Thomas Herrmann

Datenschutz 99

27.09.99 1

Dritte

Kontrollinstanzen

Rollen im Umfeld des Datenschutzes

verwenden

Kon-trolle

BfD/LfD

betriebl.DB

Schulung/ Kontrolle

Betriebs-rat

Beteiligung

speicherndeStelle

Bearbeiter

mitteilen

Trägervon(Zusatz-)wissen

Umgang mit personenbezogenen Daten

Be-trof-fener

Daten

Em-pfän-ger

übermitteln

beauftragen

Auftrags-bearbeiter

Vertrag,Gesetz

Thomas Herrmann

Datenschutz 99

27.09.99 2

Grundregel - Zulässigkeit der Datenverarbeitung

Verarbeitung und Nutzung ist nur zulässig, wenn

• der Betroffene einwilligt

• oder eine ausdrückliche gesetzliche Erlaubnis vorliegt

Einwilligung bedarf der Schriftform

Es ist hinzuweisen auf:

• Zweck der Speicherung, ggf. der Übermittlung auf Folgen

der Verweigerung (bei Verlangen)

Thomas Herrmann

Datenschutz 99

27.09.99 3

Zulässigkeit auf gesetzlicher Basis- im öffentlichen Bereich

Erhebung zulässig wenn:die Kenntnis der Daten zur Erfüllung der Aufgabe erforderlich ist.

Daten sind beim Betroffenen zu erheben.

Hinweis auf Rechtsgrundlage, zu erzielende Rechtsvorteile oder Freiwilligkeit.

Speichern, Verändern, Nutzen nur zulässig wennes zur Erfüllung ... der Aufgaben erforderlich ist UND nur für die ursprünglichen Zwecke der Erhebung oder Speicherung.

Thomas Herrmann

Datenschutz 99

27.09.99 4

Erforderlichkeit:

I Erforderlichkeit ist dann gegeben, wenn ohne die Daten die Aufgabe gar nicht oder zumindest nicht vollständig erfüllt werden kann (als conditio sine qua non).

II Erforderlichkeit ist schon dann gegeben, wenn Daten zur Erreichung des Zwecks objektiv geeignet sind und im Verhältnis zum Zweck auch angemessen erscheinen (Dies schließt auf jeden Fall eine Vorratsspeicherung oder die Speicherung von Hintergrundinformationen aus).

Thomas Herrmann

Datenschutz 99

27.09.99 5

Verarbeitung für ursprünglich nicht vorgesehene Zwecke

Durchbrechung der Zweckbindung nach BDSG §14(2)

Daten

Grundregelerfüllt

Überprü-fung derAngaben

von B

Abwehrvon Nach-teilen fürGemein-wohl oder

Dritte

Straf-verfol-gung

öffentl.speichernde

Stelle

Daten ausöffentlichen

Quellenoder

für Forschung

im Inte-ressevon B

Betroffener

Thomas Herrmann

Datenschutz 99

27.09.99 6

Zulässigkeit im nicht - öffentlichen Bereich§28 u. 29

Thomas Herrmann

Datenschutz 99

27.09.99 7

Verarbeiten

speicherndeStelle

v für eigene Zwecke nach §28

GegeninteresseBe-trof-fener

pers.- bez. Daten

Interesse

GI > I

V zur Wahrnehmung berech-tigter Interessen der spS

keinGrundzur An-nahme

übermittelnnutzen

V im vertraglichen Rahmen

I>GI erheblichund nicht anders

möglich

Wiss-Forschung

öffentlich zugäng-lich §28 (1) 3

nichtoffen-sicht-lich Geschäftliches v §29kein Grund

GI anzunehmen

Listen § 28 (2) 1b, § 29 (2) 1b

für Werbung+

übermitteln

glaubhaftes Empfänger I

Thomas Herrmann

Datenschutz 99

27.09.99 8

pers.- bez. Daten

sensibleDaten

öffentlich zugäng-lich §28 (1) 3

Verarbeiten

Geschäftliches v §29

übermitteln

speicherndeStelle

v für eigene Zwecke nach §28

V zur Wahrnehmung berech-tigter Interessen der spS

Wiss-Forschung

V im vertraglichen Rahmen

Be-trof-fener

glaubhaftes Empfänger I für Werbung+

I>GI erheblichund nicht anders

möglich

Interesse

kein Grund GI anzunehmen

übermitteln nutzen

V zur Wahrnehmung berechtigter Interessen

Wiss.Forschung

I>GI erheblichund nicht anders

möglich

DritteÖffent-lichkeit

Em-pfän-ger

I

Wissen-schaft

I

kein GrundGI anzunehmen

Listen § 28 (2) 1b, § 29 (2) 1b

ü für Werbung +

Kein Wider-spruch

V nach §28

V für Zweck der Übermittlungkein Grund

GI anzu-nehmen

Thomas Herrmann

Datenschutz 99

27.09.99 9

Rechte der Betroffenen (1)(T/E, Teil IV, Kap. 6)

