Zielsetzungen des Datenschutzes - IT
Download
Report
Transcript Zielsetzungen des Datenschutzes - IT
Recht und Organisation
des Datenschutzes
W. Kruth / Recht und Organisation
des Datenschutzes
1
Verbesserungsvorschläge werden gerne
angenommen:
Mail-Adresse: [email protected]
Danke.
W. Kruth / Recht und Organisation
des Datenschutzes
2
Modulstruktur
• 1 Zielsetzungen des Datenschutzes,
Begriffsbestimmungen
• 2 Rechtsvorschriften des Datenschutzes
• 3 Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung
personenbezogener Daten
• 4 Zulässigkeit der Datenerhebung,
Verarbeitung und -nutzung
W. Kruth / Recht und Organisation
des Datenschutzes
3
Modulstruktur
•
•
•
•
•
5 Auftragsdatenverarbeitung
6 Rechte des Betroffenen
7 Besonderer Datenschutz
8 Bereichsspezifischer Datenschutz
9 Datenschutz beim Einsatz neuer
Technologien
• 10 Interner Datenschutzbeauftragter
W. Kruth / Recht und Organisation
des Datenschutzes
4
Recht und Organisation des Datenschutzes
Modul 1
Zielsetzungen des Datenschutzes
Begriffsbestimmungen
W. Kruth / Recht und Organisation
des Datenschutzes
5
Zielsetzungen des Datenschutzes
• Zweck und Ziel des Datenschutzes ist es, die
Persönlichkeitsrechte des Einzelnen vor
Beeinträchtigungen durch öffentliche und nichtöffentliche Stellen zu schützen.
• Jeder Mensch soll über Angaben, die seine Identität
und sein persönliches Umfeld einschliesslich seiner
Arbeitsverhältnisse beschreiben, frei bestimmen
können, soweit er nicht aufgrund einer
Rechtsvorschrift öffentlichen oder nicht-öffentlichen
Stellen gegenüber zur Bekanntgabe verpflichtet werden
kann bzw. verpflichtet ist (Informationelles
Selbstbestimmungsrecht).
W. Kruth / Recht und Organisation
des Datenschutzes
6
Zielsetzungen des Datenschutzes
• Die Landesverfassung NRW hat den
personenbezogenen Datenschutz in Art. 4 als ein
Grundrecht auf Datenschutz definiert:
„Jeder hat Anspruch auf Schutz seiner
personenbezogenen Daten. Eingriffe sind nur im
überwiegendem Interesse der Allgemeinheit aufgrund
eines Gesetzes zulässig.“
W. Kruth / Recht und Organisation
des Datenschutzes
7
Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (1)
• Personenbezogene Daten sind Einzelangaben über
persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person.
– Die Einzelangaben müssen sich entweder direkt auf eine
bestimmte oder bestimmbare Person beziehen oder geeignet
sein, einen Bezug zu ihr herzustellen.
– Persönliche Verhältnisse sind Angaben über den Betroffenen
selbst, seine Identifizierung und Charakterisierung. Auch
Werturteile können Angaben über persönliche Verhältnisse
sein.
– Sachliche Verhältnisse werden beschrieben durch Angaben
über einen auf den Betroffenen beziehbaren Sachverhalt.
W. Kruth / Recht und Organisation
des Datenschutzes
8
Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (2)
• Personenbezogene Daten weisen in Abhängigkeit vom
Inhalt und den Möglichkeiten des Veränderns ibs. bei
automatisierter Datenverarbeitung eine
unterschiedliche Empfindlichkeit auf, die für den
Schutzwert der Daten im Hinblick auf die Gefahr einer
missbräuchlichen Nutzung von Bedeutung auf.
• Die Empfindlichkeit der Daten stellt zunächst auf das
einzelne Datum ab, da innerhalb eines Geschäftsfalles
Daten mit unterschiedlicher Sensivität gespeichert und
verarbeitet werden können.
W. Kruth / Recht und Organisation
des Datenschutzes
9
Begriffsbestimmungen des Datenschutzes
Personenbezogene Daten (3)
• Besondere Arten personenbezogener Daten sind
Angaben über rassische und ethnische Herkunft,
politische Meinungen, religiöse oder philosophische
Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben. Diese Daten unterliegen
besonderen Beschränkungen bei der Erhebung,
Verarbeitung oder Nutzung.
W. Kruth / Recht und Organisation
des Datenschutzes
10
Begriffsbestimmungen des Datenschutzes
Betroffener
• Der Betroffene ist derjenige, dessen Schutz das Gesetz
zum Ziel hat und dem Rechte aus dem Gesetz - ggfls.
unabdingbar - eingeräumt sind.
• Die verantwortliche Stelle muss in verschiedenen
Disziplinen der Datenverarbeitung die Rechte des
Betroffenen in eine Güterabwägung zu den
berechtigten Eigeninteressen oder den Interessen
Dritter stellen.
W. Kruth / Recht und Organisation
des Datenschutzes
11
Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (1)
• Verantwortliche Stelle für den Datenschutz ist jede
Person oder Stelle, die personenbezogene Daten für
sich selbst erhebt, verarbeitet oder nutzt oder dies
durch andere im Auftrag vornehmen lässt (erweiterte
Definition der ehem. „speichernden Stelle“).
• Verantwortliche Stelle im i.S. der öffentlichen
Behördenorganisation ist zunächst die
Organisationseinheit in einer bestimmten Behörde, die
die Daten für ihre Zwecke erhebt, speichert,
verarbeitet, übermittelt.
W. Kruth / Recht und Organisation
des Datenschutzes
12
Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (2)
• Im weiteren Sinne ist verantwortliche Stelle auch die
Behörde oder die juristische Person, der die bezogene
Stelle angehört, einschließlich aller Untergliederungen.
• Der Datenfluss innerhalb einer Behörde zwischen
Organisationseinheiten ist keine Übermittlung i.S. des
Gesetzes. Dies gilt auch für die Zusammenarbeit von
Behörden zur Bearbeitung eines Geschäftsfalles im sog.
Fachstrang zwischen Ministerien und nachgeordneten
Stellen.
W. Kruth / Recht und Organisation
des Datenschutzes
13
Begriffsbestimmungen des Datenschutzes
Verantwortliche Stelle (3)
• Die Personalvertretung ist Bestandteil der
verantwortlichen Stelle i.S. der Behörde oder
juristischen Person.
• Die verantwortliche Stelle trägt die volle und
uneingeschränkte Verantwortlichkeit für die
Zulässigkeit und Rechtmäßigkeit der von ihr
vorgenommen oder in ihrem Auftrag durchgeführten
Erhebung, Verarbeitung oder Nutzung von
personenbezogenen Informationen in automatisierten
und nicht-automatisierten Verfahren.
W. Kruth / Recht und Organisation
des Datenschutzes
14
Begriffsbestimmungen des Datenschutzes
Empfänger
• Empfänger ist jede Person oder Stelle, die Daten erhält.
W. Kruth / Recht und Organisation
des Datenschutzes
15
Begriffsbestimmungen des Datenschutzes
Dritter
• Dritter ist jede Person oder Stelle außerhalb der
verantwortlichen Stelle. Dritte sind nicht die betroffene
Person sowie diejenigen Personen oder Stellen, die im
Inland oder im Geltungsbereich der Rechtsvorschriften
zum Schutz personenbezogener Daten der
Mitgliedstaaten der EU personenbezogene Daten im
Auftrag erheben, verarbeiten oder speichern.
W. Kruth / Recht und Organisation
des Datenschutzes
16
Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (1)
• Automatisierte Verarbeitung ist dann gegeben, wenn
die Erhebung, Verarbeitung oder Nutzung von Daten
unter Einsatz von Informationstechnik (eines
gesteuerten technischen Verfahrens) erfolgt.
• Die automatisierte Verarbeitung muss für jede Phase
der technikunterstützten Informationsverarbeitung
gegenüber nicht-automatisierter Datenverarbeitung im
Hinblick auf den Dateibegriff und die Definition der
Sicherheitsziele abgegrenzt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
17
Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (2)
• Entscheidungen, die für den Betroffenen eine rechtliche
Folge nach sich ziehen oder ihn erheblich
beeinträchtigen, dürfen nicht ausschließlich auf eine
automatisierte Verarbeitung personenbezogener Daten
gestützt werden, die der Bewertung einzelner
Persönlichkeitsmerkmale dienen.
• Diese Regelung gilt nicht bei Vertragsverhältnissen
oder ähnlichen Rechtsgeschäften oder wenn die
Wahrung der berechtigten Interessen des Betroffenen
durch geeignete Maßnahmen garantiert wird.
W. Kruth / Recht und Organisation
des Datenschutzes
18
Begriffsbestimmungen des Datenschutzes
Automatisierte Verarbeitung (3)
• Wird von der betroffenen Person ein besonderes
schutzwürdiges Interesse schriftlich geltend gemacht,
darf die Verarbeitung ihrer Daten nur erfolgen, wenn
das Interesse der datenverarbeitenden Stelle überwiegt.
Die betroffene Person ist über das Ergebnis zu
informieren.
