32. Jahresbericht der Landesbeauftragten für Datenschutz (pdf ...

Weitere Magazine

Empfehlungen

Info

audits. Ein abstraktes, verfahrensunabhängiges Produktaudit entspricht den Anforderungen eines Verfahrensaudits nicht (vergleiche 31. Jahresbericht, Ziffer 3.1). Im Hinblick auf die Anerkennung vergleichbarer Audits bei der Zulassung ist daher von uns zunächst die Vergleichbarkeit zu überprüfen. Da bei Audits, die nicht nach dem bremischen Datenschutzrecht erfolgen, häufig lediglich Produktaudits durchgeführt werden, wäre die Vergleichbarkeit in vielen Fällen wohl zu verneinen. Nach den von uns in Bremen mit der Durchführung von Datenschutzauditierungen gewonnenen Erfahrungen ist auch nur die Beurteilung von Produkten in ihrer technischen Umgebung und ihrem konkreten Einsatzbereich wirklich sinnvoll. Die benötigten Regelungen zum Datenschutzaudit für die dem Bundesdatenschutzgesetz (BDSG) unterliegenden Stellen fehlen weiterhin. Der vom Bundesminister des Innern in 2008 vorgelegte und von den obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich kritisierte Gesetzentwurf (vergleiche 31. Jahresbericht, Ziffer 21.5) ist nicht verabschiedet worden. Der Bund ist dringend aufgerufen, seiner Gesetzgebungsverpflichtung nach § 9 a BDSG nachzukommen. Benötigt werden angemessene Regelungen, die insbesondere geeignet sind, den Datenschutz in der Wirtschaft zu verbessern. 15.2 Re-Auditierung des Verfahrens VERA bei der bremer arbeit gmbH Die bremer arbeit gmbH (bag) teilte uns im Berichtsjahr mit, dass das von ihr eingesetzte und 2007 erstmals zertifizierte Verfahren VERA (vergleiche 30. Jahresbericht, Ziffer 3.1) einer Re-Auditierung unterzogen werden solle. Nähere Informationen, insbesondere im Hinblick auf die Zulassung des Auditors, über die unsere Behörde entscheidet, und über die Durchführung des Audits erhielten wir zunächst nicht. Auch bei einer erneuten Auditierung müssen die Vorschriften der Bremischen Datenschutzauditverordnung (BremDSAuditVO) und der hierzu erlassenen Durchführungsbestimmungen eingehalten werden. Wenn sich auch hinsichtlich einer nochmaligen Auditierung durch den selben Auditor das Prüfungs- und Zulassungsverfahren vereinfachen kann, muss trotzdem die Einhaltung der zu beachtenden Bestimmungen gewahrt bleiben. Regelungen, nach denen in solchen Fällen anders verfahren werden kann, gibt es nicht. So bedarf auch bei einer nochmaligen Auditierung das Tätigwerden des Auditors einer vorhergehenden Prüfung und Zulassung durch die Landesbeauftragte für Datenschutz und Informationsfreiheit. Mit der bloßen Mitteilung, das Verfahren VERA befinde sich in der Re-Auditierung, erhielten wir insbesondere keine Informationen darüber, wer das Audit durchführen soll und welchen Umfang und Inhalt es haben soll. Darüber hinaus waren wir auch über Veränderungen des Verfahrens VERA nicht informiert worden. Erst nachdem wir wiederholt auf die zu beachtenden Regelungen hinwiesen und deren Einhaltung verlangten, gelang es, ein den Vorschriften entsprechendes Verfahren zu erreichen. Der von der bag vorgeschlagene Auditor, der bereits das erste Audit durchgeführt hatte, wurde von uns nach einer Prüfung des Vorliegens der notwendigen Voraussetzungen schließlich zugelassen. 