Allgemeiner Teil:

§6 (1) unabdingbares Recht auf Auskunft, Berichtigung, Löschung, Sperrung (nicht wie früher üblich durch bspw. Arbeitsvertrag ausschließbar)

Kernstück des Datenschutzes!

Thomas Herrmann

Datenschutz 99

27.09.99 10

Rechte der Betroffenen (2)

Benachrichtigen

Daten

SpeicherndeStelle Betroffener

Reaktion

Berichtigen, Löschen,Sperren, Schaden ersetzen

StellungnahmeBeweis fordern

Auskunft verlangen

Auskunft erteilen

Anspruch anmelden,Widerspruch

Thomas Herrmann

Datenschutz 99

27.09.99 11

Rechte der Betroffenen (3)Benachrichtigungen der Betroffenen bei nicht-öffentl. Stellen

• §33(1) Bei der erstmaligen Speicherung ist der Betroffene davon in Kenntnis zu setzen; bei der Speicherung zur geschäftsmäßigen Übermittlung, vor der ersten Übermittlung.

• Dabei hat eine genaue Angabe über speichernde Stelle und die Art der gespeicherten/ übermittelten Daten zu erfolgen.

• (Wir haben über Sie Namen, Adresse, Tätigkeit, Bankverbindung und die sonst im Rahmen des Vertragsverhältnisses und zur Kundenbetreuung benötigten Daten gespeichert.)

• keine Schriftform nötig

Thomas Herrmann

Datenschutz 99

27.09.99 12

Benachrichtigung - Ausnahmen

• wenn der Betroffene bereits Kenntnis hat

• Geheimhaltungsinteresse zu Gunsten Dritter

• Gefährdung öffentlicher Sicherheit

• Beeinträchtigung des Geschäftsinteresses

• Daten aus allgemeinzugänglichen Quellen oder Listen von Datenhändlern

• Vorübergehende Dateien (Aufbewahrungsdauer < 3 Monate)

Thomas Herrmann

Datenschutz 99

27.09.99 13

Auskunftsrecht

• bzgl. Daten, Zweck, Herkunft, Empfänger, Stellen an die regelmäßig übermittelt wird.

• Unentgeldlich (es sei denn, Weiterverwendung für wirtschaftliche Zwecke)

• Ausnahmen wie bei Benachrichtigung!(es sei denn, aus öffentlichen Quellen oder Listenmäßige Daten)

hierzu gibt es Auskunft

Thomas Herrmann

Datenschutz 99

27.09.99 14

Rechte der Betroffenen (1)öffentlicher Bereich

§20(1) Berichtigung:

• Ist ein Datum unrichtig ist es zu berichtigen, unabhängig davon, ob es sich in einer Datei oder Akte befindet: bei Akten ist dies zu vermerken oder auf sonstige Art festzuhalten!(dürfen meist nicht verändert werden (Urkundencharakter)!)

nicht - öffentlicher Bereich

Berichtigung nur bei Dateien !?

Thomas Herrmann

Datenschutz 99

27.09.99 15

Rechte der Betroffenen (2)nicht öffentlicher Bereich

§ 35 (5) Nichtberichtigung von Daten bei Unrichtigkeit

• Wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind.(Ausnahmen: sensible Daten)

• Allerdings muß auf Verlangen des Betroffenen eine Gegendarstellung beigefügt werden, die bei Übermittlungen ebenfalls übermittelt werden muß.(Dokumentation über Zeitzeugen)

Thomas Herrmann

Datenschutz 99

27.09.99 16

Rechte der Betroffenen (3)öffentlicher Bereich

§ 20 (2) Löschung:

• 1. wenn die Speicherung unzulässig ist

• 2. Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich

Thomas Herrmann

Datenschutz 99

27.09.99 17

Rechte der Betroffenen (4)nicht öffentlicher Bereich

§ 35 (2) Löschung

• Löschungen sind grundsätzlich jederzeit möglich, es sei denn Fristen stehen dem entgegen.

• Löschungen sind vorzunehmen, wenn:1. die Speicherung unzulässig ist

2. von der speichernden Stelle nicht bewiesen werden kann, daß gespeicherte Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen richtig sind

3. bei Verarbeitung für eigene Zwecke die Kenntnis des Datums zur Zweckerfüllung nicht mehr nötig ist

4. Daten, die zum Zweck der Übermittlung gespeichert sind, in den letzten 5 Jahren nicht mehr übermittelt wurden und eine weiter Speicherung nicht erforderlich ist.

Thomas Herrmann

Datenschutz 99

27.09.99 18

Rechte der Betroffenen (5)

Sperrung anstatt Löschung

1. Wenn einer Löschung Aufbewahrungsfristen (Gesetz, Satzung Vertrag) entgegenstehen

2. Die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigen würde

3. Die Löschung einen zu großen Aufwand bedeuten würde

4. Die Richtigkeit wird vom Betroffenen bestritten und es kann weder die Richtigkeit, noch die Unrichtigkeit bewiesen werden

Thomas Herrmann

Datenschutz 99

27.09.99 19

Rechte der Betroffenen (6)öffentlicher Bereich

§20 (7) Benachrichtigung

Alle Stellen, die Daten regelmäßig zur Speicherung empfangen, sind von Berichtigungen, Sperrungen wg. bestrittener Richtigkeit, Löschungen oder Sperrungen wg. Unzulässigkeit der Speicherung zu verständigen,

wenn dies zur Wahrung schutzwürdiger Belange des Betroffenen erforderlich ist.

Thomas Herrmann

Datenschutz 99

27.09.99 20

Zulässigkeit der Datenverarbeitung im nicht-öffentlichen Bereich (§ 28)

Widerspruchsmöglichkeiten:

Widerspruchsmöglichkeit bei Nutzung und Übermittlung der Daten zum Zweck der Werbung, Meinungs- und Marktforschung; dann ist die Nutzung und Übermittlung unzulässig (Robinsonliste).

Daten sind zu sperren!

Thomas Herrmann

Datenschutz 99

27.09.99 21

Die Adresse der "Robinsonliste":

An den

Deutschen Direktmarketing-Verband e.V.

Schiersteiner Straße 29

Wiesbaden

Text:

... ich bitte Sie meinen Namen und meine Anschrift

...

in die Robinsonliste aufzunehmen und mir dies

zu bestätigen.

Thomas Herrmann

Datenschutz 99

27.09.99 22

Rechte der Betroffenen (7)Allgemeiner Teil

• §7 Schadensersatzansprüche gegenüber öffentlicher Stellen (max. 250.000,-)

• Gefährdungshaftung (gilt also auch dann, wenn die Behörde oder ihre Bediensteten keine Schuld trifft)

• Voraussetzungen: Schaden muß aus einer unzulässigen oder unrichtigen automatisierten Verarbeitung personenbezogener Daten entstanden sein!

T/E, Teil II, Kap. 7.2

Thomas Herrmann

Datenschutz 99

27.09.99 23

Rechte der Betroffenen (8) Allgemeiner Teil

Schadensersatzansprüche gegenüber nichtöffentlichen Stellen:

• Es gibt Schutzpflichten nach § 242BGB (Treu und Glauben), deren schuldhafte Verletzung Schadensersatzpflichten bewirkt.

• Entstehen Schäden durch unerlaubte Handlungen einer speichernden Stelle, so haftet diese nach den Vorschriften des BGB.

Thomas Herrmann

Datenschutz 99

27.09.99 24

Rechte der Betroffenen (9)Allgemeiner Teil

§8 Schadensersatz durch nicht-öffentliche Stellen:

Zur leichteren Durchsetzung der Schadensersatzansprüche

muß der Betroffene nur nachweisen, daß

eine Handlung der speichernden Stelle vorliegt und

ein Schaden eingetreten ist.

Die Speichernde Stelle muß nachweisen

daß Handlungen nicht ursächlich für den Schaden war

daß sie kein Verschulden trifft.

Thomas Herrmann

Datenschutz 99

27.09.99 25

Kontrollinstanzen (1)Bundes-/ Landesbeauftragter für den

Datenschutz

Er kontrolliert öffentliche Stellen

Er ist von den zu prüfenden Stellen bei der Erfüllung seiner Aufgaben zu unterstützen

Ihm ist Zutritt in alle Diensträume zu gewähren

Ihm sind alle Auskünfte zu gewähren, alle Unterlagen und Akten zur Verfügung zu stellen, Einblick in alle Daten und Programme zu gewähren.