W. Kruth / Recht und Organisation
des Datenschutzes
19
Begriffsbestimmungen des Datenschutzes
Akte
• Eine Akte ist jede der Aufgabenerfüllung dienende
Unterlage, die nicht Teil der automatisierten
Datenverarbeitung ist.
W. Kruth / Recht und Organisation
des Datenschutzes
20
Begriffsbestimmungen des Datenschutzes
Datenvermeidung und Datensparsamkeit
• Gestaltung und Auswahl von Informationstechnik
haben sich an dem Ziel auszurichten, keine oder so
wenig personenbezogene Daten wie möglich zu
erheben, zu verarbeiten oder zu nutzen.
• Insbesondere ist von den Möglichkeiten der
Anonymisierung und Pseudonymisierung Gebrauch zu
machen, soweit dies möglich ist und der Aufwand in
einem angemessenen Verhältnis zum angestrebten
Schutzzweck steht.
W. Kruth / Recht und Organisation
des Datenschutzes
21
Begriffsbestimmungen des Datenschutzes
Zweckbindungsprinzip
• Personenbezogene Daten dürfen nur erhoben,
verarbeitet oder genutzt werden, wenn dies für die
Erfüllung der definierten Aufgaben unabdingbar ist.
• Eine Verarbeitung oder Nutzung von Daten, die im
Rahmen der automatisierten Verarbeitung in
Kontrolldateien gespeichert werden oder im Rahmen
von Maßnahmen zur Verbesserung der Organisation
oder zur Kontrolle des Datenschutzes anfallen für
andere Zwecke ist unzulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
22
Begriffsbestimmungen des Datenschutzes
Verbunddateien (1)
• Die Einrichtung gemeinsamer oder verbundener
automatisierter Verfahren, in und aus denen mehrere
öffentliche Stellen personenbezogene Daten verarbeiten
sollen, ist nur zulässig, wenn dies unter
Berücksichtigung der schutzwürdigen Belange der
betroffenen Personen und der Aufgaben der beteiligten
Stellen angemessen ist.
• Innerhalb einer öffentlichen Stelle bedarf eine
derartige Einrichtung der Zustellung des
Dienststellenleiters.
W. Kruth / Recht und Organisation
des Datenschutzes
23
Begriffsbestimmungen des Datenschutzes
Verbunddateien (2)
• Erfolgt die Einrichtung für mehrere Stellen, müssen
diese die Datenart, die Aufgaben der beteiligten Stellen,
Zweck und Umfang der jeweiligen Befugnis und die
Gesamtverantwortlichkeit bestimmen.
• Der Landesbeauftragte für den Datenschutz ist vorab
zu informieren.
W. Kruth / Recht und Organisation
des Datenschutzes
24
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Erheben
• Erheben ist das Beschaffen von Daten über den
Betroffenen.
• Die Art der Erhebung ist unerheblich. Sie muss jedoch
zielorientiert erfolgen. Der Betroffene ist über den
Umfang der Erhebung und ggfls. die weitere
Speicherung usw. zu informieren, soweit dies durch das
Datenschutzrecht bestimmt ist.
• Ein Erheben ist dann nicht gegeben, wenn die Daten
aus vorliegenden Unterlagen zusammengestellt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
25
Begriffsbestimmungen des Datenschutzes
Verarbeitung und Nutzung
• Verarbeiten ist ist das Speichern, Verändern,
Übermitteln, Sperren und Löschen personenbezogener
Daten.
• Nutzen ist ´jede Verwendung personenbezogener
Daten, soweit es sich nicht um Verarbeitung handelt.
W. Kruth / Recht und Organisation
des Datenschutzes
26
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Speichern
• Speichern ist das Erfassen, Aufnehmen oder
Aufbewahren personenbezogener Daten auf einem
Datenträger zum Zwecke der weiteren Verarbeitung
oder Nutzung.
• Datenträger ist jedes Medium, das zur Aufnahme
personenbezogener Daten geeignet ist.
• Erfassen ist als Dateneingabe unter Vornahme von
Plausibilitätsprüfung zur Gewährleistung der
Integrität und Konsistenz der Daten zu verstehen.
W. Kruth / Recht und Organisation
des Datenschutzes
27
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Verändern
• Verändern ist das inhaltliche Umgestalten
gespeicherter personenbezogener Daten.
• Verändern umfasst jegliche Transformation und
Verknüpfung von Daten .
• Soweit durch das Verändern von Daten diese ihren
bisherigen Kontext verlieren oder ein neues
Informationsbild mit geänderter Qualität geschaffen
wird, muss das Ergebnis im Hinblick auf die
Zulässigkeit und Rechtmäßigkeit der
Datenverarbeitung ggfls. neu bewertet werden.
W. Kruth / Recht und Organisation
des Datenschutzes
28
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Übermitteln
• Übermitteln ist das Bekannt geben gespeicherter oder
durch Datenverarbeitung gewonnener Daten an einen
Dritten in der Weise, dass
– die Daten an den Dritten weitergegeben werden
oder
– der Dritte zur Einsicht oder zum Abruf
bereitgehaltene Daten einsieht oder abruft.
• Übermitteln von Daten liegt auch dann vor, wenn nicht
einzelne Daten, sondern Datenbestände weitergegeben
werden.
W. Kruth / Recht und Organisation
des Datenschutzes
29
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Sperren
• Sperren ist das Kennzeichnen gespeicherter
personenbezogener Daten, um ihre weitere
Verarbeitung oder Nutzung einzuschränken.
W. Kruth / Recht und Organisation
des Datenschutzes
30
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Löschen
• Löschen ist das Unkenntlichmachen gespeicherter
personenbezogener Daten.
• Die Wirksamkeit des Löschens wird durch die
anwendbaren Möglichkeiten der Wiedergewinnung mit
allgemein oder speziell verfügbaren Methoden und
Techniken bestimmt.
• Sind die zu löschenden Daten auch in
Bestandssicherungen enthalten, gilt das Löschen als
erfüllt, wenn die Sicherungsbestände überschrieben
oder in anderer Weise dem Zugriff entzogen werden.
W. Kruth / Recht und Organisation
des Datenschutzes
31
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Anonymisieren
• Anonymisieren ist das Verändern personenbezogener
Daten derart, dass die Einzelangaben über persönliche
oder sachliche Verhältnisse nicht mehr oder nur mit
einem unverhältnismäßig grossen Aufwand an Zeit,
Kosten und Arbeitskraft einer bestimmten oder
bestimmbaren natürlichen Person zugeordnet werden
können.
• Eine Reanonymisierung muss ausgeschlossen werden
können. Maßgebend ist dabei, ob die
Reanonymisierung durch die verantwortliche Stelle
möglich ist.
W. Kruth / Recht und Organisation
des Datenschutzes
32
Begriffsbestimmungen des Datenschutzes
Funktionsbegriff Pseudonymisieren
• Pseudonymisieren ist das Ersetzen des Namens und
anderer Identifikationsmerkmale durch ein
Kennzeichen zu dem Zweck, die Bestimmung des
Betroffenen auszuschließen oder wesentlich zu
erschweren.
• Das Pseudonymisieren von Daten für statistische
Zwecke ist nicht zulässig. Zielaspekt ist die
Verwendung von verfremdeten Daten für Testzwecke
und Präsentationen, die ohne Bezug zur Realwelt nicht
operabel sind.
W. Kruth / Recht und Organisation
des Datenschutzes
33
Recht und Organisation des Datenschutzes
Modul 2
Rechtsvorschriften des Datenschutzes
W. Kruth / Recht und Organisation
des Datenschutzes
34
Rechtsvorschriften des Datenschutzes
Anwendungsbereich (1)
• Das Landesdatenschutzgesetz gilt für die Behörden,
Einrichtungen und sonstigen öffentlichen Stellen des
Landes, die Gemeinden und Gemeindeverbände sowie
für die sonstigen der Aufsicht des Landes
unterstehenden juristischen Personen des öffentlichen
Rechts und deren Vereinigungen.
W. Kruth / Recht und Organisation
des Datenschutzes
35
Rechtsvorschriften des Datenschutzes
Anwendungsbereich (2)
• Für wirtschaftliche Unternehmen der Gemeinden und
Gemeindeverbände ohne eigene Rechtspersönlichkeit,
für öffentliche Einrichtungen, die entsprechend den
Vorschriften über die Eigenbetriebe geführt werden,
sowie für die der Aufsicht des Landes unterstehenden
juristischen Personen des öffentlichen Rechts, die am
Wettbewerb teilnehmen, finden die Vorschriften über
die Rechtsgrundlagen der Datenverarbeitung
Anwendung.
W. Kruth / Recht und Organisation
des Datenschutzes
36
Rechtsvorschriften des Datenschutzes
Anwendungsbereich (3)
• Für den Landtag, die Gerichte und die Behörden der
Staatsanwaltschaft gilt, soweit diese
Verwaltungsaufgaben wahrnehmen, das LDSG
eingeschränkt (Rechtsgrundlagen der
Datenverarbeitung).
