Prüfschema Datenschutz 2024

Die Verarbeitung findet innerhalb der EU statt
oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
oder die Verantwortlichen unterliegen EU-Recht
oder die Verantwortlichen haben ihren Hauptsitz
oder wenigstens eine Niederlassung innerhalb der EU

es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
es handelt sich nicht um den rein persönlichen oder familiären Bereich

also am oder nach dem 28.05.2018, 0:00 Uhr (nicht 24 Uhr!)

Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
eine oder mehrere natürliche Personen
direkt oder mit Hilfe von weiteren Datenquellen
eindeutig identifiziert werden können.

Daten über "rassische" oder ethnische Herkunft (Originaltext)
politische Meinungen oder Gewerkschaftszugehörigkeit
religiöse oder weltanschauliche Überzeugungen
genetische, biometrische oder gesundheitliche Daten
Sexualleben oder die sexuelle Ausrichtung

erhoben (z. B. Daten werden von Betroffenen erfragt)
erfasst (z. B. Daten werden gespeichert)
empfangen (z. B. Daten werden von anderen Stellen übermittelt)
ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
abfragen (z. B. Daten werden von anderen Stellen angefordert)
organisiert (z. B. Daten werden anders sortiert)
geordnet (z. B. Daten werden reindiziert)
angepasst (z. B. Daten werden übersetzt)
verwendet (z. B. Adressen bei Serienbriefen)
abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
verknüpft (z. B. mit anderen Datenbeständen koordiniert)
offen gelegt (z. B. in sozialen Netzen gepostet)
übermittelt (z. B. an andere Stellen gesendet)
verbreitet (z. B. ins Internet gestellt)
bereitgestellt (z. B. zum Abruf in die Cloud)
eingeschränkt (z. B. aus der Bearbeitung genommen)
gelöscht (z. B. wieder herstellbar verschoben)
vernichtet (z. B. endgültig unbrauchbar gemacht)

Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
Es kann auch gemeinsam Verantwortliche geben
die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

ohne diese Entscheidungsfähigkeit
auf die Einhaltung der Garantien der EU-DSGVO hin ausgewählten Auftragsverarbeiter
dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
Gegenstand der Verarbeitung
Dauer der Verarbeitung
Art der Verarbeitung
Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Rechte und Pflichten der Verantwortlichen
Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

Rechtsgrundlagen sind
Interessen
lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen))
berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist)
Verträge, Vorverträge oder vorvertragliche Verhandlungen
deren Beteiligte die Betroffenen sind
Gesetze
materieller Art (also z. B. keine Satzungen)
oder in Ausübung öffentlicher Gewalt
die der Staat oder damit Beliehene ausüben dürfen
oder einer informierten Einwilligung der Betroffenen
Einwilligung ist immer möglich und immer gültig
denn mit seinen Daten kann jeder tun und lassen, was er will
Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
Einwilligung nur für jeweils einen Sachverhalt möglich
Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
Einwilligende müssen "informiert" sein!
Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
Die Betroffenen haben die Daten selbst öffentlich gemacht.
Die Verarbeitung ist im Bereich von Gerichten erforderlich.
Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
Verarbeitung zum Zwecke der
Gesundheitsvorsorge,
Arbeitsmedizin,
Beurteilung der Arbeitsfähigkeit,
medizinische Diagnostik,
Versorgung oder Behandlung im Gesundheitsbereich,
Schutz vor Pandemien o.ä.,
archivarische, wissenschaftliche oder historische Zwecke
Verarbeitende unterliegen einer Geheimhaltungspflicht

Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
Zu berücksichtigen sind
Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
Zusammenhängen der Erhebung der Datenbestände
Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
Folgen der neuen Verarbeitung
Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
Betroffene haben ein Recht auf Auskunft
mit den korrekten Daten,
Betroffene haben ein Recht auf Korrektur ihrer Daten
Betroffene haben u.U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
Hinweis: Betroffene haben u.U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
es sich bei den Verantwortlichen um Behörden handelt oder
mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind oder
besondere Kategorien personenbezogener Daten verarbeitet werden oder
personenbezogene Daten in großem Umfang verarbeitet werden oder
und systematisch das Verhalten natürlicher Personen überwacht wird

Nach herrschender Meinung in anständiger und fairer Weise.
Englischer Begriff: "fairness".

Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
wenn es sich um Behörden handelt
oder um private Stellen,
die mehr als 249 Beschäftigte haben
deren Verarbeitung nicht nur gelegentlich erfolgt
oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
das mindestens folgendes enthält:
Name und Kontaktdaten des Verantwortlichen,
der gemeinsam Verantwortlichen und der Vertreter,
sowie ggf. der Auftragsverarbeiter
Name und Kontaktdaten des Datenschutzbeauftragten
die Zwecke der Verarbeitung
die Kategorien betroffener Personen und Daten
die Kategorien von Empfängern (auch in Drittländern)
Übermittlungen an ein Drittland
Fristen für die Löschung der Daten
technische und organisatorische Maßnahmen zum Schutz der Daten
und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

Verantwortliche müssen u.U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
Dies muss erstellt werden, wenn
neue Technologien verwendet werden
voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
Art (regelmäßig Profiling)
Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
Umstände (systematische Überwachung)
Zwecke
der Verarbeitung dies verursachen könnte.
Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
Beschreibung von Verarbeitungsvorgängen
Beschreibung von Zwecken
Beschreibung von Interessen
Bewertung von Notwendigkeit und Verhältnismäßigkeit
Bewertung von Risiken für Rechte und Freiheiten und
die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
Die Meldung
soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
enthält Kontaktdaten der Datenschutzbeauftragten
enthält wahrscheinliche Folgen der Verletzung
enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Der Verantwortliche benachrichtigt auch die betroffenen Personen

Die Verjährungsfrist beträgt drei Jahre.
Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
die sie nach Prüfung auf Einstellung
nicht ohne Zustimmung der erlassenden Datenschutzbehörde
an das Strafgericht übersandt.

Die EU-DSGVO sieht Bußgelder in Höhe von max. 2 % des weltweiten Jahresumsatzes vor.
Bußgelder sind nur gegen jeden Verantwortlichen möglich
Mitarbeiter können auch verantwortlich sein
Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
Darüber hinaus das Landgericht.
Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
oder Schadensersatz verlangt werden kann.
Schmerzensgeld ist auch möglich.