Einführung in die EU-DSGVO

Aus Datenschutz
Zur Navigation springen Zur Suche springen

Inhaltsverzeichnis

Personenbezogene Daten und Verarbeitung – worum geht es genau?

Personenbezogene Daten - wenn Ihre Daten Sie verraten!

Symbol für "Personenbezogene Daten", Quelle: LDI BaWü
Im Sinne dieser Verordnung bezeichnet der Ausdruck [...] "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; 

Als "natürliche Personen" bezeichnet der Jurist Menschen. Firmen, Vereine u. a. Organisationen sind dabei "juristische Personen".

Mit personenbezogenen Daten kann man also eine natürliche Person direkt oder mit Hilfe anderer Daten eindeutig identifizieren. Dazu gehören natürlich Namen und Adressen aber auch Auto-Kennzeichen oder einfach aufgenommene Gesichter.

Maßgeblich dabei ist, ob es prinzipiell möglich wäre, jemanden mit den Daten zu identifizieren. Das ist bei dem Gesicht von Bekannten sicher kein Problem. Bei einem unbekannten Autokennzeichen allerdings schon. Denn dann müsste man das Zulassungsregister zu Hilfe nehmen. Möglich wäre es aber trotzdem.

Man unterscheidet (ohne weitere Auswirkungen) zwischen direkter und indirekter Identifikation. Können Sie eine Person sofort anhand der vorliegenden Daten (eindeutig) erkennen, ist sie identifiziert. Benötigen Sie dazu Hilfe, ist sie identifizierbar.

Wichtig ist auch die Erwähnung von Merkmalen. Wenn man bestimmte, vielleicht einzigartige Eigenschaften einer Person beschreibt, kann es sich schon um personenbezogene Daten handeln. So könnte bereits eine besondere Narbe oder ein besonderes Muttermal eine Person identifizieren.

Besondere Kategorien personenbezogener Daten - wenn es wirklich ans Eingemachte geht

NSA-Skandal 2013: Radome in Bayern

Alle Daten sind gleich. Es gibt jedoch Daten, die "gleicher" als andere sind. Das sind sensible Daten, durch die man Menschen diskriminieren oder gar schädigen könnte. Außerdem berühren sie einen höchstpersönlichen Bereich, der nicht entgegen ihrem Willen öffentlich werden soll.

Die Daten sind abschließend im Art. 9 aufgeführt. Es sind also genau diese und keine anderen Daten.

Personenbezogene Daten über

  • Ethnie und Herkunft,
  • Politik und Gewerkschaft,
  • religiöse oder weltanschauliche Überzeugungen,
  • Genetik oder Biometrik
  • oder das Sexualleben

sind „Besondere Kategorien personenbezogener Daten“ und besonders geschützt.

Wenn Sie eine Einwilligung der Betroffenen brauchen, müssen Sie beachten, dass eine einfach Einwilligung nicht ausreichr. Über die Anforderungen an eine Einwilligung hinaus muss z. B. für die Zwecke der Verarbeitung – sofern eingewilligt wurde - „ausdrücklich“ eingewilligt werden. Das Wort "ausdrücklich" sollte dort am Besten auch stehen.

Die Verarbeitung muss erforderlich (!) sein, und zwar im Bereich des Arbeitsrechtes oder dem Recht der sozialen Sicherheit. Das gilt über Einwilligung und/oder Gesetz hinaus.

Der Schutz lebenswichtiger Interessen kann ein Erlaubnisgrund sein, wenn die Eigentümer der Daten nicht in der Lage sind, einzuwilligen. Dies könnte z. B. für Schwerverletzte gelten, die nicht mehr bei Bewusstsein sind.

Weitere Informationen

  • Zum Schutz der Arbeitnehmer dürfen Arbeitgeber besonders geschützte Daten erheben.
  • Auch zur Abschreckung ist die Erhebung von Daten besonderer Kategorien möglich (Link leider kostenpflichtig).
  • Auch Fragen zum Verhalten oder Aufenthaltsorten, wie in der Corona-Pandemie Anfang 2020, können hierunter fallen, sind aber durch die Pflicht des Arbeitgebers zur Fürsorge gedeckt.
  • Über den Datenschutz in der "Corona-Warn-App" (RND, 16.06.2020).
  • Der Impfstatus am Arbeitsplatz.
  • In einer Einladung einer Eigentümergemeinschaft von Eigentumswohnungen durfte der Name des Eigentümers genannt werden, der einen Legionellebefall zu beklagen hatte.

Daten verarbeiten - was mit Daten so alles gemacht werden kann

Verarbeitet werden Daten, wenn Daten

  • erhoben, erfasst, auslesen, abfragen (also sich beschaffen)
  • organisieren, ordnen, speichern, anpassen, verändern (also umgewandelt werden)
  • verwenden, offenlegen, verbreiten (den Standort wechseln)
  • abgleichen, verknüpfen (ausgewertet werden)
  • einschränken, löschen, vernichten (unbrauchbar gemacht werden).

Anonymisieren Das Datenschutzgesetz Nordrhein-Westfalen definiert zusätzlich „Anonymisieren“ als das Verändern von Daten in der Art, dass natürliche Personen nicht oder nur sehr aufwendig wieder rekonstruiert werden können.

Eine Unterscheidung zwischen automatisierter und nicht-automatisierter Verarbeitung kennt das DSG NW (weiterhin) nicht. Die mündliche Datenverarbeitung ist also ebenfalls gemeint (z. B. „Kollegengespräche“).

