Was ist Datenschutz?: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
(130 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | + | [[Datei:Vortrag.jpeg|mini|rechts]] | |
− | + | === Wenn im räumlichen Anwendungsbereich der EU-DSGVO === | |
− | + | <pre>Art. 3 EU-DSGVO</pre> | |
− | + | * Die Verarbeitung findet '''innerhalb der EU''' statt | |
− | + | * oder in '''Norwegen, Island oder Liechtenstein''' ("NIL-Staaten") | |
− | + | * oder die Verantwortlichen '''unterliegen EU-Recht''' | |
− | + | * oder die Verantwortlichen haben ihren '''Hauptsitz''' | |
− | + | * oder wenigstens eine '''Niederlassung''' innerhalb der EU | |
− | + | ||
− | + | === und im sachlichen Anwendungsbereich der EU-DSGVO === | |
− | + | <pre>Art. 2 EU-DSGVO</pre> | |
− | + | * und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte) | |
− | + | * und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften) | |
− | + | * und es handelt sich nicht um den rein persönlichen oder familiären Bereich | |
− | + | ||
− | + | === und im zeitlichen Anwendungsbereich der EU-DSGVO === | |
− | + | <pre>Art. 99 Abs. 2 EU-DSGVO</pre> | |
− | + | * findet also nach dem '''28.05.2018, 0:00 Uhr''' statt | |
− | + | ** also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018 | |
− | :Daten werden | + | ** nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018 |
− | + | ||
− | + | === personenbezogene Daten === | |
− | + | <pre>Art. 4 EU-DSGVO</pre> | |
− | + | * '''Personenbezogenen''' sind Daten (auch Bild- und Tonaufnahmen), durch die | |
− | + | ** eine oder mehrere natürliche '''Personen''' | |
− | + | ** '''direkt''' oder mit Hilfe von weiteren Datenquellen | |
− | + | ** '''eindeutig''' | |
− | + | * '''identifiziert''' werden kann. | |
− | + | * '''Juristische''' Personen genießen keinen Datenschutz | |
− | + | ** Das kann bei '''Ein-Mensch-Firmen''' anders sein! | |
− | + | * '''Verstorbene''' genießen auch keinen Datenschutz | |
− | + | ** Das Interesse der '''Hinterbliebenen''' kann aber relevant sein. | |
− | + | ||
− | + | === oder besondere Kategorien personenbezogener Daten === | |
− | + | <pre>Art. 9 EU-DSGVO</pre> | |
− | + | * Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir) | |
− | + | * politische Meinungen oder Gewerkschaftszugehörigkeit | |
− | + | * religiöse oder weltanschauliche Überzeugungen | |
− | + | * genetische, biometrische oder gesundheitliche Daten | |
− | + | * Sexualleben oder die sexuelle Ausrichtung | |
− | + | ||
− | + | === verarbeitet werden, === | |
− | + | <pre>Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG</pre> | |
− | + | * erhoben (z. B. Daten werden von Betroffenen erfragt) | |
− | + | * erfasst (z. B. Daten werden gespeichert) | |
− | + | * empfangen (z. B. Daten werden von anderen Stellen übermittelt) | |
− | + | * ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt) | |
− | + | * abfragen (z. B. Daten werden von anderen Stellen angefordert) | |
− | + | * organisiert (z. B. Daten werden anders sortiert) | |
− | :Verantwortliche | + | * geordnet (z. B. Daten werden reindiziert) |
+ | * angepasst (z. B. Daten werden übersetzt) | ||
+ | * verwendet (z. B. Adressen bei Serienbriefen) | ||
+ | * abgeglichen (z. B. mit anderen Datenbeständen ergänzt) | ||
+ | * verknüpft (z. B. mit anderen Datenbeständen koordiniert) | ||
+ | * offengelegt (z. B. in sozialen Netzen gepostet) | ||
+ | * übermittelt (z. B. an andere Stellen gesendet) | ||
+ | * verbreitet (z. B. ins Internet gestellt) | ||
+ | * bereitgestellt (z. B. zum Abruf in die Cloud) | ||
+ | * eingeschränkt (z. B. aus der Bearbeitung genommen) | ||
+ | * gelöscht (z. B. wieder herstellbar verschoben) | ||
+ | * vernichtet (z. B. endgültig unbrauchbar gemacht) | ||
+ | |||
+ | === dann müssen die Verantwortlichen === | ||
+ | <pre>Art. 24, 26 u. 27 EU-DSGVO</pre> | ||
