390 likes | 567 Views
Vorlesung Datenschutzrecht. Was Sie schon immer zum Datenschutz wissen wollten - sich aber nie trauten zu fragen ! F ragen - A ntworten - K ommentare Kleines Repetitorium Datenschutzrecht - Hajo Köppen - Version 01/03. Fragen & Antworten zum Datenschutz.
E N D
Vorlesung Datenschutzrecht Was Sie schon immer zum Datenschutz wissen wollten - sich aber nie trauten zu fragen ! Fragen - Antworten - Kommentare Kleines Repetitorium Datenschutzrecht - Hajo Köppen - Version 01/03 Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz Dieses kleine Repetitorium Datenschutzrecht ist zunächst als Hilfe für Studierenden zur Vorbereitung auf die Klausur zur Vorlesung Datenschutzrecht gedacht. Es soll aber auch all denen eine Hilfe bieten, die sich einen ersten Überblick zum Datenschutzrecht verschaffen wollen. Das vorliegende Lernprogramm gliedert sich in die Rubriken „F“rage, „A“ntwort und „K“ommentar. Wenn Sie sich durch das Programm „klicken“, erscheint zunächst „F“. Sie sollten nicht sofort auf „A“ weiterspringen, sondern vorher versuchen, evtl. unter Verwendung der Texte des BDSG, des HDSG und des Skripts, selber eine Antwort auf die Frage zu entwickeln. Erst dann gehen Sie bitte auf „A“ und kontrollieren Ihr Arbeitsergebnis. Unter „K“ finden Sie dann noch Hinweise zur Vertiefung des durch die Frage angesprochenen Themas. Haben Sie Fragen, Kritik und Verbesserungsvorschläge zu dieser Lernhilfe, dann melden Sie sich bitte bei mir. Und jetzt wünsche ich Ihnen viel Spaß und Erfolg beim Lernen! Hajo Köppen Hajo Köppen, Assessor jur., Vizepräsident der Fachhochschule Gießen-Friedberg (www.fh-giessen.de), Lehrbeauftragter für Datenschutzrecht am Fachbereich Sozial- und Kulturwissenschaften (SuK), Vorstandsmitglied der Deutschen Vereinigung für Daten-schutz (DVD), Autor für die Zeitschriften Computer-Fachwissen (aib-Verlag) und Daten-schutz-Berater (Handelsblattverlag), Redaktionsmitglied der Datenschutz Nachrichten. Sie erreichen mich über: hajo.koeppen@verw.fh-giessen.de, Fon 0641-309 1004. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Welche Texte sollte ich beim Durcharbeiten der folgenden Fragen verwenden? A • Zunächst sollten Sie den Text des Bundesdatenschutzgesetzes (BDSG) und des Hessischen Datenschutzgesetzes (HDSG) zur Hand haben, da auf einzelne §§ dieser Gesetze verwiesen wird. • Der Text des neuen BDSG aus dem Jahr 2001 (!) kann über die Homepage des Berliner Datenschutzbeauftragten heruntergeladen werden: • http://www.datenschutz-berlin.de/recht/de/bdsg/bdsg01.htm • Der Text des HDSG kann über die Homepage des Hessischen Datenschutzbeauftragten heruntergeladen werden: • http://www.datenschutz.hessen.de/hdsg99/Inhalt.htm • Ferner sollten Sie das Skript zur Vorlesung Datenschutz verwenden, um bei Bedarf einige Antworten zu vertiefen. In der Rubrik „K“ wird auf einzelne Arbeitsblätter des Skripts verwiesen. Das Skript ist zum Preis von 3,00 € beim Autor erhältlich. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was versteht das Bundesverfassungsgericht in seinem sog. Volkszählungsurteil von 1983 unter dem Begriff „informationelle Selbstbestimmung“? A „Informationelle Selbstbestimmung“ bedeutet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. K Vgl. im Skript Arbeitsblatt „Entwicklung des Datenschutzrechts III“ zum Volkszählungsurteil Seite 3 unten. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Gegenüber der Verarbeitung von Informationen in früheren Zeiten hat die EDV zu einer neuen Verarbeitungs- und Informationsqualität geführt. Beschreiben Sie die durch die EDV entstandene neue Informationsqualität. • Schnelle und einfache Verfügbarkeit von Daten, auch über beliebige Entfernungen. • Zentrale Zusammenfassung von Einzeldaten aus unterschiedlichen Zusammenhängen zu einem Persönlichkeitsbild ist möglich. • Anhäufungen von Datensammlungen ohne das die Übersicht verloren geht. • Formale Gliederung und Auswertung ist nach beliebig vielen Kriterien möglich. • Schutz des Bürgers ist auf Grund der tech. Möglichkeiten erschwert. A K Vgl. im Skript Arbeitsblatt „Entwicklung des Datenschutzrechts I“ den Vergleich „Neue Informationsqualität durch neue Technik“ auf Seite 2 oben. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist unter dem Begriff „Kontextverlust von Daten“ zu verstehen? Nennen Sie ein Beispiel. „Kontextverlust von Daten“ bedeutet, dass eine Information über eine Person, wenn sie aus ihrem ursprünglichen Zusammenhang (Kontext) herausgenommen wird, in einem andern Zusammenhang, auch verknüpft mit anderen Informationen, eine völlig neue, auch falsche Aussage/ Infor-mationsqualität erhalten können. Ein extremes Beispiel: Die am Stammtisch scherzhaft geäußerte Aussage „Der X trinkt gerne Bier“ ist in diesem Zusammenhang eine harmlose Infor-mation; in der Personalakte hätte sie fatale Folgen (im Übrigen dürfte eine solche Information auch nicht in die Personalakte aufgenommen werden.) A K Vgl. im Skript Arbeitsblatt „Entwicklung des Datenschutzrechts III“ die Aufzählung „Neue Qualität der Datenverarbeitung“ auf Seite 5 oben. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was versteht das Datenschutzrecht unter „personenbezogenem Datum“? „Personenbezogene Daten“ sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. „Bestimmbar“ bedeutet, dass es ausreicht, wenn eine Information mit Zusatzwissen einer Person zugeordnet werden kann. Vermerkt z.B. ein Zeiterfassungsgerät, dass Personalnummer „081524 um 7.37 h“ die Arbeit aufgenommen hat, so lässt sich über eine entsprechende Liste mit den Nummern in der Personalabteilung unschwer feststellen, um wen es sich handelt. Das Datenschutzrecht schützt grundsätzlich alle pbD, auch so „harmlose“ Daten wie Name, Telefonnummer etc. A K Vgl. z.B. im HDSG § 2 Abs. 1. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz Warum schützt das Datenschutzrecht alle personenbezogenen Daten und macht zunächst keinen Unterschied zwischen „harmlosen“ und „sensiblen“ Daten? F Das Datenschutzrecht geht davon aus, dass jedes personenbezogene Datum unter bestimmten Umständen sensibel sein kann. Entscheidend ist somit nicht die Einstufung des jeweiligen Datums als solches, sondern der spezifische Verwendungszusammenhang, in dem es genutzt wird. Selbst eine Anschrift kann unter Umständen zu einem „sensiblen“ Datum werden, wenn sie, etwa versehentlich, in eine Datei von gesuchten Personen gelangt. Auf Grund dieser situationsabgängigen Verwendung und damit unterschiedlicher Sensitivität des gleichen Datums ist kein pbD aus dem Schutzbereich des Datenschutzrechts herausgenommen. A Vgl. aber § 7 Abs. 4 HDSG, der für die Verarbeitung besonders sensitiver Daten wie rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben und auch Daten über Straftaten besondere Voraussetzungen verlangt. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist unter dem Begriff „Erforderlichkeit“ im Datenschutzrecht zu verstehen? „Erforderlichkeit“ ist ein zentraler Begriff des Datenschutzrechts und bedeutet, dass die Verarbeitung pbD nur zulässig ist, wenn sie zur rechtmäßigen Erfüllung der Aufgabe einer datenverarbeitenden Stelle unbedingt unerlässlich sind. Voraussetzung für die Erforderlichkeit ist, dass die Verarbeitung zur Aufgabenerfüllung geeignet und vor allem verhältnismäßig ist. Wenn die verarbeitende Stelle mit weniger Daten auskommt, hat sie sich darauf zu beschränken. Vgl. im BDSG § 3a, „Datenvermeidung und Datensparsamkeit“. A K Vgl. z.B. im HDSG § 11 oder in § 13 Abs. 1 BDSG. Siehe dazu auch die Ausführungen im sog. Volkszählungsurteil des BVerfG, Kapitel C.II.2.a), im Skript Urteilstext Seite 10, rechte Spalte unten; Anhang zum Arbeitsblatt „Entwicklung des Datenschutzrechts III“. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was versteht das Datenschutzrecht unter dem Begriff „Zweckbindung“. „Zweckbindung“ bedeutet, dass vor der Erhebung von pbD die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen sind. Nur für diese Zwecke dürfen sie dann verarbeitet werden. A K Vgl. § 13 Abs. 1 HDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Unter welchen Voraussetzungen dürfen pbD verarbeitet werden? • Die Verarbeitung pbD ist nur zulässig, wenn • dies in einem Gesetz oder einer Rechtsvorschrift erlaubt wird, oder • der Betroffene ohne jeden Zweifel eingewilligt hat. A K Vgl. § 7 Abs. 1 HDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Warum ist die „Vorratsspeicherung“ nach dem Datenschutzrecht verboten? Dies würde dem Grundsatz der „Zweckbindung“ des Datenschutzrechts widersprechen. PbD dürfen u.a. nur verarbeitet werden, wenn vorher ein genauer Zweck definiert wurde. Im Volkszählungsurteil ist dazu ausgeführt: „Ein Zwang zur Abgabe personenbezogener Daten setzt voraus, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt und dass die Angaben für diesen Zweck geeignet und erforderlich sind. Damit wäre die Sammlung nicht anonymisierter Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken nicht vereinbar.