Sowie

  • Speichern (z. B. Abrufbares Ablegen)
  • Anpassen (z. B. Ändern des Formats)
  • Verändern (z. B. Ändern des Inhalts)
  • Auslesen (z. B. elektronisches Abfragen aus Geräten)
  • Abfragen (z. B. Abrufen aus Datenbanken)
  • Verwenden (z. B. Nutzen der Daten)
  • Abgleich (z. B. Vergleichen mit anderen Daten)
  • Verknüpfung (z. B. Kombinieren mit anderen Daten)
  • Einschränken (z. B. Beschränken der Verfügbarkeit)
  • Vernichten (z. B. Entfernen ohne Wiederherstellbarkeit)
  • Organisieren (z. B. Ändern des Speicherorts)
  • Ordnen (z. B. Ändern der Ordnungskriterien, Sortieren)

Weitere Informationen

Sachliche und räumliche Zuständigkeit – für wen gilt die EU-DSGVO?

Die Europäische Datenschutzgrundverordnung

Beschlussorgan der EU-DSGVO: Parlament der EU

Dies hier ist ein Text über die Europäische Datenschutzgrundverordnung. Hinter diesem Wortungetüm steckt ein Gesetz der Europäischen Union (EU), das am 25.05.2016 verkündet wurde und am 25.05.2018 voll in Kraft trat.

Die Datenschutzgrundverordnung ist aber ein besonderes Gesetz. Normalerweise müssen Gesetze der EU in nationales Recht umgesetzt werden. Einem EU-Gesetz, das allgemeine Regelungen enthält, muss also ein nationales Gesetz folgen, das speziellere Regelungen enthält. Das ist bei der EU-DSGVO nicht der Fall. Sie gilt direkt, Wort für Wort.

Die EU-DSGVO gilt seit dem 25. Mai 2018 und steht also sozusagen über den nationalen Gesetzen. Sie verbietet die Verarbeitung personenbezogener Daten grundsätzlich, erklärt aber natürlich Ausnahmen davon. Welche Daten schützt die Verordnung? Nun, eigentlich schützt sie keine Daten. Sie schützt Menschen. Denn Ausgangspunkt allen Datenschutzes ist die informelle Selbstbestimmung.

MERKE: Datenschutz schützt keine Daten sondern Menschen.

Wer Daten anderer Menschen verwendet, der muss daher bestimmte Regeln einhalten. Darüber hinaus kann jeder natürlich seine eigenen Daten verarbeiten wie er Lust hat. Sie sind sein Eigentum. Es empfiehlt sich, Daten als so etwas wie Geld zu betrachten. Auch beim Umgang mit dem Geld anderer Leute muss man sich an Regeln halten.

Sie denken jetzt vermutlich (oder haben es gehört), dass Sie eine immense Menge an Arbeit investieren müssen, um der neuen EU-DSGVO zu genügen. Glauben Sie das nicht. Vermutlich müssen Sie gar nicht viel tun. Die EU-DSGVO wurde nämlich dem deutschen Datenschutzrecht nach empfunden und enthält sehr viele Regelungen, die wir schon lange kennen.

Genau genommen müssen Sie vielleicht

  1. die Einwilligungen prüfen, die Sie bisher erhalten haben
  2. die Datenschutzerklärungen prüfen, die Sie bisher abgegeben haben
  3. die Verträge prüfen, die Sie mit Auftragsverarbeitern geschlossen haben
  4. anstelle eines Verfahrensverzeichnisses jetzt ein Verarbeitungsverzeichnis führen
  5. eine Datenschutzfolgenabschätzung abgeben
  6. einen Datenschutzbeauftragten ernennen

Diese Punkte sind von oben nach unten aber ansteigend unwahrscheinlich. In den meisten Fällen gelten die bisherigen Dokumente weiter, wenn sie noch der EU-DSGVO entsprechend. Genau das gilt es zu prüfen und genau dazu können Sie diesen Text benutzen.

Weitere Informationen

Sachliche und räumliche Anwendbarkeit

Die EU-DSGVO gilt in ganz Europa. Und zwar in jedem Land der Europäischen Union. Außerdem haben sich noch drei Staaten, die nicht der EU angehören, freiwillig dazu verpflichtet, diese EU-DSGVO anzuwenden. Ungeachtet der Tatsache, dass sie alle in Europa liegen, nennt man diese Staaten "NIL-Staaten", weil es sich um

  • Norwegen
  • Island
  • Liechtenstein

handelt, deren Namen sich zu dem schönen Kürzel NIL zusammensetzen und leichter merken lassen.

Hier gilt überall die EU-DSGVO: EU, Norwegen, Island, Liechtenstein (außer der Schweiz und der Türkei)

Das Bundesdatenschutzgesetz gilt darüber hinaus in Deutschland für alle Privatpersonen und Unternehmen. Es gibt eine alte Fassung (abgekürzt: BDSG aF), die bis zum 25.05.2018 galt und es gibt eine neue Fassung (BDSG nF), die ab dem 25.05.2018 gilt. Der Gesetzgeber hat also gerade noch die Kurve gekriegt. Was ist wann anzuwenden? Nun, das ist einfach. Behandeln Sie einen Verstoß, der nachweislich vor dem 25.05.2018 passierte, nutzen Sie die alte Fassung, ansonsten die neue. In einem Rechtstaat dürfen Sie nämlich nur nach Gesetzen beurteilt werden, die während der Tat schon galten. DAvon können sich manche Staaten eine Scheibe abschneiden.

Die Landesdatenschutzgesetze gelten für die Behörden des jeweiligen Landes und für die Kommunen in diesem Land.

Und die EU-DSGVO? Schauen wir einfach nach:

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 EU-DSGVO).