+ | * Verantwortlich ist, wer über '''Zweck und Mittel''' der Verarbeitung entscheidet | ||
+ | * Es kann auch '''gemeinsam Verantwortliche''' geben | ||
+ | ** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt | ||
+ | ** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt. | ||
+ | |||
+ | === oder ihre Auftragsverarbeiter === | ||
+ | <pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre> | ||
+ | * auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter | ||
+ | * Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten | ||
+ | * wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können | ||
+ | * dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden: | ||
+ | ** Gegenstand der Verarbeitung | ||
+ | ** Dauer der Verarbeitung | ||
+ | ** Art der Verarbeitung | ||
+ | ** Zweck der Verarbeitung | ||
+ | ** Art der personenbezogenen Daten | ||
+ | ** Kategorien betroffener Personen | ||
+ | ** Rechte und Pflichten der Verantwortlichen | ||
+ | ** Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer | ||
+ | ** keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache | ||
+ | ** Regelung einer Löschungspflicht nach dem Ende der Verarbeitung | ||
+ | |||
+ | === dies aufgrund einer Rechtsgrundlage === | ||
+ | <pre>Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG</pre> | ||
+ | * Rechtsgrundlagen sind | ||
+ | ** Interessen | ||
+ | *** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht) | ||
+ | *** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg)) | ||
+ | *** berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist) | ||
+ | ** Verträge, Vorverträge oder vorvertragliche Verhandlungen | ||
+ | *** deren Beteiligte die Betroffenen sind | ||
+ | ** Gesetze | ||
+ | *** materieller Art (also z. B. keine Satzungen) | ||
+ | ** oder in Ausübung öffentlicher Gewalt | ||
+ | *** die der Staat oder damit Beliehene ausüben dürfen | ||
+ | |||
+ | === oder einer informierten Einwilligung der Betroffenen === | ||
+ | <pre>Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre> | ||
+ | * Einwilligung ist immer möglich und immer gültig | ||
+ | * Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will | ||
+ | * Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!) | ||
+ | * Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot) | ||
+ | * Sie muss jederzeit nachweisbar sein (während der Verarbeitung) | ||
+ | * Einwilligung nur für jeweils einen Sachverhalt möglich | ||
+ | * Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft | ||
+ | * Einwilligende müssen "informiert" sein! | ||
+ | * Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen) | ||
+ | |||
+ | === unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, === | ||
+ | <pre>Art. 9 EU-DSGVO</pre> | ||
+ | * Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein. | ||
+ | * Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen. | ||
+ | * Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich. | ||
+ | * Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung. | ||
+ | * Die Betroffenen haben die Daten selbst öffentlich gemacht. | ||
+ | * Die Verarbeitung ist im Bereich von Gerichten erforderlich. | ||
+ | * Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich. | ||
+ | * Verarbeitung zum Zwecke der | ||
+ | ** Gesundheitsvorsorge, | ||
+ | ** Arbeitsmedizin, | ||
+ | ** Beurteilung der Arbeitsfähigkeit, | ||
+ | ** medizinische Diagnostik, | ||
+ | ** Versorgung oder Behandlung im Gesundheitsbereich, | ||
+ | ** Schutz vor Pandemien o. ä., | ||
+ | ** archivarische, wissenschaftliche oder historische Zwecke | ||
+ | * Verarbeitende unterliegen einer Geheimhaltungspflicht | ||
+ | |||
+ | === unter Wahrung der Rechte der Betroffenen, === | ||
+ | <pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre> | ||
+ | * konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen) | ||
