Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz-Schulung Orientierungsplan betriebliche Datenschutzbeauftragte.

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz-Schulung Orientierungsplan betriebliche Datenschutzbeauftragte."—  Präsentation transkript:

1 Datenschutz-Schulung Orientierungsplan betriebliche Datenschutzbeauftragte

2 1 Vorwort Liebe Mitarbeiterinnen, liebe Mitarbeiter, dieses Datenschutz-Schulungsprogramm soll Ihnen mehr Sicherheit im Umgang mit personenbezogenen Daten geben. Datenschutz ist nicht einfach zu verstehen. Sehr wahrscheinlich werden sich in Ihrem Alltag weitere Fragen zum Umgang mit personenbezogenen Daten ergeben. Stuttgart, im Oktober 2010 Dr. Axel Gutenkunst, Datenschutzbeauftragter der Landeskirche und Diakonie Württemberg

3 2. Grundbegriffe 2.1 Was ist Datenschutz heute? Was meinen Sie, was ist Datenschutz? Nehmen Sie sich etwas Zeit und versuchen Sie, sich über folgendes klar zu werden: Wer oder was wird geschützt? Um welche Daten geht es? Wer soll bestimmen, wie mit Daten umzugehen ist?

4 2. Grundbegriffe 2.2 Persönlichkeitsrechte Geschützt werden sollen die Persönlichkeitsrechte der Personen, deren Daten verarbeitet werden sollen. Die Persönlichkeitsrechte gehören zu den höchsten vom Grundgesetz geschützten Werten: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist die Verpflichtung aller staatlichen Gewalt. (Artikel 1 Abs. 1 Grundgesetz) Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Artikel 2 Abs. 1 GG) Daraus hat das Bundesverfassungsgericht das Recht des Einzelnen abgeleitet, selbst für die Verwendung seiner Daten zu bestimmen.

5 2. Grundbegriffe 2.3 Personenbezogene Daten Es geht beim Datenschutz um Daten, die sich auf Personen beziehen oder auf Personen beziehbar sind. Zu den personenbezogenen Daten zählen alle! persönlichen und sachlichen Verhältnisse einer Person, also auch Meinungsäußerungen, Tonträgeraufnahmen, Bilder... "'Harmlose"' oder "'freie"' Daten gibt es nicht. Sobald sie personenbezogen sind, greift vollumfänglich der Datenschutz.

6 2. Grundbegriffe 2.3 Personenbezogene Daten Es gibt allerdings besonders geschützte Daten (§ 2 Abs. 11 DSG-EKD), dazu gehören Daten zur Gesundheit, zum Sexualleben, zur Gewerkschaftszugehörigkeit, zu politischen, religiösen oder philosophischen Überzeugung und zur rassischen oder ethnischen Herkunft. Für Verstorbene gilt der Datenschutz nicht, da er sich aus dem Persönlichkeitsrecht ableitet, das nur lebende Personen haben. Allerdings können Daten Verstorbener auch persönliche und sachliche Verhältnisse von Nachkommen betreffen, hier ist dann Vorsicht geboten.

7 2. Grundbegriffe 2. 4 Das Interesse der Allgemeinheit geht vor! Wäre unser Staat völlig auf die freiwillige Mitwirkung aller angewiesen (Steuererklärung, Alkoholkontrolle) würde er mehr funktionieren. Der Gesetzgeber (und nur dieser!) kann deshalb im Interesse der Allgemeinheit Gesetze erlassen, die dem Selbstbestimmungsrecht des Einzelnen vorgehen. Diese Gesetze müssen bestimmten Anforderungen genügen (Normenklarheit, Erforderlichkeit, Verhältnismäßigkeit,...), sonst werden sie vom Bundesverfassungsgericht kassiert (was gelegentlich vorkommt). In der Konsequenz bedeutet dies, dass personenbezogene Daten nur verarbeitet werden, wenn es dafür ein Gesetz gibt oder wenn eine Einwilligung der betroffenen Person vorliegt. Noch prägnanter formuliert: Was nicht ausdrücklich erlaubt ist, ist verboten!

8 2. Grundbegriffe 2.5 Zweckbindungsgrundsatz Daten dürfen nur für bestimmte Zwecke erhoben, verarbeitet und genutzt werden. An diese Zwecke bleiben sie gebunden! Dies bedeutet: Daten dürfen nicht auf Vorrat erhoben werden, etwa in der Erwartung, sie später einmal gebrauchen zu können. Sofern eine Einwilligung benötigt wird, ist eine solche erneut einzuholen, wenn vorhandene Daten für einen anderen Zweck verwendet werden sollen. Die Datenschutzgesetze selbst lassen bestimmte Zweckänderungen zu (§ 5 DSG-EKD). Ob diese Bestimmungen zutreffend sind, ist sorgfältig zu prüfen.

