B 1.5 DATENSCHUTZ
Beschreibung
Aufgabe des DATENSCHUTZes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht").
Aufgrund der engen Verflechtung von DATENSCHUTZ und Informationssicherheit werden in diesem Baustein zum Thema "DATENSCHUTZ" einerseits die Rahmenbedingungen für den DATENSCHUTZ praxisgerecht aufbereitet und andererseits die Verbindung zur Informationssicherheit im IT-Grundschutz aufgezeigt.
Der IT-Grundschutz-Baustein "DATENSCHUTZ" wurde vom Bundesbeauftragten für den DATENSCHUTZ und Informationsfreiheit gemeinsam mit dem Arbeitskreis Technik der DATENSCHUTZbeauftragten des Bundes und der Länder sowie den DATENSCHUTZaufsichtsbehörden der Länder erstellt. Er richtet sich an die privaten und öffentlichen Anwender für den IT-Grundschutz in Deutschland.
Da dieser Baustein auf der deutschen Gesetzgebung basiert, kann er in dieser Form außerhalb Deutschlands nur sinngemäß umgesetzt werden. Er kann nicht als Bestandteil einer formalen IT-Grundschutz-Zertifizierung angesehen werden
Rechtliche Rahmenbedingungen bei der Verarbeitung personenbezogener Daten
Die Verfassung der Bundesrepublik Deutschland gewährleistet das Recht der Bürgerinnen und Bürger, grundsätzlich selbst über die Verwendung ihrer personenbezogenen Daten zu bestimmen. Aufgabe des DATENSCHUTZes ist es nach § 1 Bundesdatenschutzgesetz (BDSG), "https://www.bsi.bund.de/DEn einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird". In den DATENSCHUTZgesetzen der Länder finden sich ähnliche Aufgabenumschreibungen zum Schutz des "Rechts auf informationelle Selbstbestimmung". Das gesamte DATENSCHUTZrecht bezieht sich nur auf personenbezogene Daten. Darunter sind "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" zu verstehen. Juristische Personen werden nicht erfasst.
Die folgenden Ausführungen beziehen sich ausschließlich auf deutsches Recht. Das jeweils im Einzelfall anzuwendende Recht richtet sich danach, ob die Daten verarbeitende Stelle eine öffentliche Stelle des Bundes, eines Landes oder ein privates nicht öffentliches Unternehmen ist. Für öffentliche Stellen des Bundes und für private Unternehmen gilt das Bundesdatenschutzgesetz, für öffentliche Stellen der Länder das jeweilige Landesdatenschutzgesetz. Die Struktur der DATENSCHUTZgesetze ist weitgehend einheitlich, der Regelungsinhalt ist jedoch in einigen Bereichen unterschiedlich. Dies gilt für die Grundbegriffe der Datenverarbeitung, für die Zulässigkeit der Datenverarbeitung aufgrund einer Rechtsvorschrift oder einer Einwilligung und für die Rechte der Bürger. Darüber hinaus gibt es bereichsspezifische Spezialgesetze, die gegenüber den Regelungen der Bundes- und Landesdatenschutzgesetze vorrangig sind (z. B. Sozialgesetzbuch, Straßenverkehrsgesetz, Meldegesetze, Polizeigesetze).
Die folgenden Ausführungen beziehen sich auf die Vorschriften des BDSG und haben daher Geltung für öffentliche Stellen des Bundes und private Unternehmen. Bei öffentlichen Stellen der Länder sind die einzelnen Landesdatenschutzgesetze zu beachten.
Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, landesspezifische Besonderheiten
Die Erhebung, Verarbeitung und Nutzung personenbezogener (bzw. - beziehbarer) Daten ist nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die Einwilligung ist regelmäßig schriftlich zu erteilen. Zuvor ist der Betroffene auf den Zweck der Verarbeitung hinzuweisen. Bereits als Vorfrage für die Zulässigkeit der Datenverarbeitung ist von Bedeutung, ob überhaupt personenbezogene Daten benötigt werden. Gestaltung und Auswahl von Datenverarbeitungsprogrammen haben sich nämlich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Dabei ist insbesondere von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen.
