Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

W. Kruth / Recht und Organisation des Datenschutzes 1 Recht und Organisation des Datenschutzes.

Ähnliche Präsentationen


Präsentation zum Thema: "W. Kruth / Recht und Organisation des Datenschutzes 1 Recht und Organisation des Datenschutzes."—  Präsentation transkript:

1 W. Kruth / Recht und Organisation des Datenschutzes 1 Recht und Organisation des Datenschutzes

2 W. Kruth / Recht und Organisation des Datenschutzes 2 Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: Danke.

3 W. Kruth / Recht und Organisation des Datenschutzes 3 Modulstruktur 1Zielsetzungen des Datenschutzes, Begriffsbestimmungen 2Rechtsvorschriften des Datenschutzes 3Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten 4Zulässigkeit der Datenerhebung, Verarbeitung und -nutzung

4 W. Kruth / Recht und Organisation des Datenschutzes 4 Modulstruktur 5Auftragsdatenverarbeitung 6Rechte des Betroffenen 7Besonderer Datenschutz 8Bereichsspezifischer Datenschutz 9Datenschutz beim Einsatz neuer Technologien 10Interner Datenschutzbeauftragter

5 W. Kruth / Recht und Organisation des Datenschutzes 5 Recht und Organisation des Datenschutzes Modul 1 Zielsetzungen des Datenschutzes Begriffsbestimmungen

6 W. Kruth / Recht und Organisation des Datenschutzes 6 Zielsetzungen des Datenschutzes Zweck und Ziel des Datenschutzes ist es, die Persönlichkeitsrechte des Einzelnen vor Beeinträchtigungen durch öffentliche und nicht- öffentliche Stellen zu schützen. Jeder Mensch soll über Angaben, die seine Identität und sein persönliches Umfeld einschliesslich seiner Arbeitsverhältnisse beschreiben, frei bestimmen können, soweit er nicht aufgrund einer Rechtsvorschrift öffentlichen oder nicht-öffentlichen Stellen gegenüber zur Bekanntgabe verpflichtet werden kann bzw. verpflichtet ist (Informationelles Selbstbestimmungsrecht).

7 W. Kruth / Recht und Organisation des Datenschutzes 7 Zielsetzungen des Datenschutzes Die Landesverfassung NRW hat den personenbezogenen Datenschutz in Art. 4 als ein Grundrecht auf Datenschutz definiert: Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur im überwiegendem Interesse der Allgemeinheit aufgrund eines Gesetzes zulässig.

8 W. Kruth / Recht und Organisation des Datenschutzes 8 Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. –Die Einzelangaben müssen sich entweder direkt auf eine bestimmte oder bestimmbare Person beziehen oder geeignet sein, einen Bezug zu ihr herzustellen. –Persönliche Verhältnisse sind Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung. Auch Werturteile können Angaben über persönliche Verhältnisse sein. –Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Betroffenen beziehbaren Sachverhalt.

9 W. Kruth / Recht und Organisation des Datenschutzes 9 Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (2) Personenbezogene Daten weisen in Abhängigkeit vom Inhalt und den Möglichkeiten des Veränderns ibs. bei automatisierter Datenverarbeitung eine unterschiedliche Empfindlichkeit auf, die für den Schutzwert der Daten im Hinblick auf die Gefahr einer missbräuchlichen Nutzung von Bedeutung auf. Die Empfindlichkeit der Daten stellt zunächst auf das einzelne Datum ab, da innerhalb eines Geschäftsfalles Daten mit unterschiedlicher Sensivität gespeichert und verarbeitet werden können.

10 W. Kruth / Recht und Organisation des Datenschutzes 10 Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (3) Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten unterliegen besonderen Beschränkungen bei der Erhebung, Verarbeitung oder Nutzung.

11 W. Kruth / Recht und Organisation des Datenschutzes 11 Begriffsbestimmungen des Datenschutzes Betroffener Der Betroffene ist derjenige, dessen Schutz das Gesetz zum Ziel hat und dem Rechte aus dem Gesetz - ggfls. unabdingbar - eingeräumt sind. Die verantwortliche Stelle muss in verschiedenen Disziplinen der Datenverarbeitung die Rechte des Betroffenen in eine Güterabwägung zu den berechtigten Eigeninteressen oder den Interessen Dritter stellen.

12 W. Kruth / Recht und Organisation des Datenschutzes 12 Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (1) Verantwortliche Stelle für den Datenschutz ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (erweiterte Definition der ehem. speichernden Stelle). Verantwortliche Stelle im i.S. der öffentlichen Behördenorganisation ist zunächst die Organisationseinheit in einer bestimmten Behörde, die die Daten für ihre Zwecke erhebt, speichert, verarbeitet, übermittelt.

13 W. Kruth / Recht und Organisation des Datenschutzes 13 Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (2) Im weiteren Sinne ist verantwortliche Stelle auch die Behörde oder die juristische Person, der die bezogene Stelle angehört, einschließlich aller Untergliederungen. Der Datenfluss innerhalb einer Behörde zwischen Organisationseinheiten ist keine Übermittlung i.S. des Gesetzes. Dies gilt auch für die Zusammenarbeit von Behörden zur Bearbeitung eines Geschäftsfalles im sog. Fachstrang zwischen Ministerien und nachgeordneten Stellen.

14 W. Kruth / Recht und Organisation des Datenschutzes 14 Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (3) Die Personalvertretung ist Bestandteil der verantwortlichen Stelle i.S. der Behörde oder juristischen Person. Die verantwortliche Stelle trägt die volle und uneingeschränkte Verantwortlichkeit für die Zulässigkeit und Rechtmäßigkeit der von ihr vorgenommen oder in ihrem Auftrag durchgeführten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen in automatisierten und nicht-automatisierten Verfahren.

15 W. Kruth / Recht und Organisation des Datenschutzes 15 Begriffsbestimmungen des Datenschutzes Empfänger Empfänger ist jede Person oder Stelle, die Daten erhält.

16 W. Kruth / Recht und Organisation des Datenschutzes 16 Begriffsbestimmungen des Datenschutzes Dritter Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der EU personenbezogene Daten im Auftrag erheben, verarbeiten oder speichern.

17 W. Kruth / Recht und Organisation des Datenschutzes 17 Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (1) Automatisierte Verarbeitung ist dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung von Daten unter Einsatz von Informationstechnik (eines gesteuerten technischen Verfahrens) erfolgt. Die automatisierte Verarbeitung muss für jede Phase der technikunterstützten Informationsverarbeitung gegenüber nicht-automatisierter Datenverarbeitung im Hinblick auf den Dateibegriff und die Definition der Sicherheitsziele abgegrenzt werden.

18 W. Kruth / Recht und Organisation des Datenschutzes 18 Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (2) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Diese Regelung gilt nicht bei Vertragsverhältnissen oder ähnlichen Rechtsgeschäften oder wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen garantiert wird.

19 W. Kruth / Recht und Organisation des Datenschutzes 19 Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (3) Wird von der betroffenen Person ein besonderes schutzwürdiges Interesse schriftlich geltend gemacht, darf die Verarbeitung ihrer Daten nur erfolgen, wenn das Interesse der datenverarbeitenden Stelle überwiegt. Die betroffene Person ist über das Ergebnis zu informieren.

20 W. Kruth / Recht und Organisation des Datenschutzes 20 Begriffsbestimmungen des Datenschutzes Akte Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist.

21 W. Kruth / Recht und Organisation des Datenschutzes 21 Begriffsbestimmungen des Datenschutzes Datenvermeidung und Datensparsamkeit Gestaltung und Auswahl von Informationstechnik haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

22 W. Kruth / Recht und Organisation des Datenschutzes 22 Begriffsbestimmungen des Datenschutzes Zweckbindungsprinzip Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Erfüllung der definierten Aufgaben unabdingbar ist. Eine Verarbeitung oder Nutzung von Daten, die im Rahmen der automatisierten Verarbeitung in Kontrolldateien gespeichert werden oder im Rahmen von Maßnahmen zur Verbesserung der Organisation oder zur Kontrolle des Datenschutzes anfallen für andere Zwecke ist unzulässig.

23 W. Kruth / Recht und Organisation des Datenschutzes 23 Begriffsbestimmungen des Datenschutzes Verbunddateien (1) Die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. Innerhalb einer öffentlichen Stelle bedarf eine derartige Einrichtung der Zustellung des Dienststellenleiters.

24 W. Kruth / Recht und Organisation des Datenschutzes 24 Begriffsbestimmungen des Datenschutzes Verbunddateien (2) Erfolgt die Einrichtung für mehrere Stellen, müssen diese die Datenart, die Aufgaben der beteiligten Stellen, Zweck und Umfang der jeweiligen Befugnis und die Gesamtverantwortlichkeit bestimmen. Der Landesbeauftragte für den Datenschutz ist vorab zu informieren.

25 W. Kruth / Recht und Organisation des Datenschutzes 25 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Erheben Erheben ist das Beschaffen von Daten über den Betroffenen. Die Art der Erhebung ist unerheblich. Sie muss jedoch zielorientiert erfolgen. Der Betroffene ist über den Umfang der Erhebung und ggfls. die weitere Speicherung usw. zu informieren, soweit dies durch das Datenschutzrecht bestimmt ist. Ein Erheben ist dann nicht gegeben, wenn die Daten aus vorliegenden Unterlagen zusammengestellt werden.

26 W. Kruth / Recht und Organisation des Datenschutzes 26 Begriffsbestimmungen des Datenschutzes Verarbeitung und Nutzung Verarbeiten ist ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Nutzen ist ´jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.

27 W. Kruth / Recht und Organisation des Datenschutzes 27 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Speichern Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke der weiteren Verarbeitung oder Nutzung. Datenträger ist jedes Medium, das zur Aufnahme personenbezogener Daten geeignet ist. Erfassen ist als Dateneingabe unter Vornahme von Plausibilitätsprüfung zur Gewährleistung der Integrität und Konsistenz der Daten zu verstehen.

28 W. Kruth / Recht und Organisation des Datenschutzes 28 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Verändern Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten. Verändern umfasst jegliche Transformation und Verknüpfung von Daten. Soweit durch das Verändern von Daten diese ihren bisherigen Kontext verlieren oder ein neues Informationsbild mit geänderter Qualität geschaffen wird, muss das Ergebnis im Hinblick auf die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung ggfls. neu bewertet werden.

29 W. Kruth / Recht und Organisation des Datenschutzes 29 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Übermitteln Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass –die Daten an den Dritten weitergegeben werden oder –der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Übermitteln von Daten liegt auch dann vor, wenn nicht einzelne Daten, sondern Datenbestände weitergegeben werden.

30 W. Kruth / Recht und Organisation des Datenschutzes 30 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Sperren Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

31 W. Kruth / Recht und Organisation des Datenschutzes 31 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Löschen Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. Die Wirksamkeit des Löschens wird durch die anwendbaren Möglichkeiten der Wiedergewinnung mit allgemein oder speziell verfügbaren Methoden und Techniken bestimmt. Sind die zu löschenden Daten auch in Bestandssicherungen enthalten, gilt das Löschen als erfüllt, wenn die Sicherungsbestände überschrieben oder in anderer Weise dem Zugriff entzogen werden.

32 W. Kruth / Recht und Organisation des Datenschutzes 32 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Anonymisieren Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig grossen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine Reanonymisierung muss ausgeschlossen werden können. Maßgebend ist dabei, ob die Reanonymisierung durch die verantwortliche Stelle möglich ist.

33 W. Kruth / Recht und Organisation des Datenschutzes 33 Begriffsbestimmungen des Datenschutzes Funktionsbegriff Pseudonymisieren Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Das Pseudonymisieren von Daten für statistische Zwecke ist nicht zulässig. Zielaspekt ist die Verwendung von verfremdeten Daten für Testzwecke und Präsentationen, die ohne Bezug zur Realwelt nicht operabel sind.

34 W. Kruth / Recht und Organisation des Datenschutzes 34 Recht und Organisation des Datenschutzes Modul 2 Rechtsvorschriften des Datenschutzes

35 W. Kruth / Recht und Organisation des Datenschutzes 35 Rechtsvorschriften des Datenschutzes Anwendungsbereich (1) Das Landesdatenschutzgesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen.

36 W. Kruth / Recht und Organisation des Datenschutzes 36 Rechtsvorschriften des Datenschutzes Anwendungsbereich (2) Für wirtschaftliche Unternehmen der Gemeinden und Gemeindeverbände ohne eigene Rechtspersönlichkeit, für öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, sowie für die der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, finden die Vorschriften über die Rechtsgrundlagen der Datenverarbeitung Anwendung.

37 W. Kruth / Recht und Organisation des Datenschutzes 37 Rechtsvorschriften des Datenschutzes Anwendungsbereich (3) Für den Landtag, die Gerichte und die Behörden der Staatsanwaltschaft gilt, soweit diese Verwaltungsaufgaben wahrnehmen, das LDSG eingeschränkt (Rechtsgrundlagen der Datenverarbeitung).

38 W. Kruth / Recht und Organisation des Datenschutzes 38 Rechtsvorschriften des Datenschutzes Lex specialis vor lex generalis Soweit besondere Rechtsvorschriften des Bundes oder Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, haben sie als lex specialis Anwendungsvorrang. BDSG und LDSG haben den Charakter eines Auffanggesetzes. Bei konkurrierenden bereichsspezifischen Rechtsvorschriften gilt der Grundsatz Bundesrecht bricht Landesrecht.

39 W. Kruth / Recht und Organisation des Datenschutzes 39 Rechtsvorschriften des Datenschutzes LDSG im Verhältnis zum Verwaltungsverfahrensgesetz Für das Verhältnis zum LDSG enthält das Verwaltungsverfahrensrecht Regelungen, dass die Normadressaten des LDSG - auch im Verwaltungsverfahren - den vorrangigen Bestimmungen des LDSG unterworfen sind, soweit sie bei der Sachverhaltsermittlung personenbezogene Daten verarbeiten oder nutzen.

40 W. Kruth / Recht und Organisation des Datenschutzes 40 Rechtsvorschriften des Datenschutzes Datenübermittlung im grenzüberschreitenden Datenverkehr Für die Datenübermittlung im grenzüberschreitenden Datenverkehr finden die Rechtsvorschriften der EU Anwendung. Grundsätzlich gilt für alle Mitglieder der EU, die durch innerstaatliches Recht die Grundsätze und Leitlinien der EU, ibs. die Konvention 108 für den personenbezogenen Datenschutz ratifiziert haben oder gesetzliche Bestimmungen erlassen haben, die im Einklang mit dieser Konvention stehen, der Grundsatz, dass dem grenzüberschreitenden Datenverkehr keine Beschränkungen auferlegt werden sollten.

41 W. Kruth / Recht und Organisation des Datenschutzes 41 Recht und Organisation des Datenschutzes Modul 3 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten

42 W. Kruth / Recht und Organisation des Datenschutzes 42 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Personenbezogene Daten sind beim Betroffenen mit seiner Kenntnis zu erheben, er ist über den Verwendungszweck aufzuklären. Erforderlich ist die Erhebung, wenn ihre Kenntnis zur Erreichung des angestrebten Zweckes objektiv geeignet und im Verhältnis zum angestrebten Zweck auch notwendig ist.

43 W. Kruth / Recht und Organisation des Datenschutzes 43 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (2) Die Verpflichtung zur Datenerhebung beim Betroffenen kann jedoch nicht lückenlos durchgeführt werden. Die Beschaffung von anderen Stellen ohne Kenntnis ist unter bestimmten Voraussetzungen zulässig, nämlich dann, wenn die Daten bereits bei anderen Stellen innerhalb der gleichen Behörde vorliegen. Dabei ist auch das Zweckbindungsprinzip zu beachten.

44 W. Kruth / Recht und Organisation des Datenschutzes 44 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zu rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Die Weitverarbeitung von Daten zu anderen Zwecken ist u.a. nur zulässig, wenn –dies durch Rechtsvorschriften bestimmt ist, –der Betroffene eingewilligt hat, –sie aus allgemein zugänglichen Quellen entnommen werden können.

45 W. Kruth / Recht und Organisation des Datenschutzes 45 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (2) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient.

46 W. Kruth / Recht und Organisation des Datenschutzes 46 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (1) Die Übermittlung an öffentliche Stellen ist zulässig, wenn dies zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist. Die Übermittlung ist auch dann zulässig, wenn eine Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.

47 W. Kruth / Recht und Organisation des Datenschutzes 47 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (2) Können die zu übermittelnden Daten nicht von anderen Informationen, mit denen sie verbunden sind, ohne vertretbaren Aufwand getrennt werden, so ist die Übermittlung auch dieser Daten zulässig, soweit berechtigte Belange des Betroffenen nicht entgegenstehen; eine Nutzung dieser Daten durch den Empfänger ist nicht zulässig.

48 W. Kruth / Recht und Organisation des Datenschutzes 48 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (3) Die Verantwortung für die Übermittlung trägt die übermittelnde Stelle. Sie prüft das Übermittlungsersuchen des Empfängers. Erfolgt die Übermittlung in automatisierten Abrufverfahren, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger. Für die Weitverarbeitung der Daten beim Empfänger gilt das Zweckbindungsprinzip.

49 W. Kruth / Recht und Organisation des Datenschutzes 49 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmässige Datenübermittlung (1) Die Einrichtung automatisierter Abrufverfahren ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist. Die am Abrufverfahren beteiligten Stellen haben alle erforderlichen Maßnahmen für die Gewährleistung der IT-Sicherheitsziele im Abrufverfahren zu treffen. Automatisierte Abrufverfahren für Stellen ausserhalb des öffentlichen Bereichs sind nicht zulässig.

50 W. Kruth / Recht und Organisation des Datenschutzes 50 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmäßige Datenübermittlung (2) Den Verfahren zur automatisierten Direktabfrage personenbezogener Daten kommt besondere Bedeutung zu, weil die abrufende Stelle je nach Einrichtung eines solchen Anschlusses über den gesamten Umfang oder wesentliche Teile des Bestandes verfügen kann. Den automatisierten Abrufverfahren sind Verfahren zur regelmäßigen Datenübermittlung gleichgestellt.

51 W. Kruth / Recht und Organisation des Datenschutzes 51 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren (3) Die verantwortliche Stelle hat durch Stichprobenverfahren die Ordnungsmäßigkeit des automatisierten Abrufverfahrens zu überprüfen.

52 W. Kruth / Recht und Organisation des Datenschutzes 52 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an nicht-öffentliche Stellen Die Übermittlung an nicht-öffentliche Stellen ist u.a zulässig, wenn –sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist, –sie im öffentlichen Interesse liegt und hierfür ein berechtigtes Interesse geltend gemacht hat und kein Widerspruch des Betroffenen vorliegt, –vom Empfänger ein rechtliches Interesse geltend gemacht wird und schutzwürdige Belange des Betroffenen nicht entgegenstehen.

53 W. Kruth / Recht und Organisation des Datenschutzes 53 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an ausländische Stellen (1) Die Übermittlung an nicht-öffentliche Stellen außerhalb des Geltungsbereiches des GG richtet sich nach den Vorschriften Bestimmungen über die Datenübermittlung an öffentliche und nicht-öffentliche Stellen. Die Übermittlung an Stellen außerhalb der EU- Mitgliedstaaten ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist, hierzu ist vor der Entscheidung der Landesbeauftragte für den Datenschutz zu hören.

54 W. Kruth / Recht und Organisation des Datenschutzes 54 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an ausländische Stellen (2) Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn u.a. –die betroffene Person eingewilligt hat, –die Übermittlung zur Wahrung des überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist. Die empfangende Stelle ist auf das Zweckbindungsprinzip hinzuweisen.

55 W. Kruth / Recht und Organisation des Datenschutzes 55 Recht und Organisation des Datenschutzes Modul 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

56 W. Kruth / Recht und Organisation des Datenschutzes 56 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn dies durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat.

57 W. Kruth / Recht und Organisation des Datenschutzes 57 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben und die evtl. Folgen einer Verweigerung hinzuweisen.

58 W. Kruth / Recht und Organisation des Datenschutzes 58 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Einwilligung des Betroffenen (1) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er, sofern er nicht auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle –über deren Identität, –die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und –die Kategorien von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen muss, zu unterrichten.

59 W. Kruth / Recht und Organisation des Datenschutzes 59 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Einwilligung des Betroffenen (2) Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung hinzuweisen. Die Einwilligung bedarf der Schriftform. Sie muss, soweit sie im Zusammenhang mit anderen Erklärungen abgegeben wird, deutlich hervorzuheben.

60 W. Kruth / Recht und Organisation des Datenschutzes 60 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Einwilligung des Betroffenen (3) Die Einwilligung des Betroffenen kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass –sie nur durch eine eindeutige und bewusste Handlung der handelnden Person erfolgen kann, –sie nicht unerkennbar verändert werden kann, –ihr Urheber erkannt werden kann, –die Einwilligung bei der betroffenen Stelle protokolliert wird –der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann.

61 W. Kruth / Recht und Organisation des Datenschutzes 61 Recht und Organisation des Datenschutzes Modul 5 Auftragsdatenverarbeitung

62 W. Kruth / Recht und Organisation des Datenschutzes 62 Auftragsdatenverarbeitung Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der anzuwendenden Rechtsvorschriften zum Datenschutz verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen von Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Der Auftragnehmer ist funktionaler Bestandteil der verantwortlichen Stelle.

63 W. Kruth / Recht und Organisation des Datenschutzes 63 Auftragsdatenverarbeitung Auftragsverhältnis (1) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen organisatorischen und technischen Maßnahmen zur Gewährleistung der IT-Sicherheit sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen. Dabei können verschiedene Auftragsformen vom Rahmenvertrag mit Einzelaufträgen bis zur ausschließlichen, allgemein oder für den Einzelfall geltenden Regelung in Betracht kommen.

64 W. Kruth / Recht und Organisation des Datenschutzes 64 Auftragsdatenverarbeitung Auftragsverhältnis (2) Im Rahmen des Auftragsverhältnisses sind die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Sicherheitsmassnahmen und etwaige Unterauftragsverhältnisse festzulegen. Der Auftraggeber hat die Pflicht, sich von der Einhaltung der getroffenen Vereinbarungen zu überzeugen.

65 W. Kruth / Recht und Organisation des Datenschutzes 65 Auftragsdatenverarbeitung Auftragsverhältnis (3) Der Auftragnehmer hat den Auftraggeber über von ihm erkannte oder vermutete Verstöße gegen datenschutzrechtliche Bestimmungen oder Regelungen des Auftragsverhältnisses unverzüglich zu informieren. Dies gilt auch dann, wenn der Auftragnehmer das vorhandene Sicherheitssystem ändert und hierdurch getroffene Vereinbarungen inhaltlich berührt werden.

66 W. Kruth / Recht und Organisation des Datenschutzes 66 Auftragsdatenverarbeitung Anwendungsbereiche Anwendungsbereiche der Auftragsdatenverarbeitung sind –die Datenerfassung, –die Entwicklung von Individualsoftware, –die Erbringung von Wartungsarbeiten (lokale Wartung oder Fernwartung) für Netze, Systeme und Dienste, –die Durchführung von Verarbeitungen automatisierter Verfahren, –die Durchführung von Datenübermittlung sowie die Einrichtung von automatisierten Abrufverfahren.

67 W. Kruth / Recht und Organisation des Datenschutzes 67 Auftragsdatenverarbeitung Wartung und Systembetreuung durch externe Stellen Externe Stellen und Personen, die mit der Wartung und Systembetreuung von von IT-Systemen oder deren Komponenten beauftragt sind, müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, wenn dies unvermeidlich ist; in diesen Fällen hat der Auftragnehmer die Daten unverzüglich nach Erledigung des Auftrags zu löschen. Die Nachweise hierzu sind drei Jahre aufzubewahren.

68 W. Kruth / Recht und Organisation des Datenschutzes 68 Auftragsdatenverarbeitung Datenverarbeitung durch eigene Stellen (1) Bei der Erhebung, Verarbeitung oder Nutzung von personenbezogene Daten durch eigene Stellen im Organisationsbereich der verantwortlichen Behörde ist Auftragsdatenverarbeitung nicht gegeben. Im Interesse einer ordnungsgemäßen und kontrollierbaren automatisierten Datenverarbeitung wird die Anwendung der Rechtsvorschriften für die Auftragsdatenverarbeitung empfohlen.

69 W. Kruth / Recht und Organisation des Datenschutzes 69 Auftragsdatenverarbeitung Datenverarbeitung durch eigene Stellen (2) Soweit die IT-Zentralen des Landes personenbezogene Daten im Auftrag öffentlicher Stellen verarbeiten, haben sie die Vorschriften -über das Datengeheimnis, -Technische und organisatorische Maßnahmen -Kontrolle durch den Landesbeauftragten für den Datenschutz für ihren Bereich anzuwenden.

70 W. Kruth / Recht und Organisation des Datenschutzes 70 Recht und Organisation des Datenschutzes Modul 6 Rechte des Betroffenen und Korrespondenzpflichten der verantwortlichen Stelle

71 W. Kruth / Recht und Organisation des Datenschutzes 71 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Unabdingbare Rechte des Betroffenen Die Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung oder Löschung können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Sind die Daten des Betroffen automatisiert bei mehreren Stellen gespeichert, kann er sich an jede dieser Stellen wenden, wenn er die für die Speicherung verantwortliche Stelle nicht selbst ermitteln kann. Die Stelle, bei der der Betroffene seine Rechte reklamiert, ist zur Information der bezogenen Stelle verpflichtet.

72 W. Kruth / Recht und Organisation des Datenschutzes 72 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Korrespondenzpflichten der verantwortlichen Stelle Den Rechten des Betroffenen auf Berichtigung, Sperrung und Löschung entsprechen die Pflichten der verantwortlichen Stelle zur Vornahme korrigierender Handlungen, ohne dass es dabei zwingend eines Einspruches des Betroffenen bedarf.

73 W. Kruth / Recht und Organisation des Datenschutzes 73 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Recht auf Auskunft (1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über –die zu seiner Person gespeicherten Daten, –den Zweck und die Rechtsgrundlage der Speicherung, –die Herkunft der Daten, soweit sie von anderen Stellen zur Verfügung gestellt oder aus allgemein zugänglichen Quellen gewonnen wurden, und die Empfänger von Übermittlungen, –Die allgemeinen technischen Bedingungen der automatisierten Verarbeitung der zur eigenen Person verarbeiteten Daten. Die Auskunft darf nur verweigert werden, wenn dies durch eine Rechtsvorschrift ausdrücklich bestimmt ist.

74 W. Kruth / Recht und Organisation des Datenschutzes 74 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Recht auf Auskunft (2) Die Form des Auskunftsverfahrens bestimmt die verantwortliche Stelle. Grundsätzlich wird die Auskunft –schriftlich und –unentgeltlich erteilt.

75 W. Kruth / Recht und Organisation des Datenschutzes 75 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Recht auf Berichtigung, Sperrung, Löschung (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Personenbezogene Daten sind zu sperren, wenn –ihre Richtigkeit vom Betroffenen bestritten wird, –der Betroffene anstelle der Löschung die Sperrung verlangt, –die weitere Speicherung im Interesse des Betroffenen geboten ist, –ie nur zu Zwecken der Datensicherung und der Datenschutzkontrolle gespeichert sind.

76 W. Kruth / Recht und Organisation des Datenschutzes 76 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Recht auf Berichtigung, Sperrung, Löschung (2) Bei automatisierten Dateien ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im übrigen ist ein ein entsprechender Vermerk anzubringen.

77 W. Kruth / Recht und Organisation des Datenschutzes 77 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Recht auf Berichtigung, Sperrung, Löschung (3) Personenbezogene Daten sind zu löschen, wenn ihre Speicherung – unzulässig ist, –ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. Über die Berichtigung von Daten, die Sperrung und Löschung sind unverzüglich die betroffene Person und die Stellen zu informieren, an die Datenübermittlung erfolgt; es sei denn, dass die Benachrichtigung einen erheblichen Aufwand erfordert und nachteilige Folgen für die betroffene Person nicht zu befürchten sind.

78 W. Kruth / Recht und Organisation des Datenschutzes 78 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle Benachrichtigung des Betroffenen Der Betroffene ist zu benachrichtigen, wenn erstmals personenbezogene Daten für eigene Zwecke ohne seine Kenntnis gespeichert werden. Die Benachrichtigung entspricht nach Form und Inhalt der Auskunft. Eine Pflicht zur Benachrichtigung besteht nicht, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung, Verarbeitung oder Nutzung erlangt hat, oder die Benachrichtigung durch Rechtsvorschrift ausgeschlossen ist.

79 W. Kruth / Recht und Organisation des Datenschutzes 79 Recht und Organisation des Datenschutzes Modul 7 Besonderer Datenschutz

80 W. Kruth / Recht und Organisation des Datenschutzes 80 Besondere Regelungen Sicherstellung des Datenschutzes Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und ihre Vereinigungen haben für ihren Bereich jeweils die Ausführung der Rechtsvorschriften über den Datenschutz sicherzustellen.

81 W. Kruth / Recht und Organisation des Datenschutzes 81 Besondere Regelungen Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Die infrage kommenden Personen sind auf das Datengeheimnis zu verpflichten. Dies gilt auch für Personen, die bei der Auftragsdatenvearbeitung für den Auftraggeber als Erfüllungsgehilfen tätig werden.

82 W. Kruth / Recht und Organisation des Datenschutzes 82 Besondere Regelungen Technische und organisatorische Massnahmen (1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der anzuwendenden Rechtsvorschriften zum Datenschutz sicherzustellen. Erforderlich sind Maßahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

83 W. Kruth / Recht und Organisation des Datenschutzes 83 Besondere Regelungen Technische und organisatorische Maßnahmen (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass die Sicherheitsziele der –Vertraulichkeit, –Integrität, –Verfügbarkeit, –Authentizität, –Revisionsfähigkeit und –Transparenz erreicht werden.

84 W. Kruth / Recht und Organisation des Datenschutzes 84 Besondere Regelungen Technische und organisatorische Maßnahmen (3) Die Maßnahmen sind auf der Grundlage eines revisionsfähigen Sicherheitskonzeptes zu ermitteln und zu realisieren. Die Anpassung an den technischen Entwicklungsstand ist jeweils durchzuführen.

85 W. Kruth / Recht und Organisation des Datenschutzes 85 Besondere Regelungen Datenschutzaudit Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Informationstechnik und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen.

86 W. Kruth / Recht und Organisation des Datenschutzes 86 Besondere Regelungen Datenschutz bei Videoüberwachung Videoüberwachung ist nur zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Auf die Videoüberwachung ist hinzuweisen. Die Daten sind zu löschen, wenn sie zur Erreichung des Zweckes nicht mehr erforderlich sind oder schutzwürdige Belange der Betroffenen entgegenstehen.

87 W. Kruth / Recht und Organisation des Datenschutzes 87 Besondere Regelungen Mobile personenbezogene Datenverarbeitungssysteme (1) Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereit gestellte Schnittstelle Daten automatisiert austauschen können, dürfen nur mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden.

88 W. Kruth / Recht und Organisation des Datenschutzes 88 Besondere Regelungen Mobile personenbezogene Datenverarbeitungssysteme (2) Für die Betroffenen muss jederzeit erkennbar sein, - ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder dieses veranlasst stattfinden, - welche personenbezogenen Daten der betroffenen Person verarbeitet werden, welcher Veränderungsvorgang im Einzelnen abläuft oder angestoßen wird. Die Betroffenen sind über ihre Rechte auf Auskunft usw. bei der Ausgabe der Geräte aufzuklären.

89 W. Kruth / Recht und Organisation des Datenschutzes 89 Recht und Organisation des Datenschutzes Modul 8 Bereichsspezifischer Datenschutz

90 W. Kruth / Recht und Organisation des Datenschutzes 90 Recht und Organisation des Datenschutzes Bereichsspezifischer Datenschutz Teil 1: Personaldatenschutz

91 W. Kruth / Recht und Organisation des Datenschutzes 91 Bereichsspezifischer Datenschutz Personaldatenschutz (1) Allgemeine Rechtsgrundsätze Daten von Bewerbern und Beschäftigten dürfen nur erhoben, gespeichert und verarbeitet werden, wenn dies –zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder –zur Durchführung dienstlicher, organisatorischer, personeller und sozialer Maßnahmen, ibs. auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist. Anzuwendende Rechtsvorschriften sind ibs. auch Tarifverträge und Dienstvereinbarungen.

92 W. Kruth / Recht und Organisation des Datenschutzes 92 Bereichsspezifischer Datenschutz Personaldatenschutz (2) Datenerhebung beim Bewerber (1) Bei der Datenerhebung vom Bewerber sind zu beachten –Der Grundsatz der Zweckbestimmung des angestrebten Beschäftigungsverhältnisses, –Die Interessenabwägung im Rahmen der Zweckbestimmung nach dem Grundsatz der Verhältnismässigkeit. Problemfelder: –Psychologische Wirkungs- und Erkenntnisgrössen können beim Bewerber die Abwehr von unzulässigen Fragen beeinträchtigen, –Sachgerechte und objektive Ermessensentscheidungen sind wg. Fehlender Sensibilität im Umgang mit personenbezogenen Daten bei den Entscheidungsträgern nicht durchgängig zu erwarten.

93 W. Kruth / Recht und Organisation des Datenschutzes 93 Bereichsspezifischer Datenschutz Personaldatenschutz (3) Datenerhebung beim Bewerber (2) Medizinische und psychologische Untersuchungen sind zulässig, soweit dadurch ergänzend zu den allgemeinen Erhebungen die Eignung des Bewerbers unter dem Aspekt der Anforderungen der angestrebten Stelle festgestellt wird. Der Personalstelle darf nur das Ergebnis der Eignungsuntersuchung mitgeteilt werden.

94 W. Kruth / Recht und Organisation des Datenschutzes 94 Bereichsspezifischer Datenschutz Personaldatenschutz (4) Datenerhebung beim Bewerber (3) Bewerberdaten sind zu löschen, wenn die Bewerbung keinen Erfolg hatte. Eine Aufbewahrung für künftige Personalauswahlverfahren ist nur mit Zustimmung des Bewerbers zulässig.

95 W. Kruth / Recht und Organisation des Datenschutzes 95 Bereichsspezifischer Datenschutz Personaldatenschutz (5) Personalaktenführung (§§ 90 a ff BBG) Die allgemeine Personalakte (PA) ist gesondert zu führen und vor unbefugter Einsichtnahme zu schützen. Bestandteil der PA sind nur Unterlagen, die mit dem Dienst- oder Arbeitsverhältnis in unmittelbarem, inneren Zusammenhang stehen. Kindergeldakten und Beihilfeakten sind getrennt von der allgemeinen Personalakte zu führen.

96 W. Kruth / Recht und Organisation des Datenschutzes 96 Bereichsspezifischer Datenschutz Personaldatenschutz (6) Automatisierte Dateien Bei automatisierter Speicherung von Dateien sind besondere Maßnahmen zur Zugangs- und Zugriffskontrolle erforderlich. Ergebnisse medizinischer und psychologischer Untersuchungen dürfen nur gespeichert werden, wenn dies dem Schutz des Beschäftigten dient.

97 W. Kruth / Recht und Organisation des Datenschutzes 97 Bereichsspezifischer Datenschutz Personaldatenschutz (7) Speicherung und Verarbeitung von Telefondaten Daten über privat geführte Telefongespräche dürfen nur zum Zwecke der Abrechnung gespeichert und verarbeitet werden. Die Verarbeitung oder Nutzung für andere Zwecke ist unzulässig. Die Abrechnung ist verschlossen zu übermitteln. Daten über dienstlich geführte Telefongespräche dürfen zur Bewertung der Arbeitsergebnisse und zum Zwecke von Organisationsänderungen ausgewertet werden.

98 W. Kruth / Recht und Organisation des Datenschutzes 98 Bereichsspezifischer Datenschutz Personaldatenschutz (8) Personalvertretung (1) Die Personalvertretung ist Teil der speichernden Stelle. Die Datenverarbeitung der Personalvertretung unterliegt der Kontrolle durch den behördlichen Datenschutzbeauftragten. Personaldaten dürfen der Personalvertretung nur im gesetzlich begründeten Fall der Mitwirkung oder Zustimmung zur Kenntnis gegeben werden. Der allgemeine Zugriff auf die Personaldaten ist unzulässig.

99 W. Kruth / Recht und Organisation des Datenschutzes 99 Bereichsspezifischer Datenschutz Personaldatenschutz (9) Personalvertretung (2) Das Datenschutzrecht ist ein zugunsten der Beschäftigten geltendes Recht i.S. des Personalvertretungsrechtes. Daraus ergeben sich –die Verpflichtung des Arbeitgebers, die Personalvertretung umfassend über alle Formen der Verarbeitung von Personaldaten zu unterrichten, –die Verpflichtung der Personalvertretung, den Schutzauftrag zum Persönlichkeitsschutz der Beschäftigten umfassend und kontinuierlich wahrzunehmen.

100 W. Kruth / Recht und Organisation des Datenschutzes 100 Recht und Organisation des Datenschutzes Bereichsspezifischer Datenschutz Teil 2: Sozialdatenschutz

101 W. Kruth / Recht und Organisation des Datenschutzes 101 Bereichsspezifischer Datenschutz Sozialdatenschutz (1) Sozialdaten Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, die im Hinblick auf die Aufgaben nach dem SGB erhoben, verarbeitet oder genutzt werden. Betriebs- und Geschäftsgeheimnisse stehen den personenbezogenen Daten gleich.

102 W. Kruth / Recht und Organisation des Datenschutzes 102 Bereichsspezifischer Datenschutz Sozialdatenschutz (2) Sozialgeheimnis Jeder hat Anspruch darauf, dass ihn betreffende Sozialdaten von den Leistungsträgern als Normadressaten als Sozialgeheimnis gewahrt werden. Die Erhebung, Verarbeitung, Übermittlung oder Nutzung von Sozialdaten ist nur unter den besonderen Voraussetzungen des SGB zulässig.

103 W. Kruth / Recht und Organisation des Datenschutzes 103 Bereichsspezifischer Datenschutz Sozialdatenschutz (3) Normadressaten des Sozialgeheimnisses Zur Beachtung des Sozialgeheimnisses verpflichtet ist –jede Stelle eines Trägers der öffentlichen Verwaltung, soweit sie durch Leistung oder Eingriff eine Aufgabe erfüllt, die im SGB oder einer abgeleiteten Rechtsvorschrift geregelt ist, –Verbände und Arbeitsgemeinschaften der Leistungsträger als gleichgestellte Normadressaten, –nach dem SGB abgeleitete Normadressaten.

104 W. Kruth / Recht und Organisation des Datenschutzes 104 Bereichsspezifischer Datenschutz Sozialdatenschutz (4) Erhebung von Sozialdaten Sozialdaten sind grundsätzlich beim Betroffenen zu erheben. Eine Erhebung ohne Mitwirkung des Betroffenen ist nur innerhalb des sog. Sozialdatenpools unter bestimmten Voraussetzungen zulässig. Die Erhebung bei anderen Personen oder Stellen ist nur dann zulässig, wenn dies eine Rechtsvorschrift ausdrücklich erlaubt oder dies aufgrund der Art der Erhebung bedingt ist.

105 W. Kruth / Recht und Organisation des Datenschutzes 105 Bereichsspezifischer Datenschutz Sozialdatenschutz (5) Übermittlung von Sozialdaten (1) Die Übermittlung von Sozialdaten ist nur zulässig, wenn –der Betroffene schriftlich eingewilligt hat oder –soweit eine gesetzliche Übermittlungspflicht nach den Vorschriften des SGB oder einer anderen, aus dem SGB abgeleiteten Rechtsvorschrift besteht.

106 W. Kruth / Recht und Organisation des Datenschutzes 106 Bereichsspezifischer Datenschutz Sozialdatenschutz (6) Übermittlung von Sozialdaten (2) Zulässige Verfahren zur Übermittlung von Sozialhilfe: –allgemeine Amtshilfe, –Datenübermittlung in Zusammenhang mit Arbeitsunfähigkeit, –Datenübermittlung für die Erfüllung sozialer Aufgaben, –Datenübermittlung an Prüfinstanzen, –Datenübermittlung für die Durchführung eines Strafverfahrens, –Anschriftenübermittlung bei Verletzung der Unterhaltspflicht und beim Versorgungsausgleich.

107 W. Kruth / Recht und Organisation des Datenschutzes 107 Bereichsspezifischer Datenschutz Sozialdatenschutz (7) Automatisierte Abrufverfahren Automatisierte Abrufverfahren sind nur innerhalb des Sozialdatenpools zulässig, wenn dies durch das SGB oder eine abgeleitete Rechtsvorschrift ausdrücklich erlaubt ist und durch die Aufsichtsbehörden der beteiligten Stellen genehmigt ist.

108 W. Kruth / Recht und Organisation des Datenschutzes 108 Bereichsspezifischer Datenschutz Sozialdatenschutz (8) Auftragsdatenverarbeitung Bei der Auftragsdatenverarbeitung werden an die Zuverlässigkeit des Auftragnehmers besonders hohe Anforderungen gestellt. Die Auftragserteilung ist nur zulässig, wenn der Datenschutz beim Auftragnehmer den Anforderungen entspricht, die für den Auftraggeber bei eigener Datenverarbeitung gelten würden. Vor Auftragserteilung ist eine schriftliche Anzeige bei der Aufsichtsbehörde über den Auftragnehmer sowie Art und Umfang der Inanspruchnahme erforderlich.

109 W. Kruth / Recht und Organisation des Datenschutzes 109 Recht und Organisation des Datenschutzes Modul 9 Datenschutz beim Einsatz neuer Technologien

110 W. Kruth / Recht und Organisation des Datenschutzes 110 Recht und Organisation des Datenschutzes Datenschutz beim Einsatz neuer Technologien Teil 1: Internet / Intranet und Datenschutz

111 W. Kruth / Recht und Organisation des Datenschutzes 111 Datenschutz beim Einsatz neuer Technologien Internet / Intranet und Datenschutz (1) World Wide Web-Dienst (WWW) (1) Ein WWW-Server stellt eine allgemein zugängliche Quelle dar und schafft damit den Erlaubnistatbestand für eine freie Nutzung der Daten. Soweit öffentliche Stellen Informationsangebote im WWW bereitstellen, die u.a. Daten über Beschäftigte beinhalten sollen, bedarf es einer Einwilligung der Betroffenen.

112 W. Kruth / Recht und Organisation des Datenschutzes 112 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (2) World Wide Web-Dienst (WWW) (2) Soweit öffentliche Stellen das WWW für Teleantragsverarbeitung nutzen, muss eine gesicherte Übertragung mit Einsatz kryptografischer Verfahren und Digitaler Signatur erfolgen.

113 W. Kruth / Recht und Organisation des Datenschutzes 113 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (3) World Wide Web-Dienst (WWW) (3) Die öffentlichen Stellen regeln die Zugangs- und Voraussetzungen für Teleantragsverarbeitung: –Festlegung der Verfahren und anzuwendenden Krypto- Methoden für die gesicherte Übertragung, –eindeutige und einmalige Referenzierung der Übermittlungsvorgänge, –gesicherte Ende-zu-Ende-Übertragung mit Verschlüsselung und digitaler Signatur, –Erzeugung nicht manipulierbarer Kopien der übermittelten Daten beim Absender und Empfänger.

114 W. Kruth / Recht und Organisation des Datenschutzes 114 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (4) (1) Mailboxen sind rechtlich zunächst als Massenmedien zu betrachten, da sie insgesamt oder in Teilabereichen adressierbar sind. Die Anwendung der Rundfunkgesetze auf den Betrieb von Mailboxen ist zu verneinen, da bei Mailboxen immer nur eine begrenzte Zahl von Benutzern in Betracht kommt.

