, 4d Abs. 5, 3a BDSG…
1 2 3
4 5 6
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
18
Klassifizierung schutzwürdiger Belange durch den Landesbeauftragten für den Datenschutz Niedersachsen.
Stufe A:
Frei zugängliche Daten (nach dem Listenprivileg)
Stufe B:
Berechtigte Interesse des Einsichtnehmenden
Stufe C:Beeinträchtigung der gesellschaftlichen
Stellung oder der wirtschaftlichen Verhältnisse
Stufe D: Erhebliche Beeinträchtigung der gesellschaft-lichen Stellung oder der wirtschaftlichen Verhältnisse
Stufe E: Beeinträchtigung von Gesundheit, Leben oder Freiheit
Schutzstufen A bis E
1
2
3
4
5
Quellangabe: http://www.lfd.niedersachsen.de
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
19
Übung - Arten von personenbezogenen Daten
Herr Schmitt fährt einen roten Porsche, Baujahr 2008.
Bei der letzten Bundestagswahl hat Frau Schön, die SPD gewählt.
Herr Klein ist bei der Gewerkschaft Verdi.
Name, Vorname, Anschrift einer Person.
Die Telefonnummer von Frau Karin Groß
Herr Müller wird wegen Steuerhinterziehung gesucht
Er war Weltmeister und Gouverneur von Kalifornien
1 = Bestimmte personenbezogene Daten
2 = Bestimmbare personenbezogene Daten
3 = Besonders sensible Daten
Geben Sie zusätzlich die Schutzstufen A bis E an.
7
1
2
3
4
5
6
7
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
20
Übung - Zusammenfassend
1 2 3
4 5 6
8
Welche pbD beinhalten besondere Risiken für die Betroffenen? § . Abs. . Begründen Sie dies:
Welche Arten von pbD sind ohne Rechtsgrundlage nicht zu erfassen?
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
21
Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen: Besondere Arten von personenbezogenen Daten gemäß § 3 Abs. 9 BDSG (etwa Gesundheitsdaten oder Religions / Gewerkschaftszugehörigkeit) etc.
besondere Arten personenbezogener Daten (§ 3 Absatz 9),
Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder RA …)
Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den
Verdacht darauf beziehen
Daten zu Bank oder Kreditkartenkonten
3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beein-trächtigungen drohen, etwa finanzielle Schäden bei Kreditkarten-Informationen oder die Gefahr eines Identitätsdiebstahls.
Informationspflicht gemäß § 42a(Legaldefinition)
1
2
3
4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
22
§ 4.. Informationspflicht bei unrechtmäßiger Kenntnis……… von Daten
besondere A . . . . personenbezogener Daten
gemäß . . Abs. . BDSG
Daten, die einem Berufsgeheimnis
unterliegen gemäß § . . . St . .
Daten über straf . . . . Handlungen oder Ordnungs-
widrigkeiten oder über einen solchen Ver . . . . .
personenbezogene Daten zu B . . . .- oder Kreditkartenk . . . . .
Unrecht….. übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (Häcker, Diebstahl…) und drohen schwerw . . . . . . . Beeinträchtigungen für die R . . . . . oder schutzwürdigen Interessen der Betroff . . . .?
Schwerwiegende Beeinträchtigungen z.B. durch . . . . . . . . K . . . .. . . . . . . . . . .(. . ..-Nr., . . ., od. . . . . , BIC oder Skimming…) Erpressbar . . . .t(Kontostand: . .00.000 €), Bloßstellung oder Rufschädigung etc. Schutzstufenkategorie „ . “ oder „ . “?
Besteht ein Risiko: Materieller oder immaterieller Schäden oder ein Risiko auf Identitätsdieb . . . . .(Online-Gesch . . . .)?
J N
Sind die Daten gemäß § . Abs. . anonymisiert?
J
N ?
Dr . . . . schwerwiegende Beeinträchtigungen?
Sind die Daten gemäß § . Abs. . . pseudonymisiert und oder
verschlüsselt? J N
?
N
Meldepflicht!
?
1 2 3 4
?