W. Kruth / Recht und Organisation
des Datenschutzes
37
Rechtsvorschriften des Datenschutzes
Lex specialis vor lex generalis
• Soweit besondere Rechtsvorschriften des Bundes oder
Landes auf die Verarbeitung personenbezogener Daten
anzuwenden sind, haben sie als lex specialis
Anwendungsvorrang. BDSG und LDSG haben den
Charakter eines Auffanggesetzes.
• Bei konkurrierenden bereichsspezifischen
Rechtsvorschriften gilt der Grundsatz „Bundesrecht
bricht Landesrecht“.
W. Kruth / Recht und Organisation
des Datenschutzes
38
Rechtsvorschriften des Datenschutzes
LDSG im Verhältnis zum Verwaltungsverfahrensgesetz
• Für das Verhältnis zum LDSG enthält das
Verwaltungsverfahrensrecht Regelungen, dass die
Normadressaten des LDSG - auch im
Verwaltungsverfahren - den vorrangigen
Bestimmungen des LDSG unterworfen sind, soweit sie
bei der Sachverhaltsermittlung personenbezogene
Daten verarbeiten oder nutzen.
W. Kruth / Recht und Organisation
des Datenschutzes
39
Rechtsvorschriften des Datenschutzes
Datenübermittlung im grenzüberschreitenden
Datenverkehr
• Für die Datenübermittlung im grenzüberschreitenden
Datenverkehr finden die Rechtsvorschriften der EU
Anwendung. Grundsätzlich gilt für alle Mitglieder der
EU, die durch innerstaatliches Recht die Grundsätze
und Leitlinien der EU, ibs. die Konvention 108 für den
personenbezogenen Datenschutz ratifiziert haben oder
gesetzliche Bestimmungen erlassen haben, die im
Einklang mit dieser Konvention stehen, der Grundsatz,
dass dem grenzüberschreitenden Datenverkehr keine
Beschränkungen auferlegt werden sollten.
W. Kruth / Recht und Organisation
des Datenschutzes
40
Recht und Organisation des Datenschutzes
Modul 3
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
W. Kruth / Recht und Organisation
des Datenschutzes
41
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Erheben (1)
• Das Erheben personenbezogener Daten ist zulässig,
wenn ihre Kenntnis zur rechtmäßigen Erfüllung der
Aufgaben der erhebenden Stelle erforderlich ist.
• Personenbezogene Daten sind beim Betroffenen mit
seiner Kenntnis zu erheben, er ist über den
Verwendungszweck aufzuklären.
• Erforderlich ist die Erhebung, wenn ihre Kenntnis zur
Erreichung des angestrebten Zweckes objektiv geeignet
und im Verhältnis zum angestrebten Zweck auch
notwendig ist.
W. Kruth / Recht und Organisation
des Datenschutzes
42
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Erheben (2)
• Die Verpflichtung zur Datenerhebung beim Betroffenen
kann jedoch nicht lückenlos durchgeführt werden. Die
Beschaffung von anderen Stellen ohne Kenntnis ist
unter bestimmten Voraussetzungen zulässig, nämlich
dann, wenn die Daten bereits bei anderen Stellen
innerhalb der gleichen Behörde vorliegen. Dabei ist
auch das Zweckbindungsprinzip zu beachten.
W. Kruth / Recht und Organisation
des Datenschutzes
43
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Zweckbindung bei Speicherung, Veränderung, Nutzung
(1)
• Das Speichern, Verändern und Nutzen
personenbezogener Daten ist zulässig, wenn es zu
rechtmäßigen Erfüllung der Aufgaben der
verantwortlichen Stelle erforderlich ist.
• Die Weitverarbeitung von Daten zu anderen Zwecken
ist u.a. nur zulässig, wenn
– dies durch Rechtsvorschriften bestimmt ist,
– der Betroffene eingewilligt hat,
– sie aus allgemein zugänglichen Quellen entnommen
werden können.
W. Kruth / Recht und Organisation
des Datenschutzes
44
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Zweckbindung bei Speicherung, Veränderung,
Nutzung (2)
• Eine Verarbeitung zu anderen Zwecken liegt nicht vor,
wenn sie der Wahrnehmung von Aufsichts- und
Kontrollbefugnissen, der Rechnungsprüfung oder der
Durchführung von Organisationsuntersuchungen
dient.
W. Kruth / Recht und Organisation
des Datenschutzes
45
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Datenübermittlung im öffentlichen Bereich (1)
• Die Übermittlung an öffentliche Stellen ist zulässig,
wenn dies zur rechtmäßigen Erfüllung der Aufgaben
der übermittelnden Stelle oder des Empfängers
erforderlich ist.
• Die Übermittlung ist auch dann zulässig, wenn eine
Entscheidung in einem Verwaltungsverfahren der
Beteiligung mehrerer öffentlicher Stellen bedarf.
W. Kruth / Recht und Organisation
des Datenschutzes
46
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Datenübermittlung im öffentlichen Bereich (2)
• Können die zu übermittelnden Daten nicht von
anderen Informationen, mit denen sie verbunden sind,
ohne vertretbaren Aufwand getrennt werden, so ist die
Übermittlung auch dieser Daten zulässig, soweit
berechtigte Belange des Betroffenen nicht
entgegenstehen; eine Nutzung dieser Daten durch den
Empfänger ist nicht zulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
47
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Datenübermittlung im öffentlichen Bereich (3)
• Die Verantwortung für die Übermittlung trägt die
übermittelnde Stelle. Sie prüft das
Übermittlungsersuchen des Empfängers.
• Erfolgt die Übermittlung in automatisierten
Abrufverfahren, so trägt die Verantwortung für die
Rechtmäßigkeit des Abrufs der Empfänger.
• Für die Weitverarbeitung der Daten beim Empfänger
gilt das Zweckbindungsprinzip.
W. Kruth / Recht und Organisation
des Datenschutzes
48
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Automatisierte Abrufverfahren und regelmässige
Datenübermittlung (1)
• Die Einrichtung automatisierter Abrufverfahren ist nur
zulässig, soweit dies durch Bundes- oder Landesrecht
bestimmt ist.
• Die am Abrufverfahren beteiligten Stellen haben alle
erforderlichen Maßnahmen für die Gewährleistung der
IT-Sicherheitsziele im Abrufverfahren zu treffen.
• Automatisierte Abrufverfahren für Stellen ausserhalb
des öffentlichen Bereichs sind nicht zulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
49
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Automatisierte Abrufverfahren und regelmäßige
Datenübermittlung (2)
• Den Verfahren zur automatisierten Direktabfrage
personenbezogener Daten kommt besondere Bedeutung
zu, weil die abrufende Stelle je nach Einrichtung eines
solchen Anschlusses über den gesamten Umfang oder
wesentliche Teile des Bestandes verfügen kann.
• Den automatisierten Abrufverfahren sind Verfahren
zur regelmäßigen Datenübermittlung gleichgestellt.
W. Kruth / Recht und Organisation
des Datenschutzes
50
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Automatisierte Abrufverfahren (3)
• Die verantwortliche Stelle hat durch
Stichprobenverfahren die Ordnungsmäßigkeit des
automatisierten Abrufverfahrens zu überprüfen.
W. Kruth / Recht und Organisation
des Datenschutzes
51
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Übermittlung an nicht-öffentliche Stellen
• Die Übermittlung an nicht-öffentliche Stellen ist u.a
zulässig, wenn
– sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der
übermittelnden Stelle liegenden Aufgaben erforderlich ist,
– sie im öffentlichen Interesse liegt und hierfür ein berechtigtes
Interesse geltend gemacht hat und kein Widerspruch des
Betroffenen vorliegt,
– vom Empfänger ein rechtliches Interesse geltend gemacht wird
und schutzwürdige Belange des Betroffenen nicht
entgegenstehen.
W. Kruth / Recht und Organisation
des Datenschutzes
52
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Übermittlung an ausländische Stellen (1)
• Die Übermittlung an nicht-öffentliche Stellen
außerhalb des Geltungsbereiches des GG richtet sich
nach den Vorschriften Bestimmungen über die
Datenübermittlung an öffentliche und nicht-öffentliche
Stellen.
• Die Übermittlung an Stellen außerhalb der EUMitgliedstaaten ist nur zulässig, wenn dort ein
angemessenes Datenschutzniveau gewährleistet ist,
hierzu ist vor der Entscheidung der Landesbeauftragte
für den Datenschutz zu hören.
W. Kruth / Recht und Organisation
des Datenschutzes
53
Rechtsgrundlagen für die Erhebung,
Verarbeitung und Nutzung personenbezogener
Daten
Übermittlung an ausländische Stellen (2)
• Fehlt es an einem angemessenen Datenschutzniveau, so
ist die Übermittlung nur zulässig, wenn u.a.
– die betroffene Person eingewilligt hat,
– die Übermittlung zur Wahrung des überwiegenden
öffentlichen Interesses oder zur Geltendmachung, Ausübung
oder Verteidigung eines rechtlichen Interesses erforderlich ist.
