Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

BDSG. BundesDatenSchutzGesetz BDSG Fehler 1: Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2: Der Zugriff auf die Computer wird bei Abwesenheit.

Ähnliche Präsentationen


Präsentation zum Thema: "BDSG. BundesDatenSchutzGesetz BDSG Fehler 1: Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2: Der Zugriff auf die Computer wird bei Abwesenheit."—  Präsentation transkript:

1 BDSG

2 BundesDatenSchutzGesetz BDSG

3

4

5

6 Fehler 1: Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2: Der Zugriff auf die Computer wird bei Abwesenheit nicht gesperrt? Fehler 3: Mitarbeiter werfen Ausdrucke mit sensiblen Daten in den Papiermüll (statt in den Schredder)? Fehler 4: Ihre Mitarbeiter gehen unvorsichtig mit Passwörtern um (legen sie sich beispielsweise neben die Tastatur oder verwenden Passwörter, die nicht der Passwortrichtlinie entsprechen)? Fehler 5: Sicherheitskopien auf CD liegen einfach so herum (diese Daten kann jeder leicht einstecken…!). Fehler 6: Der Schlüssel zum Aktenschrank steckt. Fehler 7: Kopien bleiben auf dem Kopierer liegen. Fehler 8: Ein Fenster steht trotz Abwesenheit sperrangelweit offen? Fehler 9: Die Reinigungskraft wird unbeaufsichtigt in sensible Bereiche, wie Computer- oder Serverräume gelassen? Fehler 10: Private Datenträger werden im Unternehmen verwendet - sie könnten Schadware auf einem Rechner installieren und somit das ganze System lahm legen.

7 BDSG Pizzabestellung im Jahr 2015 Kunde: "Hi, ich möchte etwas bestellen." Pizzakurier: "Kann ich bitte erst Ihre NIDN haben?" Kunde: "Meine Nationale ID Nummer, ja, warten Sie, die ist Pizzakurier: "Vielen Dank, Herr Schwardt. Sie wohnen in der Rosenstrasse 25 und Ihre Telefonnummer lautet Ihre Firmennummer bei der Allianz ist und Ihre Durchwahl ist 56. Von welchem Anschluss aus rufen Sie an?" Kunde: Hä? Ich bin zu Hause. Wo haben Sie alle diese Informationen her?" Pizzakurier: "Wir sind an das System angeschlossen." Kunde: (seufzt) "Oh, natürlich. Ich möchte zwei von Ihren Spezial-Pizzen mit besonders viel Fleisch bestellen."

8 BDSG Pizzakurier: "Ich glaube nicht, dass das gut für Sie ist." Kunde: "Wie bitte??!!" Pizzakurier: "Laut Ihrer Krankenakte haben Sie einen zu hohen Blutdruck und extrem hohe Cholesterinwerte. Ihre Krankenkasse würde eine solche ungesunde Auswahl nicht gestatten." Kunde: "Verdammt! Was empfehlen Sie denn?" Pizzakurier: "Sie könnten unsere Soja-Joghurt-Pizza mit ganz wenig Fett probieren. Sie wird Ihnen bestimmt schmecken." Kunde: "Wie kommen Sie darauf, dass ich das mögen könnte?" Pizzakurier: "Nun, Sie haben letzte Woche das Buch 'Sojarezepte für Feinschmecker' aus der Bücherei ausgeliehen. Deswegen habe ich Ihnen diese Pizza empfohlen."

9 BDSG Kunde: "Ok, ok. Geben Sie mir zwei davon in Familiengrösse. Was kostet der Spass?" Pizzakurier: "Das sollte für Sie, Ihre Frau und Ihre vier Kinder reichen. Der Spass, wie Sie es nennen, kostet 45 Euro." Kunde: "Ich gebe Ihnen meine Kreditkartennummer." Pizzakurier: "Es tut mir leid, aber Sie werden bar zahlen müssen. Der Kreditrahmen Ihrer Karte ist bereits überzogen." Kunde: "Ich laufe runter zum Geldautomaten und hole Bargeld, bevor Ihr Fahrer hier ist." Pizzakurier: "Das wird wohl auch nichts. Ihr Girokonto ist auch überzogen." Kunde: "Egal. Schicken Sie einfach die Pizza los. Ich werde das Geld da haben. Wie lange wird es dauern?"

