Upload
nguyenkhuong
View
212
Download
0
Embed Size (px)
Citation preview
15.05.2018
1
Datenschutz und die neue Datenschutzordnung
Prof. Dr. Rainer Rumpel
Datenschutzbeauftragter
Bundeskonferenz
Kassel
Mai 2018
Forum Datenschutz
Forum Datenschutz
15.05.2018
2
Forum Datenschutz
Referent• Prof. Dr. rer. nat. Rainer Rumpel• Ältester der Evangelisch-Freikirchlichen Gemeinde Berlin-Tempelhof
• Professor für Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht Berlin (HWR)
• Unternehmensberater
• Vom TÜV Saarland zertifizierter Auditor für ISO/IEC 27001 (Informationssicherheitsmanagement)
• Datenschutzbeauftragter des Bundes Evangelisch-Freikirchlicher Gemeinden in Deutschland
• Mitglied bei den Normenausschüssen für IT-Sicherheitsverfahren bei DIN und ISO
Forum Datenschutz
Datenschutz – warum und wozu?• Die besondere Würde des Menschen ist von Gott gegeben.
• Grundgesetz: „Die Würde des Menschen ist unantastbar.“
• Datenschutz ist nicht in erster Linie Schutz von Daten, sondern Schutz von Menschen vor missbräuchlicher Datenverarbeitung.
• Wir sollten als Christen diesen Schutz aktiv unterstützen und damit –insbesondere im Zeitalter der Informationsgesellschaft - einen Beitrag zur Menschenwürde und zur freien Entfaltung der Persönlichkeit leisten.
• Last but not least Charta der europäischen Grundrechte: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
15.05.2018
3
Kirchenrecht
Forum Datenschutz
GrundgesetzGrundgesetz Artikel 140 sagt: „Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.“
Kirchenrecht ist• das von den Kirchen in Ausübung ihres Selbstverwaltungs- und
Selbstordnungsrechtes, das ihnen das Grundgesetz gewährt, selbst gesetzte Recht;
• das Binnenrecht der Kirchen, das die kirchliche Organisation, die kirchlichen Ämter usw. regelt.
15.05.2018
4
Forum Datenschutz
Kirchenrecht im Bund Ev.-Freik. Gemeinden• Im Rahmen des Kirchenrechts hat sich der Bund Ev.-Freik. Gemeinden eine
Datenschutzordnung gegeben (verabschiedet am 23. Mai 2009).
• VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten …
Kirchenrecht siehe Artikel 91: Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt desInkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
Neue Datenschutzordnung
15.05.2018
5
Forum Datenschutz
GliederungERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN
ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON
DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND DER AUFTRAGSVERARBEITER
VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DATENSCHUTZ
FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN
SECHSTER ABSCHNITT: DATENSCHUTZ IN RECHTLICH SELBSTÄNDIGEN EINRICHTUNGEN UND GEMEINDEN
SIEBENTER ABSCHNITT: SCHLUSSBESTIMMUNGEN
Forum Datenschutz
Rechte für Betroffene (2. Abschnitt)• Information durch die verantwortliche Stelle (§10)
• Recht auf Information (§11)
• Recht auf Berichtigung (§12)
• Recht auf Löschung (§13)
• Recht auf Einschränkung der Verarbeitung (§14)
15.05.2018
6
Forum Datenschutz
Datenschutzbeauftragte (4. Abschnitt)• Bestellung und Stellung des Bundesbeauftragten für Datenschutz gemäß §24
– Das Präsidium des Bundes bestellt einen Bundesbeauftragten für Datenschutz.
– Wichtige Aufgaben gemäß §25
• Sensibilisierung, Information und Beratung von Stellen des Bundes
• Weiterleitung von Beschwerden betroffener Personen an den Datenschutzrat
• Überwachung der Einhaltung dieser Ordnung durch Durchführung von Prüfungen
• Dezentrale Beauftragte gemäß § 26
– Erforderlich: wenn in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.
– Freiwillig: Bestellung ist jederzeit möglich.
Forum Datenschutz
Aufsichtsgremium (4. Abschnitt)• Eine eigene Datenschutzordnung ermöglicht eine
Datenschutzaufsichtsbehörde im BEFG.• Alternative: Unsere personenverzogenen Datenverarbeitungen stehen unter
Aufsicht des Staates.
• Auszug aus §27(1) Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium
für den Datenschutz (Datenschutzrat).(2) Der Datenschutzrat wird vom Bundesbeauftragten für den Datenschutz geleitet
und nach außen vertreten.(3) Der Leiter des Datenschutzrats und sein Stellvertreter werden vom Präsidium
des Bundes berufen ...(6) Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der
Ausübung seiner Befugnisse völlig unabhängig.
