Unterschiede zwischen den Revisionen 45 und 50 (über 5 Versionen hinweg)
Revision 45 vom 2012-02-26 17:03:56
Größe: 8401
Autor: anonym
Kommentar: Zeug aus Rechtslage übernommen
Revision 50 vom 2018-03-17 08:50:58
Größe: 6158
Autor: anonym
Kommentar: Grundsätzliche Redaktion nach DSGVO
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 3: Zeile 3:
= Datenschutz = Datenschutz bezeichnet hier den Schutz personenbezogener Daten
in Computersystemen; die Einschränkung auf „in Computersysmten“
resultiert aus der gegenüber physisch gebundenen Daten um
Größenordnungen höheren Gefahr der Reproduktion und Verknüpfung. Nicht
personenbezogene Daten auf der anderen Seite verdienen aus unserer Sicht
keinen wesentlichen Schutz; im Gegenteil, möglichst weitgehender Zugang
zu derartigen Daten ist normalerweise hilfreich für Freiheit, Gleichheit
und Solidarität. Einzuräumen ist aber, dass eine Grauzone zunehmend
personenbeziehbarer Daten besteht.
Zeile 5: Zeile 13:
Datenschutz bezeichnet in der Regel den Schutz personenbezogener Daten
vor Gebrauch zu Zwecken, die den Interessen der Betroffenen
zuwiderlaufen. Datenschutz definiert Rechte Einzelner gegenüber
Institutionen wie Staat oder Unternehmen, aber auch gegenüber anderen
Personen.		 Mehr zum Datenschutz-Verständnis der Betreiber dieses Wikis findet sich
in <<Rellink(gc/html/burger.html,get connected 3/14)>>.
Zeile 11: Zeile 16:
Im englischen Sprachraum spricht man von „privacy“ (Schutz der Privatsphäre) und von „data privacy“ oder „information privacy“ (Datenschutz im engeren Sinne). Im europäischen Rechtsraum wird in der Gesetzgebung auch der Begriff „data protection” verwendet. Auf europäischer Ebene wird der deutsche Datenschutz in der
Gesetzgebungzu „data protection” verwendet, darüber hinaus wird eher
„privacy“ (Schutz der Privatsphäre), „data privacy“ oder „information
privacy“ gesprochen.
Zeile 13: Zeile 21:
== Grundlagen ==
Zeile 15: Zeile 22:
Das Datenschutzrecht in der BRD ist noch nicht alt. Anfang der 70er Jahre führten erste Länder Datenschutzgesetze ein, doch so richtig los ging es eigentlich erst 1983 mit dem <<Doclink(1983-volkszaehlungsurteil.pdf,Volkzählungsurteil)>> des Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat, dessen Bürger``Innen nicht zu jederzeit wüssten, was wer über sie speichert, keine funktionierende Demokratie mehr sein kann, weil der/die Bürger``In keine Möglichkeit mehr hat, die Konsequenzen einer Handlung oder Äußerung zu übersehen und daher Handlungen und Äußerungen nach vorauseilenden Opportunitätskriterien organisieren wird. = Grundlegende Urteile =