10 BDSG Pizzakurier: "Wir hängen ein wenig hinterher. Es wird etwa 45 Minuten dauern. Wenn Sie es eilig haben, können Sie sie selbst abholen, wenn Sie das Geld besorgen, obwohl der Transport von Pizza auf dem Motorrad immer etwas schwierig ist." Kunde: "Woher wissen Sie, dass ich Motorrad fahre?" Pizzakurier: "Hier steht, dass Sie mit den Ratenzahlungen für Ihren Wagen im Rückstand sind und ihn zurückgeben mussten. Aber Ihre Harley ist bezahlt, also nehme ich an, dass Sie die benutzen." Kunde: (Fuck You) Pizzakurier: "Achten Sie lieber darauf, was Sie sagen. Sie haben sich bereits im Juli 2006 eine Verurteilung wegen Beamtenbeleidigung eingefangen." Kunde: (sprachlos) Pizzakurier: "Möchten Sie noch etwas?"

11 BDSG Kunde: "Nein, danke. Oh doch, bitte vergessen Sie nicht, die beiden kostenlosen Liter Cola einzupacken, die es laut Ihrer Werbung zu den Pizzen gibt." Pizzakurier: "Es tut mir leid, aber die Ausschlussklausel unserer Werbung verbietet es uns, kostenlose Softdrinks an Diabetiker auszugeben." Kunde: GRRRRRRRRRRRRRRRRRRRRRRRRRRRR..... So könnte eine Pizzabestellung im Jahr 2015 aussehen, wenn das BDSG nicht befolgt wird.

12 BDSG Das BDSG besteht aus sechs Abschnitten: Es werden im Abschnitt 1 (§§ 1–11) allgemeine und gemeinsame Bestimmungen erläutert, 2 (§§ 12–26) die Datenverarbeitung für öffentliche Stellen und 3 (§§ 27–38a) für private Stellen geregelt. 4 (§§ 39–42) Sondervorschriften, 5 (§§ 43–44) Straf- und Bußgeldvorschriften und 6 (§§ 45–46) Übergangsvorschriften genannt.

13 BDSG Das Bundesdatenschutzgesetz ein übersichtliches Gesetz mit 46 §§ Paragraphen Zweck des Gesetzes § 1 Abs. (1) Den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

14 BDSG

15

16 Datenschutz ist ein grundlegendes Recht, das sowohl bei der manuellen als auch bei der maschinellen Datenverarbeitung zu beachten ist. In Zeiten zunehmender automatisierter Verarbeitung personenbezogener Daten mittels allgegenwärtiger Informations- und Kommunikationstechnik gewinnt der Datenschutz an Brisanz. Im Folgenden soll daher ein Überblick über zentrale Begriffe, wichtige Einflussfaktoren, beobachtbare Entwicklungslinien und über verwandte Gebiete gegeben werden.

17 BDSG Die Ausgangslage für datenschutzrechtlich und sicherheitstechnisch zu beurteilende Situationen findet sich in den Grundlagen des Datenschutzes anhand der maßgeblichen Einflussfaktoren und Entwicklungslinien wieder. Entscheidend für die heutige Ausprägung des Datenschutzes war allerdings dessen Bestimmung als informationelles Selbstbestimmungsrecht: Der Datenschutz stellt seit dem Volkszählungsurteil von 1983 allgemein anerkannt ein Grundrecht dar.

18 Da das Thema Datenschutz sehr umfangreich ist, werden wir uns heute mit den Schwerpunkten Mitarbeiterdatenschutz und Kunden- und Lieferantendatenschutz befassen.

19 BDSG Schutz der Daten oder Schutz vor Daten? Der Begriff Datenschutz scheint irreführend zu sein, da er im Wesentlichen zwei Bedeutungen umfassen kann: Schutz der (gespeicherten) Daten und ihrer Verarbeitung vor unerwünschtem Zugriff (vor allem im Sinne von Missbrauch) oder Verlust - was begrifflich nahe liegend zu sein scheint - oder Schutz des Bürgers vor unerwünschten Folgen (insbesondere durch Missbrauch) aufgrund des Zugriffs auf (gespeicherte) Daten bzw. des ungewollten Datenverlusts. Dabei stellt die erste Sichtweise die Voraussetzung für die zweite dar. Die erste Variante kann vor allem mit dem Begriff der "Datensicherheit" in Einklang gebracht werden:

