Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Recht und Organisation des Datenschutzes

Ähnliche Präsentationen


Präsentation zum Thema: "Recht und Organisation des Datenschutzes"—  Präsentation transkript:

1 Recht und Organisation des Datenschutzes
W. Kruth / Recht und Organisation des Datenschutzes

2 W. Kruth / Recht und Organisation des Datenschutzes
Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: Danke. W. Kruth / Recht und Organisation des Datenschutzes

3 W. Kruth / Recht und Organisation des Datenschutzes
Modulstruktur 1 Zielsetzungen des Datenschutzes, Begriffsbestimmungen 2 Rechtsvorschriften des Datenschutzes 3 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten 4 Zulässigkeit der Datenerhebung, Verarbeitung und -nutzung W. Kruth / Recht und Organisation des Datenschutzes

4 W. Kruth / Recht und Organisation des Datenschutzes
Modulstruktur 5 Auftragsdatenverarbeitung 6 Rechte des Betroffenen 7 Besonderer Datenschutz 8 Bereichsspezifischer Datenschutz 9 Datenschutz beim Einsatz neuer Technologien 10 Interner Datenschutzbeauftragter W. Kruth / Recht und Organisation des Datenschutzes

5 Recht und Organisation des Datenschutzes
Modul 1 Zielsetzungen des Datenschutzes Begriffsbestimmungen W. Kruth / Recht und Organisation des Datenschutzes

6 Zielsetzungen des Datenschutzes
Zweck und Ziel des Datenschutzes ist es, die Persönlichkeitsrechte des Einzelnen vor Beeinträchtigungen durch öffentliche und nicht-öffentliche Stellen zu schützen. Jeder Mensch soll über Angaben, die seine Identität und sein persönliches Umfeld einschliesslich seiner Arbeitsverhältnisse beschreiben, frei bestimmen können, soweit er nicht aufgrund einer Rechtsvorschrift öffentlichen oder nicht-öffentlichen Stellen gegenüber zur Bekanntgabe verpflichtet werden kann bzw. verpflichtet ist (Informationelles Selbstbestimmungsrecht). W. Kruth / Recht und Organisation des Datenschutzes

7 Zielsetzungen des Datenschutzes
Die Landesverfassung NRW hat den personenbezogenen Datenschutz in Art. 4 als ein Grundrecht auf Datenschutz definiert: „Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur im überwiegendem Interesse der Allgemeinheit aufgrund eines Gesetzes zulässig.“ W. Kruth / Recht und Organisation des Datenschutzes

8 Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Die Einzelangaben müssen sich entweder direkt auf eine bestimmte oder bestimmbare Person beziehen oder geeignet sein, einen Bezug zu ihr herzustellen. Persönliche Verhältnisse sind Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung. Auch Werturteile können Angaben über persönliche Verhältnisse sein. Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Betroffenen beziehbaren Sachverhalt. W. Kruth / Recht und Organisation des Datenschutzes

9 Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (2) Personenbezogene Daten weisen in Abhängigkeit vom Inhalt und den Möglichkeiten des Veränderns ibs. bei automatisierter Datenverarbeitung eine unterschiedliche Empfindlichkeit auf, die für den Schutzwert der Daten im Hinblick auf die Gefahr einer missbräuchlichen Nutzung von Bedeutung auf. Die Empfindlichkeit der Daten stellt zunächst auf das einzelne Datum ab, da innerhalb eines Geschäftsfalles Daten mit unterschiedlicher Sensivität gespeichert und verarbeitet werden können. W. Kruth / Recht und Organisation des Datenschutzes

10 Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (3) Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten unterliegen besonderen Beschränkungen bei der Erhebung, Verarbeitung oder Nutzung. W. Kruth / Recht und Organisation des Datenschutzes

11 Begriffsbestimmungen des Datenschutzes
Betroffener Der Betroffene ist derjenige, dessen Schutz das Gesetz zum Ziel hat und dem Rechte aus dem Gesetz - ggfls. unabdingbar - eingeräumt sind. Die verantwortliche Stelle muss in verschiedenen Disziplinen der Datenverarbeitung die Rechte des Betroffenen in eine Güterabwägung zu den berechtigten Eigeninteressen oder den Interessen Dritter stellen. W. Kruth / Recht und Organisation des Datenschutzes

12 Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (1) Verantwortliche Stelle für den Datenschutz ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (erweiterte Definition der ehem. „speichernden Stelle“). Verantwortliche Stelle im i.S. der öffentlichen Behördenorganisation ist zunächst die Organisationseinheit in einer bestimmten Behörde, die die Daten für ihre Zwecke erhebt, speichert, verarbeitet, übermittelt. W. Kruth / Recht und Organisation des Datenschutzes

13 Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (2) Im weiteren Sinne ist verantwortliche Stelle auch die Behörde oder die juristische Person, der die bezogene Stelle angehört, einschließlich aller Untergliederungen. Der Datenfluss innerhalb einer Behörde zwischen Organisationseinheiten ist keine Übermittlung i.S. des Gesetzes. Dies gilt auch für die Zusammenarbeit von Behörden zur Bearbeitung eines Geschäftsfalles im sog. Fachstrang zwischen Ministerien und nachgeordneten Stellen. W. Kruth / Recht und Organisation des Datenschutzes

14 Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (3) Die Personalvertretung ist Bestandteil der verantwortlichen Stelle i.S. der Behörde oder juristischen Person. Die verantwortliche Stelle trägt die volle und uneingeschränkte Verantwortlichkeit für die Zulässigkeit und Rechtmäßigkeit der von ihr vorgenommen oder in ihrem Auftrag durchgeführten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen in automatisierten und nicht-automatisierten Verfahren. W. Kruth / Recht und Organisation des Datenschutzes

15 Begriffsbestimmungen des Datenschutzes
Empfänger Empfänger ist jede Person oder Stelle, die Daten erhält. W. Kruth / Recht und Organisation des Datenschutzes

16 Begriffsbestimmungen des Datenschutzes
Dritter Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der EU personenbezogene Daten im Auftrag erheben, verarbeiten oder speichern. W. Kruth / Recht und Organisation des Datenschutzes

17 Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (1) Automatisierte Verarbeitung ist dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung von Daten unter Einsatz von Informationstechnik (eines gesteuerten technischen Verfahrens) erfolgt. Die automatisierte Verarbeitung muss für jede Phase der technikunterstützten Informationsverarbeitung gegenüber nicht-automatisierter Datenverarbeitung im Hinblick auf den Dateibegriff und die Definition der Sicherheitsziele abgegrenzt werden. W. Kruth / Recht und Organisation des Datenschutzes

18 Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (2) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Diese Regelung gilt nicht bei Vertragsverhältnissen oder ähnlichen Rechtsgeschäften oder wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen garantiert wird. W. Kruth / Recht und Organisation des Datenschutzes

19 Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (3) Wird von der betroffenen Person ein besonderes schutzwürdiges Interesse schriftlich geltend gemacht, darf die Verarbeitung ihrer Daten nur erfolgen, wenn das Interesse der datenverarbeitenden Stelle überwiegt. Die betroffene Person ist über das Ergebnis zu informieren. W. Kruth / Recht und Organisation des Datenschutzes

20 Begriffsbestimmungen des Datenschutzes
Akte Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist. W. Kruth / Recht und Organisation des Datenschutzes

