4. arbeitskreis „technische und organisatorische datenschutzfragen“

Weitere Magazine

Empfehlungen

Info

2.3 Neue Regelungen für moderne Technik Die Regelungen zu den technischen und organisatorischen Maßnahmen in den Datenschutzgesetzen, etwa § 17 DSG MV oder § 9 BDSG mit der dazugehörigen Anlage – die so genannten 10 Gebote –, stammen aus den 70er Jahren und orientieren sich an der damaligen Technik und Datenverarbeitungsstruktur. Diese Zeit war bestimmt von zentral organisierten Rechenzentren. Telekommunikation und Vernetzungen spielten nur eine untergeordnete Rolle. Die Datensicherheitsüberlegungen waren deshalb geprägt von der Vorstellung einer monolithischen Großrechnerwelt und primär verbunden mit dem Schutz der Rechner, die in hermetisch abgeschlossenen Rechenzentren betrieben wurden. In einer Zeit, in der Datenverarbeitung zunehmend dezentral in teilweise weltumspannenden Rechnernetzen betrieben wird, sind solche Regelungen nur noch bedingt oder gar nicht mehr wirksam. Der Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Datenschutzbeauftragten des Bundes und der Länder (AK Technik) – siehe auch Punkt 4 – hat allgemeine technikunabhängige Anforderungen vorgeschlagen, die die bisherigen „10 Gebote“ ersetzen sollen. Maßgeblicher Bestandteil der entsprechenden Vorschriften sollte die Pflicht zur Gewährleistung der folgenden Punkte sein: Vertraulichkeit: nur Befugte dürfen personenbezogene Daten zur Kenntnis nehmen können Integrität: personenbezogene Daten müssen während der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben Verfügbarkeit: personenbezogene Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können Authentizität: personenbezogene Daten müssen jederzeit ihrem Ursprung zugeordnet werden können Revisionsfähigkeit: es muss festgestellt werden können, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat Transparenz: die Verfahrensweisen bei der Verarbeitung personenbezogener Daten müssen vollständig, aktuell und in einer Weise dokumentiert sein, dass sie in zumutbarer Zeit nachvollzogen werden können Gegenüber den bisherigen Regelungen wird dadurch vor allem Folgendes erreicht: − Die Sicherheitsziele sind technologieunabhängig und bilden einen allgemeingültigen Sicherheitsrahmen, der auch bei neuen Formen der Datenverarbeitung Bestand haben wird. − Die vorgeschlagenen Regelungen führen zu mehr Rechtssicherheit, da sie Anforderungen definieren, die im Bereich der IT-Sicherheit „verstanden“ werden, in der Praxis anwendbar sind, für jede Form der Datenverarbeitung und jede technische Architektur Gültigkeit haben und einer methodischen Vorgehensweise bei ihrer Umsetzung zugänglich sind. − Die Ziele definieren eine „Messlatte“, an der die Sicherheit eines Datenverarbeitungs-Systems abgelesen und überprüft und wodurch seine Kontrollierbarkeit sichergestellt werden kann. − Die Begriffe stimmen mit denen überein, die in der einschlägigen Sicherheitsliteratur und in der EG- Datenschutzrichtlinie verwendet werden. − Datenschutzkontrolleure, Sicherheitsexperten, Systembetreiber, Softwarespezialisten und Entwicklungsingenieure sprechen die „gleiche“ Sprache. Neben diesen Regelungszielen hat der AK Technik auch konkrete Maßnahmen vorgeschlagen, wie die Freigabe automatisierter Verfahren vor deren erstmaliger Anwendung, die Verschlüsselung personenbezogener Daten auf Systemen oder Datenträgern bei mobilem Einsatz oder Transport und die technische Koppelung der automatisierten Datenverarbeitung an die Prüfung der Benutzerberechtigung. Diese Vorkehrungen orientieren sich einerseits am Stand der gegenwärtigen Technik, von ihnen ist andererseits aber gleichwohl zu erwarten, dass sie längere Zeit Bestand haben werden. 8 Vierter Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern
Darüber hinaus wurden Empfehlungen zur Regelung für spezielle Techniken, beispielsweise Chipkarten sowie Fernmessund Fernwirkdienste, gegeben. Schließlich hat der AK Technik Vorschläge zur Formulierung des Grundsatzes der Datensparsamkeit, der zur Beherrschung der immer größer werdenden Datenflut unabdingbar ist, und zur Definition der dafür nötigen Instrumente der Anonymisierung und Pseudonymisierung sowie der Verschlüsselung unterbreitet. Es ist zu hoffen, dass der Gesetzgeber im Bund und in den Ländern die vorstehenden Anregungen bei der Überarbeitung der Datenschutzgesetze aufgreift, damit die durch die EG-Datenschutzrichtlinie angestoßene Novellierung auch die Technikregelungen einbezieht und so zu der dringend notwendigen umfassenden Modernisierung des Datenschutzrechts führt. 2.4 Direktwirkung der europäischen Datenschutzrichtlinie Die europäische Datenschutzrichtlinie ist am 24. Oktober 1995 verabschiedet worden und hätte bis zum 24. Oktober 1998 in nationales Recht umgesetzt werden müssen (siehe Dritter Tätigkeitsbericht, Punkt 2.4). Mittlerweile ist dies in den meisten Mitgliedstaaten der Europäischen Union erfolgt, in Deutschland aber nur zu einem geringen Teil. Das Bundesdatenschutzgesetz wird frühestens im Jahr 2000 an die Vorgaben der Richtlinie angepasst werden (siehe dazu Punkt 2.2). Von den sechzehn Bundesländern haben bisher nur Brandenburg und Hessen ihre Datenschutzgesetze unter Berücksichtigung der Datenschutzrichtlinie novelliert. Auch Mecklenburg-Vorpommern ist seiner Pflicht zur Überarbeitung des Landesdatenschutzgesetzes nicht nachgekommen (siehe dazu Punkt 2.1). Das ebenfalls zu ändernde bereichsspezifische Datenschutzrecht haben weder Bund noch Länder angepasst. In dieser Situation ist die Frage zu klären, ob die europäische Datenschutzrichtlinie für deutsche Behörden erst maßgeblich ist, wenn sie in deutschen Gesetzen ihren Niederschlag gefunden hat oder ob sie zuvor schon Wirkungen entfaltet. Im Gegensatz zu den in den Mitgliedstaaten unmittelbar geltenden europäischen Verordnungen können die in den Richtlinien der Europäischen Gemeinschaft (EG) enthaltenen Regelungen erst dann angewendet werden, wenn sie in das nationale Recht der Mitgliedstaaten umgesetzt worden sind. Eine Ausnahme davon – also die Direktwirkung einer Richtlinie – kommt nach den Grundsätzen der ständigen Rechtsprechung des Europäischen Gerichtshofes dann in Betracht, wenn die Umsetzungsfrist abgelaufen ist und die Richtlinie dem Einzelnen ein hinreichend bestimmtes und unbedingtes Recht im Verhältnis gegenüber dem Staat gewährt. Sie muss also zum sachlichen Regelungsgehalt und zum erfassten Personenkreis eindeutig bestimmte Vorgaben treffen, und die Umsetzung der Forderungen darf nicht von gestalterischen Entscheidungen der Mitgliedstaaten abhängen. Ob diese Merkmale gegeben sind, kann aber nicht pauschal geprüft werden, sondern es sind die einzelnen Bestimmungen der jeweiligen Richtlinie zu betrachten. Die EG-Datenschutzrichtlinie enthält einige Vorschriften, die die oben genannten Voraussetzungen erfüllen. Diese Regelungen gelten daher zugunsten der Bürger auch in Mecklenburg-Vorpommern unmittelbar und sind von den Behörden bereits jetzt zu beachten: Begriff der „Datei“ Der Dateibegriff der Richtlinie geht weiter als der des § 3 Abs. 2 DSG MV und lässt insbesondere Ausnahmen