+ | * destruktive Rechte (Widerspruch, Einschränkung, Löschung) | ||
+ | * deskriptive Rechte (Auskunft, Mitteilungen) | ||
+ | |||
+ | === zweckgebunden, === | ||
+ | <pre>Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG</pre> | ||
+ | * Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein. | ||
+ | * Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war. | ||
+ | * Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein. | ||
+ | * oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung) | ||
+ | * Zu berücksichtigen sind | ||
+ | ** Verbindungen zwischen dem ursprünglichen und dem neuen Zweck | ||
+ | ** Zusammenhängen der Erhebung der Datenbestände | ||
+ | ** Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten | ||
+ | ** Folgen der neuen Verarbeitung | ||
+ | ** Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung | ||
+ | * Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar. | ||
+ | |||
+ | === minimiert, === | ||
+ | <pre>Art. 5 Abs. 1 Bst. c EU-DSGVO</pre> | ||
+ | * Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind. | ||
+ | |||
+ | === transparent, === | ||
+ | <pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 51 BDSG</pre> | ||
+ | * Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden. | ||
+ | * Betroffene haben ein Recht auf Auskunft | ||
+ | |||
+ | === mit den korrekten Daten, === | ||
+ | * Betroffene haben ein Recht auf Korrektur ihrer Daten | ||
+ | * Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung) | ||
+ | |||
+ | === zeitlich begrenzt, === | ||
+ | * Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist. | ||
+ | * Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden. | ||
+ | * Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten. | ||
+ | |||
+ | === integer und vertraulich, === | ||
+ | * Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn | ||
+ | ** es sich bei den Verantwortlichen um Behörden handelt | ||
+ | ** oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?) | ||
+ | ** oder besondere Kategorien personenbezogener Daten verarbeitet werden | ||
+ | ** oder personenbezogene Daten in großem Umfang verarbeitet werden | ||
+ | ** oder systematisch das Verhalten natürlicher Personen überwacht wird | ||
+ | |||
+ | === nach Treu und Glauben durchführen === | ||
+ | * Nach herrschender Meinung in anständiger und fairer Weise. | ||
+ | * Englischer Begriff: "fairness". | ||
+ | === und dabei technische und organisatorische Maßnahmen ergreifen === | ||
+ | <pre>Art. 25 u. 32 EU-DSGVO</pre> | ||
+ | * Datensicherung (Erzeugen von redundanten Datenbeständen) | ||
+ | * Datensicherheit (Wahrung der Integrität der Datenbestände) | ||
+ | * Datenzugriff (Schutz vor unberechtigtem Zugriff) | ||
+ | |||
+ | === und das alles nachweisen können === | ||
+ | <pre>Art. 30 EU-DSGVO, § 70 BDSG</pre> | ||
+ | * Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO). | ||
+ | ** wenn es sich um Behörden handelt | ||
+ | ** oder um private Stellen, | ||
+ | *** die mehr als 249 Beschäftigte haben | ||
+ | *** deren Verarbeitung nicht nur gelegentlich erfolgt | ||
+ | *** oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet | ||
+ | *** oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet | ||
+ | * das mindestens folgendes enthält: | ||
+ | ** Name und Kontaktdaten des Verantwortlichen, | ||
+ | *** der gemeinsam Verantwortlichen und der Vertreter, | ||
+ | *** sowie ggf. der Auftragsverarbeiter | ||
+ | ** Name und Kontaktdaten des Datenschutzbeauftragten | ||
+ | ** die Zwecke der Verarbeitung | ||
+ | ** die Kategorien betroffener Personen und Daten | ||
+ | ** die Kategorien von Empfängern (auch in Drittländern) | ||
+ | ** Übermittlungen an ein Drittland | ||
+ | ** Fristen für die Löschung der Daten | ||
+ | ** technische und organisatorische Maßnahmen zum Schutz der Daten | ||
+ | * und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss | ||