21 Begriffsbestimmungen des Datenschutzes
Datenvermeidung und Datensparsamkeit Gestaltung und Auswahl von Informationstechnik haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. W. Kruth / Recht und Organisation des Datenschutzes

22 Begriffsbestimmungen des Datenschutzes
Zweckbindungsprinzip Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Erfüllung der definierten Aufgaben unabdingbar ist. Eine Verarbeitung oder Nutzung von Daten, die im Rahmen der automatisierten Verarbeitung in Kontrolldateien gespeichert werden oder im Rahmen von Maßnahmen zur Verbesserung der Organisation oder zur Kontrolle des Datenschutzes anfallen für andere Zwecke ist unzulässig. W. Kruth / Recht und Organisation des Datenschutzes

23 Begriffsbestimmungen des Datenschutzes
Verbunddateien (1) Die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. Innerhalb einer öffentlichen Stelle bedarf eine derartige Einrichtung der Zustellung des Dienststellenleiters. W. Kruth / Recht und Organisation des Datenschutzes

24 Begriffsbestimmungen des Datenschutzes
Verbunddateien (2) Erfolgt die Einrichtung für mehrere Stellen, müssen diese die Datenart, die Aufgaben der beteiligten Stellen, Zweck und Umfang der jeweiligen Befugnis und die Gesamtverantwortlichkeit bestimmen. Der Landesbeauftragte für den Datenschutz ist vorab zu informieren. W. Kruth / Recht und Organisation des Datenschutzes

25 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Erheben Erheben ist das Beschaffen von Daten über den Betroffenen. Die Art der Erhebung ist unerheblich. Sie muss jedoch zielorientiert erfolgen. Der Betroffene ist über den Umfang der Erhebung und ggfls. die weitere Speicherung usw. zu informieren, soweit dies durch das Datenschutzrecht bestimmt ist. Ein Erheben ist dann nicht gegeben, wenn die Daten aus vorliegenden Unterlagen zusammengestellt werden. W. Kruth / Recht und Organisation des Datenschutzes

26 Begriffsbestimmungen des Datenschutzes
Verarbeitung und Nutzung Verarbeiten ist ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Nutzen ist ´jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. W. Kruth / Recht und Organisation des Datenschutzes

27 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Speichern Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke der weiteren Verarbeitung oder Nutzung. Datenträger ist jedes Medium, das zur Aufnahme personenbezogener Daten geeignet ist. Erfassen ist als Dateneingabe unter Vornahme von Plausibilitätsprüfung zur Gewährleistung der Integrität und Konsistenz der Daten zu verstehen. W. Kruth / Recht und Organisation des Datenschutzes

28 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Verändern Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten. Verändern umfasst jegliche Transformation und Verknüpfung von Daten . Soweit durch das Verändern von Daten diese ihren bisherigen Kontext verlieren oder ein neues Informationsbild mit geänderter Qualität geschaffen wird, muss das Ergebnis im Hinblick auf die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung ggfls. neu bewertet werden. W. Kruth / Recht und Organisation des Datenschutzes

29 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Übermitteln Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Übermitteln von Daten liegt auch dann vor, wenn nicht einzelne Daten, sondern Datenbestände weitergegeben werden. W. Kruth / Recht und Organisation des Datenschutzes

30 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Sperren Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. W. Kruth / Recht und Organisation des Datenschutzes

31 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Löschen Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. Die Wirksamkeit des Löschens wird durch die anwendbaren Möglichkeiten der Wiedergewinnung mit allgemein oder speziell verfügbaren Methoden und Techniken bestimmt. Sind die zu löschenden Daten auch in Bestandssicherungen enthalten, gilt das Löschen als erfüllt, wenn die Sicherungsbestände überschrieben oder in anderer Weise dem Zugriff entzogen werden. W. Kruth / Recht und Organisation des Datenschutzes

32 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Anonymisieren Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig grossen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine Reanonymisierung muss ausgeschlossen werden können. Maßgebend ist dabei, ob die Reanonymisierung durch die verantwortliche Stelle möglich ist. W. Kruth / Recht und Organisation des Datenschutzes

33 Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Pseudonymisieren Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Das Pseudonymisieren von Daten für statistische Zwecke ist nicht zulässig. Zielaspekt ist die Verwendung von verfremdeten Daten für Testzwecke und Präsentationen, die ohne Bezug zur Realwelt nicht operabel sind. W. Kruth / Recht und Organisation des Datenschutzes

34 Recht und Organisation des Datenschutzes
Modul 2 Rechtsvorschriften des Datenschutzes W. Kruth / Recht und Organisation des Datenschutzes

35 Rechtsvorschriften des Datenschutzes
Anwendungsbereich (1) Das Landesdatenschutzgesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen. W. Kruth / Recht und Organisation des Datenschutzes

36 Rechtsvorschriften des Datenschutzes
Anwendungsbereich (2) Für wirtschaftliche Unternehmen der Gemeinden und Gemeindeverbände ohne eigene Rechtspersönlichkeit, für öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, sowie für die der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, finden die Vorschriften über die Rechtsgrundlagen der Datenverarbeitung Anwendung. W. Kruth / Recht und Organisation des Datenschutzes

37 Rechtsvorschriften des Datenschutzes
Anwendungsbereich (3) Für den Landtag, die Gerichte und die Behörden der Staatsanwaltschaft gilt, soweit diese Verwaltungsaufgaben wahrnehmen, das LDSG eingeschränkt (Rechtsgrundlagen der Datenverarbeitung). W. Kruth / Recht und Organisation des Datenschutzes

38 Rechtsvorschriften des Datenschutzes
Lex specialis vor lex generalis Soweit besondere Rechtsvorschriften des Bundes oder Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, haben sie als lex specialis Anwendungsvorrang. BDSG und LDSG haben den Charakter eines Auffanggesetzes. Bei konkurrierenden bereichsspezifischen Rechtsvorschriften gilt der Grundsatz „Bundesrecht bricht Landesrecht“. W. Kruth / Recht und Organisation des Datenschutzes

39 Rechtsvorschriften des Datenschutzes
LDSG im Verhältnis zum Verwaltungsverfahrensgesetz Für das Verhältnis zum LDSG enthält das Verwaltungsverfahrensrecht Regelungen, dass die Normadressaten des LDSG - auch im Verwaltungsverfahren - den vorrangigen Bestimmungen des LDSG unterworfen sind, soweit sie bei der Sachverhaltsermittlung personenbezogene Daten verarbeiten oder nutzen. W. Kruth / Recht und Organisation des Datenschutzes

40 Rechtsvorschriften des Datenschutzes
Datenübermittlung im grenzüberschreitenden Datenverkehr Für die Datenübermittlung im grenzüberschreitenden Datenverkehr finden die Rechtsvorschriften der EU Anwendung. Grundsätzlich gilt für alle Mitglieder der EU, die durch innerstaatliches Recht die Grundsätze und Leitlinien der EU, ibs. die Konvention 108 für den personenbezogenen Datenschutz ratifiziert haben oder gesetzliche Bestimmungen erlassen haben, die im Einklang mit dieser Konvention stehen, der Grundsatz, dass dem grenzüberschreitenden Datenverkehr keine Beschränkungen auferlegt werden sollten. W. Kruth / Recht und Organisation des Datenschutzes