• Die empfangende Stelle ist auf das
Zweckbindungsprinzip hinzuweisen.
W. Kruth / Recht und Organisation
des Datenschutzes
54
Recht und Organisation des Datenschutzes
Modul 4
Zulässigkeit der Datenerhebung,
-verarbeitung und -nutzung
W. Kruth / Recht und Organisation
des Datenschutzes
55
Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung
• Die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten sind nur zulässig, wenn dies
durch das Gesetz oder eine andere Rechtsvorschrift
erlaubt oder angeordnet ist oder der Betroffene
eingewilligt hat.
W. Kruth / Recht und Organisation
des Datenschutzes
56
Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung
• Werden personenbezogene Daten beim Betroffenen
aufgrund einer Rechtsvorschrift erhoben, die zur
Auskunft verpflichtet, oder ist die Erteilung der
Auskunft Voraussetzung für die Gewährung von
Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf
die Freiwilligkeit seiner Angaben und die evtl. Folgen
einer Verweigerung hinzuweisen.
W. Kruth / Recht und Organisation
des Datenschutzes
57
Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung
Einwilligung des Betroffenen (1)
• Wird die Einwilligung bei dem Betroffenen eingeholt,
ist er, sofern er nicht auf andere Weise Kenntnis erlangt
hat, von der verantwortlichen Stelle
– über deren Identität,
– die Zweckbestimmung der Erhebung, Verarbeitung
oder Nutzung und
– die Kategorien von Empfängern, soweit der
Betroffene nach den Umständen des Einzelfalls
nicht mit der Übermittlung an diese rechnen muss,
zu unterrichten.
W. Kruth / Recht und Organisation
des Datenschutzes
58
Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung
Einwilligung des Betroffenen (2)
• Die Einwilligung des Betroffenen ist nur wirksam,
wenn sie auf dessen freier Entscheidung beruht. Er ist
auf den vorgesehenen Zweck der Erhebung,
Verarbeitung oder Nutzung sowie, soweit nach den
Umständen des Einzelfalles erforderlich oder auf
Verlangen, auf die Folgen der Verweigerung
hinzuweisen.
• Die Einwilligung bedarf der Schriftform. Sie muss,
soweit sie im Zusammenhang mit anderen Erklärungen
abgegeben wird, deutlich hervorzuheben.
W. Kruth / Recht und Organisation
des Datenschutzes
59
Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung
Einwilligung des Betroffenen (3)
• Die Einwilligung des Betroffenen kann auch
elektronisch erklärt werden, wenn sichergestellt ist,
dass
– sie nur durch eine eindeutige und bewusste Handlung der
handelnden Person erfolgen kann,
– sie nicht unerkennbar verändert werden kann,
– ihr Urheber erkannt werden kann,
– die Einwilligung bei der betroffenen Stelle protokolliert wird
– der betroffenen Person jederzeit Auskunft über den Inhalt
ihrer Einwilligung gegeben werden kann.
W. Kruth / Recht und Organisation
des Datenschutzes
60
Recht und Organisation des Datenschutzes
Modul 5
Auftragsdatenverarbeitung
W. Kruth / Recht und Organisation
des Datenschutzes
61
Auftragsdatenverarbeitung
• Werden personenbezogene Daten im Auftrag durch
andere Stellen erhoben, verarbeitet oder genutzt, ist
der Auftraggeber für die Einhaltung der
anzuwendenden Rechtsvorschriften zum Datenschutz
verantwortlich.
• Der Auftragnehmer darf die Daten nur im Rahmen von
Weisungen des Auftraggebers erheben, verarbeiten
oder nutzen.
• Der Auftragnehmer ist funktionaler Bestandteil der
verantwortlichen Stelle.
W. Kruth / Recht und Organisation
des Datenschutzes
62
Auftragsdatenverarbeitung
Auftragsverhältnis (1)
• Der Auftragnehmer ist unter besonderer
Berücksichtigung der Eignung der von ihm getroffenen
organisatorischen und technischen Maßnahmen zur
Gewährleistung der IT-Sicherheit sorgfältig
auszuwählen.
• Der Auftrag ist schriftlich zu erteilen. Dabei können
verschiedene Auftragsformen vom Rahmenvertrag mit
Einzelaufträgen bis zur ausschließlichen, allgemein
oder für den Einzelfall geltenden Regelung in Betracht
kommen.
W. Kruth / Recht und Organisation
des Datenschutzes
63
Auftragsdatenverarbeitung
Auftragsverhältnis (2)
• Im Rahmen des Auftragsverhältnisses sind die
Datenerhebung, -verarbeitung oder -nutzung, die
technischen und organisatorischen
Sicherheitsmassnahmen und etwaige
Unterauftragsverhältnisse festzulegen.
• Der Auftraggeber hat die Pflicht, sich von der
Einhaltung der getroffenen Vereinbarungen zu
überzeugen.
W. Kruth / Recht und Organisation
des Datenschutzes
64
Auftragsdatenverarbeitung
Auftragsverhältnis (3)
• Der Auftragnehmer hat den Auftraggeber über von
ihm erkannte oder vermutete Verstöße gegen
datenschutzrechtliche Bestimmungen oder Regelungen
des Auftragsverhältnisses unverzüglich zu informieren.
Dies gilt auch dann, wenn der Auftragnehmer das
vorhandene Sicherheitssystem ändert und hierdurch
getroffene Vereinbarungen inhaltlich berührt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
65
Auftragsdatenverarbeitung
Anwendungsbereiche
• Anwendungsbereiche der Auftragsdatenverarbeitung
sind
– die Datenerfassung,
– die Entwicklung von Individualsoftware,
– die Erbringung von Wartungsarbeiten (lokale Wartung oder
Fernwartung) für Netze, Systeme und Dienste,
– die Durchführung von Verarbeitungen automatisierter
Verfahren,
– die Durchführung von Datenübermittlung sowie die
Einrichtung von automatisierten Abrufverfahren.
W. Kruth / Recht und Organisation
des Datenschutzes
66
Auftragsdatenverarbeitung
Wartung und Systembetreuung durch externe Stellen
• Externe Stellen und Personen, die mit der Wartung und
Systembetreuung von von IT-Systemen oder deren
Komponenten beauftragt sind, müssen die notwendige
fachliche Qualifikation und Zuverlässigkeit aufweisen.
• Der Auftraggeber hat vor Beginn der Arbeiten
sicherzustellen, dass der Auftragnehmer
personenbezogene Daten nur zur Kenntnis nehmen
kann, wenn dies unvermeidlich ist; in diesen Fällen hat
der Auftragnehmer die Daten unverzüglich nach
Erledigung des Auftrags zu löschen. Die Nachweise
hierzu sind drei Jahre aufzubewahren.
W. Kruth / Recht und Organisation
des Datenschutzes
67
Auftragsdatenverarbeitung
Datenverarbeitung durch eigene Stellen (1)
• Bei der Erhebung, Verarbeitung oder Nutzung von
personenbezogene Daten durch eigene Stellen im
Organisationsbereich der verantwortlichen Behörde ist
Auftragsdatenverarbeitung nicht gegeben.
• Im Interesse einer ordnungsgemäßen und
kontrollierbaren automatisierten Datenverarbeitung
wird die Anwendung der Rechtsvorschriften für die
Auftragsdatenverarbeitung empfohlen.
W. Kruth / Recht und Organisation
des Datenschutzes
68
Auftragsdatenverarbeitung
Datenverarbeitung durch eigene Stellen (2)
• Soweit die IT-Zentralen des Landes personenbezogene
Daten im Auftrag öffentlicher Stellen verarbeiten,
haben sie die Vorschriften
- über das Datengeheimnis,
- Technische und organisatorische Maßnahmen
- Kontrolle durch den Landesbeauftragten für den
Datenschutz
für ihren Bereich anzuwenden.
W. Kruth / Recht und Organisation
des Datenschutzes
69
Recht und Organisation des Datenschutzes
Modul 6
Rechte des Betroffenen
und
Korrespondenzpflichten
der verantwortlichen Stelle
W. Kruth / Recht und Organisation
des Datenschutzes
70
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Unabdingbare Rechte des Betroffenen
• Die Rechte des Betroffenen auf Auskunft, Berichtigung,
Sperrung oder Löschung können nicht durch
Rechtsgeschäft ausgeschlossen oder beschränkt
werden.
• Sind die Daten des Betroffen automatisiert bei
mehreren Stellen gespeichert, kann er sich an jede
dieser Stellen wenden, wenn er die für die Speicherung
verantwortliche Stelle nicht selbst ermitteln kann. Die
Stelle, bei der der Betroffene seine Rechte reklamiert,
ist zur Information der bezogenen Stelle verpflichtet.
W. Kruth / Recht und Organisation
des Datenschutzes
71
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Korrespondenzpflichten der verantwortlichen Stelle
• Den Rechten des Betroffenen auf Berichtigung,
Sperrung und Löschung entsprechen die Pflichten der
verantwortlichen Stelle zur Vornahme korrigierender
Handlungen, ohne dass es dabei zwingend eines
Einspruches des Betroffenen bedarf.
