Recht und Organisation des Datenschutzes

W. Kruth / Recht und Organisation des Datenschutzes

1

Recht und Organisationdes Datenschutzes


2

Verbesserungsvorschläge werden gerne angenommen:

Mail-Adresse: [email protected]

Danke.

mailto:[email protected]


3

Modulstruktur

• 1 Zielsetzungen des Datenschutzes, Begriffsbestimmungen

• 2 Rechtsvorschriften des Datenschutzes• 3 Rechtsgrundlagen für die Erhebung,

Verarbeitung und Nutzung personenbezogener Daten

• 4 Zulässigkeit der Datenerhebung, Verarbeitung und -nutzung


4

Modulstruktur

• 5 Auftragsdatenverarbeitung

• 6 Rechte des Betroffenen

• 7 Besonderer Datenschutz

• 8 Bereichsspezifischer Datenschutz

• 9 Datenschutz beim Einsatz neuer Technologien

• 10 Interner Datenschutzbeauftragter


5

Recht und Organisation des Datenschutzes

Modul 1

Zielsetzungen des Datenschutzes

Begriffsbestimmungen


6


• Zweck und Ziel des Datenschutzes ist es, die Persönlichkeitsrechte des Einzelnen vor Beeinträchtigungen durch öffentliche und nicht-öffentliche Stellen zu schützen.

• Jeder Mensch soll über Angaben, die seine Identität und sein persönliches Umfeld einschliesslich seiner Arbeitsverhältnisse beschreiben, frei bestimmen können, soweit er nicht aufgrund einer Rechtsvorschrift öffentlichen oder nicht-öffentlichen Stellen gegenüber zur Bekanntgabe verpflichtet werden kann bzw. verpflichtet ist (Informationelles Selbstbestimmungsrecht).


7


• Die Landesverfassung NRW hat den personenbezogenen Datenschutz in Art. 4 als ein Grundrecht auf Datenschutz definiert:

„Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur im überwiegendem Interesse der Allgemeinheit aufgrund eines Gesetzes zulässig.“


8

Begriffsbestimmungen des Datenschutzes

Personenbezogene Daten (1)

• Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.– Die Einzelangaben müssen sich entweder direkt auf eine

bestimmte oder bestimmbare Person beziehen oder geeignet sein, einen Bezug zu ihr herzustellen.

– Persönliche Verhältnisse sind Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung. Auch Werturteile können Angaben über persönliche Verhältnisse sein.

– Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Betroffenen beziehbaren Sachverhalt.


9



• Personenbezogene Daten weisen in Abhängigkeit vom Inhalt und den Möglichkeiten des Veränderns ibs. bei automatisierter Datenverarbeitung eine unterschiedliche Empfindlichkeit auf, die für den Schutzwert der Daten im Hinblick auf die Gefahr einer missbräuchlichen Nutzung von Bedeutung auf.

• Die Empfindlichkeit der Daten stellt zunächst auf das einzelne Datum ab, da innerhalb eines Geschäftsfalles Daten mit unterschiedlicher Sensivität gespeichert und verarbeitet werden können.


10



• Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten unterliegen besonderen Beschränkungen bei der Erhebung, Verarbeitung oder Nutzung.


11


Betroffener

• Der Betroffene ist derjenige, dessen Schutz das Gesetz zum Ziel hat und dem Rechte aus dem Gesetz - ggfls. unabdingbar - eingeräumt sind.

• Die verantwortliche Stelle muss in verschiedenen Disziplinen der Datenverarbeitung die Rechte des Betroffenen in eine Güterabwägung zu den berechtigten Eigeninteressen oder den Interessen Dritter stellen.


12


Verantwortliche Stelle (1)

• Verantwortliche Stelle für den Datenschutz ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (erweiterte Definition der ehem. „speichernden Stelle“).

• Verantwortliche Stelle im i.S. der öffentlichen Behördenorganisation ist zunächst die Organisationseinheit in einer bestimmten Behörde, die die Daten für ihre Zwecke erhebt, speichert, verarbeitet, übermittelt.


13



• Im weiteren Sinne ist verantwortliche Stelle auch die Behörde oder die juristische Person, der die bezogene Stelle angehört, einschließlich aller Untergliederungen.

• Der Datenfluss innerhalb einer Behörde zwischen Organisationseinheiten ist keine Übermittlung i.S. des Gesetzes. Dies gilt auch für die Zusammenarbeit von Behörden zur Bearbeitung eines Geschäftsfalles im sog. Fachstrang zwischen Ministerien und nachgeordneten Stellen.


14



• Die Personalvertretung ist Bestandteil der verantwortlichen Stelle i.S. der Behörde oder juristischen Person.

• Die verantwortliche Stelle trägt die volle und uneingeschränkte Verantwortlichkeit für die Zulässigkeit und Rechtmäßigkeit der von ihr vorgenommen oder in ihrem Auftrag durchgeführten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen in automatisierten und nicht-automatisierten Verfahren.


15


Empfänger

• Empfänger ist jede Person oder Stelle, die Daten erhält.


16


Dritter

• Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der EU personenbezogene Daten im Auftrag erheben, verarbeiten oder speichern.


17


Automatisierte Verarbeitung (1)

• Automatisierte Verarbeitung ist dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung von Daten unter Einsatz von Informationstechnik (eines gesteuerten technischen Verfahrens) erfolgt.

• Die automatisierte Verarbeitung muss für jede Phase der technikunterstützten Informationsverarbeitung gegenüber nicht-automatisierter Datenverarbeitung im Hinblick auf den Dateibegriff und die Definition der Sicherheitsziele abgegrenzt werden.


18



• Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen.

• Diese Regelung gilt nicht bei Vertragsverhältnissen oder ähnlichen Rechtsgeschäften oder wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen garantiert wird.


19



• Wird von der betroffenen Person ein besonderes schutzwürdiges Interesse schriftlich geltend gemacht, darf die Verarbeitung ihrer Daten nur erfolgen, wenn das Interesse der datenverarbeitenden Stelle überwiegt. Die betroffene Person ist über das Ergebnis zu informieren.


