Post on 02-Aug-2020
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
1
Herzlich Willkommen zur Ihrer Datenschutzausbildung
„Betrieblicher Datenschutzbeauftragter“
gemäß § 4f Abs. 2 S. 1 BDSG.
Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler. Geprüfter und anerkannter EDV Sachverständiger, zertifizierter externer Datenschutzbeauftragter, ISO/IEC 27001 TÜV SÜD Foundation zertifiziert und PECB zertifizierter ISMS Lead-Auditor. Best Practice Training.
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
2
Legende: Fortlaufende Themennummern:
Fragen zum Thema Datenschutz – Die Lösungen finden Sie unter Datenschutz-Lösungen
Das sollten Sie wissen!
Literatur-Empfehlungen: Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de/DE/Datenschutz/datenschutz-node.html
Der betriebliche Datenschutzbeauftragte www.datenschutz.rlp.de/downloads/oh/Betrieblicher_DSB.pdf
Virtuelles Datenschutzbüro http://www.datenschutz.de/
Datenschutz von A bis Z, (Haufe), ISBN: 978-3-648-04391-2
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
3
Präambel
Was bedeutet eigentlich der Begriff „Datenschutz“? Der Begriff Datenschutz ist Ende der 60er Jahre entstanden. Datenschutz kann nicht die Daten als solche schützen, sondern schützt seit jeher die Persönlichkeitsrechte der Betroffenen. Auch in früheren Zeiten gab es hierzu schon zahlreiche Rechtsvorschriften.
In diesem Abschnitt soll Ihnen ein erster Einblick in die Historik des Datenschutzes und dem rechtlichen Rahmen des deutschen und europäischen Datenschutzes geben werden. Mit dem voranschreiten der computerisierten und vernetzten Informationsgesellschaft hat auch die Bedeutung des Datenschutzes an Bedeutung gewonnen. Datenschutz hat sich etabliert und Einzug in unsere Gesetzgebung gefunden. Datenschutz leistet einen wichtigen Beitrag zur Gewährleitung von Persönlichkeitsrechten und stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt.
Die bestehenden Tendenzen zum so genannten „gläsernen Menschen“ durch per- manente Überwachung oder Ausspähung widerspricht diesem Prinzip und greift in erblichem Maße in die Persönlichkeits- und Freiheitsrechte der Betroffenen ein.
Eine Informationelle-Selbstbestimmungs-Gesellschaft(ISG), benötigt die freie Entfaltung der Persönlichkeit und den Schutz der Privatsphäre, ohne Generalüberwachung. Die Gewährleistung dieser Grundrechte sind unabdingbar. Sie regeln einen wichtigen Teil der freiheitlich-demokratischen Grundordnung( FdGO) – Die Menschenrechte. Datenschutz, ein Relikt aus vergangenen Zeiten?
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
4
Übung - Zusammenfassend
Datenschutz betrifft uns alle!
Die Würde des Menschen ist unant…… (G. Art. . Abs. .)
Jeder hat das Recht auf die freie Entfaltung seiner Persönlich….(G. Art. . Abs. .)
Das Grundrecht auf information…. Selbstbestimm…(BVerfG, 19..)
Bundesdatenschutzgesetz(Novelle … von 20..)
Europäische Datenschutzrichtl…. 95/../..(19..)
1
Allgemeine Erklärung der Menschenrechte(UNO - 1948).
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
5
Übung - Zusammenfassend
§ . Abs. . BD . . Zweck dieses Gesetzes ist es, den Einzelnen davor zu s . . . . . . ., dass er durch den Umg . . . mit seinen personenbez . . . . . . Da . . . in seinem Persönlichkeits . . . . . beeint . . . . . . . . wird.
2
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
6
Was ist eine natürliche Person?
Juristische Personen des Privatr . . . . . sind?
Juristische Personen des öffentl . . . . . Rechts sind?
Vom BDSG geschützt wird? Jeder
und sein
Das Persönlichkeitsrecht umfasst?
das R . . . . auf freie Entf . . . . . . der Persönlichk . . . gemäß Art. . Abs. 1 G. und das Recht auf Sch . . . vor Eing . . . . . . in den pri . . . . . Lebens- und Freiheits . . . . . . .
Personenbezogene Daten gemäß § 3 Abs. 1 BDSG sind?
Einzelangaben über pers . . . . . . . oder sachl . . . . Verhältn . . . . einer bestimmt . . oder bestimmb . . . . natürlich . . Person(Betroff . . . .)
Welche Risiken beinhalten besondere Arten pbD gemäß § 3 Abs. 9 BDSG?
