Alkemade IT-Security e.K. - Datenschutz & IT-Sicherheit
Vertraulichkeit des Gesprächs Datensicherungskonzepte Netzwerksicherheit PC-Sicherheit Gesetzeskonforme Videoüberwachung Briefgeheimnis Lösch- und Aufbewahrungspflichten Authentizität & Integrität
Gesellschaft für Datenschutz und Datensicherheit e.V.
Berufsverband der Datenschutzbeauftragten Deutschlands e.V.

Datenschutz

Durch das im Grundgesetz normierte Recht auf informationelle Selbstbestimmung, die Forderungen des Bundesdatenschutzgesetzes (BDSG) und weiterer einschlägiger Gesetze, Vorschriften und Empfehlungen und nicht zuletzt durch die immer weiter zunehmende Möglichkeit der massenhaften Speicherung und Weitergabe von Daten gewinnt der Schutz personenbezogener Daten einen immer höher werdenden Stellenwert. Datenschutz und IT-Sicherheit sind damit wichtige Grundpfeiler unserer, zunehmend von Technik geprägten, modernen Gesellschaft.
Mit Einführung der elektronischen Gesundheitskarte müssen im Gesundheitsbereich weitere technische und organisatorische Datenschutzmaßnahmen umgesetzt werden, um den ausschließlich berechtigten Zugriff auf die gespeicherten Gesundheitsdaten gewährleisten zu können.

§ 4f BDSG verpflichtet Unternehmen, die personenbezogene Daten EDV-gestützt verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn damit mindestens zehn Personen beschäftigt sind.

Dies gilt gleichermaßen für die anderweitige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, wenn damit in der Regel mindestens 20 Personen beschäftigt sind.

Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die mit besonderen Risiken für die Betroffenen verbunden sind, haben sie unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten zu bestellen.

Die Bestellung zum Datenschutzbeauftragten erfordert neben der gebotenen Zuverlässigkeit die zur Erfüllung seiner Aufgaben notwendige Fachkunde, die sich insbesondere an dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten auszurichten hat. Mit dieser Aufgabe kann auch eine externe Person außerhalb des Unternehmens betraut werden.


Aufgaben des Beauftragten für den Datenschutz
Die Aufgaben des Beauftragten für den Datenschutz ergeben sich aus § 4g des Bundesdatenschutzgesetzes (BDSG):
  • Hinwirken auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden

  • Durchführung von geeigneten Maßnahmen, um die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des BDSG und anderer datenschutzrelevanter Gesetze und Verordnungen vertraut zu machen

  • Führen einer Liste über die zugriffsberechtigten Personen


Gemäß § 9 BDSG sind erforderliche technische und organisatorische Maßnahmen zu treffen, um die Ausführung der Vorschriften des BDSG zu gewährleisten. Hierzu gehört insbesondere der Maßnahmenkatalog der Anlage zu § 9 BDSG:
  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).

  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).

  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).

  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist (Weitergabekontrolle).

  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).

  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).

  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.



Löschen von Datenträgern
Löschen wird im Bundesdatenschutzgesetz (BDSG) als das Unkenntlichmachen gespeicherter personenbezogener Daten definiert.

Die Einhaltung von Lösch- und Aufbewahrungsfristen werden durch das BDSG und weiterführende Gesetze geregelt. Insbesondere im Gesundheitswesen gelten Dokumentationspflichten von Patientendaten gemäß den Berufsordnungen für Ärztinnen und Ärzte der jeweiligen Landesärztekammern und weiterer Gesetze wie z.B. der Abgabenordnung, dem Transfusionsgesetz, dem Medizinproduktegesetz oder der Röntgenverordnung.

Gemäß § 35 BDSG sind personenbezogene Daten zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

Für die gesicherte Vernichtung verschiedenartiger Datenträger enthält DIN 32757-1 detaillierte Aussagen über die Güte der Vernichtung und unterscheidet dabei 5 Sicherheitsstufen.