+ | |||
+ | === und möglicherweise Folgen abschätzen === | ||
+ | <pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre> | ||
+ | * Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn | ||
+ | ** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI) | ||
+ | ** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil | ||
+ | *** Art (regelmäßig Profiling) | ||
+ | *** Umfang (große Mengen besonderer Kategorien personenbezogener Daten) | ||
+ | *** Umstände (systematische Überwachung) | ||
+ | *** Zwecke | ||
+ | ** der Verarbeitung dies verursachen könnte. | ||
+ | * Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden. | ||
+ | * Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes: | ||
+ | ** Beschreibung von Verarbeitungsvorgängen | ||
+ | ** Beschreibung von Zwecken | ||
+ | ** Beschreibung von Interessen | ||
+ | ** Bewertung von Notwendigkeit und Verhältnismäßigkeit | ||
+ | ** Bewertung von Risiken für Rechte und Freiheiten und | ||
+ | ** die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren). | ||
+ | |||
+ | === weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, === | ||
+ | <pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre> | ||
+ | * Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG). | ||
+ | * Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG). | ||
+ | * Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG). | ||
+ | * Die Meldung | ||
+ | ** soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später | ||
+ | ** enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?) | ||
+ | ** enthält Kontaktdaten der Datenschutzbeauftragten | ||
+ | ** enthält wahrscheinliche Folgen der Verletzung | ||
+ | ** enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung | ||
+ | * Der Verantwortliche benachrichtigt auch die betroffenen Personen | ||
+ | |||
+ | === eine Klage erhoben, === | ||
+ | * Die Verjährungsfrist beträgt drei bis fünf Jahre. | ||
+ | * Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte). | ||
+ | * Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft, | ||
+ | ** die sie nach Prüfung auf Einstellung | ||
+ | ** nicht ohne Zustimmung der erlassenden Datenschutzbehörde | ||
+ | ** an das Strafgericht übersendet. | ||
+ | |||
+ | === und eventuell eine Strafe verhängt === | ||
+ | * Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen. | ||
+ | * Bußgelder werden gegen jeden Verantwortlichen verhängt. | ||
+ | * Mitarbeiter können allerdings auch verantwortlich sein (Vorsatz, Fahrlässigkeit). | ||
+ | * Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht. | ||
+ | * Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht. | ||
+ | |||
+ | === oder Schadensersatz verlangt werden kann. === | ||
+ | * Schmerzensgeld ist auch möglich. |
Version vom 13. Mai 2024, 13:26 Uhr
Inhaltsverzeichnis
- 1 Wenn im räumlichen Anwendungsbereich der EU-DSGVO
- 2 und im sachlichen Anwendungsbereich der EU-DSGVO
- 3 und im zeitlichen Anwendungsbereich der EU-DSGVO
- 4 personenbezogene Daten
- 5 oder besondere Kategorien personenbezogener Daten
- 6 verarbeitet werden,
- 7 dann müssen die Verantwortlichen
- 8 oder ihre Auftragsverarbeiter
- 9 dies aufgrund einer Rechtsgrundlage
- 10 oder einer informierten Einwilligung der Betroffenen
- 11 unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
- 12 unter Wahrung der Rechte der Betroffenen,
- 13 zweckgebunden,
- 14 minimiert,
- 15 transparent,
- 16 mit den korrekten Daten,
- 17 zeitlich begrenzt,
- 18 integer und vertraulich,
- 19 nach Treu und Glauben durchführen
- 20 und dabei technische und organisatorische Maßnahmen ergreifen
- 21 und das alles nachweisen können
- 22 und möglicherweise Folgen abschätzen
- 23 weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
- 24 eine Klage erhoben,
- 25 und eventuell eine Strafe verhängt
- 26 oder Schadensersatz verlangt werden kann.
