Einführung / Grundlagen II
Einführung / Grundlagen II
Einführung / Grundlagen II
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Datenschutzrecht<br />
FH Kiel, Master Studiengang<br />
Allgemeine <strong>Grundlagen</strong> des Datenschutzrechts<br />
(Goldene Regeln <strong>II</strong>)<br />
09. Oktober 2013<br />
Harald Zwingelberg<br />
www.datenschutzzentrum.de<br />
• Was sind personenbezogene Daten?<br />
siehe § 3 Abs. I BDSG<br />
Aufwärmfragen <strong>II</strong><br />
• Warum unterscheidet das Datenschutzrecht<br />
zunächst nicht zwischen „harmlosen“ und<br />
„sensiblen“ personenbezogenen Daten?<br />
Lösung: siehe Volkszählungsurteil. Es gibt keine<br />
unwichtigen Daten (Verkettung möglich,<br />
Kontextverlust der Daten: Adresse in guter<br />
Wohngegend oder JVA?)<br />
H. Zwingelberg: Datenschutzrecht I 2<br />
1
www.datenschutzzentrum.de<br />
E-Mail-Newsletter<br />
Fall: Newsletter<br />
a) Der Anbieter eines Email-Newsletters fordert von den Abonnenten<br />
Angaben zu<br />
- Name<br />
- Adresse<br />
- Email-Adresse<br />
- Geschlecht<br />
- Alter<br />
Welche dieser Angaben sind zur Durchführung des Dienstes<br />
erforderlich?<br />
b) Wie stellt sich die Situation dar, wenn es nicht um<br />
das Abonnieren eines Newsletters, sondern um<br />
den Erwerb einer Ware via Internet geht?<br />
H. Zwingelberg: Datenschutzrecht I 3<br />
www.datenschutzzentrum.de<br />
Übersicht<br />
• Grundprinzipien des Datenschutzes (7 goldene Regeln)<br />
1. Rechtmäßigkeit<br />
2. Einwilligung<br />
3. Zweckbindung<br />
4. Erforderlichkeit<br />
5. Transparenz<br />
6. Datensicherheit<br />
7. Kontrolle<br />
Quelle: Bizer, DuD 2007, 31 => Zur Lektüre empfohlen!<br />
http://www.johann-bizer.de/dmdocuments/allgemein/Bizer,%207-Goldene%20Regeln%20DuD%202007-05.pdf<br />
H. Zwingelberg: Datenschutzrecht I 4<br />
2
www.datenschutzzentrum.de<br />
Rechtmäßigkeit<br />
Kern: Datenverarbeitung ist verboten, sofern nicht<br />
erlaubt in Gesetz oder via Einwilligung<br />
• § 4 Bundesdatenschutzgesetz<br />
„(1) Die Erhebung, Verarbeitung und Nutzung<br />
personenbezogener Daten sind nur zulässig, soweit<br />
dieses Gesetz oder eine andere Rechtsvorschrift dies<br />
erlaubt oder anordnet oder der Betroffene eingewilligt<br />
hat.“<br />
• Jede Datenverarbeitung bedarf einer Rechtsgrundlage<br />
Gesetz § 28 Abs. 1 Satz 1 Nr. 1<br />
Andere Rechtsvorschrift SGB, TKG, TMG, BerufsO<br />
Einwilligung<br />
H. Zwingelberg: Datenschutzrecht I 5<br />
www.datenschutzzentrum.de<br />
Rechtmäßigkeit<br />
Rechtfertigung: Einwilligung oder gesetzliche Grundlage<br />
Umgang mit personenbezogenen Daten<br />
Erlaubt durch..?<br />
U<br />
N<br />
Z<br />
Informierte<br />
Einwilligung<br />
N<br />
e<br />
i<br />
n<br />
Spezialgesetz<br />
Bund<br />
N<br />
e<br />
i<br />
n<br />
Spezialgesetz<br />
Land<br />
N<br />
e<br />
i<br />
n<br />
TarifV,<br />
BetriebsVB,<br />
Satzung<br />
N<br />
e<br />