9 2. Grundbegriffe 2.6 Datenverarbeitende Stellen Adressat der Datenschutzbestimmungen sind Stellen! Der Gesetzgeber sieht das Persönlichkeitsrecht der Betroffenen gefährdet, würden Stellen nach Belieben Daten untereinander austauschen. Solche Datenübermittlungen zwischen Stellen sind nur aufgrund einer Rechtsgrundlage oder mit Einwilligung der Betroffenen zulässig. Stellen sollen ihre Daten gegeneinander abschotten. Auch innerhalb von Stellen ist die Funktionstrennung zu beachten. So darf eine Personalabteilung Daten von Mitarbeitern nur dann an eine andere Abteilung weitergeben, wenn dies zur Erfüllung bestimmter Aufgaben erforderlich ist.

10 2. Grundbegriffe 2.6 Datenverarbeitende Stellen Neben der "'vertikalen Gewaltenteilung"' zwischen Stellen gilt innerhalb einer Stelle auch die "'horizontale Gewaltenteilung"'. So haben z.B. mit Grundsatzentscheidungen befasste Führungskräfte nicht das Recht, ständig in Personaldaten Einblick nehmen zu können, es sei denn, dies ist im Rahmen konkreter Vorgänge erforderlich. Sofern eine Stelle im Auftrag Daten verarbeiten lässt, ist die Datenweitergabe an den Auftragnehmer keine Übermittlung. Allerdings muss ein Vertragsverhältnis bestehen, das bestimmten Anforderungen genügen muss (§ 11 DSG-EKD).

11 2. Grundbegriffe 2.7 Verantwortung Verantwortlich gegenüber den Betroffenen für den rechtmäßigen Umgang mit personenbezogenen Daten ist die Stellenleitung und nicht etwa der betriebliche Datenschutzbeauftragte. Dies ergibt sich schon dadurch, das Letzterer keine Weisungsbefugnis hat. Die Verantwortung des/der betrieblichen Datenschutzbeauftragten liegt darin, die Stellenleitung darauf hinzuweisen, welche Pflichten sie hat, die Stellenleitung mit seiner/ihrer Sachkunde zu beraten und in der Umsetzung der Datenschutzbestimmungen zu unterstützen, die Mitarbeiterinnen und Mitarbeiter zu schulen, die Verfahren, mit denen personenbezogene Daten verarbeitet werden, zu überwachen.

12 2. Grundbegriffe 2.7 Verantwortung Wichtig: Nur wenn die Stellenleitung dafür sorgt, dass die Mitarbeiterschaft auf die Wahrung des Datengeheimnisses (§ 5 DSG-EKD) verpflichtet und geschult wird, kann sie Mitarbeiterinnen und Mitarbeiter, die Datenschutzverstöße begehen, zur Rechenschaft ziehen. Ansonsten ist sie nicht nur unter Umständen gegenüber dem Betroffenen schadensersatzpflichtig, sondern kann zusätzlich dafür beanstandet werden, keine ausreichenden Maßnahmen zur Beachtung der Datenschutzbestimmungen getroffen zu haben.

13 2. Grundbegriffe 2.8 Transparentzgebot Das Bundesverfassungsgericht führt in seinem Volkszählungsurteil aus: Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können,

14 2. Grundbegriffe 2.8 Transparentzgebot... Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Hat man diesen Satz verstanden, hat man den Datenschutz verstanden. Die in den nächsten Kapiteln enthaltenen Erläuterungen zu Rechten und Pflichten, zu Kontrollen und zur Datensicherheit dienen letztlich dazu, genau diese Entwicklung zu verhindern, weil sie mit einer demokratisch verfassten Gesellschaft nicht vereinbar ist.

15 3. Rechte und Pflichten 3.1 Recht auf Auskunft Betroffene haben gegenüber den datenverarbeitenden Stellen Rechte. Ein zentrales Recht ist das Recht auf Auskunft. Auf Verlangen ist ihnen Auskunft zu erteilen über alle gespeicherte Daten (Akten, IT), den Zweck der Speicherung, Stellen (oder Stellenkategorien), an die Daten übermittelt wurden oder werden, die Herkunft der Daten. Ferner gilt:

16 3. Rechte und Pflichten 3.1 Recht auf Auskunft Das Recht auf Auskunft kann nicht durch ein Rechtsgeschäft ausgeschlossen oder beschränkt werden, die Auskunft ist unentgeltlich, aber die Form der Auskunftserteilung bestimmt die Stelle, und bei Akten muss die anfragende Person Angaben machen, die das Auffinden ermöglichen. Bitte beachten Sie: Auch Sie haben diese Rechte gegenüber den Stellen, die Ihre Daten verarbeiten!

