|
Datenschutz und Datensicherheit - Referat
Sicherheit
Den Begriff Informationssicherheit verstehen, sowie den Nutzen begreifen, den eine Organisation hat, wenn sie aktiv mit folgenden Mitteln gegen Sicherheitsrisiken vorgeht:
• klare Sicherheitspolitik bei der Behandlung sensibler Daten anwenden
• feste Abläufe für die Meldung von Sicherheitszwischenfällen
• den Mitarbeitern ihre Verantwortung in Bezug auf Informationssicherheit bewusst machen
Über den Schutz der Privatsphäre im Zusammenhang mit Computern Bescheid wissen wie:
 Computer schützen
 gute Kennwort-Strategie einsetzen
 verstehen, was eine Benutzeridentifizierung ist
 zwischen Benutzeridentifizierung und Kennwort unterscheiden
 den Begriff Zugriffsrechte verstehen und wissen, wieso diese Zugriffsrechte wichtig sind.
Wie werden meine persönlichen Daten in einer Firma geschützt?
Wenn man bei einem Onlinekauf seine Kreditkartennummer angibt, so wird diese nur über ein bestimmtes Programm weitergeleitet und spielt ausschließlich für die Zahlung eine Rolle. Alle Transaktionen werden über das SSL (Secure Socket Layers) weitergeleitet und ihre Kreditkartennummer wird nicht gespeichert und wird nicht für Marketingzwecke eingesetzt.
Die im Handelsverband organisierten österreichischen Versandhandelsunternehmen – sie repräsentieren mehr als 95 Prozent der Branche – haben sich um den Schutz der Kundendaten schon gekümmert, als es dazu noch gar keine gesetzliche Verpflichtung gab. So wird schon durch die Verbandsstatuten festgelegt, daß sich jedes Mitgliedsunternehmen dazu verpflichtet, personenbezogene Daten nicht mißbräuchlich zu verwenden und sich im besonderen an die Bestimmungen des österreichischen Datenschutzgesetzes zu halten. Damit kann der Kunde auch bei seinem Internet-Einkauf sicher sein, daß seine Daten nicht zweckentfremdet verwendet werden, sondern lediglich dazu dienen, seine Bestellung sicher und korrekt abzuwickeln.
Wer hat Anspruch auf Sicherheit??
In einem Unternehmen sammeln sich große Mengen von sicherheitsrelevanten Daten an. Angefangen von der Unternehmensbuchhaltung, den Daten über Unternehmensmitarbeiter, Kundendaten und Steuerbelegen bis hin zu Telefonverbindungsdaten, Internet-Zugangsdaten und dergleichen. Es ergibt sich ein Mix an mehr oder weniger „sensitiven“ Datenbeständen. Eine sorgfaltswidrige Verwendung oder der sorglose Umgang mit diesen Daten kann die Rechte der unterschiedlichsten Beteiligten verletzen, die hier kurz aufgezählt werden sollen:
Anspruch auf Einhaltung der Mindestmaßnahmen moderner Datensicherheit hat zuerst das Unternehmen selbst. Keine Unternehmensdaten sollen dem Zugriff Dritter ungeschützt ausgesetzt sein. Eine Verletzung anwendbarer Sicherheitsnormen macht die handelnden Organe der Geschäftsführung, des Vorstandes, aber auch, unter Beachtung des Arbeitnehmerhaftpflichtgesetzes, die zuständigen Abteilungsleiter schadenersatzpflichtig.
Die zweite Gruppe jener, die Anspruch auf sichere Verwahrung ihrer Daten haben, sind die Mitarbeiter. Bei den über die Arbeitnehmer erhobenen Daten handelt es sich um personenbezogene Daten, die schon aus datenschutzrechtlichen Gründen nicht schrankenlos ermittelt oder weitergegeben werden dürfen. Hinzu kommen arbeitsrechtliche Vorschriften, welche die Erhebung dieser Daten oft vom Abschluss einer Betriebsvereinbarung nach § 96 Arbeitsverfassungsgesetz abhängig machen, wenn die technische Einrichtung geeignet ist, durch den Überwachungscharakter die Menschenwürde zu beeinträchtigen; dies ist schon bei normalerweise im Zuge von Internetzugängen anfallenden Log-Daten der Fall (siehe dazu Pilz/Obereder, Informationssicherheit und Recht, in Nagy/Wachmann, Informationssicherheit und das Eisbergprinzip, Teil 1, Wien 2003; Seiten 85ff).
Die dritte Gruppe, die Anspruch auf Informationssicherheit hat, sind Kunden und Geschäftspartner des Unternehmens. Schon auf Grund der bestehenden vertraglichen Beziehungen zu diesen natürlichen und juristischen Personen haben diese als unausgesprochene Nebenpflichten der geschlossenen Verträge Anspruch auf sichere Verwahrung der über sie ermittelten Daten, nach dem Datenschutzgesetz 2000 auch positiv normierte Ansprüche auf Schutz der personenbezogenen Daten. Insofern keine vertraglichen Beziehungen eingegangen werden, sondern etwa nur eine Vertragsanbahnung erfolgt, können vorvertragliche Schutzpflichten zur Anwendung gelangen; in jedem Falle gilt aber auch hier das Datenschutzgesetz (DSG 2000).