20 BDSG Schutz der Daten oder Schutz vor Daten? Der Begriff Datenschutz scheint irreführend zu sein, da er im Wesentlichen zwei Bedeutungen umfassen kann: Schutz der (gespeicherten) Daten und ihrer Verarbeitung vor unerwünschtem Zugriff (vor allem im Sinne von Missbrauch) oder Verlust - was begrifflich nahe liegend zu sein scheint – oder Schutz des Bürgers vor unerwünschten Folgen (insbesondere durch Missbrauch) aufgrund des Zugriffs auf (gespeicherte) Daten bzw. des ungewollten Datenverlusts. Dabei stellt die erste Sichtweise die Voraussetzung für die zweite dar. Die erste Variante kann vor allem mit dem Begriff der "Datensicherheit" in Einklang gebracht werden:

21 BDSG Ich befürchte, dass Unternehmen meine Daten nutzen, um mir Werbung zuzusenden Ich habe Angst, dass meine Daten missbraucht werden Ich befürchte, dass Unternehmen, bei denen ich etwas bestellt habe, meine Daten an andere weitergeben Ich gebe meine persönlichen Daten nur an Unternehmen weiter, bei denen ich mir sicher bin, dass meine Daten nicht missbraucht werden Ich habe schon häufiger darauf ver- zichtet, im Internet etwas zu bestel- len, weil ich meine Daten nicht preisgeben wollte 61 % 43 % 48 % 31 % 50 % Umfrage

22 BDSG Ich halte es für unbedenklich, im Internet meine persönlichen Daten anzugeben, mich stört das nicht 11 % Quelle: Allensbacher Archiv, Umfrage 10011, September 2007

23 BDSG Insbesondere auf der Basis der Rechtsprechung zum allgemeinen Persönlichkeitsrecht hat folglich die zweite Variante der v.g. aufgelisteten zwei Bedeutungen (Schutz des Bürgers) die erste zurückgedrängt. Dies führt direkt zur Begriffsbestimmung aus § 1 Abs. 1 des aktuellen Bundesdatenschutzgesetz (BDSG), die seit 1990 bestimmt: Definition: Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten.

24 BDSG Definition: Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hierbei kann also unterschieden werden zwischen: unmittelbaren personenbezogenen Daten, d.h. Daten über persönliche oder sachliche Verhältnisse, die einer eindeutig bestimmten natürlichen Person direkt zugeordnet werden (etwa durch Verknüpfung des Sozialbezugdatums Lehrbeauftragter an der Universität Ulm mit dem Identifikationsdatum Bernhard C. Witt), und personenbeziehbaren Daten, d.h. Daten, die durch Ausnutzung von Zusatzinformationen oder durch zeitlichen, personellen, kostenintensiven bzw. bestrafungsignorierenden Aufwand einer eindeutig bestimmbaren Person zugeordnet werden können (z.B. lässt sich eine IP-Adresse meist mit vertretbarem Aufwand einem spezifischen Nutzer zuordnen).

25 BDSG Definition: Personenbezogene Daten Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Hierbei kann also unterschieden werden zwischen: unmittelbaren personenbezogenen Daten, d.h. Daten über persönliche oder sachliche Verhältnisse, die einer eindeutig bestimmten natürlichen Person direkt zugeordnet werden (etwa durch Verknüpfung des Sozialbezugdatums Lehrbeauftragter an der Universität Ulm mit dem Identifikationsdatum Bernhard C. Witt), und personenbeziehbaren Daten, d.h. Daten, die durch Ausnutzung von Zusatzinformationen oder durch zeitlichen, personellen, kostenintensiven bzw. bestrafungsignorierenden Aufwand einer eindeutig bestimmbaren Person zugeordnet werden können (z.B. lässt sich eine IP-Adresse meist mit vertretbarem Aufwand einem spezifischen Nutzer zuordnen).