115 W. Kruth / Recht und Organisation des Datenschutzes 115 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (5) (2) Für den Betreiber von Mailboxsystemen ergeben sich aus rechtlicher Sicht bestimmte Anforderungen: –Jedes Angebot muss den Anbieter erkenntlich machen und Teilnehmern den Abruf von Namen und Anschrift ermöglichen, –Der Anbieter hat eine besondere Sorgfaltspflicht im Hinblick auf wahrheitsgetreue und sachliche Nachrichten, –Die Verbindungsdaten sind unmittelbar nach Beendigung der Verbindung zu löschen, soweit sie nicht für Abrechnungszwecke benötigt werden.

116 W. Kruth / Recht und Organisation des Datenschutzes 116 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (6) (3) Beim Versand personenbezogener Daten mittels werden diese u.Ust. in Kommunikationssystemen, die Gateway- und Router-Funktionen übernehmen, zwischengespeichert. Der Versand von s unterliegt dem Fernmeldegeheimnis. Das Briefgeheimnis findet auf private s Anwendung, soweit diese ausdrücklich zugelassen sind.

117 W. Kruth / Recht und Organisation des Datenschutzes 117 Datenschutz beim Einsatz neuer Technologien Internet und Datenschutz (7) (4) Personenbezogene Daten dürfen mittels nur in verschlüsselter Form und mit digitaler Signatur übermittelt werden. Grundsätzlich ist eine Ende-zu-Ende-Verschlüsselung mit entsprechenden Signaturverfahren anzustreben, soweit hierdurch übergeordnete Sicherheitsbedürfnisse der öffentlichen Stelle nicht beeinträchtigt werden.

118 W. Kruth / Recht und Organisation des Datenschutzes 118 Recht und Organisation des Datenschutzes Datenschutz beim Einsatz neuer Technologien Teil 2: Datenschutz bei Telearbeit

119 W. Kruth / Recht und Organisation des Datenschutzes 119 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (1) Definition Telearbeit Telearbeit ist dezentrale, informations- und kommunikationsgestützte Arbeit, die üblicherweise in einem Büro erbracht wird.

120 W. Kruth / Recht und Organisation des Datenschutzes 120 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (2) Formen der Telearbeit Tele-Heimarbeit Alternierende Telearbeit Satellitenbüro Nachbarschafts-Büro Tele-Haus

121 W. Kruth / Recht und Organisation des Datenschutzes 121 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (3) Problemfelder der Telearbeit Verarbeitung von Kundendaten Verarbeitung von Personaldaten Rechnersysteme in privaten Räumlichkeiten Daten im Zugriffsbereich Dritter Gefahr des unberechtigten Netzzugangs

122 W. Kruth / Recht und Organisation des Datenschutzes 122 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (4) Datenschutzrechtliche Rahmenbedingungen (1) Allgemeines Datenschutzrecht: –Die Zulässigkeit der Telearbeit ist in Abhängigkeit von der Empfindlichkeit der personenbezogenen Daten zu bewerten, i.d.R. bedarf es der Einwilligung des Betroffenen, –es sind angemessene, technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes zu treffen, ibs. Zur Zugangs- und Zugriffssicherung. Der Grundsatz der Zweck-Mittel-Relation muss den besonderen Anforderungen entsprechend angewendet werden.

123 W. Kruth / Recht und Organisation des Datenschutzes 123 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (5) Datenschutzrechtliche Rahmenbedingungen (2) Aus datenschutzrechtlicher Sicht sind ibs. Maßnahmen zur Gewährleistung der –Vertraulichkeit (Gefahr der unbefugten Einsichtnahme / Erschließung von Daten am Telearbeitsplatz) und –Gefährdung der Integrität (Gefahr der unbefugten, unbemerkten Veränderung von Daten am Telearbeitsplatz) zu treffen.

124 W. Kruth / Recht und Organisation des Datenschutzes 124 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (6) Datenschutzrechtliche Rahmenbedingungen (3) Kontrollfunktion des behördlichen Datenschutzbeauftragten bei häuslicher Teleheimarbeit eingeschränkt, da die Räumlichkeiten des Teleheimbüros unter den Schutzbereich Art. 13 GG fallen. Bei mobiler Teleheimarbeit (Fahrzeug, Hotelzimmer) muss zwischen Geschäftsraum und Privatbereich unterschieden werden.

125 W. Kruth / Recht und Organisation des Datenschutzes 125 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (7) Datenschutzrechtliche Rahmenbedingungen (4) Mitwirkung / Mitbestimmung der Personalvertretung: –Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, dies gilt ibs. bei der Teleheimarbeit. Bei Telearbeit ist eine Betriebsvereinbarung, die auch die datenschutzrechtlichen Probleme abdeckt, erforderlich.

126 W. Kruth / Recht und Organisation des Datenschutzes 126 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (8) Datenschutzrechtliche Rahmenbedingungen (5) Zugangskontrolle: –Eignung der privaten Räumlichkeiten durch Begehung / Kontrolle anhand Anforderungskatalog überprüfen, –nachweisliche Belehrung des Telearbeiters mit Hinweis auf Verantwortung für den Zugangsschutz, –bei Arbeitsunterbrechungen Beendigung des Systemdialages bzw. der Kommunikationsverbindung zum entfernten Rechner.

127 W. Kruth / Recht und Organisation des Datenschutzes 127 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (9) Datenschutzrechtliche Rahmenbedingungen (6) Zugriffskontrolle: –Entfernte Administration des Telesystems mit Überprüfung der Datenbestände auf Vollständigkeit und Integrität, –lokaler Zugriff auf verschlüsselte Datenbestände, –entfernter Zugriff auf Protokolldateien und das System bei Störungen.

128 W. Kruth / Recht und Organisation des Datenschutzes 128 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Telearbeit (10) Datenschutzrechtliche Rahmenbedingungen (7) Übermittlungskontrolle: –Übermittlung der Daten ausschließlich in verschlüsselter Form, ggfls. mit zusätzlicher Absicherung durch digitale Signatur.

129 W. Kruth / Recht und Organisation des Datenschutzes 129 Recht und Organisation des Datenschutzes Datenschutz beim Einsatz neuer Technologien Teil 3: Datenschutz beim Betrieb von Telekommunikationsanlagen

130 W. Kruth / Recht und Organisation des Datenschutzes 130 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Einsatz von Telekommunikationsanlagen (1) Der Betrieb von Telekommunikationsanlagen unterliegt den Schutzvorschriften des Telekommunikationsgesetzes, soweit diese für private Zwecke ausdrücklich verfügbar gemacht werden. Bei privater Nutzung unterliegen alle Beschäftigten, die für den Betrieb der Telekommunikationsanlagen verantwortlich sind, dem Fernmeldegeheimnis.

131 W. Kruth / Recht und Organisation des Datenschutzes 131 Datenschutz beim Einsatz neuer Technologien Datenschutz bei Einsatz von Telekommunikationsanlagen (2) Die bei der Nutzung von Telekommunikationsanlagen (Fernsprechen, Faxen) entstehenden Verbindungsdaten –dürfen Nur für Abrechnungszwecke verwendet werden, –dürfen von den Zugriffsberechtigten nicht für andere Zwecke verwendet werden, –sind anderen Beschäftigten oder Stellen nicht zugänglich zu machen, –sind sofort nach Abrechnung, spätestens jedoch nach bestimmten Verfallsfristen zu löschen. Voraussetzungen und Rahmenbedingungen der privaten Nutzung sind in einer Betriebsvereinbarung zu regeln.

