|
|
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
Verantwotung: Verantwortlich ist die datenverarbeitende Stelle |
|
|
|
Test und Freigabe, Verfahren |
|
|
|
||
|
|
Über uns als Person sind vielfältge Informationen bei Institutionen gespeichert. Dies können z.B. sein:
Einwohnermeldeamt, Finanzamt, Vermieter, Stadtwerke, Krankenkasse, Bank oder Sparkasse, Ärzte, Kfz-Zulassungsstelle, Sozialversicherung, Versandhandel, Telefongesellschaft, Versicherungen, Arbeitgeber, GEZ, Vereine, Kirche, Apotheken, Schufa, Warenhäuser, Kreditkartenorganisationen, Kfz-Werkstatt, Handwerksbetriebe, JOB-Vermittung, Videotheken, Zeitschriften-Abonnement-Verlag, Müllbeseitigungsunternehmen, Wasserverbände, ÖPNV (Bahncard, Monatskarte), Mailboxen, Kindergarten, Dienstleistungsunternehmen, Schulen, Sozialamt, Sicherheitsunternehmen, Bausparkassen, Investitionsbank, Grundbuchämter, Notare, Rechtsanwälte, Krankenhäuser etc.
Es liegt in unserem Interesse, daß nicht jede Organisation auch auf die Daten der anderen Organisation zugreifen kann. Meine Krankenakte muß nicht unbedingt zum Arbeitgeber gelangen. Vielleicht hätte ich berufliche Nachteile? Der Apotheker sollte vielleicht nicht jedem erzählen, welche Medikamente ich dringend brauche, vielleicht finde ich dann keinen Lebenspartner? Das Sicherheitsunternehmen sollte nicht preisgeben, was ich Feines in welchem Gebäude lagere. Vielleicht kommen Einbrecher auf dumme Gedanken?
Nun , diese theoretischen Überlegungen ließen sich fortsetzen. Wichtig ist, daß ich selbst entscheiden kann, wer wann welche Daten von mir erhält.
Daraus
ergibt sich das informationelle Selbstbestimmungsrecht: 
Jeder hat das Recht, über die Preisgabe und Verwendung seiner Daten selbst zu bestimmen.
Bundesverfassungsgerichtsurteil zum Volkszählungsgesetz 1983 vom 15. Dezember 1983.
Hergeleitet aus dem allgemeinen Persönlichkeitsrecht gemäß Artikel 2 Absatz 2 und Artikel 1 Absatz 1 des Grundgesetzes.
Gesetzliche
Vorschriften zum Datenschutz
Grundgesetz der Bundesrepublik Deutschland - Menschenrechte
Öffentliches Recht
Bundesdatenschutzgesetz regelt Personendatenverarbeitung derB Bundesbehörden und bei Privaten Betrieben udn Personen
Landesdatenschutzgesetze (in Schleswig-Holstein auch Landesdatenschutzverordnung) regeln die Personendatenverarbeitung durch Landesbehörden und Kommunen.
In dem Betrieben gibt es eventuell auch Dienstanweisungen, wie mit bestimmten Daten zu Verfahren ist und wer über die Einhaltung der Vorschriften wacht.
Grundsätzlich haben alle Mitarbeiterinnen und Mitarbeiter des öffentlichen Dienstes diese Vorschriften zu kennen und anzuwenden.
Folgende Ausführungen beziehen sich auf Schleswig-Holsteinisches Recht:
Informationelles Selbstbestimmungsrecht:
ist das Recht von Betroffenen, selbst über die
Preisgabe und
Verwendung
Ihrer Daten zu bestimmen.
dazu regelt das Landesdatenschutzgesetz LDSG
die Verarbeitung
personenbezogener Information (Daten)
durch öffentliche Stellen
Das ist im Grunde schon der § 1 des Landesdatenschutzgesetzes - ist doch ganz einfach, oder?
Die Verarbeitung von personenbezogenen Daten ist grundätzlich verboten.