26 BDSG KategorienHäufig abgelegte DatenBemerkung zur Zulässigkeit Daten von Privatkunden geschäftliche Angaben über die Kunden wie Adressen, Telefonnr. Kaufumsätze, Bonitätsangaben zulässig nach §28 Abs.1 Satz1 Nr.1 BDSG, da sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder –ähnlichen Schuldverhältnisses erforderlich sind; bzw. nach §28 Abs.1 Satz1 Nr.2 BDSG da sie zur Wahrung berechtigter Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht überwiegt private Angaben über Ansprechpartner, z.B. Hobbys, Familie, Charaktereigenschaften unzulässig Daten von Firmenkunden geschäftliche Angaben über die An- sprechpartner, z.B. , Tel- Nr., Position, und geschäftliche Vorgänge zulässig nach $28 Abs.1 Satz1 Nr.1 BDSG wie bei Privatkunden: z.B. Hobbys, Familie, Charaktereigenschaften unzulässig

27 BDSG Einstellen der Sicherheit am MS-Explorer

28 Als persönliche Verhältnisse sind üblicherweise Identifikationsdaten (z.B. Name, Ausweisnummer, Personalnummer), Gesundheitsdaten (z.B. biometrische Daten, Krankheitsdaten), Sozialbezugsdaten (z.B. Familienstand, Beruf, Vorstrafen) und Zeiterfassungsdaten (z.B. Arbeitszeiten, Lenkzeiten) anzusehen. Definition: Personenbezogene Daten

29 BDSG Personenbezogene Daten … sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

30 KategorienHäufig abgelegte DatenBemerkung zur Zulässigkeit Daten von Privatkunden geschäftliche Angaben über die Kunden wie Adressen, Telefonnr. Kaufumsätze, Bonitätsangaben zulässig nach §28 Abs.1 Satz1 Nr.1 BDSG, da sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder –ähnlichen Schuldverhältnisses erforderlich sind; bzw. nach §28 Abs.1 Satz1 Nr.2 BDSG da sie zur Wahrung berechtigter Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht überwiegt private Angaben über Ansprechpartner, z.B. Hobbys, Familie, Charaktereigenschaften unzulässig Daten von Firmenkunden geschäftliche Angaben über die Ansprechpartner, z.B. , Tel- Nr., Position, und geschäftliche Vorgänge zulässig nach $28 Abs.1 Satz1 Nr.1 BDSG wie bei Privatkunden: z.B. Hobbys, Familie, Charaktereigenschaften unzulässig

31 BDSG

32 Rechte der Betroffenen 1.Auskunftspflicht laut § 34 2.Berichtigungspflicht § 35 3.Löschungspflicht § 35 4.Sperrungspflicht § 35

33 BDSG Daten über sachliche Verhältnisse sind dagegen z.B. Daten über Einkommens- und Vermögensverhältnisse, Versicherungsdaten oder über Kunden-, Lieferantenprofile. Definition: Personenbezogene Daten

34 BDSG Nach deutschem Recht gilt: Lediglich eine natürliche Person kann ein Betroffener sein (siehe auch Produkthaftungsgesetz). Hier unterscheidet sich die deutsche Rechtstradition gegenüber anderen Ländern, auch innerhalb der EU. Die in Deutschland bestehende Beschränkung auf eine natürliche Person führt zur Bedeutung des Datenschutzes als ein Individualschutzrecht. Innerhalb der EU werden in anderen Staaten datenschutzrechtliche Bestimmungen dagegen zugleich auf juristische Personen bezogen. Dies führt teilweise zu Komplikationen bei internationalem Datenaustausch. Definition: Personenbezogene Daten

35 BDSG Zu den Betroffenen, deren personenbezogene Daten demnach zu schützen sind, zählen sowohl die in einer Behörde bzw. in einem Unternehmen beschäftigten Personen als auch etwaige bestimmte oder bestimmbare Bürger, Versicherte, Mitglieder, Kunden etc. der betrachteten Einrichtung. Entscheidend ist also, ob eine zuordnenbare Person unmittelbar von der Erhebung, Verarbeitung oder Nutzung ihrer Daten betroffen ist. Definition: Personenbezogene Daten

36 BDSG Definition: Stand der Technik Entwicklungsstand technischer Systeme, die zur (vorsorgenden) Abwehr der (im zugrunde liegenden Gesetz beschriebenen) Gefahren geeignet und der verantwortlichen Stelle zumutbar ist. Beim Datenschutz ist dieser Entwicklungsstand in entscheidender Weise abhängig von dem Schutzgrad der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten. In unterschiedlichen Branchen ist daher von unterschiedlichen Anforderungen beim Stand der Technik auszugehen. Auch weisen z.B. Gesundheitsdaten einen höheren Schutzgrad als Angaben über den ausgeübten Beruf einer Person auf.