Die Erhebung dieser Daten ohne Rechtsgrund . . . . kann die Persönlichkeitsr . . . . . der Betroff . . . . erheblich verl . . . . . und sind unter dem Aspekt des Datenschutzes als höchst kri . . . . . einzustufen. Darüber hinaus können diese Daten bei Abhandenkommen eine Datenschutzp . . . . gemäß § 4 . . auslösen.
Übung: Begriffsdefinitionen I + II - Zusammenfassend 3
6
7
8
3
1
2
4
5
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
7
Zusammenfassend - wen oder was schützt das BDSG?
Kreuzen Sie bitte die richtigen Lösung an.
4
Eine natürliche Person und den
Umgang mit dessen Daten
Seine Persönlichkeits-
rechte
Die
Person
Seine
Identität
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
8
Ordnen Sie die personenbezogene Daten den persönlichen oder sachlichen Verhältnissen zu.
Übungsaufgabe
Alter
Steuerklasse Kreditdaten
Krankheit
Religion
Eigentum
Z. B. Z. B.
6
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
9
Wie beurteilen Sie die Veröffentlichung dieser Daten aus heutiger Datenschutzsicht? Und welche der o.g. Angaben könnten evtl. eine Datenschutzpanne auslösen? § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Nr. 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten Beurteilen Sie ob eine Beeinträchtig der Betroffenen vorliegen könnte, in Bezug auf folgende Risikoarten und die Schutzstufen:
Risiko: Materieller oder immaterieller Schäden?
Risiko auf Identitätsbetrug?
Risiko sozialer Nachteile?
Könnte eine Gefahr auf Erpressbarkeit, Bloßstellung oder Rufschädigung bestehen?
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
1
2
3
4
12
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
10
Zusammenfassend
1 2 3
4 5 6
13
Welche pbD beinhalten besondere Risiken für die Betroffenen? § . Abs. . Begründen Sie dies:
Welche Arten von pbD sind ohne Rechtsgrundlage nicht zu erfassen?
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
11
Es muss sich dabei um personenbezogene Daten handeln, die aus einer der folgenden Kategorien stammen: Besondere Arten von personenbezogenen Daten gemäß § 3 Abs. 9 BDSG (etwa Gesundheitsdaten oder Religions / Gewerkschaftszugehörigkeit) etc.
besondere Arten personenbezogener Daten (§ 3 Absatz 9),
Daten, die einem Berufsgeheimnis unterliegen (z. B. von einem Arzt oder RA …)
Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den
Verdacht darauf beziehen
Daten zu Bank oder Kreditkartenkonten
3. Für den Betroffenen müssen aufgrund der Panne schwerwiegende Beein-trächtigungen drohen, etwa finanzielle Schäden bei Kreditkarten-Informationen oder die Gefahr eines Identitätsdiebstahls.
Informationspflicht gemäß § 42a(Legaldefinition)
1
2
3
4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
12
Resümee, was sind Ihre vorrangigen Aufgaben als DSB?
Die Belange und Vorgaben der Geschäftsleitung umzusetzen?
Die Belange und Vorgaben Ihres Vorgesetzten umzusetzen?
Auf die ordnungsgemäße Anwendung der Datenverarbeitungs-programme, mit deren Hilfe personenbezogene Daten verarbeitet werden zu achten?
Die Belange und Vorgaben des IT-Leiters umzusetzen?
Auf das nicht erfassen von pbD gemäß § 3 Abs. 9 hinzuwirken?
Die Persönlichkeitsreche der Betroffenen zu wahren?
Sie schützen Daten natürlicher- und juristischer Personen?
Sie schützen pbD natürlicher Person?
Sie wahren die Rechte der Betroffenen durch Veranlassung von Berichtigung, Löschung und Sperrung der pbD bei der aut. DV?
1
2
3
4
5
J N
6
Kreuzen Sie bitte die richtige Lösung an.
14
7
8
9
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
13
Tragen Sie die Systematik des BDSG für die nicht-öffentliche Stellen(natürliche und juristische Personen) inkl. Paragraphen im unteren Schaubild ein:
Übungsaufgabe: Die Systematik des BDSG 15
Der sachl . . . . Anwendungsber . . . . ist zwischen öffentl . . . . . und nicht-öffentlichen Stell . . zu unterscheid . . (vgl. § 1 Abs. . Nr. . BDSG).
1. Abschnitt
4. Abschnitt
5. Abschnitt
1
2
4
5
Anlage zu § . Satz . - (IT Sicherheits . . . . .)
6. Abschnitt
6
§§ 1 – 1 .