Wenn im räumlichen Anwendungsbereich der EU-DSGVO
Art. 3 EU-DSGVO
- Die Verarbeitung findet innerhalb der EU statt
- oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
- oder die Verantwortlichen unterliegen EU-Recht
- oder die Verantwortlichen haben ihren Hauptsitz
- oder wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
Art. 2 EU-DSGVO
- und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
- und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
- und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
Art. 99 Abs. 2 EU-DSGVO
- findet also nach dem 28.05.2018, 0:00 Uhr statt
- also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
- nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
personenbezogene Daten
Art. 4 EU-DSGVO
- Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
- eine oder mehrere natürliche Personen
- direkt oder mit Hilfe von weiteren Datenquellen
- eindeutig
- identifiziert werden kann.
- Juristische Personen genießen keinen Datenschutz
- Das kann bei Ein-Mensch-Firmen anders sein!
- Verstorbene genießen auch keinen Datenschutz
- Das Interesse der Hinterbliebenen kann aber relevant sein.
oder besondere Kategorien personenbezogener Daten
Art. 9 EU-DSGVO
- Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
- politische Meinungen oder Gewerkschaftszugehörigkeit
- religiöse oder weltanschauliche Überzeugungen
- genetische, biometrische oder gesundheitliche Daten
- Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
- erhoben (z. B. Daten werden von Betroffenen erfragt)
- erfasst (z. B. Daten werden gespeichert)
- empfangen (z. B. Daten werden von anderen Stellen übermittelt)
- ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
- abfragen (z. B. Daten werden von anderen Stellen angefordert)
- organisiert (z. B. Daten werden anders sortiert)
- geordnet (z. B. Daten werden reindiziert)
- angepasst (z. B. Daten werden übersetzt)
- verwendet (z. B. Adressen bei Serienbriefen)
- abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
- verknüpft (z. B. mit anderen Datenbeständen koordiniert)
- offengelegt (z. B. in sozialen Netzen gepostet)
- übermittelt (z. B. an andere Stellen gesendet)
- verbreitet (z. B. ins Internet gestellt)
- bereitgestellt (z. B. zum Abruf in die Cloud)
- eingeschränkt (z. B. aus der Bearbeitung genommen)
- gelöscht (z. B. wieder herstellbar verschoben)
- vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen
Art. 24, 26 u. 27 EU-DSGVO
- Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
- Es kann auch gemeinsam Verantwortliche geben
- die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
- und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
oder ihre Auftragsverarbeiter
Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
- auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
- Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
- wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
- dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
- Gegenstand der Verarbeitung
- Dauer der Verarbeitung
- Art der Verarbeitung
- Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Rechte und Pflichten der Verantwortlichen
- Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
- keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
- Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
dies aufgrund einer Rechtsgrundlage
Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
- Rechtsgrundlagen sind
- Interessen
- lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
- öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
- berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
- Verträge, Vorverträge oder vorvertragliche Verhandlungen
- deren Beteiligte die Betroffenen sind
- Gesetze
- materieller Art (also z. B. keine Satzungen)
- oder in Ausübung öffentlicher Gewalt
- die der Staat oder damit Beliehene ausüben dürfen
- Interessen
oder einer informierten Einwilligung der Betroffenen
Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
- Einwilligung ist immer möglich und immer gültig
- Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
- Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
- Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
- Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
- Einwilligung nur für jeweils einen Sachverhalt möglich
- Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
- Einwilligende müssen "informiert" sein!
- Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
Art. 9 EU-DSGVO
- Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
- Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
- Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
- Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
- Die Betroffenen haben die Daten selbst öffentlich gemacht.
- Die Verarbeitung ist im Bereich von Gerichten erforderlich.
- Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
- Verarbeitung zum Zwecke der
- Gesundheitsvorsorge,
- Arbeitsmedizin,
- Beurteilung der Arbeitsfähigkeit,
- medizinische Diagnostik,
- Versorgung oder Behandlung im Gesundheitsbereich,
- Schutz vor Pandemien o. ä.,
- archivarische, wissenschaftliche oder historische Zwecke
- Verarbeitende unterliegen einer Geheimhaltungspflicht
unter Wahrung der Rechte der Betroffenen,
Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
- konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
- destruktive Rechte (Widerspruch, Einschränkung, Löschung)
- deskriptive Rechte (Auskunft, Mitteilungen)
zweckgebunden,
Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
- Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
- Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
- Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
- oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
- Zu berücksichtigen sind
- Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
- Zusammenhängen der Erhebung der Datenbestände
- Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
- Folgen der neuen Verarbeitung
- Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
- Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
minimiert,
Art. 5 Abs. 1 Bst. c EU-DSGVO
- Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
transparent,
Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 51 BDSG
- Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
- Betroffene haben ein Recht auf Auskunft
mit den korrekten Daten,
- Betroffene haben ein Recht auf Korrektur ihrer Daten
- Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)
zeitlich begrenzt,
- Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
- Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
- Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.
integer und vertraulich,
- Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
- es sich bei den Verantwortlichen um Behörden handelt
- oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
- oder besondere Kategorien personenbezogener Daten verarbeitet werden
- oder personenbezogene Daten in großem Umfang verarbeitet werden
- oder systematisch das Verhalten natürlicher Personen überwacht wird
nach Treu und Glauben durchführen
- Nach herrschender Meinung in anständiger und fairer Weise.
- Englischer Begriff: "fairness".
und dabei technische und organisatorische Maßnahmen ergreifen
Art. 25 u. 32 EU-DSGVO
- Datensicherung (Erzeugen von redundanten Datenbeständen)
- Datensicherheit (Wahrung der Integrität der Datenbestände)
- Datenzugriff (Schutz vor unberechtigtem Zugriff)
und das alles nachweisen können
Art. 30 EU-DSGVO, § 70 BDSG
- Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
- wenn es sich um Behörden handelt
- oder um private Stellen,
- die mehr als 249 Beschäftigte haben
- deren Verarbeitung nicht nur gelegentlich erfolgt
- oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
- oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
- das mindestens folgendes enthält:
- Name und Kontaktdaten des Verantwortlichen,
- der gemeinsam Verantwortlichen und der Vertreter,
- sowie ggf. der Auftragsverarbeiter
- Name und Kontaktdaten des Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- die Kategorien betroffener Personen und Daten
- die Kategorien von Empfängern (auch in Drittländern)
- Übermittlungen an ein Drittland
- Fristen für die Löschung der Daten
- technische und organisatorische Maßnahmen zum Schutz der Daten
- Name und Kontaktdaten des Verantwortlichen,
- und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
und möglicherweise Folgen abschätzen
Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
- Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
- neue Technologien verwendet werden (Data Mining, Profiling, KI)
- voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
- Art (regelmäßig Profiling)
- Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
- Umstände (systematische Überwachung)
- Zwecke
- der Verarbeitung dies verursachen könnte.
- Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
- Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
- Beschreibung von Verarbeitungsvorgängen
- Beschreibung von Zwecken
- Beschreibung von Interessen
- Bewertung von Notwendigkeit und Verhältnismäßigkeit
- Bewertung von Risiken für Rechte und Freiheiten und
- die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).
weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
- Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
- Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
- Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
- Die Meldung
- soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
- enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
- enthält Kontaktdaten der Datenschutzbeauftragten
- enthält wahrscheinliche Folgen der Verletzung
- enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
- Der Verantwortliche benachrichtigt auch die betroffenen Personen
eine Klage erhoben,
- Die Verjährungsfrist beträgt drei bis fünf Jahre.
- Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
- Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
- die sie nach Prüfung auf Einstellung
- nicht ohne Zustimmung der erlassenden Datenschutzbehörde
- an das Strafgericht übersendet.
und eventuell eine Strafe verhängt
- Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
- Bußgelder werden gegen jeden Verantwortlichen verhängt.
- Mitarbeiter können allerdings auch verantwortlich sein (Vorsatz, Fahrlässigkeit).
- Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
- Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
oder Schadensersatz verlangt werden kann.
- Schmerzensgeld ist auch möglich.