Verstoßen Cookies gegen das Datenschutzgesetz?
Cookies sind kleine Dateien, die auf dem Rechner des Internet-Nutzers abgespeichert werden. Mit ihrer Hilfe kann eine Website Informationen über den Besuch eines Benutzers auf dieser Website (zum Beispiel Zeitpunkt des letzten Besuches, oder die Kundennummer des Kunden) abspeichern und beim nächsten Besuch wieder abrufen. Auf diese Weise können die Rechner von Stammkunden erkannt werden, ohne dass diese sich neu anmelden müssen. In der Browsersoftware kann die Benutzung von Cookies verhindert werden, zum Teil auch gezielt nur für einzelne Websites. Cookies können grundsätzlich nur von der Site gelesen werden, die diesen Cookie auch geschrieben hat.
Da Informationen in Cookies nur demjenigen zur Verfügung stehen, der diese auch geschrieben hat, entsteht, zumindest solange die Website nicht von einem öffentlichen Rechner aus benutzt wird, kein Konflikt mit dem Datenschutzgesetz. Bei öffentlich genutzten Rechner kann die Lage anders liegen, wenn zum Beispiel die Website bei Vorfinden eines Cookies automatisch Annahmen über die Identität des Benutzers macht und vertrauliche Informationen, zum Beispiel das Benutzerprofil darstellt. Gut programmierte Websites erlauben für den Fall von öffentlich genutzten Rechnern, dass keine Cookies verwendet werden (Nachfrage an den Anwender).
Das Grundrecht auf Datenschutz und sein Inhalt
Nach § 1 DSG 2000 hat jedermann das Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dieses Grundrecht ist verfassungsrechtlich abgesichert, gilt aber auf Grund der im DSG 2000 verankerten gesetzlichen Bestimmungen auch zwischen Privaten. Dem Recht auf Geheimhaltung wird ein Recht auf Auskunft des Betroffenen über die von einem Datenverarbeiter über ihn gespeicherten Daten, das Recht auf Richtigstellung allenfalls unrichtiger Daten sowie ein Recht auf Löschung der Daten, wenn kein rechtliches Interesse an der weiteren Speicherung und Verarbeitung besteht, beigestellt. Die Durchsetzbarkeit des Grundrechtes auf Datenschutz gegenüber jedem privaten Datenverarbeiter wird als sogenannte „unmittelbare Drittwirkung“ des Grundrechtes auf Datenschutz bezeichnet.
Das Datenschutzgesetz unterscheidet zusätzlich zwischen „normalen“ personenbezogenen Daten und besonders schutzwürdigen Daten, sogenannten „sensiblen Daten“, etwa über die ethnische Herkunft, die politische Meinung, die Gewerkschaftszugehörigkeit, die religiöse Überzeugung oder Gesundheitsdaten der Betroffenen. Diese sensiblen Daten dürfen nur unter besonderen Voraussetzungen überhaupt verarbeitet werden. Beim Umgang mit diesen Daten ist auf ein besonderes Schutzniveau zu achten.
Verantwortlich für die Einhaltung der Bestimmungen des Datenschutzgesetzes ist der jeweilige Auftraggeber. Auftraggeber ist jene Person oder Unternehmung, welche die Entscheidung über die Datenverarbeitung und Ihren Umfang trifft, also in der Regel das Unternehmen selbst, das die Daten verarbeitet. Wird die EDV ausgelagert, kann es auch zu einem Auseinanderfallen zwischen der Person des Verarbeiters und dem Auftraggeber kommen. In diesem Fall spricht das Gesetz von Datenverarbeitungsdienstleistungen.
Der Auftraggeber der Datenverarbeitung hat die Datenanwendung zu registrieren, Vorkehrungen zur Datensicherheit zu ergreifen und ist gegenüber dem Betroffenen für die Einhaltung des Grundrechts auf Datenschutz verantwortlich. Verletzungen der Verpflichtungen des Auftraggebers können von dem Betroffenen vor Gericht geltend gemacht werden, insbesondere Verletzungen der Ansprüche auf Geheimhaltung, Richtigstellung oder Löschung der Daten. Die Datenschutzkommission im Bundeskanzleramt ist nur mehr dann zuständig, wenn Gesetzesverstöße durch Auftraggeber des öffentlichen Bereichs verfolgt werden sollen oder das Auskunftsrecht durch einen (auch privaten) Auftraggeber verletzt wird.
Dieses Referat wurde eingesandt vom User: luder007
Kommentare zum Referat Datenschutz und Datensicherheit:
|