Was ist Datenschutz?
Inhaltsverzeichnis
- 1 Wenn im räumlichen Anwendungsbereich der EU-DSGVO
- 2 und im sachlichen Anwendungsbereich der EU-DSGVO
- 3 und im zeitlichen Anwendungsbereich der EU-DSGVO
- 4 personenbezogene Daten
- 5 oder besondere Kategorien personenbezogener Daten
- 6 verarbeitet werden,
- 7 dann müssen die Verantwortlichen
- 8 oder ihre Auftragsverarbeiter
- 9 dies aufgrund einer Rechtsgrundlage
- 10 oder einer informierten Einwilligung der Betroffenen
- 11 unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
- 12 unter Wahrung der Rechte der Betroffenen,
- 13 zweckgebunden,
- 14 minimiert,
- 15 transparent,
- 16 mit den korrekten Daten,
- 17 zeitlich begrenzt,
- 18 integer und vertraulich,
- 19 nach Treu und Glauben durchführen
- 20 und dabei technische und organisatorische Maßnahmen ergreifen
- 21 und das alles nachweisen können
- 22 und möglicherweise Folgen abschätzen
- 23 weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
- 24 eine Klage erhoben,
- 25 und eventuell eine Strafe verhängt
- 26 oder Schadensersatz verlangt werden kann.
Wenn im räumlichen Anwendungsbereich der EU-DSGVO
Art. 3 EU-DSGVO
- Die Verarbeitung findet innerhalb der EU statt
- oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
- oder die Verantwortlichen unterliegen EU-Recht
- oder die Verantwortlichen haben ihren Hauptsitz
- oder wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
Art. 2 EU-DSGVO
- und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
- und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
- und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
Art. 99 Abs. 2 EU-DSGVO
- findet also nach dem 28.05.2018, 0:00 Uhr statt
- also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
- nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
personenbezogene Daten
Art. 4 EU-DSGVO
- Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
- eine oder mehrere natürliche Personen
- direkt oder mit Hilfe von weiteren Datenquellen
- eindeutig
- identifiziert werden kann.
- Juristische Personen genießen keinen Datenschutz
- Das kann bei Ein-Mensch-Firmen anders sein!
- Verstorbene genießen auch keinen Datenschutz
- Das Interesse der Hinterbliebenen kann aber relevant sein.
oder besondere Kategorien personenbezogener Daten
Art. 9 EU-DSGVO
- Daten über "rassische" oder ethnische Herkunft (Originaltext)
- politische Meinungen oder Gewerkschaftszugehörigkeit
- religiöse oder weltanschauliche Überzeugungen
- genetische, biometrische oder gesundheitliche Daten
- Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
Art. 4 Nr. 2 EU-DSGVO
- erhoben (z. B. Daten werden von Betroffenen erfragt)
- erfasst (z. B. Daten werden gespeichert)
- empfangen (z. B. Daten werden von anderen Stellen übermittelt)
- ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
- abfragen (z. B. Daten werden von anderen Stellen angefordert)
- organisiert (z. B. Daten werden anders sortiert)
- geordnet (z. B. Daten werden reindiziert)
- angepasst (z. B. Daten werden übersetzt)
- verwendet (z. B. Adressen bei Serienbriefen)
- abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
- verknüpft (z. B. mit anderen Datenbeständen koordiniert)
- offengelegt (z. B. in sozialen Netzen gepostet)
- übermittelt (z. B. an andere Stellen gesendet)
- verbreitet (z. B. ins Internet gestellt)
- bereitgestellt (z. B. zum Abruf in die Cloud)
- eingeschränkt (z. B. aus der Bearbeitung genommen)
- gelöscht (z. B. wieder herstellbar verschoben)
- vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen
- Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
- Es kann auch gemeinsam Verantwortliche geben
- die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
- und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
oder ihre Auftragsverarbeiter
- Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
- auf die Einhaltung der Garantien der EU-DSGVO hin ausgewählten Auftragsverarbeiter
- dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
- Gegenstand der Verarbeitung
- Dauer der Verarbeitung
- Art der Verarbeitung
- Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Rechte und Pflichten der Verantwortlichen
- Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
- keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
- Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
dies aufgrund einer Rechtsgrundlage
Art. 5 EU-DSGVO
- Rechtsgrundlagen sind
- Interessen
- lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
- öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen))
- berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
- Verträge, Vorverträge oder vorvertragliche Verhandlungen
- deren Beteiligte die Betroffenen sind
- Gesetze
- materieller Art (also z. B. keine Satzungen)
- oder in Ausübung öffentlicher Gewalt
- die der Staat oder damit Beliehene ausüben dürfen
- Interessen
oder einer informierten Einwilligung der Betroffenen
Art. 6 u. 7 EU-DSGVO
- Einwilligung ist immer möglich und immer gültig
- Denn mit seinen Daten kann jeder tun und lassen, was er will
- Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
- Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
- Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
- Einwilligung nur für jeweils einen Sachverhalt möglich
- Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
- Einwilligende müssen "informiert" sein!
- Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
- Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
- Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
- Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
- Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
- Die Betroffenen haben die Daten selbst öffentlich gemacht.
- Die Verarbeitung ist im Bereich von Gerichten erforderlich.
- Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
- Verarbeitung zum Zwecke der
- Gesundheitsvorsorge,
- Arbeitsmedizin,
- Beurteilung der Arbeitsfähigkeit,
- medizinische Diagnostik,
- Versorgung oder Behandlung im Gesundheitsbereich,
- Schutz vor Pandemien o. ä.,
- archivarische, wissenschaftliche oder historische Zwecke
- Verarbeitende unterliegen einer Geheimhaltungspflicht
unter Wahrung der Rechte der Betroffenen,
Art. 16 - 19 EU-DSGVO
- konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
- destruktive Rechte (Widerspruch, Einschränkung, Löschung)
- deskriptive Rechte (Auskunft, Mitteilungen)
zweckgebunden,
- Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
- Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
- Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
- oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
- Zu berücksichtigen sind
- Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
- Zusammenhängen der Erhebung der Datenbestände
- Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
- Folgen der neuen Verarbeitung
- Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
- Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
minimiert,
- Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
transparent,
Art. 13 u. 14 EU-DSGVO
- Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
- Betroffene haben ein Recht auf Auskunft
mit den korrekten Daten,
- Betroffene haben ein Recht auf Korrektur ihrer Daten
- Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)
zeitlich begrenzt,
- Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
- Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
- Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.
integer und vertraulich,
- Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
- es sich bei den Verantwortlichen um Behörden handelt
- oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
- oder besondere Kategorien personenbezogener Daten verarbeitet werden
- oder personenbezogene Daten in großem Umfang verarbeitet werden
- oder systematisch das Verhalten natürlicher Personen überwacht wird
nach Treu und Glauben durchführen
- Nach herrschender Meinung in anständiger und fairer Weise.
- Englischer Begriff: "fairness".
und dabei technische und organisatorische Maßnahmen ergreifen
Art. 25 u. 32 EU-DSGVO
- Datensicherung (Erzeugen von redundanten Datenbeständen)
- Datensicherheit (Wahrung der Integrität der Datenbestände)
- Datenzugriff (Sicherung vor unberechtigtem Zugriff)
und das alles nachweisen können
Art. 30 EU-DSGVO
- Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
- wenn es sich um Behörden handelt
- oder um private Stellen,
- die mehr als 249 Beschäftigte haben
- deren Verarbeitung nicht nur gelegentlich erfolgt
- oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
- oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
- das mindestens folgendes enthält:
- Name und Kontaktdaten des Verantwortlichen,
- der gemeinsam Verantwortlichen und der Vertreter,
- sowie ggf. der Auftragsverarbeiter
- Name und Kontaktdaten des Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- die Kategorien betroffener Personen und Daten
- die Kategorien von Empfängern (auch in Drittländern)
- Übermittlungen an ein Drittland
- Fristen für die Löschung der Daten
- technische und organisatorische Maßnahmen zum Schutz der Daten
- Name und Kontaktdaten des Verantwortlichen,
- und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
und möglicherweise Folgen abschätzen
- Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
- neue Technologien verwendet werden (Data Mining, Profiling, KI)
- voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
- Art (regelmäßig Profiling)
- Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
- Umstände (systematische Überwachung)
- Zwecke
- der Verarbeitung dies verursachen könnte.
- Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
- Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
- Beschreibung von Verarbeitungsvorgängen
- Beschreibung von Zwecken
- Beschreibung von Interessen
- Bewertung von Notwendigkeit und Verhältnismäßigkeit
- Bewertung von Risiken für Rechte und Freiheiten und
- die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).
weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
- Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
- Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
- Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
- Die Meldung
- soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
- enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
- enthält Kontaktdaten der Datenschutzbeauftragten
- enthält wahrscheinliche Folgen der Verletzung
- enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
- Der Verantwortliche benachrichtigt auch die betroffenen Personen
eine Klage erhoben,
- Die Verjährungsfrist beträgt drei bis fünf Jahre.
- Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
- Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
- die sie nach Prüfung auf Einstellung
- nicht ohne Zustimmung der erlassenden Datenschutzbehörde
- an das Strafgericht übersandt.
und eventuell eine Strafe verhängt
- Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
- Bußgelder werden gegen jeden Verantwortlichen verhängt.
- Mitarbeiter können allerdings auch verantwortlich sein (Vorsatz, Fahrlässigkeit).
- Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landgericht.
- Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
oder Schadensersatz verlangt werden kann.
- Schmerzensgeld ist auch möglich.