Wir erfahren, dass die EU-DSGVO auf alle Datenverarbeitungen immer anwendbar ist, wenn der Verantwortliche wenigstens eine Niederlassung (oder den Hauptsitz) innerhalb der EU hat. Facebook, Twitter und Google sind hier also betroffen, auch wenn die Rechenzentren in den USA stehen.

Sollte alles außerhalb der EU stehen, gilt die EU-DSGVO aber vielleicht trotzdem:

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten,
unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(Art. 3. Abs. 2 EU-DSGVO)

Sollen also die Daten von Personen innerhalb der EU (nicht unbedingt nur EU-Bürger, auch Touristen, Asylbewerber etc.) verarbeitet werden, ist die EU-DSGVO ebenso anwendbar ("Marktortprinzip").

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Nehmen sich Firmen außerhalb der EU einen Sitz, findet die Datenverarbeitung nicht in der EU statt und werden obendrein noch Daten von Personen verarbeitet, die sich nicht in der EU befinden, ist die EU-DSGVO dennoch anwendbar. Dieses "Kaugummi-Prinzip" soll den größtmöglichen Datenschutz liefern.

Fassen wir zusammen. Die EU-DSGVO ist zuständig, wenn

  • die Verarbeitung für eine Tätigkeit in der EU stattfindet,
  • von einem Verarbeiter ausgeführt wird, der sich in der EU niedergelassen hat
  • oder für einen Verarbeiter, der dem Recht eines Mitgliedsstaates unterworfen ist.

Weitere Informationen

  • England wird sich vermutlich nicht an die EU-DSGVO halten (05.02.2020).
  • Das "Haushaltsprivileg" (EU-DSGVO gilt nicht bei privater Datenverarbeitung) ist nach Auffassung der Datenschutzbeauftragten von Nordrhein-Westfalen eng auszulegen (Datenschutzpraxis, 16.06.2020).

Andere Rechtsquellen

Zunächst gilt: Spezialrecht vor Allgemeinrecht. Im Falle der EU-DSGVO gilt das auch. Sofern es eine datenschutzrechtliche Regelung gibt, die spezieller regelt, was gilt, dann hat sie Vorrang. Sie darf der EU-DSGVO nur nicht widersprechen, dann ist sie ungültig.

Erhebung und Datenschutzerklärung – was muss man wann erklären?

Datenschutzerklärung - was alles so erklärt werden muss

Werden Daten irgendwelcher Kategorien erstmals erhoben (oder erstmals an die Verantwortlichen übermittelt), ist eine Datenschutzerklärung abzugeben, in der aufgeführt ist, wer, ggf. mit welchem Datenschutzbeauftragten, warum, aufgrund welcher Berechtigungen oder Interessen die Daten verarbeitet. Werden diese Daten übermittelt, ist der Empfänger anzugeben. Bei Übermittlungen ins Nicht-EU-Ausland zusätzlich die Rechtsgrundlage der Übermittlung.

So eine Datenschutzerklärung kann so aussehen:

DATENSCHUTZERKLÄRUNG
Verantwortlicher.......: Schummel GmbH
Datenschutzbeauftragter: Anton Ahnungslos
Zweck..................: Verkauf von Schuhen
Grundlage..............: Berechtigtes Interesse
Übermittlung an........: Schuh Marketing "Tritt ihn" GmbH

Sie kann aber auch (empfehlenswerter) als Fließtext ausgegeben werden:

Die Schummel GmbH verarbeitet Ihre Daten zum Zweck des Verkaufs von Schuhen auf der Grundlage ihres berechtigten Interesses. Sie übermittelt Ihre Daten an die Firma Schuh Marketing "Tritt Ihn" GmbH. Datenschutzbeauftragter ist Anton Ahnungslos.

Auf Anfrage hat der verantwortliche Verarbeiter Informationen bereitzustellen über die Dauer der Speicherung (oder Kriterien für die Dauer) und die Rechte der Betroffenen (siehe oben) informieren. (A2, EWG 14-21, A3, EWG 22-25, § 5 DSG NW, § 1 BDSG)

Sofern die Dateneigentümer in die Verarbeitung eingewilligt haben, muss das Recht auf Widerruf dieser Einwilligung genannt werden. Der Widerruf gilt stets für die Zukunft, nicht für die Vergangenheit (Für die Vergangenheit siehe "Recht auf Vergessenwerden").

Videoüberwachung - wenn Sie ein Auge darauf werfen

Mustergültiges Schild zur Videoüberwachung

Reicht nicht mehr aus: herkömmliches Schild zur Videoüberwachung

Rechtlicher Rahmen

  • Die Verarbeitung personenbezogener Daten mittels "opto-elektronischer Einrichtungen" wird als Videoüberwachung bezeichnet1.
  • Ob eine Kamera dabei analog oder digital arbeitet, ob sie mobil oder stationär ist, ist unerheblich2.
  • Die EU-DSGVO regelt die Videoüberwachung nicht explizit (wohl aber als eine Form der Verarbeitung3).
  • Regelungen finden sich dagegen im BDSG und im DSG NW1.
  • Der Gesetzgeber unterscheidet zwischen Videoüberwachung öffentlicher Stellen und nicht öffentlicher Stellen.
  • Ferner ist ausschlaggebend, ob ein öffentlicher oder ein privater Bereich überwacht werden soll.
  • Öffentliche Bereiche sind Bereiche, die von einem unbestimmten Personenkreis betreten werden können (auch erst z. B. nach dem Lösen einer Eintrittskarte wie bei Kinos oder Theatern), nicht aber nur bestimmten Personen zugängliche Bereiche wie die Personalräume in Supermärkten, Eingangsbereiche von reinen Wohngebäuden oder Vorgärten.

