Datenschutz im Jugendring 15. Mai 2012 Geschäftsführertagung BezJR Oberfranken, Bayreuth
Datenschutz im Jugendring
Thomas Krepkowski
Vorstellung Thomas Krepkowski Selbstständiger EDV-Dienstleister Freier Mitarbeiter EDV-Systemhaus Fachgebiet Datenschutz Seit 2006 aufgebaut Erfahrung in Jugendarbeit (KJR-Vors.) Beratung BJR zu Datenschutz seit mehreren Jahren
15.05.2012
Bayreuth
2
Datenschutz im Jugendring
Thomas Krepkowski
Kontaktdaten Thomas Krepkowski infodataplan
E-Mail:
[email protected] Tel.: 09 06/ 70 58 74 44 Fax: 09 06/ 70 58 74 45
15.05.2012
Bayreuth
3
Datenschutz im Jugendring
Thomas Krepkowski
Vorstellung Teilnehmer Name Jugendring Größe Verwaltung
Erste Berührung mit Datenschutz? Brennendste Frage zum Datenschutz?
15.05.2012
Bayreuth
4
Datenschutz im Jugendring
Thomas Krepkowski
Überblick Inhalte 1. 2. 3. 4. 5.
Basiswissen Datenschutz (Begriffe, Prinzipien) Gesetzliche Grundlagen für Datenschutzbeauftragte Datenschutzrelevante Bereiche im Jugendring Datenschutz organisieren – aber wie? Sonstiges, Fragen
15.05.2012
Bayreuth
5
Basiswissen Datenschutz Begriffe und Prinzipien
Datenschutz im Jugendring
Thomas Krepkowski
Basiswissen Datenschutz
ENTSTEHUNG DES DATENSCHUTZ 15.05.2012
Bayreuth
7
Datenschutz im Jugendring
Thomas Krepkowski
Volkszählungsurteil 1983 Erfolgreiche Verfassungsbeschwerde gegen Volkszählungsgesetz BVerfG stellt Eingriffe in Grundrechte ohne Rechtfertigung fest Formulierung des Rechts auf informelle Selbstbestimmung zum Schutz des Einzelnen und der freiheitlichen, demokratischen Grundordnung
15.05.2012
Bayreuth
8
Datenschutz im Jugendring
Thomas Krepkowski
Recht auf informationelle Selbstbestimmung
Abgeleitet aus Menschwürde
(Art. 1 Abs. 1 GG) Recht auf freie Entfaltung der Persönlichkeit (Art. 2 Abs. 1 GG)
Bürger müssen wissen können, wer wann was und bei welcher Gelegenheit über sie weiß. Unsicherheit über Verwenden von Informationen und Verhalten würde zu Anpassung führen.
15.05.2012
Bayreuth
9
Datenschutz im Jugendring
Thomas Krepkowski
Entwicklung Gesetzgebung Landesdatenschutzgesetze Novellierungen des Bundesdatenschutzgesetzes (BDSG) EU-Datenschutzrichtlinie Weitere bereichsspezifische Gesetze oder Bestimmungen zum Datenschutz Querschnittsthema geworden
15.05.2012
Bayreuth
10
Datenschutz im Jugendring
Thomas Krepkowski
Basiswissen Datenschutz
GESETZE ZUM DATENSCHUTZ
15.05.2012
Bayreuth
11
Datenschutz im Jugendring
Thomas Krepkowski
Bundesdatenschutzgesetz (BDSG)
Anzuwenden auf öffentliche
Stellen im Bund nicht-öffentliche Stellen = Privatwirtschaft, Vereine etc.
Zuletzt geändert 2009 gilt nicht für BJR aber hilfreich für Bewertungen & Anleihen
15.05.2012
Bayreuth
12
Datenschutz im Jugendring
Thomas Krepkowski
Bayerisches Datenschutzgesetz (BayDSG)
Anzuwenden auf öffentliche
Stellen in Bayern juristische Personen des öffentlichen Rechts unter Rechtsaufsicht des Freistaats
Zuletzt geändert 2011 Maßgeblich für BJR als KdöR Teils einfachere Regelungen als BDSG
15.05.2012
Bayreuth
13
Datenschutz im Jugendring
Thomas Krepkowski
Gesetzestext BayDSG
Im Internet abrufbar Über
Seite Landesbeauftragter für Datenschutz: www.datenschutz-bayern.de
Ergänzungen: Datenschutzverordnung
(DSchV) Vollzugsbekanntmachung (VollzBekBayDSG)
Für Arbeit Kommentar besorgen
15.05.2012
Bayreuth
14
Datenschutz im Jugendring
Thomas Krepkowski
Bereichsspezifische & weitere Vorschriften
Telekommunikationsgesetz (TKG) Datenschutz
bei Kommunikationsdiensten
Telemediengesetz (TMG) Datenschutz
bei Internetdiensten
Personalaktenrecht Sozialgesetzbuch BayDSG nachranging anzuwenden!
15.05.2012
Bayreuth
15
Datenschutz im Jugendring
Thomas Krepkowski
Basiswissen Datenschutz
GRUNDBEGRIFFE
15.05.2012
Bayreuth
16
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutz Gesetzesformulierungen: Schutz des Einzelnen vor Beeinträchtigung im Persönlichkeitsrecht bei Umgang mit seinen personenbezogenen Daten Schutz von personenbezogenen Daten Abgrenzung gegenüber Datensicherheit, Geschäftsgeheimnisse
15.05.2012
Bayreuth
17
Datenschutz im Jugendring
Thomas Krepkowski
Personenbezogenen Daten
Persönliche Verhältnisse Alter,
Name, Familienstand
Sachliche Verhältnisse Hauseigentümer,
Golf-Spieler
Bestimmte Person Bestimmbare Person
Zuordnung
15.05.2012
durch weitere Informationen Bayreuth
18
Datenschutz im Jugendring
Thomas Krepkowski
Besondere, sensible personenbezogene Daten
Katalog in Gesetz festgehalten Ethnische
Herkunft Politische Meinung Religiöse Einstellung, Weltanschauung Sexuelle Orientierung Gesundheit
Besondere Anforderungen im Umgang
15.05.2012
Bayreuth
19
Datenschutz im Jugendring
Thomas Krepkowski
Erheben, Verarbeiten, Nutzen Erheben: zielgerichtetes Beschaffen von Daten Verarbeiten: Speichern, Verändern, Übermitteln, Sperren, Löschen Nutzen: Verwendung, Weitergabe innerhalb
15.05.2012
Bayreuth
20
Datenschutz im Jugendring
Thomas Krepkowski
Datei, Akten
Datei: Sammlung
personenbez. Daten und geordnet aufgebaut und auswertbar oder EDV-gestützt geführt und auswertbar
Akten: sonstigen Unterlagen, die Teil des Vorgangs BayDSG gilt unabhängig von „Technik“ (Papier/EDV)
15.05.2012
Bayreuth
21
Datenschutz im Jugendring
Thomas Krepkowski
Automatisiertes Verfahren „EDV-gestützt Verwaltungsaufgabe lösen“ Automatisiertes Verfahren =
Daten/Dateien
+ Software zu Verarbeitung/Nutzung
Besondere Anforderungen, da Daten digital „gefährdeter“
15.05.2012
Bayreuth
22
Datenschutz im Jugendring
Thomas Krepkowski
Betroffener, Dritter Betroffener: Person über den personbez. Daten vorliegen Speichernde Stelle Dritter
Personen
und Stellen außerhalb der speichernden Stelle Wichtig für Frage, ob Übermittlung vorliegt
15.05.2012
Bayreuth
23
Datenschutz im Jugendring
Thomas Krepkowski
Basiswissen Datenschutz
PRINZIPIEN
15.05.2012
Bayreuth
24
Datenschutz im Jugendring
Thomas Krepkowski
Datensparsamkeit/-vermeidung In § 3 a BDSG dargestellt Fehlt in BayDSG
Reduktion aufs Erforderliche Leitlinie, um Angemessenheit zu überprüfen
15.05.2012
Bayreuth
25
Datenschutz im Jugendring
Thomas Krepkowski
Verbot mit Erlaubnisvorbehalt Ausgangspunkt: Alles verboten! Erlaubnis zum Umgang mit Daten nur mit
Rechtsgrundlage Einwilligung
des Betroffenen
Vorher muss Grundlage klar sein!
15.05.2012
Bayreuth
26
Datenschutz im Jugendring
Thomas Krepkowski
Einwilligung Nach Information über Zweck Hinweis auf Verweigerung, Widerruf Hervorgehoben beim Zusammenhang mit anderen Erklärungen
Kein Allheilmittel, da widerrufbar!
15.05.2012
Bayreuth
27
Datenschutz im Jugendring
Thomas Krepkowski
Zweckbindung
Zweck festgelegt durch Rechtsgrundlage
Vorinformation
zur Einwilligung
Zweckänderung unter Voraussetzungen möglich; in der Regel nach Abwägung der Interessen
15.05.2012
Bayreuth
28
Datenschutz im Jugendring
Thomas Krepkowski
Auskunftsrecht
Betroffener erhält Auskunft zu: Gespeicherten
Daten Zweck und Rechtsgrundlage Herkunft Daten Empfänger Übermittlung
Einsicht in öffentliches Verfahrensverzeichnis
15.05.2012
Bayreuth
29
Datenschutz im Jugendring
Thomas Krepkowski
Berichtigung, Löschen, Sperren Pflicht zu Berichtigung Löschen
wenn
nicht mehr erforderlich Festlegung von Löschfristen
Sperren Bei
Bestreiten Richtigkeit Bei zu hohem Aufwand fürs Löschen 15.05.2012
Bayreuth
30
Datenschutz im Jugendring
Thomas Krepkowski
Interessenabwägung
Bei Fragen der Zulässigkeit von Erhebung bei Dritten, Verarbeitung zu andern Zwecken und Übermittlung Abwägung zwischen schutzwürdige
Interessen des Betroffenen Interessen der öff. Stelle oder Dritten
Verschiedene Abstufungen Beeinflussbar durch Ausgestaltung Verfahren
15.05.2012
Bayreuth
31
Gesetzliche Grundlagen für Datenschutzbeauftragte nach BayDSG
Datenschutz im Jugendring
Thomas Krepkowski
Gesetzliche Grundlagen für Datenschutzbeauftragte
FUNKTION UND AUFGABEN
15.05.2012
Bayreuth
33
Datenschutz im Jugendring
Thomas Krepkowski
Funktion laut Gesetz
Hinwirkung auf Einhaltung der Gesetze und Vorschriften zum Datenschutz
Überwachung der Einhaltung
Kein Weisungsrecht!
15.05.2012
Bayreuth
34
Datenschutz im Jugendring
Thomas Krepkowski
Konkrete Aufgaben Freigabe von Verfahren zur Verarbeitung personbez. Daten vor dem Einsatz Freigabe von Videoüberwachung Führen des Verfahrensverzeichnis Beratung der Beschäftigten zum Datenschutz
15.05.2012
Bayreuth
35
Datenschutz im Jugendring
Thomas Krepkowski
Gesetzliche Grundlagen für Datenschutzbeauftragte
BESTELLUNG DES DSB
15.05.2012
Bayreuth
36
Datenschutz im Jugendring
Thomas Krepkowski
Formalien der Bestellung Entscheidung durch Vorstand Keine förmliche Beteiligung Personalrat Bestellung durch Vorsitzenden Nur mit Einvernehmen Schriftliche Bestellung angeraten Direkte Zuordnung Vorsitzenden
15.05.2012
Bayreuth
37
Datenschutz im Jugendring
Thomas Krepkowski
Anforderungen an DSB Muss beschäftigte Person sein; keine externe, ehrenamtliche Soll Fachkenntnisse zu Datenschutz, EDV haben oder über Fortbildungen erwerben können Interessenskonflikte durch andere Aufgaben sollen vermieden werden
15.05.2012
Bayreuth
38
Datenschutz im Jugendring
Thomas Krepkowski
Gemeinsame Bestellung Gemeinsame Bestellung einer Person durch mehrere Stellen möglich auch Person von übergeordneter Stelle
Grenzen Leistbarkeit, Größenordnung und Effektivität interner Kontrolle beachten!
15.05.2012
Bayreuth
39
Datenschutz im Jugendring
Thomas Krepkowski
Gesetzliche Grundlagen für Datenschutzbeauftragte
RECHTE DES DSB
15.05.2012
Bayreuth
40
Datenschutz im Jugendring
Thomas Krepkowski
Ausstattung Zeitlich im angemessenen Umfang freizustellen Mittel für Fortbildungen, Fachbücher und Arbeitsmittel bereitstellen Erreichbarkeit, ggf. auch vertraulich, sicher stellen
15.05.2012
Bayreuth
41
Datenschutz im Jugendring
Thomas Krepkowski
Weisungsfreiheit, Benachteiligungsverbot In der Erfüllung der Aufgabe handeln DSBs weisungsfrei DSBs handeln frei bei Kontrolle oder Freigabeentscheidung Aufgrund „unbequemer“ Tätigkeit dürfen sie nicht Nachteile erleiden oder abberufen werden
15.05.2012
Bayreuth
42
Datenschutz im Jugendring
Thomas Krepkowski
Vorlage beim Landesbeauftragten DSBs können sich ohne Einhaltung des Dienstwegs direkt an den Landesbeauftragten für Datenschutz wenden Bei Fragen im Rahmen Freigabe Bei Zweifeln zur Auslegung von rechtlicher Vorschriften
15.05.2012
Bayreuth
43
Datenschutzrelevante Bereiche im Jugendring
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutzrelevante Bereiche im Jungendring
DATEN VON MITARBEITERN
15.05.2012
Bayreuth
45
Datenschutz im Jugendring
Thomas Krepkowski
Personaldaten
Personalakte In
BayDSG einbezogen auch wenn Papierakte
Meldungen an Sozialversicherungen etc. durch Rechtsgrundlagen gedeckt Beispiel: Bilder vom Personal auf Website; Geburtstagslisten
15.05.2012
Bayreuth
46
Datenschutz im Jugendring
Thomas Krepkowski
Daten aus EDV-/TK-Einsatz Einzelverbindungsnachweise Anmeldezeiten an PC mit enger Zweckbindung Protokollierung Internetzugriffe E-Mail-Nutzung
Nur
dienstlich, auch privat? Filterung von Spam, Viren 15.05.2012
Bayreuth
47
Datenschutz im Jugendring
Thomas Krepkowski
Regelungen zum EDV-/TK-Einsatz Schaffen Klarheit, was erlaubt, was nicht Informieren über eingesetzte Verfahren Regeln Verfahrensweisen zur Kontrolle (Stichproben, 4-Augen-Prinzip) Betriebs-/Dienstvereinbarung Dienstanweisung Grundlage für Erlaubnis Datenumgang
15.05.2012
Bayreuth
48
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutzrelevante Bereiche im Jungendring
DATEN VON TEILNEHMERN
15.05.2012
Bayreuth
49
Datenschutz im Jugendring
Thomas Krepkowski
Grunddaten Teilnehmer
Adresse, Telefon, E-Mail Auch
von Eltern
Kontoverbindungen Zugehörigkeit Jugendgruppen Geburtsdatum Teilnahme an sich
15.05.2012
Bayreuth
50
Datenschutz im Jugendring
Thomas Krepkowski
Gesundheitliche Daten Allergien Erkrankungen Letzte Impfungen Einschränkungen (ADHS)
Sensible Daten – besonderes Augenmerk!