W. Kruth / Recht und Organisation
des Datenschutzes
72
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Recht auf Auskunft (1)
• Dem Betroffenen ist auf Antrag Auskunft zu erteilen
über
– die zu seiner Person gespeicherten Daten,
– den Zweck und die Rechtsgrundlage der Speicherung,
– die Herkunft der Daten, soweit sie von anderen Stellen zur
Verfügung gestellt oder aus allgemein zugänglichen Quellen
gewonnen wurden, und die Empfänger von Übermittlungen,
– Die allgemeinen technischen Bedingungen der automatisierten
Verarbeitung der zur eigenen Person verarbeiteten Daten.
• Die Auskunft darf nur verweigert werden, wenn dies
durch eine Rechtsvorschrift ausdrücklich bestimmt ist.
W. Kruth / Recht und Organisation
des Datenschutzes
73
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Recht auf Auskunft (2)
• Die Form des Auskunftsverfahrens bestimmt die
verantwortliche Stelle. Grundsätzlich wird die
Auskunft
– schriftlich und
– unentgeltlich erteilt.
W. Kruth / Recht und Organisation
des Datenschutzes
74
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (1)
• Personenbezogene Daten sind zu berichtigen, wenn sie
unrichtig sind.
• Personenbezogene Daten sind zu sperren, wenn
– ihre Richtigkeit vom Betroffenen bestritten wird,
– der Betroffene anstelle der Löschung die Sperrung verlangt,
– die weitere Speicherung im Interesse des Betroffenen geboten
ist,
– ie nur zu Zwecken der Datensicherung und der
Datenschutzkontrolle gespeichert sind.
W. Kruth / Recht und Organisation
des Datenschutzes
75
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (2)
• Bei automatisierten Dateien ist die Sperrung
grundsätzlich durch technische Maßnahmen
sicherzustellen; im übrigen ist ein ein entsprechender
Vermerk anzubringen.
W. Kruth / Recht und Organisation
des Datenschutzes
76
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Recht auf Berichtigung, Sperrung, Löschung (3)
• Personenbezogene Daten sind zu löschen, wenn ihre
Speicherung
– unzulässig ist,
– ihre Kenntnis für die Aufgabenerfüllung nicht mehr
erforderlich ist.
• Über die Berichtigung von Daten, die Sperrung und
Löschung sind unverzüglich die betroffene Person und
die Stellen zu informieren, an die Datenübermittlung
erfolgt; es sei denn, dass die Benachrichtigung einen
erheblichen Aufwand erfordert und nachteilige Folgen
für die betroffene Person nicht zu befürchten sind.
W. Kruth / Recht und Organisation
des Datenschutzes
77
Rechte des Betroffenen / Pflichten der
verantwortlichen Stelle
Benachrichtigung des Betroffenen
• Der Betroffene ist zu benachrichtigen, wenn erstmals
personenbezogene Daten für eigene Zwecke ohne seine
Kenntnis gespeichert werden. Die Benachrichtigung
entspricht nach Form und Inhalt der Auskunft.
• Eine Pflicht zur Benachrichtigung besteht nicht, wenn
der Betroffene auf andere Weise Kenntnis von der
Speicherung, Verarbeitung oder Nutzung erlangt hat,
oder die Benachrichtigung durch Rechtsvorschrift
ausgeschlossen ist.
W. Kruth / Recht und Organisation
des Datenschutzes
78
Recht und Organisation des Datenschutzes
Modul 7
Besonderer Datenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
79
Besondere Regelungen
Sicherstellung des Datenschutzes
• Die obersten Landesbehörden, die Gemeinden und
Gemeindeverbände sowie die sonstigen der Aufsicht des
Landes unterstehenden juristischen Personen des
öffentlichen Rechts und ihre Vereinigungen haben für
ihren Bereich jeweils die Ausführung der
Rechtsvorschriften über den Datenschutz
sicherzustellen.
W. Kruth / Recht und Organisation
des Datenschutzes
80
Besondere Regelungen
Datengeheimnis
• Den bei der Datenverarbeitung beschäftigten Personen
ist untersagt, personenbezogene Daten unbefugt zu
erheben, zu verarbeiten oder zu nutzen.
• Die infrage kommenden Personen sind auf das
Datengeheimnis zu verpflichten. Dies gilt auch für
Personen, die bei der Auftragsdatenvearbeitung für den
Auftraggeber als Erfüllungsgehilfen tätig werden.
W. Kruth / Recht und Organisation
des Datenschutzes
81
Besondere Regelungen
Technische und organisatorische Massnahmen (1)
• Öffentliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder
nutzen, haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die
Ausführung der Vorschriften der anzuwendenden
Rechtsvorschriften zum Datenschutz sicherzustellen.
• Erforderlich sind Maßahmen nur, wenn ihr Aufwand
in einem angemessenen Verhältnis zum angestrebten
Schutzzweck steht.
W. Kruth / Recht und Organisation
des Datenschutzes
82
Besondere Regelungen
Technische und organisatorische Maßnahmen (2)
• Dabei sind Maßnahmen zu treffen, die geeignet sind zu
gewährleisten, dass die Sicherheitsziele der
– Vertraulichkeit,
– Integrität,
– Verfügbarkeit,
– Authentizität,
– Revisionsfähigkeit und
– Transparenz
erreicht werden.
W. Kruth / Recht und Organisation
des Datenschutzes
83
Besondere Regelungen
Technische und organisatorische Maßnahmen (3)
• Die Maßnahmen sind auf der Grundlage eines
revisionsfähigen Sicherheitskonzeptes zu ermitteln und
zu realisieren.
• Die Anpassung an den technischen Entwicklungsstand
ist jeweils durchzuführen.
W. Kruth / Recht und Organisation
des Datenschutzes
84
Besondere Regelungen
Datenschutzaudit
• Zur Verbesserung des Datenschutzes und der
Datensicherheit können Anbieter von
Informationstechnik und datenverarbeitende Stellen
ihr Datenschutzkonzept sowie ihre technischen
Einrichtungen durch unabhängige und zugelassene
Gutachter prüfen und bewerten lassen.
W. Kruth / Recht und Organisation
des Datenschutzes
85
Besondere Regelungen
Datenschutz bei Videoüberwachung
• Videoüberwachung ist nur zulässig, soweit dies zur
Aufgabenerfüllung oder zur Wahrnehmung des
Hausrechts erforderlich ist und keine Anhaltspunkte
bestehen, dass schutzwürdige Interessen der
betroffenen Personen überwiegen.
• Auf die Videoüberwachung ist hinzuweisen.
• Die Daten sind zu löschen, wenn sie zur Erreichung des
Zweckes nicht mehr erforderlich sind oder
schutzwürdige Belange der Betroffenen
entgegenstehen.
W. Kruth / Recht und Organisation
des Datenschutzes
86
Besondere Regelungen
Mobile personenbezogene Datenverarbeitungssysteme (1)
• Informationstechnische Systeme zum Einsatz in
automatisierten Verfahren, die an die Betroffenen
ausgegeben werden und die über eine von der
ausgebenden Stelle oder Dritten bereit gestellte
Schnittstelle Daten automatisiert austauschen können,
dürfen nur mit Einwilligung der betroffenen Person
nach ihrer vorherigen umfassenden Aufklärung
eingesetzt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
87
Besondere Regelungen
Mobile personenbezogene Datenverarbeitungssysteme (2)
• Für die Betroffenen muss jederzeit erkennbar sein,
- ob und durch wen Datenverarbeitungsvorgänge auf dem
mobilen Datenverarbeitungssystem oder dieses veranlasst
stattfinden,
- welche personenbezogenen Daten der betroffenen Person
verarbeitet werden,
welcher Veränderungsvorgang im Einzelnen abläuft oder
angestoßen wird.
• Die Betroffenen sind über ihre Rechte auf Auskunft
usw. bei der Ausgabe der Geräte aufzuklären.
W. Kruth / Recht und Organisation
des Datenschutzes
88
Recht und Organisation des Datenschutzes
Modul 8
Bereichsspezifischer Datenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
89
Recht und Organisation des Datenschutzes
Bereichsspezifischer Datenschutz
Teil 1: Personaldatenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
90
Bereichsspezifischer Datenschutz
Personaldatenschutz (1)
Allgemeine Rechtsgrundsätze
• Daten von Bewerbern und Beschäftigten dürfen nur
erhoben, gespeichert und verarbeitet werden, wenn
dies
– zur Eingehung, Durchführung, Beendigung oder Abwicklung
des Dienst- oder Arbeitsverhältnisses oder
– zur Durchführung dienstlicher, organisatorischer, personeller
und sozialer Maßnahmen, ibs. auch zu Zwecken der
Personalplanung und des Personaleinsatzes
erforderlich ist.
• Anzuwendende Rechtsvorschriften sind ibs. auch
Tarifverträge und Dienstvereinbarungen.