Erlaubnistatbestände:
Einwilligung der/des Betroffenen
oder
wenn das LDSG oder eine andere Rechtsvorschrift es zuläßt
Grundsatz: Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden.
Ausnahmen: (§9 Absatz 2 LDSG)
Die Verarbeitung ist zulässig, wenn
eine Rechtsvorschrift dies erlaubt
zur Abwehr erheblicher Nachteile (Gefahrenabwehr)
Verfolgung von Straftaten oder Ordnungswidrigkeiten
offensichtliches Interesse der/des Betroffenen
Daten aus allgemein zugänglichen Quelle
Nr 2. bis 4 sind ausgeschlossen, wenn
- ein Betroffener die Daten freiwillig für bestimmte Zwecke abgibt
- die Daten im Rahmen eines Vertragsverhältnisses abgegeben werden
- die Daten einem besonderen Amts- oder Berufsgeheimnis unterliegen.
Die Nutzung der Daten zur Ausübung von Aufsichts- und Kontrollbefugnisses sowie Rechnungsprüfung gilt nicht als Verarbeitung zu anderen Zwecken. Die Nutzung zu Ausbildungs- und Prüfungszwecken ist zulässig, soweit berechtigte Interessen der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen.
Datenschutz
schützt
das allgemeine Persönlichkeitsrecht, insbesondere den Anspruch auf Achtung der Privatsphäre
von
natürlichen Personen (Menschen)
vor
einer mißbräuchlichen Datenverarbeitung
Datensicherung
schützt
Eigentum oder Besitz (oder den Bestand)
von
Daten, Datenträgern, Programmen, IT-Geräten
vor
Veränderung, Beschädigung, Verlust, Zerstörung, Untergang
Datenschutzrechtlich verantwortlich ist die datenverarbeitende Stelle
§ 2 Absatz 3 LDSG: Datenverarbeitende Stelle ist jede öffentlich-rechtliche Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere verarbeiten läßt.
§ 3 Absatz 1: Die Vorschriften des LDSG gelten für Behörden und sonstige öffentliche Stellen der im LVWG genannte Träger der öffentlichen Verwaltung (öffentliche Stellen) auch wenn diese Bundesrecht ausführen.
§ 4 Absatz 1 Läßt sich eine datenverarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften des LDSG und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen.
1. Eine Entwicklungsfirma entwickelt ein Programm. Testläufe bestätigen die Fehlerfreiheit (§7 Absatz 2 LDSG). Das Programm wird freigegeben (§ 7 Absatz 1 LDSG). Danach werden Dokumentationen erstellt (§§ 4-6 LDSG)
2. Organisation regelt innerhalb der Behörde Befugnisse, Rechte und Schulung.
3. Ein Programm zusammen mit Organisation ergibt ein Verfahren.
4.Freigabe des Verfahrens: durch die datenverarbeitende Stelle nach § 7. Absatz 3 LDSG. Es wird ein Freigabeprotokoll erstellt und Dateibeschreibungen erstellt.
Bitte prüfen Sie, ob in Ihrem Bereich Dateibeschreibung erstellt wurden und ein schriftliches Freigabeprotokoll vorliegt.
Sind alle MitarbeiterInnen geschult? Wer vergibt die Rechte am System?
Grundregeln
der Datensicherheit
Folgende Grundregeln zur Datensicherheit und zur Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme sollten erfüllt sein:
Zusätzlich zu den rechtlichen Voraussetzungen (Zulässigkeit der Datenverarbeitung) sind im Betrieb auch die nachfolgenden Rahmenbedingungen zu erfüllen:
Regel 1
Bereits in der Planungsphase sind Sicherheitskonzepte und Risikoanalysen zu erstellen
Regel 2
Es ist festzulegen, in welchem Umfang, Verfahrensabläufe zur Durchführung von Kontriollen zu dokumentieren sind.
Regel 3
Die tatsächlich eingesetzte Hard- und Software ist vollständig zu registrieren.
Regel 4
Die Datenstrukturen sind in Dateibeschreibungen darzustellen.
