Der gläserne Mensch – Ende der Privatheit ?
Gymnasium an der StadtmauerBad Kreuznach
15.4.2010Judith Hartig
Organisation des Datenschutzes in Deutschland
• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
– Zuständig für öffentliche Stellen des Bundes
• 16 Landesbeauftragte für den Datenschutz (und die Informationsfreiheit)
– Zuständig für öffentliche Stellen der Länder
– teilweise auch für den privaten Bereich; wenn nicht, sind Aufsichtsbehörden der Länder (Bsp.: Innenministerium; spezielle Landesbehörde) zuständig
• Eigene Datenschutzbeauftragte im Bereich der Kirchen, Rundfunk- und Medienanstalten
Problem: Datenschutzaufsicht im InternetBsp: Google Street View
• Zuständigkeit der Datenschutzaufsichtsbehörde
• Datenerhebung erfolgt in Deutschland, aber für die Veröffentlichung könnte auch amerikanisches Recht gelten
• Bestimmungen im BDSG (§§ 28, 29) stammen aus der Vor-Internetzeit (Abwägung: berechtigtes Interesse des Nutzers – schutzwürdiges Interesse des Betroffenen)
Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz
• Edgar Wagner• Zuständigkeit:
• DV öffentlicher und privater Stellen in Rh.-Pf.
• Aufgaben: • Beratung, Kontrolle,
Bearbeitung von Eingaben, Erstellung Tätigkeitsbericht
Befugnisse des LfD
im öffentlichen Bereich:
Unterstützungspflicht der datenverarbeitenden Stellen: Auskunft / Einsicht jederzeit Zutritt zu allen Diensträumen
bei erheblichem Verstoß: Formelle Beanstandung (§ 28 LDSG), aber keine exekutiven Befugnisse (insb. Weisungsbefugnis)
im nicht-öffentlichen Bereich: Unterstützungspflicht der datenverarbeitenden Stellen (s.o.)
Maßnahmen anordnen; bei erheblichen Verstößen: Verfahren untersagen
Verhängung von Bußgeldern bis 300.000 €
Straftatbestände nach LDSG/BDSG
• Datenschutzverstoß in der Absicht, sich oder einen anderen zu bereichern oder einem anderen zu schädigen
• Freiheitsstrafe oder Geldstrafe
Datenschutz – Was ist das ?
Schutz der Persönlichkeitsrechte– in rechtlicher und technischer Hinsicht– gegenüber dem Staat („big brother“)– gegenüber Privaten
Die ersten Datenschutzregeln
Eid des Hippokrates Beichtgeheimnis Bankgeheimnis Sozialgeheimnis ...
Das Volkszählungsurteil des BVerfG (1983):
• „Unter den Bedingungen der modernen Datenverarbeitung…“
• in den Unzulänglichkeiten der herkömmlichen Datenverarbeitung lag gleichzeitig die Schutzwirkung für die Betroffenen
• Herausarbeitung der informationellen Selbstbestimmung als Grundrecht - abgeleitet aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG) und der Achtung der Menschenwürde (Art. 1 Abs. 1 GG)
Das Bundesverfassungsgericht
Art. 1 Abs. 1GGMenschenwürde
Art. 2 Abs. 1 GGAllgemeines
Persönlichkeitsrecht
Grundrecht auf informationelle Selbstbestimmung (1983) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme (2008)
Art. 1 Abs. 1 GGMenschenwürde
Informationelles Selbstbestimmungsrecht
Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen
Der Bürger hat einen Anspruch darauf, in Erfahrung bringen zu können, welche Daten die öffentlichen Stellen über ihn nutzen können
die datenverarbeitenden Stellen müssen sich darum bemühen, durch technisch-organisatorische Vorkehrungen (Datensicherungsmaßnahmen) das Grundrecht zu schützen; der Gesetzgeber muss entsprechende Vorgaben formulieren
Eingriffe in dieses Recht bedürfen einer normenklaren gesetzlichen Ermächtigung oder der Einwilligung des Betroffenen (sog. Verbot mit Erlaubnisvorbehalt)
Unantastbarer Kernbereich
Rechtliche Grundlagen im Datenschutz
• Art. 8 Europäische Grundrechtscharta: Jeder hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten
• Die EU-Datenschutzrichtlinie (1995):
• harmonisiert einzelstaatliche Rechtsvorschriften; gleichwertiger Schutz im Geltungsbereich der Richtlinie
• schreibt unabhängige Kontrollstellen für den Datenschutz vor
• regelt u.a. den Schutz besonders sensibler Daten
• Umgesetzt im BDSG und im LDSG
Rechtliche Grundlagen im Datenschutz
• Allgemeines Datenschutzrecht: BDSG (regelt DV öffentlicher Stellen des Bundes; nicht-öffentlichen Bereich) und LDSG (regelt DV öffentlicher Stellen der Länder)
• Spezielles Datenschutzrecht z.B. Polizeigesetz, Meldegesetz, Sozialgesetzbuch, Abgabenordnung oder …Schulgesetze…
