Der Landesbeauftragte für den Datenschutz Niedersachsen
Referent: RD Uwe Robra
Leiter Team 3 - technisch-organisatorischer Datenschutz; TelemedienR--beim Landesbeauftragten für den Datenschutz Niedersachsen
9. Kommunales 9. Kommunales IuKIuK--ForumForumNiedersachsenNiedersachsen
27. bis 28.08.200927. bis 28.08.2009in in KKöönigslutternigslutter am Elmam Elm
Web 2.0 Web 2.0 und Datenschutz –passt das zusammen?
27.08.2009 - Uwe Robra, LfD Niedersachsen 2
9. Kommunales 9. Kommunales IuKIuK--ForumForum NiedersachsenNiedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Mein Thema:Mein Thema:
Web 2.0 und Datenschutz – passt das zusammen?
Nutzen fokussieren?
Oder
Persönlichkeitsrechte/Privatsphäre schützen?
27.08.2009 - Uwe Robra, LfD Niedersachsen 3
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Neues vom Landesbeauftragten... Neues vom Landesbeauftragten...
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 4
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• vom Niedersächsischen Landtag gewählt am 21.06.2006• die Wahldauer beträgt 8 Jahre • arbeitet weisungsunabhängig
(Art. 62 Niedersächsische Verfassung)
Aufgaben :• Beratung und Kontrolle der öffentlichen Stellen in
Niedersachsen in allen Fragen des Datenschutzes• Seit 01.02.2007 zugleich „Aufsichtbehörde für den nicht
öffentlichen Bereich“ im Sinne des § 38 Abs. 6 BDSG
Der Landesbeauftragte für den Datenschutz Niedersachsen
Joachim WahlbrinkJoachim Wahlbrink
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 5
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Der Landesbeauftragte für den Datenschutz Niedersachsen
Joachim Wahlbrink
Der Landesbeauftragte für den Datenschutz Niedersachsen
Joachim Wahlbrink
LandtagLandtag Nds. Ministerium für Inneres und SportNds. Ministerium
für Inneres und Sport
AufsichtUnternehmen der Wirtschaft,
Vereine, Verbände
AufsichtUnternehmen der Wirtschaft,
Vereine, Verbände
Oberste Aufsichtsbehörde fürDatenschutz in der Wirtschaft
Aufsicht
Kontrollebei ca. 5500
öffentlichen Stellen
Kontrollebei ca. 5500
öffentlichen Stellen
Seit 01.02.2007: Aufsichtsbehördenach § 38 VI BDSG
wählt für 8 Jahre
LandesregierungLandesregierung Dienst- aufsicht
Kurzvorstellung der Dienststelle LfDKurzvorstellung der Dienststelle LfD
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 6
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Dienststelle LfDDienststelle LfD
Teamsäule ITeam 1 Grundsatzangelegenheiten, Personaldatenschutz,
Finanzwesen, Polizei, Verkehrsrecht, Rechtspflege, Strafvollzug, eGovernment, u. a.
Team 2 Gesundheits- und Sozialwesen, Bildung, Wiss./Forschung, Meldewesen, Statistik, Personenstandswesen, u. a.
Team 3 technisch-organisatorischer Datenschutz im ö.B., DS bei Telemediendiensten, Rundfunk, Presse u. a.
Team 4 Innere Verwaltung, Finanz- und Ressourcenmanagement, Systemverwaltung, DsIN
Teamsäule IITeam 5 Aufsicht im nicht öffentlichen Bereich (Handel, Banken,
Versicherungen, Vereine, Verbände, u. a.) Team 6 Aufsicht im nicht öffentlichen Bereich (…)Team 7 Bußgeldstelle; technisch-organisatorischer Datenschutz n.ö.B.
LfD-Geschäftsstelle mit derzeit 23 MA in 7 Teams:
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 7
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Ansprechpartner Ansprechpartner ffüür Technischen Datenschutzr Technischen Datenschutz
Uwe Robra
Tel. 0511 [email protected]
seit Juli 2005 Teamleiter 3 beim
Landesbeauftragten für den Datenschutz Niedersachsen
• Teamleitung technischer & organisatorischer Datenschutz
• Aktuelle Arbeitsschwerpunkte: RFID, Biometrie, technische Fragen der Video- / Videoüberwachungstechnik u.a.