Für die Vernichtung von Datenträgern aus Papier gelten für die Sicherheitsstufen folgende Materialteilchengrößen:
  • Stufe 1: Streifenbreite < 12 mm beliebiger Länge oder Fläche < 2000 mm²
  • Stufe 2: Streifenbreite < 6 mm beliebiger Länge oder Fläche < 800 mm²
  • Stufe 3: Streifenbreite < 2 mm beliebiger Länge oder < (4 mm x 80 mm)
  • Stufe 4: Streifenbreite < 2 mm und Länge < 15 mm
  • Stufe 5: Streifenbreite < 0,8 mm und Länge < 15 mm
Das Verwirbeln oder Pressen kann insgesamt die Vernichtungsgüte erhöhen und gestattet ggf. das Absenken der Sicherheitsstufe bei der Zerkleinerung um eine, in Asnahmefällen um zwei Stufen. Für die datenschutzgerechte Vernichtung von anderen Datenträgern wie z.B. Mikrofilmen, Chipkarten und optisch oder magnetisch lesbaren Datenträgern (z.B. MOD, CD, DVD, Festplatten, Magnetbänder) gelten andere Materialteilchengrößen.

Nach Empfehlung des Dezernats Datenschutz beim Regierungspräsidium in Darmstadt und anderer Datenschutzaufsichtsbehörden stellt Sicherheitsstufe 3 die Mindestanforderung an eine datenschutzgerechte Vernichtung personenbezogener Daten auf Papier dar.

Bei den sogenannten besonderen Arten personenbezogener Daten, deren Missbrauch Existenz, Gesundheit, Leben oder Freiheit der Betroffenen gefährden können, wird für die Vernichtung Sicherheitsstufe 4 oder gar 5 empfohlen.

Bei der Entsorgung von Datenträgern personenbezogener Daten ist der Auftraggeber für die datenschutzgerechte Entsorgung verantwortlich. Insbesondere hat er dafür Sorge zu tragen, dass die Daten nicht unbefugt eingesehen, verändert, kopiert oder entfernt werden können und die gesetzliche Verpflichtung, sich von der ordnungsgemäßen Verarbeitung der Daten und der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Die Entsorgung von Datenträgern mit personenbezogenen Daten durch externe Unternehmen stellt gemäß § 11 BDSG eine Datenverarbeitung im Auftrag dar und bedarf entsprechender - nicht nur datenschutzvertraglicher - Absicherungen mit dem Auftragnehmer.

Weitere Hinweise enthält das Merkblatt zur Datenträgervernichtung PDF des Dezernats Datenschutz beim Regierungspräsidium in Darmstadt.


Verarbeitung personenbezogener Daten im Auftrag
Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag durch externe Unternehmen werden in § 11 des Bundesdatenschutzgesetzes (BDSG) geregelt. Demnach
  • trägt der Auftraggeber für die Einhaltung der Datenschutzvorschriften die Verantwortung.

  • ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

  • ist der Auftrag schriftlich zu erteilen unter Festlegung der Art der Datenverarbeitung und der zu treffenden technischen und organisatorischen Maßnahmen.

  • hat sich der der Auftraggeber von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

  • darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten.


News
27.4.2016: Europäische Union: EU-Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutz-Grundverordnung, EU-DSGVO)

10/2015: LfD Baden-Württemberg: Datenschutzeinstellungen bei Windows 10

25.7.2015: BGBl: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) tritt in Kraft

01/2014: LfD und KV Rheinland-Pfalz starten Initiative „Mit Sicherheit gut behandelt“ zur Unterstützung von Ärzten und Psychotherapeuten bei der Umsetzung von IT-Sicherheit und Datenschutz im Zeitalter des Web 2.0

10.6.2013: European Data Protection Supervisor following the NSA story

14.1.2013: Kritik des BfDI Peter Schaar am aktuellen Gesetzesentwurf zum Beschäftigtendatenschutz

30.6.2011: Arbeitskreis Medizin des BvD nimmt zur Orientierungshilfe Krankenhausinformationssysteme Stellung

20.5.2011: Zum 01.07.2011 übernimmt der Hessische Datenschutzbeauftragte die Datenschutzaufsicht für den nichtöffentlichen Bereich in Hessen

18.5.2011: Kaspersky: Malware-Report, 1. Quartal 2011

17.3.2011: 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Entschließungen zum Beschäftigtendatenschutz, zur Gestaltung von Krankenhausinformationssystemen und zur Anbindung von Praxis-EDV-Systemen an medizinische Netze ...