J N Unrechtm….. Kenntniserlang… durch Dri…?
?
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2(§ 2 Abs. 1 + 2) fest, dass bei ihr gespeicherte
5
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
23
Resümee, was sind Ihre vorrangigen Aufgaben als DSB?
Die Belange und Vorgaben der Geschäftsleitung umzusetzen?
Die Belange und Vorgaben Ihres Vorgesetzten umzusetzen?
Auf die ordnungsgemäße Anwendung der Datenverarbeitungs-programme, mit deren Hilfe personenbezogene Daten verarbeitet werden zu achten?
Die Belange und Vorgaben des IT-Leiters umzusetzen?
Auf das nicht erfassen von pbD gemäß § 3 Abs. 9 hinzuwirken?
Die Persönlichkeitsreche der Betroffenen zu wahren?
Sie schützen Daten natürlicher- und juristischer Personen?
Sie schützen Daten natürlicher Personen?
Sie wahren die Rechte der Betroffenen durch Veranlassung von Berichtigung, Löschung und Sperrung der Daten bei der aut. DV?
1
2
3
4
5
J N
6
Kreuzen Sie bitte die richtige Lösung an.
15
7
8
9
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
24
Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen) im unteren Schaubild ein:
Übungsaufgabe: Die Systematik des BDSG 16
1
2 3
4
5
6
Z. B. § . . Auskunft BDSG Z. B. § . . Auskunft BDSG
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
25
Übungsaufgabe - Systematik des BDSG
Erster Abschnitt §§ 1 – 11 Allg . . . . . . und gemeins . . . Best . . . . . . . . .
Zweiter Abschnitt §§ 12 – 26 Datenver . . . . . . . . . der öffentl . . . . . St . . . . .
Dritter Abschnitt §§ 27 – 38 Datenver . . . . . . . . . n . . . . öffentl . . . . . St . . . . .
Vierter Abschnitt §§ 39 – 42 Sonderv . . . . . . . . . . . Fünfter Abschnitt §§ 43 – 44 Schlussv . . . . . . . . . . .
Sechster Abschnitt §§45 – 46 Übergangsv . . . . . . . . . . . Anl . . . (z . § 9 S . . . 1)
1
2
3
4
5
6
17
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
26
BDSG I von 1977 Schutz personenbezogener Daten vor Missbrauch der Beeinträchtigung schutzwürdiger Belange der Betroffenen bei der Datenverarbeitung BDSG II von 1990 Informationelles Selbstbestimmungsrecht (Volkszählungsurteil 1983) Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personenbezogenen Daten BDSG III International vergleichbarer Datenschutz Vorabkontrolle besonders sensibler Datenverarbeitungen
Historik des BDSG
Entwicklung des Bundesdatenschutzgesetzes (BDSG)
BDSG I von 1977 BDSG II von 1990 BDSG III von 2009
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
27
Der Datenschutz findet seine rechtlichen Grundlagen vor allem, aber nicht nur im Bundesdatenschutzgesetz (BDSG). Vielmehr dient dieses Gesetz als sogenanntes Auffanggesetz (vgl. § 1 Abs. 3 S. 1).
Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes(BDSG) vor - Subsidiaritätsprinzip.
Datenschutzrechtliche Vorschriften finden sich vor allem auch in bereichsspezifischen Gesetzen oder bereichsspezifischen Regelungen wieder z. B. dem:
TKG – Telekommunikationsgesetz TMG – Telemediengesetz etc.
Diese gehen dann als speziellere Regelungen dem Bundesdaten-schutzgesetz vor. Über sämtlichen nationalen Regelungen steht das Europäische Recht.
Das BDSG ist ein Auffanggesetz, gemäß § 1 Abs. 3 S. 1
A
B
1
2
3
4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
28
Teilaspekte der Informationssicherheit
Authentizität
Zurechenbarkeit
Verbindlichkeit
Verlässlichkeit
Informationen
Anforderungen Informationen Erwartungen
Normative Anforderungen Erwartungen
Login ins Passwörter
Zugangs-Codes Zugriffs-Codes
Unternehmensdaten Kundenstamm
Lieferantenstamm Personalstamm…
Zutrittskontrolle zu Gebäuden und Serverräumen...
Zugangskontrolle Authentifikation
Zugriffskontrolle Berechtigungskonzept
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
29
Der Dreiklang von TKG, TMG und BDSG
Telekommuni-
kationsgesetz (TKG)
Telemedien-
gesetz (TMG)
Bundesdaten-schutzgesetz
(BDSG)
§ 88 Abs. 1 TKG Fernmeldegeheimnis Impressumspflicht nach § 5 TMG
Schutz personenbezogener Daten gemäß § 1 Abs. 1 BDSG
2007
2009
2004
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
30
§ 1 Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten. § 2 Regulierung, Ziele und Grundsätze Abs. 1 Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes…
Telekommunikationsgesetz (TKG)
§ 88 Abs. 1 TKG - Dem Fernmeldegeheimnis unterliegen…
Telefon E-Mail Fax SMS 1 2 3 4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
31
Fallbeispiel Ein Unternehmen stellt seinen Arbeitnehmer einen E-Mail-Account zur Verfügung. Der Arbeitgeber gestattet es diesen E-Mail-Account auch für den privaten E-Mail-Verkehr zu nutzen. In Folge eines Verdachtes will der Arbeitgeber auf die E-Mails des Arbeitnehmers zugreifen, weil dieser den Verdacht hegt es läge eine arbeitsvertragliche Verletzung des Mitarbeiters vor. Dazu weist er den Systemadministrator an, das Postfach des Arbeitnehmers auszulesen und im Beisein des Arbeitgebers in Augenschein zu nehmen. Begründung: Z. B. Verdacht auf Arbeitszeitbetrug oder Industriespionage .
§ 88 TKG Fernmeldegeheimnis und Emails
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
32
Welches ist die aktuelle BDSG Novelle und aus welchem Jahr ist diese?
Was ist der Zweck des BDSG, inkl. Angabe des Paragraphen?
In welchem § wird beschrieben, dass das BDSG subsidiär ist? Was bedeutet der Begriff „Subsidiaritätsprinzip“? Welches ist die aktuelle EU-DSRL und aus welchem Jahr ist diese? In welchem § werden die besonderen Arten pbD beschrieben? Welche Arten von Daten können eine Datenschutzpanne auslösen, inkl. §? Unter welchem § finden Sie die Aufgaben des Datenschutzbeauftragten? In welchem § ist die Bestellpflicht eines DSB beschrieben? Wann liegt ein Verstoß gegen § 88 Abs. 1 TKG vor?
Wiederholung – Datenschutzfragen 1
A
B
C
D
E
F
G
H
I
J
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
33
Die acht Grundprinzipien des Datenschutzes
Ve
rbo
t mit Erlau
bn
isvorb
ehalt
Säulen im Datenschutz
In Anlehnung an: GDD-Datenschutz-Jahrbuch 2013
Transp
aren
z - Au
skun
ft
Date
nve
rme
idu
ng
Zwe
ckbin
du
ng
Date
nsich
erhe
it
Sanktio
nen
/ Bu
ßge
lder etc.
Ko
ntro
lle
1 2 3 4 5 6 7 8
Ko
rrektu
rrech
te
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
34
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke
Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, wenn es der Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient …
(3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt.
§ 28 Abs. 3 S. 2 Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig(Listenprivileg) oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist. Z.B. Arbeitsvertrag, Kaufvertrag, Mietvertrag, Bewerbung, ...
Erlaubnis per Gesetz § 28 Abs. 1
1
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
35
Eine Akteneinsicht der Beschäftigten ist gemäß (§ 83 Abs. 1 BetrVG) gegeben
Korrektur, nämlich Löschung, Berichtigung (§ 35 BDSG)
Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts gemäß (§ 823 Abs. 1 BGB) kann gefordert und eingeklagt werden.
Aufbewahrung: Der Arbeitgeber ist verpflichtet …
Eine Datei oder Datenbankverschlüsselung und eine Pseudonymisierung ist zu empfehlen!
