760 likes | 942 Views
B undes D aten S chutz G esetz BDSG. Fehler 1 : Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2 : Der Zugriff auf die Computer wird bei Abwesenheit nicht gesperrt? Fehler 3 : Mitarbeiter werfen Ausdrucke mit sensiblen Daten in den Papiermüll (statt in den Schredder)?
E N D
Fehler 1: Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2: Der Zugriff auf die Computer wird bei Abwesenheit nicht gesperrt? Fehler 3: Mitarbeiter werfen Ausdrucke mit sensiblen Daten in den Papiermüll (statt in den Schredder)? Fehler 4: Ihre Mitarbeiter gehen unvorsichtig mit Passwörtern um (legen sie sich beispielsweise neben die Tastatur oder verwenden Passwörter, die nicht der Passwortrichtlinie entsprechen)? Fehler 5: Sicherheitskopien auf CD liegen einfach so herum (diese Daten kann jeder leicht einstecken…!). Fehler 6: Der Schlüssel zum Aktenschrank steckt. Fehler 7: Kopien bleiben auf dem Kopierer liegen. Fehler 8: Ein Fenster steht trotz Abwesenheit sperrangelweit offen? Fehler 9: Die Reinigungskraft wird unbeaufsichtigt in sensible Bereiche, wie Computer- oder Serverräume gelassen? Fehler 10: Private Datenträger werden im Unternehmen verwendet - sie könnten Schadware auf einem Rechner installieren und somit das ganze System lahm legen.
Pizzabestellung im Jahr 2015 Kunde: "Hi, ich möchte etwas bestellen." Pizzakurier: "Kann ich bitte erst Ihre NIDN haben?" Kunde: "Meine Nationale ID Nummer, ja, warten Sie, die ist 6102049998-45- 54610 Pizzakurier: "Vielen Dank, Herr Schwardt. Sie wohnen in der Rosenstrasse 25 und Ihre Telefonnummer lautet 89 568 345. Ihre Firmennummer bei der Allianz ist 74523 032 und Ihre Durchwahl ist 56. Von welchem Anschluss aus rufen Sie an?" Kunde: Hä? Ich bin zu Hause. Wo haben Sie alle diese Informationen her?" Pizzakurier: "Wir sind an das System angeschlossen." Kunde: (seufzt) "Oh, natürlich. Ich möchte zwei von Ihren Spezial-Pizzen mit besonders viel Fleisch bestellen."
Pizzakurier: "Ich glaube nicht, dass das gut für Sie ist." Kunde: "Wie bitte??!!" Pizzakurier: "Laut Ihrer Krankenakte haben Sie einen zu hohen Blutdruck und extrem hohe Cholesterinwerte. Ihre Krankenkasse würde eine solche ungesunde Auswahl nicht gestatten." Kunde: "Verdammt! Was empfehlen Sie denn?" Pizzakurier: "Sie könnten unsere Soja-Joghurt-Pizza mit ganz wenig Fett probieren. Sie wird Ihnen bestimmt schmecken." Kunde: "Wie kommen Sie darauf, dass ich das mögen könnte?" Pizzakurier: "Nun, Sie haben letzte Woche das Buch 'Sojarezepte für Feinschmecker' aus der Bücherei ausgeliehen. Deswegen habe ich Ihnen diese Pizza empfohlen."
Kunde: "Ok, ok. Geben Sie mir zwei davon in Familiengrösse. Was kostet der Spass?" Pizzakurier: "Das sollte für Sie, Ihre Frau und Ihre vier Kinder reichen. Der Spass, wie Sie es nennen, kostet 45 Euro." Kunde: "Ich gebe Ihnen meine Kreditkartennummer." Pizzakurier: "Es tut mir leid, aber Sie werden bar zahlen müssen. Der Kreditrahmen Ihrer Karte ist bereits überzogen." Kunde: "Ich laufe runter zum Geldautomaten und hole Bargeld, bevor Ihr Fahrer hier ist." Pizzakurier: "Das wird wohl auch nichts. Ihr Girokonto ist auch überzogen." Kunde: "Egal. Schicken Sie einfach die Pizza los. Ich werde das Geld da haben. Wie lange wird es dauern?"
Pizzakurier: "Wir hängen ein wenig hinterher. Es wird etwa 45 Minuten dauern. Wenn Sie es eilig haben, können Sie sie selbst abholen, wenn Sie das Geld besorgen, obwohl der Transport von Pizza auf dem Motorrad immer etwas schwierig ist." Kunde: "Woher wissen Sie, dass ich Motorrad fahre?" Pizzakurier: "Hier steht, dass Sie mit den Ratenzahlungen für Ihren Wagen im Rückstand sind und ihn zurückgeben mussten. Aber Ihre Harley ist bezahlt, also nehme ich an, dass Sie die benutzen." Kunde: "@#%/$@&?#!" (Fuck You) Pizzakurier: "Achten Sie lieber darauf, was Sie sagen. Sie haben sich bereits im Juli 2006 eine Verurteilung wegen Beamtenbeleidigung eingefangen." Kunde: (sprachlos) Pizzakurier: "Möchten Sie noch etwas?"
Kunde: "Nein, danke. Oh doch, bitte vergessen Sie nicht, die beiden kostenlosen Liter Cola einzupacken, die es laut Ihrer Werbung zu den Pizzen gibt." Pizzakurier: "Es tut mir leid, aber die Ausschlussklausel unserer Werbung verbietet es uns, kostenlose Softdrinks an Diabetiker auszugeben." Kunde: GRRRRRRRRRRRRRRRRRRRRRRRRRRRR..... So könnte eine Pizzabestellung im Jahr 2015 aussehen, wenn das BDSG nicht befolgt wird.
Es werden im Abschnitt 1 (§§ 1–11) allgemeine und gemeinsame Bestimmungen erläutert, 2 (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und 3 (§§ 27–38a) für private Stellen geregelt. 4 (§§ 39–42) Sondervorschriften, 5 (§§ 43–44) Straf- und Bußgeldvorschriften und 6 (§§ 45–46) Übergangsvorschriften genannt. Das BDSG besteht aus sechs Abschnitten:
Zweck des Gesetzes § 1 Abs. (1) Den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Das Bundesdatenschutzgesetzein übersichtliches Gesetz mit 46 §§ Paragraphen
Datenschutz ist ein grundlegendes Recht, das sowohl bei der manuellen als auch bei der maschinellen Datenverarbeitung zu beachten ist. In Zeiten zunehmender automatisierter Verarbeitung personenbezogener Daten mittels allgegenwärtiger Informations- und Kommunikationstechnik gewinnt der Datenschutz an Brisanz. Im Folgenden soll daher ein Überblick über zentrale Begriffe, wichtige Einflussfaktoren, beobachtbare Entwicklungslinien und über verwandte Gebiete gegeben werden.
Die Ausgangslage für datenschutzrechtlich und sicherheitstechnisch zu beurteilende Situationen findet sich in den Grundlagen des Datenschutzes anhand der maßgeblichen Einflussfaktoren und Entwicklungslinien wieder. Entscheidend für die heutige Ausprägung des Datenschutzes war allerdings dessen Bestimmung als informationelles Selbstbestimmungsrecht: Der Datenschutz stellt seit dem Volkszählungsurteil von 1983 allgemein anerkannt ein Grundrecht dar.
Da das Thema Datenschutz sehr umfangreich ist, werden wir uns heute mit den Schwerpunkten • Mitarbeiterdatenschutz und • Kunden- und Lieferantendatenschutz • befassen.
Schutz der Daten oder Schutz vor Daten? • Der Begriff „Datenschutz“ scheint irreführend zu sein, da er im Wesentlichen zwei Bedeutungen umfassen kann: • Schutz der (gespeicherten) Daten und ihrer Verarbeitung vor unerwünschtem Zugriff (vor allem im Sinne von Missbrauch) oder Verlust • - was begrifflich nahe liegend zu sein scheint - oder • Schutz des Bürgers vor unerwünschten Folgen (insbesondere durch Missbrauch) aufgrund des Zugriffs auf (gespeicherte) Daten bzw. des ungewollten Datenverlusts. • Dabei stellt die erste Sichtweise die Voraussetzung für die zweite dar. Die erste Variante kann vor allem mit dem Begriff der "Datensicherheit" in Einklang gebracht werden:
Schutz der Daten oder Schutz vor Daten? • Der Begriff „Datenschutz“ scheint irreführend zu sein, da er im Wesentlichen zwei Bedeutungen umfassen kann: • Schutz der (gespeicherten) Daten und ihrer Verarbeitung vor unerwünschtem Zugriff (vor allem im Sinne von Missbrauch) oder Verlust • - was begrifflich nahe liegend zu sein scheint – oder • Schutz des Bürgers vor unerwünschten Folgen (insbesondere durch Missbrauch) aufgrund des Zugriffs auf (gespeicherte) Daten bzw. des ungewollten Datenverlusts. • Dabei stellt die erste Sichtweise die Voraussetzung für die zweite dar. Die erste Variante kann vor allem mit dem Begriff der "Datensicherheit" in Einklang gebracht werden:
Umfrage Ich befürchte, dass Unternehmen meine Daten nutzen, um mir Werbung zuzusenden 61 % Ich habe Angst, dass meine Daten missbraucht werden 50 % Ich befürchte, dass Unternehmen, bei denen ich etwas bestellt habe, meine Daten an andere weitergeben 48 % Ich gebe meine persönlichen Daten nur an Unternehmen weiter, bei denen ich mir sicher bin, dass meine Daten nicht missbraucht werden 43 % Ich habe schon häufiger darauf ver- zichtet, im Internet etwas zu bestel-len, weil ich meine Daten nicht preisgeben wollte 31 %
Ich halte es für unbedenklich, im Internet meine persönlichen Daten anzugeben, mich stört das nicht 11 % Quelle: Allensbacher Archiv, Umfrage 10011, September 2007
Insbesondere auf der Basis der Rechtsprechung zum allgemeinen Persönlichkeitsrecht hat folglich die zweite Variante der v.g. aufgelisteten zwei Bedeutungen (Schutz des Bürgers) die erste zurückgedrängt. Dies führt direkt zur Begriffsbestimmung aus § 1 Abs. 1 des aktuellen Bundesdatenschutzgesetz (BDSG), die seit 1990 bestimmt: Definition: Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten.
Definition: Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hierbei kann also unterschieden werden zwischen: •unmittelbaren personenbezogenen Daten, d.h. Daten über persönliche oder sachliche Verhältnisse, die einer eindeutig bestimmten natürlichen Person direkt zugeordnet werden (etwa durch Verknüpfung des Sozialbezugdatums „Lehrbeauftragter an der Universität Ulm“ mit dem Identifikationsdatum „Bernhard C. Witt“), und • personenbeziehbaren Daten, d.h. Daten, die durch Ausnutzung von Zusatzinformationen oder durch zeitlichen, personellen, kostenintensiven bzw. bestrafungsignorierenden Aufwand einer eindeutig bestimmbaren Person zugeordnet werden können (z.B. lässt sich eine IP-Adresse meist mit vertretbarem Aufwand einem spezifischen Nutzer zuordnen).
Definition: Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hierbei kann also unterschieden werden zwischen: • unmittelbaren personenbezogenen Daten, d.h. Daten über persönliche oder sachliche Verhältnisse, die einer eindeutig bestimmten natürlichen Person direkt zugeordnet werden (etwa durch Verknüpfung des Sozialbezugdatums „Lehrbeauftragter an der Universität Ulm“ mit dem Identifikationsdatum „Bernhard C. Witt“), und • personenbeziehbaren Daten, d.h. Daten, die durch Ausnutzung von Zusatzinformationen oder durch zeitlichen, personellen, kostenintensiven bzw. bestrafungsignorierenden Aufwand einer eindeutig bestimmbaren Person zugeordnet werden können (z.B. lässt sich eine IP-Adresse meist mit vertretbarem Aufwand einem spezifischen Nutzer zuordnen).
Definition: Personenbezogene Daten • Als persönliche Verhältnisse sind üblicherweise • Identifikationsdaten (z.B. Name, Ausweisnummer, Personalnummer), • Gesundheitsdaten (z.B. biometrische Daten, Krankheitsdaten), • Sozialbezugsdaten (z.B. Familienstand, Beruf, Vorstrafen) und • Zeiterfassungsdaten (z.B. Arbeitszeiten, Lenkzeiten) • anzusehen.
Personenbezogene Daten … sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Auskunftspflicht laut § 34 Berichtigungspflicht § 35 Löschungspflicht § 35 Sperrungspflicht § 35 Rechte der Betroffenen
Definition: Personenbezogene Daten • Daten über sachliche Verhältnisse sind dagegen z.B. Daten über • Einkommens- und Vermögensverhältnisse, • Versicherungsdaten oder • über Kunden-, Lieferantenprofile.
Definition: Personenbezogene Daten Nach deutschem Recht gilt: Lediglich eine natürliche Person kann ein Betroffener sein (siehe auch Produkthaftungsgesetz). Hier unterscheidet sich die deutsche Rechtstradition gegenüber anderen Ländern, auch innerhalb der EU. Die in Deutschland bestehende Beschränkung auf eine natürliche Person führt zur Bedeutung des Datenschutzes als ein Individualschutzrecht. Innerhalb der EU werden in anderen Staaten datenschutzrechtliche Bestimmungen dagegen zugleich auf juristische Personen bezogen. Dies führt teilweise zu Komplikationen bei internationalem Datenaustausch.
Definition: Personenbezogene Daten • Zu den Betroffenen, deren personenbezogene Daten demnach zu schützen sind, zählen sowohl die in einer Behörde bzw. in einem Unternehmen beschäftigten Personen als auch etwaige bestimmte oder bestimmbare Bürger, Versicherte, Mitglieder, Kunden etc. der betrachteten Einrichtung. Entscheidend ist also, ob eine zuordnenbare Person unmittelbar von der • Erhebung, • Verarbeitung oder • Nutzung • ihrer Daten betroffen ist.
Definition: Stand der Technik Entwicklungsstand technischer Systeme, die zur(vorsorgenden)Abwehr der(im zugrunde liegenden Gesetz beschriebenen)Gefahren geeignet und der verantwortlichen Stelle zumutbar ist. Beim Datenschutz ist dieser Entwicklungsstand in entscheidender Weise abhängig von dem Schutzgrad der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten. In unterschiedlichen Branchen ist daher von unterschiedlichen Anforderungen beim Stand der Technik auszugehen. Auch weisen z.B. Gesundheitsdaten einen höheren Schutzgrad als Angaben über den ausgeübten Beruf einer Person auf.