Gesetzliche Grundlagen im Schulbereich
• Schulgesetz• Privatschulgesetz
• Schulordnung für die öffentlichen Grundschulen
• Übergreifende Schulordnung• Schulordnung für die
öffentlichen berufsbildenden Schulen
• Schulordnung für die öffentlichen Sonderschulen
Rechtsgrundlage:Gesetzliche Ermächtigung
• Erforderlichkeitsgrundsatz– für die Aufgabenerfüllung notwendig– anonymisierte od. pseudonymisierte DV nicht möglich– Beschränkung auf den erforderlichen Umfang
• Zweckbindungsgrundsatz
Rechtsgrundlage:Einwilligung (vgl. § 5 LDSG)
• Informiertheit• Freiwilligkeit• Widerruflichkeit• grds. Schriftlichkeit• Einwilligungsfähigkeit
Begriffe
personenbezogen
personenbeziehbar
pseudonymisiert
anonymisiert
anonym
Anwendbarkeit datenschutzrechtlicher
Vorschriften
ja/nein
ja
ja
nein
nein
Videoüberwachung an Schulen§ 34 LDSG
• öffentlich zugängliche Räume• Wahrnehmung des Hausrechts• Erforderlichkeit/Verhältnismäßigkeit• Zusätzliche Pflichten:
– Hinweis auf Videoüberw. und verantwortliche Stelle– Verfahrensverzeichnis, Anmeldung zum Datenschutzregister– Techn.-organisator. DS-Maßnahmen (Sicherheitskonzept)– Dienstanweisung (Zweck, Zugriffsberechtigung, Weitergabe,
Löschung)– Festlegung eines Zeitrahmens– gfs. Beteiligung Personalvertretung
Praxisfälle
Auf der Schulhomepage befindet sich eine Seite, auf der sämtliche an der Schule tätigen Lehrkräfte mit Namen, Vornamen, Funktion, Unterrichtsfächern, Foto sowie dienstlichen Erreichbarkeitsangaben genannt werden.
Ist dies zulässig?
Praxisfälle
Klassenlehrer K macht zu Beginn des neuen Schuljahres den Vorschlag, die Adress- und Erreichbarkeitsdaten der Schüler und Eltern künftig online vorzuhalten. Die Daten seien so viel einfacher aktuell zu halten. Der Zugang könne ja über Benutzernamen und Passwort nur dem berechtigten Personenkreis eröffnet werden. Ähnlich verfahre man bereits beim Vertretungsplan.
Was halten Sie von dem Vorschlag ?
Praxisfälle
Der Schulträger möchte wissen, welche Haltestellen durch den Schulbus angefahren werden müssen und bittet die Schulen, ihm Namen und Anschrift der betroffenen Schülerinnen und Schüler mitzuteilen.
Darf dem Schulträger die Liste übermittelt werden?
Praxisfälle
In Ihrer Schule hat sich die AQS für einen Evaluationsbesuch angekündigt. Von Schüler,- Eltern- und Lehrerseite werden Bedenken laut, was die Anonymität der Befragungen mittels Fragebögen angeht.
Sind diese Bedenken berechtigt ?
Praxisfälle
Die Elternvertretung fordert eine Videoüberwachung des schlecht einsehbaren Fahrradständers, da es dort wiederholt zu Diebstählen und Beschädigungen gekommen ist.
Wäre die Videoüberwachung zulässig?
Wäre der Fall anders zu beurteilen, wenn lediglich eine Attrappe angebracht würde ?
Praxisfälle
Die Elternvertretung fordert eine Videoüberwachung des schlecht einsehbaren Fahrradständers, da es dort wiederholt zu Diebstählen und Beschädigungen gekommen ist.
Wäre die Videoüberwachung zulässig?
Wäre der Fall anders zu beurteilen, wenn lediglich eine Attrappe angebracht würde ?
Der behördliche (schulische) Datenschutzbeauftragte
• Bestellung:
– öffentliche Stelle
– mindestens 10 Beschäftigte, die regelmäßig pb Daten verarbeiten
– auch für mehrere öffentliche Stellen, sofern Zustimmung Aufsichtsbehörde; nicht: externer privater Dienstleister
– Mitbestimmung Personalrat (§ 80 Abs. 2 Nr. 8 LPersVG)
Der behördliche (schulische) Datenschutzbeauftragte
gesetzliche Aufgaben (§ 11 Abs. 3 LDSG):
– Beratung und Unterstützung der öff. Stelle
– Führung des Verfahrensverzeichnisses
– Bearbeitung von Petitionen Beachte: Keine Kontrollpflichten ! Ausn: Vorabkontrolle nach § 9
Abs. 5 LDSG
25 Jahre zwischen Volkszählung und web2.0
Identitätsmanagement
• Digitale Identität = Sammlung von digitalen Informationen zu einer Person,z.B. Name, Geburtsdatum
• Teil-Identitäten = Identität einer Person in einem bestimmten Kontext oder bestimmten Rolle
• Identitätsmanagement = Verwalten von (Teil-)Identitäten
• in der „normalen Welt“: Trennung;
• in der online-Welt : Verknüpfung
„Zusammenführen“ von Informationen:
Hintergrundinformationen
• 97% der 14 bis 19-Jährigen nutzen das Internet. Sie verbringen durchschnittlich mehr als zwei Stunden pro Tag im Internet.