Das Datenschutzrecht in der BRD ist noch nicht alt. Anfang der 70er
Jahre führten erste Länder Datenschutzgesetze ein, doch so richtig los
ging es eigentlich erst 1983 mit dem
<<Doclink(1983-volkszaehlungsurteil.pdf,Volkzählungsurteil)>> des
Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat,
dessen Bürger``Innen nicht zu jederzeit wüssten, was wer über sie
speichert, keine funktionierende Demokratie mehr sein kann, weil der/die
Bürger``In keine Möglichkeit mehr hat, die Konsequenzen einer Handlung
oder Äußerung zu übersehen und daher Handlungen und Äußerungen nach
vorauseilenden Opportunitätskriterien organisieren wird.
Zeile 20: Zeile 38:
("Befugnis des Einzelnen, grundsätzlich selbst über
die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen")		 (Befugnis des Einzelnen, grundsätzlich selbst über
die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen)
Zeile 25: Zeile 43:
Daraus leiten sich dann die Prinzipien des Datenschutzes ab. Diese
lassen sich in vielerlei Weisen definieren, die folgenden Konzepte
tauchen jedoch eigentlich immer auf:		 Eine verwandte Erweiterung hat das Bundesverfassungsgericht 2008 in
[[http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html|BVerfGE 120, 274]]
vorgenommen: Das „Grundrecht auf digitale Intimsphäre”, das im Groben
besagt, dass den Staat zunächst auch nichts angeht, was Menschen über
sich selbst speichern; das Urteil erging im Rahmen einer Klage gegen ein
staatliches Einbruchsrecht in die EDV ihrer Untertanen
(„Bundestrojaner“) und schränkt dieses immerhin milde ein.
Zeile 29: Zeile 51:
  Datensparsamkeit:: oder auch Erforderlichkeitsprinzip Daten dürfen nur dann erhoben und gespeichert werden, wenn sie zur Erfüllung einer bestimmten Aufgabe (des "Zwecks") unverzichtbar sind. Beispiel: Zweck dieser Webseite ist die Aufklärung über staatliche Eingriffe in informationelle Grundrechte. Um diesen Zweck zu erfüllen, müssen wir nach Bearbeitung der Anfrage nicht die IP-Adressen derer speichern, die diese Seiten lesen (und dürfen es also auch nicht). ''Vielleicht'' könnten wir wissen wollen, was für Betriebssysteme die Leute haben, wenn wir dann die Aufklärungsarbeit danach ausrichten; dann wäre eine Speicherung entsprechender Daten in Ordnung, zumal der Eingriff in die informationelle Selbstbestimmung durch die nur schwach personalisierbaren Daten und einfach zu treffende Gegenmaßnahmen auch gering ist. Dass der Datenschutz seine Richtungen von Gerichten bekommt, ist sehr
typisch. Die Gesetzgebung im Datenschutzbereich ist normalerweise
schreinrestriktiv, d.h., Normen haben fast immer die Form „X ist
verboten, außer jemand hat einen guten Grund, es doch zu tun“ bzw. „Die
Betroffenen haben Rechte X, Y und Z, außer die speichernde Instanz hat
gute Gründe, sie ihnen zu versagen”. Die Einordnung, was die guten
Gründe sind, wird fast durchweg von Gerichten vorgenommen, und so ist
Datenschutz ein Gebiet, in dem „Richterrecht“ für deutsche Verhältnisse
stark dominiert (und das ist, was „Case Law“ oder „Kasuistik“ meint).

= Prinzipien =

Wegen der Schwäche der Datenschutzgesetze leiten sich die Prinzipien des
Datenschutzes recht direkt aus den grundlegenden Urteilen bzw. den
Grundrechtne ab. Diese lassen sich in vielerlei Weisen definieren, die
folgenden Konzepte tauchen jedoch eigentlich immer auf und folgen im
Wesentlichen aus der Feststellung eines Grundrechts in Verbindung mit
Verhältnismäßigkeitserwägungen:

 Datensparsamkeit:: Daten dürfen nur dann erhoben und gespeichert werden, wenn sie zur Erfüllung einer bestimmten Aufgabe (des &quot;Zwecks&quot;) notwendig, geeignet, und angemssen sind. Beispiel: Zweck dieser Webseite ist die Aufklärung über staatliche Eingriffe in informationelle Grundrechte. Um diesen Zweck zu erfüllen, müssen wir nach Bearbeitung der Anfrage nicht die IP-Adressen derer speichern, die diese Seiten lesen (und dürfen es also auch nicht). ''Vielleicht'' könnten wir wissen wollen, was für Betriebssysteme die Leute haben, wenn wir dann die Aufklärungsarbeit danach ausrichten; dann wäre eine Speicherung entsprechender Daten in Ordnung, zumal der Eingriff in die informationelle Selbstbestimmung durch die nur schwach personalisierbaren Daten und einfach zu treffende Gegenmaßnahmen auch gering ist.
Zeile 33: Zeile 74:
  Transparenz:: Etwas großartiger ist das die eigentlich "informationelle Selbstbestimmung" – wer personenbezogene Daten speichert, muss die Gespeicherten davon in Kenntnis setzen (was natürlich implizit geschehen kann; wer eine Webseite aufruft, weiß (na ja, sollte wissen), dass der Server dann die IP-Adresse und allerlei Browser-Kennungen, Cookies und ähnliches sieht). Die Gespeicherten müssen erfahren können, was gespeichert wird, was mit ihren Daten passiert, wann sie gelöscht werden, und sie haben unter großzügigen Voraussetzungen Anspruch auf Löschung oder Berichtigung.   Transparenz:: Wer personenbezogene Daten speichert, muss die Gespeicherten davon in Kenntnis setzen (was natürlich implizit geschehen kann; wer eine Webseite aufruft, weiß (na ja, sollte wissen), dass der Server dann die IP-Adresse und allerlei Browser-Kennungen, Cookies und ähnliches sieht). Die Gespeicherten müssen erfahren können, was gespeichert wird, was mit ihren Daten passiert, wann sie gelöscht werden, und sie haben unter großzügigen Voraussetzungen Anspruch auf Löschung oder Berichtigung.

Die Kriterien der '''Verhältnismäßigkeit''' (notwendig, geeignet,
angemessen) sind die wesentlichen Werkzeuge, um konkrete
Datenverarbeitung anzugreifen. Am Beispiel von Löschverlangen in
Polizeidatenbanken sind diese in <<Rellink(/gc/html/loeschen.html,get
connected 1/17)>> diskutiert.
Zeile 36: Zeile 83:
= Siehe auch =
Zeile 37: Zeile 85:
== Datenschutz-Links ==

=== Nichtstaatliche Organisationen ===

 * [[https://www.ccc.de/|www.ccc.de]]
 * [[https://www.foebud.org/|www.foebud.org]]
 * [[http://www.gdd.de/|www.gdd.de]]
 * [[http://www.eff.org|www.eff.org]]
 * [[https://stop1984.com|Stop1984.com]]
 * [[http://www.geheimdienste.org|www.geheimdienste.org]]
 * [[http://www.ak-vorrat.de|www.ak-vorrat.de]]
 * [[http://www.statewatch.org/|www.statewatch.org]]
 * [[http://www.aclu.org|American Civil Liberties Union (ACLU)]]
 * [[http://www.privacyinternational.org|Privacy International]]
 * [[http://www.geheimhaltung.com|www.geheimhaltung.com]]
 * [[http://www.deshalbfrei.org|Deshalb Frei]]
 * [[http://www.ucsusa.org|Union of Concerned Scientists]]
 * [[http://www.consumersdigitalrights.org|Consumers Digital Rights]]
 * [[http://www.vorratsdatenspeicherung.de|Arbeitskreis Vorratsdatenspeicherung]]
 * [[http://www.bigbrotheraward.de|Big Brother Award]]

=== Staatliche Organisationen ===

Die [[Datenschutzbeauftragten]] des Bundes und der Länder:

 * [[http://www.bfdi.bund.de/information/index.html|Bundesbeauftragter für den Datenschutz]]
 * [[http://www.baden-wuerttemberg.datenschutz.de/|LfD BaWü]]
 * [[http://www.datenschutz-bayern.de/|Bayrischer Datenschutzbeauftragter]]
 * [[http://www.datenschutz-berlin.de/|Berliner Datenschutzbeauftragter]]
 * [[http://www.lda.brandenburg.de/cms/detail.php?gsid=5lbm1.c.60066.de&template=start_lda|Brandenburgischer Datenschutzbeauftragter]]
 * [[http://www.datenschutz-bremen.de/|Bremer Datenschutzbeauftragter]]
 * [[http://www.landtag.sachsen.de/en/index.aspx|Sächsischer Datenschutzbeauftragter]]
 * [[http://www.datenschutz.hessen.de/|Hessischer Datenschutzbeauftragter]]
 * [[http://www.lfd.niedersachsen.de/live/live.php?navigation_id=12908&_psmand=48|Niedersächsicher Datenschutzbeauftragter]]
 * [[https://www.ldi.nrw.de/|Datenschutzbeauftragter NRW]]
 * [[http://www.datenschutz.rlp.de/de/|Datenschutzbeauftragter RLP]]
 * [[http://www.thueringen.de/datenschutz/|Datenschutzbeauftragter Thüringen]]
 * [[http://www.datenschutzzentrum.de/|Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein]]
 * [[http://www.bfdi.bund.de/nn_531524/DE/AnschriftenUndLinks/Landesdatenschutzbeauftragte/AnschriftenLandesdatenschutzbeauftragte.html|Links auf die LfDs]]


=== Europäische Datenschutzbeauftragte ===

 * [[http://www.datatilsynet.dk/|Dänischer Datenschutzbeauftragter]]
 * [[http://www.om.fi/1548.htm|Finnischer Datenschutzbeauftragter]]
 * [[http://www.dataprotection.gov.uk/|Britischer Datenschutzbeauftragter]]
 * [[http://www.edoeb.admin.ch/|Schweizer Datenschutzbeauftragter]]
 * [[http://www.cnil.fr/|Französischer Datenschutzbeauftragter]]
 * [[http://www.dsk.gv.at/|Website der österreichischen Datenschutzkommission]]

=== Virtuelles Datenschutzbüro ===

 * [[http://www.datenschutz.de/|www.datenschutz.de]] Infos in und um den Datenschutz

== Mehr zu Datenschutzbeauftragten ==

(TODO: Einordnung, Geschichte)

Das
[[http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2011.pdf|Datenschutzbarometer 2011]]
der Xamit GmbH gibt einen Überblick über den Personalstand der
verschiedenen LfDs; dabei ist zu bedenken, dass zur Kontrolle der
Repressions-EDV nur ein Bruchteil dieser Kapazität genutzt werden kann.
In Klammern jeweils Zahlen für 2010; die Quelle gibt noch Anmerkungen,
die hier unterschlagen sind..

                             
||Bundesland || Stellen öffentlicher Bereich 2011 (2010)||
||Baden-Württemberg || 17,0 (17,0 )||
||Bayern || 26,0 (26,0)||
||Berlin || 22,8 (22,8 )||
||Brandenburg || 14,7 (-)||
||Bremen || k. A. (k. A.)||
||Hamburg || 8,9 (8,9 )||
||Hessen || 24,5 (24,5)||
||Mecklenburg-Vorpommern || 10,0 (13,0)||
||Niedersachsen || 6,0 (-)||
||Nordrhein-Westfalen || 21,75 (29,3 )||
||Rheinland-Pfalz || 13,7 (9,4 )||
||Saarland || 10,0 (-)||
||Sachsen || 14,7 (14,7 )||
||Sachsen-Anhalt || 15,0 (15,0)||
||Schleswig-Holstein || 13,0 (13,5)||
||Thüringen || 13,0 (13,0)||
||Gesamt gemeldet || 231,5||		  * [[Datenschutzbeauftragten|Datenschutzbeauftragte]]
 * [[http://www.datenschutz.de/|Virtuelles Datenschutzbüro]]

Inhaltsverzeichnis

  1. Grundlegende Urteile
  2. Prinzipien
  3. Siehe auch

Datenschutz bezeichnet hier den Schutz personenbezogener Daten in Computersystemen; die Einschränkung auf „in Computersysmten“ resultiert aus der gegenüber physisch gebundenen Daten um Größenordnungen höheren Gefahr der Reproduktion und Verknüpfung. Nicht personenbezogene Daten auf der anderen Seite verdienen aus unserer Sicht keinen wesentlichen Schutz; im Gegenteil, möglichst weitgehender Zugang zu derartigen Daten ist normalerweise hilfreich für Freiheit, Gleichheit und Solidarität. Einzuräumen ist aber, dass eine Grauzone zunehmend personenbeziehbarer Daten besteht.

Mehr zum Datenschutz-Verständnis der Betreiber dieses Wikis findet sich in get connected 3/14.

Auf europäischer Ebene wird der deutsche Datenschutz in der Gesetzgebungzu „data protection” verwendet, darüber hinaus wird eher „privacy“ (Schutz der Privatsphäre), „data privacy“ oder „information privacy“ gesprochen.

Grundlegende Urteile

Das Datenschutzrecht in der BRD ist noch nicht alt. Anfang der 70er Jahre führten erste Länder Datenschutzgesetze ein, doch so richtig los ging es eigentlich erst 1983 mit dem Volkzählungsurteil des Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat, dessen BürgerInnen nicht zu jederzeit wüssten, was wer über sie speichert, keine funktionierende Demokratie mehr sein kann, weil der/die BürgerIn keine Möglichkeit mehr hat, die Konsequenzen einer Handlung oder Äußerung zu übersehen und daher Handlungen und Äußerungen nach vorauseilenden Opportunitätskriterien organisieren wird.

Das Bundesverfassungsgericht leitet direkt aus der hochrangingen Menschenwürde (Art. 1 GG) das Grundrecht auf informationelle Selbstbestimmung („Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“) ab. Wie in alle Grundrechte darf natürlich auch in dieses auf Grundlage eines Gesetzes eingegegriffen werden.