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Datengeheimnis
Welchen Risiken hinsichtlich der Nichteinhaltung datenschutzrechtlicher Vorschriften sind wir ausgesetzt? Welche Konsequenzen resultieren aus diesen Risiken? Welche Risiken müssen wir vorrangig behandeln? Welche Risiken akzeptieren wir und bei welchen ergreifen wir technische und/oder organisatorische Maßnahmen? Prozess zum Datenschutz-Risikomanagement
Zusammenhang zwischen den Datenschutzzielen Wirklichkeit wird fehlerhaftdargestellt (z.B. Schutz vorterroristischer Bedrohung) Bedeutungen verändern sich mit der Zeit.(Berichtigungs- und Löschungsverpflichtungen)
Zutrittskontrolle z.B. Serverraum Zugangskontrolle z.B. Login mit Passwort Zugriffskontrolle z.B. Zugriffsrechte vergeben Weitergabekontrolle z.B. an welche Stellen Eingabekontrolle z.B. Wer, was, wann? (Protokolle) Auftragskontrolle (nur bei Verarbeitung im Auftrag) Verfügbarkeitskontrolle (Schutz vor Verlust oder Zerstörung) Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können. Technische u. organisatorische Maßnahmen
Das informelle Selbstbestimmungsrecht ist schon im Grundgesetz (GG) verankert. Art. 1 Abs. 1 GG: „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“ Art. 2 Abs. 1 GG: „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht * die Rechte anderer verletzt und nicht * gegen die verfassungsmäßige Ordnung oder * das Sittengesetz verstößt.“
BetroffenenrechteZu den verfahrensrechtlichen Schutzvorkehrungen gemäß dem Volkszählungsurteil des Bundesverfassungsgerichts zählen insbesondere: • Aufklärungspflichten, durch die vor allem das Transparenzgebot umgesetzt wird, so dass ein Betroffener jederzeit feststellen kann, ob er möglicherweise von einem entsprechenden Verfahren betroffen ist, • Auskunftspflichten, so dass ein Betroffener auf direktem Wege erfahren kann, welche seiner personenbezogenen Daten von der entsprechenden verantwortlichen Stelle erhoben, verarbeitet oder genutzt werden und • Löschungspflichten, wodurch vor allem sichergestellt wird, dass erhobene personenbezogene Daten nicht länger gespeichert sind, als dies zur Aufgabenerfüllung erforderlich ist. Diese Punkte sind z.B. bei der SCHUFA zu beachten.https://www.meineschufa.de/index.php?site=11_2
Mitarbeiterdatenschutz Beim Mitarbeiterdatenschutz können generell drei Phasen voneinander unterschieden werden: • Die Bewerbung und der Eintritt der Mitarbeiter in die Behörde bzw. in das Unternehmen (im Zuge des Recruiting), • Vorgänge während der Beschäftigung hinsichtlich Verwaltung und Kontrolle (im Zuge des Personalmanagements) und • das Ausscheiden der Beschäftigten aus der Behörde bzw. aus dem Unternehmen. Da beim Ausscheiden ausschließlich Archivierungspflichten und Löschungspflichten zum Tragen kommen, wird dieser Teil im Rahmen der Personalverwaltung dargestellt.
Schutzzone Personalabteilung • besondere Schließung (z.B. Türschloss) • verschlossene Räume • verschlossene Akten • aufgeräumter Arbeitsplatz • hohe Passwortgüte • besondere Berechtigung • Kontrolle durch Betriebsrat und Datenschutzbeauftragten
Zusammenfassung: Mitarbeiterdatenschutz Beim Mitarbeiterdatenschutz können vier Grundsätze allgemein als Anforderungen bestimmt werden: • durch die Vertraulichkeit wird gewährleistet, dass kein Unbefug-ter Einblick in Mitarbeiterdaten erfolgt, • durch die Richtigkeit wird gewährleistet, dass aktuelle Mitar-beiterdaten vorliegen und nicht länger als nötig gespeichert werden, • durch die Transparenz wird gewährleistet, dass der Mitarbeiter jederzeit erfahren kann, was mit seinen personenbezogenen Daten geschieht, • durch die Zulässigkeit wird gewährleistet, dass stets geprüft wird, ob für das geplante Verfahren eine Rechtsgrundlage besteht und dass bei der Durchführung die Zweckbindung eingehalten wird.
Kunden- und Lieferantendatenschutz Neben dem Bereich der Personaldatenverwaltung fallen im Bereich der Kunden- und Lieferantendatenverwaltung die umfangreichsten Datenbestände personenbezogener Daten bei nicht-öffentlichen Stellen an.
Zu den besonderen Grundsätzen des Kunden- und Lieferantendatenschutzes gehören: • Grundsatz der Berücksichtigung der Herkunft von Kunden- und Lieferantendaten • Grundsatz der Transparenz gegenüber dem Kunden und Lieferanten • Grundsatz des Widerspruchsrechts bei der Bewerbung von Kunden und Lieferanten