15.05.2018
7
Forum Datenschutz
Geldbußen gemäß EU-Verordnung (4. Abschnitt)Geldbußen: sind vorzusehen.
Vergleich mit EU-Verordnung: max. 20 Mio. EUR!
Vergleich mit dem Datenschutzgesetz der Ev.Kirche: max. 500.000 EUR
Entwurf DSO: Bei Verstößen werden … Geldbußen von bis zu 100.000
Euro verhängt. Nimmt die Stelle nicht als Unternehmen am Wettbewerb
teil (z.B. Gemeinden), so gilt als Höchstgrenze 50.000 Euro.
Entwurf DSO: Die gegebenenfalls vereinnahmten Gelder werden auf
Beschluss des Datenschutzrats Stellen des Bundes zur Verwendung in
Mission oder Diakonie zur Verfügung gestellt.
Forum Datenschutz
Schadensersatz (4. Abschnitt)• Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein
Schaden entstanden ist, hat einen Anspruch auf Schadensersatz gegen die verantwortliche Stelle (z.B. Gemeinde vertreten durch die Gemeindeleitung).
• Gemäß EU-Datenschutzgrundverordnung geht es in der Regel nicht um die Haftung Einzelner, sondern um die Haftung der Institution.
• Um von der Haftung befreit zu werden, muss die verantwortliche Stelle nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
15.05.2018
8
Forum Datenschutz
Risikomanagement (3. Abschnitt)§ 18 Technische und organisatorische Maßnahmen
Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben
unter Berücksichtigung des Stands der Technik, der Implementierungskosten
und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher
Personen geeignete technische und organisatorische Maßnahmen zu treffen
und zu dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu
gewährleisten.
Forum Datenschutz
Risikomanagement (3. Abschnitt)§ 23 Datenschutz-Folgenabschätzung
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge, so führt die verantwortliche Stelle vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den
Schutz personenbezogener Daten durch ...
15.05.2018
9
Praxis:Datenschutz-
Folgenabschätzunggemäß §23 DSO neu
Forum Datenschutz
GrundlagenDatenschutz-Folgenabschätzung (DSFA)
• Prozess, um das Risiko zu erkennen und zu bewerten, das für Personen in dessen unterschiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch personenbezogenen Datenverarbeitung durch eine Organisation für dessen Grundrecht auf informationelle Selbstbestimmung entsteht.
• ersetzt die Meldepflicht von personenbezogenen Verarbeitungstätigkeiten bei der Aufsichtsbehörde
• muss vor Aufnahme der Datenverarbeitung erfolgen, wenn „aufgrundder Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat
15.05.2018
10
Forum Datenschutz
Verzeichnis der Verarbeitungstätigkeiten• Erforderlich in vollem Umfang, wenn eine Stelle des Bundes mindestens 50
Beschäftigte hat
• Ansonsten nur für Verfahren, die besondere Daten (z.B. Daten zur ethnischen Herkunft, Gesundheit oder religiösen Überzeugung) verarbeiten
PRAXISHINWEIS: Da das Verarbeitungsverzeichnis eine wichtige Hilfe bei der
Durchführung von Datenschutzfolgenabschätzungen ist, empfiehlt sich (nach und
nach) eine Aufstellung des Verzeichnisses in vollem Umfang.
Forum Datenschutz
Zwingendes Erfordernis für eine DSFA1. umfangreiche Verarbeitung
– besonderer personenbezogener Daten oder
– von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten und
2. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (typischerweise Videoüberwachung)
15.05.2018
11
Forum Datenschutz
Vorgeschriebene Elemente mit Reihenfolge1. Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
Verarbeitung (↔ §20 Verarbeitungsverzeichnis)
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (↔ §8 Zulässigkeit)
3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen /Sicherheitsvorkehrungen, durch die der Schutz personenbezogener Daten sichergestellt wird
Die Dokumentation der Schritte sollte prozessbegleitend erfolgen.
Forum Datenschutz
PRAXISHILFE ZUR VERHÄLTNISMÄSSIGKEITDie Verarbeitung ist insbesondere dann unverhältnismäßig, wenn sie gegen eines der folgenden Prinzipien verstößt:
• Prinzip der Zweckbindung
Beispiel: Zweck der Verarbeitung ist nicht definiert
• Prinzip der Datenminimierung
Beispiel: Unnötig viele Daten werden gespeichert.
• Prinzip der Speicherzeitbegrenzung
Beispiel: Es sind keine Löschfristen festgelegt.
15.05.2018
12
Forum Datenschutz
PRAXISHILFE ZUR RISIKOBEWERTUNG• Beispiel für ein Bewertungsschema (noch nicht gemeindespezifisch)
Die Begründungen zu den Einschätzungen sollten dokumentiert werden.