16. Die Entschließungen der Datenschutzkonferenzen im Jahr 2009 16.1 Stärkung der IT-Sicherheit – aber nicht zu Lasten des Datenschutzes (Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 18. Februar 2009) Das Bundeskabinett hat am 14. Januar 2009 den Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen (Bundesrats-Drucksache 62/09). Mit dem Gesetz sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Befugnisse eingeräumt werden, um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren. Weiter sollen aber zugleich auch das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) geändert werden. Angriffe auf die IT-Sicherheit können nicht nur die ordnungsgemäße Abwicklung von Verwaltungsaufgaben beeinträchtigen, sondern auch Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich bringen. Daher sind Konzepte zu entwickeln und umzusetzen, die sowohl die IT-Sicherheit stärken als auch den Schutz der Privatsphäre gewährleisten. — 80 —
In weiten Bereichen wurden in der jüngsten Vergangenheit Maßnahmen zur Stärkung der IT-Sicherheit getroffen, die eine detaillierte Registrierung und Auswertung des Nutzerverhaltens und sogar der Inhalte der Kommunikation ermöglichen. Entsprechende Ansätze gibt es nun auch in der Bundesverwaltung. So sieht der Gesetzentwurf vor, dem BSI sehr weitgehende Befugnisse einzuräumen. Kritisch sind insbesondere 1. die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen, Bürgerinnen und Bürger mit Bundesbehörden ohne Anonymisierung beziehungsweise Pseudonymisierung zu überwachen und auszuwerten (§ 5), 2. die vorgesehene Datenübermittlung an Strafverfolgungsbehörden, insbesondere bei nicht erheblichen Straftaten, wenn sie mittels Telekommunikation begangen werden (§ 5 Absatz 4) und 3. die fehlende Verpflichtung des BSI, Informationen über ihm bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen und damit Unternehmen, Bürgerinnen und Bürger vor zu (erwartenden) Angriffen (Spionage und Sabotage) zu warnen (§ 7). Äußerst bedenklich ist darüber hinaus die Regelung, dass im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist (§ 5 Absatz 6). In solchen Zweifelsfällen sollten diese Daten gelöscht oder einem Richter zur Entscheidung vorgelegt werden. Die Datenschutzbeauftragten des Bundes und der Länder begrüßen zwar grundsätzlich alle Aktivitäten, in den gewachsenen, vernetzten IT-Strukturen des Bundes das Niveau der IT-Sicherheit zu erhöhen. Sie fordern aber auch, dass die zur Risikobegrenzung eingeführten Maßnahmen nicht den Datenschutz der Nutzerinnen und Nutzer beeinträchtigen. Deshalb ist schon bei der Konzeption von IT- Sicherheitsmaßnahmen vorzusehen, dass das erforderliche Sicherheitsniveau nur mit datenschutzgerechten Lösungen gewährleistet wird. Die Datenschutzbeauftragten fordern strengere Sicherheitsstandards und, soweit möglich, die Protokoll- und Inhaltsdaten vor der Auswertung durch das BSI zu anonymisieren beziehungsweise zu pseudonymisieren. Damit ließen sich eine unnötige Registrierung des Nutzerverhaltens und Überwachung von Kommunikationsinhalten vermeiden. Die Auswertung der Daten durch das BSI muss revisionssicher ausgestaltet werden. Der vorgelegte Gesetzentwurf enthält keine solchen Regelungen. Die Gesetzesänderung des Telemediengesetzes böte öffentlichen und privaten Anbietern von Telemedien die Möglichkeit einer umfassenden Protokollierung des Surfverhaltens ihrer Nutzer im Internet, da sie entsprechend der Gesetzesbegründung weit auslegbar ist. Der Gesetzgeber muss unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten Ultima Ratio ist. Sowohl die Betreiber der „Netze des Bundes“ als auch die Verantwortlichen für die übergreifenden Netze der Verwaltung in Europa sind aufgefordert, bei allen Maßnahmen zur Stärkung der IT-Sicherheit auch die Privatsphäre und den Datenschutz der Nutzerinnen und Nutzer zu gewährleisten. 