Datenschutz und die neue Datenschutzordnung - Prof. Dr. Rainer Rumpel Datenschutzbeauftragter Bundeskonferenz Kassel Mai 2018 - Bund Evangelisch ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
15.05.2018
Forum Datenschutz
Datenschutz und die neue
Datenschutzordnung
Prof. Dr. Rainer Rumpel
Datenschutzbeauftragter
Bundeskonferenz
Kassel
Mai 2018
Forum Datenschutz
115.05.2018
Forum Datenschutz
Referent
• Prof. Dr. rer. nat. Rainer Rumpel
• Ältester der Evangelisch-Freikirchlichen Gemeinde Berlin-Tempelhof
• Professor für Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht
Berlin (HWR)
• Unternehmensberater
• Vom TÜV Saarland zertifizierter Auditor für ISO/IEC 27001
(Informationssicherheitsmanagement)
• Datenschutzbeauftragter des Bundes Evangelisch-Freikirchlicher Gemeinden in
Deutschland
• Mitglied bei den Normenausschüssen für IT-Sicherheitsverfahren bei DIN und
ISO
Forum Datenschutz
Datenschutz – warum und wozu?
• Die besondere Würde des Menschen ist von Gott gegeben.
• Grundgesetz: „Die Würde des Menschen ist unantastbar.“
• Datenschutz ist nicht in erster Linie Schutz von Daten, sondern Schutz von
Menschen vor missbräuchlicher Datenverarbeitung.
• Wir sollten als Christen diesen Schutz aktiv unterstützen und damit –
insbesondere im Zeitalter der Informationsgesellschaft - einen Beitrag zur
Menschenwürde und zur freien Entfaltung der Persönlichkeit leisten.
• Last but not least Charta der europäischen Grundrechte: „Jede Person hat
das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
215.05.2018
Kirchenrecht
Forum Datenschutz
Grundgesetz
Grundgesetz Artikel 140 sagt:
„Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten
selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie
verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen
Gemeinde.“
Kirchenrecht ist
• das von den Kirchen in Ausübung ihres Selbstverwaltungs- und
Selbstordnungsrechtes, das ihnen das Grundgesetz gewährt, selbst gesetzte
Recht;
• das Binnenrecht der Kirchen, das die kirchliche Organisation, die kirchlichen
Ämter usw. regelt.
315.05.2018
Forum Datenschutz
Kirchenrecht im Bund Ev.-Freik. Gemeinden
• Im Rahmen des Kirchenrechts hat sich der Bund Ev.-Freik. Gemeinden eine
Datenschutzordnung gegeben (verabschiedet am 23. Mai 2009).
• VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES
RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten …
Kirchenrecht siehe Artikel 91: Wendet eine Kirche oder eine religiöse
Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des
Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher
Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt
werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
Neue Datenschutzordnung
415.05.2018
Forum Datenschutz
Gliederung
ERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN
ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON
DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND
DER AUFTRAGSVERARBEITER
VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN
DATENSCHUTZ
FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE
VERARBEITUNGSSITUATIONEN
SECHSTER ABSCHNITT: DATENSCHUTZ IN RECHTLICH SELBSTÄNDIGEN
EINRICHTUNGEN UND GEMEINDEN
SIEBENTER ABSCHNITT: SCHLUSSBESTIMMUNGEN
Forum Datenschutz
Rechte für Betroffene (2. Abschnitt)
• Information durch die verantwortliche Stelle (§10)
• Recht auf Information (§11)
• Recht auf Berichtigung (§12)
• Recht auf Löschung (§13)
• Recht auf Einschränkung der Verarbeitung (§14)
515.05.2018
Forum Datenschutz
Datenschutzbeauftragte (4. Abschnitt)
• Bestellung und Stellung des Bundesbeauftragten für Datenschutz gemäß §24
– Das Präsidium des Bundes bestellt einen Bundesbeauftragten für Datenschutz.
– Wichtige Aufgaben gemäß §25
• Sensibilisierung, Information und Beratung von Stellen des Bundes
• Weiterleitung von Beschwerden betroffener Personen an den Datenschutzrat
• Überwachung der Einhaltung dieser Ordnung durch Durchführung von Prüfungen
• Dezentrale Beauftragte gemäß § 26
– Erforderlich: wenn in der Regel mindestens zehn Personen ständig mit der
Verarbeitung personenbezogener Daten betraut sind.
– Freiwillig: Bestellung ist jederzeit möglich.
Forum Datenschutz
Aufsichtsgremium (4. Abschnitt)
• Eine eigene Datenschutzordnung ermöglicht eine
Datenschutzaufsichtsbehörde im BEFG.
• Alternative: Unsere personenverzogenen Datenverarbeitungen stehen unter
Aufsicht des Staates.
• Auszug aus §27
(1) Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium
für den Datenschutz (Datenschutzrat).
(2) Der Datenschutzrat wird vom Bundesbeauftragten für den Datenschutz geleitet
und nach außen vertreten.