41 Recht und Organisation des Datenschutzes
Modul 3 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten W. Kruth / Recht und Organisation des Datenschutzes

42 W. Kruth / Recht und Organisation des Datenschutzes
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Personenbezogene Daten sind beim Betroffenen mit seiner Kenntnis zu erheben, er ist über den Verwendungszweck aufzuklären. Erforderlich ist die Erhebung, wenn ihre Kenntnis zur Erreichung des angestrebten Zweckes objektiv geeignet und im Verhältnis zum angestrebten Zweck auch notwendig ist. W. Kruth / Recht und Organisation des Datenschutzes

43 W. Kruth / Recht und Organisation des Datenschutzes
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (2) Die Verpflichtung zur Datenerhebung beim Betroffenen kann jedoch nicht lückenlos durchgeführt werden. Die Beschaffung von anderen Stellen ohne Kenntnis ist unter bestimmten Voraussetzungen zulässig, nämlich dann, wenn die Daten bereits bei anderen Stellen innerhalb der gleichen Behörde vorliegen. Dabei ist auch das Zweckbindungsprinzip zu beachten. W. Kruth / Recht und Organisation des Datenschutzes

44 Zweckbindung bei Speicherung, Veränderung, Nutzung (1)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zu rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Die Weitverarbeitung von Daten zu anderen Zwecken ist u.a. nur zulässig, wenn dies durch Rechtsvorschriften bestimmt ist, der Betroffene eingewilligt hat, sie aus allgemein zugänglichen Quellen entnommen werden können. W. Kruth / Recht und Organisation des Datenschutzes

45 Zweckbindung bei Speicherung, Veränderung, Nutzung (2)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (2) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. W. Kruth / Recht und Organisation des Datenschutzes

46 Datenübermittlung im öffentlichen Bereich (1)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (1) Die Übermittlung an öffentliche Stellen ist zulässig, wenn dies zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist. Die Übermittlung ist auch dann zulässig, wenn eine Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf. W. Kruth / Recht und Organisation des Datenschutzes

47 Datenübermittlung im öffentlichen Bereich (2)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (2) Können die zu übermittelnden Daten nicht von anderen Informationen, mit denen sie verbunden sind, ohne vertretbaren Aufwand getrennt werden, so ist die Übermittlung auch dieser Daten zulässig, soweit berechtigte Belange des Betroffenen nicht entgegenstehen; eine Nutzung dieser Daten durch den Empfänger ist nicht zulässig. W. Kruth / Recht und Organisation des Datenschutzes

48 Datenübermittlung im öffentlichen Bereich (3)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (3) Die Verantwortung für die Übermittlung trägt die übermittelnde Stelle. Sie prüft das Übermittlungsersuchen des Empfängers. Erfolgt die Übermittlung in automatisierten Abrufverfahren, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger. Für die Weitverarbeitung der Daten beim Empfänger gilt das Zweckbindungsprinzip. W. Kruth / Recht und Organisation des Datenschutzes

49 Automatisierte Abrufverfahren und regelmässige Datenübermittlung (1)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmässige Datenübermittlung (1) Die Einrichtung automatisierter Abrufverfahren ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist. Die am Abrufverfahren beteiligten Stellen haben alle erforderlichen Maßnahmen für die Gewährleistung der IT-Sicherheitsziele im Abrufverfahren zu treffen. Automatisierte Abrufverfahren für Stellen ausserhalb des öffentlichen Bereichs sind nicht zulässig. W. Kruth / Recht und Organisation des Datenschutzes

50 Automatisierte Abrufverfahren und regelmäßige Datenübermittlung (2)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmäßige Datenübermittlung (2) Den Verfahren zur automatisierten Direktabfrage personenbezogener Daten kommt besondere Bedeutung zu, weil die abrufende Stelle je nach Einrichtung eines solchen Anschlusses über den gesamten Umfang oder wesentliche Teile des Bestandes verfügen kann. Den automatisierten Abrufverfahren sind Verfahren zur regelmäßigen Datenübermittlung gleichgestellt. W. Kruth / Recht und Organisation des Datenschutzes

51 Automatisierte Abrufverfahren (3)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren (3) Die verantwortliche Stelle hat durch Stichprobenverfahren die Ordnungsmäßigkeit des automatisierten Abrufverfahrens zu überprüfen. W. Kruth / Recht und Organisation des Datenschutzes

52 Übermittlung an nicht-öffentliche Stellen
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an nicht-öffentliche Stellen Die Übermittlung an nicht-öffentliche Stellen ist u.a zulässig, wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist, sie im öffentlichen Interesse liegt und hierfür ein berechtigtes Interesse geltend gemacht hat und kein Widerspruch des Betroffenen vorliegt, vom Empfänger ein rechtliches Interesse geltend gemacht wird und schutzwürdige Belange des Betroffenen nicht entgegenstehen. W. Kruth / Recht und Organisation des Datenschutzes

53 Übermittlung an ausländische Stellen (1)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an ausländische Stellen (1) Die Übermittlung an nicht-öffentliche Stellen außerhalb des Geltungsbereiches des GG richtet sich nach den Vorschriften Bestimmungen über die Datenübermittlung an öffentliche und nicht-öffentliche Stellen. Die Übermittlung an Stellen außerhalb der EU-Mitgliedstaaten ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist, hierzu ist vor der Entscheidung der Landesbeauftragte für den Datenschutz zu hören. W. Kruth / Recht und Organisation des Datenschutzes

54 Übermittlung an ausländische Stellen (2)
Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Übermittlung an ausländische Stellen (2) Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn u.a. die betroffene Person eingewilligt hat, die Übermittlung zur Wahrung des überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist. Die empfangende Stelle ist auf das Zweckbindungsprinzip hinzuweisen. W. Kruth / Recht und Organisation des Datenschutzes

55 Recht und Organisation des Datenschutzes
Modul 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung W. Kruth / Recht und Organisation des Datenschutzes

56 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn dies durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist oder der Betroffene eingewilligt hat. W. Kruth / Recht und Organisation des Datenschutzes

57 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben und die evtl. Folgen einer Verweigerung hinzuweisen. W. Kruth / Recht und Organisation des Datenschutzes

58 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Einwilligung des Betroffenen (1) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er, sofern er nicht auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über deren Identität, die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Kategorien von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. W. Kruth / Recht und Organisation des Datenschutzes

59 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Einwilligung des Betroffenen (2) Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung hinzuweisen. Die Einwilligung bedarf der Schriftform. Sie muss, soweit sie im Zusammenhang mit anderen Erklärungen abgegeben wird, deutlich hervorzuheben. W. Kruth / Recht und Organisation des Datenschutzes

60 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Einwilligung des Betroffenen (3) Die Einwilligung des Betroffenen kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass sie nur durch eine eindeutige und bewusste Handlung der handelnden Person erfolgen kann, sie nicht unerkennbar verändert werden kann, ihr Urheber erkannt werden kann, die Einwilligung bei der betroffenen Stelle protokolliert wird der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann. W. Kruth / Recht und Organisation des Datenschutzes

61 Recht und Organisation des Datenschutzes
Modul 5 Auftragsdatenverarbeitung W. Kruth / Recht und Organisation des Datenschutzes

