Datenschutz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Bitte helfen Sie mit, ihn zu verbessern, und entfernen Sie anschließend diese Markierung.

Der Schutz des Bürgers vor den Gefahren, die eine Erhebung, Verarbeitung oder Nutzung seiner Daten mit sich bringt, insbesondere die Sicherung des "(Grund-) Rechts auf informationelle Selbstbestimmung". In Deutschland wurde dieses "(Grund-) Recht" im sogenannten Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus dem Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 des Grundgesetzes abgeleitet.

Im Vordergrund des deutschen Bundesdatenschutzgesetz (BDSG) steht das grundsätzliche Verbot der automatisierten Verarbeitung personenbezogener Daten. Dies hat zur Konsequenz, dass personenbezogene Daten nur mit Einwilligung des Betroffenen oder auf Grundlage gesetzlicher Erlaubnistatbestände wie z.B. anderer Rechtsverordnungen erhoben, verarbeitet oder genutzt werden dürfen. Die letzte Novellierung des BDSG trat am 01.09.2009 in Kraft.

Auf Grund der im April 2016 beschlossenen Europäische Datenschutz-Grundverordnung (EU-DSGVO) erarbeitete das Bundesministerium des Innern derzeit einen Entwurf eines „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO)", das das bestehende BDSG ablösen soll. Gegen diesen Entwurf gibt es massive Kritik von Verbraucherschützern (z.B. keine Datenschutzinformation an Kunden mehr, wenn ein unverhältnismäßiger Aufwand für die Unternehmen entsteht; Abkehr vom EU-DSGVO-Prinzip "Privacy by Design"; privaten Krankenkassen wird erlaubt, automatisierte Entscheidungen zu treffen), Arbeitsrechtlern und Wirtschaftsanwälten (kompliziertes Regelwerk mit vielen Ausnahmen) und den Datenschützern selbst[1][2]. Insbesondere die Landesdatenschutzbeauftragten stoßen sich an der Regelung der alleinigen Vertretung Deutschlands im geplanten Europäischen Datenschutzausschuss durch den Bundesdatenschutzbeauftragten. Trotz der Kritik hat am 27. April 2017 der Deutsche Bundestag das neue Bundesdatenschutzgesetz (Art.1 DSAnpUG) verabschiedet.

Geltungsbereich

Für den öffentlichen Bereich der Bundesverwaltung wird neben der automatisierten Datenverarbeitung auch die Datenverarbeitung in Akten, Bild- und Tonträgern in den Schutz des BDSG mit einbezogen; im nicht-öffentlichen Bereich (Privatwirtschaft und Vereine) gilt es für automatisierte und nicht automatisierte Dateien mit personenbezogenen Daten.


Grundsätze

Für die verantwortlichen Stellen gilt der Grundsatz, dass sie alle technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführungen des Datenschutzgesetzes oder anderer Datenschutzvorschriften zu gewährleisten. Die Maßnahmen müssen dabei in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. Im BDSG wie auch in anderen Datenschutzgesetzen in Europa werden hierzu Maßnahmen gefordert, die in einer Anlage im Gesetz zusammengefasst sind. Waren in der Vergangenheit dort zehn Forderungen - so genannte Kontrollen - genannt, wurden diese später auf acht Kontrollen reduziert.


Die Anlage (technische und organisatorische Maßnahmen)

Die Anlage zu §9 Satz 1 BDSG lautet:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Ferner wurden Regelungen zum Einsatz von Chipkarten (§ 6c BDSG) und Videoanlagen (§ 6b) in das Gesetz aufgenommen.

Nach wohl inzwischen herrschender Rechtsmeinung sind selbst im Internet verwendeten IP-Adressen personenbeziehbar und damit personenbezogene Daten nach BDSG. Auch der Europäische Gerichtshof (EuGH) hat im Oktober 2016 geurteilt, dass IP-Adressen dann personenbezogene Daten darstellen, wenn der Anbieter über rechtliche Mittel verfügt, diese Person über Zusatzinformationen bei Internet-Dienste-Anbietern bestimmen zu lassen. Dies ist in Deutschland regelmäßig der Fall. Allerdings findet es der EuGH rechtwidrig, die Speicherung von Daten wie IP-Adressen nur für Nutzungs- und Abrechnungszwecke (wie im § 15 Abs. 1 des deutschen Telemediengesetzes -TMG- bei Webangeboten) zuzulassen. Es sei in der Abwägung ein berechtigtes Interesse, die IP-Adresse für die Aufklärung von Cyberattacken zu speichern, auch wenn das Datenschutzrecht eigentlich dagegen stehe. Damit wird das am 16.10.2015 in im Bundestag beschlossene Gesetz zur Vorratsdatenspeicherung quasi in diesem Punkt legitimiert bzw. auch auf Online-Dienste ausgedehnt.


EU-Recht

Am 08.04.2016 beschlossen der Rat der Europäischen Union (EU) und am 14.04.2016 das Europäische Parlament eine Richtlinie für den Datenschutz in den Bereichen Justiz und Polizei und eine Europäische Datenschutz-Grundverordnung (EU-DSGVO). Sie ist am 25. Mai 2016 in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.

Die EU-Datenschutz-Grundverordnung (auch General Data Protection Regulation GDPR) ist mit 99 Artikeln und 173 Erwägungsgründen deutlich umfangreicher als z. B. das deutsche Bundesdatenschutzgesetz. Zudem beauftragt die EU-DSGVO den nationalen Gesetzgeber zusätzlich, bestimmte Regelungsbereiche in den Mitgliedstaaten auszugestalten oder stellt ihm dies in anderen Bereichen frei. Auch hierzu dient die zweijährige Übergangszeit[3]. Dazu erarbeitet das Bundesministerium des Innern derzeit einen Entwurf eines „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO)", das das bestehende BDSG ablösen soll. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat nach Beteiligung eine Stellungnahme veröffentlicht[4].