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 8
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Manfred GrabowTel. 0511 [email protected]
seit Februar 1997 beim
Landesbeauftragten für den Datenschutz Niedersachsen
• fachliche Aufgaben aus dem Bereich des technisch-organisatorischen Datenschutzes mit dem SchwerpunktTechnik
• Betreuung und Weiterentwicklung der Systemtechnik der Geschäftsstelle
KurzvorstellungKurzvorstellung
Ansprechpartner Ansprechpartner ffüür Technischen Datenschutzr Technischen Datenschutz
27.08.2009 - Uwe Robra, LfD Niedersachsen 9
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Michael WünschTel. 0511 [email protected]
seit März 2005 beim
Landesbeauftragten für den Datenschutz Niedersachsen
• fachliche Aufgaben aus dem Bereich des technisch-organisatorischen Datenschutzes mit dem Schwerpunkt Konzeption und Organisation
Ansprechpartner Ansprechpartner ffüür Technischen Datenschutzr Technischen Datenschutz
KurzvorstellungKurzvorstellung
27.08.2009 - Uwe Robra, LfD Niedersachsen 10
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Definitionen zum Thema...
27.08.2009 - Uwe Robra, LfD Niedersachsen 11
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Kollaboration durch Social Software•Wikis•Community-Software•Blogs / Weblogs•Instant Massaging (IMS)/Chat •Social Bookmarking
27.08.2009 - Uwe Robra, LfD Niedersachsen 12
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 13
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 14
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 15
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Abonnementdienste• Feeds im RSS- oder Atom-
Format
• Wieviele Daten sind für ein Feed-Abo erforderlich…?
27.08.2009 - Uwe Robra, LfD Niedersachsen 16
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Foto- und Video-Portale• Flickr.com mit Geotagging und
Gruppenbildung (soziale Transparenz…?)
• YouTube.de• Clipfish.de RTL• MyVideo.de Pro7Sat1• Recherche möglich: z. B.
Ashampoo ClipFinder
27.08.2009 - Uwe Robra, LfD Niedersachsen 17
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Foto- und Video-Portale - Augenscheinliche Risiken:
• Authentizität kann fraglich sein
• Aufnahmen unter Verstoß gegen Recht am eigenen Bild
• Mengenproblem• Videoblogging ergibt Aufgabe
der Privatheit
27.08.2009 - Uwe Robra, LfD Niedersachsen 18
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Soziale Netzwerk Plattformen• Unterschiede der Geschäftsmodelle (z.
B. XING = Geschäftskontakte, Stayfriends = Schulfreunde finden) setzen verschiedene Maßstäbe der pb Daten
• Registration mit unterschiedlicher Dataillierungstiefe persönlicher Angaben
• Unterschiedliche Ausprägung der Gruppierungsmöglichkeit (Teilanonymisierung von Daten)
• Unterschiede in der Implementierung der Benutzer gesteuerten Konfiguration zum Löschen und Verbergen
27.08.2009 - Uwe Robra, LfD Niedersachsen 19
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 20
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Berliner Pflanze: VZnet Netzwerke Ltd.
27.08.2009 - Uwe Robra, LfD Niedersachsen 21
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 22
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 23
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 24
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• „Tipps, die bei der Nutzung von sozialen Netzwerken helfen können“ des Berliner Beauftragten für Datenschutz und Informationsfreiheit v. 17.02.2009 http://www.datenschutz- berlin.de/content/themen-a-z/internet/soziale-
netzwerke-und-datenschutz/tip
27.08.2009 - Uwe Robra, LfD Niedersachsen 25
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
1. Das Auftreten im sozialen Netzwerk sollte unter Verwendung von Pseudonymen (Spitznamen) erfolgen!
2. Der “echte” Namen sollte nur zur ersten Kontaktaufnahme genutzt werden!
3. Fotos, auf denen die Person erkennbar ist, sollten vermieden werden!
4. Der Grundsatz der Datensparsamkeit sollte beachtete werden!
5. Kontaktdaten sollten grundsätzlich nicht angegeben werden!
6. Der Datenzugriff für die allgemeine Öffentlichkeit sollte beschränkt werden!
7. Der Datenzugriff sollte auf die Mitglieder beschränkt und für Suchmaschinen ausgeschlossen werden!
8. Anwendungen von Drittherstellern sollte kein Zugriff auf die Profildaten ermöglicht werden!
9. Vorsicht bei netzwerkübergreifenden Verknüpfungen!10.Die Rechte Dritter müssen beachtet werden!
27.08.2009 - Uwe Robra, LfD Niedersachsen 26
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 27
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Live.com von Microsoft
27.08.2009 - Uwe Robra, LfD Niedersachsen 28
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 29
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Podcast• Audio- und Videostreams
abonnieren (mit Clients wie z. B. iTunes, Juice,…)
27.08.2009 - Uwe Robra, LfD Niedersachsen 30
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Blog (Weblog)• Tagebuch, ad-hoc-Publikation• Risiko 1: Ewiges Gedächtnis• Risiko 2: Selbstdatenschutz!