i<br />
n<br />
BDSG<br />
N<br />
e<br />
i<br />
n<br />
U<br />
L<br />
Ä<br />
S<br />
Ja Ja Ja Ja<br />
Ja<br />
S<br />
I<br />
ZULÄSSIG<br />
G<br />
Quelle: nach Tinnefeld, 2005<br />
H. Zwingelberg: Datenschutzrecht I 6<br />
3
www.datenschutzzentrum.de<br />
Rechtmäßigkeit<br />
Was ist wichtig?<br />
Jede Datenverarbeitung ist verboten, es sei denn sie<br />
ist erlaubt durch spezielle Normen, Einwilligung<br />
oder das BDSG bzw. LDSG, § 4 I BDSG.<br />
Jedes Stadium der Datenverarbeitung bedarf einer<br />
Rechtsgrundlage.<br />
H. Zwingelberg: Datenschutzrecht I 7<br />
www.datenschutzzentrum.de<br />
Einwilligung<br />
§ 4a Bundesdatenschutzgesetz<br />
Eine Einwilligung ist eine Willensbekundung der/des<br />
Betroffenen, die freiwillig, für den konkreten Fall und in<br />
Kenntnis der Sachlage erfolgt und mit der die betroffene<br />
Person zustimmt, dass die sie betreffenden<br />
personenbezogenen Daten erhoben, verarbeitet<br />
oder/und genutzt werden.<br />
H. Zwingelberg: Datenschutzrecht I 8<br />
4
www.datenschutzzentrum.de<br />
• Information<br />
Welche Daten werden verarbeitet?<br />
Wer verarbeitet?<br />
Zu welchem Zweck?<br />
• Freiwilligkeit<br />
Kopplungsverbot Lockvogelangebote<br />
Wirtschaftliche Abhängigkeit Arbeitsverhältnis<br />
Einsichtsfähigkeit entscheidet nicht Geschäftsfähigkeit<br />
• Formalien<br />
Hervorhebung der Einwilligungserklärung<br />
Schriftlichkeit<br />
Regelfall Schriftform<br />
Einwilligung<br />
seit 2009: § 28 <strong>II</strong>Ib<br />
+ eindeutige Regelung<br />
Vertragsabschluss nicht<br />
abhängig von Einwilligung<br />
seit 2009: § 28 <strong>II</strong>Ia<br />
+ oder schriftl. Bestätigung<br />
+ oder Protokollierung<br />
Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking,…<br />
H. Zwingelberg: Datenschutzrecht I 9<br />
www.datenschutzzentrum.de<br />
Einwilligung<br />
neu 2009: § 28 IV<br />
+ Klarstellung: Pflicht zur Unterrichtung<br />
+ Keine strengere Form für Widerruf als<br />
für den Vertragsschluss<br />
• Widerruflichkeit der Einwilligung<br />
Ab jetzt und für die Zukunft (ex nunc) (+)<br />
Für die Vergangenheit (ex tunc) (-)<br />
H. Zwingelberg: Datenschutzrecht I 10<br />
5
www.datenschutzzentrum.de<br />
Einwilligung<br />
Problemfall: Zu weit gefasste Einwilligung<br />
• Soweit gesetzliche Rechtsgrundlage vorliegt, ist auf diese<br />
zurückzugreifen.<br />
• Im privaten Bereich: gesetzlicher Tatbestand ist zu<br />
benennen. Andernfalls wird der Betroffene über die<br />
Reichweite der Einwilligung und Widerruf getäuscht. Der<br />
Rückgriff auf den gesetzlichen TB ist dann nach Treu und<br />
Glauben ausgeschlossen.<br />
• Im öffentlichen Bereich: Soweit Einwilligung eingeholt wird,<br />
muss eine Verweigerung auch rechtlich und tatsächlich<br />
akzeptiert werden können.<br />
H. Zwingelberg: Datenschutzrecht I 11<br />
www.datenschutzzentrum.de<br />
• Die Einwilligung muss<br />
informiert und freiwillig<br />
