Aktuell

Aktuelle Sicherheit News!

Security News
weltweit[ext]

"Projekt Datenschutz" Datenschutzvorfälle

Datenschutz
Vorfälle! [ext]

Information

PKI Datenschutzleifaden S-TRUST!

PKI Leitfaden
& Datenschutz

gemalto dotNET SmartCard Test!

.NET SmartCard
Utilities! [ext]

Informationen zur Risikoanalyse

Risikoanalyse
Information

Suchmaschinen und Informationssuche

Informations
Gewinnung!

Organisationshandbuch für Datenschutz & IT-Sicherheit!

Organisations
Handbuch

Datenschutzanlyse mit MindMap!

Datenschutz
Analyse!

Datenschutz Begriffe

Datenschutz
Begriffe!

Datenschutz Grundlagen und Begriffe!


Grundlagen sind wichtig damit Missverständnisse ausgeräumt werden.

Hier gilt der Alte Spruch . . . wenn zwei Menschen das “Selbe” meinen, ist es immer noch nicht das “Gleiche”…

Was versteht man unter:

Das Bundesdatenschutzgesetz finden Sie hier: BDSG [extern]

Anonymisieren

Hierbei handelt es sich um eine Reduzierung der vollen Identität des Betroffenen. “Anonymisieren ist das Verändern personenbezogener Daten derart,dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können” § 3 Abs.6 Bsp.: Beim Handy kann man sich Prepaid Karten kaufen (z.B. ausländische Prepaid Karte), somit kann man auf sinnvolle Weise den Personenbezug vermeiden.

Automatisierte Verarbeitung

Ist mit oder ohne Hilfe ein ausgeführter Vorgang bei dem personenbezogene Daten verarbeitet werden (erheben, verändern, sortieren, sperren, löschen, etc.). “Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder die Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.” (§ 3 Abs.2) siehe auch Verarbeitung

Bundesdatenschutzgesetz

Ausgehend von Artikel 1* und 2* des Grundgesetzes der Bundesrepublik Deutschland definiert das Bundesdatenschutzgesetz (BSDG) als Zweck des Datenschutzes, (1) ‘‘den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird”
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch… öffentliche Stellen des Bundes, der Länder oder nicht öffentliche Stellen bedeutet Privatwirtschaft
Ziel des Bundesdatenschutzgesetzes [extern] vom 20.12.1990, geändert durch Art. 1 des Gesetzes vom 18.05.2001, ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Nicht geschützt werden aggregierte und anonymisierte Daten. Ferner werden sonstige geheime Daten wie Betriebs- oder Geschäftsgeheimnisse nicht geschützt. Geändert am 22.08.2006 durch das Inkrafttreten des Gesetzes “Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere der mittelständischen Wirtschaft”[extern].

Wann muss ein/e Datenschutzbeauftragte/r bestellt werden?

Unternehmen, die personenbezogene Daten automatisiert verarbeiten und bei denen mehr als vier Personen diese Daten erheben, verarbeiten oder nutzen sind verpflichtet einen betrieblichen Datenschutzbeauftragten zu bestellen. Gleiches gilt auch für Unternehmen, die mehr als 19 Personen beschäftigen. Dann kommt es nicht mehr darauf an, ob diese personenbezogene Daten erheben, verarbeiten oder nutzten.
Ist die Anzahl der Personen die automatisiert personenbezogene Daten verarbeiten geringer, so besteht dennoch die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten, wenn personenbezogene Daten geschäftsmäßig für Zwecke der Übermittlung erhoben, verarbeitet und genutzt werden (z.B. Adresshandel, Telefonwerbung, Auskunfteien etc.). Gleiches gilt auch, wenn besonders sensitive Daten verarbeitet werden sollen, die zuvor einer „Vorabkontrolle“ zu unterwerfen sind. Es besteht daher in der Regel für Unternehmen die Pflicht einen betrieblichen Datenschutzbeauftragten zu bestellen.