Weiterhin sind die Grundsätze der Erforderlichkeit und Zweckbindung der Datenverarbeitung zu berücksichtigen. Danach ist die Datenverarbeitung nur zulässig, wenn sie zur Aufgabenerfüllung erforderlich ist. Personenbezogene Daten, die ausschließlich zu Zwecken der DATENSCHUTZkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. Die Verarbeitung darf nur für vorher festgelegte Zwecke erfolgen. Eine Datenerhebung und -speicherung für noch nicht festgelegte Zwecke ist unzulässig. Zweckänderungen sind allein in den im Gesetz genannten Ausnahmefällen möglich. Generell ist darauf hinzuweisen, dass Landesdatenschutzgesetze in den jeweiligen Zusammenhängen unterschiedliche Abweichungen aufweisen, die im Einzelnen zu berücksichtigen sind.
Datengeheimnis, Verpflichtung auf den DATENSCHUTZ, Unterrichtung
Den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Bei nicht öffentlichen Stellen sind die Beschäftigten bei Aufnahme ihrer Tätigkeit nach § 5 BDSG auf das Datengeheimnis zu verpflichten. Im öffentlichen Bereich bedarf es beim Bund und in den meisten Ländern keiner förmlichen Verpflichtung mehr. Hier greift eine entsprechende datenschutzrechtliche Unterrichtung. Auf Ausnahmen in den Landesdatenschutzgesetzen ist zu achten.
Technische und organisatorische Maßnahmen
Zum Schutz der personenbezogenen Daten sind von den Daten verarbeitenden Stellen die notwendigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu gewährleisten. Insbesondere sind dazu die in der Anlage zu § 9 BDSG enthaltenen "Gebote" einzuhalten, die 8 Kontrollziele (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Einhaltung der Zweckbestimmung) vorgeben. Die zu ergreifenden Maßnahmen werden im Gesetz nicht konkret beschrieben, da ihre Eignung vom jeweiligen Anwendungsfall und dem Schutzbedarf der personenbezogenen Daten abhängig ist und die technischen Maßnahmen einem permanenten Wandel unterliegen. Die in den Landesdatenschutzgesetzen enthaltenen Kontrollziele weichen von den Zielen des BDSG teilweise ab, teilweise werden abstraktere Ziele der informationstechnischen Sicherheit benannt und die konkrete Umsetzung in Sicherheitskonzepten verlangt.
Besondere Datenarten, Vorabkontrolle, automatisierte Einzelentscheidungen oder Abrufverfahren
Weist eine Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen auf wie z. B. die Verarbeitung besonderer Datenarten (Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) oder soll damit die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens bewertet werden, ist vor dem Beginn der Verarbeitung eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG). Eine Vorabkontrolle ist nicht durchzuführen, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. In manchen Landesdatenschutzgesetzen ist eine Vorabkontrolle generell bei allen Verfahren vorgeschrieben, mit denen personenbezogene Daten durch öffentliche Stellen verarbeitet werden. Die Voraussetzungen hierfür können von den beim Bund geltenden Regelungen abweichen.
Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen (§ 6a Abs. 1 BDSG).
Besonderer Schutzbedarf besteht auch bei automatisierten Abrufverfahren. Bei diesen Online-Verfahren trägt die empfangende Stelle die Verantwortung für die Zulässigkeit des Abrufs (§ 10 Abs. 4 Satz 1 BDSG). In manchen Landesdatenschutzgesetzen ist die Einrichtung von automatisierten Abrufverfahren an besondere rechtliche Voraussetzungen geknüpft.
Rechte der Betroffenen
Die Betroffenen haben nach dem BDSG und den landesspezifischen DATENSCHUTZgesetzen insbesondere die folgenden Rechte:
- Recht auf Auskunft über die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden und den Zweck der Speicherung.
- Recht auf Berichtigung, wenn unrichtige Daten gespeichert werden.
- Recht auf Sperrung, soweit die Richtigkeit der Daten vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
- Recht auf Löschung, wenn die Speicherung der Daten unzulässig ist oder die Daten nicht mehr benötigt werden. An die Stelle einer Löschung tritt eine Sperrung, soweit Aufbewahrungsfristen entgegenstehen, der Grund zur Annahme besteht, dass die Löschung schutzwürdige Interessen der Betroffenen beeinträchtigen würde oder die Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohen Aufwand möglich ist.
