Transcript Empfehlung einer Strategie - Datenschutz der evangelischen

Datenschutz-Schulung
Orientierungsplan betriebliche
Datenschutzbeauftragte
1 Vorwort
Liebe Mitarbeiterinnen, liebe Mitarbeiter,
dieses Datenschutz-Schulungsprogramm soll Ihnen mehr Sicherheit im
Umgang mit personenbezogenen Daten geben.
Datenschutz ist nicht einfach zu verstehen. Sehr wahrscheinlich werden
sich in Ihrem Alltag weitere Fragen zum Umgang mit
personenbezogenen Daten ergeben.
Stuttgart, im Oktober 2010
Dr. Axel Gutenkunst,
Datenschutzbeauftragter der
Landeskirche und Diakonie
Württemberg
2. Grundbegriffe
2.1 Was ist Datenschutz heute?
Was meinen Sie, was ist Datenschutz?
Nehmen Sie sich etwas Zeit und versuchen Sie,
sich über folgendes klar zu werden:
Wer oder was wird geschützt?
Um welche Daten geht es?
Wer soll bestimmen, wie mit Daten umzugehen
ist?
2. Grundbegriffe
2.2 Persönlichkeitsrechte
Geschützt werden sollen die Persönlichkeitsrechte der Personen, deren
Daten verarbeitet werden sollen.
Die Persönlichkeitsrechte gehören zu den höchsten vom Grundgesetz
geschützten Werten:
Die Würde des Menschen ist unantastbar. Sie zu achten und zu
schützen ist die Verpflichtung aller staatlichen Gewalt. (Artikel 1 Abs. 1
Grundgesetz)
Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er
nicht die Rechte anderer verletzt und nicht gegen die
verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Artikel 2
Abs. 1 GG)
Daraus hat das Bundesverfassungsgericht das Recht des Einzelnen
abgeleitet, selbst für die Verwendung seiner Daten zu bestimmen.
2. Grundbegriffe
2.3 Personenbezogene Daten
Es geht beim Datenschutz um Daten, die sich auf
Personen beziehen oder auf Personen beziehbar sind.
Zu den personenbezogenen Daten zählen alle!
persönlichen und sachlichen Verhältnisse einer Person,
also auch Meinungsäußerungen, Tonträgeraufnahmen,
Bilder ...
"'Harmlose"' oder "'freie"' Daten gibt es nicht. Sobald
sie personenbezogen sind, greift vollumfänglich der
Datenschutz.
2. Grundbegriffe
2.3 Personenbezogene Daten
Es gibt allerdings besonders geschützte
Daten (§ 2 Abs. 11 DSG-EKD), dazu gehören
Daten zur Gesundheit, zum Sexualleben, zur
Gewerkschaftszugehörigkeit, zu politischen,
religiösen oder philosophischen Überzeugung
und zur rassischen oder ethnischen Herkunft.
Für Verstorbene gilt der Datenschutz nicht,
da er sich aus dem Persönlichkeitsrecht
ableitet, das nur lebende Personen haben.
Allerdings können Daten Verstorbener auch
persönliche und sachliche Verhältnisse von
Nachkommen betreffen, hier ist dann Vorsicht
geboten.
2. Grundbegriffe
2. 4 Das Interesse der Allgemeinheit geht vor!
Wäre unser Staat völlig auf die freiwillige Mitwirkung aller angewiesen
(Steuererklärung, Alkoholkontrolle) würde er mehr funktionieren.
Der Gesetzgeber (und nur dieser!) kann deshalb im Interesse der
Allgemeinheit Gesetze erlassen, die dem Selbstbestimmungsrecht des
Einzelnen vorgehen.
Diese Gesetze müssen bestimmten Anforderungen genügen (Normenklarheit,
Erforderlichkeit, Verhältnismäßigkeit, ...), sonst werden sie vom
Bundesverfassungsgericht kassiert (was gelegentlich vorkommt).
In der Konsequenz bedeutet dies, dass personenbezogene Daten nur
verarbeitet werden, wenn es dafür ein Gesetz gibt oder wenn eine
Einwilligung der betroffenen Person vorliegt.
Noch prägnanter formuliert: Was nicht ausdrücklich erlaubt ist, ist
verboten!
2. Grundbegriffe
2.5 Zweckbindungsgrundsatz
Daten dürfen nur für bestimmte Zwecke erhoben, verarbeitet und genutzt
werden. An diese Zwecke bleiben sie gebunden!
Dies bedeutet:
➲
➲
➲
Daten dürfen nicht auf Vorrat erhoben werden, etwa in der Erwartung, sie
später einmal gebrauchen zu können.
Sofern eine Einwilligung benötigt wird, ist eine solche erneut einzuholen,
wenn vorhandene Daten für einen anderen Zweck verwendet werden
sollen.
Die Datenschutzgesetze selbst lassen bestimmte Zweckänderungen zu (§
5 DSG-EKD). Ob diese Bestimmungen zutreffend sind, ist sorgfältig zu
prüfen.
2. Grundbegriffe
2.6 Datenverarbeitende Stellen
Adressat der Datenschutzbestimmungen sind Stellen!
