Herzlich Willkommen zur Datenschutzschulung für Mitarbeitende im Institut für Menschenrechte Was ist Datenschutz? Datenschutz unterstützt Menschen darin ihre Persönlichkeitsrechte wahrzunehmen bzw. durchzusetzen Grundlage hierfür ist das Grundgesetz (GG Artikel 2) Das bedeutet frei darüber entscheiden zu können, wer persönliche Daten über mich erhält, welche Daten er erhält und was er damit machen darf. Wer hat diese Recht? Jede natürliche Person hat das Recht auf informationelle Selbstbestimmung (auch nicht geschäftsfähige Personen können über die Verwendung ihrer eigenen Daten selbst bestimmen. Die allerdings nur in dem Rahmen, in dem sie die Folgen ihrer Entscheidung einschätzen können.) Wo ist der Datenschutz geregelt? Bundesgesetz zum Datenschutz ergab sich aus dem Volkszählungsurteil von 1983 (Klage von Bürgern über Selbstbestimmung über die eigenen Daten) Verabschiedung Bundesdatenschutzgesetz 1990 Novellierungen 2003, 2009, 2012 Wo ist der Datenschutz geregelt? Bundesdatenschutzgesetz ist Auffanggesetz und gilt immer dann, wenn kein vorrangiges Gesetz greift Schutz des Namens § 12 (BGB) Recht am eigenen Bild § 22 (KuG) Gesetz gegen unlauteren Wettbewerb (UWG) Sozialgesetzbuch (SGB X) Strafgesetzbuch (StGB) Telekommunikationsgesetz (TKG) ...und für das Institut? Bundesdatenschutzgesetz (BDSG) Es regelt den Umgang mit personenbezogenen Daten auf Bundesebene Es gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Begriffsbestimmung 7 Personenbezogene Daten (§ 3 BDSG) sind..... Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Beispiele Name, Anschrift, Titel, Beruf, Familienstand.... Religions-, Partei-, Vereinszugehörigkeit, Zahlungsverhalten, Krankheiten, Vorstrafen, Daten des Lebens- laufes, Beurteilungen, ... Einkommen, Steuern, Vertrags- konditionen, Besitzverhältnisse, Pers.-Nr., Sozialvers.-Nr., Kunden-Nr., Konto-Nr., Zähler-Nr., Versicherungs-Nr., ... Mitarbeiter der Firma, ... erhält Arbeitslosengeld, besitzt Immobilie, fährt Kfz-Typ, ... Jahresstromverbrauch, ... Begriffsbestimmungen Besondere Arten personenbezogener Daten § 3 Abs. 9 BDSG rassische und ethnische Herkunft politische Meinungen religiöse und philosophische Überzeugung Gewerkschaftszugehörigkeit Gesundheit Sexualleben Zulässigkeit der Datenerhebung 9 Verbotsprinzip Für die Verarbeitung von personenbezogenen Daten gilt das sog. Verbot mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen nicht erhoben, verarbeitet oder genutzt werden es sei denn, dies sieht eine Rechtsvorschrift vor oder der Betroffene willigt ein. Direkterhebung Daten können bei Dritten erhoben werden, dann besteht aber eine Informationspflicht gegenüber dem Betroffenen Begriffsbestimmung Erheben Verarbeiten ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt Anonymisieren ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren. Nutzen ist das Beschaffen von personenbezogenen Daten über die betroffene Person. ist das Verändern personenbezogener Daten derart, dass die Einzelangaben nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand einer betroffenen Person zugeordnet werden können. Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen Datenschutz im Unternehmen Der gesetzeskonforme Umgang mit pb Daten wird in Unternehmen im BDSG § 9 und Anlage geregelt Technische und organisatorische Maßnahmen Diese beschreiben wie Sie bei der täglichen Arbeit dazu beitragen können, dass Ihre und die Ihnen anvertrauten Daten sicher sind! Die technischen und organisatorischen Maßnahmen sind in ihrem Aufwand entsprechend dem angestrebten Schutzzweck umzusetzen. Ihr Beitrag zum Datenschutz Zutrittskontrolle Bitte schließen Sie Ihre Tür, wenn Sie das Büro verlassen. Melden Sie Ihrem Vorgesetzten umgehend, wenn Sie Ihren Dienstschlüssel verlieren. Ihr Beitrag zum Datenschutz Schutz der Integrität der Daten Bitte nutzen Sie zur Anmeldung auf dem Server keine öffentlichen und kostenlosen Hotspots. Bitte trennen Sie dienstliche von privaten Daten. Bitte nutzen Sie soziale Netzwerke nicht für den Austausch dienstlicher Themen mit Personenbezug. Ihr Beitrag zum Datenschutz Zugangskontrolle Bitte halten Sie Ihr Passwort geheim. Bitte sperren Sie Ihren Bildschirm wenn Sie den Arbeitsplatz verlassen. Ihr Beitrag zum Datenschutz Zugriffskontrolle Bitte melden Sie jede Auffälligkeit am PC dem IT-Verantwortlichen. Bitte melden Sie jeden Verdacht auf Datenpannen dem ITVerantwortlichen. Was tun gegen Datenverlust? Datenverlust kann aufgrund verschiedener Ursachen auftreten und beispielsweise auf Computerviren, Hardwarefehler oder Beschädigungen der Dateien zurückzuführen sein oder durch Feuer, Wasserschaden oder Diebstahl verursacht werden. Als Unternehmen haben Sie vor allem kritische Finanz-, Kunden- und Firmendaten zu schützen. Auf einem privaten PC sind häufig Finanzdaten und andere Media- oder Datendateien in Gefahr, die nur schwer zu ersetzen wären Berücksichtigen Sie bei der Planung Ihrer Datensicherungen folgende Punkte: Welche Dateien sollen gesichert werden? Wie häufig sollen die Dateien gesichert werden? Auf welche Weise sollen die Dateien gesichert werden? Auf welcher Art von Datenträgern sollen die Dateien gesichert werden? Wo sollen die Sicherungskopien aufbewahrt werden? Vernichtung und Archiv Digitale Akten sollten automatisch nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht werden Papierakten und Datenträger müssen datenschutzkonform vernichtet werden DIN 66399/1-3 Rechte des Betroffenen 18 Der Betroffene jederzeit das Recht auf... Information über die von ihm gespeicherten Daten bzw. Datenkategorien inkl. Auskunft über Herkunft und Übermittlung Löschung bzw. Korrektur falscher Daten Auskunft auch bei Datenpannen Mitarbeiterdaten Erhebung, Verarbeitung und Nutzung zur Abwicklung des Dienstverhältnisses zulässig Übermittlung an Stellen außerhalb des kirchlichen Bereichs, wenn kirchliche Interessen nicht entgegenstehen und das rechtliche Interesse dargelegt wird Art oder Zielsetzung des Beschäftigten übertragenen Aufgaben die Übermittlung erfordert im Interesse der betroffenen Person liegt Übermittlung von Daten an künftige Dienstherrn oder Arbeitgeber nur mit Einwilligung des Betroffenen! Beauftragte für den Datenschutz Aufgaben des Betriebsbeauftragten für den Datenschutz: Wachen über die Einhaltung der Vorschriften Prüfung von personenbezogenen Daten Herausgabe von Empfehlungen Gutachten erstellen Einsichtsrecht Mitteilungspflicht Erfahrungsaustausch 21 …denn es braucht Jahre, um den Ruf eines sicheren Unternehmens zu schaffen; nur Sekunden um ihn zu verlieren! Für Fragen stehe ich gern zur Verfügung, sprechen Sie mich an! Rebecca Wiemer Datenschutz – Beratung & Service Tel. 030-920 38 35 30 2 Mail: [email protected]