37 BDSG Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

38 BDSG Sicherheitsrechtliches Zusammenspiel

39 Welchen Risiken hinsichtlich der Nichteinhaltung datenschutzrechtlicher Vorschriften sind wir ausgesetzt? Welche Konsequenzen resultieren aus diesen Risiken? Welche Risiken müssen wir vorrangig behandeln? Welche Risiken akzeptieren wir und bei welchen ergreifen wir technische und/oder organisatorische Maßnahmen? Prozess zum Datenschutz-Risikomanagement

40 BDSG

41 Zusammenhang zwischen den Datenschutzzielen Wirklichkeit wird fehlerhaft dargestellt (z.B. Schutz vor terroristischer Bedrohung) Bedeutungen verändern sich mit der Zeit. (Berichtigungs- und Löschungsverpflichtungen)

42 BDSG Technische u. organisatorische Maßnahmen 1.Zutrittskontrolle z.B. Serverraum 2.Zugangskontrolle z.B. Login mit Passwort 3.Zugriffskontrolle z.B. Zugriffsrechte vergeben 4.Weitergabekontrolle z.B. an welche Stellen 5.Eingabekontrolle z.B. Wer, was, wann? (Protokolle) 6.Auftragskontrolle (nur bei Verarbeitung im Auftrag) 7.Verfügbarkeitskontrolle (Schutz vor Verlust oder Zerstörung) 8.Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.

43 BDSG Das informelle Selbstbestimmungsrecht ist schon im Grundgesetz (GG) verankert. Art. 1 Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Art. 2 Abs. 1 GG: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht * die Rechte anderer verletzt und nicht * gegen die verfassungsmäßige Ordnung oder * das Sittengesetz verstößt.

44 BDSG Betroffenenrechte Zu den verfahrensrechtlichen Schutzvorkehrungen gemäß dem Volkszählungsurteil des Bundesverfassungsgerichts zählen insbesondere: Aufklärungspflichten, durch die vor allem das Transparenzgebot umgesetzt wird, so dass ein Betroffener jederzeit feststellen kann, ob er möglicherweise von einem entsprechenden Verfahren betroffen ist, Auskunftspflichten, so dass ein Betroffener auf direktem Wege erfahren kann, welche seiner personenbezogenen Daten von der entsprechenden verantwortlichen Stelle erhoben, verarbeitet oder genutzt werden und Löschungspflichten, wodurch vor allem sichergestellt wird, dass erhobene personenbezogene Daten nicht länger gespeichert sind, als dies zur Aufgabenerfüllung erforderlich ist. Diese Punkte sind z.B. bei der SCHUFA zu beachten. https://www.meineschufa.de/index.php?site=11_2

45 BDSG Prüfung ob Datenerfassung legal ist

46 Mitarbeiterdatenschutz Beim Mitarbeiterdatenschutz können generell drei Phasen voneinander unterschieden werden: Die Bewerbung und der Eintritt der Mitarbeiter in die Behörde bzw. in das Unternehmen (im Zuge des Recruiting), Vorgänge während der Beschäftigung hinsichtlich Verwaltung und Kontrolle (im Zuge des Personalmanagements) und das Ausscheiden der Beschäftigten aus der Behörde bzw. aus dem Unternehmen. Da beim Ausscheiden ausschließlich Archivierungspflichten und Löschungspflichten zum Tragen kommen, wird dieser Teil im Rahmen der Personalverwaltung dargestellt.