Der Gesetzgeber sieht das Persönlichkeitsrecht der Betroffenen gefährdet,
würden Stellen nach Belieben Daten untereinander austauschen. Solche
Datenübermittlungen zwischen Stellen sind nur aufgrund einer
Rechtsgrundlage oder mit Einwilligung der Betroffenen zulässig. Stellen
sollen ihre Daten gegeneinander abschotten.
Auch innerhalb von Stellen ist die Funktionstrennung zu beachten. So darf
eine Personalabteilung Daten von Mitarbeitern nur dann an eine andere
Abteilung weitergeben, wenn dies zur Erfüllung bestimmter Aufgaben
erforderlich ist.
2. Grundbegriffe
2.6 Datenverarbeitende Stellen
Neben der "'vertikalen Gewaltenteilung"' zwischen Stellen gilt innerhalb einer
Stelle auch die "'horizontale Gewaltenteilung"'.
So haben z.B. mit Grundsatzentscheidungen befasste Führungskräfte nicht
das Recht, ständig in Personaldaten Einblick nehmen zu können, es sei denn,
dies ist im Rahmen konkreter Vorgänge erforderlich.
Sofern eine Stelle im Auftrag Daten verarbeiten lässt, ist die Datenweitergabe
an den Auftragnehmer keine Übermittlung.
Allerdings muss ein Vertragsverhältnis bestehen, das bestimmten
Anforderungen genügen muss (§ 11 DSG-EKD).
2. Grundbegriffe
2.7 Verantwortung
Verantwortlich gegenüber den Betroffenen für den
rechtmäßigen Umgang mit personenbezogenen Daten ist
die Stellenleitung und nicht etwa der betriebliche
Datenschutzbeauftragte. Dies ergibt sich schon dadurch,
das Letzterer keine Weisungsbefugnis hat.
Die Verantwortung des/der betrieblichen
Datenschutzbeauftragten liegt darin,

die Stellenleitung darauf hinzuweisen, welche Pflichten
sie hat,



die Stellenleitung mit seiner/ihrer Sachkunde zu beraten
und in der Umsetzung der Datenschutzbestimmungen zu
unterstützen,
die Mitarbeiterinnen und Mitarbeiter zu schulen,
die Verfahren, mit denen personenbezogene Daten
verarbeitet werden, zu überwachen.
2. Grundbegriffe
2.7 Verantwortung
Wichtig:
Nur wenn die Stellenleitung dafür sorgt, dass
die Mitarbeiterschaft auf die Wahrung des
Datengeheimnisses (§ 5 DSG-EKD) verpflichtet
und geschult wird, kann sie Mitarbeiterinnen
und Mitarbeiter, die Datenschutzverstöße
begehen, zur Rechenschaft ziehen.
Ansonsten ist sie nicht nur unter Umständen
gegenüber dem Betroffenen
schadensersatzpflichtig, sondern kann zusätzlich
dafür beanstandet werden, keine ausreichenden
Maßnahmen zur Beachtung der
Datenschutzbestimmungen getroffen zu haben.
2. Grundbegriffe
2.8 Transparentzgebot
Das Bundesverfassungsgericht führt in seinem
Volkszählungsurteil aus:
Wer nicht mit hinreichender Sicherheit
überschauen kann, welche ihn betreffenden
Informationen in bestimmten Bereichen seiner
sozialen Umwelt bekannt sind, und wer das
Wissen möglicher Kommunikationspartner nicht
einigermaßen abzuschätzen vermag, kann in
seiner Freiheit wesentlich gehemmt werden, aus
eigener Selbstbestimmung zu planen oder zu
entscheiden. Mit dem Recht auf informationelle
Selbstbestimmung wären eine
Gesellschaftsordnung und eine diese
ermöglichende Rechtsordnung nicht vereinbar,
in der Bürger nicht mehr wissen können,
2. Grundbegriffe
2.8 Transparentzgebot
...
Wer unsicher ist, ob abweichende
Verhaltensweisen jederzeit notiert und als
Information dauerhaft gespeichert, verwendet
oder weitergegeben werden, wird versuchen,
nicht durch solche Verhaltensweisen
aufzufallen.
Hat man diesen Satz verstanden, hat man
den Datenschutz verstanden.
Die in den nächsten Kapiteln enthaltenen
Erläuterungen zu Rechten und Pflichten, zu
Kontrollen und zur Datensicherheit dienen
letztlich dazu, genau diese Entwicklung zu
verhindern, weil sie mit einer demokratisch
verfassten Gesellschaft nicht vereinbar ist.
3. Rechte und Pflichten
3.1 Recht auf Auskunft
Betroffene haben gegenüber den datenverarbeitenden Stellen
Rechte. Ein zentrales Recht ist das Recht auf Auskunft. Auf
Verlangen ist ihnen Auskunft zu erteilen über

alle gespeicherte Daten (Akten, IT),

den Zweck der Speicherung,


Stellen (oder Stellenkategorien), an die Daten übermittelt
wurden oder werden,
die Herkunft der Daten.