15.05.2012
Bayreuth
51
Datenschutz im Jugendring
Thomas Krepkowski
Bilder, Videos Recht am eigenen Bild Zustimmung
zum
Fotografieren zur Verwendung unter Angabe Zweck
15.05.2012
Bayreuth
52
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutzrelevante Bereiche im Jungendring
DATEN VON JUGENDLEITERN, DELEGIERTEN 15.05.2012
Bayreuth
53
Datenschutz im Jugendring
Thomas Krepkowski
Grunddaten JuLei, Delegierte
Siehe Teilnehmer
Teilnahme an Versammlungen Funktionen, Karriere im Verband
15.05.2012
Bayreuth
54
Datenschutz im Jugendring
Thomas Krepkowski
Weitergabe von Daten Weitgehend erlaubt zwischen öffentlichen Stellen Dürfen, kein Müssen!
Zweckbindung beim Empfänger für den angeforderten Zweck
15.05.2012
Bayreuth
55
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutzrelevante Bereiche im Jungendring
SONSTIGE DATEN
15.05.2012
Bayreuth
56
Datenschutz im Jugendring
Thomas Krepkowski
Daten auf Websites Besucherstatistik Besucher-Tracking (Google Analytics u.a.) Verwendung von Social-MediaVerknüpfungen Benutzer-Daten bei Anmeldemöglichkeit auf Website
15.05.2012
Bayreuth
57
Datenschutz im Jugendring
Thomas Krepkowski
Daten von Bußgeldzahlern Namen Höhe des Bußgelds Zahlungsfortgang
Ableistung von Sozialstunden
15.05.2012
Bayreuth
58
Datenschutz organisieren – aber wie?
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutz organisieren – aber wie?
WEG ZUM/R DATENSCHUTZBEAUFTRAGTEN 15.05.2012
Bayreuth
60
Datenschutz im Jugendring
Thomas Krepkowski
Vorbereiten der Bestellung DSB Eigene Information Information Entscheider Abwägung:
Bestellung
selber / gemeinsam
Person für DSB finden Interessenkonflikte
15.05.2012
beachten
Bayreuth
61
Datenschutz im Jugendring
Thomas Krepkowski
Bestellung des/der DSB
Vereinbarung bei gemeinsamem DSB: Umlage,
finanzielle Beteiligung Zuordnung
Schriftliche Bestellung vorbereiten Beschluss Vorstand Einvernehmliche Bestellung
15.05.2012
Bayreuth
62
Datenschutz im Jugendring
Thomas Krepkowski
Inhalt der schriftl. Bestellung
Zeitlicher Umfang Stundenaufstockung,
Freistellung
Bereitgestellte Ressourcen Zuordnung zu Vorsitzenden Umfang Zuständigkeit, Aufgaben Absprachen zu Berichterstattung
15.05.2012
Bayreuth
63
Datenschutz im Jugendring
Thomas Krepkowski
Ausbildung des/der DSB
Seminar Bay. Verwaltungsschule (BVS) Rückmeldungen:
passt nur für Kommunen
Schulung vom BJR Erwerb Fachkenntnisse
Rechtlich Organisatorisch Technisch
15.05.2012
(?!?) Bayreuth
64
Datenschutz im Jugendring
Thomas Krepkowski
Einführung des/der DSB Bekanntgabe an Mitarbeiter Kontaktdaten veröffentlichen Vorstellung in Gremien (Personalrat, Vollversammlung) Gespräche mit Abteilungsleitern, Personen mit besonderer Zuständigkeit (EDV-Verantwortliche)
15.05.2012
Bayreuth
65
Datenschutz im Jugendring
Thomas Krepkowski
Arbeit des/der DSB (1)
Grundinformation/Schulung der Mitarbeiter Vorbereitung
Abfrage verwendete Daten/Verfahren
Überblick verschaffen Sammeln Informationen für Verfahrensverzeichnis Dokumentation technischer, organisatorischer Maßnahmen
15.05.2012
Bayreuth
66
Datenschutz im Jugendring
Thomas Krepkowski
Arbeit des/der DSB (2)
Bearbeiten von Anfragen Betroffener Beratung von Angestellten,
Personalrat Vorstand, Geschäftsführung
Freigabe von neuen, geänderten Verfahren frühzeitige
Beteiligung!
Kontrolle
15.05.2012
Bayreuth
67
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutz organisieren – aber wie?
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN 15.05.2012
Bayreuth
68
Datenschutz im Jugendring
Thomas Krepkowski
Abwägung Schutzzweck - Aufwand Zum Schutz sind technische und Organisatorische Maßnahmen zu treffen Maßnahmen nur erforderlich, wenn Aufwand in angemessenem Verhältnis zum notwendigen Schutz Maßnahmen
technisch organisatorisch
15.05.2012
Bayreuth
69
Datenschutz im Jugendring
Thomas Krepkowski
Technische Maßnahmen Software zur Sperrung USB-Sticks Anmeldung an PCs Verschlüsselung Verschlüsselte Verbindung Datensicherung, Backup
15.05.2012
Bayreuth
70
Datenschutz im Jugendring
Thomas Krepkowski
Technikgestützte Maßnahmen Vergabe von Zugriffsrechten Protokollierung von Zugriffen Ausdruck erst mit Code-Eingabe am Drucker
15.05.2012
Bayreuth
71
Datenschutz im Jugendring
Thomas Krepkowski
Organisatorische Maßnahmen Festlegen von Zuständigkeiten für z.B. Adresseingabe Führen von Bestandslisten Backupdatenträger Festlegen von Fristen zur Überprüfung der Löschung
15.05.2012
Bayreuth
72
Datenschutz im Jugendring
Thomas Krepkowski
Stand der Technik
Entwicklung Stand der Technik kann verändern: Angemessenheit
(Aufwand wird geringer) Erreichung Schutzziel (nicht mehr sicher)
Überprüfung von Maßnahmen nötig
15.05.2012
Bayreuth
73
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutz organisieren – aber wie?
AUFTRAGSDATENVERARBEITUNG 15.05.2012
Bayreuth
74
Datenschutz im Jugendring
Thomas Krepkowski
Merkmale von Auftragsdatenverarbeitung
Auftraggeber „Herr“ über die Daten bleibt verantwortlich für Datenschutz bleibt
Auftragnehmer verarbeitet
Daten für Auftraggeber zu bestimmten Zweck des Auftraggebers
EDV-Wartung zu behandeln wie Auftrags-DV Beispiele: AKDB, Nutzung LRA-EDV (?!?)
15.05.2012
Bayreuth
75
Datenschutz im Jugendring
Thomas Krepkowski
Anforderungen, Regelungsbedarf Sorgfältige Auswahl des Auftragnehmers Auftragserteilung hat schriftlich zu erfolgen Genaue Festlegung des Auftrags Dokumentationspflichten Auftragnehmer Ggf. Kontrolle, Nachprüfung
Regelung mit dem Landratsamt ?!
15.05.2012
Bayreuth
76
Datenschutz im Jugendring
Thomas Krepkowski
Datenschutz organisieren – aber wie?
DOKUMENTATION
15.05.2012
Bayreuth
77
Datenschutz im Jugendring
Thomas Krepkowski
Strukturierung Formblätter für Freigaben Grundlage für Verfahrensverzeichnis Checklisten für Prüfungen Kontrollen
Vorlagen im Internet oder Kommentarliteratur
15.05.2012
Bayreuth
78
Datenschutz im Jugendring
Thomas Krepkowski
Aktennotizen Zur Dokumentation von Anfragen, Vorgängen Abwägungsvorgänge Absicherung auch des DSB
15.05.2012
Bayreuth
79
Datenschutz im Jugendring
Thomas Krepkowski
Jahresbericht Rechenschaft zur Aufgabe Datenschutz Statistische Infos
Anfragen Freigabeverfahren
Dokumentation von Prüfungen Anregungen
15.05.2012
Bayreuth
80
Sonstiges & Fragen