62 Auftragsdatenverarbeitung
Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der anzuwendenden Rechtsvorschriften zum Datenschutz verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen von Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Der Auftragnehmer ist funktionaler Bestandteil der verantwortlichen Stelle. W. Kruth / Recht und Organisation des Datenschutzes

63 Auftragsdatenverarbeitung
Auftragsverhältnis (1) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen organisatorischen und technischen Maßnahmen zur Gewährleistung der IT-Sicherheit sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen. Dabei können verschiedene Auftragsformen vom Rahmenvertrag mit Einzelaufträgen bis zur ausschließlichen, allgemein oder für den Einzelfall geltenden Regelung in Betracht kommen. W. Kruth / Recht und Organisation des Datenschutzes

64 Auftragsdatenverarbeitung
Auftragsverhältnis (2) Im Rahmen des Auftragsverhältnisses sind die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Sicherheitsmassnahmen und etwaige Unterauftragsverhältnisse festzulegen. Der Auftraggeber hat die Pflicht, sich von der Einhaltung der getroffenen Vereinbarungen zu überzeugen. W. Kruth / Recht und Organisation des Datenschutzes

65 Auftragsdatenverarbeitung
Auftragsverhältnis (3) Der Auftragnehmer hat den Auftraggeber über von ihm erkannte oder vermutete Verstöße gegen datenschutzrechtliche Bestimmungen oder Regelungen des Auftragsverhältnisses unverzüglich zu informieren. Dies gilt auch dann, wenn der Auftragnehmer das vorhandene Sicherheitssystem ändert und hierdurch getroffene Vereinbarungen inhaltlich berührt werden. W. Kruth / Recht und Organisation des Datenschutzes

66 Auftragsdatenverarbeitung
Anwendungsbereiche Anwendungsbereiche der Auftragsdatenverarbeitung sind die Datenerfassung, die Entwicklung von Individualsoftware, die Erbringung von Wartungsarbeiten (lokale Wartung oder Fernwartung) für Netze, Systeme und Dienste, die Durchführung von Verarbeitungen automatisierter Verfahren, die Durchführung von Datenübermittlung sowie die Einrichtung von automatisierten Abrufverfahren. W. Kruth / Recht und Organisation des Datenschutzes

67 Auftragsdatenverarbeitung
Wartung und Systembetreuung durch externe Stellen Externe Stellen und Personen, die mit der Wartung und Systembetreuung von von IT-Systemen oder deren Komponenten beauftragt sind, müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, wenn dies unvermeidlich ist; in diesen Fällen hat der Auftragnehmer die Daten unverzüglich nach Erledigung des Auftrags zu löschen. Die Nachweise hierzu sind drei Jahre aufzubewahren. W. Kruth / Recht und Organisation des Datenschutzes

68 Auftragsdatenverarbeitung
Datenverarbeitung durch eigene Stellen (1) Bei der Erhebung, Verarbeitung oder Nutzung von personenbezogene Daten durch eigene Stellen im Organisationsbereich der verantwortlichen Behörde ist Auftragsdatenverarbeitung nicht gegeben. Im Interesse einer ordnungsgemäßen und kontrollierbaren automatisierten Datenverarbeitung wird die Anwendung der Rechtsvorschriften für die Auftragsdatenverarbeitung empfohlen. W. Kruth / Recht und Organisation des Datenschutzes

69 Auftragsdatenverarbeitung
Datenverarbeitung durch eigene Stellen (2) Soweit die IT-Zentralen des Landes personenbezogene Daten im Auftrag öffentlicher Stellen verarbeiten, haben sie die Vorschriften über das Datengeheimnis, Technische und organisatorische Maßnahmen Kontrolle durch den Landesbeauftragten für den Datenschutz für ihren Bereich anzuwenden. W. Kruth / Recht und Organisation des Datenschutzes

70 Recht und Organisation des Datenschutzes
Modul 6 Rechte des Betroffenen und Korrespondenzpflichten der verantwortlichen Stelle W. Kruth / Recht und Organisation des Datenschutzes

71 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Unabdingbare Rechte des Betroffenen Die Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung oder Löschung können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Sind die Daten des Betroffen automatisiert bei mehreren Stellen gespeichert, kann er sich an jede dieser Stellen wenden, wenn er die für die Speicherung verantwortliche Stelle nicht selbst ermitteln kann. Die Stelle, bei der der Betroffene seine Rechte reklamiert, ist zur Information der bezogenen Stelle verpflichtet. W. Kruth / Recht und Organisation des Datenschutzes

72 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Korrespondenzpflichten der verantwortlichen Stelle Den Rechten des Betroffenen auf Berichtigung, Sperrung und Löschung entsprechen die Pflichten der verantwortlichen Stelle zur Vornahme korrigierender Handlungen, ohne dass es dabei zwingend eines Einspruches des Betroffenen bedarf. W. Kruth / Recht und Organisation des Datenschutzes

73 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Recht auf Auskunft (1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über die zu seiner Person gespeicherten Daten, den Zweck und die Rechtsgrundlage der Speicherung, die Herkunft der Daten, soweit sie von anderen Stellen zur Verfügung gestellt oder aus allgemein zugänglichen Quellen gewonnen wurden, und die Empfänger von Übermittlungen, Die allgemeinen technischen Bedingungen der automatisierten Verarbeitung der zur eigenen Person verarbeiteten Daten. Die Auskunft darf nur verweigert werden, wenn dies durch eine Rechtsvorschrift ausdrücklich bestimmt ist. W. Kruth / Recht und Organisation des Datenschutzes

74 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Recht auf Auskunft (2) Die Form des Auskunftsverfahrens bestimmt die verantwortliche Stelle. Grundsätzlich wird die Auskunft schriftlich und unentgeltlich erteilt. W. Kruth / Recht und Organisation des Datenschutzes

75 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird, der Betroffene anstelle der Löschung die Sperrung verlangt, die weitere Speicherung im Interesse des Betroffenen geboten ist, ie nur zu Zwecken der Datensicherung und der Datenschutzkontrolle gespeichert sind. W. Kruth / Recht und Organisation des Datenschutzes

76 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (2) Bei automatisierten Dateien ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im übrigen ist ein ein entsprechender Vermerk anzubringen. W. Kruth / Recht und Organisation des Datenschutzes

77 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (3) Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig ist, ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. Über die Berichtigung von Daten, die Sperrung und Löschung sind unverzüglich die betroffene Person und die Stellen zu informieren, an die Datenübermittlung erfolgt; es sei denn, dass die Benachrichtigung einen erheblichen Aufwand erfordert und nachteilige Folgen für die betroffene Person nicht zu befürchten sind. W. Kruth / Recht und Organisation des Datenschutzes

78 Rechte des Betroffenen / Pflichten der verantwortlichen Stelle
Benachrichtigung des Betroffenen Der Betroffene ist zu benachrichtigen, wenn erstmals personenbezogene Daten für eigene Zwecke ohne seine Kenntnis gespeichert werden. Die Benachrichtigung entspricht nach Form und Inhalt der Auskunft. Eine Pflicht zur Benachrichtigung besteht nicht, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung, Verarbeitung oder Nutzung erlangt hat, oder die Benachrichtigung durch Rechtsvorschrift ausgeschlossen ist. W. Kruth / Recht und Organisation des Datenschutzes

79 Recht und Organisation des Datenschutzes
Modul 7 Besonderer Datenschutz W. Kruth / Recht und Organisation des Datenschutzes