Datenverarbeitung im Auftrag

Hier tritt der §11 in Kraft “(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.” Folgende Punkte sind hierbei zu berücksichtigen
  • fehlende Entscheidungsbefugnis des Auftragnehmers
  • weisungsgebundene Unterstützung
  • fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen
  • Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt

Empfänger

“Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland,in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (§ 3 Abs.8)

Erheben

Erhebung kann unter anderem erfolgen im Arbeitsverhältnis, beim Betroffenen, bei Dritten … “Erheben ist das Beschaffen von Daten über den Betroffenen” (§ 3 Abs.3)

Löschen

Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. §3 Abs. 4 Satz 5
§ 6b . . . “Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen” . . .
  • Die Daten sind unverzüglich zu löschen,wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
§ 35 … (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn
  • ihre Speicherung unzulässig ist,
  • es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  • sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist, oder das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
  • sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer erstmaligen Speicherung ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.

Mobile Speichermedien

Krankenversichertenkarte, Bankkarten (Kredit) der neueren Generation mit Mikroprozessor, SIM Karte beim Mobil Telefon, JobCard die kommen soll, City oder so genannte Bürger Karten bezeichnet man als mobile Speicher Medien.
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen
  • über ihre Identität und Anschrift,
  • in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,
  • zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und
  • über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.

Nutzen

Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt §3 Abs. 5. Bei der Nutzung im Bereich der öffentlichen Stellen tritt der §14 in Kraft Datenspeicherung, -veränderung und -nutzung
(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind. …
Bei der Datenverarbeitung nicht öffentlicher Stellen (Privatwirtschaft) befinden sich die relevanten Informationen im §28 Abs 6 Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn …

Nicht öffentliche Stellen

Nicht öffentliche Stellen, laut (§ 2), sind natürliche und juristische Personen sowie Gesellschaften und Personenvereinigungen des privaten Rechts (Einzelbetriebe, GBR, OHG, freie Berufe, GmbH, AG, KG, …). In der Sprache der Datenschutzgesetze: (privater Bereich) existieren nicht so viele Regelungen. Für diesen Bereich gilt das BDSG allerdings dann nicht, wenn personenbezogenen Daten für familiäre Tätigkeiten erhoben werden.

Öffentliche Stellen

Gemäß (§ 2) BDSG wurden vom Gesetzgeber Unterscheidungsmerkmale in Bezug auf öffentliche und nicht öffentliche Stellen festgelegt. Öffentliche Stellen des Bundes sind Behörden, Organe der Rechtspflege, Vereinigungen, Anstalten und Stiftungen des öffentlichen Rechts. Da jede Verarbeitung personenbezogener Daten durch öffentliche Stellen einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt, muss dafür im Einzelfall eine gesetzliche Erlaubnis vorliegen. Es gibt eine Vielzahl von Rechtsvorschriften, die die Datenverarbeitung im öffentlichen Bereich regeln.

Personenbezogenen Daten

Laut (§3 Abs. 1) BDSG sind dies Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Eine bestimmte / bestimmbare Person kann durch Einzelangaben (Name, Vorname, Geburtsdatum, …) eindeutig bestimmt werden.

Qualifikation und Ausbildung

Ausbildung und Zeugnis über die Qualifikation als Datenschutzbeauftragter bei der udis “Hat an der Ausbildung Datenschutz entsprechend den Richtlinien der FH Ulm mit Erfolg Teilgenommen und damit den Nachweis der vom Bundesdatenschutzgesetz §36 geforderten Fachkunde erbracht”.
Vorlesungsinhalte: Informationstechnik und Persönlichkeitsrecht; Datenschutz-, Computer- und Arbeitsrecht; Informationssicherheit; Praxis des Datenschutzes. Die Fachkunde (§4f Abs.2)setzt nicht nur technische, organisatorische und rechtliche Kenntnisse voraus, sondern auch die Kenntnis des Datenflusses und der datenschutzrechtlich relevanten Vorgänge im Unternehmen.
Das geforderte Merkmal der Zuverlässigkeit ist gegeben, wenn der Datenschutzbeauftragte charakterlich integer ist, seine Aufgaben sorgfältig erfüllt, verschwiegen ist und verantwortungsbewusst handelt.