§§ 3 . – 4 .
§§ 4 . – 4 .
§§ 4 . – 4 .
3. Abschnitt
3
Z. B. § 34 Auskunft
§§ 2 . – 3 .
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
14
Tragen Sie die verschiedenen BDSG – Novellen unten in das Schaubild ein.
Übungsaufgabe - Historik zum BDSG(Teil 1 und 2)
Entwicklung des Bundesdatenschutzgesetzes (BDSG)
BDSG . von . . . . BDSG .. von . . . . BDSG … von . . . .
BDSG . von 19 . . Schutz pers . . . . . . . . . . . . D . . . . vor Missbrauch der Beeinträchtigung schutz . . . . . . . Belange der Betroff . . . . bei der Datenverarbeitung. BDSG .. von 19 . . Informa . . . . . . . Selbst . . . . . . . . . . . . . . . . (Volkszählungsurteil 19. .) Schutz des Einzelnen vor Beeinträchtigung seines Persönlich . . . . . . . . . . . beim Umgang mit personenb . . . . . . . . Daten. BDSG … von 20 . . beinhaltet E . -Datenschutzrichtlinie 9 ./4 ./E . (19 . .) International vergl . . . . . . . . . Datenschutz Vorab . . . . . . . . . besonders sen. . . . . . Datenverarbeitungen
1
2
3
16
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
15
Was besagt das „Informationelle Selbstbestimmungsrecht„? Was bedeutet der Begriff „Normenklarheit“? Was verstehen Sie unter dem Begriff „Schrankentrias“?
Übungsaufgabe 19
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
16
Was bedeuten nachfolgende Abkürzungen? TKG: TMG: UWG: MeldeG: SGB: BetrVG: TV: HE:
Übungsaufgabe - Beispiel vorrangige Gesetze
Grundgesetz(GG)
TKG
23. Mai 1949
TMG UWG SGB BetrVG TV
Bundesdatenschutzgesetz(BD..) – Anzahl . ?
Landesdatenschutzgesetze(LD..) – Anzahl .. ?
Bereichsspezifische Regelungen
20
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
17
Das Ulmer Urteil besagt? Was ist eine Rechtsnorm oder Rechtsvorschrift? In welchem Paragraphen im BDSG wird beschrieben, dass das BDSG subsidiär ist und was genau bedeutet dies? Angabe inkl. Normkörper.
Übungsaufgabe 21
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
18
Teilaspekte der Informationssicherheit
Authentizität
Zurechenbarkeit
Verbindlichkeit
Verlässlichkeit
Informationen
Anforderungen Informationen Erwartungen
Normative Anforderungen Erwartungen
Login ins Passwörter
Zugangs-Codes Zugriffs-Codes
Unternehmensdaten Kundenstamm
Lieferantenstamm Personalstamm…
Zutrittskontrolle zu Gebäuden und Serverräumen...
Zugangskontrolle Authentifikation
Zugriffskontrolle Berechtigungskonzept
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
19
Datenschutz Schutz des Rechts auf informationelle Selbstbestimmung, Schutz der Persönlichkeitsrechte bei der Datenverarbeitung. Datenschutz stellt zugleich die Privatheit des Einzelnen wieder in den Mittelpunkt und schütz dessen Privatsphäre(vgl. § 1 Abs.1 BDSG).
Begriffsabgrenzung
Datensicherheit - (Data must be Complete, Intact and Available!) – CIA. Ziel der Datensicherheit ist es, Daten vor Verlust, Verfälschung(Integrität) und vor unbefugtem Zugang, Zugriff zu bewahren. Durch unterschiedliche vorbeugende Maßnahmen sollen Daten vor diversen Risiken geschützt werden(vgl. Anlage zu § 9, Nr. 1 bis Nr. 5 BDSG).
Datensicherung – (Verfügbarkeitskontrolle) Ziel der Datensicherung ist es, Sicherungskopien (sog. Backups) von Datenbeständen anzufertigen und diese an einem sicheren Ort zu verwahren. Im Falle eines Datenverlustes oder einer Datenverfälschung kann dann, der ursprüngliche(originale) Datenbestand wieder hergestellt werden.(vgl. Anlage zu § 9, Nr. 7 BDSG).
1
2
3
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
20
§ 1 Zweck des Gesetzes Zweck dieses Gesetzes ist es, durch technologieneutrale Regulierung den Wett-bewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikations-infrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten.