17 3. Rechte und Pflichten 3.2 Weitere Rechte der Betroffenen Betroffenen stehen ferner folgende Informationsmöglichkeiten offen: Recht auf Benachrichtigung über die Datenerhebung (welche Stelle erhebt zu welchem Zweck welche Daten), Recht auf Berichtigung, Sperrung oder Löschung (gesperrte Daten müssen als solche gekennzeichnet werden, sie müssen den normalen Verarbeitungsprozessen entzogen sein), Anspruch auf Schadensersatz (Beweislastumkehr!), Anspruch auf Anrufung der Datenschutzkontrollinstanz.

18 3. Rechte und Pflichten 3.2 Weitere Rechte der Betroffenen Mit Blick auf den Schadensersatz ist folgendes zu beachten: Er greift bei einer unzulässigen oder unrichtigen Datenverarbeitung. Werden Daten staatlicher Stellen (z.B. Sozialleistungsträgern!) verwendet, ist die Haftung verschuldensunabhängig. Im Streitfall muss die Stelle beweisen, dass sie zuässig und richtig verarbeitet hat. Der Höchstbetrag liegt bei Euro für Verletzungen der Persönlichkeitsrechte. Die allgemeine Haftung nach dem bürgerlichen Gesetz kann hinzukommen.

19 3. Rechte und Pflichten 3.3 Recht am eigenen Wort und Bild Eine weiteres Recht, das ebenfalls aus dem Persönlichkeitsrecht resultiert, ist das Recht am gesprochenen Wort. Das Selbstbestimmungsrecht eines jeden Menschen hinsichtlich der eigenen Darstellung der Person in der Kommunikation mit anderen findet seinen Ausdruck in der Befugnis des Menschen, selbst und allein zu entscheiden, ob sein Wort auf einen Tonträger aufgenommen und damit möglicherweise Dritten zugänglich werden soll. Eine weitere wichtige Ausprägung des allgemeines Persönlichkeitsrechts ist das Recht am eigenen Bild. Nicht nur das Veröffentlichen (Urheberrecht), sondern bereits das Anfertigen kann verboten sein.

20 3. Rechte und Pflichten 3.4 Beschäftigtendatenschutz Wie sich das künftige Beschäftigtendatenschutzgesetz auf den kirchlichen Bereich auswirkt bleibt abzuwarten. Bereits jetzt stellt §24 DSG-EKD die Daten von Beschäftigten unter einen besonderen Schutz: Die Verwendung ist strikt auf die Umstände des Beschäftigungsverhältnisses, dazu gehören auch organisatorische Aspekte, beschränkt. Für eine Übermittlung muss die empfangende Stelle ein überwiegendes rechtliches Interesse darlegen. Eine Veröffentlichung im Internet muss durch Art oder Zielsetzung der Aufgaben erforderlich (siehe Sonstiges) sein.

21 3. Rechte und Pflichten 3.4 Beschäftigtendatenschutz Die Verwendung medizinischer oder psychologischer Daten bedarf einer genauen Begründung. Daten abgelehnter Bewerber dürfen nur mit Einwilligung gespeichert bleiben. Nach Ende des Beschäftigungsverhältnisses sind die Daten zu löschen, wenn sie nicht mehr benötigt werden. Soweit Beschäftigtendaten im Rahmen von Datensicherungen gespeichert werden, darf damit keine Verhaltens- oder Leistungskontrolle durchgeführt werden. Insbesondere Personalinformationssysteme müssen so gestaltet sein, dass sie diesen Anforderungen gerecht werden. Dies gilt aber auch für einfache Systeme wie Telekommunikationsanlagen.

22 3. Rechte und Pflichten 3.5 Pflichten datenverarbeitender Stellen Den Rechten der Betroffenen stehen Pflichten der datenverarbeitenden Stellen gegenüber: Bestellung eines betrieblichen Datenschutzbeauftragten Verpichtung der Mitarbeiterschaft auf die Wahrung des Datengeheimnisses Erstellung bzw. Meldung einer Verfahrensübersicht Vertragliche Absicherung einer Datenverarbeitung im Auftrag Kontrollpflichten beim Betrieb automatisierter Abrufverfahren Aufklärungspflichten bei Datenerhebungen Benachrichtigungspflichten und Löschpflichten Treffen technischer und organisatorischer Maßnahmen Auf zwei der Pflichten wird nachfolgend etwas näher eingegangen.

23 3. Rechte und Pflichten 3. 6 Datengeheimnis Datenverarbeitende Stellen müssen alle Personen, die Umgang oder Zugang zu personenbezogenen Daten haben, vor Aufnahme ihrer Tätigkeit auf die Wahrung des Datengeheimnisses verpflichten. Zu verpflichten sind unter anderem: Hauptamtliche Teilzeitbeschäftigte Ehrenamtliche Praktikanten Azubis Bei FSJ-lern sind Bestimmungen des Bundesdatenschutzgesetzes zu beachten.