27.08.2009 - Uwe Robra, LfD Niedersachsen 31
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Denunziation 2.0• RottenNeighbor.com
gute Nachbarn – schlechte Nachbarn!
• Steuerverrat.de „Pilotprojekt“ Zumwinkel-Fall als Ideengeber
27.08.2009 - Uwe Robra, LfD Niedersachsen 32
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 33
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Bewertung? Oder Mobbing 2.0?• freie Meinungsäußerung vers.
Persönlichkeitsrechte• www.spickmich.de
BGH v. 23.06.2009 zu Spickmich (zulässig)
• www.schulradar.de Anonymität: hier Anfälligkeit für Missbrauch?
27.08.2009 - Uwe Robra, LfD Niedersachsen 34
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 35
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 36
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Web 2.0 für Kommunen?• Kollaboration ist
unterstützbar, aber…• Nicht alles darf ins Netz!• Rechtsgrundlage im Einzelfall
erforderlich – anders als im BDSG per Einwilligung
• Unterschied
27.08.2009 - Uwe Robra, LfD Niedersachsen 37
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Adressat: Auftraggeber (Verantwortung, SLA, …) § 6 NDSG
§ 6 NDSG Verarbeitung personenbezogener Daten im Auftrag(1) 1Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, sobleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und andererVorschriften über den Datenschutz verantwortlich. 2Die im Dritten Abschnitt genanntenRechte sind ihnen gegenüber geltend zu machen.(2) 1Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der Weisungender Auftraggeber verarbeiten. 2Auftraggeber haben sich über die Beachtungder Maßnahmen nach § 7 und der erteilten Weisungen zu vergewissern.(3) 1Auftragnehmer müssen Gewähr für die Einhaltung der technischen und
organisatorischen Maßnahmen nach § 7 bieten. 2Aufträge, Weisungen zu technischen und organisatorischen Maßnahmen und die Zulassung von Unterauftragsverhältnissen sind schriftlich festzuhalten.
(4) 1Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendungfinden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten,jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2Wird der Auftragaußerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet derAuftraggeber die zuständige Datenschutzkontrollbehörde.
27.08.2009 - Uwe Robra, LfD Niedersachsen 38
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Auftragsdatenverarbeitung / Outsourcing
• Arbeitspapier des Arbeitskreises Grundsatzfragen der Verwaltungsmodernisierung (AK GdV) der Konferenz der DSB des Bundes und der Länder, Stand 08./09.10.2008: „Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung / Outsourcing in der öffentlichen Verwaltung“
• LfD NI: „Auftragsdatenverarbeitung Orientierungshilfe und Checkliste“, Stand: 02.12.2002
• LfD NI: „ Spezielle Vertragsbedingungen für die Auftragsdatenverarbeitung und „Ergänzende Hinweise zu den Speziellen Vertragsbedingungen für die Auftragsdatenverarbeitung“, Stand: 09.01.2004
27.08.2009 - Uwe Robra, LfD Niedersachsen 39
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Kontrolle oder Vertrauen...?
27.08.2009 - Uwe Robra, LfD Niedersachsen 40
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Adressat: Plattformbetreiber
27.08.2009 - Uwe Robra, LfD Niedersachsen 41
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Schutzbedarf und Risiken: Ganzheitlicher Ansatz Bei sozialen Netzwerken liefert die Kombination mehrer Datenquellen eine neue Qualität von Information Tools: Data Mining Missbrauchspotential
27.08.2009 - Uwe Robra, LfD Niedersachsen 42
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Vorabkontrolle nach § 7 Abs. 3 NDSG:
• Zur Prüfung der Zulässigkeit einer automatisierten Verarbeitung sind Verfahren, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien besondere Risiken in sich tragen, vor ihrer Einführung einer Vorabkontrolle (früher: Technikfolgenabschätzung) zu unterziehen, um festzustellen, ob die mit der automatisierten Verarbeitung verbundenen Risiken für die Rechte der Betroffenen durch technische und organisatorische Maßnahmen wirksam beherrscht werden können.
• Die Vorabkontrolle hat zu erfolgen, bevor ein neues Verfahren seinen Wirkbetrieb aufnimmt.
• Zwingende Schriftform
27.08.2009 - Uwe Robra, LfD Niedersachsen 43
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Allgemeine Gefahren für soziale Netzwerk- Plattformen:
• schnelles Wachstum: Datenschutzpolicies entwickeln sich verzögert
• Programmierfehler bei Policy- Enforcement
• Exhibitionismus ohne Kenntnis der Tragweite
• Datenschutzprofileinstellung: Unkenntnis oder fehlende Verständlichkeit
27.08.2009 - Uwe Robra, LfD Niedersachsen 44
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
LeitplankenLeitplankenGrundsGrundsäätze:tze:• Was nicht ausgewertet wird,
braucht und darf auch nicht protokolliert zu werden (Datensparsamkeit)
• Löschfristen so kurz wie möglich• Jede Protokollierung wird nur zu einem
ihm bestimmten Zweck in Betrieb genommen (Zweckbindung)
• § 7 NDSG und § 9 BDSG fordern (nur) angemessene Maßnahmen im Verhältnis zum angestrebten Schutzzweck (Verhältnismäßigkeit)
• Risiken und Gefährdungspotentiale richtig und umfassend analysieren!
• Je zentraler ein IT-Verfahren oder eine Komponente, desto weitreichender ein Fehler
27.08.2009 - Uwe Robra, LfD Niedersachsen 45
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Datensparsamkeit• Verbotsgrundsatz /
Erlaubnisvorbehalt für den öffentlichen Bereich
• Einwilligungsprinzip (Zustimmung) bei Plattformen im nicht öffentlichen Bereich – aber wie weit??
27.08.2009 - Uwe Robra, LfD Niedersachsen 46
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Elektronische Einwilligung (§ 13 Abs. 2 TMG)
z. B. bestätigende Einwilligung, bei der die Einwilligung nach dem Setzen eines Häkchens durch einen anschließenden Klick auf einen Button bestätigt wird. Darüber hinaus muss die Protokollierung und Abrufbarkeit sichergestellt sein. Hoeren, 2008
27.08.2009 - Uwe Robra, LfD Niedersachsen 47
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
•• Legaldefinitionen? Indirekt!Legaldefinitionen? Indirekt!
§§ 10 IV NDSG 10 IV NDSG
§§ 7 NDSG7 NDSGt. & o. Mat. & o. Maßßnahmennahmen„„10 + 1 Gebote10 + 1 Gebote““
§§ 31 BDSG31 BDSG
§§ 9 BDSG 9 BDSG t. & o. Mat. & o. Maßßnahmennahmen
ÖÖffentlicher ffentlicher Bereich:Bereich:
Nds. LandesbehNds. Landesbehöördenrden und Kommunen und Kommunen
in Niedersachsenin Niedersachsen
Öffentlicher Bereich:
Bundesbehörden
Nicht öffentlicher Bereich:
Alle privaten Institutionen
(Unternehmen, Selbständige,
Vereine, Verbände)
27.08.2009 - Uwe Robra, LfD Niedersachsen 48
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken en DetailLeitplanken en Detail§§ 7 NDSG 7 NDSG
27.08.2009 - Uwe Robra, LfD Niedersachsen 49
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (1)Leitplanken (1)§§ 7 NDSG 7 NDSG SpeicherkontrolleSpeicherkontrolleBenutzerkontrolleBenutzerkontrolleZugriffskontrolleZugriffskontrolle
– Erläuterungen zu Abs. 2 Nr. 3, 4 und 5
• 8. Die unbefugte Eingabe in ein Datenverarbeitungssystem sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten ist zu verhindern. Das gilt nicht nur für Fremde, sondern auch für Mitarbeiterinnen und Mitarbeiter der Daten verarbeitenden Stelle, soweit der Zugriff nicht zur Aufgabenerfüllung erforderlich ist.
27.08.2009 - Uwe Robra, LfD Niedersachsen 50
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (2) Leitplanken (2) §§ 7 NDSG 7 NDSG SpeicherkontrolleSpeicherkontrolleBenutzerkontrolleBenutzerkontrolleZugriffskontrolleZugriffskontrolle
– Erläuterungen zu Abs. 2 Nr. 3, 4 und 5
• Bevor mit der Datenverarbeitung begonnen werden kann, müssen die Benutzerinnen und Benutzer ihre Berechtigung im Einzelfall nachgewiesen haben. Dies geschieht heute überwiegend durch die Eingabe einer Benutzerkennung (Login und Passwort). Neu sind chipkartenbasierte oder biometrische Identifikationsverfahren, die zunehmend eingesetzt werden. Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, sind zu protokollieren und zu kontrollieren..