80 Sicherstellung des Datenschutzes
Besondere Regelungen Sicherstellung des Datenschutzes Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und ihre Vereinigungen haben für ihren Bereich jeweils die Ausführung der Rechtsvorschriften über den Datenschutz sicherzustellen. W. Kruth / Recht und Organisation des Datenschutzes

81 W. Kruth / Recht und Organisation des Datenschutzes
Besondere Regelungen Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Die infrage kommenden Personen sind auf das Datengeheimnis zu verpflichten. Dies gilt auch für Personen, die bei der Auftragsdatenvearbeitung für den Auftraggeber als Erfüllungsgehilfen tätig werden. W. Kruth / Recht und Organisation des Datenschutzes

82 Technische und organisatorische Massnahmen (1)
Besondere Regelungen Technische und organisatorische Massnahmen (1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der anzuwendenden Rechtsvorschriften zum Datenschutz sicherzustellen. Erforderlich sind Maßahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. W. Kruth / Recht und Organisation des Datenschutzes

83 Technische und organisatorische Maßnahmen (2)
Besondere Regelungen Technische und organisatorische Maßnahmen (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass die Sicherheitsziele der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz erreicht werden. W. Kruth / Recht und Organisation des Datenschutzes

84 Technische und organisatorische Maßnahmen (3)
Besondere Regelungen Technische und organisatorische Maßnahmen (3) Die Maßnahmen sind auf der Grundlage eines revisionsfähigen Sicherheitskonzeptes zu ermitteln und zu realisieren. Die Anpassung an den technischen Entwicklungsstand ist jeweils durchzuführen. W. Kruth / Recht und Organisation des Datenschutzes

85 W. Kruth / Recht und Organisation des Datenschutzes
Besondere Regelungen Datenschutzaudit Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Informationstechnik und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen. W. Kruth / Recht und Organisation des Datenschutzes

86 Datenschutz bei Videoüberwachung
Besondere Regelungen Datenschutz bei Videoüberwachung Videoüberwachung ist nur zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Auf die Videoüberwachung ist hinzuweisen. Die Daten sind zu löschen, wenn sie zur Erreichung des Zweckes nicht mehr erforderlich sind oder schutzwürdige Belange der Betroffenen entgegenstehen. W. Kruth / Recht und Organisation des Datenschutzes

87 Mobile personenbezogene Datenverarbeitungssysteme (1)
Besondere Regelungen Mobile personenbezogene Datenverarbeitungssysteme (1) Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereit gestellte Schnittstelle Daten automatisiert austauschen können, dürfen nur mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden. W. Kruth / Recht und Organisation des Datenschutzes

88 Mobile personenbezogene Datenverarbeitungssysteme (2)
Besondere Regelungen Mobile personenbezogene Datenverarbeitungssysteme (2) Für die Betroffenen muss jederzeit erkennbar sein, - ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder dieses veranlasst stattfinden, - welche personenbezogenen Daten der betroffenen Person verarbeitet werden, welcher Veränderungsvorgang im Einzelnen abläuft oder angestoßen wird. Die Betroffenen sind über ihre Rechte auf Auskunft usw. bei der Ausgabe der Geräte aufzuklären. W. Kruth / Recht und Organisation des Datenschutzes

89 Recht und Organisation des Datenschutzes
Modul 8 Bereichsspezifischer Datenschutz W. Kruth / Recht und Organisation des Datenschutzes

90 Recht und Organisation des Datenschutzes
Bereichsspezifischer Datenschutz Teil 1: Personaldatenschutz W. Kruth / Recht und Organisation des Datenschutzes

91 Bereichsspezifischer Datenschutz
Personaldatenschutz (1) Allgemeine Rechtsgrundsätze Daten von Bewerbern und Beschäftigten dürfen nur erhoben, gespeichert und verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung dienstlicher, organisatorischer, personeller und sozialer Maßnahmen, ibs. auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist. Anzuwendende Rechtsvorschriften sind ibs. auch Tarifverträge und Dienstvereinbarungen. W. Kruth / Recht und Organisation des Datenschutzes

92 Bereichsspezifischer Datenschutz
Personaldatenschutz (2) Datenerhebung beim Bewerber (1) Bei der Datenerhebung vom Bewerber sind zu beachten Der Grundsatz der Zweckbestimmung des angestrebten Beschäftigungsverhältnisses, Die Interessenabwägung im Rahmen der Zweckbestimmung nach dem Grundsatz der Verhältnismässigkeit. Problemfelder: Psychologische Wirkungs- und Erkenntnisgrössen können beim Bewerber die Abwehr von unzulässigen Fragen beeinträchtigen, Sachgerechte und objektive Ermessensentscheidungen sind wg. Fehlender Sensibilität im Umgang mit personenbezogenen Daten bei den Entscheidungsträgern nicht durchgängig zu erwarten. W. Kruth / Recht und Organisation des Datenschutzes

93 Bereichsspezifischer Datenschutz
Personaldatenschutz (3) Datenerhebung beim Bewerber (2) Medizinische und psychologische Untersuchungen sind zulässig, soweit dadurch ergänzend zu den allgemeinen Erhebungen die Eignung des Bewerbers unter dem Aspekt der Anforderungen der angestrebten Stelle festgestellt wird. Der Personalstelle darf nur das Ergebnis der Eignungsuntersuchung mitgeteilt werden. W. Kruth / Recht und Organisation des Datenschutzes

94 Bereichsspezifischer Datenschutz
Personaldatenschutz (4) Datenerhebung beim Bewerber (3) Bewerberdaten sind zu löschen, wenn die Bewerbung keinen Erfolg hatte. Eine Aufbewahrung für künftige Personalauswahlverfahren ist nur mit Zustimmung des Bewerbers zulässig. W. Kruth / Recht und Organisation des Datenschutzes

95 Bereichsspezifischer Datenschutz
Personaldatenschutz (5) Personalaktenführung (§§ 90 a ff BBG) Die allgemeine Personalakte (PA) ist gesondert zu führen und vor unbefugter Einsichtnahme zu schützen. Bestandteil der PA sind nur Unterlagen, die mit dem Dienst- oder Arbeitsverhältnis in unmittelbarem, inneren Zusammenhang stehen. Kindergeldakten und Beihilfeakten sind getrennt von der allgemeinen Personalakte zu führen. W. Kruth / Recht und Organisation des Datenschutzes

96 Bereichsspezifischer Datenschutz
Personaldatenschutz (6) Automatisierte Dateien Bei automatisierter Speicherung von Dateien sind besondere Maßnahmen zur Zugangs- und Zugriffskontrolle erforderlich. Ergebnisse medizinischer und psychologischer Untersuchungen dürfen nur gespeichert werden, wenn dies dem Schutz des Beschäftigten dient. W. Kruth / Recht und Organisation des Datenschutzes

97 Bereichsspezifischer Datenschutz
Personaldatenschutz (7) Speicherung und Verarbeitung von Telefondaten Daten über privat geführte Telefongespräche dürfen nur zum Zwecke der Abrechnung gespeichert und verarbeitet werden. Die Verarbeitung oder Nutzung für andere Zwecke ist unzulässig. Die Abrechnung ist verschlossen zu übermitteln. Daten über dienstlich geführte Telefongespräche dürfen zur Bewertung der Arbeitsergebnisse und zum Zwecke von Organisationsänderungen ausgewertet werden. W. Kruth / Recht und Organisation des Datenschutzes