Ferner gilt:
3. Rechte und Pflichten
3.1 Recht auf Auskunft
➲
➲
➲
➲
Das Recht auf Auskunft kann nicht durch ein
Rechtsgeschäft ausgeschlossen oder beschränkt
werden,
die Auskunft ist unentgeltlich, aber
die Form der Auskunftserteilung bestimmt die
Stelle, und
bei Akten muss die anfragende Person Angaben
machen, die das Auffinden ermöglichen.
Bitte beachten Sie:
Auch Sie haben diese Rechte gegenüber den Stellen,
die Ihre Daten verarbeiten!
3. Rechte und Pflichten
3.2 Weitere Rechte der Betroffenen
Betroffenen stehen ferner folgende Informationsmöglichkeiten
offen:
➲
➲
➲
➲
Recht auf Benachrichtigung über die Datenerhebung
(welche Stelle erhebt zu welchem Zweck welche Daten),
Recht auf Berichtigung, Sperrung oder Löschung
(gesperrte Daten müssen als solche gekennzeichnet
werden, sie müssen den normalen Verarbeitungsprozessen
entzogen sein),
Anspruch auf Schadensersatz (Beweislastumkehr!),
Anspruch auf Anrufung der Datenschutzkontrollinstanz.
3. Rechte und Pflichten
3.2 Weitere Rechte der Betroffenen
Mit Blick auf den Schadensersatz ist folgendes zu beachten:
➲
➲
➲
➲
➲
Er greift bei einer unzulässigen oder unrichtigen Datenverarbeitung.
Werden Daten staatlicher Stellen (z.B. Sozialleistungsträgern!) verwendet,
ist die Haftung verschuldensunabhängig.
Im Streitfall muss die Stelle beweisen, dass sie zuässig und richtig
verarbeitet hat.
Der Höchstbetrag liegt bei 250.000 Euro für Verletzungen der
Persönlichkeitsrechte.
Die allgemeine Haftung nach dem bürgerlichen Gesetz kann
hinzukommen.
3. Rechte und Pflichten
3.3 Recht am eigenen Wort und Bild
Eine weiteres Recht, das ebenfalls aus dem
Persönlichkeitsrecht resultiert, ist das Recht am
gesprochenen Wort.
Das Selbstbestimmungsrecht eines jeden Menschen
hinsichtlich der eigenen Darstellung der Person in der
Kommunikation mit anderen findet seinen Ausdruck in
der Befugnis des Menschen, selbst und allein zu
entscheiden, ob sein Wort auf einen Tonträger
aufgenommen und damit möglicherweise Dritten
zugänglich werden soll.
Eine weitere wichtige Ausprägung des allgemeines
Persönlichkeitsrechts ist das Recht am eigenen Bild.
Nicht nur das Veröffentlichen (Urheberrecht), sondern
bereits das Anfertigen kann verboten sein.
3. Rechte und Pflichten
3.4 Beschäftigtendatenschutz
Wie sich das künftige Beschäftigtendatenschutzgesetz
auf den kirchlichen Bereich auswirkt bleibt abzuwarten.
Bereits jetzt stellt §24 DSG-EKD die Daten von
Beschäftigten unter einen besonderen Schutz:
Die Verwendung ist strikt auf die Umstände des
Beschäftigungsverhältnisses, dazu gehören auch
organisatorische Aspekte, beschränkt.
Für eine Übermittlung muss die empfangende Stelle ein
überwiegendes rechtliches Interesse darlegen.
Eine Veröffentlichung im Internet muss durch Art oder
Zielsetzung der Aufgaben erforderlich (siehe Sonstiges)
sein.
3. Rechte und Pflichten
3.4 Beschäftigtendatenschutz
➲
➲
➲
➲
Die Verwendung medizinischer oder psychologischer
Daten bedarf einer genauen Begründung.
Daten abgelehnter Bewerber dürfen nur mit
Einwilligung gespeichert bleiben.
Nach Ende des Beschäftigungsverhältnisses sind die
Daten zu löschen, wenn sie nicht mehr benötigt
werden.
Soweit Beschäftigtendaten im Rahmen von
Datensicherungen gespeichert werden, darf damit
keine Verhaltens- oder Leistungskontrolle
durchgeführt werden.
Insbesondere Personalinformationssysteme müssen so
gestaltet sein, dass sie diesen Anforderungen gerecht
werden. Dies gilt aber auch für einfache Systeme wie
Telekommunikationsanlagen.
3. Rechte und Pflichten
3.5 Pflichten datenverarbeitender Stellen
Den Rechten der Betroffenen stehen Pflichten der
datenverarbeitenden Stellen gegenüber:
➲
➲
➲
➲
➲
➲
➲
➲
Bestellung eines betrieblichen Datenschutzbeauftragten
Verpichtung der Mitarbeiterschaft auf die Wahrung des
Datengeheimnisses
Erstellung bzw. Meldung einer Verfahrensübersicht
Vertragliche Absicherung einer Datenverarbeitung im
Auftrag
Kontrollpflichten beim Betrieb automatisierter
Abrufverfahren
Aufklärungspflichten bei Datenerhebungen
Benachrichtigungspflichten und Löschpflichten
Treffen technischer und organisatorischer Maßnahmen
Auf zwei der Pflichten wird nachfolgend etwas näher
eingegangen.