W. Kruth / Recht und Organisation
des Datenschutzes
91
Bereichsspezifischer Datenschutz
Personaldatenschutz (2)
Datenerhebung beim Bewerber (1)
• Bei der Datenerhebung vom Bewerber sind zu beachten
– Der Grundsatz der Zweckbestimmung des angestrebten
Beschäftigungsverhältnisses,
– Die Interessenabwägung im Rahmen der Zweckbestimmung nach
dem Grundsatz der Verhältnismässigkeit.
• Problemfelder:
– Psychologische Wirkungs- und Erkenntnisgrössen können beim
Bewerber die Abwehr von unzulässigen Fragen beeinträchtigen,
– Sachgerechte und objektive Ermessensentscheidungen sind wg.
Fehlender Sensibilität im Umgang mit personenbezogenen Daten bei
den Entscheidungsträgern nicht durchgängig zu erwarten.
W. Kruth / Recht und Organisation
des Datenschutzes
92
Bereichsspezifischer Datenschutz
Personaldatenschutz (3)
Datenerhebung beim Bewerber (2)
• Medizinische und psychologische Untersuchungen sind
zulässig, soweit dadurch ergänzend zu den allgemeinen
Erhebungen die Eignung des Bewerbers unter dem
Aspekt der Anforderungen der angestrebten Stelle
festgestellt wird.
• Der Personalstelle darf nur das Ergebnis der
Eignungsuntersuchung mitgeteilt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
93
Bereichsspezifischer Datenschutz
Personaldatenschutz (4)
Datenerhebung beim Bewerber (3)
• Bewerberdaten sind zu löschen, wenn die Bewerbung
keinen Erfolg hatte.
• Eine Aufbewahrung für künftige
Personalauswahlverfahren ist nur mit Zustimmung des
Bewerbers zulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
94
Bereichsspezifischer Datenschutz
Personaldatenschutz (5)
Personalaktenführung (§§ 90 a ff BBG)
• Die allgemeine Personalakte (PA) ist gesondert zu
führen und vor unbefugter Einsichtnahme zu schützen.
• Bestandteil der PA sind nur Unterlagen, die mit dem
Dienst- oder Arbeitsverhältnis in unmittelbarem,
inneren Zusammenhang stehen.
• Kindergeldakten und Beihilfeakten sind getrennt von
der allgemeinen Personalakte zu führen.
W. Kruth / Recht und Organisation
des Datenschutzes
95
Bereichsspezifischer Datenschutz
Personaldatenschutz (6)
Automatisierte Dateien
• Bei automatisierter Speicherung von Dateien sind
besondere Maßnahmen zur Zugangs- und
Zugriffskontrolle erforderlich.
• Ergebnisse medizinischer und psychologischer
Untersuchungen dürfen nur gespeichert werden, wenn
dies dem Schutz des Beschäftigten dient.
W. Kruth / Recht und Organisation
des Datenschutzes
96
Bereichsspezifischer Datenschutz
Personaldatenschutz (7)
Speicherung und Verarbeitung von Telefondaten
• Daten über privat geführte Telefongespräche dürfen
nur zum Zwecke der Abrechnung gespeichert und
verarbeitet werden. Die Verarbeitung oder Nutzung für
andere Zwecke ist unzulässig. Die Abrechnung ist
verschlossen zu übermitteln.
• Daten über dienstlich geführte Telefongespräche
dürfen zur Bewertung der Arbeitsergebnisse und zum
Zwecke von Organisationsänderungen ausgewertet
werden.
W. Kruth / Recht und Organisation
des Datenschutzes
97
Bereichsspezifischer Datenschutz
Personaldatenschutz (8)
Personalvertretung (1)
• Die Personalvertretung ist Teil der „speichernden
Stelle“.
• Die Datenverarbeitung der Personalvertretung
unterliegt der Kontrolle durch den behördlichen
Datenschutzbeauftragten.
• Personaldaten dürfen der Personalvertretung nur im
gesetzlich begründeten Fall der Mitwirkung oder
Zustimmung zur Kenntnis gegeben werden. Der
allgemeine Zugriff auf die Personaldaten ist unzulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
98
Bereichsspezifischer Datenschutz
Personaldatenschutz (9)
Personalvertretung (2)
• Das Datenschutzrecht ist ein zugunsten der
Beschäftigten geltendes Recht i.S. des
Personalvertretungsrechtes. Daraus ergeben sich
– die Verpflichtung des Arbeitgebers, die Personalvertretung
umfassend über alle Formen der Verarbeitung von
Personaldaten zu unterrichten,
– die Verpflichtung der Personalvertretung, den Schutzauftrag
zum Persönlichkeitsschutz der Beschäftigten umfassend und
kontinuierlich wahrzunehmen.
W. Kruth / Recht und Organisation
des Datenschutzes
99
Recht und Organisation des Datenschutzes
Bereichsspezifischer Datenschutz
Teil 2: Sozialdatenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
100
Bereichsspezifischer Datenschutz
Sozialdatenschutz (1)
Sozialdaten
• Sozialdaten sind Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person, die im Hinblick auf
die Aufgaben nach dem SGB erhoben, verarbeitet oder
genutzt werden. Betriebs- und Geschäftsgeheimnisse
stehen den personenbezogenen Daten gleich.
W. Kruth / Recht und Organisation
des Datenschutzes
101
Bereichsspezifischer Datenschutz
Sozialdatenschutz (2)
Sozialgeheimnis
• Jeder hat Anspruch darauf, dass ihn betreffende
Sozialdaten von den Leistungsträgern als
Normadressaten als Sozialgeheimnis gewahrt werden.
• Die Erhebung, Verarbeitung, Übermittlung oder
Nutzung von Sozialdaten ist nur unter den besonderen
Voraussetzungen des SGB zulässig.
W. Kruth / Recht und Organisation
des Datenschutzes
102
Bereichsspezifischer Datenschutz
Sozialdatenschutz (3)
Normadressaten des Sozialgeheimnisses
• Zur Beachtung des Sozialgeheimnisses verpflichtet ist
– jede Stelle eines Trägers der öffentlichen Verwaltung, soweit sie
durch Leistung oder Eingriff eine Aufgabe erfüllt, die im SGB
oder einer abgeleiteten Rechtsvorschrift geregelt ist,
– Verbände und Arbeitsgemeinschaften der Leistungsträger als
gleichgestellte Normadressaten,
– nach dem SGB abgeleitete Normadressaten.
W. Kruth / Recht und Organisation
des Datenschutzes
103
Bereichsspezifischer Datenschutz
Sozialdatenschutz (4)
Erhebung von Sozialdaten
• Sozialdaten sind grundsätzlich beim Betroffenen zu
erheben.
• Eine Erhebung ohne Mitwirkung des Betroffenen ist
nur innerhalb des sog. „Sozialdatenpools“ unter
bestimmten Voraussetzungen zulässig.
• Die Erhebung bei anderen Personen oder Stellen ist
nur dann zulässig, wenn dies eine Rechtsvorschrift
ausdrücklich erlaubt oder dies aufgrund der Art der
Erhebung bedingt ist.
W. Kruth / Recht und Organisation
des Datenschutzes
104
Bereichsspezifischer Datenschutz
Sozialdatenschutz (5)
Übermittlung von Sozialdaten (1)
• Die Übermittlung von Sozialdaten ist nur zulässig,
wenn
– der Betroffene schriftlich eingewilligt hat oder
– soweit eine gesetzliche Übermittlungspflicht nach den
Vorschriften des SGB oder einer anderen, aus dem SGB
abgeleiteten Rechtsvorschrift besteht.
W. Kruth / Recht und Organisation
des Datenschutzes
105
Bereichsspezifischer Datenschutz
Sozialdatenschutz (6)
Übermittlung von Sozialdaten (2)
• Zulässige Verfahren zur Übermittlung von Sozialhilfe:
–
–
–
–
–
allgemeine Amtshilfe,
Datenübermittlung in Zusammenhang mit Arbeitsunfähigkeit,
Datenübermittlung für die Erfüllung sozialer Aufgaben,
Datenübermittlung an Prüfinstanzen,
Datenübermittlung für die Durchführung eines
Strafverfahrens,
– Anschriftenübermittlung bei Verletzung der Unterhaltspflicht
und beim Versorgungsausgleich.
W. Kruth / Recht und Organisation
des Datenschutzes
106
Bereichsspezifischer Datenschutz
Sozialdatenschutz (7)
Automatisierte Abrufverfahren
• Automatisierte Abrufverfahren sind nur innerhalb des
Sozialdatenpools zulässig, wenn dies durch das SGB
oder eine abgeleitete Rechtsvorschrift ausdrücklich
erlaubt ist und durch die Aufsichtsbehörden der
beteiligten Stellen genehmigt ist.
W. Kruth / Recht und Organisation
des Datenschutzes
107
Bereichsspezifischer Datenschutz
Sozialdatenschutz (8)
Auftragsdatenverarbeitung
• Bei der Auftragsdatenverarbeitung werden an die Zuverlässigkeit
des Auftragnehmers besonders hohe Anforderungen gestellt.
• Die Auftragserteilung ist nur zulässig, wenn der Datenschutz beim
Auftragnehmer den Anforderungen entspricht, die für den
Auftraggeber bei eigener Datenverarbeitung gelten würden.