15.3.2011: ULD: Datenschutzzentrum gibt Empfehlungen zum Einsatz von Webanalyse-Werkzeugen

1.12.2010: Gesellschaft für Informatik e.V.: Zehn Thesen zu Datenschutz und IT-Sicherheit in Cloud Computing

25.8.2010: Bundeskabinett beschließt Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes

29.4.2010: Düsseldorfer Kreis: Prüfpflichten bei Safe Harbor-zertifizierten US-Unternehmen

2.3.2010: BVerfG: Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß

9.2.2010: klicksafe.de: Safer Internet Day 2010

15.12.2009: Heise-News: Mündliche Verhandlung zur Vorratsdatenspeicherung beim Bundesverfassungsgericht

2.11.2009: Internet-ABC e.V.: Datenschutz in sozialen Netzwerken

19.8.2009: BGBl: Gesetz zur Änderung datenschutzrechtlicher Vorschriften veröffentlicht

29.4.2009: Heise-News: Bundesverfassungsgericht verlängert Schranken bei Vorratsdatenspeicherung

4.2.2009: BVerfG: Untersuchung im Intimbereich nur bei konkretem Verdacht verfassungsgemäß

14.11.2008: NAV-Virchow-Bund, Sabine Leutheusser- Schnarrenberger (MdB): Referat zum Arzt- Patienten- Verhältnis im IT-Zeitalter

24.10.2008: GDD: Innenministerium legt neuen Entwurf zur BDSG-Änderung vor

11.9.2008: Datenschutz- Aufsichtsbehörde verhängt hohe Bußgelder gegen Lidl

2.8.2008: Heise-News: Versand der bundesweit einheitlichen Steuer-ID hat begonnen

14.7.2008: Heise-News: Suchmaschine ixquick.com erhält erstes Europäisches Datenschutzgütesiegel

9.5.2008: Rede des BfDI: The invasion of privacy by the state

18.4.2008: Düsseldorfer Kreis: Datenschutzkonforme Gestaltung sozialer Netzwerke

11.3.2008: BVerfG: Automatisierte Erfassung von KFZ-Kennzeichen ist verfassungswidrig

27.2.2008: BVerfG: Vorschriften zur Online-Durchsuchung in NRW nichtig - Neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

21.1.2008: BVerfG: Verfassungswidrige Durchsuchung einer Arztpraxis

26.12.2007: Tagesschau: Köhler unterzeichnet Gesetz zur Vorratsdatenspeicherung

9.11.2007: Heise-News: Scharfe Reaktionen auf Absegnung der Vorratsdatenspeicherung

10/2007: EICAR e.V.: IT-Sicherheit und § 202c StGB - Strafbarkeit beim Umgang mit IT-Sicherheitstools

09/2007: Zeitschrift DuD: Zur Technik der heimlichen Online-Durchsuchung

24.8.2007: c't-Hintergrund: Innenministerium gibt neue Details zu Online-Durchsuchungen bekannt

22.7.2007: Handelsblatt- Video: Interview mit dem BfDI Peter Schaar über Vorratsdatenspeicherung und Online- Durchsuchungen

10.7.2007: Heise-News: EU-Parlament kritisiert Übermittlung von Fluggastdaten (PNR)