47 BDSG Schutzzone Personalabteilung besondere Schließung (z.B. Türschloss) verschlossene Räume verschlossene Akten aufgeräumter Arbeitsplatz hohe Passwortgüte besondere Berechtigung Kontrolle durch Betriebsrat und Datenschutzbeauftragten

48 Zusammenfassung: Mitarbeiterdatenschutz Beim Mitarbeiterdatenschutz können vier Grundsätze allgemein als Anforderungen bestimmt werden: durch die Vertraulichkeit wird gewährleistet, dass kein Unbefug- ter Einblick in Mitarbeiterdaten erfolgt, durch die Richtigkeit wird gewährleistet, dass aktuelle Mitar- beiterdaten vorliegen und nicht länger als nötig gespeichert werden, durch die Transparenz wird gewährleistet, dass der Mitarbeiter jederzeit erfahren kann, was mit seinen personenbezogenen Daten geschieht, durch die Zulässigkeit wird gewährleistet, dass stets geprüft wird, ob für das geplante Verfahren eine Rechtsgrundlage besteht und dass bei der Durchführung die Zweckbindung eingehalten wird.

49 BDSG Kunden- und Lieferantendatenschutz Neben dem Bereich der Personaldatenverwaltung fallen im Bereich der Kunden- und Lieferantendatenverwaltung die umfangreichsten Datenbestände personenbezogener Daten bei nicht-öffentlichen Stellen an.

50 Zu den besonderen Grundsätzen des Kunden- und Lieferantendatenschutzes gehören: Grundsatz der Berücksichtigung der Herkunft von Kunden- und Lieferantendaten Grundsatz der Transparenz gegenüber dem Kunden und Lieferanten Grundsatz des Widerspruchsrechts bei der Bewerbung von Kunden und Lieferanten

51 BDSG Zusammenfassung: Kunden- und Lieferantendatenschutz Beim Umgang mit Kundendaten ist zunächst zu unterscheiden, ob es sich um Daten juristischer Personen handelt, die keiner natürlichen Person eindeutig zugeordnet werden kann, oder um personenbezogene bzw. personenbeziehbare Daten geht. Im Zweifel ist aber das höhere Schutzniveau zu gewährleisten, selbst wenn es sich zu erheblichem Anteil nachweislich um juristische Personen handeln sollte.

52 § 4 Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung

53 § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (1)Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2)Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1.eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder

54 § 4 Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung 2.a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

55 § 4 Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung (3)Werden personenbezogene Daten vom Betroffenenerhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten.

56 § 4 Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung Werden personenbezogene Daten von ihm (Betroffenen) aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist er (der Betroffene) hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.

57 Merkblatt Datenschutz

58 Jede(r) Mitarbeiter/in hat zumindest gelegentlich mit personenbezogenen Daten zu tun. Es ist daher notwendig, sich mit den wichtigsten Bestimmungen des BundesDatenSchutzGesetzes (BDSG) vertraut zu machen. Im Folgenden werden deshalb die wichtigsten Abschnitte des BDSG dargestellt, die bei der täglichen Arbeit von Bedeutung sein können. I. Grundbegriffe Grundlage für den Datenschutz ist das Bundesdatenschutzgesetz (BDSG) vom Zweck des Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen­bezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Personenbezogene Daten (§3 BDSG) sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) - (Hinweis:.. das sind alle direkten oder indirekten Angaben, die eine Identifizierung einer Person ermöglichen...) Merkblatt Datenschutz

59 BDSG Merkblatt Datenschutz Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht-automatisierte Datei ist jede nicht-automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Das BDSG unterscheidet im Einzelnen Erheben:Beschaffen von Daten über den Betroffenen, Verarbeiten:das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten; im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speicherndas Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. 2. Veränderndas inhaltliche Umgestalten gespeicherter personenbezogener Daten.

60 BDSG Merkblatt Datenschutz 3. Übermittelndas Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a)die Daten an den Dritten weitergegeben werden oder b)der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft 4. Sperren:das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. 5. Löschen:das Unkenntlichmachen gespeicherter personenbezogener Daten. Nutzen:jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Anonymisieren:das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

61 BDSG Merkblatt Datenschutz Pseudonymisierenist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Verantwortliche Stellejede Person oder Stelle, die personen- bezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Empfängerjede Person oder Stelle, die Daten erhält Dritterist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene!