Eine umfangreiche Darstellung der EU-DSGVO von Dr. Thilo Weichert ist beim Netzwerk Datenschutzexpertise verfügbar: http://www.netzwerk-datenschutzexpertise.de/sites/default/files/darst_2016_eudsgvo.pdf

Neben den 3 Grundbedrohungen aus dem IT-Grundschutz (Verfügbarkeit, Integrität, Vertraulichkeit) sind weitere datenschutzspezifische Bedrohungen zu beachten (u.a. Belastbarkeit und Transparenz). Die Erstellung eines Sicherheitskonzepts, wie in einigen Landesdatenschutzgesetzen für die Verwaltung schon vorgeschrieben, wird ebenfalls Pflicht. Dabei sind Sicherheitsmaßnahmen entsprechend "Stand der Technik" zu realisieren. Da die EU-DSGVO eine europäische Norm ist, kann der Begriff "Stand der Technik" auch aus einer europäischen Norm abgeleitet werden (hier die Norm EN 45020 Normung-Allgemeine Begriffe (ISO/IEC Guide 2:2004)) werden mit: "entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung".


Landesdatenschutzrecht

Die Landesdatenschutzgesetze sind in den 16 Bundesländern das Pendants zum Bundesdatenschutzgesetz (für Landesbehörden und Kommunen). Einige Landesdatenschutzbeauftragte sind zusätzlich Aufsichtsbehörde für den Datenschutz in der Privatwirtschaft (neben anderer länderspezifischen Konstruktionen der Zuständigkeit durch das Innenministerium, separate Behörde, Landesverwaltungsamt oder Regierungspräsidium) sowie für den Zugang der Bürger zu den Informationen über die Tätigkeit der öffentlichen Verwaltung (Informationsfreiheit/Akteneinsicht).


Tätigkeitsberichte

Datenschutzbeaufragte erstellen regelmäßig Tätigkeitsberichte. In diesem werden ihre Tätigkeiten innerhalb eines bestimmten Zeitraums (meist ein oder zwei Jahre) dargestellt. Die Technische Hochschule Mittelhessen (THM[5]) sammelt im Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz (ZAfTDa[6]) alle Dokumente und stellt Sie zum Abruf zur Verfügung.


Moderner Datenschutz

Neben dem grundsätzlichen Verbot der automatisierten Verarbeitung personenbezogener Daten in Verbindung mit dem Erlaubnisvorbehalt (Verarbeitung nur mit Einwilligung des Betroffenen oder auf gesetzlicher Grundlage) stehen die Grundsätze Datensparsamkeit bzw. Datenvermeidung, Zweckbindung und Transparenz im Fokus der Weiterentwicklung des Datenschutzrechtes.


Besonderheiten des Datenschutzes am Arbeitsplatz

Arbeitgeber sind bei einem Verdacht auf eine unerlaubte Internetnutzung berechtigt, den Browserverlauf des Dienstrechners zu kontrollieren. Das Landesarbeitsgerichts Berlin Brandenburg hat entschieden, dass dafür eine Zustimmung des Arbeitnehmers nicht erforderlich ist (AZ: 5 Sa 657/15)[7].

2016 hat die Konferenz der Datenschutzaufsichtsbehörden eine umfangreiche Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz. Sie zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten der Nutzung des betrieblichen Internet- und E-Mail-Dienstes durch die Beschäftigten auf und soll es den Arbeitgebern und den Beschäftigten erleichtern, eine klare Regelung im Unternehmen zu erreichen, soweit eine private Nutzung des Internets und/oder des E-Mail-Dienstes erlaubt sein soll. Zudem enthält die Orientierungshilfe ein Muster für eine Betriebsvereinbarung/Richtlinie/Anweisung für die private Nutzung von Internet und/oder des betrieblichen E-Mail Postfachs.[8]

Besonders umstritten sind Videokameras am Arbeitsplatz. Sofern sie geeignet sind, die Leistung der Arbeitnehmer zu überwachen, bedürfen sie der Zustimmung des Betriebsrats. Kameras zur Dienstahlvorbeugung können zulässig sein, selbst wenn dabei auch ein Arbeitnehmer-Sozialbereich mit erfasst wird[9].


Weblinks


Die Datenschutzbehörden im Internet


Einzelnachweis

  1. SecuPedia Aktuell: Datenschützer appellieren an Bundesrat: Nicht zustimmen!
  2. SecuPedia Aktuell: Kritik an geplanter Datenschutz-Novelle
  3. SecuPedia Aktuell: Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft
  4. SecuPedia Aktuell: GDD-Stellungnahme zum Datenschutz-Anpassungsgesetz
  5. Technische Hochschule Mittelhessen
  6. Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz
  7. RDV-obline vom 19.02.2016: Arbeitgeber darf Browserverlauf der Mitarbeiter auswerten. Kündigung wegen privater Internetnutzung
  8. SecuPedia Aktuell: Wenn Arbeitgeber die Nutzung von E-Mail und Internet am Arbeitsplatz ausspähen
  9. SecuPedia Aktuell: Urteil zur Videoüberwachung


Siehe


Siehe auch



Diese Seite wurde zuletzt am 18. Mai 2017 um 13:13 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Lutz Gollan, Katharina Geutebrück, Carsten Knoop, M. Albert, Carsten Knoop, Admin und Walter Ernestus.

Anzeigen