98 Bereichsspezifischer Datenschutz
Personaldatenschutz (8) Personalvertretung (1) Die Personalvertretung ist Teil der „speichernden Stelle“. Die Datenverarbeitung der Personalvertretung unterliegt der Kontrolle durch den behördlichen Datenschutzbeauftragten. Personaldaten dürfen der Personalvertretung nur im gesetzlich begründeten Fall der Mitwirkung oder Zustimmung zur Kenntnis gegeben werden. Der allgemeine Zugriff auf die Personaldaten ist unzulässig. W. Kruth / Recht und Organisation des Datenschutzes

99 Bereichsspezifischer Datenschutz
Personaldatenschutz (9) Personalvertretung (2) Das Datenschutzrecht ist ein zugunsten der Beschäftigten geltendes Recht i.S. des Personalvertretungsrechtes. Daraus ergeben sich die Verpflichtung des Arbeitgebers, die Personalvertretung umfassend über alle Formen der Verarbeitung von Personaldaten zu unterrichten, die Verpflichtung der Personalvertretung, den Schutzauftrag zum Persönlichkeitsschutz der Beschäftigten umfassend und kontinuierlich wahrzunehmen. W. Kruth / Recht und Organisation des Datenschutzes

100 Recht und Organisation des Datenschutzes
Bereichsspezifischer Datenschutz Teil 2: Sozialdatenschutz W. Kruth / Recht und Organisation des Datenschutzes

101 Bereichsspezifischer Datenschutz
Sozialdatenschutz (1) Sozialdaten Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, die im Hinblick auf die Aufgaben nach dem SGB erhoben, verarbeitet oder genutzt werden. Betriebs- und Geschäftsgeheimnisse stehen den personenbezogenen Daten gleich. W. Kruth / Recht und Organisation des Datenschutzes

102 Bereichsspezifischer Datenschutz
Sozialdatenschutz (2) Sozialgeheimnis Jeder hat Anspruch darauf, dass ihn betreffende Sozialdaten von den Leistungsträgern als Normadressaten als Sozialgeheimnis gewahrt werden. Die Erhebung, Verarbeitung, Übermittlung oder Nutzung von Sozialdaten ist nur unter den besonderen Voraussetzungen des SGB zulässig. W. Kruth / Recht und Organisation des Datenschutzes

103 Bereichsspezifischer Datenschutz
Sozialdatenschutz (3) Normadressaten des Sozialgeheimnisses Zur Beachtung des Sozialgeheimnisses verpflichtet ist jede Stelle eines Trägers der öffentlichen Verwaltung, soweit sie durch Leistung oder Eingriff eine Aufgabe erfüllt, die im SGB oder einer abgeleiteten Rechtsvorschrift geregelt ist, Verbände und Arbeitsgemeinschaften der Leistungsträger als gleichgestellte Normadressaten, nach dem SGB abgeleitete Normadressaten. W. Kruth / Recht und Organisation des Datenschutzes

104 Bereichsspezifischer Datenschutz
Sozialdatenschutz (4) Erhebung von Sozialdaten Sozialdaten sind grundsätzlich beim Betroffenen zu erheben. Eine Erhebung ohne Mitwirkung des Betroffenen ist nur innerhalb des sog. „Sozialdatenpools“ unter bestimmten Voraussetzungen zulässig. Die Erhebung bei anderen Personen oder Stellen ist nur dann zulässig, wenn dies eine Rechtsvorschrift ausdrücklich erlaubt oder dies aufgrund der Art der Erhebung bedingt ist. W. Kruth / Recht und Organisation des Datenschutzes

105 Bereichsspezifischer Datenschutz
Sozialdatenschutz (5) Übermittlung von Sozialdaten (1) Die Übermittlung von Sozialdaten ist nur zulässig, wenn der Betroffene schriftlich eingewilligt hat oder soweit eine gesetzliche Übermittlungspflicht nach den Vorschriften des SGB oder einer anderen, aus dem SGB abgeleiteten Rechtsvorschrift besteht. W. Kruth / Recht und Organisation des Datenschutzes

106 Bereichsspezifischer Datenschutz
Sozialdatenschutz (6) Übermittlung von Sozialdaten (2) Zulässige Verfahren zur Übermittlung von Sozialhilfe: allgemeine Amtshilfe, Datenübermittlung in Zusammenhang mit Arbeitsunfähigkeit, Datenübermittlung für die Erfüllung sozialer Aufgaben, Datenübermittlung an Prüfinstanzen, Datenübermittlung für die Durchführung eines Strafverfahrens, Anschriftenübermittlung bei Verletzung der Unterhaltspflicht und beim Versorgungsausgleich. W. Kruth / Recht und Organisation des Datenschutzes

107 Bereichsspezifischer Datenschutz
Sozialdatenschutz (7) Automatisierte Abrufverfahren Automatisierte Abrufverfahren sind nur innerhalb des Sozialdatenpools zulässig, wenn dies durch das SGB oder eine abgeleitete Rechtsvorschrift ausdrücklich erlaubt ist und durch die Aufsichtsbehörden der beteiligten Stellen genehmigt ist. W. Kruth / Recht und Organisation des Datenschutzes

108 Bereichsspezifischer Datenschutz
Sozialdatenschutz (8) Auftragsdatenverarbeitung Bei der Auftragsdatenverarbeitung werden an die Zuverlässigkeit des Auftragnehmers besonders hohe Anforderungen gestellt. Die Auftragserteilung ist nur zulässig, wenn der Datenschutz beim Auftragnehmer den Anforderungen entspricht, die für den Auftraggeber bei eigener Datenverarbeitung gelten würden. Vor Auftragserteilung ist eine schriftliche Anzeige bei der Aufsichtsbehörde über den Auftragnehmer sowie Art und Umfang der Inanspruchnahme erforderlich. W. Kruth / Recht und Organisation des Datenschutzes

109 Recht und Organisation des Datenschutzes
Modul 9 Datenschutz beim Einsatz neuer Technologien W. Kruth / Recht und Organisation des Datenschutzes

110 Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien Teil 1: Internet / Intranet und Datenschutz W. Kruth / Recht und Organisation des Datenschutzes

111 Datenschutz beim Einsatz neuer Technologien
Internet / Intranet und Datenschutz (1) World Wide Web-Dienst (WWW) (1) Ein WWW-Server stellt eine allgemein zugängliche Quelle dar und schafft damit den Erlaubnistatbestand für eine freie Nutzung der Daten. Soweit öffentliche Stellen Informationsangebote im WWW bereitstellen, die u.a. Daten über Beschäftigte beinhalten sollen, bedarf es einer Einwilligung der Betroffenen. W. Kruth / Recht und Organisation des Datenschutzes

112 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (2) World Wide Web-Dienst (WWW) (2) Soweit öffentliche Stellen das WWW für Teleantragsverarbeitung nutzen, muss eine gesicherte Übertragung mit Einsatz kryptografischer Verfahren und Digitaler Signatur erfolgen. W. Kruth / Recht und Organisation des Datenschutzes