• Vor Auftragserteilung ist eine schriftliche Anzeige bei der
Aufsichtsbehörde über den Auftragnehmer sowie Art und Umfang
der Inanspruchnahme erforderlich.
W. Kruth / Recht und Organisation
des Datenschutzes
108
Recht und Organisation des Datenschutzes
Modul 9
Datenschutz beim Einsatz neuer Technologien
W. Kruth / Recht und Organisation
des Datenschutzes
109
Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien
Teil 1: Internet / Intranet und Datenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
110
Datenschutz beim Einsatz neuer Technologien
Internet / Intranet und Datenschutz (1)
World Wide Web-Dienst (WWW) (1)
• Ein WWW-Server stellt eine allgemein zugängliche
Quelle dar und schafft damit den Erlaubnistatbestand
für eine freie Nutzung der Daten.
• Soweit öffentliche Stellen Informationsangebote im
WWW bereitstellen, die u.a. Daten über Beschäftigte
beinhalten sollen, bedarf es einer Einwilligung der
Betroffenen.
W. Kruth / Recht und Organisation
des Datenschutzes
111
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (2)
World Wide Web-Dienst (WWW) (2)
• Soweit öffentliche Stellen das WWW für
Teleantragsverarbeitung nutzen, muss eine gesicherte
Übertragung mit Einsatz kryptografischer Verfahren
und Digitaler Signatur erfolgen.
W. Kruth / Recht und Organisation
des Datenschutzes
112
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (3)
World Wide Web-Dienst (WWW) (3)
• Die öffentlichen Stellen regeln die Zugangs- und
Voraussetzungen für Teleantragsverarbeitung:
– Festlegung der Verfahren und anzuwendenden KryptoMethoden für die gesicherte Übertragung,
– eindeutige und einmalige Referenzierung der
Übermittlungsvorgänge,
– gesicherte Ende-zu-Ende-Übertragung mit Verschlüsselung
und digitaler Signatur,
– Erzeugung nicht manipulierbarer Kopien der übermittelten
Daten beim Absender und Empfänger.
W. Kruth / Recht und Organisation
des Datenschutzes
113
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (4)
E-Mail (1)
• Mailboxen sind rechtlich zunächst als Massenmedien
zu betrachten, da sie insgesamt oder in Teilabereichen
adressierbar sind.
• Die Anwendung der Rundfunkgesetze auf den Betrieb
von Mailboxen ist zu verneinen, da bei Mailboxen
immer nur eine begrenzte Zahl von Benutzern in
Betracht kommt.
W. Kruth / Recht und Organisation
des Datenschutzes
114
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (5)
E-Mail (2)
• Für den Betreiber von Mailboxsystemen ergeben sich
aus rechtlicher Sicht bestimmte Anforderungen:
– Jedes Angebot muss den Anbieter erkenntlich machen und
Teilnehmern den Abruf von Namen und Anschrift
ermöglichen,
– Der Anbieter hat eine besondere Sorgfaltspflicht im Hinblick
auf wahrheitsgetreue und sachliche Nachrichten,
– Die Verbindungsdaten sind unmittelbar nach Beendigung der
Verbindung zu löschen, soweit sie nicht für
Abrechnungszwecke benötigt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
115
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (6)
E-Mail (3)
• Beim Versand personenbezogener Daten mittels E-Mail
werden diese u.Ust. in Kommunikationssystemen, die
Gateway- und Router-Funktionen übernehmen,
zwischengespeichert.
• Der Versand von E-Mails unterliegt dem
Fernmeldegeheimnis.
• Das Briefgeheimnis findet auf private E-Mails
Anwendung, soweit diese ausdrücklich zugelassen sind.
W. Kruth / Recht und Organisation
des Datenschutzes
116
Datenschutz beim Einsatz neuer Technologien
Internet und Datenschutz (7)
E-Mail (4)
• Personenbezogene Daten dürfen mittels E-Mail nur in
verschlüsselter Form und mit digitaler Signatur
übermittelt werden.
• Grundsätzlich ist eine Ende-zu-Ende-Verschlüsselung
mit entsprechenden Signaturverfahren anzustreben,
soweit hierdurch übergeordnete Sicherheitsbedürfnisse
der öffentlichen Stelle nicht beeinträchtigt werden.
W. Kruth / Recht und Organisation
des Datenschutzes
117
Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien
Teil 2: Datenschutz bei Telearbeit
W. Kruth / Recht und Organisation
des Datenschutzes
118
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (1)
Definition Telearbeit
• Telearbeit ist dezentrale, informations- und
kommunikationsgestützte Arbeit, die üblicherweise in
einem Büro erbracht wird.
W. Kruth / Recht und Organisation
des Datenschutzes
119
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (2)
Formen der Telearbeit
•
•
•
•
•
Tele-Heimarbeit
Alternierende Telearbeit
Satellitenbüro
Nachbarschafts-Büro
Tele-Haus
W. Kruth / Recht und Organisation
des Datenschutzes
120
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (3)
Problemfelder der Telearbeit
•
•
•
•
•
Verarbeitung von Kundendaten
Verarbeitung von Personaldaten
Rechnersysteme in privaten Räumlichkeiten
Daten im Zugriffsbereich Dritter
Gefahr des unberechtigten Netzzugangs
W. Kruth / Recht und Organisation
des Datenschutzes
121
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (4)
Datenschutzrechtliche Rahmenbedingungen (1)
• Allgemeines Datenschutzrecht:
– Die Zulässigkeit der Telearbeit ist in Abhängigkeit von der
Empfindlichkeit der personenbezogenen Daten zu bewerten,
i.d.R. bedarf es der Einwilligung des Betroffenen,
– es sind angemessene, technische und organisatorische
Maßnahmen zur Sicherstellung des Datenschutzes zu treffen,
ibs. Zur Zugangs- und Zugriffssicherung. Der Grundsatz der
Zweck-Mittel-Relation muss den besonderen Anforderungen
entsprechend angewendet werden.
W. Kruth / Recht und Organisation
des Datenschutzes
122
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (5)
Datenschutzrechtliche Rahmenbedingungen (2)
• Aus datenschutzrechtlicher Sicht sind ibs. Maßnahmen
zur Gewährleistung der
– Vertraulichkeit (Gefahr der unbefugten Einsichtnahme /
Erschließung von Daten am Telearbeitsplatz) und
– Gefährdung der Integrität (Gefahr der unbefugten,
unbemerkten Veränderung von Daten am Telearbeitsplatz)
zu treffen.
W. Kruth / Recht und Organisation
des Datenschutzes
123
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (6)
Datenschutzrechtliche Rahmenbedingungen (3)
• Kontrollfunktion des behördlichen
Datenschutzbeauftragten bei häuslicher Teleheimarbeit
eingeschränkt, da die Räumlichkeiten des
Teleheimbüros unter den Schutzbereich Art. 13 GG
fallen.
• Bei mobiler Teleheimarbeit (Fahrzeug, Hotelzimmer)
muss zwischen Geschäftsraum und Privatbereich
unterschieden werden.
W. Kruth / Recht und Organisation
des Datenschutzes
124
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (7)
Datenschutzrechtliche Rahmenbedingungen (4)
• Mitwirkung / Mitbestimmung der Personalvertretung:
– Einführung und Anwendung von technischen Einrichtungen,
die dazu bestimmt sind, das Verhalten oder die Leistung der
Arbeitnehmer zu überwachen, dies gilt ibs. bei der
Teleheimarbeit.
• Bei Telearbeit ist eine Betriebsvereinbarung, die auch
die datenschutzrechtlichen Probleme abdeckt,
erforderlich.
W. Kruth / Recht und Organisation
des Datenschutzes
125
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (8)
Datenschutzrechtliche Rahmenbedingungen (5)
• Zugangskontrolle:
– Eignung der privaten Räumlichkeiten durch Begehung /
Kontrolle anhand Anforderungskatalog überprüfen,
– nachweisliche Belehrung des Telearbeiters mit Hinweis auf
Verantwortung für den Zugangsschutz,
– bei Arbeitsunterbrechungen Beendigung des Systemdialages
bzw. der Kommunikationsverbindung zum entfernten
Rechner.
W. Kruth / Recht und Organisation
des Datenschutzes
126
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (9)
Datenschutzrechtliche Rahmenbedingungen (6)
• Zugriffskontrolle:
– Entfernte Administration des Telesystems mit Überprüfung
der Datenbestände auf Vollständigkeit und Integrität,
– lokaler Zugriff auf verschlüsselte Datenbestände,
– entfernter Zugriff auf Protokolldateien und das System bei
Störungen.
W. Kruth / Recht und Organisation
des Datenschutzes
127
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Telearbeit (10)
Datenschutzrechtliche Rahmenbedingungen (7)
• Übermittlungskontrolle:
– Übermittlung der Daten ausschließlich in verschlüsselter
Form, ggfls. mit zusätzlicher Absicherung durch digitale
Signatur.