24 3. Rechte und Pflichten 3. 6 Datengeheimnis Es gilt: Die Verpflichtung ist durch die Stellenleitung oder Vorgesetzte vorzunehmen. Der allgemeine Teil kann durch ein Formblatt und eine Merkblatt erfolgen. Im Rahmen der Verpflichtung ist zu prüfen, ob weitere Verschwiegenheitspflichten zu beachten sind (Ärztliche Schweigepflicht, Fernmeldegeheimnis, Postgeheimnis, Steuergeheimnis) Neben dem allgemeinen Teil muss die Verpflichtung auch auf Besonderheiten der Tätigkeit eingehen.

25 3. Rechte und Pflichten 3.7 Verfahrensübersicht (Programmübersicht) Jede datenverarbeitende Stelle muss eine Übersicht über die von ihr eingesetzten Verfahren führen. Im Verfahrensverzeichnis muss die Daten verarbeitende Stelle dokumentieren, welche personenbezogenen Daten sie mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet und welche Datenschutzmaßnahmen sie dabei getroffen hat. Das Verfahrenverzeichnis: ermöglicht einer Stelle, den Überblick über ihre Datenverarbeitung zu bewahren, eine effektive Eigenkontrolle durchzuführen, und verlangte Informationen im Rahmen einer Fremdkontrolle ohne größere Umstände bereitzustellen. Wichtig: Das Verfahrensverzeichnis muss auf Anfrage jedermann vorgelegt werden.

26 4. Datenschutzkontrolle 4.1 Durchsetzung des Datenschutzes Das Bundesverfassungsgericht hat nicht nur das Grundrecht auf Informationelle Selbstbestimmung postuliert, sondern auch effektive Maßnahmen verlangt, die dem Grundrecht Geltung verschaffen. Diese Maßnahmen sind: Datenschutzgesetze Aufsichtsbehörden Datenschutzbeauftragte Betriebliche Datenschutzbeauftragte stellen einen deutschen Sonderweg dar. Statt einer zentralen Behörde versucht man zu erreichen, dass in den Institution und Stellen entsprechend geschulte und mit Rechten versehene Personen den Schutz der Persönlichkeitsrechte bewerkstelligen.

27 4. Datenschutzkontrolle 4.2 Struktur der Datenschutzgesetze Maßgebend in Europa: European Data Protection Supervisor (EDPS, Richtlinie95/46) Zuständigkeiten in der Bundesrepublik: Bundesbehörden, Privatwirtschaft: BDSG Zusätzlich unterliegen vielen Stellen weiteren Datenschutzbestimmungen: Sozialgesetzbuch, z.B. Jugendhilfe Strafgesetzbuch, z.B. ärztliche Schweigepflicht aber auch Dienstvereinbarungen Insbesondere der Umstand, dass Datenschutzgesetze sog. Auffanggesetze sind, dass bei einem gegebenen Sachverhalt also immer geprüft werden muss, ob es dazu bereits eine Regelung gibt, die dann vorrangig anzuwenden ist, macht den Datenschutz schwer verständlich.

28 4. Datenschutzkontrolle 4.3 Kirchliches Datenschutzrecht Die Kirchen haben nach der Verfassung das Recht, ihre eigenen Angelegenheiten, also auch den Datenschutz, selbst zu regeln. Sofern die Mitgliedseinrichtungen eines Diakonischen Werks zugestimmt haben und die betreffende Landeskirche einverstanden ist, gilt dort kirchliches Datenschutzrecht. Aber: Das Selbstbestimmungsrecht bezieht sich nur auf die Art der Regelung (z.B. betrDSB oder Zentralstelle), nicht darauf, ob überhaupt. Ferner: Sofern die Kirche auch Daten von Nichtmitgliedern verarbeitet, muss sie ein mit dem Staat vergleichbares Nivau vorweisen. Soweit die Diakonie Aufgaben für staatliche Stellen wahrnimmt, sind u.a. auch die Datenschutzbestimmungen des Sozialgesetzbuchs zu beachten. Mitarbeiterinnen und Mitarbeiter der Diakonie müssen die staatliche Schweigepflicht nach § 203 StGB berücksichtigen.

29 4. Datenschutzkontrolle 4.4 Aufsichtsbehörden Die Kontrolle des Umgangs mit personenbezogenen Daten obliegt verschiedenen Aufsichtsbehörden mit unterschiedlichen Zuständigkeitsbereichen. Hier eine Übersicht: Europäischer Datenschutzbeauftragter Bundesdatenschutzbeauftragter und Landesdatenschutzbeauftragte für die öffentlichen Stellen von Bund und Ländern Aufsichtsbehörden einzelner Bundesländer für nicht-öffentliche Stellen der Bundesländer (künftig Zuständigkeit der Landesdatenschutzbeauftragten) Datenschutzbeauftragte der Landeskirchen (und der Bistümer) Datenschutzbeauftragte der Diakonischen Werke und des Diakonischen Werks Deutschland Datenschutzbeauftragter der EKD für landeskirchen-übergreifende Werke und Einrichtungen Es ist letztlich egal, an welchen Datenschutzbeauftragten sich die Petenten wenden, da die Zuständigkeit geprüft und entsprechend weitergeleitet wird.