(1) Die Regulierung der Telekommunikation ist eine hoheitliche Aufgabe des Bundes. (2) Ziele der Regulierung sind:
1. die Wahrung der Nutzer-, insbesondere der Verbraucherinteressen auf dem
Gebiet der Telekommunikation und die Wahrung des Fernmeldegeheimnisses.
Telekommunikationsgesetz (TKG)
§ 88 Abs. 1 TKG - Dem Fernmeldegeheimnis unterliegen…
Telefon E-Mail Fax SMS 1 2 3 4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
21
Anbieterkennzeichnung - Impressum gemäß TMG & RStV
Telemedien-
gesetz (TMG)
Impressumspflicht gemäß § 5 TMG
2007
Rundfunkstaats-
vertrag (RStV) Journalistisch-redaktioneller
Inhalt nach § 55 Abs. 2 RStV
2007
Eigene Haftung für Inhalte der Webseite gemäß § 7 Abs. 1 TMG
Freiwillige Einwilligung, , widerruf gemäß § 13 Abs. 2 TMG
Haftungsausschluss – Disclaimer Gemäß §§ 8 bis 10 TMG
Telemediendiensteanbieter gemäß § 13 Abs. 1 TMG
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
22
Datenschutzpuzzel - weisen Sie den Aussagen die § zu.
Besondere Arten personenbezogener Daten
Mehr als 9 Personen pbD verarbeiten
§ 1 Abs. 3. S. 1
§ 5 TMG § 4d Abs. 5
1 2 3
1
4
A C D
5
7
6
B
E F G
H
9
§ 1 Abs. 1
I
24
A
§ 4f Abs. 1 Satz 4
Impressumspflicht
8
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
23
Übung § 3 Weit . . . Begriffsbestimmungen Abs. . – . BDSG
Erh…… Nutz…
Datenverarbeitungsschritte gemäß § 3 Abs. . – . BDSG
Überm…… Ver…… Sp….. Lö….. Sp…….
Ver……….
(1) Personenbez…… Dat.. (2) Automat..….. Verarb…….
(6) Anonym……. (7) Verantwortl…. S…..
(8) Empf….. (9) Besond… Art.. pb.
(10) Mob… pb Speich..- (11) Beschäft…. sind
§ 3 Weitere Begriffsbestimmungen Abs. . – . . BDSG
(6a) Pseudonym…….
25
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
24
Welches ist die aktuelle BDSG Novelle und aus welchem Jahr ist diese?
Was ist der Zweck des BDSG, inkl. Angabe des Paragraphen?
In welchem § wird beschrieben, dass das BDSG subsidiär ist? Was bedeutet der Begriff „Subsidiaritätsprinzip“? Welches ist die aktuelle EU-DSRL und aus welchem Jahr ist diese? In welchem § werden die besonderen Arten pbD beschrieben? Welche Arten von Daten können eine Datenschutzpanne auslösen, inkl. §? Unter welchem § finden Sie die Aufgaben des Datenschutzbeauftragten? In welchem § ist die Bestellpflicht eines DSB beschrieben? Wann liegt ein Verstoß gegen § 88 Abs. 1 TKG vor?
Zusammenfassend – Datenschutzfragen erster Tag 29
A
B
C
D
E
F
G
H
I
J
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
25
Anwendbarkeit der Datenerhebung und der Vorabkontrolle
J N
Weitere wichtige Informationen für den Beauftragte für den Datenschutz, gibt es im Seminar „Datenschutz praktisch Angewandt“.
Ein Bauunternehmen speichert sensible Daten gemäß § 3 Abs. 9 über seine Kunden?
Ein Anzeigen-Verlag verarbeitet Chiffre-Anzeigen im Bereich
„Bekanntschaften“…. Unterliegt dies der Vorabkontrolle?
In einem Personalstamm(Beschäftigungsdatenschutz) werden Daten über die Religionszugehörigkeit gespeichert?
Ein Unternehmen möchte eine Arbeitszeitüberwachung seiner Mitarbeiter einführen, ist dies erlaubt? Unterliegt dies der Vorabkontrolle?
Ein Arzt verarbeitet Gesundheitsdaten mit seiner Patientenverwaltung. Unterliegt dies der Vorabkontrolle?
1
2
3
4
5
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
26
Auftraggeber(A) Verantwortliche
Stelle Auftragnehmer(B)
Unterauftragnehmer(C)
Unterauftragnehmer(D)
Auftragnehmer(E)
Auftragsdatenverarbeitung gemäß § 11 BDSG Schematischer Datenfluss zwischen den Unternehmen
Beschreiben Sie die Auftragsverhältnisse gemäß § 11 BDSG zwischen den Unternehmen. Auftraggeber(A) bittet Auftragnehmer(B) die Daten an Auftragnehmer(E) zu übersenden, ist die zulässig?
1
2
Personen bezogene Daten
32
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
27
Anlage zu § 9 (Technische und organisatorische Maßnahmen) – Nr. 1 bis 8
Zutrittskontrolle zu Gebäuden und Serverräumen... § 9 plus Anlage Nr. 1
Zugangskontrolle Authentifikation
Benutzername und Passwort, Firewalls…
Zugriffskontrolle Berechtigungskonzept
Verschlüsselungsverfahren mit Passwort……
§ 9 plus Anlage Nr. 3
1 2
3 4
5
6
7
8
Weitergabekontrolle(SSL, VPN…)
Eingabekontrolle(Protokolldatei…)
Auftragskontrolle(gem. § 11 BDSG)
Verfügbarkeitskontrolle(Backups…)
Zwecktrennungsgebot (Zweckb.)
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
28
1. • Zutrittskontrolle
2. • Zugangskontrolle
3. • Zugriffskontrolle
4. • Weitergabekontrolle
5. • Eingabekontrolle
6. • Auftragskontrolle
7. • Verfügbarkeitskontrolle
8. • Zwecktrennungsgebot
Anlage (zu § 9 Satz 1) IT – Sicherheit
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
29
ISO/IEC 27001 Information Security Management System(ISMS)
BSI steht für? Bundesamt für Sicherheit in der Informationstechnik Was macht das BSI? Das BSI untersucht Sicherheitsrisiken bei der Anwendung der Informationstechnik und entwickelt Sicherheitsvorkehrungen Die IT-Grundschutz-Standards
BSI-Standard 100-1: Managementsysteme für Informationssicherheit(ISMS)
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
BSI-Standard 100-4: Notfallmanagement
Über das BSI
A
B
C
1
2
3
4
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
30
Abkürzungsverzeichnis
BAG Bundesarbeitsgericht BDSG Bundesdatenschutzgesetz BGB Bürgerliches Gesetzbuch BGH Bundesgerichtshof BRAO Bundesrechtsanwaltsordnung BSI Bundesamt für Sicherheit in der Informationstechnik BVerfG Bundesverfassungsgericht BetrVG Betriebsverfassungsgesetz
HE Höchstrichterliche Entscheidung HGB Handelsgesetzbuch
SigV Signaturverordnung StGB Strafgesetzbuch SGB Sozialgesetzbücher SigG Signaturgesetz SigV Signaturverordnung SchulG Schulgesetz
DV Datenverarbeitung
ISO International Organization for Standardization i.S.v. im Sinne von i.V.m. in Verbindung mit ISMS Information Security Management System
TKG Telekommunikationsgesetz TMG Telemediengesetz TV Tarifvertrag
EuGH Europäischer Gerichtshof EWR Europäischer Wirtschaftsraum
KUG Kunsturhebergesetz KWG Kreditwesengesetz
UrhG Urheberrechtsgesetz UWG Gesetz gegen unlauteren Wettbewerb
GG Grundgesetz GewO Gewerbeordnung
MeldeG Meldegesetze MDStV Mediendienstestaatsvertrag
ZPO Zivilprozeßordnung
© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler
© S
emin
ar b
etri
eb
lich
er
Dat
ensc
hu
tzb
eau
ftra
gter
ge
mäß
§ 4
f A
bs.
2 S
. 1 B
DSG
.
31
Urheberrechte - Bildernachweis
Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: „Betrieblicher Datenschutzbeauftragter gemäß §§ 4f, 4g BDSG“ dienen, wurden erworben bei Fotolia.com
http://de.fotolia.com/id/45001493 http://de.fotolia.com/id/27195025 http://de.fotolia.com/id/29437951 http://de.fotolia.com/id/33652250 http://de.fotolia.com/id/34053562 http://de.fotolia.com/id/38818944 http://de.fotolia.com/id/37944046 http://de.fotolia.com/id/48979689 http://de.fotolia.com/id/20188400 http://de.fotolia.com/id/46162734 http://de.fotolia.com/id/38751832 http://de.fotolia.com/id/19111399 http://de.Fotolia.com/id/63894975 http://de.Fotolia.com/id/60653520 http://de.Fotolia.com/id/53470038 http://de.Fotolia.com/id/48005618 Quellangaben: BDSG III von 2009, www.bfdi.bund.de, www.bsi.bund.de, ww.lfd.niedersachsen.de, Datenschutz von A bis Z (Haufe), beck-online.beck.de, Hajo Köppen Datenschutz A bis Z.