Datenschutz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Der Schutz des Bürgers vor den Gefahren, die eine Erhebung, Verarbeitung oder Nutzung seiner Daten mit sich bringt, insbesondere die Sicherung des "(Grund-) Rechts auf informationelle Selbstbestimmung". In Deutschland wurde dieses "(Grund-) Recht" im sogenannten Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus dem Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 des Grundgesetzes abgeleitet.

Im Vordergrund des deutschen Bundesdatenschutzgesetz (BDSG) steht das grundsätzliche Verbot der automatisierten Verarbeitung personenbezogener Daten. Dies hat zur Konsequenz, dass personenbezogene Daten nur mit Einwilligung des Betroffenen oder auf Grundlage gesetzlicher Erlaubnistatbestände wie z.B. anderer Rechtsverordnungen erhoben, verarbeitet oder genutzt werden dürfen. Die letzte Novellierung des BDSG trat am 01.09.2009 in Kraft.

Auf Grund der im April 2016 beschlossenen Europäische Datenschutz-Grundverordnung (EU-DSGVO) erarbeitete das Bundesministerium des Innern derzeit einen Entwurf eines „Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO)", das das bestehende BDSG ablösen soll. Gegen diesen Entwurf gibt es massive Kritik von Verbraucherschützern (z.B. keine Datenschutzinformation an Kunden mehr, wenn ein unverhältnismäßiger Aufwand für die Unternehmen entsteht; Abkehr vom EU-DSGVO-Prinzip "Privacy by Design"; privaten Krankenkassen wird erlaubt, automatisierte Entscheidungen zu treffen), Arbeitsrechtlern und Wirtschaftsanwälten (kompliziertes Regelwerk mit vielen Ausnahmen) und den Datenschützern selbst[1][2]. Insbesondere die Landesdatenschutzbeauftragten stoßen sich an der Regelung der alleinigen Vertretung Deutschlands im geplanten Europäischen Datenschutzausschuss durch den Bundesdatenschutzbeauftragten. Trotz der Kritik hat am 27. April 2017 der Deutsche Bundestag das neue Bundesdatenschutzgesetz (Art.1 DSAnpUG) verabschiedet.

Geltungsbereich

Für den öffentlichen Bereich der Bundesverwaltung wird neben der automatisierten Datenverarbeitung auch die Datenverarbeitung in Akten, Bild- und Tonträgern in den Schutz des BDSG mit einbezogen; im nicht-öffentlichen Bereich (Privatwirtschaft und Vereine) gilt es für automatisierte und nicht automatisierte Dateien mit personenbezogenen Daten.


Grundsätze

Für die verantwortlichen Stellen gilt der Grundsatz, dass sie alle technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführungen des Datenschutzgesetzes oder anderer Datenschutzvorschriften zu gewährleisten. Die Maßnahmen müssen dabei in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. Im BDSG wie auch in anderen Datenschutzgesetzen in Europa werden hierzu Maßnahmen gefordert, die in einer Anlage im Gesetz zusammengefasst sind. Waren in der Vergangenheit dort zehn Forderungen - so genannte Kontrollen - genannt, wurden diese später auf acht Kontrollen reduziert.


Die Anlage (technische und organisatorische Maßnahmen)

Die Anlage zu §9 Satz 1 BDSG lautet:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Ferner wurden Regelungen zum Einsatz von Chipkarten (§ 6c BDSG) und Videoanlagen (§ 6b) in das Gesetz aufgenommen.

Nach wohl inzwischen herrschender Rechtsmeinung sind selbst im Internet verwendeten IP-Adressen personenbeziehbar und damit personenbezogene Daten nach BDSG bzw. der neuen EU-DSGVO. Auch der Europäische Gerichtshof (EuGH) hat im Oktober 2016 geurteilt, dass IP-Adressen dann personenbezogene Daten darstellen, wenn der Anbieter über rechtliche Mittel verfügt, diese Person über Zusatzinformationen bei Internet-Dienste-Anbietern bestimmen zu lassen. Dies ist in Deutschland regelmäßig der Fall. Allerdings findet es der EuGH rechtwidrig, die Speicherung von Daten wie IP-Adressen nur für Nutzungs- und Abrechnungszwecke (wie im § 15 Abs. 1 des deutschen Telemediengesetzes -TMG- bei Webangeboten) zuzulassen. Es sei im Rahmen der Interessensabwägung nach Art. 6 EU-DSGVO in der Abwägung ein berechtigtes Interesse, die IP-Adresse für die Aufklärung von Cyberattacken zu speichern, auch wenn das Datenschutzrecht eigentlich dagegen stehe. Damit stellt sich auch der EuGH gegen eine dazu in Deutschland vertretene (Minderheits-)Rechtsauffassung, das die Zielrichtung des Datenschutzes der Schutz des Einzelnen vor einer unzulässigen Verwendung seiner Daten sei und eben nicht die Sicherheit und Funktionsfähigkeit der Informations- und Kommunikationsinfrastruktur an sich. Dagegen wurde auf dem 15.Deutschen IT-Sicherheitskongress des BSI (siehe Literatur) nachfolgend argumentiert, das kein Angreifer von Webservern erwarten könne, dass das angegriffene Unternehmen keine erforderlichen Maßnahmen zur Bedrohungserkennung und -abwehr vornehmen wird und personenbezogene Daten wie die IP-Adresse nicht speichert; die o.a. Interessensabwägung wird klar zu Gunsten des Unternehmens ausgehen. Damit wird das am 16.10.2015 in im Bundestag beschlossene Gesetz zur Vorratsdatenspeicherung quasi in diesem Punkt legitimiert bzw. auch auf Online-Dienste ausgedehnt. Aber auch bei dem automatisierten Scannen des Netzwerkverkehrs (z.B. per Gateway-Virenscanner oder IDS) auf Bedrohungen (z.B. gefährliche Webseiten, E-Maíl-Schadsoftware) wird bei der Interessensabwägung meistens das Unternehmensinteresse überwiegen.


EU-Recht

Am 08.04.2016 beschlossen der Rat der Europäischen Union (EU) und am 14.04.2016 das Europäische Parlament eine Richtlinie für den Datenschutz in den Bereichen Justiz und Polizei und eine Europäische Datenschutz-Grundverordnung (EU-DSGVO). Sie ist am 25. Mai 2016 in Kraft getreten. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit ab dem 25. Mai 2018 in der gesamten Europäischen Union direkt.


Landesdatenschutzrecht

Die Landesdatenschutzgesetze sind in den 16 Bundesländern das Pendants zum Bundesdatenschutzgesetz (für Landesbehörden und Kommunen). Einige Landesdatenschutzbeauftragte sind zusätzlich Aufsichtsbehörde für den Datenschutz in der Privatwirtschaft (neben anderer länderspezifischen Konstruktionen der Zuständigkeit durch das Innenministerium, separate Behörde, Landesverwaltungsamt oder Regierungspräsidium) sowie für den Zugang der Bürger zu den Informationen über die Tätigkeit der öffentlichen Verwaltung (Informationsfreiheit/Akteneinsicht).


Tätigkeitsberichte

Datenschutzbeaufragte erstellen regelmäßig Tätigkeitsberichte. In diesem werden ihre Tätigkeiten innerhalb eines bestimmten Zeitraums (meist ein oder zwei Jahre) dargestellt. Die Technische Hochschule Mittelhessen (THM[3]) sammelt im Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz (ZAfTDa[4]) alle Dokumente und stellt Sie zum Abruf zur Verfügung.


Moderner Datenschutz

Neben dem grundsätzlichen Verbot der automatisierten Verarbeitung personenbezogener Daten in Verbindung mit dem Erlaubnisvorbehalt (Verarbeitung nur mit Einwilligung des Betroffenen oder auf gesetzlicher Grundlage) stehen die Grundsätze Datensparsamkeit bzw. Datenvermeidung, Zweckbindung und Transparenz im Fokus der Weiterentwicklung des Datenschutzrechtes.


Besonderheiten des Datenschutzes am Arbeitsplatz

Arbeitgeber sind bei einem Verdacht auf eine unerlaubte Internetnutzung berechtigt, den Browserverlauf des Dienstrechners zu kontrollieren. Das Landesarbeitsgerichts Berlin Brandenburg hat entschieden, dass dafür eine Zustimmung des Arbeitnehmers nicht erforderlich ist (AZ: 5 Sa 657/15)[5].

2016 hat die Konferenz der Datenschutzaufsichtsbehörden eine umfangreiche Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz. Sie zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten der Nutzung des betrieblichen Internet- und E-Mail-Dienstes durch die Beschäftigten auf und soll es den Arbeitgebern und den Beschäftigten erleichtern, eine klare Regelung im Unternehmen zu erreichen, soweit eine private Nutzung des Internets und/oder des E-Mail-Dienstes erlaubt sein soll. Zudem enthält die Orientierungshilfe ein Muster für eine Betriebsvereinbarung/Richtlinie/Anweisung für die private Nutzung von Internet und/oder des betrieblichen E-Mail Postfachs.[6]

Besonders umstritten sind Videokameras am Arbeitsplatz. Sofern sie geeignet sind, die Leistung der Arbeitnehmer zu überwachen, bedürfen sie der Zustimmung des Betriebsrats. Kameras zur Dienstahlvorbeugung können zulässig sein, selbst wenn dabei auch ein Arbeitnehmer-Sozialbereich mit erfasst wird[7].


Weblinks


Die Datenschutzbehörden im Internet


Literatur

Dr. Thomas Stögmüller: IT-Sicherheit und Datenschutz - Gegensatz oder rechtliche Ergänzung?; Tagungsband zum 15.Deutschen IT-Sicherheitskongress 2017, S.527-535


Einzelnachweis

  1. SecuPedia Aktuell: Datenschützer appellieren an Bundesrat: Nicht zustimmen!
  2. SecuPedia Aktuell: Kritik an geplanter Datenschutz-Novelle
  3. Technische Hochschule Mittelhessen
  4. Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz
  5. RDV-obline vom 19.02.2016: Arbeitgeber darf Browserverlauf der Mitarbeiter auswerten. Kündigung wegen privater Internetnutzung
  6. SecuPedia Aktuell: Wenn Arbeitgeber die Nutzung von E-Mail und Internet am Arbeitsplatz ausspähen
  7. SecuPedia Aktuell: Urteil zur Videoüberwachung


Siehe


Siehe auch



Diese Seite wurde zuletzt am 13. September 2017 um 09:32 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Lutz Gollan, Katharina Geutebrück, Carsten Knoop, M. Albert, Carsten Knoop, Admin und Walter Ernestus.

Anzeigen