• Online-Tätigkeiten der Jugendlichen:
Suchmaschinen, Instant Messenger, E-Mail, Soziale Online-Netzwerke (¾ der Nutzer!)
• StudiVZ und SchülerVZ verfügen zusammen über ca. 7,5 Millionen Nutzer.
• 57% der chattenden Mädchen berichten, im Chat schon einmal belästigt worden zu sein.
• 34% aller Personalchefs nutzen das Internet gezielt, um sich über einen Bewerber zu informieren; 57% von ihnen haben einen Kandidaten aufgrund des persönlichen Internetprofils von vornherein ausgeschlossen.
Quelle: JIM-Studie 2008
Quelle: JIM-Studie 2008
Quelle: JIM-Studie 2008
Quelle: JIM-Studie 2008
Für wen könnten die im Internet veröffentlichten Daten interessant sein?
• Arbeitgeber
• Versicherungen
• Banken
• Vermieter
• Auskunfteien
• Polizei und Sicherheitsbehörden
• Presse
• …
Mögliche Folgen:
Quelle: Frankfurter Rundschau vom 5. Juli 2008
Realer Fall:
Stacy SnyderLehramtsbewerberin aus Pennsylvania (USA)wurde wegen dieses Fotos in „myspace“ nicht
in den Schuldienst eingestellt.
Quelle: http://www.podcastingnews.com/2007/12/30/myspace-party-pic-cost-stacy-snyder-job/
Fototitel in myspace: „The Drunken Pirate“
Soziale Online-Netzwerke – datenschutzrechtliche Anforderungen gegenüber dem Betreiber
• (altersgerechte) Unterrichtung über Wahl- und Gestaltungsmöglichkeiten, Risiken
• Verwendung personenbezogener Nutzungsdaten für Werbung nur mit Einwilligung
• Beachtung der Löschungsfristen
• Verhindern von massenhaften Datenexport/-download von Profildaten
• Datenschutzfreundliche Standardeinstellungen, insbesondere bei Minderjährigen
• Möglichkeit, das eigene Profil ohne Aufwand zu löschen
• Ansprechpartner bei Verstößen gegen Nutzungsordnung,z.B. Jugend- oder Datenschutzbeauftragter
Selbstdatenschutz bei online-Netzwerken
• Wenn möglich, Spitznamen verwenden (Pseudonym);separate Pseudonyme und E-Mail-Adressen für mehrere Netzwerke verwenden
• Keine Kontaktdaten (Postadresse, Telefonnummer), sondern nur „unbedenkliche“ Informationen preisgeben
• Restriktive Standardeinstellungen vornehmen
• Rechte Dritter beachten! Fotos/Videos nur mit Einwilligung veröffentlichen
• Das Netz vergisst nichts!
• …
s. Broschüre des LfD
Wer kennt wen – wirklich ?
Bewertungsportale
• OLG Köln zu spickmich.de: von Meinungsäußerungsfreiheit gedeckt (Grenze: beleidigende Schmähkritik);
• anders: Datenschutz-Aufsichtsbehörden, Beschluss vom 17./18.4.2008 Datenschutzrechtliche Bedenken:
– Umfang und Sensibilität der veröffentlichten Daten, Freitextfelder– Verbreitungsgrad, Recherchierbarkeit („google-indiziert“) – Wahrung der Betroffenenrechte (Benachrichtigung, Auskunft)– Manipulationsmöglichkeiten– Auswirkungen auf das berufliche Fortkommen
• Dienstleistungen, z.B. GMail, Newsdienst, Multimedia-Archiv,soziales online-Netzwerk (Orkut), Internet-Browser (Chrome),Latitude, geographisches Informationssystem, elektronische Patientenakte (GHealth), …
• gratis, aber nicht umsonst; personalisierte Werbung
• teuerste Marke der Welt
• 80% Marktanteil bei online-Werbung, bei Suchanfragen noch höher
• Expansionsstrategie: Übernahme von youTube, doubleClick (Werbevermarkter)
• Speicherung der Suchanfragen: nach eigenen Angaben 9 Monate
• Ausforschung der Nutzeraktivitäten, auch wenn Google nicht angesteuert wird (Google Analytics, Cookies)
• Keine Datenschutzkontrolle
• Bürgerrechtsorganisationen: Big-Brother-Award; Prädikat „datenschutzfeindlich“
• BSI warnt vor Internet-Browser „Chrome“
• datenschutzfreundliche Alternativen: z.B. Suchmaschine „ixquick“