30 4. Datenschutzkontrolle 4.5 Landeskirchliche Datenschutzbeauftragte Die Datenschutzbeauftragte für die Landeskirchen und Diakonien im Bereich der Evangelischen Kirche in Deutschland haben folgende Befugnisse: Sie sind weisungsunabhängig Ausreichende Ausstattung mit Sach- und Personalmitteln Anhörungsrecht bei der Bestellung von Vertretern und Vertreterinnen Das Recht, Erhebung, Verarbeitung und Nutzung von Daten zu überprüfen Recht auf Auskunft und Einsicht in alle Unterlagen und Akten und alle gespeicherten Daten Beanstandungsrecht Das Recht, Empfehlungen geben und zu beraten Jede Person kann sich an den Beauftragten für den Datenschutz wenden. Dieser unterliegt einer Verschwiegenheitspflicht.

31 4. Datenschutzkontrolle 4.6 Betriebliche Datenschutzbeauftragte Wenn eine kirchliche Stelle mehr als 6 Personen mit der Erhebung, Verarbeitung und Nutzung von Daten betraut sind, muss ein betrieblicher Datenschutzbeauftragter bestellt werden. Betriebliche Datenschutzbeauftragte sind im Rahmen ihrer Tätigkeit weisungsunabhängig, sie müssen einen direkten Zugang zur Stellenleitung haben, Ihnen ist ein ausreichender zeitlicher Rahmen und ausreichende Sachmittel zur Verfügung zu stellen, die Vertretung ist zu regeln. IT-Leiter und Personalleiter sollen nicht zu betrieblichen Datenschutzbeauftragten bestellt werden.

32 4. Datenschutzkontrolle 4.6 Betriebliche Datenschutzbeauftragte Im wesentlichen haben betriebliche Datenschutzbeauftragte zwei Aufgaben: Die Datenverarbeitungsprogramme auf die Einhaltung der Datenschutzbestimmungen zu überwachen. Mitarbeiter mit den Bestimmungen über den Datenschutz, auch bezogen auf die besonderen Verhältnisse ihres Aufgabenbereiches, vertraut zu machen. Anmerkung: Nach dem Bundesdatenschutzgesetz wäre das Nichtbestellen eines betrieblichen Datenschutzbeauftragten ein Bußgeldtatbestand.

33 5. Datensicherheit 5.1 Technischer Datenschutz Es gelten die 8 Gebote des Datenschutzes (§ 9 DSG- EKD Anhang): Zutrittskontrolle Zugangskontrolle (Authentifizierung) Zugriffskontrolle (Überwachung des Zugriffs auf Ressourcen) Weitergabekontrolle (u.a. Verschlüsselungsverordnung) Eingabekontrolle (Protokollierung) Auftragskontrolle (Datenverarbeitung im Auftrag, Privat-PC) Verfügbarkeitskontrolle (Datensicherheit) Zweckseparierung Anmerkung: Für Schäden infolge fehlerhafter EDV-Verfahren haftet die datenverarbeitende Stelle bis Euro.

34 5. Datensicherheit 5.2 Zugangs- und Zugriffskontrolle Typischerweise erfolgt die Zugangskontrolle mittels eines Berechtigungssystems auf Betriebssystemebene. Dabei sollte die Vergabe von Berechtigungen durch die IT nur auf der Basis schriftlicher Anträge zuständiger Führungskräfte erfolgen. Die Zugriffskontrolle kann auch über eine Verschlüsselung von Daten realisiert werden. Hier sind die Vorgaben der Dienststellenleitung zu beachten. So dürfte bei dienstlichen Notebooks in aller Regel eine Festplatten-Verschlüsselung vorhanden sein. Da nie ausgeschlossen werden kann, dass Kennwörter vergessen werden, wird für Verschlüsselungen typischerweise ein zentrales Verfahren eingesetzt, um so den Zugang zu diesen Daten wieder möglich zu machen.

35 5. Datensicherheit 5.2 Zugangs- und Zugriffskontrolle Neben der Verschlüsselung von Notebooks kann es weitere Schutzmaßnahmen geben, so kann beispielsweise geregelt sein, dass zur lokalen Speicherung von Daten nur verschlüsselte USB-Sticks oder besonders gekennzeichnete Datenträger der Dienststelle verwendet werden dürfen. In bestimmten Fällen (z.B. § 203 StGB, sonstige Geheimnisträger), ist u.U. eine Kombination von Berechtigungssystem und Verschlüsselung erforderlich. Letztlich geht es darum, den Stand zu erreichen, dass sich bei einem Verlust von EDV-Geräten oder Datenträgern der Schaden auf deren materiellen Wert beschränkt, jedoch keine Daten an Unbefugte gelangen.