3. Rechte und Pflichten
3. 6 Datengeheimnis
Datenverarbeitende Stellen müssen alle Personen, die
Umgang oder Zugang zu personenbezogenen Daten
haben, vor Aufnahme ihrer Tätigkeit auf die Wahrung
des Datengeheimnisses verpflichten.
Zu verpflichten sind unter anderem:
➲
➲
➲
➲
➲
Hauptamtliche
Teilzeitbeschäftigte
Ehrenamtliche
Praktikanten
Azubis
Bei FSJ-lern sind Bestimmungen des
Bundesdatenschutzgesetzes zu beachten.
3. Rechte und Pflichten
3. 6 Datengeheimnis
Es gilt:
➲
➲
➲
➲
Die Verpflichtung ist durch die
Stellenleitung oder Vorgesetzte
vorzunehmen.
Der allgemeine Teil kann durch ein
Formblatt und eine Merkblatt erfolgen.
Im Rahmen der Verpflichtung ist zu
prüfen, ob weitere
Verschwiegenheitspflichten zu beachten
sind (Ärztliche Schweigepflicht,
Fernmeldegeheimnis, Postgeheimnis,
Steuergeheimnis)
Neben dem allgemeinen Teil muss die
Verpflichtung auch auf Besonderheiten
der Tätigkeit eingehen.
3. Rechte und Pflichten
3.7 Verfahrensübersicht (Programmübersicht)
Jede datenverarbeitende Stelle muss eine Übersicht über die von ihr
eingesetzten Verfahren führen.
Im Verfahrensverzeichnis muss die Daten verarbeitende Stelle dokumentieren,
➲ welche personenbezogenen Daten sie
➲ mit Hilfe welcher automatisierter Verfahren
➲ auf welche Weise verarbeitet
➲ und welche Datenschutzmaßnahmen sie dabei getroffen hat.
Das Verfahrenverzeichnis:
ermöglicht einer Stelle, den Überblick über ihre Datenverarbeitung zu
bewahren,
eine effektive Eigenkontrolle durchzuführen,
und verlangte Informationen im Rahmen einer Fremdkontrolle ohne größere
Umstände bereitzustellen.
Wichtig: Das Verfahrensverzeichnis muss auf Anfrage jedermann vorgelegt
werden.
4. Datenschutzkontrolle
4.1 Durchsetzung des Datenschutzes
Das Bundesverfassungsgericht hat nicht nur das
Grundrecht auf Informationelle
Selbstbestimmung postuliert, sondern auch
effektive Maßnahmen verlangt, die dem
Grundrecht Geltung verschaffen. Diese
Maßnahmen sind:
➲
➲
➲
Datenschutzgesetze
Aufsichtsbehörden
Datenschutzbeauftragte
Betriebliche Datenschutzbeauftragte stellen einen
deutschen Sonderweg dar. Statt einer zentralen
Behörde versucht man zu erreichen, dass in
den Institution und Stellen entsprechend
geschulte und mit Rechten versehene Personen
den Schutz der Persönlichkeitsrechte
4. Datenschutzkontrolle
4.2 Struktur der Datenschutzgesetze
Maßgebend in Europa:
➲ European Data Protection Supervisor (EDPS, Richtlinie95/46)
Zuständigkeiten in der Bundesrepublik:
➲ Bundesbehörden, Privatwirtschaft: BDSG
Zusätzlich unterliegen vielen Stellen weiteren
Datenschutzbestimmungen:
➲ Sozialgesetzbuch, z.B. Jugendhilfe
➲ Strafgesetzbuch, z.B. ärztliche Schweigepflicht
➲ aber auch Dienstvereinbarungen
Insbesondere der Umstand, dass Datenschutzgesetze sog.
Auffanggesetze sind, dass bei einem gegebenen Sachverhalt also
immer geprüft werden muss, ob es dazu bereits eine Regelung
gibt, die dann vorrangig anzuwenden ist, macht den Datenschutz
schwer verständlich.
4. Datenschutzkontrolle
4.3 Kirchliches Datenschutzrecht
Die Kirchen haben nach der Verfassung das Recht, ihre eigenen
Angelegenheiten, also auch den Datenschutz, selbst zu regeln.
Sofern die Mitgliedseinrichtungen eines Diakonischen Werks
zugestimmt haben und die betreffende Landeskirche
einverstanden ist, gilt dort kirchliches Datenschutzrecht.
Aber:
Das Selbstbestimmungsrecht bezieht sich nur auf
die Art der Regelung (z.B. betrDSB oder
Zentralstelle), nicht darauf, ob überhaupt.
Ferner:
➲ Sofern die Kirche auch Daten von Nichtmitgliedern verarbeitet,
muss sie ein mit dem Staat vergleichbares Nivau vorweisen.
➲ Soweit die Diakonie Aufgaben für staatliche Stellen wahrnimmt,
sind u.a. auch die Datenschutzbestimmungen des
Sozialgesetzbuchs zu beachten.
Mitarbeiterinnen und Mitarbeiter der Diakonie müssen die staatliche
Schweigepflicht nach § 203 StGB berücksichtigen.