16.2 Eckpunkte für ein Gesetz zum Beschäftigtendatenschutz (Entschließung der 77. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26. bis 27. März 2009) Datenskandale der letzten Zeit haben deutlich gemacht, dass bei der Verarbeitung von Beschäftigtendaten weder Transparenz noch Rechtssicherheit besteht. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung auf, nach jahrelanger Untätigkeit jetzt unverzüglich einen entsprechenden Gesetzentwurf vorzulegen. Ziel des neuen Beschäftigtendatenschutzgesetzes muss sein, Rechtssicherheit herzustellen, Regelungslücken zu schließen und bereits vorhandene Regelungsaspekte sowie Vorgaben der Rechtsprechung in einem Spezialgesetz zusammenzufassen. Die Konferenz der Datenschutzbeauftragten hält deshalb vor allem folgende Eckpunkte für unverzichtbar: — Die Regelungen des Beschäftigtendatenschutzgesetzes müssen sowohl für die Beschäftigten der Privatwirtschaft als auch für die Beschäftigten im öffentlichen Dienst gelten. — 81 —
Seite 1 und 2:
BREMISCHE BÜRGERSCHAFT Landtag 17.
Seite 3 und 4:
9. Umwelt, Bau und Verkehr ........
Seite 5 und 6:
1. Vorwort Die Bremische Bürgersch
Seite 7 und 8:
men ja eine besonders wichtige Roll
Seite 9 und 10:
ichts) erfolgte Erhöhung des Bußg
Seite 11 und 12:
aus geeignet gewählten und eingeri
Seite 13 und 14:
2. Bremische Bürgerschaft 2.1 Erge
Seite 15 und 16:
unsicherung darüber, ob und in wel
Seite 17 und 18:
gemeinsamer hauptamtlicher Konzernd
Seite 19 und 20:
klar zu trennende Verantwortlichkei
Seite 21 und 22:
Als Dokumentation wurde uns eine Le
Seite 23 und 24:
Personenorientierte Berichte Bei de
Seite 25 und 26:
steigertes Risiko künftigen krimin
Seite 27 und 28:
aus dem polizeilichen Informationss
Seite 29 und 30: einrichtung, woher sie die Angaben
Seite 31 und 32: Durch Erläuterung dieser gesetzlic
Seite 33 und 34: helfer gehören zu dieser Berufsgru
Seite 35 und 36: nen Nachteilen führen. Deshalb sin
Seite 37 und 38: chende Lösung jedenfalls in der BA
Seite 39 und 40: fenen nach § 83 SGB X hin, das dur
Seite 41 und 42: der Informationslage wohl Defizite
Seite 43 und 44: schutzfragen gelöst seien. Der Auf
Seite 45 und 46: schutz hinzuwirken. Die Senatorin s
Seite 47 und 48: Gruppe, wie zum Beispiel Beschäfti
Seite 49 und 50: forderung an die Träger der Kinder
Seite 51 und 52: gen und Information über vergleich
Seite 53 und 54: Die Einrichtung eines parallelen Sc
Seite 55 und 56: geordnet. Dadurch kann kein Bezug z
Seite 57 und 58: Dieser wandte sich aufgrund datensc
Seite 59 und 60: und materiell-rechtliche Regelung z
Seite 61 und 62: Das Gesetz führt nunmehr insbesond
Seite 63 und 64: gen an den neuen Betriebsarzt zu ü
Seite 65 und 66: chert sind. Er beschränkt sich nic
Seite 67 und 68: ten stärken die neuen Regelungen z
Seite 69 und 70: speicherten Daten besteht nach § 3
Seite 71 und 72: gelegten erheblichen Aufwand verbun
Seite 73 und 74: Beispiel bei Gasausbruch, keine Zei
Seite 75 und 76: 13.10 Vereine 13.10.1 Datenschutz i
Seite 77 und 78: päischen Union erstmals im Jahr 20
Seite 79: der Aufbewahrungsfrist äußerte si
Seite 83 und 84: aufhebt. Die Finanzbehörden des Bu
Seite 85 und 86: — Der Entwurf des Bürgerportalge
Seite 87 und 88: Das aus den 70er Jahren des vorigen
Seite 89 und 90: Die Krankenhäuser sind in der Pfli
Seite 91 und 92: — sonstige Daten über negatives
Seite 93 und 94: 17.7 Datenschutzkonforme Ausgestalt
Seite 95 und 96: 19.3 Index A Active Directory Ziffe
Alle anzeigen

32. Jahresbericht der Landesbeauftragten für Datenschutz (pdf ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?