Grundlagen zu Datenschutz und Datensicherheit im … zu Datenschutz und... · Datenschutz: Gesetzliche Grundlagen Im deutschen Recht gibt es als allgemeine Bestimmungen zum Datenschutzrecht

Grundlagen zu Datenschutz und Datensicherheit im

Unternehmen

Einführung

In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt. Dieses basiert auf dem Volkszählungsurteil des Bundesverfassungsgerichtes vom 15. Dezember 1983.

In diesem Urteil wurde der Begriff des informationellen Selbstbestimmungsrechtes geprägt.

In dieses Grundrecht darf nur eingegriffen werden, wenn ein Gesetz das ausdrücklich erlaubt.

In den Datenschutzgesetzen der meisten Bundesländer ist der Begriff wiederzufinden, im BDSG das allgemeinere und umfassendere Persönlichkeitsrecht.

Datenschutz geht alle an!

Informationelle Selbstbestimmung

Jeder Betroffene soll wissen und (in Grenzen) mitbestimmen können,

wer sich welche seiner Daten zu welchem Zweck beschafft,

wie er sie verarbeitet und

an wen er sie weitergibt.

Datenschutz: Gesetzliche Grundlagen

Im deutschen Recht gibt es als allgemeine Bestimmungen zum Datenschutzrecht

das Bundesdatenschutzgesetz (BDSG), sowie

die Landesdatenschutzgesetze (LDSG).

In Bezug auf Medien und Telekommunikation insbesondere

das Telekommunikationsgesetz (TKG),

das Telemediengesetz (TMG).

Darüber hinaus gelten

Betriebsinterne Vereinbarungen und Richtlinien,

Tarifverträge,

in Vertragswerken Datenschutzregelungen/Richtlinien.

Zweck des BDSG

Der Einzelne (Betroffene) soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten (pbDaten) in seinem Persönlichkeitsrecht beeinträchtigt wird.

Geschützt werden alle pbDaten. Besonderen Einschränkungen unterliegt insbesondere jedoch die Verarbeitung derjenigen pbDaten, die unter Einsatz von DV-Anlagen oder Karteien verarbeitet werden.

Aufbau des BDSG

1. Abschnitt:

Allgemeine Bestimmungen

2. Abschnitt:

Öffentliche Stellen

– Rechtsgrundlagen

der DV

– Rechte des

Betroffenen

– Bundesbeauftragter

für den Datenschutz

(§§ 12 – 26)

3. Abschnitt:

Nicht-öffentliche Stellen

– Rechtsgrundlagen

der DV

– Rechte des

Betroffenen

– Aufsichtsbehörde

(§§ 27 – 38a)

4. Abschnitt:

Sondervorschriften

– Berufs- und

Amtsgeheimnisse

– Forschung

– Medien

– Datenpannen

(§§ 39 – 42a)

5. Abschnitt: Bußgeld- und Strafvorschriften (§§ 43 – 44)

6. Abschnitt: Übergangsvorschriften (§§ 45 – 48)

Grundregeln des BDSG I

Das Verarbeiten ist zulässig, wenn der Betroffene zustimmt oder eine Rechtsvorschrift es gestattet. (Rechtmäßigkeit) Bei der Datenverarbeitung muss Transparenz für die Betroffenen herrschen. Die verantwortliche Stelle muss dem Betroffenen bekannt und für ihn erreichbar sein. (Verantwortlichkeit) Datenverarbeitungssysteme sind auf Datenvermeidung und

Datensparsamkeit auszurichten.

Grundregeln des BDSG II

Jede Datenverarbeitung muss auf einen bestimmten Zweck

begrenzt werden (z. B. Vertragsabwicklung, Werbung,

Auswertung des Nutzerverhaltens). (Zweckbindung)

Die verantwortliche Stelle muss die Verarbeitung pbDaten auf

das Maß begrenzen, das für die Erreichung der

(unternehmerischen) Ziele erforderlich ist. (Verhältnismäßigkeit)

Überflüssige, unzulässige und bestrittene Daten sind zu sperren

oder zu löschen. Unrichtige Daten müssen berichtigt werden.

Personenbezogene Daten sind vor Missbrauch

zu schützen. (Datensicherheit)

Wichtige Begriffe des BDSG (1)

Personenbezogene Daten (pbDaten):

Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten

oder bestimmbaren Person (Betroffener)

Automatisierte Verarbeitung:

Erhebung, Verarbeitung und Nutzung pbDaten unter Einsatz von

Datenverarbeitungsanlagen

Nicht automatisierte Datei:

Jede Sammlung pbDaten, die gleichartig aufgebaut ist und nach bestimmten

Merkmalen zugänglich ist und ausgewertet werden kann (z. B. Karteikarten)

Wichtige Begriffe des BDSG (2)

Erheben:

Beschaffen von Daten über den Betroffenen

Verarbeiten:

Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten

Nutzen:

das Verwenden von Daten, soweit nicht Verarbeiten vorliegt

Verändern:

das inhaltliche Umgestalten gespeicherter Daten

Sperren:

das Kennzeichnen gespeicherter Daten, um ihre weitere Verarbeitung und

Nutzung einzuschränken

Wichtige Begriffe des BDSG (3)

Übermitteln:

Bekanntgabe gespeicherter oder durch DV gewonnener Daten an einen Dritten

durch Weitergabe oder zur Verfügung stellen zur Einsicht bzw. zum Abruf

Löschen:

Unkenntlichmachen gespeicherter Daten

Anonymisieren:

Verändern pbDaten derart, dass Einzelangaben nicht mehr oder nur mit

erheblichem Aufwand einem Betroffenen zugeordnet werden können

Pseudonymisieren:

Ersetzen von Identifikationsmerkmalen durch Kennzeichen, damit die Bestimmung

des Betroffenen erschwert wird

Wichtige Begriffe des BDSG (4)

Verantwortliche Stelle:

Jede Person oder Stelle, die Daten für sich selbst speichert oder im Auftrag

speichern lässt (natürliche und juristische Personen)

Empfänger:

Jede Person oder Stelle, die Daten erhält (auch interne Organisationseinheiten)

Dritter:

Jede Person oder Stelle außerhalb der speichernden Stelle

Pflichtenverteilung im Unternehmen

Geschäftsführung (Verantwortliche Stelle):

Grundsatzverantwortung, insb. Sicherstellen der

ordnungsgemäßen Datenverarbeitung im Unternehmen

Auswahl und Unterstützung des DSB

Datensicherheit (§ 9 BDSG) und Anlage

Verfahrensübersicht

Belehrung, Schulung und Überwachung der Mitarbeiter

Mitarbeiter:

Treuepflicht und Eigenverantwortung

Zusammenarbeit mit dem DSB

Datengeheimnis mit allen Konsequenzen (§ 5 BDSG)

Pflichten des DSB

abhängig vom erteilten Auftrag und den eingeräumten Befugnissen Hinwirken auf die Einhaltung der Vorschriften des BDSG und anderer Vorschriften zum Datenschutz Überwachung der Anwendung der DV-Programme Information und Schulung der Mitarbeiter Vorabkontrolle bei kritischer Datenverarbeitung regelmäßige Berichte an die Geschäftsleitung

Verarbeitung personenbezogener Daten

Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist

grundsätzlich verboten!

Für die Erhebung und Verarbeitung personenbezogener Daten ist also stets

zu prüfen, ob ein Erlaubnistatbestand vorliegt!

Personenbezogene Daten

Geschützt sind nur Einzelpersonen (natürliche Personen), die durch Ihren Namen bestimmt oder z. B. durch ihre Personal-, Kunden-, Lieferanten oder sonstige Nummer oder aufgrund der gespeicherten Daten bestimmbar sind.

Alle Angaben über persönliche oder sachliche Verhältnisse der Betroffenen sind personenbezogene Daten, unabhängig davon wie sensibel sie sind und woher sie stammen.

Name und Anschrift sind bereits pbDaten.

Zulässigkeit der Verarbeitung Die Verarbeitung personenbezogener Daten ist zulässig, wenn

… der Betroffene eingewilligt hat (z. B. Markt- und Meinungsforschung,

Werbung)

… dies für die Begründung, Durchführung oder Beendigung eines

rechtsgeschäftlichen oder rechtsgeschäftsähnlichen

Schuldverhältnisses mit dem Betroffenen erforderlich ist,

… ein nachweislich berechtigtes Interesse besteht,

… wenn Daten bereits öffentlich zugänglich sind, oder

… in Sonderfällen (z. B. Forschungszwecke).

Zweckbindung

Personenbezogene Daten dürfen nur dann erhoben, verarbeitet, genutzt und

weitergegeben werden, soweit und solange dies für einen bestimmten Zweck

erforderlich ist.

Eine Änderung des Zwecks ist nur eingeschränkt zulässig. Gegebenenfalls muss

eine neue Einwilligung vom Betroffenen vorliegen.

Besondere Beschränkungen gelten für Adresshandel, Markt- und

Meinungsforschung sowie Werbung.

Verantwortlichkeit

Jedes Unternehmen, jede Person, Behörde oder sonstige Organisation, die

pbDaten verarbeitet, muss namentlich für ihr Tun verantwortlich gemacht werden

können.

Zum Zweck der Kontrolle muss sie ihr Tun dokumentieren.

(Dokumentationspflicht Verfahrensverzeichnis)

Bei Auftragsdatenverarbeitung (z. B. Anmieten externer Server, Cloud Computing)

hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann

regelmäßig von der Einhaltung der technischen und organisatorischen

Maßnahmen beim Auftragnehmer zu überzeugen und das Ergebnis zu

dokumentieren.

Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung bei dem

Dienstleister verantwortlich!

Rechtmäßigkeit

Für alle Verwendungszwecke und Verarbeitungsschritte mit pbDaten muss eine

gesetzliche oder sonstige Grundlage (z. B. Vertrag, Betriebsvereinbarung,

Tarifvertrag) bestehen.

Ansonsten ist die Datenverarbeitung unzulässig, kann sanktioniert werden und zu

Schadenersatz führen.

Datensicherheit

Die Vertraulichkeit der pbDaten und ihre notwendige Verfügbarkeit müssen

sichergestellt werden.

pbDaten sind vor Manipulation und Missbrauch zu schützen.

Ihre Verarbeitung muss nachvollziehbar sein.

Technische, organisatorische und personelle Maßnahmen

Verhältnismäßigkeit

Technische, organisatorische und personelle Maßnahmen sind

in dem Maße zu treffen, wie ihr Aufwand in einem angemessenen

Verhältnis zum Schutzzweck steht.

Soweit möglich, sollten anonymisierte oder pseudonymisierte Daten verwendet

werden, z. B. bei der Auswertung des Nutzerverhaltens auf Homepages.

Unternehmerische Entscheidungen müssen jedoch möglich bleiben.

Beispielsweise darf ein Unternehmer nicht gezwungen werden, ein

Ladengeschäft einzurichten, um eine anonyme Zahlung (Barzahlung) zu

ermöglichen.

Arbeitnehmerdatenschutz

Im Bereich des Datenschutzes innerhalb von Unternehmen können

Interessenkonflikte auftreten:

Der Arbeitgeber ist verpflichtet, ordnungsgemäße, gesetzmäßige

Datenverarbeitung im Unternehmen sicherzustellen.

Deshalb muss er die Mitarbeiter bei Ausübung ihrer Tätigkeit

kontrollieren und in gewissem Maße überwachen.

Diese Maßnahmen können das Persönlichkeitsrecht einschränken.

Der Arbeitnehmerdatenschutz sucht einen angemessenen Ausgleich

dieser Interessen zu finden, insbesondere durch die Maßstäbe der

Erforderlichkeit und der Verhältnismäßigkeit.