4. Datenschutzkontrolle
4.4 Aufsichtsbehörden
Die Kontrolle des Umgangs mit personenbezogenen Daten obliegt
verschiedenen Aufsichtsbehörden mit unterschiedlichen
Zuständigkeitsbereichen. Hier eine Übersicht:
➲
➲
➲
➲
➲
➲
Europäischer Datenschutzbeauftragter
Bundesdatenschutzbeauftragter und Landesdatenschutzbeauftragte für die
öffentlichen Stellen von Bund und Ländern
Aufsichtsbehörden einzelner Bundesländer für nicht-öffentliche Stellen der
Bundesländer (künftig Zuständigkeit der Landesdatenschutzbeauftragten)
Datenschutzbeauftragte der Landeskirchen (und der Bistümer)
Datenschutzbeauftragte der Diakonischen Werke und des Diakonischen
Werks Deutschland
Datenschutzbeauftragter der EKD für landeskirchen-übergreifende Werke
und Einrichtungen
Es ist letztlich egal, an welchen Datenschutzbeauftragten sich die Petenten
wenden, da die Zuständigkeit geprüft und entsprechend weitergeleitet wird.
4. Datenschutzkontrolle
4.5 Landeskirchliche Datenschutzbeauftragte
Die Datenschutzbeauftragte für die Landeskirchen und Diakonien
im Bereich der Evangelischen Kirche in Deutschland haben
folgende Befugnisse:
➲
➲
➲
➲
➲
➲
➲
Sie sind weisungsunabhängig
Ausreichende Ausstattung mit Sach- und Personalmitteln
Anhörungsrecht bei der Bestellung von Vertretern und
Vertreterinnen
Das Recht, Erhebung, Verarbeitung und Nutzung von Daten
zu überprüfen
Recht auf Auskunft und Einsicht in alle Unterlagen und Akten
und alle gespeicherten Daten
Beanstandungsrecht
Das Recht, Empfehlungen geben und zu beraten
Jede Person kann sich an den Beauftragten für den Datenschutz
wenden. Dieser unterliegt einer Verschwiegenheitspflicht.
4. Datenschutzkontrolle
4.6 Betriebliche Datenschutzbeauftragte
Wenn eine kirchliche Stelle mehr als 6 Personen mit der
Erhebung, Verarbeitung und Nutzung von Daten betraut
sind, muss ein betrieblicher Datenschutzbeauftragter
bestellt werden.
Betriebliche Datenschutzbeauftragte

sind im Rahmen ihrer Tätigkeit weisungsunabhängig,



sie müssen einen direkten Zugang zur Stellenleitung
haben,
Ihnen ist ein ausreichender zeitlicher Rahmen und
ausreichende Sachmittel zur Verfügung zu stellen,
die Vertretung ist zu regeln.
IT-Leiter und Personalleiter sollen nicht zu betrieblichen
Datenschutzbeauftragten bestellt werden.
4. Datenschutzkontrolle
4.6 Betriebliche Datenschutzbeauftragte
Im wesentlichen haben betriebliche
Datenschutzbeauftragte zwei Aufgaben:
➲
➲
Die Datenverarbeitungsprogramme auf die
Einhaltung der Datenschutzbestimmungen zu
überwachen.
Mitarbeiter mit den Bestimmungen über den
Datenschutz, auch bezogen auf die besonderen
Verhältnisse ihres Aufgabenbereiches, vertraut
zu machen.
Anmerkung:
Nach dem Bundesdatenschutzgesetz wäre das
Nichtbestellen eines betrieblichen
Datenschutzbeauftragten ein
Bußgeldtatbestand.
5. Datensicherheit
5.1 Technischer Datenschutz
Es gelten die 8 Gebote des Datenschutzes (§ 9 DSGEKD Anhang):
➲
➲
➲
➲
➲
➲
➲
➲
Zutrittskontrolle
Zugangskontrolle (Authentifizierung)
Zugriffskontrolle (Überwachung des Zugriffs auf
Ressourcen)
Weitergabekontrolle (u.a.
Verschlüsselungsverordnung)
Eingabekontrolle (Protokollierung)
Auftragskontrolle (Datenverarbeitung im Auftrag,
Privat-PC)
Verfügbarkeitskontrolle (Datensicherheit)
Zweckseparierung
Anmerkung:
Für Schäden infolge fehlerhafter EDV-Verfahren haftet
die datenverarbeitende Stelle bis 250.000 Euro.
5. Datensicherheit
5.2 Zugangs- und Zugriffskontrolle
Typischerweise erfolgt die Zugangskontrolle mittels
eines Berechtigungssystems auf Betriebssystemebene.
Dabei sollte die Vergabe von Berechtigungen durch
die IT nur auf der Basis schriftlicher Anträge
zuständiger Führungskräfte erfolgen.
Die Zugriffskontrolle kann auch über eine
Verschlüsselung von Daten realisiert werden. Hier
sind die Vorgaben der Dienststellenleitung zu
beachten. So dürfte bei dienstlichen Notebooks in
aller Regel eine Festplatten-Verschlüsselung
vorhanden sein.
Da nie ausgeschlossen werden kann, dass Kennwörter
vergessen werden, wird für Verschlüsselungen
typischerweise ein zentrales Verfahren eingesetzt, um
so den Zugang zu diesen Daten wieder möglich zu
machen.