(3) Der Leiter des Datenschutzrats und sein Stellvertreter werden vom Präsidium
des Bundes berufen ...
(6) Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der
Ausübung seiner Befugnisse völlig unabhängig.
615.05.2018
Forum Datenschutz
Geldbußen gemäß EU-Verordnung (4. Abschnitt)
Geldbußen: sind vorzusehen.
Entwurf DSO: Bei Verstößen werden … Geldbußen von bis zu 100.000
Euro verhängt. Nimmt die Stelle nicht als Unternehmen am Wettbewerb
teil (z.B. Gemeinden), so gilt als Höchstgrenze 50.000 Euro.
Vergleich mit EU-Verordnung: max. 20 Mio. EUR!
Vergleich mit dem Datenschutzgesetz der Ev.Kirche: max. 500.000 EUR
Entwurf DSO: Die gegebenenfalls vereinnahmten Gelder werden auf
Beschluss des Datenschutzrats Stellen des Bundes zur Verwendung in
Mission oder Diakonie zur Verfügung gestellt.
Forum Datenschutz
Schadensersatz (4. Abschnitt)
• Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein
Schaden entstanden ist, hat einen Anspruch auf Schadensersatz gegen die
verantwortliche Stelle (z.B. Gemeinde vertreten durch die Gemeindeleitung).
• Gemäß EU-Datenschutzgrundverordnung geht es in der Regel nicht um die
Haftung Einzelner, sondern um die Haftung der Institution.
• Um von der Haftung befreit zu werden, muss die verantwortliche Stelle
nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der
Schaden eingetreten ist, verantwortlich ist.
715.05.2018
Forum Datenschutz
Risikomanagement (3. Abschnitt)
§ 18 Technische und organisatorische Maßnahmen
Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben
unter Berücksichtigung des Stands der Technik, der Implementierungskosten
und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher
Personen geeignete technische und organisatorische Maßnahmen zu treffen
und zu dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu
gewährleisten.
Forum Datenschutz
Risikomanagement (3. Abschnitt)
§ 23 Datenschutz-Folgenabschätzung
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge, so führt die verantwortliche Stelle vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den
Schutz personenbezogener Daten durch ...
815.05.2018
Praxis:
Datenschutz-
Folgenabschätzung
gemäß §23 DSO neu
Forum Datenschutz
Grundlagen
Datenschutz-Folgenabschätzung (DSFA)
• Prozess, um das Risiko zu erkennen und zu bewerten, das für Personen in
dessen unterschiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch
personenbezogenen Datenverarbeitung durch eine Organisation für dessen
Grundrecht auf informationelle Selbstbestimmung entsteht.
• ersetzt die Meldepflicht von personenbezogenen Verarbeitungstätigkeiten
bei der Aufsichtsbehörde
• muss vor Aufnahme der Datenverarbeitung erfolgen, wenn „aufgrund
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen zur Folge“ hat
915.05.2018
Forum Datenschutz
Verzeichnis der Verarbeitungstätigkeiten
• Erforderlich in vollem Umfang, wenn eine Stelle des Bundes mindestens 50
Beschäftigte hat
• Ansonsten nur für Verfahren, die besondere Daten (z.B. Daten zur
ethnischen Herkunft, Gesundheit oder religiösen Überzeugung) verarbeiten
PRAXISHINWEIS: Da das Verarbeitungsverzeichnis eine wichtige Hilfe bei der
Durchführung von Datenschutzfolgenabschätzungen ist, empfiehlt sich (nach und
nach) eine Aufstellung des Verzeichnisses in vollem Umfang.
Forum Datenschutz
Zwingendes Erfordernis für eine DSFA
1. umfangreiche Verarbeitung
– besonderer personenbezogener Daten oder
– von personenbezogenen Daten über strafrechtliche Verurteilungen und
Straftaten und
2. systematische umfangreiche Überwachung öffentlich zugänglicher
Bereiche (typischerweise Videoüberwachung)
1015.05.2018
Forum Datenschutz
Vorgeschriebene Elemente mit Reihenfolge
1. Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
Verarbeitung (↔ §20 Verarbeitungsverzeichnis)
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den Zweck (↔ §8 Zulässigkeit)
3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen
Personen
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen /
Sicherheitsvorkehrungen, durch die der Schutz personenbezogener Daten
sichergestellt wird
Die Dokumentation der Schritte sollte prozessbegleitend erfolgen.
Forum Datenschutz
PRAXISHILFE ZUR VERHÄLTNISMÄSSIGKEIT
Die Verarbeitung ist insbesondere dann unverhältnismäßig, wenn sie gegen
eines der folgenden Prinzipien verstößt:
• Prinzip der Zweckbindung
Beispiel: Zweck der Verarbeitung ist nicht definiert
• Prinzip der Datenminimierung
Beispiel: Unnötig viele Daten werden gespeichert.
• Prinzip der Speicherzeitbegrenzung
Beispiel: Es sind keine Löschfristen festgelegt.