- Recht auf Widerspruch gegen die Datenverarbeitung wegen der besonderen persönlichen Situation des Betroffenen, sofern die Datenverarbeitung nicht durch eine Rechtsvorschrift verlangt wird.
- Recht auf Schadensersatz wegen einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten.
Diese Rechte können nicht durch Verträge oder sonstige Rechtsgeschäfte ausgeschlossen oder beschränkt werden.
Darüber hinaus kann sich der Betroffene zu Fragen des DATENSCHUTZes auch an den betrieblichen bzw. behördlichen DATENSCHUTZbeauftragten (bDSB) oder die jeweils zuständige Aufsichtsbehörde wenden. Niemand darf benachteiligt oder gemaßregelt werden, weil er sich an den DATENSCHUTZbeauftragten oder die Aufsichtsbehörde gewandt hat. Form- und Fristerfordernisse bestehen nicht.
Ansprechpartner und Kontrollen
Die Einhaltung der datenschutzrechtlichen Bestimmungen wird durch DATENSCHUTZ-Kontrollinstanzen überprüft:
Die betrieblichen oder behördlichen DATENSCHUTZbeauftragten sind für die interne DATENSCHUTZkontrolle zuständig. Sie sind der Unternehmens-/Behördenleitung unmittelbar zu unterstellen und bei der Ausübung ihrer Fachkunde auf dem Gebiet des DATENSCHUTZes weisungsfrei. Die Beauftragten für den DATENSCHUTZ wirken auf die Einhaltung der Vorschriften über den DATENSCHUTZ hin. Ihnen ist von der verantwortlichen Stelle eine Übersicht über die automatisierten Verfahren im Betrieb/in der Behörde zur Verfügung zu stellen. Den größten Teil dieser Angaben hat der betriebliche DATENSCHUTZbeauftragte jedermann in geeigneter Weise verfügbar zu machen. Der betriebliche/behördliche DATENSCHUTZbeauftragte kann sich in Zweifelsfällen an die für die DATENSCHUTZkontrolle zuständige Behörde wenden.
Der Bundesbeauftragte für den DATENSCHUTZ ist für die öffentlichen Stellen im Bundesbereich zuständig. Dazu gehören die Behörden der Bundesverwaltung und die sonstigen öffentlichen Stellen des Bundes, auch die bundesunmittelbaren Körperschaften. Seine Hauptaufgabe besteht darin, diese öffentlichen Stellen zu beraten und zu kontrollieren.
Die Landesbeauftragten für den DATENSCHUTZ sind zuständig für die Beratung und Überwachung der Behörden der Landesverwaltung und der sonstigen öffentlichen Stellen des Landes, wozu auch die Kommunalverwaltungen gehören.
Die DATENSCHUTZaufsichtsbehörden für die nicht öffentlichen Stellen übernehmen im Bereich der Wirtschaft die Beratung und Überwachung. In einem Teil der Bundesländer wird diese Aufgabe durch die Landesdatenschutzbeauftragten wahrgenommen. In den anderen Bundesländern ist die Aufgabe bei dem jeweils zuständigen Ministerium, meistens dem Innenministerium, angesiedelt.
Die Anschriften der DATENSCHUTZbeauftragten des Bundes und der Länder und der DATENSCHUTZaufsichtsbehörden für die nicht öffentlichen Stellen sind zu finden unter www.datenschutz.de.
DATENSCHUTZ in den IT-Grundschutz-Katalogen
Die in den IT-Grundschutz-Katalogen in den anderen Bausteinen enthaltenen Maßnahmen dienen der Informationssicherheit und damit auch dem Schutz von personenbezogenen Daten. Die nachfolgend dargestellten Gefährdungslagen beschränken sich auf zusätzliche Gefährdungen aus Sicht des DATENSCHUTZes. Entsprechende Maßnahmen dazu werden anschließend empfohlen.
Wegen der oft schwierigen Rechtslage bei DATENSCHUTZfragen in allgemeinen oder spezialrechtlichen Regelungen sollte zur Beurteilung der gesetzlichen Anforderungen und der daraus folgenden Maßnahmen für das Informationssicherheits- und DATENSCHUTZkonzept fachkundige Unterstützung in Anspruch genommen werden.