36 5. Datensicherheit 5.3 Passwörter Immer wieder kann festgestellt werden, dass selbst an dienstlichen PC Trivialkennwörter verwendet werden. Brauchbare Methoden, Passwörter zu finden, sind beispielsweise: LAUSDENIKO KindChrist34 LolliPopp$ INxE$org GUTES94Year Auch der Systemadministrator darf Passworte nicht wissen. Werden sie vergessen, kann er aber ein Initialkennwort vergeben, das vom Benutzer unverzüglich in ein nur ihm bekanntes zu ändern ist. Letztlich geht es darum, den Stand zu erreichen, dass sich bei einem Verlust von EDV-Geräten oder Datenträgern der Schaden auf deren materiellen Wert beschränkt, jedoch keine Daten an Unbefugte gelangen.

37 5. Datensicherheit 5.3 Passwörter Eine Weitergabe von Kennworten etwa an Vertretungen stellt einen Datenschutzverstoß dar. Vertretungsfällen muss vielmehr durch die zeitweilige Erteilung der benötigten Berechtigungen Rechnung getragen werden. Gibt ein Benutzer sein Kennwort weiter, muss er unter Umständen damit rechnen, dass im System unter seinem Namen Aktivitäten protokolliert werden, die ihm dann in belastender Weise zugerechnet werden. Weitere Schutzmaßnahmen in diesem Zusammenhang sind: Automatischer Bildschirmschoner mit Passworteingabe nach höchstens 10 Minuten Untätigkeit/Abwesenheit. Vom System erzwungene Wechsel und Mindestlängen von Passwörtern bzw. die erzwungene Verwendung von Sonderzeichen und Zahlen. Letztlich geht es darum, den Stand zu erreichen, dass sich bei einem Verlust von EDV-Geräten oder Datenträgern der Schaden auf deren materiellen Wert beschränkt, jedoch keine Daten an Unbefugte gelangen.

38 5. Datensicherheit 5.4 Internetzugänge Die Sicherheit des Internetzugangs ist in aller Regel systemseitig nach dem Stand der Technik zu gewährleisten. Wenn eine Mitarbeiterin oder ein Mitarbeiter einer Einrichtung eine Internetseite aufruft, wird auf dem betreffenden Server notiert, welche sog. IP-Adresse die Seite aufgerufen hat. Anhand der IP-Adresse kann festgestellt werden, welche Einrichtung bzw. Institution bzw. Firma bzw. Privatperson es war. Durch eine Verknüpfung mit Protokolldaten der betreffenden Einrichtung kann u.U. auch festgestellt werden, von welchem PC aus die Seite aufgerufen wurde. Eine Einrichtung, die ihren Mitarbeitern erlaubt, Internetseiten aufzurufen, bringt diesen das Vertrauen entgegen, dass nur seriöse Webseiten aufgerufen werden, also Seiten, wo der Ruf der Einrichtung keinen Schaden nähme, würde dort eine Liste aller aufrufenden IP-Adressen veröffentlicht. Kommen hier Zweifel auf, hat die Einrichtung letztlich nur die Alternative, die Internetzugänge zu sperren oder Aufrufe zu protokollieren.

39 5. Datensicherheit 5.4 Internetzugänge Kommt es aus solchen oder anderen Gründen zu Protokollierungen von Internetaufrufen, müssen die Mitarbeiterinnen und Mitarbeiter darüber und über den Umfang der Protokollierung informiert werden. Die Vorgehensweise ist mit dem betrieblichen Datenschutzbeauftragten und der Mitarbeitervertretung abzusprechen. Eine intensivere Nutzung des Internets geht oftmals mit dem Entstehen einer Sammlung besonders relevanter Seiten bei den jeweiligen Mitarbeiterinnen und Mitarbeitern einher (Favoriten, Lesezeichen). Eine solche gewachsene Sammlung kann eine wichtige Arbeitshilfe darstellen. Die Datensicherung dieser Sammlung sollte gewährleistet sein.

40 5. Datensicherheit 5.5 s Eine Einrichtung kann, muss aber nicht, die private Nutzung von s erlauben. Wird sie erlaubt, ist das Fernmeldegeheimnis zu beachten. Die Nutzung sollte dann in einer Dienstanweisung (in Absprache mit der Mitarbeitervertretung) geregelt sein. Wird in unvorhergesehenen Vertretungsfällen anderen Personen Zugriff auf den -Account gewährt, muss dies systemseitig durch Erteilen von Berechtigungen erfolgen, keinesfalls durch die Mitteilung von Passwörtern. Ggf. ist der Mitarbeitervertretung und dem betrieblichen Datenschutzbeauftragten vorab Gelegenheit zu geben, am Betreff offensichtlich als Privat erkennbare s in einen Ordner zu verschieben, auf den die Vertretung keinen Zugriff hat. Abwesenheitsassistenten sind frühzeitig, ggf. durch die Systemadministration, zu aktivieren.

41 5. Datensicherheit 5.5 s Hinweis: Das Fernmeldegeheimnis umfasst nur den Übermittlungsvorgang bis zu dem Zeitpunkt, zu dem der Empfänger Gelegenheit gehabt hat, die zu lesen und ggf. zu löschen. Danach gilt das Fernmeldegeheimnis nicht mehr. Weiterer Hinweis: Sofern jemand einen privaten E- Mail-Account hat, kann er darauf i.d.R. auch über das Internet zugreifen. Der Absender kann dann die eigentliche dorthin schicken und an die dienstliche -Adresse nur eine kurze Aufforderung schicken, dort nachzusehen. Es empfiehlt sich, Word- oder Excel-Dateien in das PDF-Format zu konvertieren, bevor sie als - Anhang verschickt werden, da die Originaldateien u.U. die ganze Entstehungshistorie des Dokuments enthalten.

42 5. Datensicherheit 5.6 Anforderungen an Beschäftigte und Stellenleitungen Datensicherheit kann nicht nur durch technische Maßnahmen hergestellt werden. Mindestens genau so wichtig ist die Einstellung der Verantwortlichen und Mitarbeiterschaft. Alle Benutzer des Datenverarbeitungssystems sollten ein ihrer Aufgabe angemessenes Datensicherheitsbewußtsein haben. Die Verantwortung der Führungsebene liegt darin, die Motivation hierzu zu vermitteln. Akzeptanzprobleme bei Mitarbeitern können aus der Unbequemlichkeit von Datensicherheitsmaßnahmen entstehen und zum Unterlaufen der Maßnahmen führen.

43 5. Datensicherheit 5.6 Anforderungen an Beschäftigte und Stellenleitungen Nach Möglichkeit sollen Mitarbeiter unterstützt werden, wenn sie Datensicherheitsmaßnahmen ausführen, etwa durch benutzerfreundliche Identifikationsprozeduren. Ihre Persönlichkeitsrechte sind auch bei Datensicherheitsmaßnahmen zu respektieren. Die Arbeitsbedingungen sind so zu gestalten, dass die Gefahr von Fehlern beim Durchführen von Maßnahmen, die der Datensicherheit dienen, möglichst gering gehalten wird. Mitarbeiter sind in geeigneter Weise mit den Maßnahmen vertraut zu machen. In vielen Fällen ist Vertrauen besser als rigide formale Vorschriften.

44 6. Sonstiges 6.1 Immer wieder vorkommende Rechtsbegriffe Beim Lesen von Rechtsbestimmungen stößt man immer wieder auf Begriffe, die einen dann im Unklaren darüber lassen, ob diese nun zu beachten ist oder nicht. Hier eine kleine Auswahl solcher Begriffe. Unbefugt bedeutet nach Rechtsprechung und überwiegender Literaturmeinung ohne Rechtfertigungsgrund. Als Rechtfertigungsgründe kommen in Frage: die Einwilligung der betroffenen Person/der betroffenen Personen ggf. eine mutmaßliche Einwilligung gesetzlich geregelte Befugnisse oder Rechtfertigungsgründe (§ 34 StGB) usw. ggf. gesetzliche Offenbarungspflichten

45 6. Sonstiges 6.1 Immer wieder vorkommende Rechtsbegriffe Erforderlich wird umgangssprachlich meist zu wenig stringent verstanden. Im juristischen Sinne ist etwas erforderlich, wenn eine Aufgabe ohne dieses "Etwas" nicht oder nur unter nicht mehr zumutbaren oder vertretbaren Erschwernissen erledigt werden kann. Unverzüglich heißt hingegen nicht möglichst sofort. Muss beispielsweise, um etwas zu erledigen, ein Vorgang zwischengeschaltet werden, der dauert (z.B. eine Auskunft einholen), so verlangt unverzüglich, dass dieser Vorgang dann auch zügig angestoßen wird. Es bedeutet nicht, dass "'Druck gemacht"' wird, damit die Angelegenheit schnellstmöglich zu Ende gebracht wird.

46 6. Sonstiges 6. 2 Online-Banking Privat kann man Online-Banking mit PIN/TAN machen, dienstlich muss das Schutzprinzip "'Wissen und Besitz"' effektiver umgesetzt werden. Dies erfordert typischerweise die Verwendung einer Chipkarte und eines Chipkartenlesers. Damit wird eine Situation hergestellt, die durch den Umgang mit einer EC- Karte vielen vertraut ist. Ebenso werden sog. Pishing- Attacken deutlich erschwert. Wird ein Chipkartenleser mindestens der Klasse II verwendet, also ein Gerät, wo die PIN-Nummer der Chipkarte nicht am PC, sondern am Chipkartenleser eingegeben wird, reduzieren sich die sonst erheblichen Sicherheitsanforderungen an den für das Online-Banking verwendeten Dienst-PC. Sobald es der Stand der Technik hergibt, sollte ein Lesegerät verwendet werden, das dem Anwender in einem Display auch die wichtigsten Transaktionsdaten (Betrag, Empfänger) anzeigt.

47 6. Sonstiges 6. 2 Online-Banking Bei der Verwendung einer Chipkarte können sich Mitarbeiterinnen und Mitarbeiter einer Stelle, die das Online-Banking durchführen, darauf verlassen, dass ausschließlich die Kontobewegungen stattfinden, die von ihnen veranlasst wurden. Dieses hohe Schutzniveau hat allerdings die problematische Kehrseite, dass es schnell zu ungerechtfertigten aber nur schwer zu wiederlegenden Verdächtigungen kommen kann, wenn es doch zu Unregelmäßigkeiten bei Konten gekommen ist. Ein funktionierendes Mehraugenprinzip ist deshalb zum Schutz der Mitarbeiter, die Online-Banking betreiben, besonders wichtig. Festlegungen und Regelungen dazu sollten in einem Merkblatt beschrieben sein, dessen Kenntnisnahme von den betreffenden Mitarbeiterinnen und Mitarbeitern bestätigt wird. Die Geldinsitute halten Hinweise zum sicheren Online- banking bereit, die an den jeweiligen Arbeitsplätzen bereitliegen sollten.

48 7 Fragen Frage 1: Wen oder was schützt der Datenschutz? A) Elektronisch gespeicherte Daten B) Stellen vor dem Zugriff von Hackern C) Persönlichkeitsrechte Frage 2: Über die Verwendung der eigenen Daten bestimmt... A) der oder die Betroffene. B) die verantwortliche Leitung der Stelle (Amt, Diakonische Einrichtung, Firma), die die Daten gespeichert hat. C) je nach Sachlage der oder die Betroffene bzw. die verantwortliche Stelle. Frage 3: Anschriften... A) sind freie Daten. B) sind Daten, über deren Verwendung datenverarbeitende Stellen nach sorgfältiger Prüfung selbst bestimmen dürfen. C) unterliegen wie alle anderen Daten ebenso den Datenschutzbestimmungen.

49 7 Fragen Frage 4: Datensicherheit... A) wird ausschließlich durch von der Stelle zu treffende technische Maßnahmen hergestellt. B) muss auch von der Mitarbeiterschaft umgesetzt werden. C) ist Sache der auf der Stelle eingesetzten Programmen. Frage 5: Wenn vorhandene personenbezogene Daten für andere Zwecke verwendet werden sollen,... A) muss geprüft werden, ob es dazu eine Rechtsgrundlage gibt. B) muss immer eine Einwilligung eingeholt werden. C) ist dies zulässig, wenn sie rechtmäßig erhoben und gespeichert wurden. Frage 6: Maßnahmen zum Datenschutz müssen getroffen werden,... A) wenn ein Risiko für die Betroffenen absehbar ist. B) wenn Betroffene ein Risiko geltend gemacht haben, von dem sie betroffen sind. C) egal ob Risiken erkennbar sind oder nicht.

50 7 Fragen Frage 7: Wann gilt das Recht auf Auskunft? A) Es gilt nur für Daten in Akten. B) Es gilt nur für elektronisch gespeicherte Daten. C) Es gilt für beides. Frage 8: Selbst über die Verwendung ihrer Daten bestimmen Personen, sobald sie... A) geschäftsfähig sind. B) Einsicht in mögliche Folgen von Datenverarbeitungen haben. C) die Rechtslage einigermaßen beurteilen können. Frage 9: Ist eine Person durch eine Datenverarbeitung geschädigt worden und erhebt Schadensersatzforderungen... A) muss sie einigermaßen plausibel darlegen, dass die verarbeitende Stelle einen Fehler gemacht hat. B) muss die verarbeitende Stelle nachweisen, dass sie keinen Fehler gemacht hat. C) stellt ein Gericht fest, wer inwieweit verantwortlich ist. Die Gerichtskosten trägt dabei die verarbeitende Stelle.

51 7 Fragen Frage 10: Wenn in Vertretungsfällen Daten zugänglich gemacht werden müssen... A) können Passworte weitergegeben werden, wenn die Empfänger verpflichtet werden, diese nicht missbräuchlich zu verwenden. B) müssen die Berechtigungen des Berechtigungssystems entsprechend geändert werden. C) können sowohl das Berechtigungssystem geändert als auch Passworte weitergegeben werden.


Herunterladen ppt "Datenschutz-Schulung Orientierungsplan betriebliche Datenschutzbeauftragte."

Ähnliche Präsentationen


Google-Anzeigen