20


Akte

• Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist.


21


Datenvermeidung und Datensparsamkeit

• Gestaltung und Auswahl von Informationstechnik haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

• Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.


22


Zweckbindungsprinzip

• Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Erfüllung der definierten Aufgaben unabdingbar ist.

• Eine Verarbeitung oder Nutzung von Daten, die im Rahmen der automatisierten Verarbeitung in Kontrolldateien gespeichert werden oder im Rahmen von Maßnahmen zur Verbesserung der Organisation oder zur Kontrolle des Datenschutzes anfallen für andere Zwecke ist unzulässig.


23


Verbunddateien (1)

• Die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist.

• Innerhalb einer öffentlichen Stelle bedarf eine derartige Einrichtung der Zustellung des Dienststellenleiters.


24


Verbunddateien (2)

• Erfolgt die Einrichtung für mehrere Stellen, müssen diese die Datenart, die Aufgaben der beteiligten Stellen, Zweck und Umfang der jeweiligen Befugnis und die Gesamtverantwortlichkeit bestimmen.

• Der Landesbeauftragte für den Datenschutz ist vorab zu informieren.


25


Funktionsbegriff Erheben

• Erheben ist das Beschaffen von Daten über den Betroffenen.

• Die Art der Erhebung ist unerheblich. Sie muss jedoch zielorientiert erfolgen. Der Betroffene ist über den Umfang der Erhebung und ggfls. die weitere Speicherung usw. zu informieren, soweit dies durch das Datenschutzrecht bestimmt ist.

• Ein Erheben ist dann nicht gegeben, wenn die Daten aus vorliegenden Unterlagen zusammengestellt werden.


26


Verarbeitung und Nutzung

• Verarbeiten ist ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

• Nutzen ist ´jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.


27


Funktionsbegriff Speichern

• Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke der weiteren Verarbeitung oder Nutzung.

• Datenträger ist jedes Medium, das zur Aufnahme personenbezogener Daten geeignet ist.

• Erfassen ist als Dateneingabe unter Vornahme von Plausibilitätsprüfung zur Gewährleistung der Integrität und Konsistenz der Daten zu verstehen.


28


Funktionsbegriff Verändern

• Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten.

• Verändern umfasst jegliche Transformation und Verknüpfung von Daten .

• Soweit durch das Verändern von Daten diese ihren bisherigen Kontext verlieren oder ein neues Informationsbild mit geänderter Qualität geschaffen wird, muss das Ergebnis im Hinblick auf die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung ggfls. neu bewertet werden.


29


Funktionsbegriff Übermitteln

• Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass– die Daten an den Dritten weitergegeben werden

oder– der Dritte zur Einsicht oder zum Abruf

bereitgehaltene Daten einsieht oder abruft.• Übermitteln von Daten liegt auch dann vor, wenn nicht

einzelne Daten, sondern Datenbestände weitergegeben werden.


30


Funktionsbegriff Sperren

• Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.


31


Funktionsbegriff Löschen

• Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten.

• Die Wirksamkeit des Löschens wird durch die anwendbaren Möglichkeiten der Wiedergewinnung mit allgemein oder speziell verfügbaren Methoden und Techniken bestimmt.

• Sind die zu löschenden Daten auch in Bestandssicherungen enthalten, gilt das Löschen als erfüllt, wenn die Sicherungsbestände überschrieben oder in anderer Weise dem Zugriff entzogen werden.


32


Funktionsbegriff Anonymisieren

• Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig grossen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

• Eine Reanonymisierung muss ausgeschlossen werden können. Maßgebend ist dabei, ob die Reanonymisierung durch die verantwortliche Stelle möglich ist.


33


Funktionsbegriff Pseudonymisieren

• Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

• Das Pseudonymisieren von Daten für statistische Zwecke ist nicht zulässig. Zielaspekt ist die Verwendung von verfremdeten Daten für Testzwecke und Präsentationen, die ohne Bezug zur Realwelt nicht operabel sind.


34


Modul 2

Rechtsvorschriften des Datenschutzes


35


Anwendungsbereich (1)

• Das Landesdatenschutzgesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen.


36



• Für wirtschaftliche Unternehmen der Gemeinden und Gemeindeverbände ohne eigene Rechtspersönlichkeit, für öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, sowie für die der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, finden die Vorschriften über die Rechtsgrundlagen der Datenverarbeitung Anwendung.


37



• Für den Landtag, die Gerichte und die Behörden der Staatsanwaltschaft gilt, soweit diese Verwaltungsaufgaben wahrnehmen, das LDSG eingeschränkt (Rechtsgrundlagen der Datenverarbeitung).


38


Lex specialis vor lex generalis

• Soweit besondere Rechtsvorschriften des Bundes oder Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, haben sie als lex specialis Anwendungsvorrang. BDSG und LDSG haben den Charakter eines Auffanggesetzes.

• Bei konkurrierenden bereichsspezifischen Rechtsvorschriften gilt der Grundsatz „Bundesrecht bricht Landesrecht“.


39


LDSG im Verhältnis zum Verwaltungsverfahrensgesetz

• Für das Verhältnis zum LDSG enthält das Verwaltungsverfahrensrecht Regelungen, dass die Normadressaten des LDSG - auch im Verwaltungsverfahren - den vorrangigen Bestimmungen des LDSG unterworfen sind, soweit sie bei der Sachverhaltsermittlung personenbezogene Daten verarbeiten oder nutzen.


40


Datenübermittlung im grenzüberschreitenden Datenverkehr

• Für die Datenübermittlung im grenzüberschreitenden Datenverkehr finden die Rechtsvorschriften der EU Anwendung. Grundsätzlich gilt für alle Mitglieder der EU, die durch innerstaatliches Recht die Grundsätze und Leitlinien der EU, ibs. die Konvention 108 für den personenbezogenen Datenschutz ratifiziert haben oder gesetzliche Bestimmungen erlassen haben, die im Einklang mit dieser Konvention stehen, der Grundsatz, dass dem grenzüberschreitenden Datenverkehr keine Beschränkungen auferlegt werden sollten.


41


Modul 3

Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener

Daten


42


Daten

Erheben (1)

• Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.

• Personenbezogene Daten sind beim Betroffenen mit seiner Kenntnis zu erheben, er ist über den Verwendungszweck aufzuklären.

• Erforderlich ist die Erhebung, wenn ihre Kenntnis zur Erreichung des angestrebten Zweckes objektiv geeignet und im Verhältnis zum angestrebten Zweck auch notwendig ist.


43


Daten

Erheben (2)

• Die Verpflichtung zur Datenerhebung beim Betroffenen kann jedoch nicht lückenlos durchgeführt werden. Die Beschaffung von anderen Stellen ohne Kenntnis ist unter bestimmten Voraussetzungen zulässig, nämlich dann, wenn die Daten bereits bei anderen Stellen innerhalb der gleichen Behörde vorliegen. Dabei ist auch das Zweckbindungsprinzip zu beachten.


44


Daten

Zweckbindung bei Speicherung, Veränderung, Nutzung (1)

• Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zu rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist.

• Die Weitverarbeitung von Daten zu anderen Zwecken ist u.a. nur zulässig, wenn – dies durch Rechtsvorschriften bestimmt ist,– der Betroffene eingewilligt hat,– sie aus allgemein zugänglichen Quellen entnommen

werden können.


45


Daten

Zweckbindung bei Speicherung, Veränderung, Nutzung (2)

• Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient.


46


Daten

Datenübermittlung im öffentlichen Bereich (1)

• Die Übermittlung an öffentliche Stellen ist zulässig, wenn dies zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist.

• Die Übermittlung ist auch dann zulässig, wenn eine Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.


47


Daten


• Können die zu übermittelnden Daten nicht von anderen Informationen, mit denen sie verbunden sind, ohne vertretbaren Aufwand getrennt werden, so ist die Übermittlung auch dieser Daten zulässig, soweit berechtigte Belange des Betroffenen nicht entgegenstehen; eine Nutzung dieser Daten durch den Empfänger ist nicht zulässig.


48


Daten


• Die Verantwortung für die Übermittlung trägt die übermittelnde Stelle. Sie prüft das Übermittlungsersuchen des Empfängers.

• Erfolgt die Übermittlung in automatisierten Abrufverfahren, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger.

• Für die Weitverarbeitung der Daten beim Empfänger gilt das Zweckbindungsprinzip.


49


Daten

Automatisierte Abrufverfahren und regelmässige Datenübermittlung (1)

• Die Einrichtung automatisierter Abrufverfahren ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist.

• Die am Abrufverfahren beteiligten Stellen haben alle erforderlichen Maßnahmen für die Gewährleistung der IT-Sicherheitsziele im Abrufverfahren zu treffen.

• Automatisierte Abrufverfahren für Stellen ausserhalb des öffentlichen Bereichs sind nicht zulässig.


50


Daten

Automatisierte Abrufverfahren und regelmäßige Datenübermittlung (2)

• Den Verfahren zur automatisierten Direktabfrage personenbezogener Daten kommt besondere Bedeutung zu, weil die abrufende Stelle je nach Einrichtung eines solchen Anschlusses über den gesamten Umfang oder wesentliche Teile des Bestandes verfügen kann.

• Den automatisierten Abrufverfahren sind Verfahren zur regelmäßigen Datenübermittlung gleichgestellt.


51


Daten

Automatisierte Abrufverfahren (3)

• Die verantwortliche Stelle hat durch Stichprobenverfahren die Ordnungsmäßigkeit des automatisierten Abrufverfahrens zu überprüfen.


52


Daten

Übermittlung an nicht-öffentliche Stellen

• Die Übermittlung an nicht-öffentliche Stellen ist u.a zulässig, wenn– sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der

übermittelnden Stelle liegenden Aufgaben erforderlich ist,

– sie im öffentlichen Interesse liegt und hierfür ein berechtigtes Interesse geltend gemacht hat und kein Widerspruch des Betroffenen vorliegt,

– vom Empfänger ein rechtliches Interesse geltend gemacht wird und schutzwürdige Belange des Betroffenen nicht entgegenstehen.


53


Daten

Übermittlung an ausländische Stellen (1)

• Die Übermittlung an nicht-öffentliche Stellen außerhalb des Geltungsbereiches des GG richtet sich nach den Vorschriften Bestimmungen über die Datenübermittlung an öffentliche und nicht-öffentliche Stellen.

• Die Übermittlung an Stellen außerhalb der EU-Mitgliedstaaten ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist, hierzu ist vor der Entscheidung der Landesbeauftragte für den Datenschutz zu hören.


54


Daten

Übermittlung an ausländische Stellen (2)

• Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn u.a.– die betroffene Person eingewilligt hat,

– die Übermittlung zur Wahrung des überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist.

• Die empfangende Stelle ist auf das Zweckbindungsprinzip hinzuweisen.


55


Modul 4

Zulässigkeit der Datenerhebung,

-verarbeitung und -nutzung


56

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

• Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn dies durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat.


57


• Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben und die evtl. Folgen einer Verweigerung hinzuweisen.


58


Einwilligung des Betroffenen (1)

• Wird die Einwilligung bei dem Betroffenen eingeholt, ist er, sofern er nicht auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle

– über deren Identität,

– die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und

– die Kategorien von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen muss,

zu unterrichten.


59



• Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung hinzuweisen.

• Die Einwilligung bedarf der Schriftform. Sie muss, soweit sie im Zusammenhang mit anderen Erklärungen abgegeben wird, deutlich hervorzuheben.


60



• Die Einwilligung des Betroffenen kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass– sie nur durch eine eindeutige und bewusste Handlung der

handelnden Person erfolgen kann,

– sie nicht unerkennbar verändert werden kann,

– ihr Urheber erkannt werden kann,

– die Einwilligung bei der betroffenen Stelle protokolliert wird

– der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann.


61


Modul 5

Auftragsdatenverarbeitung


62


• Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der anzuwendenden Rechtsvorschriften zum Datenschutz verantwortlich.

• Der Auftragnehmer darf die Daten nur im Rahmen von Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

• Der Auftragnehmer ist funktionaler Bestandteil der verantwortlichen Stelle.


63


Auftragsverhältnis (1)

• Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen organisatorischen und technischen Maßnahmen zur Gewährleistung der IT-Sicherheit sorgfältig auszuwählen.

• Der Auftrag ist schriftlich zu erteilen. Dabei können verschiedene Auftragsformen vom Rahmenvertrag mit Einzelaufträgen bis zur ausschließlichen, allgemein oder für den Einzelfall geltenden Regelung in Betracht kommen.


64



• Im Rahmen des Auftragsverhältnisses sind die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Sicherheitsmassnahmen und etwaige Unterauftragsverhältnisse festzulegen.

• Der Auftraggeber hat die Pflicht, sich von der Einhaltung der getroffenen Vereinbarungen zu überzeugen.


65



• Der Auftragnehmer hat den Auftraggeber über von ihm erkannte oder vermutete Verstöße gegen datenschutzrechtliche Bestimmungen oder Regelungen des Auftragsverhältnisses unverzüglich zu informieren. Dies gilt auch dann, wenn der Auftragnehmer das vorhandene Sicherheitssystem ändert und hierdurch getroffene Vereinbarungen inhaltlich berührt werden.


66


Anwendungsbereiche

• Anwendungsbereiche der Auftragsdatenverarbeitung sind– die Datenerfassung,

– die Entwicklung von Individualsoftware,

– die Erbringung von Wartungsarbeiten (lokale Wartung oder Fernwartung) für Netze, Systeme und Dienste,

– die Durchführung von Verarbeitungen automatisierter Verfahren,

– die Durchführung von Datenübermittlung sowie die Einrichtung von automatisierten Abrufverfahren.


67


Wartung und Systembetreuung durch externe Stellen

• Externe Stellen und Personen, die mit der Wartung und Systembetreuung von von IT-Systemen oder deren Komponenten beauftragt sind, müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen.

• Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, wenn dies unvermeidlich ist; in diesen Fällen hat der Auftragnehmer die Daten unverzüglich nach Erledigung des Auftrags zu löschen. Die Nachweise hierzu sind drei Jahre aufzubewahren.


68


Datenverarbeitung durch eigene Stellen (1)

• Bei der Erhebung, Verarbeitung oder Nutzung von personenbezogene Daten durch eigene Stellen im Organisationsbereich der verantwortlichen Behörde ist Auftragsdatenverarbeitung nicht gegeben.

• Im Interesse einer ordnungsgemäßen und kontrollierbaren automatisierten Datenverarbeitung wird die Anwendung der Rechtsvorschriften für die Auftragsdatenverarbeitung empfohlen.


69


Datenverarbeitung durch eigene Stellen (2)

• Soweit die IT-Zentralen des Landes personenbezogene Daten im Auftrag öffentlicher Stellen verarbeiten, haben sie die Vorschriften

- über das Datengeheimnis,

- Technische und organisatorische Maßnahmen

- Kontrolle durch den Landesbeauftragten für den Datenschutz

für ihren Bereich anzuwenden.


70


Modul 6

Rechte des Betroffenen

und

Korrespondenzpflichten

der verantwortlichen Stelle


71

Rechte des Betroffenen / Pflichten der verantwortlichen Stelle

Unabdingbare Rechte des Betroffenen

• Die Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung oder Löschung können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

• Sind die Daten des Betroffen automatisiert bei mehreren Stellen gespeichert, kann er sich an jede dieser Stellen wenden, wenn er die für die Speicherung verantwortliche Stelle nicht selbst ermitteln kann. Die Stelle, bei der der Betroffene seine Rechte reklamiert, ist zur Information der bezogenen Stelle verpflichtet.


72


Korrespondenzpflichten der verantwortlichen Stelle

• Den Rechten des Betroffenen auf Berichtigung, Sperrung und Löschung entsprechen die Pflichten der verantwortlichen Stelle zur Vornahme korrigierender Handlungen, ohne dass es dabei zwingend eines Einspruches des Betroffenen bedarf.


73


Recht auf Auskunft (1)

• Dem Betroffenen ist auf Antrag Auskunft zu erteilen über– die zu seiner Person gespeicherten Daten,

– den Zweck und die Rechtsgrundlage der Speicherung,

– die Herkunft der Daten, soweit sie von anderen Stellen zur Verfügung gestellt oder aus allgemein zugänglichen Quellen gewonnen wurden, und die Empfänger von Übermittlungen,

– Die allgemeinen technischen Bedingungen der automatisierten Verarbeitung der zur eigenen Person verarbeiteten Daten.

• Die Auskunft darf nur verweigert werden, wenn dies durch eine Rechtsvorschrift ausdrücklich bestimmt ist.


74


Recht auf Auskunft (2)

• Die Form des Auskunftsverfahrens bestimmt die verantwortliche Stelle. Grundsätzlich wird die Auskunft– schriftlich und

– unentgeltlich erteilt.


75


Recht auf Berichtigung, Sperrung, Löschung (1)

• Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

• Personenbezogene Daten sind zu sperren, wenn – ihre Richtigkeit vom Betroffenen bestritten wird,

– der Betroffene anstelle der Löschung die Sperrung verlangt,

– die weitere Speicherung im Interesse des Betroffenen geboten ist,

– ie nur zu Zwecken der Datensicherung und der Datenschutzkontrolle gespeichert sind.


76



• Bei automatisierten Dateien ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im übrigen ist ein ein entsprechender Vermerk anzubringen.


77



• Personenbezogene Daten sind zu löschen, wenn ihre Speicherung– unzulässig ist,– ihre Kenntnis für die Aufgabenerfüllung nicht mehr

erforderlich ist.

• Über die Berichtigung von Daten, die Sperrung und Löschung sind unverzüglich die betroffene Person und die Stellen zu informieren, an die Datenübermittlung erfolgt; es sei denn, dass die Benachrichtigung einen erheblichen Aufwand erfordert und nachteilige Folgen für die betroffene Person nicht zu befürchten sind.


78


Benachrichtigung des Betroffenen

• Der Betroffene ist zu benachrichtigen, wenn erstmals personenbezogene Daten für eigene Zwecke ohne seine Kenntnis gespeichert werden. Die Benachrichtigung entspricht nach Form und Inhalt der Auskunft.

• Eine Pflicht zur Benachrichtigung besteht nicht, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung, Verarbeitung oder Nutzung erlangt hat, oder die Benachrichtigung durch Rechtsvorschrift ausgeschlossen ist.


79


Modul 7

Besonderer Datenschutz


80

Besondere Regelungen

Sicherstellung des Datenschutzes

• Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und ihre Vereinigungen haben für ihren Bereich jeweils die Ausführung der Rechtsvorschriften über den Datenschutz sicherzustellen.


81


Datengeheimnis

• Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

• Die infrage kommenden Personen sind auf das Datengeheimnis zu verpflichten. Dies gilt auch für Personen, die bei der Auftragsdatenvearbeitung für den Auftraggeber als Erfüllungsgehilfen tätig werden.


82


Technische und organisatorische Massnahmen (1)

• Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der anzuwendenden Rechtsvorschriften zum Datenschutz sicherzustellen.

• Erforderlich sind Maßahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.


83


Technische und organisatorische Maßnahmen (2)

• Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass die Sicherheitsziele der

– Vertraulichkeit,

– Integrität,

– Verfügbarkeit,

– Authentizität,

– Revisionsfähigkeit und

– Transparenzerreicht werden.


84


Technische und organisatorische Maßnahmen (3)

• Die Maßnahmen sind auf der Grundlage eines revisionsfähigen Sicherheitskonzeptes zu ermitteln und zu realisieren.

• Die Anpassung an den technischen Entwicklungsstand ist jeweils durchzuführen.


85


Datenschutzaudit

• Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Informationstechnik und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen.


86


Datenschutz bei Videoüberwachung

• Videoüberwachung ist nur zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.

• Auf die Videoüberwachung ist hinzuweisen.• Die Daten sind zu löschen, wenn sie zur Erreichung des

Zweckes nicht mehr erforderlich sind oder schutzwürdige Belange der Betroffenen entgegenstehen.


87


Mobile personenbezogene Datenverarbeitungssysteme (1)

• Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereit gestellte Schnittstelle Daten automatisiert austauschen können, dürfen nur mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden.


88


Mobile personenbezogene Datenverarbeitungssysteme (2)

• Für die Betroffenen muss jederzeit erkennbar sein,

- ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder dieses veranlasst stattfinden,

- welche personenbezogenen Daten der betroffenen Person verarbeitet werden,

welcher Veränderungsvorgang im Einzelnen abläuft oder angestoßen wird.

• Die Betroffenen sind über ihre Rechte auf Auskunft usw. bei der Ausgabe der Geräte aufzuklären.


89


Modul 8

Bereichsspezifischer Datenschutz


90



Teil 1: Personaldatenschutz


91


Personaldatenschutz (1)Allgemeine Rechtsgrundsätze

• Daten von Bewerbern und Beschäftigten dürfen nur erhoben, gespeichert und verarbeitet werden, wenn dies– zur Eingehung, Durchführung, Beendigung oder Abwicklung

des Dienst- oder Arbeitsverhältnisses oder– zur Durchführung dienstlicher, organisatorischer, personeller

und sozialer Maßnahmen, ibs. auch zu Zwecken der Personalplanung und des Personaleinsatzes

erforderlich ist.

• Anzuwendende Rechtsvorschriften sind ibs. auch Tarifverträge und Dienstvereinbarungen.


92


Personaldatenschutz (2)

Datenerhebung beim Bewerber (1)

• Bei der Datenerhebung vom Bewerber sind zu beachten– Der Grundsatz der Zweckbestimmung des angestrebten

Beschäftigungsverhältnisses,

– Die Interessenabwägung im Rahmen der Zweckbestimmung nach dem Grundsatz der Verhältnismässigkeit.

• Problemfelder:– Psychologische Wirkungs- und Erkenntnisgrössen können beim

Bewerber die Abwehr von unzulässigen Fragen beeinträchtigen,

– Sachgerechte und objektive Ermessensentscheidungen sind wg. Fehlender Sensibilität im Umgang mit personenbezogenen Daten bei den Entscheidungsträgern nicht durchgängig zu erwarten.


93




• Medizinische und psychologische Untersuchungen sind zulässig, soweit dadurch ergänzend zu den allgemeinen Erhebungen die Eignung des Bewerbers unter dem Aspekt der Anforderungen der angestrebten Stelle festgestellt wird.

• Der Personalstelle darf nur das Ergebnis der Eignungsuntersuchung mitgeteilt werden.


94




• Bewerberdaten sind zu löschen, wenn die Bewerbung keinen Erfolg hatte.

• Eine Aufbewahrung für künftige Personalauswahlverfahren ist nur mit Zustimmung des Bewerbers zulässig.


95



Personalaktenführung (§§ 90 a ff BBG)

• Die allgemeine Personalakte (PA) ist gesondert zu führen und vor unbefugter Einsichtnahme zu schützen.

• Bestandteil der PA sind nur Unterlagen, die mit dem Dienst- oder Arbeitsverhältnis in unmittelbarem, inneren Zusammenhang stehen.

• Kindergeldakten und Beihilfeakten sind getrennt von der allgemeinen Personalakte zu führen.


96



Automatisierte Dateien

• Bei automatisierter Speicherung von Dateien sind besondere Maßnahmen zur Zugangs- und Zugriffskontrolle erforderlich.

• Ergebnisse medizinischer und psychologischer Untersuchungen dürfen nur gespeichert werden, wenn dies dem Schutz des Beschäftigten dient.


97


Personaldatenschutz (7)Speicherung und Verarbeitung von Telefondaten

• Daten über privat geführte Telefongespräche dürfen nur zum Zwecke der Abrechnung gespeichert und verarbeitet werden. Die Verarbeitung oder Nutzung für andere Zwecke ist unzulässig. Die Abrechnung ist verschlossen zu übermitteln.

• Daten über dienstlich geführte Telefongespräche dürfen zur Bewertung der Arbeitsergebnisse und zum Zwecke von Organisationsänderungen ausgewertet werden.


98


Personaldatenschutz (8)Personalvertretung (1)

• Die Personalvertretung ist Teil der „speichernden Stelle“.

• Die Datenverarbeitung der Personalvertretung unterliegt der Kontrolle durch den behördlichen Datenschutzbeauftragten.

• Personaldaten dürfen der Personalvertretung nur im gesetzlich begründeten Fall der Mitwirkung oder Zustimmung zur Kenntnis gegeben werden. Der allgemeine Zugriff auf die Personaldaten ist unzulässig.


99



Personalvertretung (2)

• Das Datenschutzrecht ist ein zugunsten der Beschäftigten geltendes Recht i.S. des Personalvertretungsrechtes. Daraus ergeben sich– die Verpflichtung des Arbeitgebers, die Personalvertretung

umfassend über alle Formen der Verarbeitung von Personaldaten zu unterrichten,

– die Verpflichtung der Personalvertretung, den Schutzauftrag zum Persönlichkeitsschutz der Beschäftigten umfassend und kontinuierlich wahrzunehmen.


100



Teil 2: Sozialdatenschutz


101


Sozialdatenschutz (1)

Sozialdaten

• Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, die im Hinblick auf die Aufgaben nach dem SGB erhoben, verarbeitet oder genutzt werden. Betriebs- und Geschäftsgeheimnisse stehen den personenbezogenen Daten gleich.


102



Sozialgeheimnis

• Jeder hat Anspruch darauf, dass ihn betreffende Sozialdaten von den Leistungsträgern als Normadressaten als Sozialgeheimnis gewahrt werden.

• Die Erhebung, Verarbeitung, Übermittlung oder Nutzung von Sozialdaten ist nur unter den besonderen Voraussetzungen des SGB zulässig.


103



Normadressaten des Sozialgeheimnisses

• Zur Beachtung des Sozialgeheimnisses verpflichtet ist– jede Stelle eines Trägers der öffentlichen Verwaltung, soweit

sie durch Leistung oder Eingriff eine Aufgabe erfüllt, die im SGB oder einer abgeleiteten Rechtsvorschrift geregelt ist,

– Verbände und Arbeitsgemeinschaften der Leistungsträger als gleichgestellte Normadressaten,

– nach dem SGB abgeleitete Normadressaten.


104


Sozialdatenschutz (4)Erhebung von Sozialdaten

• Sozialdaten sind grundsätzlich beim Betroffenen zu erheben.

• Eine Erhebung ohne Mitwirkung des Betroffenen ist nur innerhalb des sog. „Sozialdatenpools“ unter bestimmten Voraussetzungen zulässig.

• Die Erhebung bei anderen Personen oder Stellen ist nur dann zulässig, wenn dies eine Rechtsvorschrift ausdrücklich erlaubt oder dies aufgrund der Art der Erhebung bedingt ist.


105



Übermittlung von Sozialdaten (1)

• Die Übermittlung von Sozialdaten ist nur zulässig, wenn– der Betroffene schriftlich eingewilligt hat oder

– soweit eine gesetzliche Übermittlungspflicht nach den Vorschriften des SGB oder einer anderen, aus dem SGB abgeleiteten Rechtsvorschrift besteht.


106



Übermittlung von Sozialdaten (2)

• Zulässige Verfahren zur Übermittlung von Sozialhilfe:– allgemeine Amtshilfe,

– Datenübermittlung in Zusammenhang mit Arbeitsunfähigkeit,

– Datenübermittlung für die Erfüllung sozialer Aufgaben,

– Datenübermittlung an Prüfinstanzen,

– Datenübermittlung für die Durchführung eines Strafverfahrens,

– Anschriftenübermittlung bei Verletzung der Unterhaltspflicht und beim Versorgungsausgleich.


107



Automatisierte Abrufverfahren

• Automatisierte Abrufverfahren sind nur innerhalb des Sozialdatenpools zulässig, wenn dies durch das SGB oder eine abgeleitete Rechtsvorschrift ausdrücklich erlaubt ist und durch die Aufsichtsbehörden der beteiligten Stellen genehmigt ist.


108




• Bei der Auftragsdatenverarbeitung werden an die Zuverlässigkeit des Auftragnehmers besonders hohe Anforderungen gestellt.

• Die Auftragserteilung ist nur zulässig, wenn der Datenschutz beim Auftragnehmer den Anforderungen entspricht, die für den Auftraggeber bei eigener Datenverarbeitung gelten würden.

• Vor Auftragserteilung ist eine schriftliche Anzeige bei der Aufsichtsbehörde über den Auftragnehmer sowie Art und Umfang der Inanspruchnahme erforderlich.


109


Modul 9

Datenschutz beim Einsatz neuer Technologien


110



Teil 1: Internet / Intranet und Datenschutz


111


Internet / Intranet und Datenschutz (1)

World Wide Web-Dienst (WWW) (1)

• Ein WWW-Server stellt eine allgemein zugängliche Quelle dar und schafft damit den Erlaubnistatbestand für eine freie Nutzung der Daten.

• Soweit öffentliche Stellen Informationsangebote im WWW bereitstellen, die u.a. Daten über Beschäftigte beinhalten sollen, bedarf es einer Einwilligung der Betroffenen.


112


Internet und Datenschutz (2)

World Wide Web-Dienst (WWW) (2)

• Soweit öffentliche Stellen das WWW für Teleantragsverarbeitung nutzen, muss eine gesicherte Übertragung mit Einsatz kryptografischer Verfahren und Digitaler Signatur erfolgen.


113


Internet und Datenschutz (3)World Wide Web-Dienst (WWW) (3)

• Die öffentlichen Stellen regeln die Zugangs- und Voraussetzungen für Teleantragsverarbeitung:– Festlegung der Verfahren und anzuwendenden Krypto-

Methoden für die gesicherte Übertragung,– eindeutige und einmalige Referenzierung der

Übermittlungsvorgänge,– gesicherte Ende-zu-Ende-Übertragung mit Verschlüsselung

und digitaler Signatur,– Erzeugung nicht manipulierbarer Kopien der übermittelten

Daten beim Absender und Empfänger.


114



E-Mail (1)

• Mailboxen sind rechtlich zunächst als Massenmedien zu betrachten, da sie insgesamt oder in Teilabereichen adressierbar sind.

• Die Anwendung der Rundfunkgesetze auf den Betrieb von Mailboxen ist zu verneinen, da bei Mailboxen immer nur eine begrenzte Zahl von Benutzern in Betracht kommt.


115


Internet und Datenschutz (5)E-Mail (2)

• Für den Betreiber von Mailboxsystemen ergeben sich aus rechtlicher Sicht bestimmte Anforderungen:– Jedes Angebot muss den Anbieter erkenntlich machen und

Teilnehmern den Abruf von Namen und Anschrift ermöglichen,

– Der Anbieter hat eine besondere Sorgfaltspflicht im Hinblick auf wahrheitsgetreue und sachliche Nachrichten,

– Die Verbindungsdaten sind unmittelbar nach Beendigung der Verbindung zu löschen, soweit sie nicht für Abrechnungszwecke benötigt werden.


116



E-Mail (3)

• Beim Versand personenbezogener Daten mittels E-Mail werden diese u.Ust. in Kommunikationssystemen, die Gateway- und Router-Funktionen übernehmen, zwischengespeichert.

• Der Versand von E-Mails unterliegt dem Fernmeldegeheimnis.

• Das Briefgeheimnis findet auf private E-Mails Anwendung, soweit diese ausdrücklich zugelassen sind.


117



E-Mail (4)

• Personenbezogene Daten dürfen mittels E-Mail nur in verschlüsselter Form und mit digitaler Signatur übermittelt werden.

• Grundsätzlich ist eine Ende-zu-Ende-Verschlüsselung mit entsprechenden Signaturverfahren anzustreben, soweit hierdurch übergeordnete Sicherheitsbedürfnisse der öffentlichen Stelle nicht beeinträchtigt werden.


118



Teil 2: Datenschutz bei Telearbeit


119


Datenschutz bei Telearbeit (1)

Definition Telearbeit

• Telearbeit ist dezentrale, informations- und kommunikationsgestützte Arbeit, die üblicherweise in einem Büro erbracht wird.


120



Formen der Telearbeit

• Tele-Heimarbeit

• Alternierende Telearbeit

• Satellitenbüro

• Nachbarschafts-Büro

• Tele-Haus


121



Problemfelder der Telearbeit

• Verarbeitung von Kundendaten

• Verarbeitung von Personaldaten

• Rechnersysteme in privaten Räumlichkeiten

• Daten im Zugriffsbereich Dritter

• Gefahr des unberechtigten Netzzugangs


122



Datenschutzrechtliche Rahmenbedingungen (1)

• Allgemeines Datenschutzrecht:– Die Zulässigkeit der Telearbeit ist in Abhängigkeit von der

Empfindlichkeit der personenbezogenen Daten zu bewerten, i.d.R. bedarf es der Einwilligung des Betroffenen,

– es sind angemessene, technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes zu treffen, ibs. Zur Zugangs- und Zugriffssicherung. Der Grundsatz der Zweck-Mittel-Relation muss den besonderen Anforderungen entsprechend angewendet werden.


123




• Aus datenschutzrechtlicher Sicht sind ibs. Maßnahmen zur Gewährleistung der– Vertraulichkeit (Gefahr der unbefugten Einsichtnahme /

Erschließung von Daten am Telearbeitsplatz) und

– Gefährdung der Integrität (Gefahr der unbefugten, unbemerkten Veränderung von Daten am Telearbeitsplatz)

zu treffen.


124




• Kontrollfunktion des behördlichen Datenschutzbeauftragten bei häuslicher Teleheimarbeit eingeschränkt, da die Räumlichkeiten des Teleheimbüros unter den Schutzbereich Art. 13 GG fallen.

• Bei mobiler Teleheimarbeit (Fahrzeug, Hotelzimmer) muss zwischen Geschäftsraum und Privatbereich unterschieden werden.


125




• Mitwirkung / Mitbestimmung der Personalvertretung:– Einführung und Anwendung von technischen Einrichtungen,

die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, dies gilt ibs. bei der Teleheimarbeit.

• Bei Telearbeit ist eine Betriebsvereinbarung, die auch die datenschutzrechtlichen Probleme abdeckt, erforderlich.


126




• Zugangskontrolle:– Eignung der privaten Räumlichkeiten durch Begehung /

Kontrolle anhand Anforderungskatalog überprüfen,

– nachweisliche Belehrung des Telearbeiters mit Hinweis auf Verantwortung für den Zugangsschutz,

– bei Arbeitsunterbrechungen Beendigung des Systemdialages bzw. der Kommunikationsverbindung zum entfernten Rechner.


127




• Zugriffskontrolle:– Entfernte Administration des Telesystems mit Überprüfung

der Datenbestände auf Vollständigkeit und Integrität,

– lokaler Zugriff auf verschlüsselte Datenbestände,

– entfernter Zugriff auf Protokolldateien und das System bei Störungen.


128




• Übermittlungskontrolle:– Übermittlung der Daten ausschließlich in verschlüsselter

Form, ggfls. mit zusätzlicher Absicherung durch digitale Signatur.


129



Teil 3: Datenschutz beim Betrieb von Telekommunikationsanlagen


130


Datenschutz bei Einsatz von

Telekommunikationsanlagen (1)

• Der Betrieb von Telekommunikationsanlagen unterliegt den Schutzvorschriften des Telekommunikationsgesetzes, soweit diese für private Zwecke ausdrücklich verfügbar gemacht werden.

• Bei privater Nutzung unterliegen alle Beschäftigten, die für den Betrieb der Telekommunikationsanlagen verantwortlich sind, dem Fernmeldegeheimnis.


131


Datenschutz bei Einsatz von

Telekommunikationsanlagen (2)

• Die bei der Nutzung von Telekommunikationsanlagen (Fernsprechen, Faxen) entstehenden Verbindungsdaten – dürfen Nur für Abrechnungszwecke verwendet werden,

– dürfen von den Zugriffsberechtigten nicht für andere Zwecke verwendet werden,

– sind anderen Beschäftigten oder Stellen nicht zugänglich zu machen,

– sind sofort nach Abrechnung, spätestens jedoch nach bestimmten Verfallsfristen zu löschen.

• Voraussetzungen und Rahmenbedingungen der privaten Nutzung sind in einer Betriebsvereinbarung zu regeln.


132


Modul 10

Interner Datenschutzbeauftragter


133

Datenschutzbeauftragter

Bestellung

• Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen.

• Mehrere Stellen können gemeinsam einen Beauftragten für den Datenschutz bestellen, wenn hierdurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird.


134


Qualifikation

• Sachkunde

• Zuverlässigkeit


135


Anforderungsprofil

• Juristische Kenntnisse

• Unternehmenskenntnisse

• Betriebswirtschaftliche Kenntnisse

• IT-Kenntnisse


136


Anforderungsprofil: Unternehmenskenntnisse

• Formale Strukturen

• Informale Strukturen

• Institutionstypische Gegebenheiten


137


Anforderungsprofil: Betriebswirtschaftliche Kenntnisse

• Allgemeine Betriebswirtschaftslehre– Organisationslehre

– Unternehmensführung

• Spezielle Betriebswirtschaftslehre– Planung und Kontrolle

– Personalwesen


138


Anforderungsprofil: IT-Kenntnisse

• Allgemeine technische Kenntnisse– Basisarchitekturen von IT-Systemen und Netzwerken

– Methoden und Techniken der Ein- / Ausgabe, Speicherung und Verarbeitung

• Kenntnisse Systemsoftware– Betriebsarten, Bedieneroberflächen

– Prinzipien und Modelle der Softwareentwicklung

• Kenntnisse Anwendungssoftware– Strukturen Standard- / Individualsoftware

– Datenbankanwendungen


139


Rechtsstellung

• Direktunterstellung Behördenleitung

• Keinen Weisungen unterworfen

• Benachteilungsverbot

• Widerruf der Bestellung bei Bestellungspflicht nur nach § 626 BGB

• Schweigerecht (-pflicht) über die Identität Betroffener (kein Zeugnisverweigerungsrecht)


140


Unterstützung durch die speichernde Stelle (1)

• Allgemeine Unterstützung

• Bereitstellung von Hilfspersonal, Einrichtungen, Geräten und Mitteln


141



• Bereitstellung von Übersichten:– IT-Infrastruktur

– Verfahrensverzeichnis


142



• Das Verfahrensverzeichnis beinhaltet– Name und Anschrift der datenverarbeitenden Stelle,

– die Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung,

– die Art der gespeicherten Daten und den Kreis der Betroffenen,

– die zugriffsberechtigten Personen oder Personengruppen,

– die Beschreibung der eingesetzten IT-Infrastruktur sowie der technischen und organisatorischen Massnahmen,

– die Adressaten und Verfahren der Datenübermittlung.


143


Aufgaben des Datenschutzbeauftragten (1)

• Das LDSG verpflichtet die öffentliche Stellen, den internen Datenschutzbeauftragten bei der Planung bzw. Änderung von Verfahren zur Verarbeitung personenbezogener Daten sowie bei der Erarbeitung interner Regelungen zum Datenschutz frühzeitig zu beteiligen.


144



• Planung und Aufbau der Datenschutzorganisation

• Überprüfung der Einhaltung von Rechtsvorschriften zum Datenschutz und Organisationsregelungen

• Schulung und Information von Führungskräften und Mitarbeitern


145



• Prüfung von Zulässigkeitsvoraussetzungen

• Sicherstellung der Rechte des Betroffenen

• Beratung bei der Erstellung von Verträgen

• Beratung bei Planung und Realisierung von technischen und organisatorischen Maßnahmen zur Herstellung der IT-Sicherheit


146



• Beratung bei der Einstellung von Mitarbeitern, die in Bereichen der Informationstechnik eingesetzt werden

• Beratung von Betroffenen, die sich unmittelbar an ihn wenden


147


Datenschutzzielsystem

• Kriterien für eine Datenschutzpolitik und –zielsetzungen– Datenschutzbewusstsein

– Datenschutz als Bestandteil der Unternehmenspolitik

– Fortentwicklung der Fachkunde des Datenschutzbeauftragten

– Zeit- und Kostenbudget für den Datenschutzbeauftragten


148


Mindestanforderungen an ein Regelungssystem

• Allgemeine Datenschutzrichtlinie• Datenschutzspezifische Inhalte der Richtlinien für die

Beschaffung von Informationstechnik, Wartungsarbeiten, IT-Outsourcing

• Organisation der Zutritts-, Zugangs- und Zugriffsrechte mit Bewertung von geeigneten Kontrollmechanismen und –funktionn

• Besondere Richtlinien für Internet- und E-Mail-Zugang und -nutzung


149


Ziele Datenschutzrichtlinie

• Zusammenfassung der datenschutzbezogenen organisatorischen Regelungen

• Einarbeitungshilfe für neue Mitarbeiter

• Entscheidungsgrundlage und –hilfe in Datenschutzfragen


150


Struktur der Datenschutzrichtlinie

• Übergeordnete Regelungen

• Aufbauorganisatorische Regelungen

• Ablauforganisatorische Regelungen

• Bereichsspezifische Regelungen

• Formale Regelungen


151


• Zusammenarbeit mit Personalvertretung

• Datenschutzrecht ist ein sog. Schutzrecht, dessen Einhaltung von der Personalvertretung i.S. des Personaldatenschutzes zu kontrollieren ist

• Offene und vertrauensvolle Zusammenarbeit zwischen Datenschutzbeauftragtem und Personalvertretung ist Voraussetzung für wirksamen Personaldatenschutz

Documents

Recht und Organisation des Datenschutzes