62 BDSG Merkblatt Datenschutz II.Zulässigkeit der Datenerhebung, -verarbeitung und - nutzung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat. (§ 4). Eine Auflistung für zulässige Datenverarbeitung in so genannten nicht- öffentlichen Stellen (Industrie) erfolgt im BDSG § 28: Die wichtigsten Zulässigkeitsvoraussetzungen sind (in verkürzter Darstellung!) -im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses (Beispiel: Firma speichert Daten ihrer Mitarbeiter) -wenn es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass dadurch das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung und Nutzung überwiegt (Beispiel: Kundendatenspeicherung)

63 BDSG Merkblatt Datenschutz -wenn die Daten aus allgemein zugänglichen Quellen zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Diese Daten müssen nach Treu und Glauben und auf rechtmäßige Art erhoben werden". Weitere Spezial- regelungen" für zulässige Erhebung, -verarbeitung und Nutzung siehe BDSG §§ )

64 BDSG III.Schutzmaßnahmen für personenbezogene Daten Wer im Rahmen der Zulässigkeitsvoraussetzungen Daten verarbeitet, ist verpflichtet die vom Gesetz geforderten Schutzmaßnahmen zu beachten! Den mit der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten u n b e f u g t zu erheben, zu verarbeiten oder zu nutzen (DATENGEHEIMNIS). Diese Personen müssen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort! Hierzu dient das Formblatt Verpflichtung auf das Datengeheimnis" Alle Stellen, die personenbezogene Daten verarbeiten, müssen (im angemessenen Verhältnis zu dem angestrebten Schutzzweck) die technischen und organisatorischen Maßnahmen treffen, die notwendig sind, um die Ausführung der im BDSG genannten Anforderungen zu gewährleisten. (§ 9 und Anlage zum § 9) Merkblatt Datenschutz

65 BDSG Dies muss von allen Verantwortlichen beachtet werden, da im Falle eines durch unzulässige oder unrichtige automatisierte Datenverarbeitung entstehenden Schadens der Betroffene berechtigt ist, Schadenersatz zu fordern. Geeignet sind allgemein alle Schutzmaßnahmen, die den Missbrauch von personenbezogenen Daten verhindern; dies beginnt bei der Beschränkung des Kreises der Zugriffsberechtigten bis zum Gebrauch von Pass- und Kennwörtern am PC. Manuelle Dateien sowie Datenträger müssen in verschließbaren Schränken/Schreibtischen so gesichert sein, dass sie von Unbefugten nicht eingesehen oder benutzt werden können. Der Gesetzgeber hat für Verstöße gegen die Bestimmungen des Datenschutzgesetzes in Bußgeldvorschriften (§43) und Strafvorschriften (§44) Geldbußen bis zu EUR und Freiheitsstrafen bis 2 Jahre angedroht! Merkblatt Datenschutz

66 BDSG IV.Betrieblicher Datenschutz und Datensicherheit Der Beauftragte für Datenschutz hat nach § 4g BDSG die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen und hierzu umfassende Überwachungsaufgaben; er arbeitet eng mit dem Beauftragten für Datensicherheit zusammen; über Vorhaben der automatisierten Datenverarbeitung personenbezogener Daten ist er deshalb rechtzeitig zu unterrichten. (Bringschuld" der Verantwortlichen!) Für weitere Detailinformationen wenden Sie sich bitte an die namentlich genannten Ansprechpartner zu Datenschutzfragen", insbesondere an Ihren betrieblichen Datenschutzbeauftragten Merkblatt Datenschutz

67 BDSG

68 VERPFLICHTUNG AUF DAS DATENGEHEIMNIS

69 VERPFLICHTUNG AUF DAS DATENGEHEIMNIS Herr/Frau Personal-Nr Abteilung: wird wie folgt auf das Datengeheimnis nach Maßgabe des § 5 BDSG verpflichtet und auf die Strafbarkeit von Verstößen hingewiesen: Es ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Die Erläuterungen zum § 5 BDSG im Merkblatt Datenschutz habe ich zur Kenntnis genommen. Verstöße können nach §§ BDSG und anderen einschlägigen Rechtsvorschriften mit Geld- oder Freiheitsstrafe bis zu zwei Jahren oder als Ordnungswidrigkeit mit einer Geldbuße bis zu EURO geahndet werden. Im Übrigen wurde ich darauf hingewiesen, dass auch für andere, nicht personenbezogene Daten aus dem Aufgabengebiet Verschwiegenheitspflicht besteht.