erfolgen.<br />
Was ist wichtig?<br />
• Die Einwilligung ist<br />
grundsätzlich schriftlich zu<br />
erteilen oder schriftlich zu<br />
bestätigen.<br />
• Die Einwilligung ist mit<br />
Wirkung für die Zukunft<br />
widerruflich.<br />
H. Zwingelberg: Datenschutzrecht I 12<br />
6
www.datenschutzzentrum.de<br />
Zweckbindung<br />
Personenbezogene Daten dürfen nur zu dem Zweck<br />
verarbeitet und genutzt werden, zu dem sie erhoben<br />
worden sind.<br />
§ 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz<br />
„Bei der Erhebung personenbezogener Daten sind die<br />
Zwecke, für die die Daten verarbeitet oder genutzt<br />
werden sollen, konkret festzulegen.“<br />
H. Zwingelberg: Datenschutzrecht I 13<br />
www.datenschutzzentrum.de<br />
Zweckbindung<br />
• Festlegung des Verwendungszwecks vor Erhebung der<br />
Daten<br />
Erhebung, § 28 Abs. 1 S. 2 BDSG<br />
Als Empfänger, § 28 Abs. 5 BDSG<br />
Eigene Geschäftszwecke, § 28 BDSG<br />
Fremde Geschäftszwecke, § 29 BDSG<br />
• Vertragszweck<br />
Hauptfall der Datenverarbeitung ist die Vertragserfüllung<br />
Zweckbindung des § 28 Abs. 1 Nr. 1 Bundesdatenschutzgesetz:<br />
Begründung, Durchführung oder Beendigung eines<br />
Schuldverhältnisses (Vertrag)<br />
Besondere Zweckbindung Datenschutzkontrolle, § 31 BDSG<br />
Logfiles, Zugriffsprotokolle, Backupmedien<br />
H. Zwingelberg: Datenschutzrecht I 14<br />
7
www.datenschutzzentrum.de<br />
Zweckänderung<br />
• Änderung des Verwendungszwecks<br />
nur zulässig mit Legitimation (Gesetz, Einwilligung)<br />
§ 28 Abs. <strong>II</strong>, <strong>II</strong>I BDSG<br />
Übermittlung/Nutzung zu anderen Zweck:<br />
Wahrung berechtigter Interessen eines Dritten<br />
Öffentliche Sicherheit<br />
Werbung, Markt- und Meinungsforschung<br />
„Listenprivileg“, § 28 <strong>II</strong>I S. 2 BDSG<br />
Forschung<br />
komplett neu 2009:<br />
§ 28 <strong>II</strong>, <strong>II</strong>I<br />
H. Zwingelberg: Datenschutzrecht I 15<br />
www.datenschutzzentrum.de<br />
Zweckänderung<br />
Gesetzliche <strong>Grundlagen</strong> bei eigenen (Geschäfts-) Zwecken<br />
• Verwendung zu Werbezwecken<br />
Listenprivileg: § 28 Abs. 2 S. 2 BDSG 2009<br />
Listenmäßig zusammengefasste Daten<br />
Für eigene Angebote, an Gewerbe, für Spenden<br />
Kein Widerspruch und Widerspruchsbelehrung<br />
„opt-out“ (§ 28 Abs. 4 BDSG)<br />
Bei Weitergabe: Stelle, die Daten erhoben hat muss aus<br />
Werbung hervorgehen komplett neu 2009:<br />
§ 28 <strong>II</strong>, <strong>II</strong>I<br />
H. Zwingelberg: Datenschutzrecht IÍ 16<br />
8
www.datenschutzzentrum.de<br />
Zweckänderung<br />
Gesetzliche <strong>Grundlagen</strong> bei eigenen (Geschäfts-) Zwecken<br />
• Verwendung zu anderen Zwecken<br />
§ 28 Abs. 2 Bundesdatenschutzgesetz<br />
Berechtigtes Interesse (§ 28 Abs. 1 Nr. 2) oder<br />
allgemein zugänglich (§ 28 Abs. 1 Nr. 3)<br />
Kein Grund zur Annahme schutzwürdiger Interessen<br />