Beschäftigungsdatenschutz § 32
A
B
C
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
36
§ 7 BDSG Schadensersatz Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
§ 8 Schadensersatz bei aut. Datenverarbeitung durch öffentliche Stellen (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der
Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von
130 000 Euro begrenzt.
Schadensersatz
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
37
Datengeheimnis Alle mit der Datenverarbeitung beschäftigten Personen unterliegen dem Datengeheimnis, gemäß § 5 BDSG. Ihnen ist es untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Eine unbefugte Nutzung liegt bereits dann vor, wenn durch einen Mitarbeiter dessen persönliche, ihm intern zugewiesene Nutzungsberechtigung überschritten wird. Verstöße gegen das Datengeheimnis können neben personellen Konsequenzen auch die Verfolgung als Ordnungswidrigkeit oder gar als Straftat zur Folge haben. § 5 BDSG: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen“. (Datengeheimnis). Diese Personen sind, soweit sie bei nicht öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Daten-geheimnis besteht auch nach Beendigung ihrer Tätigkeit.“. Verantwortlich für die Verpflichtung auf das Datengeheimnis ist die verantwortliche Stelle, also der Arbeitgeber. Erfolgt keine Verpflichtung, muss der Datenschutz-beauftragte auf eine Durchführung hinwirken.
Datengeheimnis § 5 BDSG
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
38
Anlage zu § 9 (Technische und organisatorische Maßnahmen) – Nr. 1 bis 8
Zutrittskontrolle zu Gebäuden und Serverräumen... § 9 plus Anlage Nr. 1
Zugangskontrolle Authentifikation
Benutzername und Passwort, Firewalls…
Zugriffskontrolle Berechtigungskonzept
Verschlüsselungsverfahren mit Passwort……
§ 9 plus Anlage Nr. 3
1 2
3 4
5
6
7
8
Weitergabekontrolle(SSL, VPN…)
Eingabekontrolle(Protokolldatei…)
Auftragskontrolle(gem. § 11 BDSG)
Verfügbarkeitskontrolle(Backups…)
Zwecktrennungsgebot (Zweckb.)
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
39
1. • Zutrittskontrolle
2. • Zugangskontrolle
3. • Zugriffskontrolle
4. • Weitergabekontrolle
5. • Eingabekontrolle
6. • Auftragskontrolle
7. • Verfügbarkeitskontrolle
8. • Zwecktrennungsgebot
Anlage (zu § 9 Satz 1) IT – Sicherheit
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
40
Übungsaufgabe: BSI
1. Was bedeutet der Begriff BSI ?
2. Was macht das BSI ?
3. Nennen Sie die vier IT-Grundschutz-Standards(BSI Standards)
1.
2.
3.
4.
41
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© D
aten
sch
utz
Sch
ulu
ng
für
Mit
arb
eit
er g
emäß
§
4g
Ab
s. 1
Sat
z 4
Nr.
2 B
DSG
41
Urheberrechte - Bildernachweis
Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: „Betrieblicher Datenschutzbeauftragter gemäß §§ 4f, 4g BDSG“ dienen, wurden erworben bei Fotolia.com
http://de.fotolia.com/id/45001493 http://de.fotolia.com/id/27195025 http://de.fotolia.com/id/29437951 http://de.fotolia.com/id/33652250 http://de.fotolia.com/id/34053562 http://de.fotolia.com/id/38818944 http://de.fotolia.com/id/37944046 http://de.fotolia.com/id/48979689 http://de.fotolia.com/id/20188400 http://de.fotolia.com/id/46162734 http://de.fotolia.com/id/38751832 http://de.fotolia.com/id/19111399 http://de.Fotolia.com/id/63894975 http://de.Fotolia.com/id/60653520 http://de.Fotolia.com/id/53470038 http://de.Fotolia.com/id/48005618 Quellangaben: BDSG III von 2009, www.bfdi.bund.de, www.bsi.bund.de, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Hajo Köppen Datenschutz A bis Z.