W. Kruth / Recht und Organisation
des Datenschutzes
128
Recht und Organisation des Datenschutzes
Datenschutz beim Einsatz neuer Technologien
Teil 3: Datenschutz beim Betrieb von
Telekommunikationsanlagen
W. Kruth / Recht und Organisation
des Datenschutzes
129
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Einsatz von
Telekommunikationsanlagen (1)
• Der Betrieb von Telekommunikationsanlagen unterliegt
den Schutzvorschriften des
Telekommunikationsgesetzes, soweit diese für private
Zwecke ausdrücklich verfügbar gemacht werden.
• Bei privater Nutzung unterliegen alle Beschäftigten, die
für den Betrieb der Telekommunikationsanlagen
verantwortlich sind, dem Fernmeldegeheimnis.
W. Kruth / Recht und Organisation
des Datenschutzes
130
Datenschutz beim Einsatz neuer Technologien
Datenschutz bei Einsatz von
Telekommunikationsanlagen (2)
• Die bei der Nutzung von Telekommunikationsanlagen
(Fernsprechen, Faxen) entstehenden Verbindungsdaten
– dürfen Nur für Abrechnungszwecke verwendet werden,
– dürfen von den Zugriffsberechtigten nicht für andere Zwecke
verwendet werden,
– sind anderen Beschäftigten oder Stellen nicht zugänglich zu machen,
– sind sofort nach Abrechnung, spätestens jedoch nach bestimmten
Verfallsfristen zu löschen.
• Voraussetzungen und Rahmenbedingungen der privaten Nutzung
sind in einer Betriebsvereinbarung zu regeln.
W. Kruth / Recht und Organisation
des Datenschutzes
131
Recht und Organisation des Datenschutzes
Modul 10
Interner Datenschutzbeauftragter
W. Kruth / Recht und Organisation
des Datenschutzes
132
Datenschutzbeauftragter
Bestellung
• Öffentliche Stellen, die personenbezogene Daten
verarbeiten, haben einen internen Beauftragten für den
Datenschutz sowie einen Vertreter zu bestellen.
• Mehrere Stellen können gemeinsam einen Beauftragten
für den Datenschutz bestellen, wenn hierdurch die
Erfüllung seiner Aufgabe nicht beeinträchtigt wird.
W. Kruth / Recht und Organisation
des Datenschutzes
133
Datenschutzbeauftragter
Qualifikation
• Sachkunde
• Zuverlässigkeit
W. Kruth / Recht und Organisation
des Datenschutzes
134
Datenschutzbeauftragter
Anforderungsprofil
•
•
•
•
Juristische Kenntnisse
Unternehmenskenntnisse
Betriebswirtschaftliche Kenntnisse
IT-Kenntnisse
W. Kruth / Recht und Organisation
des Datenschutzes
135
Datenschutzbeauftragter
Anforderungsprofil: Unternehmenskenntnisse
• Formale Strukturen
• Informale Strukturen
• Institutionstypische Gegebenheiten
W. Kruth / Recht und Organisation
des Datenschutzes
136
Datenschutzbeauftragter
Anforderungsprofil: Betriebswirtschaftliche Kenntnisse
• Allgemeine Betriebswirtschaftslehre
– Organisationslehre
– Unternehmensführung
• Spezielle Betriebswirtschaftslehre
– Planung und Kontrolle
– Personalwesen
W. Kruth / Recht und Organisation
des Datenschutzes
137
Datenschutzbeauftragter
Anforderungsprofil: IT-Kenntnisse
• Allgemeine technische Kenntnisse
– Basisarchitekturen von IT-Systemen und Netzwerken
– Methoden und Techniken der Ein- / Ausgabe, Speicherung und
Verarbeitung
• Kenntnisse Systemsoftware
– Betriebsarten, Bedieneroberflächen
– Prinzipien und Modelle der Softwareentwicklung
• Kenntnisse Anwendungssoftware
– Strukturen Standard- / Individualsoftware
– Datenbankanwendungen
W. Kruth / Recht und Organisation
des Datenschutzes
138
Datenschutzbeauftragter
Rechtsstellung
•
•
•
•
Direktunterstellung Behördenleitung
Keinen Weisungen unterworfen
Benachteilungsverbot
Widerruf der Bestellung bei Bestellungspflicht nur
nach § 626 BGB
• Schweigerecht (-pflicht) über die Identität Betroffener
(kein Zeugnisverweigerungsrecht)
W. Kruth / Recht und Organisation
des Datenschutzes
139
Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (1)
• Allgemeine Unterstützung
• Bereitstellung von Hilfspersonal, Einrichtungen,
Geräten und Mitteln
W. Kruth / Recht und Organisation
des Datenschutzes
140
Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (2)
• Bereitstellung von Übersichten:
– IT-Infrastruktur
– Verfahrensverzeichnis
W. Kruth / Recht und Organisation
des Datenschutzes
141
Datenschutzbeauftragter
Unterstützung durch die speichernde Stelle (3)
• Das Verfahrensverzeichnis beinhaltet
– Name und Anschrift der datenverarbeitenden Stelle,
– die Zweckbestimmung und Rechtsgrundlage der
Datenverarbeitung,
– die Art der gespeicherten Daten und den Kreis der
Betroffenen,
– die zugriffsberechtigten Personen oder Personengruppen,
– die Beschreibung der eingesetzten IT-Infrastruktur sowie der
technischen und organisatorischen Massnahmen,
– die Adressaten und Verfahren der Datenübermittlung.
W. Kruth / Recht und Organisation
des Datenschutzes
142
Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (1)
• Das LDSG verpflichtet die öffentliche Stellen, den
internen Datenschutzbeauftragten bei der Planung
bzw. Änderung von Verfahren zur Verarbeitung
personenbezogener Daten sowie bei der Erarbeitung
interner Regelungen zum Datenschutz frühzeitig zu
beteiligen.
W. Kruth / Recht und Organisation
des Datenschutzes
143
Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (2)
• Planung und Aufbau der Datenschutzorganisation
• Überprüfung der Einhaltung von Rechtsvorschriften
zum Datenschutz und Organisationsregelungen
• Schulung und Information von Führungskräften und
Mitarbeitern
W. Kruth / Recht und Organisation
des Datenschutzes
144
Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (3)
•
•
•
•
Prüfung von Zulässigkeitsvoraussetzungen
Sicherstellung der Rechte des Betroffenen
Beratung bei der Erstellung von Verträgen
Beratung bei Planung und Realisierung von
technischen und organisatorischen Maßnahmen zur
Herstellung der IT-Sicherheit
W. Kruth / Recht und Organisation
des Datenschutzes
145
Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten (4)
• Beratung bei der Einstellung von Mitarbeitern, die in
Bereichen der Informationstechnik eingesetzt werden
• Beratung von Betroffenen, die sich unmittelbar an ihn
wenden
W. Kruth / Recht und Organisation
des Datenschutzes
146
Datenschutzbeauftragter
Datenschutzzielsystem
• Kriterien für eine Datenschutzpolitik und –
zielsetzungen
–
–
–
–
Datenschutzbewusstsein
Datenschutz als Bestandteil der Unternehmenspolitik
Fortentwicklung der Fachkunde des Datenschutzbeauftragten
Zeit- und Kostenbudget für den Datenschutzbeauftragten
W. Kruth / Recht und Organisation
des Datenschutzes
147
Datenschutzbeauftragter
Mindestanforderungen an ein Regelungssystem
• Allgemeine Datenschutzrichtlinie
• Datenschutzspezifische Inhalte der Richtlinien für die
Beschaffung von Informationstechnik,
Wartungsarbeiten, IT-Outsourcing
• Organisation der Zutritts-, Zugangs- und
Zugriffsrechte mit Bewertung von geeigneten
Kontrollmechanismen und –funktionn
• Besondere Richtlinien für Internet- und E-MailZugang und -nutzung
W. Kruth / Recht und Organisation
des Datenschutzes
148
Datenschutzbeauftragter
Ziele Datenschutzrichtlinie
• Zusammenfassung der datenschutzbezogenen
organisatorischen Regelungen
• Einarbeitungshilfe für neue Mitarbeiter
• Entscheidungsgrundlage und –hilfe in
Datenschutzfragen
W. Kruth / Recht und Organisation
des Datenschutzes
149
Datenschutzbeauftragter
Struktur der Datenschutzrichtlinie
•
•
•
•
•
Übergeordnete Regelungen
Aufbauorganisatorische Regelungen
Ablauforganisatorische Regelungen
Bereichsspezifische Regelungen
Formale Regelungen
W. Kruth / Recht und Organisation
des Datenschutzes
150
Datenschutzbeauftragter
• Zusammenarbeit mit Personalvertretung
• Datenschutzrecht ist ein sog. Schutzrecht, dessen
Einhaltung von der Personalvertretung i.S. des
Personaldatenschutzes zu kontrollieren ist
• Offene und vertrauensvolle Zusammenarbeit zwischen
Datenschutzbeauftragtem und Personalvertretung ist
Voraussetzung für wirksamen Personaldatenschutz
W. Kruth / Recht und Organisation
des Datenschutzes
151