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis• Erforderlichkeit
Eine DSFA ist erforderlich, weil dort Daten von Personen gespeichert werden, bei denen aufgrund ihrer Eintragung in das Verzeichnis auf ihre religiöse Überzeugung (besondere Daten) geschlossen werden kann.
• Beschreibung des Verarbeitungsvorgangs
• Falls das Verzeichnis auch Freunde umfasst, handelt es sich um ein anderes Verfahren.
Bezeichnung der
Verarbeitungs-
tätigkeit
Zweck der Verarbeitung Beschreibung der
Kategorien betroffener
Personen
Verarbeitung
besonderer
Daten
Führen eines
Mitglieder-
verzeichnisses
Aufgabenerfüllung der Gemeinde
(insbesondere Kontaktaufnahme)
Personen, die Mitglieder der
Gemeinde werden, sind oder
ggf. waren.
ja
15.05.2018
13
Forum Datenschutz
Fallbeispiel MitgliederverzeichnisBewertung der Notwendigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
Die Verarbeitung der Mitgliederdaten ist für die Aufgabenerfüllung der Gemeinde (insbesondere Kontaktaufnahme) notwendig.
§5 Rechtmäßigkeit der Verarbeitung Absatz (2): …Verarbeitung … zulässig,
wenn … die Verarbeitung ist zur Erfüllung der Aufgaben der
verantwortlichen Stelle erforderlich …
Forum Datenschutz
Fallbeispiel MitgliederverzeichnisBewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
• Zweckbindung: Angemessener Zweck ist gewährleistet. Zu beachten: Umwidmung des Verarbeitungszwecks würde zu einem anderen Verfahren führen.
• Datenminimierung: Hier ist klar zu definieren und zu dokumentieren, welche Datentypen gespeichert werden sollen. Unverhältnismäßig wären z.B.: Herkunftsreligion, Hobbys. Auch der Verteilerkreis ist einzuschränken.
• Speicherzeitbegrenzung: Hier ist zu definieren und zu dokumentieren, welche Kriterien für das Löschen gelten (z.B. „6 Monate nach Tod“ oder „3 Monate nach Austritt“)
15.05.2018
14
Forum Datenschutz
Fallbeispiel MitgliederverzeichnisBewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
Forum Datenschutz
Fallbeispiel MitgliederverzeichnisBewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen Datensicherheitsziele gemäß §18 beachten: Vertraulichkeit, Integrität, Verfügbarkeit
Verletzung Datenver-
arbeitungsrisiko
Begründung
Vertraulichkeit gering Durch Offenlegung der Daten an Unbefugte kann der Betroffene in
seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen
Verhältnissen nur geringfügig beeinträchtigt werden. (zurzeit und in
Deutschland)
Integrität gering Durch Manipulation der Daten kann die Kontaktaufnahme erschwert
werden, ebenfalls die Geltendmachung von Spenden. Eine Korrektur
der Daten ist der Regel leicht möglich.
Verfügbarkeit mäßig Durch Verlust der Mitgliederdaten kann die Kontaktaufnahme erschwert
werden, ebenfalls die Geltendmachung von Spenden. Weiterhin kann
das Auskunftsrecht (§12) beeinträchtigt sein.
15.05.2018
15
Forum Datenschutz
Fallbeispiel MitgliederverzeichnisAbhilfemaßnahmen / Sicherheitsvorkehrungen
• Das Verfügbarkeitsrisiko muss gemäß §18 (Technische/organisatorische Maßnahmen) behandelt werden.
– Pseudonymisierung kein Einfluss auf die Verfügbarkeit
– Verschlüsselung kein positiver Einfluss auf die Verfügbarkeit
– Zuverlässige Datensicherung positiver Einfluss auf die Verfügbarkeit
– Rasche Datenwiederherstellung positiver Einfluss auf die Verfügbarkeit
• Konkrete Maßnahmen festlegen und dokumentieren
• Restrisiko beurteilen …
Forum Datenschutz
MERKBLATT ZUM DATENSCHUTZ VERFÜGBAR1. Christliche Gemeinden und Einrichtungen müssen (neue)
Datenschutzanforderungen erfüllen!2. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig? 3. Was passiert, wenn keine Einwilligung vorliegt bzw. diese nicht eingeholt
werden kann? 4. Worauf ist zu achten, wenn eine Einwilligung eingeholt wird? 5. Was ist bei Daten zur religiösen Überzeugung zu berücksichtigen?6. Was ist sonst noch bei der Nutzung von Daten von Gemeindemitgliedern zu
bedenken? Was ist bei der gemeindeeigenen Website zu bedenken? …Autor: Rechtsanwalt Frank SchillingQuelle: https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/
15.05.2018
16
Forum Datenschutz
Prof. Dr. Rainer Rumpel
https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/