der Betroffenen (§ 28 Abs. 1 Nr. 2)<br />
insbesondere kein Widerspruch (§ 28 Abs. 4)<br />
H. Zwingelberg: Datenschutzrecht I 17<br />
www.datenschutzzentrum.de<br />
Zweckbindung<br />
Zweckbindung bei der Erfüllung fremder (Geschäfts-) Zwecken<br />
• Übermittlung für Werbung, Markt und Meinungsforschung,<br />
Adresshandel und Auskunfteien<br />
neu IV 2010: §§ 28a, 28b<br />
Beispiele: Auskunfteien (Schufa), Adresshandel (Schober)<br />
• Übermittlung in anonymisierter Form<br />
§ 30 BDSG<br />
Beispiel: Meinungsforschung (Infratest)<br />
H. Zwingelberg: Datenschutzrecht I 18<br />
9
www.datenschutzzentrum.de<br />
Was ist wichtig?<br />
• Personenbezogene Daten dürfen nur zu dem Zweck<br />
verwendet werden, zu dem sie erhoben wurden<br />
(Zweckbindung).<br />
Der wichtigste Regelfall der Zweckbindung ist die<br />
Verwendung für Zwecke der Vertragserfüllung.<br />
• Die Zweckänderung der Verwendung bedarf einer<br />
gesonderten Legitimation durch eine Vorschrift des<br />
Datenschutzrechts oder die Einwilligung der Betroffenen.<br />
Der wichtigste Regelfall der Zweckänderung ist die<br />
Verwendung von Kundendaten für Werbezwecke.<br />
H. Zwingelberg: Datenschutzrecht I 19<br />
www.datenschutzzentrum.de<br />
Erforderlichkeit<br />
Die Datenverarbeitung ist auf<br />
den für Ihren Erhebungszweck<br />
notwendigen Umfang zu<br />
begrenzen.<br />
Art<br />
Umfang<br />
Dauer der<br />
Datenverarbeitung<br />
H. Zwingelberg: Datenschutzrecht I 20<br />
10
www.datenschutzzentrum.de<br />
Erforderlichkeit<br />
• Tatbestandsmerkmal<br />
z.B. § 28 Abs. 1 Nr. 2 Bundesdatenschutzgesetz<br />
„erforderlich“<br />
Einzelfallbetrachtung: Interessenabwägung<br />
Datenerhebung muss für Zweckerfüllung unverzichtbar<br />
sein<br />
Keine Datenerhebung auf Vorrat<br />
neu 2009: § 3a<br />
• Datensparsamkeit + als Zielvorgabe im Gesetz<br />
§ 3a Bundesdatenschutzgesetz<br />
Gestaltung von Verarbeitungssystemen<br />
H. Zwingelberg: Datenschutzrecht I 21<br />
www.datenschutzzentrum.de<br />
Erforderlichkeit<br />
Löschung / Sperrung, § 35 BDSG<br />
• Personenbezogene Daten müssen gelöscht werden, wenn<br />
Speicherung unzulässig [Verknüpfung mit §§4, 4a, 28 ff]<br />
sensible Daten nach § 3 Abs. 9, deren Richtigkeit nicht bewiesen<br />
Kenntnis für Zwecke der Speicherung nicht mehr erforderlich (§ 28)<br />
Prüfung nach 4 Jahren die Erforderlichkeit nicht mehr festgestellt<br />
werden kann => Prüfpflicht für Auskunfteien, § 35 <strong>II</strong> Nr. 4 BDSG<br />
§ 6b: Videoüberwachung<br />
• Keine Löschung, sondern Sperrung, wenn<br />
Aufbewahrungsfristen entgegenstehen (z.B. handels- oder<br />
steuerrechtliche Aufbewahrungsfristen: § 257 Handelsgesetzbuch,<br />
§_147 Abgabenordnung, § 10 Berufsordnung-Ärzte)<br />
durch Löschung schutzwürdige Interessen des Betroffenen (!)<br />
beeinträchtigt würden<br />
unverhältnismäßig hoher Aufwand für Löschung (eng auszulegen)<br />
H. Zwingelberg: Datenschutzrecht I 22<br />