und Einschränkungen wie die in § 2 Abs. 2 Satz 1 DSG MV formulierte Privilegierung vorübergehend erstellter Dateien nicht mehr zu. Auch für diese Dateien gelten daher alle Vorschriften des Landesdatenschutzgesetzes, etwa § 16 DSG MV (Dateibeschreibung und Geräteverzeichnis). Verarbeitung besonderer Kategorien personenbezogener Daten Die Verarbeitung von Daten über − die rassische und ethnische Herkunft, − politische Meinungen, − religiöse oder philosophische Überzeugungen, − die Gewerkschaftszugehörigkeit, − die Gesundheit oder − das Sexualleben Vierter Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern 9
Seite 1 und 2: Landesbeauftragter für den Datensc
Seite 3 und 4: 3.11.2 Ärztliche Schweigepflicht i
Seite 5 und 6: Eine bereits spürbare negative Aus
Seite 7: − Öffentlichen Stellen, gegenüb
Seite 11 und 12: Dieser Zustand stellt die öffentli
Seite 13 und 14: anderen Auslegung des Identitätsfe
Seite 15 und 16: − Eine erhebliche Einschränkung
Seite 17 und 18: entsprechenden Anwendungssoftware d
Seite 19 und 20: 3.1.10 Notare in Mecklenburg-Vorpom
Seite 21 und 22: Anmeldeverfahren Die Anmeldeprozedu
Seite 23 und 24: dieses Berichtes ist eine erneute B
Seite 25 und 26: 3.2 Polizei 3.2.1 INPOL-Neu Bereits
Seite 27 und 28: Das Abkommen sieht einen umfangreic
Seite 29 und 30: sich der durchführende Beamte für
Seite 31 und 32: Für die Übergabe dieser polizeili
Seite 33 und 34: 3.4 Einwohnerwesen 3.4.1 Elektronis
Seite 35 und 36: Im Zusammenhang mit der Anfrage ein
Seite 37 und 38: Eine moderne bürgerfreundliche Ver
Seite 39 und 40: − Speziell für die Volkszählung
Seite 41 und 42: − Technische Einrichtungen sind s
Seite 43 und 44: sichts des hohen Schutzniveaus, das
Seite 45 und 46: Das Bundesfinanzministerium wirkt a
Seite 47 und 48: ordnet werden können. Dazu wird ei
Seite 49 und 50: 3.10.3 Kindschaftsrecht datenschutz
Seite 51 und 52: chenzentrum die Daten erhält, wo d
Seite 53 und 54: und Ausmaß ihrer Erkrankung aufkl
Seite 55 und 56: Deshalb habe ich die zuständige ob
Seite 57 und 58: nach dem Ansprechen der Alarmanlage
Seite 59 und 60:
se und unter Verstoß gegen Mensche
Seite 61 und 62:
Unterlagen unter Hinweis auf das St
Seite 63 und 64:
der Auffassung, die Anfrage des Pet
Seite 65 und 66:
Dazu gehörten unter anderem Telefo
Seite 67 und 68:
der Zweckverband Dritter bedienen k
Seite 69 und 70:
3.16.2 Verschlüsselung künftig ei
Seite 71 und 72:
Bei Beratungsgesprächen und Kontro
Seite 73 und 74:
schen anzugleichen. Als Ergebnis di
Seite 75 und 76:
finder speichert also keine persone
Seite 77 und 78:
ereits unterhalb des Verzeichnisdie
Seite 79 und 80:
3.16.13 Bundesweite Behördenvernet
Seite 81 und 82:
5. ÖFFENTLICHKEITSARBEIT Das Inter
Seite 83 und 84:
2. Anlage: Entschließung der 55. K
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
11. Anlage: Entschließung der 57.
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
20. Anlage: Entschließung der Date
Seite 105 und 106:
22. Anlage: Entschließung der Date
Seite 107 und 108:
23. Anlage: Appell der Datenschutzb
Seite 109 und 110:
7. ABKÜRZUNGSVERZEICHNIS AfNS Amt
Seite 111 und 112:
Landesverwaltung LMG Landesmeldeges
Seite 113 und 114:
8. STICHWORTVERZEICHNIS A Abgaben .
Seite 115 und 116:
Eingabekontrolle ..................
Seite 117 und 118:
L LAN..............................
Seite 119 und 120:
Schlüsselerzeugung ...............
Seite 121 und 122:
9. PUBLIKATIONEN Beim Landesbeauftr
Alle anzeigen

4. arbeitskreis „technische und organisatorische datenschutzfragen“

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?