5. Datensicherheit
5.2 Zugangs- und Zugriffskontrolle
Neben der Verschlüsselung von Notebooks kann es
weitere Schutzmaßnahmen geben, so kann beispielsweise
geregelt sein, dass zur lokalen Speicherung von Daten
nur verschlüsselte USB-Sticks oder besonders
gekennzeichnete Datenträger der Dienststelle verwendet
werden dürfen.
In bestimmten Fällen (z.B. § 203 StGB, sonstige
Geheimnisträger), ist u.U. eine Kombination von
Berechtigungssystem und Verschlüsselung erforderlich.
Letztlich geht es darum, den Stand zu erreichen, dass
sich bei einem Verlust von EDV-Geräten oder
Datenträgern der Schaden auf deren materiellen Wert
beschränkt, jedoch keine Daten an Unbefugte gelangen.
5. Datensicherheit
5.3 Passwörter
Immer wieder kann festgestellt werden, dass selbst an dienstlichen PC
Trivialkennwörter verwendet werden. Brauchbare Methoden, Passwörter zu
finden, sind beispielsweise:
LAUSDENIKO
KindChrist34
LolliPopp$
INxE$org
GUTES94Year
Auch der Systemadministrator darf Passworte nicht wissen. Werden sie
vergessen, kann er aber ein Initialkennwort vergeben, das vom Benutzer
unverzüglich in ein nur ihm bekanntes zu ändern ist.
Letztlich geht es darum, den Stand zu erreichen, dass sich bei einem Verlust
von EDV-Geräten oder Datenträgern der Schaden auf deren materiellen
Wert beschränkt, jedoch keine Daten an Unbefugte gelangen.
5. Datensicherheit
5.3 Passwörter
Eine Weitergabe von Kennworten etwa an Vertretungen stellt einen
Datenschutzverstoß dar. Vertretungsfällen muss vielmehr durch die
zeitweilige Erteilung der benötigten Berechtigungen Rechnung getragen
werden. Gibt ein Benutzer sein Kennwort weiter, muss er unter Umständen
damit rechnen, dass im System unter seinem Namen Aktivitäten
protokolliert werden, die ihm dann in belastender Weise zugerechnet
werden.
Weitere Schutzmaßnahmen in diesem Zusammenhang sind:
Automatischer Bildschirmschoner mit Passworteingabe nach höchstens 10
Minuten Untätigkeit/Abwesenheit.
Vom System erzwungene Wechsel und Mindestlängen von Passwörtern bzw.
die erzwungene Verwendung von Sonderzeichen und Zahlen.
Letztlich geht es darum, den Stand zu erreichen, dass sich bei einem Verlust
von EDV-Geräten oder Datenträgern der Schaden auf deren materiellen
Wert beschränkt, jedoch keine Daten an Unbefugte gelangen.
5. Datensicherheit
5.4 Internetzugänge
Die Sicherheit des Internetzugangs ist in aller Regel systemseitig nach dem
Stand der Technik zu gewährleisten.
Wenn eine Mitarbeiterin oder ein Mitarbeiter einer Einrichtung eine
Internetseite aufruft, wird auf dem betreffenden Server notiert, welche sog.
IP-Adresse die Seite aufgerufen hat. Anhand der IP-Adresse kann
festgestellt werden, welche Einrichtung bzw. Institution bzw. Firma bzw.
Privatperson es war. Durch eine Verknüpfung mit Protokolldaten der
betreffenden Einrichtung kann u.U. auch festgestellt werden, von welchem
PC aus die Seite aufgerufen wurde.
Eine Einrichtung, die ihren Mitarbeitern erlaubt, Internetseiten aufzurufen,
bringt diesen das Vertrauen entgegen, dass nur seriöse Webseiten aufgerufen
werden, also Seiten, wo der Ruf der Einrichtung keinen Schaden nähme,
würde dort eine Liste aller aufrufenden IP-Adressen veröffentlicht. Kommen
hier Zweifel auf, hat die Einrichtung letztlich nur die Alternative, die
Internetzugänge zu sperren oder Aufrufe zu protokollieren.
5. Datensicherheit
5.4 Internetzugänge
Kommt es aus solchen oder anderen Gründen zu
Protokollierungen von Internetaufrufen, müssen
die Mitarbeiterinnen und Mitarbeiter darüber und
über den Umfang der Protokollierung informiert
werden. Die Vorgehensweise ist mit dem
betrieblichen Datenschutzbeauftragten und der
Mitarbeitervertretung abzusprechen.
Eine intensivere Nutzung des Internets geht
oftmals mit dem Entstehen einer Sammlung
besonders relevanter Seiten bei den jeweiligen
Mitarbeiterinnen und Mitarbeitern einher
(Favoriten, Lesezeichen). Eine solche gewachsene
Sammlung kann eine wichtige Arbeitshilfe
darstellen. Die Datensicherung dieser Sammlung
sollte gewährleistet sein.
5. Datensicherheit
5.5 E-Mails
Eine Einrichtung kann, muss aber nicht, die private Nutzung
von E-Mails erlauben. Wird sie erlaubt, ist das
Fernmeldegeheimnis zu beachten.
Die Nutzung sollte dann in einer Dienstanweisung (in
Absprache mit der Mitarbeitervertretung) geregelt sein.