132 W. Kruth / Recht und Organisation des Datenschutzes 132 Recht und Organisation des Datenschutzes Modul 10 Interner Datenschutzbeauftragter

133 W. Kruth / Recht und Organisation des Datenschutzes 133 Datenschutzbeauftragter Bestellung Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen. Mehrere Stellen können gemeinsam einen Beauftragten für den Datenschutz bestellen, wenn hierdurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird.

134 W. Kruth / Recht und Organisation des Datenschutzes 134 Datenschutzbeauftragter Qualifikation Sachkunde Zuverlässigkeit

135 W. Kruth / Recht und Organisation des Datenschutzes 135 Datenschutzbeauftragter Anforderungsprofil Juristische Kenntnisse Unternehmenskenntnisse Betriebswirtschaftliche Kenntnisse IT-Kenntnisse

136 W. Kruth / Recht und Organisation des Datenschutzes 136 Datenschutzbeauftragter Anforderungsprofil: Unternehmenskenntnisse Formale Strukturen Informale Strukturen Institutionstypische Gegebenheiten

137 W. Kruth / Recht und Organisation des Datenschutzes 137 Datenschutzbeauftragter Anforderungsprofil: Betriebswirtschaftliche Kenntnisse Allgemeine Betriebswirtschaftslehre –Organisationslehre –Unternehmensführung Spezielle Betriebswirtschaftslehre –Planung und Kontrolle –Personalwesen

138 W. Kruth / Recht und Organisation des Datenschutzes 138 Datenschutzbeauftragter Anforderungsprofil: IT-Kenntnisse Allgemeine technische Kenntnisse –Basisarchitekturen von IT-Systemen und Netzwerken –Methoden und Techniken der Ein- / Ausgabe, Speicherung und Verarbeitung Kenntnisse Systemsoftware –Betriebsarten, Bedieneroberflächen –Prinzipien und Modelle der Softwareentwicklung Kenntnisse Anwendungssoftware –Strukturen Standard- / Individualsoftware –Datenbankanwendungen

139 W. Kruth / Recht und Organisation des Datenschutzes 139 Datenschutzbeauftragter Rechtsstellung Direktunterstellung Behördenleitung Keinen Weisungen unterworfen Benachteilungsverbot Widerruf der Bestellung bei Bestellungspflicht nur nach § 626 BGB Schweigerecht (-pflicht) über die Identität Betroffener (kein Zeugnisverweigerungsrecht)

140 W. Kruth / Recht und Organisation des Datenschutzes 140 Datenschutzbeauftragter Unterstützung durch die speichernde Stelle (1) Allgemeine Unterstützung Bereitstellung von Hilfspersonal, Einrichtungen, Geräten und Mitteln

141 W. Kruth / Recht und Organisation des Datenschutzes 141 Datenschutzbeauftragter Unterstützung durch die speichernde Stelle (2) Bereitstellung von Übersichten: –IT-Infrastruktur –Verfahrensverzeichnis

142 W. Kruth / Recht und Organisation des Datenschutzes 142 Datenschutzbeauftragter Unterstützung durch die speichernde Stelle (3) Das Verfahrensverzeichnis beinhaltet –Name und Anschrift der datenverarbeitenden Stelle, –die Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung, –die Art der gespeicherten Daten und den Kreis der Betroffenen, –die zugriffsberechtigten Personen oder Personengruppen, –die Beschreibung der eingesetzten IT-Infrastruktur sowie der technischen und organisatorischen Massnahmen, –die Adressaten und Verfahren der Datenübermittlung.

143 W. Kruth / Recht und Organisation des Datenschutzes 143 Datenschutzbeauftragter Aufgaben des Datenschutzbeauftragten (1) Das LDSG verpflichtet die öffentliche Stellen, den internen Datenschutzbeauftragten bei der Planung bzw. Änderung von Verfahren zur Verarbeitung personenbezogener Daten sowie bei der Erarbeitung interner Regelungen zum Datenschutz frühzeitig zu beteiligen.

144 W. Kruth / Recht und Organisation des Datenschutzes 144 Datenschutzbeauftragter Aufgaben des Datenschutzbeauftragten (2) Planung und Aufbau der Datenschutzorganisation Überprüfung der Einhaltung von Rechtsvorschriften zum Datenschutz und Organisationsregelungen Schulung und Information von Führungskräften und Mitarbeitern

145 W. Kruth / Recht und Organisation des Datenschutzes 145 Datenschutzbeauftragter Aufgaben des Datenschutzbeauftragten (3) Prüfung von Zulässigkeitsvoraussetzungen Sicherstellung der Rechte des Betroffenen Beratung bei der Erstellung von Verträgen Beratung bei Planung und Realisierung von technischen und organisatorischen Maßnahmen zur Herstellung der IT-Sicherheit

146 W. Kruth / Recht und Organisation des Datenschutzes 146 Datenschutzbeauftragter Aufgaben des Datenschutzbeauftragten (4) Beratung bei der Einstellung von Mitarbeitern, die in Bereichen der Informationstechnik eingesetzt werden Beratung von Betroffenen, die sich unmittelbar an ihn wenden

147 W. Kruth / Recht und Organisation des Datenschutzes 147 Datenschutzbeauftragter Datenschutzzielsystem Kriterien für eine Datenschutzpolitik und – zielsetzungen –Datenschutzbewusstsein –Datenschutz als Bestandteil der Unternehmenspolitik –Fortentwicklung der Fachkunde des Datenschutzbeauftragten –Zeit- und Kostenbudget für den Datenschutzbeauftragten

148 W. Kruth / Recht und Organisation des Datenschutzes 148 Datenschutzbeauftragter Mindestanforderungen an ein Regelungssystem Allgemeine Datenschutzrichtlinie Datenschutzspezifische Inhalte der Richtlinien für die Beschaffung von Informationstechnik, Wartungsarbeiten, IT-Outsourcing Organisation der Zutritts-, Zugangs- und Zugriffsrechte mit Bewertung von geeigneten Kontrollmechanismen und –funktionn Besondere Richtlinien für Internet- und - Zugang und -nutzung

149 W. Kruth / Recht und Organisation des Datenschutzes 149 Datenschutzbeauftragter Ziele Datenschutzrichtlinie Zusammenfassung der datenschutzbezogenen organisatorischen Regelungen Einarbeitungshilfe für neue Mitarbeiter Entscheidungsgrundlage und –hilfe in Datenschutzfragen

150 W. Kruth / Recht und Organisation des Datenschutzes 150 Datenschutzbeauftragter Struktur der Datenschutzrichtlinie Übergeordnete Regelungen Aufbauorganisatorische Regelungen Ablauforganisatorische Regelungen Bereichsspezifische Regelungen Formale Regelungen

151 W. Kruth / Recht und Organisation des Datenschutzes 151 Datenschutzbeauftragter Zusammenarbeit mit Personalvertretung Datenschutzrecht ist ein sog. Schutzrecht, dessen Einhaltung von der Personalvertretung i.S. des Personaldatenschutzes zu kontrollieren ist Offene und vertrauensvolle Zusammenarbeit zwischen Datenschutzbeauftragtem und Personalvertretung ist Voraussetzung für wirksamen Personaldatenschutz


Herunterladen ppt "W. Kruth / Recht und Organisation des Datenschutzes 1 Recht und Organisation des Datenschutzes."

Ähnliche Präsentationen


Google-Anzeigen