Thomas Herrmann

Datenschutz 99

27.09.99 26

Kontrollinstanzen (2)Verzeichnisse zur Sicherstellung des

Datenschutzes: Bezeichnung und Art der Daten

Zweckbestimmung

Art der gespeicherten Daten

betroffener Personenkreis

Art der regelmäßig zu übermittelnden Daten und deren Empfänger

Regelfristen für die Löschung von Daten

zugriffsberechtigte Personengruppen oder Personen

Thomas Herrmann

Datenschutz 99

27.09.99 27

Kontrollinstanzen (3)des betrieblichen Datenschutzbeauftragten

nicht öffentlicher Bereich

Bestellung ist vorgeschrieben, wenn mehr als 5

Beschäftigte mit der automatisierten DV bzw. mehr als

20 Beschäftigte auf andere Weise persbez. Daten

verarbeiten.

1. Er hat die Ausführung dieses und anderer Gesetze zum Datenschutz sicherzustellen.

2. Dazu hat er die ordnungsgemäße Anwendung der Programme zu überwachen.

3. Die Personen zu schulen, die mit persbez. Daten arbeiten.

4. Bei Einstellungen mitzuwirken (sofern es um Personen geht, die mit persbez. Daten arbeiten sollen).

Thomas Herrmann

Datenschutz 99

27.09.99 28

Überblick zu Spezialgesetzen (1)

• Als Bürger– Gesetze zu staatl. Registern (z.B. Meldegesetze)

– SGB(Daten nur für gesetzliche Aufgaben nach SGB zu verarbeiten und zu übermitteln [Tinnefeld S. 302f])

– Bundesstatistikgesetz (personenbezogene Daten nur zu Organisation von Erhebungen

– Gesetze zu Sicherheitsbehörden (inkl. Schengener Abkommen)(Beschränkte Auskunft, Datenaustausch)

– StGB (Verletzung der Vertraulichkeit des Wortes, des Briefgeheimnisses)

(Vergl. T/E, Teil I) Kap. 4,5,6)

Thomas Herrmann

Datenschutz 99

27.09.99 29

Spezialgesetze im Überblick (2)

• als Berufstätiger– Betriebsverfassungsgesetz, Bundes- & Landes-

– personalvertretungsgesetz

– DeVo - DüVo (Verordnungen)

• als Teilnehmer im Wirtschaftsgeschehen und in der Ausbildung– Abgabenordnung (Steuergeheimnis)

– Telekommunikationsdienstunternehmen - Datenschutzverordnung

– Teledienstedatenschutzgesetz

– Bafög

– Vergabeverordnung für Studienplätze

Thomas Herrmann

Datenschutz 99

27.09.99 30

Neuerungen durch die EG - Richtlinie (1)

Anwendungsbereich

keine Trennung zwischen privatem und öffentlichem Bereich

Ziel der Bestimmungen: "Verantwortlicher für die Verarbeitung" statt "speichernde Stelle"

Der Ort, wo der Verantwortliche ansässig ist, zählt!(nicht der der Verarbeitung)Ausnahme: Niederlassungen

Vermeidung von Datenoasen: es zählt das Recht des Staates, wo auf Daten zugegriffen wird

S. #5385

Thomas Herrmann

Datenschutz 99

27.09.99 31

Neuerungen durch EG - Richtlinie (2)

• Struktur:

– Keine Unterscheidung zwischen Akten vs. Dateien

– Datei gilt als strukturelle Sammlung

– Bestehendes nationales Schutzniveau bleibt erhalten(bzgl. Akten im öffentlichen Bereich)

– Erhebung ist Bestandteil von Verarbeitung

• Zulässigkeit:

– striktere Zweckbindung (weniger Ausnahmen)

– "Erforderlichkeit für Vertragserfüllung" ist ausschließlich Zulässigkeitskriterium

– Keine Ausnahmen bei öffentlich zugänglichen Daten

– ethnische und rassische Daten bewirken eine Einschränkung

Thomas Herrmann

Datenschutz 99

27.09.99 32

Neuerungen durch EG - Richtlinie (3)

Informationspflicht

• generelle Benachrichtigung (immer bei nicht direkter Datenerhebung)

• Benachrichtigung bzgl. Zweck, Weiterleitung, Empfänger und bzgl. der Rechte

Auftragsbearbeiter gelten auch als Empfänger

• Information über logischen Aufbau einer Datei• Widerspruchsmöglichkeiten bei besonderen Umständen keine

automatische Einzelentscheidung mit Rechtsfolgen (z.B. Kreditwürdigkeitsprüfung)

• Risikoprüfung durch den betrieblichen Datenschutzbeauftragten