27.08.2009 - Uwe Robra, LfD Niedersachsen 51
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (3) Leitplanken (3) §§ 7 NDSG 7 NDSG
OrganisationskontrolleOrganisationskontrolle– Erläuterungen zu Abs. 2 Nr.11
• „14. Organisatorische Maßnahmen treten neben technische Datensicherungsmaßnahmen. Mit Ihnen lassen sich technische Sicherheitsdefizite kompensieren. Beispiele:
- Anweisungen zur Passwortgestaltung - Anweisung zum Umgang mit dem Internet - Löschungsfristen für Textdokumente - Vernichtung von Altakten - Prüfung und Aufbewahrung von Benutzungsprotokollen- Überwachung von Administrations- und Wartungsarbeiten- Verfahrensentwicklung, Verfahrensdokumentation und Freigabe.
• Eine Dienstanweisung zum datenschutzgerechten Einsatz der Informations- und Kommunikationstechnik sollte alle Festlegungen dokumentieren und damit für alle Benutzerinnen und Benutzer transparent machen.
27.08.2009 - Uwe Robra, LfD Niedersachsen 52
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (4) Leitplanken (4)
ZweckbindungZweckbindung: : §§ 10 Abs. 4 NDSG,10 Abs. 4 NDSG, §§ 31 BDSG 31 BDSG
Daten, die zur Daten, die zur
•• Datenschutzkontrolle, Datenschutzkontrolle, •• Datensicherung oder Datensicherung oder •• Sicherstellung des ordnungsgemSicherstellung des ordnungsgemäßäßen Betriebs en Betriebs
gespeichert wurden, unterliegen einer strengen gespeichert wurden, unterliegen einer strengen Zweckbindung!Zweckbindung!
27.08.2009 - Uwe Robra, LfD Niedersachsen 53
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (5) Leitplanken (5) §§ 7 NDSG 7 NDSG
Organisationskontrolle Organisationskontrolle –– wo verlwo verlääuft die Grenze?uft die Grenze?• Kontrolle der Tätigkeit (Admin, Remotezugriffe Wartung, Nutzer)
geboten• Aber: kontrollierte Grenze zu einer Verhaltenskontrolle der
Administratoren • Das Heft selbst in der Hand halten! (Vergabe, Eigenentwicklung,
Mandantschaft/SLA beim Dienstleister)• Softwareprodukte „von der Stange“ sollten datenschutzfreundliche
Architektur aufweisen: offene Formate, offene Schnittstellen, transparente Protokollierung
• Realität: zumindest aber Customizing ermöglichen, Einstelloptionen für Protokoll-Parameter statt Wildwuchs und Vollprotokollierung
27.08.2009 - Uwe Robra, LfD Niedersachsen 54
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (6) Leitplanken (6) GrundsGrundsäätze:tze:• Was nicht ausgewertet wird,
braucht und darf auch nicht protokolliert zu werden (Datensparsamkeit)
• Löschfristen so kurz wie möglich• Jede Protokollierung wird nur zu einem
ihm bestimmten Zweck in Betrieb genommen (Zweckbindung)
• § 7 NDSG und § 9 BDSG fordern (nur) angemessene Maßnahmen im Verhältnis zum angestrebten Schutzzweck (Verhältnismäßigkeit)
• Risiken und Gefährdungspotentiale richtig und umfassend analysieren!
• Je zentraler ein IT-Verfahren oder eine Komponente, desto weitreichender ein Fehler http://user.cs.tu-berlin.de
27.08.2009 - Uwe Robra, LfD Niedersachsen 55
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Leitplanken (7) Leitplanken (7) GrundsGrundsäätze:tze:• Verhältnismäßigkeit
...