“ A K Siehe dazu die Ausführungen im sog. Volkszählungsurteil des BVerfG, Kapitel C.II.2.a), im Skript Urteilstext Seite 10, rechte Spalte unten; Anhang zum Arbeitsblatt „Entwicklung des Datenschutzrechts III“. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Welche Verpflichtungen ergeben sich aus dem Datengeheimnis? • Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). • Dieses Datengeheimnis besteht auch nach der Beendigung der Tätigkeit fort. • Personen, die personenbezogene Daten verarbeiten sollen, sind vor der Aufnahme ihrer Tätigkeit über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten und auf das Datengeheimnis zu verpflichten; z.B. durch eine zu unterschreibende schriftliche Belehrung. A K Vgl. § 5 BDSG und § 9 HDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Welche Verpflichtungen ergeben sich aus der Meldepflicht nach dem BDSG? Wann entfällt diese Meldepflicht? Welchen Zweck verfolgt die Meldepflicht. • Grundsätzlich sind alle Verfahren automatisierter Verarbeitung personenbezogener Daten vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde bzw. für öffentliche Stellen des Bundes sowie von Post- und Telekommunikationsunternehmen dem Bundesdatenschutz-beauftragten zu melden. • Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. • Die Meldepflicht soll die Transparenz und damit die Kontrollmöglichkeit der Verarbeitung personenbezogener Daten ermöglichen. A Vgl. § 4d BDSG K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Definieren Sie den Begriff „Datenschutz“ „Datenschutz“ umfasst alle Regelungen, die darauf abzielen, das sich aus dem allgemeinen Persönlichkeitsrecht ergebende Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, sicherzustellen. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Datensicherheit I“ die Ausführungen zu der Bedeutung des Begriffs „Datenschutz“ auf Seite 1 und 2. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Definieren Sie den Begriff „Datensicherheit“ „Datensicherheit“ ist die technisch-organisatorische Aufgabe, die Sicherheit von Datenbeständen und Datenverarbeitungsabläufen zu gewährleisten. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Datensicherheit I“ die Ausführungen zu der Bedeutung des Begriffs „Datensicherheit“ auf Seite 2 bis 5. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Definieren Sie den Begriff „Datensicherung“ „Datensicherung“ bedeutet nach heute allgemeinen Sprachgebrauch die Duplizierung von Datenbeständen, sog. Backup, Sicherungskopie etc.; „Datensicherung“ ist daher nur eine neben vielen Maßnahmen der „Datensicherheit“. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Datensicherheit I“ die Ausführungen zu der Bedeutung des Begriffs „Datensicherung“ auf Seite 2 unten. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist das Ziel von Maßnahmen der „Datensicherheit“? • „Datensicherheit“ verfolgt drei Ziele: • Verfügbarkeit der Daten: Die Daten müssen verfügbar sein, wenn sie gebraucht werden. • Integrität der Daten (Makellosigkeit, Unverletzlichkeit): Die Richtigkeit der Daten muss sichergestellt sein. • Authentizität der Daten (Echtheit, Zuverlässig): Authentizität ist gegeben, wenn sichergestellt ist, dass empfangene Daten auch tatsächlich von authentifizierten Benutzern stammen. A K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F In welchen Fällen müssen Datensicherheitsmaßnahmen zwingend durchgeführt werden? Datensicherheitsmaßnahmen müssen immer dann zwingend durchgeführt werden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Datensicherheit I“ Seiten 3 -5. Vgl. auch in § 