Eine verwandte Erweiterung hat das Bundesverfassungsgericht 2008 in BVerfGE 120, 274 vorgenommen: Das „Grundrecht auf digitale Intimsphäre”, das im Groben besagt, dass den Staat zunächst auch nichts angeht, was Menschen über sich selbst speichern; das Urteil erging im Rahmen einer Klage gegen ein staatliches Einbruchsrecht in die EDV ihrer Untertanen („Bundestrojaner“) und schränkt dieses immerhin milde ein.

Dass der Datenschutz seine Richtungen von Gerichten bekommt, ist sehr typisch. Die Gesetzgebung im Datenschutzbereich ist normalerweise schreinrestriktiv, d.h., Normen haben fast immer die Form „X ist verboten, außer jemand hat einen guten Grund, es doch zu tun“ bzw. „Die Betroffenen haben Rechte X, Y und Z, außer die speichernde Instanz hat gute Gründe, sie ihnen zu versagen”. Die Einordnung, was die guten Gründe sind, wird fast durchweg von Gerichten vorgenommen, und so ist Datenschutz ein Gebiet, in dem „Richterrecht“ für deutsche Verhältnisse stark dominiert (und das ist, was „Case Law“ oder „Kasuistik“ meint).

Prinzipien

Wegen der Schwäche der Datenschutzgesetze leiten sich die Prinzipien des Datenschutzes recht direkt aus den grundlegenden Urteilen bzw. den Grundrechtne ab. Diese lassen sich in vielerlei Weisen definieren, die folgenden Konzepte tauchen jedoch eigentlich immer auf und folgen im Wesentlichen aus der Feststellung eines Grundrechts in Verbindung mit Verhältnismäßigkeitserwägungen:

Datensparsamkeit

Daten dürfen nur dann erhoben und gespeichert werden, wenn sie zur Erfüllung einer bestimmten Aufgabe (des "Zwecks") notwendig, geeignet, und angemssen sind. Beispiel: Zweck dieser Webseite ist die Aufklärung über staatliche Eingriffe in informationelle Grundrechte. Um diesen Zweck zu erfüllen, müssen wir nach Bearbeitung der Anfrage nicht die IP-Adressen derer speichern, die diese Seiten lesen (und dürfen es also auch nicht). Vielleicht könnten wir wissen wollen, was für Betriebssysteme die Leute haben, wenn wir dann die Aufklärungsarbeit danach ausrichten; dann wäre eine Speicherung entsprechender Daten in Ordnung, zumal der Eingriff in die informationelle Selbstbestimmung durch die nur schwach personalisierbaren Daten und einfach zu treffende Gegenmaßnahmen auch gering ist.

Zweckbindung
Wenn Daten für einen Zweck erhoben wurden, dürfen sie auch nur für diesen Zweck genutzt werden und müssen gelöscht werden, wenn dieser Zweck erfüllt ist. Aus dieser Forderung ergeben sich insbesondere auch Speicherfristen, nach denen in jedem Fall gelöscht werden muss. Beispiel: Während der Bearbeitung einer Anfrage hat unsere Server-Software natürlich zeitweise eure IP-Adresse, denn sonst könnte sie nicht die Antworten an euer Endgerät schicken. Diese IP-Adresse darf aber nicht verwendet werden, um etwa einen Portscan auf eurer IP durchzuführen oder beispielsweise je nach IP angepasste Werbung einzublenden.
Transparenz
Wer personenbezogene Daten speichert, muss die Gespeicherten davon in Kenntnis setzen (was natürlich implizit geschehen kann; wer eine Webseite aufruft, weiß (na ja, sollte wissen), dass der Server dann die IP-Adresse und allerlei Browser-Kennungen, Cookies und ähnliches sieht). Die Gespeicherten müssen erfahren können, was gespeichert wird, was mit ihren Daten passiert, wann sie gelöscht werden, und sie haben unter großzügigen Voraussetzungen Anspruch auf Löschung oder Berichtigung.

Die Kriterien der Verhältnismäßigkeit (notwendig, geeignet, angemessen) sind die wesentlichen Werkzeuge, um konkrete Datenverarbeitung anzugreifen. Am Beispiel von Löschverlangen in Polizeidatenbanken sind diese in <<Rellink(/gc/html/loeschen.html,get connected 1/17)>> diskutiert.

Siehe auch