Wird in unvorhergesehenen Vertretungsfällen anderen
Personen Zugriff auf den E-Mail-Account gewährt, muss dies
systemseitig durch Erteilen von Berechtigungen erfolgen,
keinesfalls durch die Mitteilung von Passwörtern. Ggf. ist der
Mitarbeitervertretung und dem betrieblichen
Datenschutzbeauftragten vorab Gelegenheit zu geben, am
Betreff offensichtlich als Privat erkennbare E-Mails in einen
Ordner zu verschieben, auf den die Vertretung keinen Zugriff
hat. Abwesenheitsassistenten sind frühzeitig, ggf. durch die
Systemadministration, zu aktivieren.
5. Datensicherheit
5.5 E-Mails
Hinweis: Das Fernmeldegeheimnis umfasst nur den
Übermittlungsvorgang bis zu dem Zeitpunkt, zu dem
der Empfänger Gelegenheit gehabt hat, die E-Mail zu
lesen und ggf. zu löschen. Danach gilt das
Fernmeldegeheimnis nicht mehr.
Weiterer Hinweis: Sofern jemand einen privaten EMail-Account hat, kann er darauf i.d.R. auch über das
Internet zugreifen. Der Absender kann dann die
eigentliche E-Mail dorthin schicken und an die
dienstliche E-Mail-Adresse nur eine kurze
Aufforderung schicken, dort nachzusehen.
Es empfiehlt sich, Word- oder Excel-Dateien in das
PDF-Format zu konvertieren, bevor sie als E-MailAnhang verschickt werden, da die Originaldateien u.U.
die ganze Entstehungshistorie des Dokuments
enthalten.
5. Datensicherheit
5.6 Anforderungen an Beschäftigte und
Stellenleitungen
Datensicherheit kann nicht nur durch technische
Maßnahmen hergestellt werden. Mindestens genau so
wichtig ist die Einstellung der Verantwortlichen und
Mitarbeiterschaft.
Alle Benutzer des Datenverarbeitungssystems sollten
ein ihrer Aufgabe angemessenes
Datensicherheitsbewußtsein haben.
Die Verantwortung der Führungsebene liegt darin, die
Motivation hierzu zu vermitteln.
Akzeptanzprobleme bei Mitarbeitern können aus der
Unbequemlichkeit von Datensicherheitsmaßnahmen
entstehen und zum Unterlaufen der Maßnahmen
führen.
5. Datensicherheit
5.6 Anforderungen an Beschäftigte und Stellenleitungen
Nach Möglichkeit sollen Mitarbeiter unterstützt werden,
wenn sie Datensicherheitsmaßnahmen ausführen, etwa
durch benutzerfreundliche Identifikationsprozeduren.
Ihre Persönlichkeitsrechte sind auch bei
Datensicherheitsmaßnahmen zu respektieren.
Die Arbeitsbedingungen sind so zu gestalten, dass die
Gefahr von Fehlern beim Durchführen von Maßnahmen,
die der Datensicherheit dienen, möglichst gering gehalten
wird.
Mitarbeiter sind in geeigneter Weise mit den Maßnahmen
vertraut zu machen.
In vielen Fällen ist Vertrauen besser als rigide formale
Vorschriften.
6. Sonstiges
6.1 Immer wieder vorkommende Rechtsbegriffe
Beim Lesen von Rechtsbestimmungen stößt man immer
wieder auf Begriffe, die einen dann im Unklaren
darüber lassen, ob diese nun zu beachten ist oder
nicht. Hier eine kleine Auswahl solcher Begriffe.
Unbefugt bedeutet nach Rechtsprechung und
überwiegender Literaturmeinung ohne
Rechtfertigungsgrund. Als Rechtfertigungsgründe
kommen in Frage:
➲
➲
➲
➲
die Einwilligung der betroffenen Person/der
betroffenen Personen
ggf. eine mutmaßliche Einwilligung
gesetzlich geregelte Befugnisse oder
Rechtfertigungsgründe (§ 34 StGB) usw.
ggf. gesetzliche Offenbarungspflichten
6. Sonstiges
6.1 Immer wieder vorkommende Rechtsbegriffe
Erforderlich
wird umgangssprachlich meist zu wenig stringent
verstanden. Im juristischen Sinne ist etwas
erforderlich, wenn eine Aufgabe ohne dieses
"Etwas" nicht oder nur unter nicht mehr
zumutbaren oder vertretbaren Erschwernissen
erledigt werden kann.
Unverzüglich
heißt hingegen nicht möglichst sofort. Muss
beispielsweise, um etwas zu erledigen, ein Vorgang
zwischengeschaltet werden, der dauert (z.B. eine
Auskunft einholen), so verlangt unverzüglich, dass
dieser Vorgang dann auch zügig angestoßen wird.
Es bedeutet nicht, dass "'Druck gemacht"' wird,
damit die Angelegenheit schnellstmöglich zu Ende
gebracht wird.
6. Sonstiges
6. 2 Online-Banking
Privat kann man Online-Banking mit PIN/TAN machen,
dienstlich muss das Schutzprinzip "'Wissen und Besitz"'
effektiver umgesetzt werden.
Dies erfordert typischerweise die Verwendung einer
Chipkarte und eines Chipkartenlesers. Damit wird eine
Situation hergestellt, die durch den Umgang mit einer ECKarte vielen vertraut ist. Ebenso werden sog. PishingAttacken deutlich erschwert.
Wird ein Chipkartenleser mindestens der Klasse II
verwendet, also ein Gerät, wo die PIN-Nummer der
Chipkarte nicht am PC, sondern am Chipkartenleser
eingegeben wird, reduzieren sich die sonst erheblichen
Sicherheitsanforderungen an den für das Online-Banking
verwendeten Dienst-PC. Sobald es der Stand der Technik
hergibt, sollte ein Lesegerät verwendet werden, das dem
Anwender in einem Display auch die wichtigsten
Transaktionsdaten (Betrag, Empfänger) anzeigt.
6. Sonstiges
6. 2 Online-Banking
Bei der Verwendung einer Chipkarte können sich
Mitarbeiterinnen und Mitarbeiter einer Stelle, die das
Online-Banking durchführen, darauf verlassen, dass
ausschließlich die Kontobewegungen stattfinden, die von
ihnen veranlasst wurden. Dieses hohe Schutzniveau hat
allerdings die problematische Kehrseite, dass es schnell zu
ungerechtfertigten aber nur schwer zu wiederlegenden
Verdächtigungen kommen kann, wenn es doch zu
Unregelmäßigkeiten bei Konten gekommen ist. Ein
funktionierendes Mehraugenprinzip ist deshalb zum Schutz
der Mitarbeiter, die Online-Banking betreiben, besonders
wichtig. Festlegungen und Regelungen dazu sollten in
einem Merkblatt beschrieben sein, dessen Kenntnisnahme
von den betreffenden Mitarbeiterinnen und Mitarbeitern
bestätigt wird.
Die Geldinsitute halten Hinweise zum sicheren Onlinebanking bereit, die an den jeweiligen Arbeitsplätzen
7 Fragen
Frage 1: Wen oder was schützt der Datenschutz?
A) Elektronisch gespeicherte Daten
B) Stellen vor dem Zugriff von Hackern
C) Persönlichkeitsrechte
Frage 2: Über die Verwendung der eigenen Daten bestimmt ...
A) der oder die Betroffene.
B) die verantwortliche Leitung der Stelle (Amt, Diakonische Einrichtung,
Firma), die die Daten gespeichert hat.
C) je nach Sachlage der oder die Betroffene bzw. die verantwortliche Stelle.
Frage 3: Anschriften ...
A) sind freie Daten.
B) sind Daten, über deren Verwendung datenverarbeitende Stellen nach
sorgfältiger Prüfung selbst bestimmen dürfen.
C) unterliegen wie alle anderen Daten ebenso den Datenschutzbestimmungen.
7 Fragen
Frage 4: Datensicherheit ...
A) wird ausschließlich durch von der Stelle zu treffende technische Maßnahmen
hergestellt.
B) muss auch von der Mitarbeiterschaft umgesetzt werden.
C) ist Sache der auf der Stelle eingesetzten Programmen.
Frage 5: Wenn vorhandene personenbezogene Daten für andere Zwecke
verwendet werden sollen, ...
A) muss geprüft werden, ob es dazu eine Rechtsgrundlage gibt.
B) muss immer eine Einwilligung eingeholt werden.
C) ist dies zulässig, wenn sie rechtmäßig erhoben und gespeichert wurden.
Frage 6: Maßnahmen zum Datenschutz müssen getroffen werden, ...
A) wenn ein Risiko für die Betroffenen absehbar ist.
B) wenn Betroffene ein Risiko geltend gemacht haben, von dem sie betroffen
sind.
C) egal ob Risiken erkennbar sind oder nicht.
7 Fragen
Frage 7: Wann gilt das Recht auf Auskunft?
A) Es gilt nur für Daten in Akten.
B) Es gilt nur für elektronisch gespeicherte Daten.
C) Es gilt für beides.
Frage 8: Selbst über die Verwendung ihrer Daten bestimmen Personen, sobald
sie ...
A) geschäftsfähig sind.
B) Einsicht in mögliche Folgen von Datenverarbeitungen haben.
C) die Rechtslage einigermaßen beurteilen können.
Frage 9: Ist eine Person durch eine Datenverarbeitung geschädigt worden und
erhebt Schadensersatzforderungen ...
A) muss sie einigermaßen plausibel darlegen, dass die verarbeitende Stelle einen
Fehler gemacht hat.
B) muss die verarbeitende Stelle nachweisen, dass sie keinen Fehler gemacht
hat.
C) stellt ein Gericht fest, wer inwieweit verantwortlich ist. Die Gerichtskosten
trägt dabei die verarbeitende Stelle.
7 Fragen
Frage 10: Wenn in Vertretungsfällen Daten zugänglich gemacht werden müssen
...
A) können Passworte weitergegeben werden, wenn die Empfänger verpflichtet
werden, diese nicht missbräuchlich zu verwenden.
B) müssen die Berechtigungen des Berechtigungssystems entsprechend geändert
werden.
C) können sowohl das Berechtigungssystem geändert als auch Passworte
weitergegeben werden.