Datensicherungsmaßnahmen

8 Gebote der Datensicherheit:

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Trennungsgebot

Verstöße gegen den Datenschutz

Es gibt viele Verstöße gegen den Schutz personenbezogener und auch

betrieblicher Daten.

Die meisten geschehen aus Unkenntnis, die wenigsten aus Vorsatz.

Zum Beispiel:

Datenmissbrauch bei unzulässiger Nutzung zu Werbezwecken

Datenverfälschung auf schlecht abgesicherten PC

Datenzerstörung aus Unachtsamkeit (z.B. eingeschleppte Viren)

Informationspflicht bei Datenpannen

Die Betroffenen und die Aufsichtsbehörde müssen unterrichtet werden, wenn

eine verantwortliche Stelle feststellt, dass bei ihr bestimmte gespeicherte

Daten unrechtmäßig Dritten zur Kenntnis gelangt sind, und

deshalb schwerwiegende Beeinträchtigungen der Betroffenen drohen, und

zwar

unverzüglich nach Kenntnis und Ergreifen erster Schutzmaßnahmen!

Betroffene Daten:

solche, die einem Berufsgeheimnis unterliegen

Daten, die sich auf strafbare Handlungen/OWi oder deren Verdacht beziehen

Daten zu Bank- oder Kreditkartenkonten

Daten über Gesundheit, ethnische Herkunft, Weltanschauungen u. ä.

Rechtliche Konsequenzen (1)

Mit Geldbußen bis zu Euro 50.000 wird belegt,

wer als verantwortliche Stelle u. a.:

der Meldepflicht nicht nachkommt,

einen Beauftragten für den Datenschutz nicht ordnungsgemäß bestellt,

Betroffene nicht ordnungsgemäß über Widerspruchsrechte informiert,

Daten inkorrekt übermittelt oder nutzt,

Gründe zur Datenübermittlung nicht aufzeichnet,

Betroffene nicht ordnungsgemäß benachrichtigt,

bestrittene Daten ohne Gegendarstellung übermittelt,

Prüfungen der Aufsichtsbehörde behindert oder

vollziehbare Anordnungen der Aufsichtsbehörde nicht beachtet.

Rechtliche Konsequenzen (2)

Mit Geldbußen bis zu Euro 300.000 wird belegt,

wer vorsätzlich oder fahrlässig z. B.:

unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind,

- erhebt oder verarbeitet,

- zum Abruf mittels automatisierten Verfahrens bereithält,

- abruft oder sich oder einem anderen verschafft,

die Übermittlung nicht allgemein zugänglicher pbDaten durch unrichtige

Angaben erschleicht,

pbDaten entgegen der Zweckbegrenzung an Dritte weitergibt

anonymisierte Daten verbotswidrig mit Einzelangaben von Betroffenen

zusammenführt

die erforderlichen Mitteilungen bei einer Datenpanne nicht, unvollständig oder

verspätet gibt

Rechtliche Konsequenzen (3)

Mit Freiheitsstrafe bis zu 2 Jahren oder

mit Geldstrafe wird belegt, wer:

… vorsätzlich gegen Entgelt handelt oder

… in der Absicht handelt, sich oder einen anderen zu bereichern oder einen

anderen zu schädigen.

Die Tat wird nur auf Antrag verfolgt.

Rechtliche Konsequenzen (4)

Verstöße gegen das BDSG können zugleich auch

Straftaten nach dem Strafgesetzbuch (StGB) sein, z. B.:

Verletzung des Briefgeheimnisses § 202

Ausspähen von Daten § 202a

Computerbetrug § 263a

Fälschung technischer Aufzeichnungen § 268

Fälschung beweiserheblicher Daten § 269

Täuschung im Rechtsverkehr bei DV § 270

Datenveränderung § 303a

Computersabotage § 303b

Ausblick

Bei richtiger Vorsorge ist auch Ihr Unternehmen fit für die Herausforderungen

des modernen, stetigem Wandel unterworfenen Datenschutzes!

Vielen Dank für Ihre Aufmerksamkeit!