Regel 5
Alle automatisierten Verfahren sind in Form von Aufgaben- und Verfahrensberschreibungen zu dokumentieren.
Regel 6
Unbefugten ist der Zugang zu bzw. die Benutzung von Datenverarbeitungsanlagen zu verwehren.
Regel 7
Die unbefugte Speicherung sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten ist zu verhindern. Dabei ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die Ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.
Regel 8
Es ist zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in das Datenverarbeitungssystem eingegeben worden sind.
Regel 9
Es ist zu gewährleisten, dass überprüft und festgestellt werden kann, an wen welche Daten übermittelt worden sind.
Regel 10
Es ist zu verhindern, daß bei der Übertragung von Daten sowie während der Lagerung und des Transportes von Datenträgern Daten unbefugt gelesen, kopiert, verändert, gelöscht oder entwendet werden können. Bei mobilen Datenverarbeitungsgeräten sind die Daten zu verschlüsseln.
Regel 11
es ist sicherzustellen, daß verändernde Zugriffe auf Programme zur Systemsteuerung und auf freigegebene Anwendungsprogramme nur durch dazu ausdrücklich bestimmte Personen erfolgen können.
Regel 12
Vor Aufnahme der Verarbeitung sind die Programme und Verfahren zu testen, Art und Umfang des Tests sind zu protokollieren.
Regel 13
Automatisierte Verfahren dürfen erst eingesetzt werden, nachdem die datenverarbeitende Stelle mit der Freigabe die Verantwortung für die Ordnungsmäßigkeit des Verfahren übernommen hat.
Regel 14
Die ordnungsgemäße Anwendung der Datenverarbeitungsverfahren und insbesondere die Arbeit der Systemadministratoren ist durch weisungsbefugte Mitarbeiter oder deren Beauftragte kontinuierlich zu überwachen.
Regel 15
Für den Fall, daß externe Dienstleister eingesetzt werden, sind die se sorgfältig auszuwählen, ihnen sind detaillierte schriftliche Weisungen zu erteilen und es ist zu gewährleisten, daß die Daten nur im Rahmen dieser Weisung verarbeitet werden kann.
Die entsprechenden gesetzlichen Regelungen finden sich in den §§ 4,7 und 8 Landesdatenschutzgesetz und in den §§ 4 bis 9 Datenschutzverordnung. Sie werden dort und in weiteren bereichspezifischen Verfahrensvorschriften (z.B. SGBX, Abgabenordnung, Landesverwaltunsgesetz, Landesmeldegesetz etc.) näher spezifiziert.
Die Bürgerinnen und Bürger haben folgende Rechte nach dem Landesdatenschutzgesetz Schleswig-Holstein:
§18 Auskunftsrechte (Ich möchte gern wissen, was Sie über mich gespeichert haben)
§ 19 Berichtigung, Sperrung oder Löschung von Daten. Wenn mal falsche Daten gespeichert sind, kann der Betroffene sofort die Berichtigung, Sperrung öder Löschung verlangen.
§20 Schadenersatz (unabhängig vom Verschulden) bis 250.000 DM. Diese Fall soll in Schleswig-Holstein allerdings erst einmal eingetreten sein. In diesem Fall soll eine gesperrte Adresse in einem Adreßbuch veröffentlicht worden sein, so daß der betroffenen Person eine neue Wohnung, der Umzug etc. bezahlt wurde.
Das richtige Anwenden von Datenschutzrecht ist also auch ein Grund, Kosten einzusparen. Wer gegen das Datenschutzrecht verstößt, kann unter Umständen "zur Kasse gebeten" werden.
Sehr gute weiterführende Informationen zum Datenschutz und - aktuelle Infos zur geplanten Neufassung des Datenschutzgesetztes -gibt es auf folgender Seite des Landesdatenschutzbeauftragten des Landes Schleswig-Holstein:
http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/
neu auch folgende Adresse:
http://www.schleswig.holstein.datenschutz.de e-mail: LDSH@netzservice.de
Diese Seite wurde erstellt von Thorsten Dahl