Bildquelle: picasaweb.google.com
27.08.2009 - Uwe Robra, LfD Niedersachsen 56
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• TKG:
• Abschnitt 2: Datenschutz• § 91 Anwendungsbereich• § 92 Datenübermittlung an ausländische nicht öffentliche Stellen• § 93 Informationspflichten• § 94 Einwilligung im elektronischen Verfahren• § 95 Vertragsverhältnisse• § 96 Verkehrsdaten• § 97 Entgeltermittlung und Entgeltabrechnung• § 98 Standortdaten• § 99 Einzelverbindungsnachweis• § 100 Störungen von Telekommunikationsanlagen und Missbrauch
von Telekommunikationsdiensten• § 101 Mitteilen ankommender Verbindungen• § 102 Rufnummernanzeige und -unterdrückung• § 103 Automatische Anrufweiterschaltung• § 104 Teilnehmerverzeichnisse• § 105 Auskunftserteilung• § 106 Telegrammdienst• § 107 Nachrichtenübermittlungssysteme mit Zwischenspeicherung
27.08.2009 - Uwe Robra, LfD Niedersachsen 57
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• TKG:
• Abschnitt 3: Öffentliche Sicherheit• § 108 Notruf• § 109 Technische Schutzmaßnahmen• § 110 Technische Umsetzung von
Überwachungsmaßnahmen• § 111 Daten für Auskunftsersuchen der Sicherheitsbehörden• § 112 Automatisiertes Auskunftsverfahren• § 113 Manuelles Auskunftsverfahren• § 113a Speicherungspflichten für Daten• § 113b Verwendung der nach § 113a gespeicherten Daten• § 114 Auskunftsersuchen des Bundesnachrichtendienstes• § 115 Kontrolle und Durchsetzung von Verpflichtungen
27.08.2009 - Uwe Robra, LfD Niedersachsen 58
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• TMG:
Abschnitt 4 Datenschutz§ 11 Anbieter-Nutzer-Verhältnis§ 12 Grundsätze§ 13 Pflichten des Diensteanbieters§ 14 Bestandsdaten§ 15 Nutzungsdaten§ 16 Bußgeldvorschriften
27.08.2009 - Uwe Robra, LfD Niedersachsen 59
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
• Rundfunkstaatsvertrag:
Abschnitt IV bis IV für Telemedien• IV. Abschnitt• Revision, Ordnungswidrigkeiten• § 48 Revision zum Bundesverwaltungsgericht• § 49 Ordnungswidrigkeiten• V. Abschnitt• Plattformen, Übertragungskapazitäten• § 50 Grundsatz• § 51 Zuordnung von drahtlosen Übertragungskapazitäten• § 51 a Zuweisung von drahtlosen Übertragungskapazitäten an private Anbieter durch die• zuständige Landesmedienanstalt• § 51 b Weiterverbreitung• § 52 Plattformen• § 52 a Regelungen für Plattformen• § 52 b Belegung von Plattformen• § 52 c Technische Zugangsfreiheit• § 52 d Entgelte, Tarife• § 52 e Vorlage von Unterlagen, Zusammenarbeit mit der Regulierungsbehörde für• Telekommunikation• § 52 f Maßnahmen durch die zuständige Landesmedienanstalt• § 53 Satzungen, Richtlinien• § 53 a Überprüfungsklausel• § 53 b Bestehende Zulassungen, Zuordnungen, Zuweisungen, Anzeige von bestehenden• Plattformen• VI. Abschnitt• Telemedien• § 54 Allgemeine Bestimmungen• § 55 Informationspflichten und Informationsrechte• § 56 Gegendarstellung• § 57 Datenschutz bei journalistisch-redaktionellen Zwecken• § 58 Werbung, Sponsoring, Gewinnspiele• § 59 Aufsicht• § 60 Telemediengesetz, Öffentliche Stellen• § 61 Notifizierung
27.08.2009 - Uwe Robra, LfD Niedersachsen 60
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Fragen zum ThemaFragen zum Thema
27.08.2009 - Uwe Robra, LfD Niedersachsen 61
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen
Vielen Dank fVielen Dank füür Ihrer IhreAufmerksamkeit !Aufmerksamkeit !
Kontakt:Der Landesbeauftragte für den Datenschutz Niedersachsen- Geschäftsstelle -Uwe Robra, Leiter Team 3Technischer und organisatorischer Datenschutz
Tel. 0511/120-4530Fax zu eMail: 0511/120-994599Brühlstr. 9, 30169 HannoverEmail: [email protected]
27.08.2009 - Uwe Robra, LfD Niedersachsen 62
9. Kommunales IuK9. Kommunales IuK--Forum NiedersachsenForum Niedersachsen
Einführung /Der LfD NI
DefinitionenWeb 2.0 & Beispiele
Handlungs-empfehlungen
Datenschutz-Risiken
Datenschutz-Anforderungen