1115.05.2018
Forum Datenschutz
PRAXISHILFE ZUR RISIKOBEWERTUNG
• Beispiel für ein Bewertungsschema (noch nicht gemeindespezifisch)
Die Begründungen zu den Einschätzungen sollten dokumentiert werden.
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
• Erforderlichkeit
Eine DSFA ist erforderlich, weil dort Daten von Personen gespeichert werden, bei
denen aufgrund ihrer Eintragung in das Verzeichnis auf ihre religiöse Überzeugung
(besondere Daten) geschlossen werden kann.
• Beschreibung des Verarbeitungsvorgangs
Bezeichnung der Zweck der Verarbeitung Beschreibung der Verarbeitung
Verarbeitungs- Kategorien betroffener besonderer
tätigkeit Personen Daten
Führen eines Aufgabenerfüllung der Gemeinde Personen, die Mitglieder der ja
Mitglieder- (insbesondere Kontaktaufnahme) Gemeinde werden, sind oder
verzeichnisses ggf. waren.
• Falls das Verzeichnis auch Freunde umfasst, handelt es sich um ein anderes
Verfahren.
1215.05.2018
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
Bewertung der Notwendigkeit der Verarbeitungsvorgänge in Bezug auf den
Zweck
Die Verarbeitung der Mitgliederdaten ist für die Aufgabenerfüllung der
Gemeinde (insbesondere Kontaktaufnahme) notwendig.
§5 Rechtmäßigkeit der Verarbeitung Absatz (2): …Verarbeitung … zulässig,
wenn … die Verarbeitung ist zur Erfüllung der Aufgaben der
verantwortlichen Stelle erforderlich …
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
Bewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf
den Zweck
• Zweckbindung: Angemessener Zweck ist gewährleistet. Zu beachten:
Umwidmung des Verarbeitungszwecks würde zu einem anderen Verfahren
führen.
• Datenminimierung: Hier ist klar zu definieren und zu dokumentieren, welche
Datentypen gespeichert werden sollen. Unverhältnismäßig wären z.B.:
Herkunftsreligion, Hobbys. Auch der Verteilerkreis ist einzuschränken.
• Speicherzeitbegrenzung: Hier ist zu definieren und zu dokumentieren,
welche Kriterien für das Löschen gelten (z.B. „6 Monate nach Tod“ oder „3
Monate nach Austritt“)
1315.05.2018
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
Bewertung der Risiken für die Rechte und Freiheiten der betroffenen
Personen
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
Datensicherheitsziele gemäß §18 beachten: Vertraulichkeit, Integrität,
Verfügbarkeit
Verletzung Datenver- Begründung
arbeitungsrisiko
Vertraulichkeit gering Durch Offenlegung der Daten an Unbefugte kann der Betroffene in
seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen
Verhältnissen nur geringfügig beeinträchtigt werden. (zurzeit und in
Deutschland)
Integrität gering Durch Manipulation der Daten kann die Kontaktaufnahme erschwert
werden, ebenfalls die Geltendmachung von Spenden. Eine Korrektur
der Daten ist der Regel leicht möglich.
Verfügbarkeit mäßig Durch Verlust der Mitgliederdaten kann die Kontaktaufnahme erschwert
werden, ebenfalls die Geltendmachung von Spenden. Weiterhin kann
das Auskunftsrecht (§12) beeinträchtigt sein.
1415.05.2018
Forum Datenschutz
Fallbeispiel Mitgliederverzeichnis
Abhilfemaßnahmen / Sicherheitsvorkehrungen
• Das Verfügbarkeitsrisiko muss gemäß §18 (Technische/organisatorische
Maßnahmen) behandelt werden.
– Pseudonymisierung kein Einfluss auf die Verfügbarkeit
– Verschlüsselung kein positiver Einfluss auf die Verfügbarkeit
– Zuverlässige Datensicherung positiver Einfluss auf die Verfügbarkeit
– Rasche Datenwiederherstellung positiver Einfluss auf die Verfügbarkeit
• Konkrete Maßnahmen festlegen und dokumentieren
• Restrisiko beurteilen …
Forum Datenschutz
MERKBLATT ZUM DATENSCHUTZ VERFÜGBAR
1. Christliche Gemeinden und Einrichtungen müssen (neue)
Datenschutzanforderungen erfüllen!
2. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?
3. Was passiert, wenn keine Einwilligung vorliegt bzw. diese nicht eingeholt
werden kann?
4. Worauf ist zu achten, wenn eine Einwilligung eingeholt wird?
5. Was ist bei Daten zur religiösen Überzeugung zu berücksichtigen?
6. Was ist sonst noch bei der Nutzung von Daten von Gemeindemitgliedern zu
bedenken? Was ist bei der gemeindeeigenen Website zu bedenken? …
Autor: Rechtsanwalt Frank Schilling
Quelle: https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/
1515.05.2018
Forum Datenschutz
Prof. Dr. Rainer Rumpel
datenschutzbeauftragter@baptisten.de
https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/
16Sie können auch lesen