113 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (3) World Wide Web-Dienst (WWW) (3) Die öffentlichen Stellen regeln die Zugangs- und Voraussetzungen für Teleantragsverarbeitung: Festlegung der Verfahren und anzuwendenden Krypto-Methoden für die gesicherte Übertragung, eindeutige und einmalige Referenzierung der Übermittlungsvorgänge, gesicherte Ende-zu-Ende-Übertragung mit Verschlüsselung und digitaler Signatur, Erzeugung nicht manipulierbarer Kopien der übermittelten Daten beim Absender und Empfänger. W. Kruth / Recht und Organisation des Datenschutzes

114 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (4) (1) Mailboxen sind rechtlich zunächst als Massenmedien zu betrachten, da sie insgesamt oder in Teilabereichen adressierbar sind. Die Anwendung der Rundfunkgesetze auf den Betrieb von Mailboxen ist zu verneinen, da bei Mailboxen immer nur eine begrenzte Zahl von Benutzern in Betracht kommt. W. Kruth / Recht und Organisation des Datenschutzes

115 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (5) (2) Für den Betreiber von Mailboxsystemen ergeben sich aus rechtlicher Sicht bestimmte Anforderungen: Jedes Angebot muss den Anbieter erkenntlich machen und Teilnehmern den Abruf von Namen und Anschrift ermöglichen, Der Anbieter hat eine besondere Sorgfaltspflicht im Hinblick auf wahrheitsgetreue und sachliche Nachrichten, Die Verbindungsdaten sind unmittelbar nach Beendigung der Verbindung zu löschen, soweit sie nicht für Abrechnungszwecke benötigt werden. W. Kruth / Recht und Organisation des Datenschutzes

116 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (6) (3) Beim Versand personenbezogener Daten mittels werden diese u.Ust. in Kommunikationssystemen, die Gateway- und Router-Funktionen übernehmen, zwischengespeichert. Der Versand von s unterliegt dem Fernmeldegeheimnis. Das Briefgeheimnis findet auf private s Anwendung, soweit diese ausdrücklich zugelassen sind. W. Kruth / Recht und Organisation des Datenschutzes

117 Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (7) (4) Personenbezogene Daten dürfen mittels nur in verschlüsselter Form und mit digitaler Signatur übermittelt werden. Grundsätzlich ist eine Ende-zu-Ende-Verschlüsselung mit entsprechenden Signaturverfahren anzustreben, soweit hierdurch übergeordnete Sicherheitsbedürfnisse der öffentlichen Stelle nicht beeinträchtigt werden. W. Kruth / Recht und Organisation des Datenschutzes

118 Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien Teil 2: Datenschutz bei Telearbeit W. Kruth / Recht und Organisation des Datenschutzes

119 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (1) Definition Telearbeit Telearbeit ist dezentrale, informations- und kommunikationsgestützte Arbeit, die üblicherweise in einem Büro erbracht wird. W. Kruth / Recht und Organisation des Datenschutzes

120 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (2) Formen der Telearbeit Tele-Heimarbeit Alternierende Telearbeit Satellitenbüro Nachbarschafts-Büro Tele-Haus W. Kruth / Recht und Organisation des Datenschutzes

121 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (3) Problemfelder der Telearbeit Verarbeitung von Kundendaten Verarbeitung von Personaldaten Rechnersysteme in privaten Räumlichkeiten Daten im Zugriffsbereich Dritter Gefahr des unberechtigten Netzzugangs W. Kruth / Recht und Organisation des Datenschutzes

122 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (4) Datenschutzrechtliche Rahmenbedingungen (1) Allgemeines Datenschutzrecht: Die Zulässigkeit der Telearbeit ist in Abhängigkeit von der Empfindlichkeit der personenbezogenen Daten zu bewerten, i.d.R. bedarf es der Einwilligung des Betroffenen, es sind angemessene, technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes zu treffen, ibs. Zur Zugangs- und Zugriffssicherung. Der Grundsatz der Zweck-Mittel-Relation muss den besonderen Anforderungen entsprechend angewendet werden. W. Kruth / Recht und Organisation des Datenschutzes

123 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (5) Datenschutzrechtliche Rahmenbedingungen (2) Aus datenschutzrechtlicher Sicht sind ibs. Maßnahmen zur Gewährleistung der Vertraulichkeit (Gefahr der unbefugten Einsichtnahme / Erschließung von Daten am Telearbeitsplatz) und Gefährdung der Integrität (Gefahr der unbefugten, unbemerkten Veränderung von Daten am Telearbeitsplatz) zu treffen. W. Kruth / Recht und Organisation des Datenschutzes

124 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (6) Datenschutzrechtliche Rahmenbedingungen (3) Kontrollfunktion des behördlichen Datenschutzbeauftragten bei häuslicher Teleheimarbeit eingeschränkt, da die Räumlichkeiten des Teleheimbüros unter den Schutzbereich Art. 13 GG fallen. Bei mobiler Teleheimarbeit (Fahrzeug, Hotelzimmer) muss zwischen Geschäftsraum und Privatbereich unterschieden werden. W. Kruth / Recht und Organisation des Datenschutzes

125 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (7) Datenschutzrechtliche Rahmenbedingungen (4) Mitwirkung / Mitbestimmung der Personalvertretung: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, dies gilt ibs. bei der Teleheimarbeit. Bei Telearbeit ist eine Betriebsvereinbarung, die auch die datenschutzrechtlichen Probleme abdeckt, erforderlich. W. Kruth / Recht und Organisation des Datenschutzes

126 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (8) Datenschutzrechtliche Rahmenbedingungen (5) Zugangskontrolle: Eignung der privaten Räumlichkeiten durch Begehung / Kontrolle anhand Anforderungskatalog überprüfen, nachweisliche Belehrung des Telearbeiters mit Hinweis auf Verantwortung für den Zugangsschutz, bei Arbeitsunterbrechungen Beendigung des Systemdialages bzw. der Kommunikationsverbindung zum entfernten Rechner. W. Kruth / Recht und Organisation des Datenschutzes

127 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (9) Datenschutzrechtliche Rahmenbedingungen (6) Zugriffskontrolle: Entfernte Administration des Telesystems mit Überprüfung der Datenbestände auf Vollständigkeit und Integrität, lokaler Zugriff auf verschlüsselte Datenbestände, entfernter Zugriff auf Protokolldateien und das System bei Störungen. W. Kruth / Recht und Organisation des Datenschutzes

128 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (10) Datenschutzrechtliche Rahmenbedingungen (7) Übermittlungskontrolle: Übermittlung der Daten ausschließlich in verschlüsselter Form, ggfls. mit zusätzlicher Absicherung durch digitale Signatur. W. Kruth / Recht und Organisation des Datenschutzes

129 Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien Teil 3: Datenschutz beim Betrieb von Telekommunikationsanlagen W. Kruth / Recht und Organisation des Datenschutzes

130 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Einsatz von Telekommunikationsanlagen (1) Der Betrieb von Telekommunikationsanlagen unterliegt den Schutzvorschriften des Telekommunikationsgesetzes, soweit diese für private Zwecke ausdrücklich verfügbar gemacht werden. Bei privater Nutzung unterliegen alle Beschäftigten, die für den Betrieb der Telekommunikationsanlagen verantwortlich sind, dem Fernmeldegeheimnis. W. Kruth / Recht und Organisation des Datenschutzes