Gefährdungslage
Der Landesbeauftragte für den DATENSCHUTZ und die Informationsfreiheit Baden-Württemberg, StuttgartGefährdungen im Umfeld des DATENSCHUTZes können vielfältiger Natur sein. Stellvertretend für diese Vielzahl der Gefährdungen werden in diesem Baustein die folgenden typischen Gefährdungen betrachtet:
Organisatorische Mängel
| G 2.162 | Fehlende Zulässigkeit der Verarbeitung personenbezogener Daten |
| G 2.163 | Nichteinhaltung der Zweckbindung bei der Verarbeitung personenbezogener Daten |
| G 2.164 | Überschreitung des Erforderlichkeitsgrundsatzes bei der Verarbeitung personenbezogener Daten |
| G 2.165 | Fehlende oder unzureichende Datenvermeidung und Datensparsamkeit bei der Verarbeitung personenbezogener Daten |
| G 2.166 | Verletzung des Datengeheimnisses bei der Verarbeitung personenbezogener Daten |
| G 2.167 | Fehlende oder nicht ausreichende Vorabkontrolle |
| G 2.168 | Gefährdung der Rechte Betroffener bei der Verarbeitung personenbezogener Daten |
| G 2.169 | Fehlende oder unzureichende Absicherung der Datenverarbeitung im Auftrag bei der Verarbeitung personenbezogener Daten |
| G 2.170 | Fehlende Transparenz für den Betroffenen und die DATENSCHUTZ-Kontrollinstanzen |
| G 2.171 | Gefährdung vorgegebener Kontrollziele bei der Verarbeitung personenbezogener Daten |
| G 2.172 | Fehlende oder unzureichende Absicherung der Verarbeitung personenbezogener Daten im Ausland |
| G 2.173 | Unzulässige automatisierten Einzelfallentscheidungen oder Abrufe bei der Verarbeitung personenbezogener Daten |
| G 2.174 | Fehlende oder unzureichende DATENSCHUTZkontrolle |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Im Rahmen eines DS-Managements müssen die rechtlichen Rahmenbedingungen beachtet und geeignete technische und organisatorische Maßnahmen getroffen werden, um den DATENSCHUTZ sicher zu stellen. Dazu gehören Maßnahmen in der Planungs- und Konzeptionsphase, im Zuge der Umsetzung, sowie beim Betrieb von IT-Systemen und -Verfahren.
Nachfolgend wird das ergänzende Maßnahmenbündel für den Bereich DATENSCHUTZ vorgestellt, das für alle IT-Systeme und IT-Verfahren anzuwenden ist, mit deren Hilfe personenbezogene Daten verarbeitet werden:
Planung und Konzeption
| M 2.501 | (C) | DS-Management |
| M 2.502 | (B) | Regelung der Verantwortlichkeiten im Bereich DATENSCHUTZ |
| M 2.503 | (A) | Aspekte eines DATENSCHUTZkonzeptes |
| M 2.504 | (A) | Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten |
| M 2.505 | (A) | Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten |
Umsetzung
| M 2.506 | (A) | Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten |
| M 2.507 | (A) | Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten |
| M 2.508 | (A) | Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten |
| M 2.509 | (C) | DATENSCHUTZrechtliche Freigabe |
| M 2.510 | (A) | Meldung und Regelung von Abrufverfahren bei der Verarbeitung personenbezogener Daten |
| M 2.511 | (A) | Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten |
| M 2.512 | (A) | Regelung der Verknüpfung und Verwendung von Daten bei der Verarbeitung personenbezogener Daten |
Betrieb
| M 2.110 | (A) | DATENSCHUTZaspekte bei der Protokollierung |
| M 2.513 | (Z) | Dokumentation der datenschutzrechtlichen Zulässigkeit |
| M 2.514 | (A) | Aufrechterhaltung des DATENSCHUTZes im laufenden Betrieb |
| M 2.515 | (A) | DATENSCHUTZgerechte Löschung/Vernichtung |
Stand: 13. EL Stand 2013