9 BDSG und § 10 HDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Definieren Sie die Maßnahmen der „acht Gebote“ der Datensicherheit nach dem BDSG: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weiter-gabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle. • Zutrittskontrolle: Unbefugten den Zutritt zu DV-Anlagen, mit denen pbD verarbeitet werden, zu verwehren. • Zugangskontrolle: soll verhindern, dass DV-Systeme von Unbefugten genutzt werden können. • Zugriffskontrolle: soll gewährleisten, dass die Berechtigten im DV-System ausschließlich nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben. • Weitergabekontrolle: soll gewährleisten, dass personenbezogener Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogene Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. A Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz A • Eingabekontrolle: nachträgliche Überprüfbarkeit und Feststellbarkeit, ob und von wem pbD in DV-Systeme eingegeben, verändert oder entfernt worden sind. • Auftragskontrolle: soll gewährleisten, dass pbD, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. • Verfügbarkeitskontrolle: soll gewährleisten, dass pbD gegen zufällige Zerstörung oder Verlust geschützt sind. • Trennungskontrolle: soll gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Achtung: im Skript „Datenschutz und Datensicherheit I“ werden noch die „zehn Gebote“ des alten BDSG dargestellt! Siehe daher im neuen BDSG (von 2001) in § 9 i.V.m. Anhang. Die acht Datensicherheitsmaßnahmen des HDSG (vgl. im Skript Arbeitsblatt „Datenschutz und Datensicherheit I, Seite 5 unten) sind anders benannt und strukturiert! K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Nach welchem Grundsatz wird die Zulässigkeit von Fragen des Arbeitgebers in Vorstellungsgesprächen und Personalfragebögen beurteilt? • Es sind nur solche Fragen an Bewerberinnen und Bewerber zulässig, die in konkreter Beziehung zum angestrebten Arbeitsplatz stehen. • oder • Eine Frage ist dann zulässig, wenn der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der Beantwortung hat. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ die Ausführungen auf Seite 2. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Nennen Sie einige unzulässigen Fragen und evtl. Ausnahmen dazu. • Unzulässige Fragen sind die nach: • Familienplanung, Heirats- und Kinderwunsch, Bestehen einer Schwangerschaft. • Unzulässig sind u. a. folgende Fragen, es sei denn, es bestehen Auswirkungen auf die angestrebte Arbeit: • Körperbehinderung, Vorstrafen, • Gewerkschaftszugehörigkeit, außer bei Bewerbung bei Gewerkschaft. • Parteizugehörigkeit, außer bei Bewerbung bei Partei. • Religionszugehörigkeit, außer bei Bewerbung bei Kirche. A Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ weitere Beispiele auf Seite 3. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Sind Bewerber von sich aus verpflichtet, bestimmte Eigenschaften zu offenbaren, wenn der Arbeitgeber von seinem Fragerecht keinen Gebrauch macht? A Nein, eine Offenbarungspflicht besteht nur, wenn der Bewerber die für ihn vorgesehene Arbeit nicht nur zeitweilig, sondern auf zumindest längere Dauer zu erfüllen nicht in der Lage ist und das Arbeitsverhältnis daher undurchführbar ist. Ansonsten gibt der Arbeitgeber durch das unterlassen bestimmter Fragen zu erkennen, dass die Frage für ihn keine Entscheidungsrelevanz bei der Auswahl des Bewerbers hat. K Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ weitere Beispiele auf Seite 4 oben. Siehe auch weitere Beispiele aus der Rechtsprechung im Arbeitsblatt „Datenschutz und Arbeitsrecht II“. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Warum darf der Bewerber auf eine unzulässige Frage lügen ohne dass dies arbeitsrechtliche Konsequenzen hat? Weil die Verweigerung einer Antwort auf eine unzulässige Frage die Einstellungschance des Bewerbers verschlechtern würde. Daher ist in der Rechtsprechung anerkannt, dass ohne arbeitsrechtliche Konsequenzen auf eine unzulässige Frage eine unwahre Antwort gegeben werden kann. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ weitere Beispiele auf Seite 2. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Warum haben die Arbeitsgerichte bei Fragen des Arbeitgebers im Bewerbungsverfahren dem Bewerber ein „Recht auf Lüge“ bei nicht zulässigen Fragen eingeräumt? Die Arbeitsgerichte wollen verhindern, dass der Bewerber in der Abhängigkeit vom Arbeitsplatz und in der Drucksituation des Bewerbungsgespräches seine gesamten persönlichen und privaten Verhältnisse offenbaren muss. Dies wäre mit dem Persönlichkeitsrecht des Bewerbers nicht vereinbar. Die Arbeitsgerichte berufen sich bei ihrer Rechtsprechung auch auf § 75 Abs. 2 BetrVG: „Arbeitgeber und Betriebsrat haben die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern.“ A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ ausführlich Beschrieben mit Begründungen auf Seite 3. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Welche Folgen kann eine wahrheitswidrige Antwort auf eine zulässige Frage haben? Der Arbeitgeber kann den Arbeitsvertrag mit der Folge anfechten (§ 123 BGB), dass der Arbeitsvertrag von Anfang an als nichtig anzusehen ist (§ 142 Abs. 1 BGB). Es bedarf in diesem Fall also keines Abmahnungs- und Kündigungsverfahrens. A K Vgl. im Skript im Arbeitsblatt „Datenschutz und Arbeitsrecht I“ auf Seite 1. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist nach dem BDSG bei der Videoüberwachung von öffentlich zugänglichen Räumen (z.B. Kaufhäusern, Bankfilialen) zu beachten? • Eine verdeckte, geheime Überwachung ist nicht zulässig. • Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen, etwa Hinweisschilder, erkennbar zu machen. • Die Aufzeichnungen sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind. A K Vgl. § 6 b BDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist unter Auftragsdatenverarbeitung (ADV) zu verstehen? Welche Funktion und Kompetenz hat der Auftragnehmer? • Auftragsdatenverarbeitung liegt immer dann vor, wenn eine Stelle (Auftraggeber) die Datenverarbeitung, die sie für ihre praktische Arbeit braucht und nutzt, von einem Dienstleistungsunternehmen (Auftrag-nehmer) durchführen läßt. • Der Auftragnehmer erfüllt nur Hilfs- und Unterstützungsfunktion, er agiert in völliger Abhängigkeit von den Vorgaben und Weisungen des Auftraggebers. A Vgl. im Skript im Arbeitsblatt „Auftragsdatenverarbeitung“ Seite 2 unten. Im Skript ist noch die Bestimmung des alten BDSG abgedruckt, die aber nur geringfügig durch das neue BDSG 2001 verändert wurde. Siehe § 11 BDSG und § 4 HDSG. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Benennen Sie die Pflichten des Auftraggebers bei der Auftragsdatenverarbeitung nach den Datenschutzbestimmungen. A • Bei ADV von pbD ist der Auftraggeber in vollem Umfang für die Beachtung und Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Er bleibt "speichernde Stelle" (§ 3 Abs. 8 BDSG). • Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (§ 11 Abs. 2 BDSG). Daraus ergibt sich auch die fortlaufende Überwachungspflicht des Auftragnehmers durch den Auftraggeber ( zumindest Stichproben). • Der Auftrag ist schriftlich zu erteilen. Als Mindestinhalt ist insbesondere die Art der Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse im Auftrag festzuschreiben. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz • Der Auftraggeber muss sich auch Klarheit über die Datensicherheits-konzepte des AN verschaffen und hat sich auch z. B. durch Einsichtnahme in das Register (§ 38 BDSG) zu vergewissern, dass der Auftragnehmer seiner Meldepflicht gem. §§ 4d, 4e BDSG nachgekommen ist. • Die Verantwortung für die Einhaltung der Gesetze trifft den Auftraggeber auch hinsichtlich der Einhaltung der Mitwirkungs- und Mitbestimmungsrechte von Betriebs- und Personalrat. Der Auftraggeber hat in den Verträgen sicherzustellen, dass die Rechte des Betriebsrates bzw. des Personalrates erhalten bleiben. A Vgl. im Skript im Arbeitsblatt „Auftragsdatenverarbeitung“ Seite 2 unten. Im Skript ist noch die Bestimmung des alten BDSG abgedruckt, die aber nur geringfügig durch das neue BDSG 2001 verändert wurde. Siehe § 11 BDSG und § 4 HDSG. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Benennen Sie die Pflichten des Auftragnehmers bei der Auftragsdatenverarbeitung nach den Datenschutzbestimmungen. • Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen (§.11 Abs. 3 BDSG). • Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. • Für den Auftragnehmer gelten die Vorschriften über das Dateigeheimnis (§ 5 BDSG), die Datensicherheit (§ 9 BDSG) sowie die Straf- und Bußgeldvorschriften (§§ 43, 44 BDSG). A Vgl. im Skript im Arbeitsblatt „Auftragsdatenverarbeitung“ Seite 2 unten. Im Skript ist noch die Bestimmung des alten BDSG abgedruckt, die aber nur geringfügig durch das neue BDSG 2001 verändert wurde. Siehe § 11 BDSG und § 4 HDSG. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Wann müssen Unternehmen und Firmen einen Datenschutzbeauftragten bestellen? A • Ein betrieblicher DSB ist zu bestellen, wenn pbD • entweder in der Regel mind. 5 Arbeitnehmer ständig mit automatisierter oder • in der Regel mind. 20 Arbeitnehmer ständig mit sonstiger Datenverarbeitung, dies bedeutet insbesondere manuelle Verarbeitung, beschäftigt sind. • Unabhängig von der Zahl ist ein DSB zu bestellen, wenn Daten geschäfts-mäßig zum Zweck der Übermittlung verarbeitet werden oder die automati-sierte Verarbeitung einer Vorabkontrolle (vgl. § 4d Abs. 5 und 6 BDSG) unterliegt. K Vgl. § 4f BDSG. Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Was ist bei der Bestellung eines betrieblichen DSB zu beachten? • Die Bestellung muss • schriftlich erfolgen und • und spätestens einen Monat nach Aufnahme der Datenverarbeitung erfolgen. • Wir ein DSB trotz Vorliegen der gesetzlichen Voraussetzungen nicht bestellt, handelt der Arbeitgeber ordnungswidrig i.S.d. § 43 Abs. 1 Nr.. 2 BDSG und kann mit einem Bußgeld bis zu 50.000,- DM belegt werden. A Vgl. § 4f Abs. 1 BDSG. K Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz F Und wer noch mehr Informationen zum Datenschutz haben will, hier die Antwort auf die Frage: Wo kann ich mich über weitere Fragen zu Datenschutz und Datensicherheit informieren? Im Internet gibt es eine Reihe sehr guter Homepages verschiedener Organisationen, Institutionen und Zeitschriften mit umfassenden Informationen zum Thema Datenschutz und Datensicherheit. So haben alle Landesdatenschutzbeauftragten sowie der Bundesbeauftragte für den Datenschutz (BfD) eine eigene Homepage. Daneben gibt es einige Datenschutzorganisationen, die ebenfalls ein ausführliches Informationsangebot bereit halten. Folgend eine kleine Auswahl: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - ULDwww.datenschutzzentrum.de Virtuelles Datenschutzbürowww.datenschutz.de Bundesbeauftragter für den Datenschutz - BfDwww.bundesdatenschutzbeauftragter.de Hessischer Datenschutzbeauftragterwww.datenschutz-hessen.de A Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz Deutsche Vereinigung für Datenschutz e.V. - DVDwww.datenschutzverein.de Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. - FIfFwww.fiff.de Chaos Computer Club e.V. - CCCwww.ccc.de Berufsverband der Datenschutzbeauftragten Deutschlands e.V. - BvDwww.bvdnet.de Gesellschaft für Datenschutz und Datensicherung e.V. - GDDwww.gdd.de Institut für Bürgerrechte & öffentliche Sicherheit e.V.www.cilip.de Zusammenschluss überwachungskritischer StudentInnen in Berlinwww.datenschutz.in-berlin.de Big Brother Award Deutschland - BBAwww.bigbrotheraward.de Stop 1984 - Initiative gegen den Überwachungsstaatwww.stop1984.org A Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz Das Thema Datenschutz und Datensicherheit wird auch in einer Vielzahl von Fach-zeitschriften behandelt. Folgend eine kleine Auswahl der im www mit einer Homepage vertretenen Publikationen: Datenschutz Nachrichten - DANAwww.datenschutzverein.de Datenschutz und Datensicherheit - DuDwww.dud.de Computer Fachwissen - CFwww.aib-verlag.de Datenschutz-Berater - DSBwww.datenschutz-berater.de Recht der Datenverarbeitung - RDVwww.rdv-fachzeitschrift.de Computer und Recht - CRwww.computerundrecht.de A Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003
Fragen & Antworten zum Datenschutz A Wer sich zu Fragen der Datensicherheit (und auch zum Datenschutz) informieren will, der erhält ein vorzügliches Angebot beim: Bundesamt für Sicherheit der Informationstechnik - BSIwww.bsi.de Hajo Köppen - Repetitorium Datenschutzrecht - Version 01/2003