Sperren

§3 Abs.4 Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, … Wichtig ist hierbei es findet keine Löschung statt, sondern die Daten können jederzeit wieder aktiviert werden.

Ulmer Urteil

Das Ulmer Urteil zur Fachkunde Landgericht Ulm (Az.: 5T 153/90-01 LG Ulm) Das Landgericht Ulm hat in seinem als “Ulmer Urteil” in die Rechtsgeschichte eingegangenen Beschluß festgestellt, daß betriebliche und behördliche Datenschutzbeauftragte einen Beruf ausüben. Weil sie mit ihrer Tätigkeit einen auf Dauer berechneten und nicht vorübergehenden Beitrag zur gesellschaftlichen Gesamtleistung erbringen. Auch wenn sie ihre Aufgabe als Datenschutzbeauftragte neben ihrem eigentlichen Hauptberuf ausüben, sei diese Tätigkeit aus verfassungsrechtlicher Sicht als Beruf anzusehen.
Zwar mache nach Auffassung des Ulmer Landgerichts das Bundesdatenschutzgesetz (BDSG) die Tätigkeit als Datenschutzbeauftragte/r nicht von einem bestimmten Ausbildungsgang abhängig. Dennoch sprechen zahlreiche Einzelregelungen des Gesetzes für das Vorliegen eines relativ konkreten Berufsbildes:
“Dem Datenschutzbeauftragten kommt in öffentlichen Einrichtungen, der Wirtschaft, der Industrie und bei den Behörden in heutiger Zeit ein wichtiger Auftrag für die Wahrung der Belange der Gesellschaft zu. Seine Aufgabe besteht darin, Beeinträchtigungen und Gefahren entgegenzuwirken, die sich aus dem massenhaften Umgang mit Daten und Informationen ergeben, die über bestimmte Personen gespeichert sind. Es liegt auf der Hand, daß hierdurch die Persönlichkeitsrechte des einzelnen Bürgers in erheblichem Maße beeinträchtigt und tangiert sein können.”
Im Anschluß daran führt das Ulmer Landgericht aus, daß Datenschutzbeauftragte die Aufgabe haben, “… für die Wahrung des Persönlichkeitsrechts im Rahmen der geltenden Gesetze Sorge zu tragen. Bei der Erfüllung dieser öffentlichen Aufgaben ist er nicht an Weisungen des Arbeitgebers gebunden. Das Gesetz verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt.” Zur Fachkunde stellte das Ulmer Landgericht fest, daß die Anforderungen an den Datenschutzbeauftragten, der Computerexperte sein soll/muß, mindestens folgende Punkte umfassen:
  • Anwendung der Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften
  • Kenntnisse der betrieblichen Organisation
  • didaktische Fähigkeiten
  • psychologisches Einfühlungsvermögen
  • Organisationstalent
  • angemessener Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe

Verantwortliche Stelle

§3 Abs. 7 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Dies gilt für öffentliche, öffentlich rechtliche und private Stellen.

Verarbeiten

Verarbeiten ist das Speichern, Verändern Übermitteln, Sperren und Löschen personenbezogener Daten. (§ 3 Abs.4) Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
  • Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
  • Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
  • Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass * die Daten an den Dritten weitergegeben werden oder * der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
  • Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
  • Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. oder nutzen.”
siehe auch Automatisierte Verarbeitung

Vorabkontrolle

Die Verpflichtung zur Durchführung einer Vorabkontrollen ist im (§ 4d Abs. 5) beschrieben und sagt aus:
“Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.”

Bussgeldvorschriften

In § 43 stehen die Bußgeldvorschriften, ordnungswidrig handelt, wer unter anderem wie unter Abs. 1 Ziff. 2 beschrieben “…einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt…”. Die Ordnungswidrigkeiten können gemäß Abs. 3 “… kann im Falle des Absatzes 1 mit einer Geldbuße bis zu fünfundzwanzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu zweihundertfünfzigtausend Euro geahndet werden.”

Zurück zu Datenschutz

 
 

© 2001 - 2010 datenschutzbuero.net