28.6.2007: Tagesschau-Video: Einigung zur Weitergabe von Fluggastdaten an USA

25.5.2007: Tagesschau: Fingerabdrücke ab November in Reisepässen

24.4.2007: Bundesbeauftragter legt Tätigkeitsbericht 2005 bis 2006 vor

4.4.2007: Heise-News: WLAN-Verschlüsselung in einer Minute geknackt

8.-9.3.2007: 73. Konferenz der DSB des Bundes und der Länder

28.2.2007: c't-Hintergrund: Antiterrordatei des BKA geht in Betrieb

24.2.2007: Änderung des Telekommunikations- gesetzes in Kraft

5.2.2007: Pressestelle BGH: Verdeckte Online- Durchsuchung mit Hilfe von Trojanern unzulässig

18.1.2007: Tagesschau: Neues Telemediengesetz vom Bundestag beschlossen

15.1.2007: Telepolis: RA Vetter klagt gegen Überprüfung von 22 Millionen Kreditkarten

10.1.2007: Pressemitteilung des ULD zur geplanten Schülerindividualstatistik

23.12.2006: Tagesschau: Video-Dossier Alltag Überwachung

10.11.2006: BVerfG: Keine pauschale Entbindung von der Schweigepflicht bei Versicherungen

7.11.2006: Heise-News: Zahlreiche Bedenken gegen geplantes Anti-Terrorpaket

27.10.2006: Datenschutzkonferenz kritisiert den Entwurf des Antiterrordatei-Gesetzes, das geplante Schülerregister und den Einsatz von RFID-Technologien

20.10.2006: Tagesschau: BKA warnt vor neuen Phishing-Methoden

13.10.2006: BVerfG: Ermittlung von Mobilfunkdaten durch IMSI-Catcher verstößt nicht gegen Grundrechte

10.10.2006: Ass. Jur. Alexander Schultz: Kommentar zur geplanten Änderung des Strafgesetzes

20.9.2006: BMJ: Bundeskabinett beschließt Verschärfung des Strafrechts zum besseren Schutz vor Hackern und Computersabotage

29.8.2006: Heise-News: Neuer Stand zur SWIFT-Banken-Affäre

25.8.2006: Änderung des BDSG und § 203 StGB in Kraft

24.8.2006: Zeit online: Interview mit A. Alsbih zur von Bundesinnenminister Schäuble geforderten verschärften Internetkontrolle

23.8.2006: Tagesschau-Dossier Videoüberwachung: Mehr Sicherheit oder mehr Big Brother?

5.8.2006: Tagesschau: IT-Sicherheitsexperte kopiert Reisepass-Chip

13.6.2006: pressetext.de: Mehr als 90 % der Festplatten nicht korrekt gelöscht

13.6.2006: Heise-News: Festplatte mit geheimen Daten aus Österreichs Verkehrsministerium versteigert

6.6.2006: BVerfG: Gerichtliche Weisung zur Entbindung von der ärztlichen Schweigepflicht für ist verfassungswidrig

23.5.2006: Tagesschau: BV-Gericht schränkt Rasterfahndung ein (Urteil des BV-Gerichtes vom 4.4.2006)

17.5.2006: Heise-News: Jedes fünfte Unternehmen mit Keyloggern infiziert

28.2.2006: Rothenburg-Urteil des OLG Frankfurt: Persönlichkeitsrecht überwiegt gegenüber Kunstfreiheit

2.3.2006: Urteil des BV-Gerichtes zur Beschlagnahme gespeicherter Verbindungsdaten

27.2.2006: Studie des ULD zum Scoring in der Kreditwirtschaft

17.2.2006: Pressemitteilung des BfDI Peter Schaar zur Vorratsspeicherung von TK-Daten

17.2.2006: Heise-News: Proteste gegen Bundestagsbeschluss zur Datenspeicherung auf Vorrat

14.12.2005: Heise-News: EU-Parlament beschließt massive Überwachung der Telekommunikation

28.11.2005: ULD fordert strikte Zweckbindung für Mautdaten

28.10.2005: Pressemitteilung des ULD zur 70. Konferenz der DSB des Bundes und der Länder

8.7.2005: Landgericht Verden zum Urteil im Sasser-Wurm-Prozess

Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit