Universität Dortmund
Datenschutzbeauftragter
Datenschutz in the small
Dr. Kai-Uwe Loser
Universität Dortmund
Datenschutzbeauftragter
Als Bürger betrifft mich das, aber als Informatiker?
Als Systementwickler, Konfigurator, Administrator
etc.  Datenschutz ist Aufgabe von Informatikern
Perspektive wechseln!
Kritischer Bürger
Entwickler / Systembetreiber
Universität Dortmund
Verfahrensprüfung und
Systemgestaltung
Datenschutzbeauftragter
Prinzipien
Prüfung und Gestaltung
Verbotsvermutung und
Erlaubnisvorbehalt
Rechtsgrundlage finden
Transparenz
Verfahrensverzeichnis,
Informierung, Einwilligung
Datenvermeidung
Minimierung
Zweckbindung
Zwecke klar und vollständig
beschreiben
Datensicherheit
Sicherungsmaßnahmen
Löschung
Löschungsregeln festlegen
Rechte der Betroffenen
Rechte umsetzbar?
Universität Dortmund
Datenschutzbeauftragter
Verfahrensverzeichnis nach §4g
Name /Firma – Vorstände Geschäftsführer etc. -Anschrift
Zweckbestimmung der Verarbeitung
Betroffene Personengruppen
Datenarten
Übermittlung
Löschfristen
Übermittlung an Drittstaaten
Sicherungsmaßnahmenbeschreibung
Universität Dortmund
Datenschutzbeauftragter
Rechtsgrundlage nicht öffentlicher
Bereich
§28 regelt: Erhebungs- und Verarbeitungserlaubnis:
DV als Hilfsmittel zur Erfüllung von
Vertragsverhältnissen
Kauf-, Wartungs-, Beratungs-, Arbeits-, Arzt-, Reise-,
Mitgliedschaft
Geschäftliche, gewerbliche, berufliche Zwecke
Eigene Zwecke
Universität Dortmund
§28 Datenerhebung, -verarbeitung
und -nutzung für eigene Zwecke
Datenschutzbeauftragter
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener
Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist
zulässig
1. wenn es der Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle
erforderlich ist und kein Grund zu der Annahme besteht, dass das
schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung
oder Nutzung überwiegt oder
3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie
veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des
Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem
berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten
verarbeitet oder genutzt werden sollen, konkret festzulegen.
Universität Dortmund
§ 28 Ausnahmen Zweckbindung
und Übermittlung
Datenschutzbeauftragter
Abs. 2: Anderer Zweck nur im Falle Nr. 2 und 3 (Abs
(1))
Abs. 3: Zweckbindung ist aufgehoben wenn
Zur Wahrung berechtigter Interessen Dritter
Abwehr von Gefahren für öffentliche Sicherheit
Werbung und Meinungsforschung: Nur Zusammengestellte
Adressdaten
Forschung
Abs. 4: Widerspruch zur Verwendung für Werbung
und „Markt- und Meinungsforschung Löschung bzw.
Sperrung
Abs. 5 Zweckbindung bei empfangenden Stellen
Universität Dortmund
Datenschutzbeauftragter
§28 – „besondere Daten“
Abs. 6: Besondere Daten nur dann zulässig
mit Einwilligung oder
..lebenswichtige Interessen des Betroffenen oder eines Dritten
..veröffentlichte Daten
..für rechtliche Ansprüche erforderlich
..Forschung mit öffentlichem Interesse
Abs. 7: Medizinischer Bereich
Abs. 8: Zweckbindung: Ausnahmen sehr
eingeschränkt.
Abs. 9: Vereine, die politisch, philosophisch,
gewerkschaftlich, religiös ausgerichtet sind.
Universität Dortmund
Datenschutzbeauftragter
Zwecke
Müssen etwas mit dem im Handelsregister
eingetragenen Geschäftszweck zu tun haben.
Müssen expliziert werden in der Einwilligung,
Verfahrensverzeichnis.
Ergeben sich aus (expliziten) Verträgen
Ergeben sich aus rechtlichen Verpflichtungen
Universität Dortmund
Datenschutzbeauftragter
Verfahrensprüfung und
Systemgestaltung
Rechtsgrundlage finden: z.B. §28 BDSG
Verfahrensverzeichnis, Informierung, Einwilligung
Zwecke klar und vollständig beschreiben:
Verfahrensverzeichnis
Löschungsregeln festlegen: Verfahrensverzeichnis
Rechte umsetzbar?
Minimierung
Sicherungsmaßnahmen
Universität Dortmund
Datenschutzbeauftragter
Maßnahmen nach BDSG
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennung von Zwecken
Universität Dortmund
Datenschutzbeauftragter
Schutzstufen
Nach Datenschutz:
Nach Datensicherheit:
a.
Frei zugängliche Daten
a.
b.
Daten, deren Missbrauch keine
besondere Beeinträchtigung für
Betroffene erwarten lässt.
Daten, deren Missbrauch Betroffene in
ihrer gesellschaftlichen Stellung
beeinträchtigen kann
b.
Daten, deren Missbrauch erheblichen
Einfluss auf die gesellschaftliche
Stellung oder die wirtschaftlichen
Verhältnisse eines Betroffenen haben
kann.
Daten, deren Missbrauch
unmittelbaren Einfluss auf Gesundheit,
Leben oder Freiheit von Betroffenen
haben kann.
d.
c.
d.
e.
c.
Daten, deren Missbrauch keine
besondere Beeinträchtigung erwarten
lässt.
Daten, deren Missbrauch die
Handlungsfähigkeit des Unternehmens
beeinträchtigen kann.
Daten, deren Missbrauch die
Handlungsfähigkeit des Unternehmens
erheblich beeinträchtigen kann.
Daten, deren Modifizierung, Verlust oder
Mißbrauch die Handlungsfähigkeit des
Unternehmens gefährdet.
e.
f.
Daten, deren Modifizierung, Verlust oder
Mißbrauch die Existenz des
Unternehmens bedroht.
Universität Dortmund
Datenschutzbeauftragter
Maßnahmen planen
BSI- Grundschutzhandbuch
(www.bsi.de)
Aufteilung der Maßnahmen in
Infrastruktur
Organisation
Personal
Hard- und Software
Kommunikation
Notfallvorsorge
Prozessorganisation  STWT
Aufgaben, Sichtbarkeit, Wahrnehmen minimieren
Frühzeitige Anonymisierung/Pseudonymisierung
Berechtigungskonzept
Universität Dortmund
Datenschutzbeauftragter
Wiederkehrende Sicherheitsbausteine
Mögliche Sicherheitsbausteine einer Organisation:
Räumliche Sicherung
Backup
gesicherte Netzstruktur
Software-Wartung
Notfallvorsorge
Authorisierungsmechanismen und Identity-Management
Selten wiederkehrend:
Ausfallsicherheit
Personelle Verantwortlichkeiten
Teilweise sollte in den Bausteinen nach Schutzstufen
unterschieden werden

Datenschutzbeauftragter