131 Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Einsatz von Telekommunikationsanlagen (2) Die bei der Nutzung von Telekommunikationsanlagen (Fernsprechen, Faxen) entstehenden Verbindungsdaten dürfen Nur für Abrechnungszwecke verwendet werden, dürfen von den Zugriffsberechtigten nicht für andere Zwecke verwendet werden, sind anderen Beschäftigten oder Stellen nicht zugänglich zu machen, sind sofort nach Abrechnung, spätestens jedoch nach bestimmten Verfallsfristen zu löschen. Voraussetzungen und Rahmenbedingungen der privaten Nutzung sind in einer Betriebsvereinbarung zu regeln. W. Kruth / Recht und Organisation des Datenschutzes

132 Recht und Organisation des Datenschutzes
Modul 10 Interner Datenschutzbeauftragter W. Kruth / Recht und Organisation des Datenschutzes

133 Datenschutzbeauftragter
Bestellung Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen. Mehrere Stellen können gemeinsam einen Beauftragten für den Datenschutz bestellen, wenn hierdurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. W. Kruth / Recht und Organisation des Datenschutzes

134 Datenschutzbeauftragter
Qualifikation Sachkunde Zuverlässigkeit W. Kruth / Recht und Organisation des Datenschutzes

135 Datenschutzbeauftragter
Anforderungsprofil Juristische Kenntnisse Unternehmenskenntnisse Betriebswirtschaftliche Kenntnisse IT-Kenntnisse W. Kruth / Recht und Organisation des Datenschutzes

136 Datenschutzbeauftragter
Anforderungsprofil: Unternehmenskenntnisse Formale Strukturen Informale Strukturen Institutionstypische Gegebenheiten W. Kruth / Recht und Organisation des Datenschutzes

137 Datenschutzbeauftragter
Anforderungsprofil: Betriebswirtschaftliche Kenntnisse Allgemeine Betriebswirtschaftslehre Organisationslehre Unternehmensführung Spezielle Betriebswirtschaftslehre Planung und Kontrolle Personalwesen W. Kruth / Recht und Organisation des Datenschutzes

138 Datenschutzbeauftragter
Anforderungsprofil: IT-Kenntnisse Allgemeine technische Kenntnisse Basisarchitekturen von IT-Systemen und Netzwerken Methoden und Techniken der Ein- / Ausgabe, Speicherung und Verarbeitung Kenntnisse Systemsoftware Betriebsarten, Bedieneroberflächen Prinzipien und Modelle der Softwareentwicklung Kenntnisse Anwendungssoftware Strukturen Standard- / Individualsoftware Datenbankanwendungen W. Kruth / Recht und Organisation des Datenschutzes

139 Datenschutzbeauftragter
Rechtsstellung Direktunterstellung Behördenleitung Keinen Weisungen unterworfen Benachteilungsverbot Widerruf der Bestellung bei Bestellungspflicht nur nach § 626 BGB Schweigerecht (-pflicht) über die Identität Betroffener (kein Zeugnisverweigerungsrecht) W. Kruth / Recht und Organisation des Datenschutzes

140 Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (1) Allgemeine Unterstützung Bereitstellung von Hilfspersonal, Einrichtungen, Geräten und Mitteln W. Kruth / Recht und Organisation des Datenschutzes

141 Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (2) Bereitstellung von Übersichten: IT-Infrastruktur Verfahrensverzeichnis W. Kruth / Recht und Organisation des Datenschutzes

142 Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (3) Das Verfahrensverzeichnis beinhaltet Name und Anschrift der datenverarbeitenden Stelle, die Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung, die Art der gespeicherten Daten und den Kreis der Betroffenen, die zugriffsberechtigten Personen oder Personengruppen, die Beschreibung der eingesetzten IT-Infrastruktur sowie der technischen und organisatorischen Massnahmen, die Adressaten und Verfahren der Datenübermittlung. W. Kruth / Recht und Organisation des Datenschutzes

143 Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (1) Das LDSG verpflichtet die öffentliche Stellen, den internen Datenschutzbeauftragten bei der Planung bzw. Änderung von Verfahren zur Verarbeitung personenbezogener Daten sowie bei der Erarbeitung interner Regelungen zum Datenschutz frühzeitig zu beteiligen. W. Kruth / Recht und Organisation des Datenschutzes

144 Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (2) Planung und Aufbau der Datenschutzorganisation Überprüfung der Einhaltung von Rechtsvorschriften zum Datenschutz und Organisationsregelungen Schulung und Information von Führungskräften und Mitarbeitern W. Kruth / Recht und Organisation des Datenschutzes

145 Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (3) Prüfung von Zulässigkeitsvoraussetzungen Sicherstellung der Rechte des Betroffenen Beratung bei der Erstellung von Verträgen Beratung bei Planung und Realisierung von technischen und organisatorischen Maßnahmen zur Herstellung der IT-Sicherheit W. Kruth / Recht und Organisation des Datenschutzes

146 Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (4) Beratung bei der Einstellung von Mitarbeitern, die in Bereichen der Informationstechnik eingesetzt werden Beratung von Betroffenen, die sich unmittelbar an ihn wenden W. Kruth / Recht und Organisation des Datenschutzes

147 Datenschutzbeauftragter
Datenschutzzielsystem Kriterien für eine Datenschutzpolitik und –zielsetzungen Datenschutzbewusstsein Datenschutz als Bestandteil der Unternehmenspolitik Fortentwicklung der Fachkunde des Datenschutzbeauftragten Zeit- und Kostenbudget für den Datenschutzbeauftragten W. Kruth / Recht und Organisation des Datenschutzes

148 Datenschutzbeauftragter
Mindestanforderungen an ein Regelungssystem Allgemeine Datenschutzrichtlinie Datenschutzspezifische Inhalte der Richtlinien für die Beschaffung von Informationstechnik, Wartungsarbeiten, IT-Outsourcing Organisation der Zutritts-, Zugangs- und Zugriffsrechte mit Bewertung von geeigneten Kontrollmechanismen und –funktionn Besondere Richtlinien für Internet- und -Zugang und -nutzung W. Kruth / Recht und Organisation des Datenschutzes

149 Datenschutzbeauftragter
Ziele Datenschutzrichtlinie Zusammenfassung der datenschutzbezogenen organisatorischen Regelungen Einarbeitungshilfe für neue Mitarbeiter Entscheidungsgrundlage und –hilfe in Datenschutzfragen W. Kruth / Recht und Organisation des Datenschutzes

150 Datenschutzbeauftragter
Struktur der Datenschutzrichtlinie Übergeordnete Regelungen Aufbauorganisatorische Regelungen Ablauforganisatorische Regelungen Bereichsspezifische Regelungen Formale Regelungen W. Kruth / Recht und Organisation des Datenschutzes

151 Datenschutzbeauftragter
Zusammenarbeit mit Personalvertretung Datenschutzrecht ist ein sog. Schutzrecht, dessen Einhaltung von der Personalvertretung i.S. des Personaldatenschutzes zu kontrollieren ist Offene und vertrauensvolle Zusammenarbeit zwischen Datenschutzbeauftragtem und Personalvertretung ist Voraussetzung für wirksamen Personaldatenschutz W. Kruth / Recht und Organisation des Datenschutzes


Herunterladen ppt "Recht und Organisation des Datenschutzes"

Ähnliche Präsentationen


Google-Anzeigen