70 BDSG VERPFLICHTUNG AUF DAS DATENGEHEIMNIS Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit für die Firma fort. Über Einzelheiten meiner Datenschutzverpflichtung wurde ich unterrichtet. Meine Verpflichtung auf das Datengeheimnis gem. § 5 BDSG habe ich zur Kenntnis genommen ……………………………….. Ort und Datum Unterschrift des/der Verpflichteten Original:Personalakte 1 Kopie:Verpflichtete(r) 1 Kopie:Betrieblicher Datenschutzbeauftragter

71 BDSG Verpflichtung auf die RICHTLINIE FÜR ARBEITEN AM PC

72 BDSG RICHTLINIE FÜR ARBEITEN AM PC Herr/Frau Personal-Nr Abteilung: wird wie folgt über die Richtlinie für Arbeiten an Personalcomputern (PC)" belehrt und zur Einhaltung verpflichtet: l.Personenbezogene Daten 1.1Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das BDSG vom oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (§ 4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung) 1.2Sofern die verarbeiteten Daten zur Kontrolle von Leistung und/oder Verhalten von Mitarbeitern im Betrieb geeignet sind, müssen die Mitbestimmungsrechte des Betriebsrates beachtet werden (§ 87, 1.6 BetrVG). Vor Einsatz entsprechender Systeme muss eine Meldung darüber an den Datenschutzbeauftragten zur Abstimmung mit dem Betriebsrat erfolgen. Verpflichtung

73 BDSG RICHTLINIE FÜR ARBEITEN AM PC 1.3Zur Wahrnehmung seiner Kontrollverpflichtung aus § 4 g BDSG sind dem Datenschutzbeauftragten von den Verantwortlichen Übersichten meldepflichtiger Verfahren gem. § 4e zur Verfügung zu stellen. Die Inhalte ergeben sich aus § 4 e BDSG. 2. Software 2.1Das Kopieren von Datenbeständen und Software, die von der Firma gekauft, gemietet oder entwickelt worden ist, ist für private Zwecke nicht zulässig. Bei Kopien für dienstliche Zwecke sind die Bestimmungen des Urheberrechts und des BDSG zu beachten. 2.2Mit Ausnahme von Firmen-Eigenentwicklungen darf auf dem PC nur Software eingesetzt werden, die von der Geschäftsführung freigegeben wurde. Die Benutzung privater Softwarekopien auf Firmen-PC ist nicht zulässig. 2.3Jeder, der im Rahmen der Zulässigkeitsvoraussetzungen Daten erhebt, verarbeitet und nutzt, ist verpflichtet, Schutzmaßnahmen zu ergreifen, die den Missbrauch personenbezogener Daten verhindern. Verpflichtung

74 BDSG RICHTLINIE FÜR ARBEITEN AM PC 3.Viren 3.1Das Auftreten von Viren ist sofort dem zuständigen PC-Koordinator zu melden. 4.Mitwirkung/Mitbestimmung Bei Veränderung/Aufrüstung von Hard/Software sind die Mitwirkungs- und Mitbestimmungsrechte des Betriebsrates (§§ 90, 91 BetrVG) zu beachten. In Zweifelsfragen stehen ihnen der Datenschutzbeauftragte (Fragen aus dem BDSG) und der Benutzerservice (PC- und Softwarefragen) gern zur Verfügung. Meine Verpflichtung auf die Richtlinie für Arbeiten an PC habe ich zur Kenntnis genommen! ……………………………. …………………………………………….. Ort und Datum Unterschrift des/der Verpflichteten Original:Personalakte Kopien:1x Mitarbeiter, 1x Datenschutzbeauftragter Verpflichtung

75 BDSG Wenn sich weitere Fragen ergeben, lassen Sie es mich bitte wissen, so dass ich weiterhelfen kann. Tel.: Die folgenden Unterlagen können abgerufen werden: Das BundesDatenSchutzGesetz Die Formulare VERPFLICHTUNG AUF DIE RICHTLINIE FÜR ARBEITEN AM PC VERPFLICHTUNG AUF DAS DATENGEHEIMNIS Merkblatt DATENSCHUTZ


Herunterladen ppt "BDSG. BundesDatenSchutzGesetz BDSG Fehler 1: Ihre Mitarbeiter lassen Akten offen herumliegen? Fehler 2: Der Zugriff auf die Computer wird bei Abwesenheit."

Ähnliche Präsentationen


Google-Anzeigen