Was ist Datenschutz?: Unterschied zwischen den Versionen

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

Art. 3 EU-DSGVO

• Die Verarbeitung findet innerhalb der EU statt
• oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
• oder die Verantwortlichen unterliegen EU-Recht
• oder die Verantwortlichen haben ihren Hauptsitz
• oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

Art. 2 EU-DSGVO

• und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
• und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
• und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

Art. 99 Abs. 2 EU-DSGVO

• findet also nach dem 28.05.2018, 0:00 Uhr statt
  • also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
  • nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018

personenbezogene Daten

Art. 4 EU-DSGVO

• Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
  • eine oder mehrere natürliche Personen
  • direkt oder mit Hilfe von weiteren Datenquellen
  • eindeutig
• identifiziert werden kann.
• Juristische Personen genießen keinen Datenschutz
  • Das kann bei Ein-Mensch-Firmen anders sein!
• Verstorbene genießen auch keinen Datenschutz
  • Das Interesse der Hinterbliebenen kann aber relevant sein.

oder besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO

• Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
• politische Meinungen oder Gewerkschaftszugehörigkeit
• religiöse oder weltanschauliche Überzeugungen
• genetische, biometrische oder gesundheitliche Daten
• Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG

• erhoben (z. B. Daten werden von Betroffenen erfragt)
• erfasst (z. B. Daten werden gespeichert)
• empfangen (z. B. Daten werden von anderen Stellen übermittelt)
• ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
• abfragen (z. B. Daten werden von anderen Stellen angefordert)
• organisiert (z. B. Daten werden anders sortiert)
• geordnet (z. B. Daten werden reindiziert)
• angepasst (z. B. Daten werden übersetzt)
• verwendet (z. B. Adressen bei Serienbriefen)
• abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
• verknüpft (z. B. mit anderen Datenbeständen koordiniert)
• offengelegt (z. B. in sozialen Netzen gepostet)
• übermittelt (z. B. an andere Stellen gesendet)
• verbreitet (z. B. ins Internet gestellt)
• bereitgestellt (z. B. zum Abruf in die Cloud)
• eingeschränkt (z. B. aus der Bearbeitung genommen)
• gelöscht (z. B. wieder herstellbar verschoben)
• vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

Art. 24, 26 u. 27 EU-DSGVO

• Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
• Es kann auch gemeinsam Verantwortliche geben
  • die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
  • und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragsverarbeiter

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG

• auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
• Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
• wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
• dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung
  • Art der Verarbeitung
  • Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten der Verantwortlichen
  • Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
  • keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
  • Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

dies aufgrund einer Rechtsgrundlage

Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG

• Rechtsgrundlagen sind
  • Interessen
    • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
    • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
    • berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
  • Verträge, Vorverträge oder vorvertragliche Verhandlungen
    • deren Beteiligte die Betroffenen sind
  • Gesetze
    • materieller Art (also z. B. keine Satzungen)
  • oder in Ausübung öffentlicher Gewalt
    • die der Staat oder damit Beliehene ausüben dürfen

oder einer informierten Einwilligung der Betroffenen

Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG

• Einwilligung ist immer möglich und immer gültig
• Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
• Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
• Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
• Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
• Einwilligung nur für jeweils einen Sachverhalt möglich
• Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
• Einwilligende müssen "informiert" sein!
• Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

Art. 9 EU-DSGVO

• Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
• Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
• Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
• Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
• Die Betroffenen haben die Daten selbst öffentlich gemacht.
• Die Verarbeitung ist im Bereich von Gerichten erforderlich.
• Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
• Verarbeitung zum Zwecke der
  • Gesundheitsvorsorge,
  • Arbeitsmedizin,
  • Beurteilung der Arbeitsfähigkeit,
  • medizinische Diagnostik,
  • Versorgung oder Behandlung im Gesundheitsbereich,
  • Schutz vor Pandemien o. ä.,
  • archivarische, wissenschaftliche oder historische Zwecke
• Verarbeitende unterliegen einer Geheimhaltungspflicht

unter Wahrung der Rechte der Betroffenen,

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG

• konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
• destruktive Rechte (Widerspruch, Einschränkung, Löschung)
• deskriptive Rechte (Auskunft, Mitteilungen)
• Eventuell müssen Datenschutzbeauftragte benannt werden
• Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.

zweckgebunden,

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG

• Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
• Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
• Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
• oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
• Zu berücksichtigen sind
  • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
  • Zusammenhängen der Erhebung der Datenbestände
  • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
  • Folgen der neuen Verarbeitung
  • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
• Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

minimiert,

Art. 5 Abs. 1 Bst. c EU-DSGVO

• Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

transparent,

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG

• Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
• Betroffene haben ein Recht auf Auskunft

mit den korrekten Daten,

• Betroffene haben ein Recht auf Korrektur ihrer Daten
• Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

zeitlich begrenzt,

• Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
• Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
• Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

integer und vertraulich,

• Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
  • es sich bei den Verantwortlichen um Behörden handelt
  • oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
  • oder besondere Kategorien personenbezogener Daten verarbeitet werden
  • oder personenbezogene Daten in großem Umfang verarbeitet werden
  • oder systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben durchführen

• Nach herrschender Meinung in anständiger und fairer Weise.
• Englischer Begriff: "fairness".

und dabei technische und organisatorische Maßnahmen ergreifen

Art. 25 u. 32 EU-DSGVO

• Datensicherung (Erzeugen von redundanten Datenbeständen)
• Datensicherheit (Wahrung der Integrität der Datenbestände)
• Datenzugriff (Schutz vor unberechtigtem Zugriff)

und das alles nachweisen können

Art. 30 EU-DSGVO, § 70 BDSG

• Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
  • wenn es sich um Behörden handelt
  • oder um private Stellen,
    • die mehr als 249 Beschäftigte haben
    • deren Verarbeitung nicht nur gelegentlich erfolgt
    • oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
    • oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
• das mindestens folgendes enthält:
  • Name und Kontaktdaten des Verantwortlichen,
    • der gemeinsam Verantwortlichen und der Vertreter,
    • sowie ggf. der Auftragsverarbeiter
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • die Kategorien betroffener Personen und Daten
  • die Kategorien von Empfängern (auch in Drittländern)
  • Übermittlungen an ein Drittland
  • Fristen für die Löschung der Daten
  • technische und organisatorische Maßnahmen zum Schutz der Daten
• und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

und möglicherweise Folgen abschätzen

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG

• Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
  • neue Technologien verwendet werden (Data Mining, Profiling, KI)
  • voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
    • Art (regelmäßig Profiling)
    • Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
    • Umstände (systematische Überwachung)
    • Zwecke
  • der Verarbeitung dies verursachen könnte.
• Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
• Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
  • Beschreibung von Verarbeitungsvorgängen
  • Beschreibung von Zwecken
  • Beschreibung von Interessen
  • Bewertung von Notwendigkeit und Verhältnismäßigkeit
  • Bewertung von Risiken für Rechte und Freiheiten und
  • die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG

• Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
• Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
• Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
• Die Meldung
  • soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
  • enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
  • enthält Kontaktdaten der Datenschutzbeauftragten
  • enthält wahrscheinliche Folgen der Verletzung
  • enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
• Der Verantwortliche benachrichtigt auch die betroffenen Personen

eine Klage erhoben,

• Die Verjährungsfrist beträgt drei bis fünf Jahre.
• Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
• Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
  • die sie nach Prüfung auf Einstellung
  • nicht ohne Zustimmung der erlassenden Datenschutzbehörde
  • an das Strafgericht übersendet.

und eventuell eine Strafe verhängt

• Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
• Bußgelder werden gegen jeden Verantwortlichen verhängt.
• Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
• Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
• Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

oder Schadensersatz verlangt werden kann.

• Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
• Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
• Schmerzensgeld ist auch möglich.