11
www.datenschutzzentrum.de<br />
Erforderlichkeit<br />
• Der Grundsatz der Erforderlichkeit knüpft an den jeweils<br />
verfolgten Zweck an:<br />
Für die Erreichung des festgelegten Zwecks müssen die<br />
persönlichen Daten geeignet und erforderlich sein.<br />
Verwaltung: nur diejenigen Daten, die für die Erfüllung der<br />
Aufgaben erforderlich sind<br />
Wirtschaft: grundsätzlich nur diejenigen Daten, die für Abwicklung<br />
des Vertrages erforderlich sind<br />
• (Negativ-)Beispiele:<br />
Angabe von Telefonnummer, Geburtsdatum bei einem Kauf<br />
Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung<br />
Antworten auf Gesundheitsfragen bei der Wohnungssuche<br />
Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik<br />
der Personalabteilung – keine Liste aller Geburtsdaten!<br />
H. Zwingelberg: Datenschutzrecht I 23<br />
www.datenschutzzentrum.de<br />
Was ist wichtig?<br />
Personenbezogene Daten dürfen nach Art, Umfang und<br />
Dauer nur soweit erhoben, verarbeitet und genutzt werden,<br />
wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall<br />
für die datenverarbeitende Stelle unverzichtbar ist.<br />
Personenbezogene Daten, die nicht mehr erforderlich sind,<br />
müssen gelöscht oder bei bestehenden Speicherpflichten<br />
aus anderen Gründen gesperrt werden.<br />
H. Zwingelberg: Datenschutzrecht I 24<br />
12
www.datenschutzzentrum.de<br />
Transparenz<br />
Die/der Betroffene muss in der Lage sein zu erfahren, wer<br />
welche Art von Daten in welchem Umfang und zu welchem<br />
Zweck erhebt, verarbeitet oder nutzt.<br />
Allgemeine und besondere Informations- und<br />
Benachrichtigungspflichten der verantwortlichen Stelle<br />
Organisatorische Transparenzverpflichtungen<br />
Auskunftsansprüche der Betroffenen<br />
H. Zwingelberg: Datenschutzrecht I 25<br />
www.datenschutzzentrum.de<br />
Transparenz<br />
Grundsatz der „offenen Erhebung“ und „Direkterhebung“<br />
• Unterrichtungspflichten<br />
§ 4 Abs. 2 Satz 1 Bundesdatenschutzgesetz<br />
Inhalt § 4 Abs. 3 Bundesdatenschutzgesetz<br />
Identität der verantwortlichen Stelle<br />
Zweckbestimmung<br />
Kategorien von Empfängern<br />
• Ausnahmen § 4 Abs. 2 Bundesdatenschutzgesetz<br />
Rechtsvorschrift<br />
Art der Aufgabe oder Geschäftszweck<br />
Unverhältnismäßiger Aufwand<br />
• Benachrichtigung § 33 Bundesdatenschutzgesetz<br />
Nachträgliche Information bei Speicherung ohne Kenntnis der/des<br />
Betroffenen<br />
H. Zwingelberg: Datenschutzrecht I 26<br />
13
www.datenschutzzentrum.de<br />
Transparenz<br />
Auskunftsanspruch, § 34 BDSG !Neuregelung 2010!<br />
• Inhalt<br />
Art und Herkunft der gespeicherten personenbezogenen<br />
Daten<br />
2009: Speicherpflicht für Herkunft<br />
Empfänger oder Kategorien von Empfängern<br />
Zweck der Speicherung<br />
• Konkretisierung des Auskunftsbegehrens<br />
Bezeichnung der zu beauskunftenden Daten z.B. mit<br />
Kundenummer<br />
Zeitpunkt der Vertragsschlusses<br />
H. Zwingelberg: Datenschutzrecht I 27<br />
www.datenschutzzentrum.de<br />
Auskunftserteilung<br />
• grundsätzlich schriftlich<br />
Transparenz<br />
neu 2010: § 34VI<br />
-Auf Verlangen<br />
+Textform<br />
• kostenlos<br />
Ausnahme: Nutzung zu<br />
wirtschaftlichen Zwecken möglich<br />
z.B. Bonitätsauskunft kann auch bei<br />
Vermieter vorgelegt werden.<br />
neu 2010: § 34V<strong>II</strong>I<br />
+ 1xjährlich kostenlos<br />
H. Zwingelberg: Datenschutzrecht I 28<br />
14
www.datenschutzzentrum.de<br />
Besondere Informationspflichten<br />
Transparenz<br />
• § 6b BDSG: Videoüberwachung öffentlich zugänglicher Räume<br />
Umstand der Beobachtung und<br />
verantwortliche Stelle sind erkennbar zu machen<br />
• § 6c BDSG: Einsatz mobiler Speicher- und Verarbeitungsmedien<br />
Information durch die ausgebende oder durchführende Stelle über:<br />
ihre Identität und Anschrift<br />
Funktionsweise des Mediums<br />
Art der zu verarbeitenden personenbezogenen Daten<br />
Möglichkeit wie Rechte nach §§ 34 und 35 auszuüben sind<br />
Maßnahmen bei Verlust oder Zerstörung des Mediums<br />
• § 6a <strong>II</strong> 2 BDSG: automatisierte Einzelfallentscheidung<br />
Unterrichtung und Gelegenheit zur individuellen Nachprüfung<br />
H. Zwingelberg: Datenschutzrecht I 29<br />
www.datenschutzzentrum.de<br />
Was ist wichtig?<br />
Personenbezogene Daten sind bei den Betroffenen zu<br />
erheben. Dabei sind sie über die Identität der<br />
verantwortlichen Stelle, die Art der Daten, den Zweck der<br />
Verarbeitung sowie die Kategorien der Empfänger zu<br />
unterrichten.<br />
Ist die Erhebung nicht direkt bei den Betroffenen erfolgt,<br />
sind diese nachträglich davon zu unterrichten.<br />
Betroffene haben einen Auskunftsanspruch gegenüber der<br />
verantwortlichen Stelle.<br />
H. Zwingelberg: Datenschutzrecht I 30<br />
15
www.datenschutzzentrum.de<br />
Datensicherheit<br />
Datenschutz ist nur gewährleistet, wenn die personenbezogenen<br />
Daten auch technisch und organisatorisch sicher verarbeitet<br />
werden.<br />
§ 9 Bundesdatenschutzgesetz und<br />
Anlage zum Bundesdatenschutzgesetz<br />
Technische Maßnahmen<br />
Organisatorische Maßnahmen (innerbetriebliche Organisation)<br />
• Schutzziele<br />
Vertraulichkeit<br />
Integrität<br />
Verfügbarkeit<br />
H. Zwingelberg: Datenschutzrecht I 31<br />
www.datenschutzzentrum.de<br />
Datensicherheit<br />
• Maßnahmen<br />
Anlage zum Bundesdatenschutzgesetz (zu § 9 BDSG)<br />
Zutrittsschutz<br />
Zugangsschutz<br />
Zugriffsschutz<br />
Schutz bei der Übermittlung<br />
Protokollierung<br />
Kontrolle des Auftragsdatenverarbeiters<br />
Verfügbarkeit der Daten<br />
Trennungsgebot<br />
H. Zwingelberg: Datenschutzrecht I 32<br />
16
www.datenschutzzentrum.de<br />
Informationspflicht bei Datenverlust<br />
Neu 2009: § 42a BDSG Informationspflicht<br />
• Pflicht Betroffenen und die Behörde zu informieren, bei<br />
unrechtmäßiger Übermittlung von<br />
besondere Arten personenbezogener Daten<br />
Daten die Berufsgeheimnis unterliegen (Arzt, RA) […]<br />
Bank- und Kreditkartendaten<br />
und<br />
schwerwiegende Beeinträchtigungen drohen<br />
• Bußgeldbewährt bis € 300.000<br />
H. Zwingelberg: Datenschutzrecht I 33<br />
www.datenschutzzentrum.de<br />
Ausblick: Schutzziele<br />
Integrität<br />
Nichtverkettbarkeit<br />
Verfügbarkeit<br />
Vertraulichkeit<br />
Transparenz<br />
Intervenierbarkeit<br />
Grafik basiert auf:<br />
Rost/Pfitzmann, 2009: Schutzziele revisited; in: DuD 2009/06: 353ff.<br />
H. Zwingelberg: Datenschutzrecht I 34<br />
17
www.datenschutzzentrum.de<br />
Ausblick: Schutzziele und goldene Regeln<br />
• Rechtmäßigkeit<br />
• Einwilligung<br />
• Zweckbindung<br />
• Erforderlichkeit<br />
k.A.<br />
Transparenz Intervenierbarkeit<br />
Nichtverkettbarkeit<br />
Nichtverkettbarkeit<br />
• Transaprenz<br />
Transparenz<br />
Intervenierbarkeit<br />
• Datensichrheit<br />
Vertraulichkeit<br />
Integrität<br />
Verfügbarkeit<br />
• Kontrolle<br />
Transparenz<br />
Nichtverkettbarkeit<br />
Integrität<br />
H. Zwingelberg: Datenschutzrecht I 35<br />
www.datenschutzzentrum.de<br />
Was ist wichtig?<br />
Die Erhebung,<br />
Verarbeitung und Nutzung<br />
personenbezogener Daten<br />
ist durch technische und<br />
organisatorische<br />
Maßnahmen zu schützen<br />
Bei Datenverlust sind die<br />
Betroffenen zu unterrichten<br />
H. Zwingelberg: Datenschutzrecht I 36<br />
18
www.datenschutzzentrum.de<br />
Kontrolle<br />
Die Datenverarbeitung unterliegt einer internen und<br />
externen Kontrolle.<br />
• Externe Kontrolle<br />
Aufsichtsbehörden<br />
§ 38 BDSG<br />
• Interne Kontrolle<br />
Betrieblicher Datenschutzbeauftragter<br />
§ 4g BDSG<br />
H. Zwingelberg: Datenschutzrecht I 37<br />
www.datenschutzzentrum.de<br />
Externe Kontrolle<br />
Aufsichtbehörde § 38 Bundesdatenschutzgesetz<br />
• Befugnisse<br />
Unterrichtung der Betroffenen (!)<br />
Anzeige bei Bußgeldbehörden und Staatsanwaltschaft<br />
Unterrichtung der Gewerbeaufsicht / Kammern<br />
Veröffentlichung im Tätigkeitsbericht<br />
Untersagung von Verfahren<br />
Anordnung technisch und organisatorischer Maßnahmen<br />
Abberufung des Datenschutzbeauftragten<br />
H. Zwingelberg: Datenschutzrecht I 38<br />
19
www.datenschutzzentrum.de<br />
Externe Kontrolle<br />
• Pflichten der kontrollierten Stelle § 38 BDSG<br />
Auskunftspflicht<br />
Duldung der Betretung<br />
Duldung von Prüfungen und Besichtigungen<br />
Einsichtnahme in geschäftliche Unterlagen<br />
Einsicht in Verfahrensverzeichnis, Daten und Programme<br />
• Sanktionen<br />
Ordnungswidrigkeit § 43 BDSG<br />
Straftat § 44 BDSG<br />
H. Zwingelberg: Datenschutzrecht I 39<br />
Vielen Dank für Ihre<br />
Aufmerksamkeit!<br />
Kontakt:<br />
Harald Zwingelberg<br />
hzwingelberg@datenschutzzentrum.de<br />
www.datenschutzzentrum.de<br />
0431/988-1228<br />
20