Videoüberwachung öffentlicher Bereiche durch öffentliche Stellen

  • Jede Verarbeitung, auch die Videoüberwachung, muss den Voraussetzungen der EU-DSGVO an die Rechtmäßigkeit entsprechen4.
  • Demnach ist die Verarbeitung durch öffentliche Stellen rechtmäßig, wenn sie
    • für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder
    • in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • Ferner ist die Videoüberwachung zulässig, wenn dies
    • zur Wahrnehmung des Hausrechts5
    • zum Schutz von Leben, Gesundheit, Eigentum, Besitz6 oder
    • zur Kontrolle von Zugangsberechtigungen7
  • erforderlich ist, und
  • wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Beispiele: Wenn in einem Freibad regelmäßig ein paar Kleiderbügel gestohlen werden, ist eine flächendeckende Kameraüberwachung vermutlich unverhältnismäßig. Umgekehrt könnte es den Benutzern eines öffentlichen Parkplatzes durchaus zugemutet werden beobachtet zu werden, wenn regelmäßig teure Sachbeschädigungen dort stattfinden.

Rechtlich einwandfreies Schild zur Videoüberwachung
  • Eine entsprechende Datenschutzerklärung8 ist frühestmöglich erkennbar zu machen9, was bedeutet, dass ein entsprechendes Schild mit allen Pflichtangaben sichtbar sein muss, bevor man in den Sichtbereich der Kamera trifft. Betroffene sollen eine Wahl haben, ob sie aufgenommen werden wollen oder nicht. Das oben gezeigte Foto reicht nicht aus, das linke Schild ist dagegen rechtlich in Ordnung. Ein "berechtigtes Interesse" gilt allerding nicht für Behörden in Erfüllung ihrer Aufgaben.
  • Wie immer ist das mildeste Mittel zur Kontrolle zu wählen. Vor der Kameraüberwachung ist zu prüfen, ob z. B. mehr Kontrollgänge nicht den gleichen Erfolg haben.
  • Verantwortliche haben Videoüberwachungen in ihrem Verarbeitungsverzeichnis aufzuführen.
  • Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutzfolgenabschätzung abzugeben10.

Verbleib der Daten

  • Eine Zweckänderung von rechtmäßig aufgenommenen Daten ist nur zulässig, wenn dies
    • zur Abwehr von Gefahren für die öffentliche Sicherheit
    • zur Verfolgung von Straftaten oder
    • zur Geltendmachen von Rechtsansprüchen gegenüber den Betroffenen
  • erforderlich ist11.
  • Sollten die Aufnahmen für diese Zwecke nicht benötigt werden, sind sie unverzüglich zu löschen12.

Weitere Informationen

Rechtsquellen 1 § 20 Abs. 1 DSG NW, § 4 Abs. 1 BDSG
2 Zilkens, S. 590
3 Art. 4 Nr. 2 EU-DSGVO
4 Art. 6 EU-DSGVO
5 § 20 Abs. 1 Nr. 1 DSG NW
6 § 20 Abs. 1 Nr. 2 DSG NW
7 § 20 Abs. 1 Nr. 3 DSG NW
8 Art. 13 EU-DSGVO
9 § 20 Abs. 2 DSG NW
10 Art. 35 Abs. 3 Bst. c EU-DSGVO
11 § 20 Abs. 3 DSG NW
12 § 20 Abs. 4 DSG NW

Websites - surfen ohne Reue

Ein kluger Mensch hat mich mal gefragt, warum eine Website eigentlich eine Datenschutzerklärung braucht, wo man doch nur liest und nicht schreibt. Die Frage ist gut, die Antwort einfach. Wenn Sie eine Website aufrufen (z. B. diese hier), dann sendet Ihr Computer eine Anforderung an einen anderen Computer (dem "Webserver"), damit der eine entsprechende Seite zurücksendet.

Damit der Webserver weiß, wohin er die Seite senden muss, überträgt Ihr Computer ihm eine eindeutige Nummer. Diese Nummer ist weltweit eindeutig, weil ja viele verschiedene Computer aus aller Welt gleichzeitig eine Anforderung an diesen Webserver senden. Dies ist notwendig, damit Sie keine Liste von Kleidern bekommen, wenn Sie eine Hose suchen.

Da diese Nummer eindeutig ist, kann sie Ihnen auch zugeordnet werden. Der Anbieter Ihres Internet-Anschlusses vergibt diese eindeutigen Nummern ("IP-Adressen"). Er weiß also, wann Sie wo "gesurft" haben. Da es sich damit um personenbezogene Daten handelt, braucht er eine Datenschutzerklärung und Ihre Einwilligung.

Zweckänderung und Übermittlung – was man mit vorhandenen Daten machen darf

Zweckänderung - wenn Sie mit den Daten etwas anderes vor haben

Daten dürfen nur zu einem bestimmten Zweck erhoben werden („Zweckbindung“). Das muss in einer eventuellen Einwilligung auch klar aufgeführt werden. Soll der Zweck der Verarbeitung geändert werden, muss die betroffene Person darüber informiert werden, dass der Zweck geändert wurde, es sei denn, die Person weiß bereits um die Zweckänderung.

Der betroffenen Person sind bei Zweckänderung außerdem Angaben gemäß Nr. 1.3, Ziffern 4 – 10 mitzuteilen, sofern ihr diese nicht ohnehin bekannt sind.

DSG NW: Öffentliche Stellen dürfen personenbezogene Daten auch zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder für Organisationsuntersuchungen verwenden. Die Verwendung für Ausbildungs- und Prüfungszwecke ist dagegen nur erlaubt, sofern berechtigte Interessen der Betroffenen nicht überwiegen.

Weiterhin ist eine Zweckänderung möglich, wenn

  • das Gemeinwohl oder die öffentliche Sicherheit gefährdet sind
  • die Rechte einer anderen Person schwerwiegend beeinträchtigt sind
  • sich Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben
  • die Daten auf Richtigkeit überprüft werden sollen
  • die Rechte eines Dritten gewahrt werden müssen
  • zur Durchsetzung öffentlich-rechtlicher Geldforderungen

Im letzten Fall darf kein Widerspruch der betroffenen Person gegen diese Verarbeitung vorliegen . Die Betroffenen werden nicht informiert, wenn dadurch der Zweck der Verarbeitung gefährdet würde.

Unter Umständen ist eine Zweckänderung ebenfalls möglich

  • wenn die Einholung der Einwilligung nicht möglich oder sehr aufwändig ist
  • wenn die Bearbeitung eines Antrags ohne Zweckänderung nicht möglich wäre
  • die Daten sowieso schon öffentlich gemacht wurden

Eine Zweckänderung ist ferner erlaubt, wenn die Daten von einer zur Verschwiegenheit verpflichteten Person über-mittelt wurden. Kirchen sind nach wie vor legale Empfänger.

Handelt es sich um eine legale Zweckänderung, prüfen Sie als nächstes die Grundsätze personenbezogener Datenverarbeitung. Handelt es sich um keine Zweckbindung, prüfen Sie als nächstes, ob eine Übermittlung vorliegen könnte. Handelt es sich um keine legale Zweckbindung, ist der Fall möglicherweise unrechtmäßig.

Weitere Informationen

Übermittlung - wenn Daten auf Reisen gehen

Robotertelefonie.jpeg

Sind Länder gemeint, die nicht zur EU gehören, spricht die EU-DSGVO von „Drittländern“. Datenübermittlungen innerhalb der EU sind nicht geregelt und daher grundsätzlich zulässig.

Jede Übermittlung in Drittländer ist dagegen nur zulässig, wenn die Bedingungen der DSGVO eingehalten werden. Das durch die DSGVO gewährte Schutzniveau darf nicht unterschritten werden.

Die EU-Kommission beschließt für jedes Land die Angemessenheit des Datenschutzes (Angemessenheitsbeschluss). Eine Übermittlung in solche Länder bedarf keiner weiteren Genehmigung.

Besteht kein Angemessenheitsbeschluss, darf nur übermittelt werden, wenn Verantwortliche und Auftragsverarbeiter geeignete Garantien im Sinne der Verordnung vorgesehen haben oder natürlich wieder eine entsprechende Einwilligung (Nr. 5) vorliegt.

Beispiel: Eine Übertragung personenbezogener Daten außerhalb der EU kann schon stattgefunden haben, wenn Adressen in Mobiltelefonen verwaltet werden. Die Anbieter von Betriebssystemen dieser Telefone verraten i. d. R. nicht, wo genau ihre Daten gespeichert werden. Es ist daher möglich, dass die in einem Handy eingetragenen Kontakte zusätzlich in einem Rechenzentrum in den USA gespeichert werden. Das gilt auch für „Cloud-Speicher“, also im Internet verfügbaren Speicherplatz, sowie „YouTube-Videos“.

Weitere Informationen

Die EU-DSGVO regelt die Übermittlung von Daten innerhalb einer öffentlichen Stelle oder zwischen öffentlichen Stellen nicht im Speziellen.

DSG NW: Das Datenschutzgesetz Nordrhein-Westfalen regelt dagegen die Einrichtung eines automatisierten Übermittlungsverfahrens und die regelmäßige Datenübermittlung innerhalb einer oder zwischen öffentlichen Stellen wie zuvor auch. Sie ist zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erfolgt.

Die obersten Landesbehörden dürfen eine Verordnung erlassen, die diese Übermittlungen erlaubt. Dies ist bisher allerdings nicht geschehen.

Die Verantwortung für die Zulässigkeit einer solchen Datenübermittlung trägt die ersuchende Stelle. Die übermittelnde Stelle prüft dagegen nur, ob die Übermittlung im Rahmen der Aufgaben des Empfängers liegt. Weitere Prüfungen erfolgen nur, sofern hierzu im Einzelfall Anlass besteht. Die ersuchende Stelle muss für die Prüfung erforderliche Angaben machen.

Bei einem automatischen Abruf trägt die Verantwortung der Empfänger.

Datenbestände, die jedermann zur Benutzung offen stehen oder veröffentlicht werden dürften (Open Data) fallen natürlich nicht unter diese Beschränkungen .

DSG NW: Die Verantwortung der Zulässigkeit einer Datenübermittlung trägt die übermittelnde Stelle. Auf die folgenden Voraussetzungen ist die private Stelle hinzuweisen!

Sie ist nur zulässig, wenn

  • sie zur Aufgabenerfüllung der übermittelnden Stelle erforderlich ist und
  • die Verarbeitung nach § 3 DSG rechtmäßig und nach § 9 DSG zweckgebunden ist und
  • die private Stelle ein berechtigtes Interesse an den Daten glaubhaft darlegt und
  • die schutzwürdigen Belange der Betroffenen nicht überwiegen oder
  • die Daten zur Geltendmachung rechtlicher Ansprüche erforderlich sind und
  • der Dritte sich gegenüber der übermittelnden Stelle verpflichtet, die Zweckbindung zu erfüllen

Eine Verarbeitung zu anderen Zwecken ist aber zulässig, wenn auch eine Übermittlung zu diesem Zweck zulässig wäre und die übermittelnde Stelle zugestimmt hat.

Für besondere personenbezogene Daten ist darüber hinaus notwendig, wenn die Person eingewilligt hat, dadurch ihr Arbeitsrecht und ihren Sozialschutz ausüben kann, lebenswichtige Interessen der Person sie erforderlich machen, sie diese Daten selbst veröffentlicht hat oder die Übermittlung den anderen Anforderungen des Artikel 9 Absatz 2 der EU-DSGVO entspricht.

Rechtmäßigkeit und Einwilligung – Wann ist die Verarbeitung in Ordnung?

Rechtliche Verpflichtungen - wenn Sie nicht anders können

  • Grundsätzlich muss die Verarbeitung personenbezogener Daten rechtmäßig sein, also geltendem Recht entsprechen (siehe Nr. 3).
  • Sie muss auch nach „Treu und Glauben“ erfolgen, also allgemeinen moralischen Vorstellungen entsprechen.
  • Sie muss nachvollziehbar sein, also dokumentiert und offen.

DSG NW: Die Daten sollen nach Zwecken getrennt verarbeitet werden. Ist das nicht möglich, ist ihre Verarbeitung zulässig, wenn schutzwürdige Belange der Betroffenen nicht überwiegen (z. B. Verbindung zwischen personenbezogenen Daten und besonderen personenbezogenen Daten). Die für die Verarbeitung nicht erforderlichen Daten dürfen dabei aber nicht verwertet werden.

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Allerdings definiert die Datenschutzgrundverordnung natürlich Ausnahmen. Ansonsten wären dieser und andere Texte schlicht überflüssig.

Der Unterschied zwischen "Es ist alles erlaubt, was nicht verboten ist" und "Es ist alles verboten, was nicht erlaubt ist" ist gewaltig. Besteht nämlich für irgendeinen Bereich keine Regelung, kommt es darauf an, welcher der beiden Sätze gilt. In einem freien Rechtsstaat würde der erste Satz gelten, in einer Diktatur wohl eher der zweite.

Möchten Sie Ihre Meinung über einen Politiker öffentlich äußern, überlegen Sie besser, in welcher Art Staat Sie gerade unterwegs sind. In Rechtsstaaten gibt es i. A. kein Gesetz, dass das regelt. Sie dürfen Ihre Meinung also frei äußern. In restriktiven Staaten sollten Sie vorsichtiger sein. Jedenfalls, wenn Sie weiterlesen wollen.

Interessen - wenn es sein sollte

Die Verarbeitung personenbezogener Daten ist ebenfalls rechtmäßig, wenn berechtigte oder gar lebenswichtige Interessen einer betroffenen Person durch sie gewahrt werden können. DSG NW: Ohne Einwilligung dürfen (besondere) personenbezogene Daten verarbeitet werden, wenn dahinter erforderliche wissenschaftliche, historische oder statistische Zwecke stehen und schutzwürdige Interessen der Betroffenen nicht überwiegen.

Es sind aber angemessene und „spezifische“ Maßnahmen zur Wahrung der Interessen der Betroffenen vorzusehen. Nach Möglichkeit sind die besonderen personenbezogenen Daten zu anonymisieren. Angaben zur De-Anonymisierung sind gesondert zu speichern und dürfen nur zusammengeführt werden, soweit der Forschungszweck das erfordert. Eine unumkehrbare Anonymisierung ist also nicht erforderlich. Werden diese Schlüssel für den Forschungszweck nicht mehr benötigt, sind sie zu löschen.

Veröffentlicht werden dürfen derlei Daten nur bei Einwilligung der Betroffenen oder wenn das für den Forschungszweck unbedingt erforderlich ist. Die schutzwürdigen Belange der Betroffenen sind natürlich dabei zu wahren.

Die alte Regelung, dass Daten zwecks öffentlicher Auszeichnungen und Ehrungen verarbeitet werden dürfen, besteht weiterhin im § 22 des Datenschutzgesetzes NRW. Zur Ausübung des Gnadenrechts dürfen Daten verarbeitet werden, die sich sogar der Kontrolle der LDI entziehen.

Einwilligung - wenn Sie einverstanden sind

Die Verarbeitung personenbezogener Daten ist immer rechtmäßig, wenn eine Einwilligung der betroffenen Personen vorliegt.

Der Verantwortliche, der personenbezogene Daten verarbeitet, muss die Einwilligung jederzeit nachweisen können. Diese Beweislast bedeutet, dass Einwilligungen aufbewahrt werden müssen, solange die Verarbeitung anhält.

Einwilligungen können nur für einen Sachverhalt erteilt werden. Sind Einwilligungen für mehrere Sachverhalte erforderlich, sind die Sachverhalte klar voneinander zu trennen und für jeden Sachverhalt muss eine eigene Einwilligung eingeholt werden.

Einwilligungen können jederzeit widerrufen werden. Die bisherige Verarbeitung ist dadurch nicht rechtswidrig. Der Widerruf gilt immer für die Zukunft. Hierauf muss der Text der Einwilligung klar und deutlich hinweisen („Informiertheit“). Der Widerruf muss so einfach wie die Zustimmung sein.

Einwilligungen müssen freiwillig erfolgen. Werden nicht für die Verarbeitung benötigte Daten verarbeitet, muss darauf hingewiesen werden, dass die Angabe dieser Daten freiwillig und nicht für die Verarbeitung notwendig ist. Das Ziel der Verarbeitung darf nicht davon abhängig gemacht werden, ob freiwillige Daten angegeben werden oder nicht („Koppelungsverbot“).

DSG NW: Die Freiwilligkeit der Einwilligung ist im DSG NW für den Beschäftigungskontext besonders geregelt. Abhängigkeiten und Umstände müssen hier (wegen des Rechtsgefälles) besonders betrachtet werden. Von einer Freiwilligkeit ist auszugehen, wenn von Arbeitgeber und Arbeitnehmer „gleichgelagerte“ Interessen verfolgen (z. B. eine Einstellung oder auch eine Aufhebung). Wenn der betroffenen Person ein wirtschaftlicher oder rechtlicher Vorteil gewährt wird, sollte die Einwilligung freiwillig sein. Sie muss in jedem Fall schriftlich erfolgen und über den Zweck der Verarbeitung und das Widerrufsrecht ist aufzuklären.

Bezieht sich die Einwilligung auf besondere personenbezogene Daten, muss in der Einwilligung gesondert darauf hingewiesen werden.

Eine Einwilligung für Bewerber bei Polizeibehörden zwecks Datenübermittlung an Nachrichtendienste oder andere Polizeibehörden ist nicht erforderlich (sog. Routineüberprüfung).

Kinder, die das 16. Lebensjahr noch nicht vollendet haben, können selbst nicht einwilligen. Verarbeitungen erfordern in diesen Fällen eine Einwilligung oder die Zustimmung eines Trägers der elterlichen Verantwortung. Auch das muss jederzeit nachweisbar sein.

DSG NW: Die Verarbeitung von genetischen oder biometrischen Daten bedarf unbedingt der Schriftlichkeit.

Sonderfall: Videoüberwachung Der Europäische Datenschutzausschuss hat Richtlinien für die Videoüberwachung beschlossen. Diese bestimmen z. B., dass private Unternehmen keine Gesichtserkennung nutzen dürfen; das ist den Polizeibehörden vorbehalten. Ferner muss eine konkret zu benennende Gefahr mit der Videoüberwachung abgewehrt werden.

Sonderfall: Websites und Cookies Cookies sind kleine Dateien, die der Verwaltung der Verbindung zwischen einem Browser und einer Website dienen und personenbezogene Daten speichern können. Technisch notwendige Cookies sind erlaubt. Cookies, die von Drittanbietern (also weder vom Betreiber der Webseite noch von ihren Besuchern) gesetzt werden, benötigen dagegen die Einwilligung des Besuchers, da sie Benutzerverhalten ausspionieren könnten.

Weitere Informationen

Verantwortliche, gemeinsam Verantwortliche, Auftragsverarbeiter - der den Hut auf hat

Verantwortliche

  • Verantwortlich ist, wer über Zwecke und Mittel der Datenverarbeitung bestimmt (z. B. Auswahl der Software).
  • Hat ein Dritter Einfluss auf die Datenverarbeitung, ist er Gemeinsam Verantwortlicher.
  • Datenverarbeitende Produkte (Apps, Programme, Webseiten) müssen datenschutzrechtlich aufgebaut werden ("Privacy by Design").
  • Diese Produkte müssen ohne weitere Einstellungen bei Inbetriebnahme datenschutzsicher sein ("Privacy by Default").
  • Hierzu sind alle technischen und organisatorischen Maßnahmen zu ergreifen.
  • Betreiber von Facebook-Seiten gelten, zusammen mit der Firma Facebook, als gemeinsam Verantwortliche.
  • Der Betriebsrat (Personalrat) ist kein eigener Verantwortlicher.

Gemeinsam Verantwortliche - Arbeiten im Team

Gemeinsam Verantwortliche

Auftragsverarbeiter - wenn Sie Ihre Leute haben

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  • Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
  • Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
  • Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
  • Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
    • Verarbeitung nur aufgrund dokumentierter Weisung
    • Verpflichtung zur Vertraulichkeit der Verarbeitung
    • Sicherheit der Verarbeitung
    • weitere Auftragsverarbeiter nur mit selben Pflichten und per Vertrag
    • Unterstützung des Verantwortlichen
    • Löschung aller Daten nach dem Ende der Auftragsverarbeitung
    • Recht auf Inspektionen
    • Überprüfung jeder Weisung des Auftraggebers durch den Auftragsverarbeiter

Beispiele

Weitere Informationen

Betroffenenrechte, Beschäftigtendatenschutz, Privacy

Betroffenenrechte - was Dateneigentümer alles dürfen

Alle Betroffenenrechte gibt es in einer Übersicht bei Dr. Datenschutz.

RGB Auskunft.png

Auskunft, Berichtigung, Datenübertragbarkeit - konstruktive Rechte

Zum Zeitpunkt der direkten Erhebung sind den betroffenen Personen mitzuteilen, wer Verantwortlicher ist, wer Datenschutzbeauftragter (falls vorhanden) und wer die Aufsichtsbehörde ist. Dazu müssen deren Kontaktdaten aufgeführt werden. Ferner sind die Zwecke und die Rechtsgrundlage der Verarbeitung zu nennen, ferner auch, sofern darauf begründet, die berechtigten Interessen des Verantwortlichen. Werden Daten an Dritte übermittelt, sind der Empfänger und die Kategorien der übermittelten Daten zu benennen.

Dies betrifft die Datenschutzerklärung auf Websites und Hinweisschilder bei Videoüberwachung! Ferner ist sie auf Antrag auf das Recht auf Auskunft über die verarbeiteten Daten, die Verarbeitungszwecke, die geplante Dauer der Speicherung und das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung. Basiert die Verarbeitung auf einer Einwilligung, ist sie auf das Recht auf Widerruf (für die Zukunft) hinzuweisen. Ferner auf das Beschwerderecht bei einer Aufsichtsbehörde.

Sofern eine automatisierte Entscheidungsfindung oder Profiling besteht, darf sie erfahren, welche Logik, Tragweite und Auswirkungen diese hat.

Sofern die Daten nicht bei der betroffenen Person selbst erhoben wurden, hat sie ein Recht auf Auskunft, woher diese Daten stammen. Dies gilt auch, wenn sie aus einer öffentlichen Quelle stammen. Sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, gibt es ein Recht auf Datenübertragbarkeit. Die betroffene Person hat ein Recht auf Übertragung ihrer Daten und kann sie in maschinenlesbarer Form verlangen. Sie kann auch verlangen, dass diese maschinenlesbaren Daten direkt von einem Anbieter zu einem anderen übermittelt werden, sofern das technisch machbar ist.

Die Anträge sollen unverzüglich, jedenfalls aber innerhalb eines Monats, bei komplexen Abfragen innerhalb von insgesamt drei Monaten bearbeitet werden. Über eine mögliche Fristverlängerung und ihre Gründe ist die betroffene Person innerhalb des ersten Monats zu informieren.

DSG NW: Das Datenschutzgesetz Nordrhein-Westfalen bestimmt eine Informationspflicht eines Daten Erhebenden gegenüber einer Erhebungsstelle auf Verlangen, sofern schutzwürdige Belange der Person nicht beeinträchtigt werden. Werden die Daten bei einer dritten Person oder einer nicht-öffentlichen Stelle dagegen aufgrund einer Rechtsvorschrift erhoben, die die dritte Person zur Auskunft verpflichtet, ist die Person oder Stelle auf diese Vorschrift hinzuweisen.

Die betroffenen Personen müssen nicht informiert werden, solange die Informationen Strafermittlungen u. ä. nicht gefährden, sie ohnehin geheim zu halten sind oder die Information der Betroffenen zivilrechtliche Ansprüche beeinträchtigen würde. Stammen die Daten von Polizei oder Nachrichtendiensten oder werden sie an diese übermittelt, müssen die Stellen vor der Information der Betroffenen gefragt werden. Das Auskunftsrecht ist dann ebenfalls eingeschränkt. Auch ein Datenleck muss hier nicht gemeldet werden. Das Auskunftsrecht besteht ebenfalls nicht, wenn Daten für wissenschaftliche, historische oder statistische Zwecke verarbeitet werden und die Zwecke damit unmöglich macht .

Weitere Informationen

Widerspruch, Einschränkung, Löschung - destruktive Rechte

Die betroffene Person hat ein Recht auf vollständige Löschung aller ihrer personenbezogenen Daten („Recht auf Vergessen werden“).

Der Verantwortliche ist außerdem verpflichtet, die Daten vollständig zu löschen, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden, die betroffene Person ihre Einwilligung widerruft, die ursprüngliche Rechtsgrundlage nicht mehr gültig ist, die betroffene Person Widerspruch nach Artikel 21 Absätze 1 oder 2 einlegt (Prominentenschutz, Direktmarketing), die Daten unrechtmäßig verarbeitet wurden (Nrn. 3, 4), die Löschung einer gesetzlichen oder vertraglichen Verpflichtung entspricht, oder sie von einem Kind unter 16 Jahren stammen.

Sofern die Daten bereits legal öffentlich gemacht wurden, muss der Verantwortliche alle Maßnahmen treffen, die Daten zu löschen und alle Datenverarbeiter darüber zu informieren, dass „eine“ (sic!) betroffene Person die Löschung verlangt hat. Ihr Name soll also tunlichst nicht genannt werden.

Die Daten müssen eingeschränkt werden, wenn Betroffene ihre Richtigkeit anzweifeln, die Verarbeitung unrechtmäßig ist, sie aber seitens der Betroffenen nicht gelöscht werden sollen, die Daten zur Durchsetzung eines Rechtsanspruchs benötigt werden oder ein Widerspruch nach Artikel 21 Abs. 1 eingelegt hat, die Anspruchsgrundlage aber nicht geklärt ist.

Eingeschränkte Daten dürfen nur mit Einwilligung der Betroffenen, zur Geltendmachung von Rechtsansprüchen oder im Öffentlichen Interesse verarbeitet werden.

Betroffene haben außerdem das Recht auf Widerspruch gegen eine Verarbeitung nach Artikel 6 Abs. 1 Buchstaben. e und f, wenn sich aus ihrer besonderen Situation (Prominentenstatus?) Gründe ergeben (Verarbeitung aus öffentlichem Interesse oder dem Interesse des Verantwortlichen), sofern ihre Interessen, Rechte und Freiheiten überwiegen.

Gegen Direktwerbung und Profiling dafür kann jederzeit Widerspruch eingelegt werden, was einen sofortigen Verarbeitungsstopp zur Folge hat. Auf diese Rechte muss die betroffene Person bei der ersten Kontaktaufnahme hingewiesen werden. Der Widerspruch kann auch durch automatisierte Verfahren erfolgen. Gegen die Datenverarbeitung für Wissenschaft, Forschung und Statistik kann ebenfalls Widerspruch eingelegt werden, sofern das öffentliche Interesse nicht überwiegt.

Steht ein zwingendes öffentliches Interesse einem Widerspruchsrecht entgegen, besteht es gegenüber der öffentlichen Stelle nicht.

Über die Rechte nach den Nrn. 6.1 und 6.2 wird die betroffene Person auf Verlangen informiert. Der Verantwortliche teilt die Wahrnehmung dieser Rechte allen Empfängern mit, sofern das möglich und vertretbar ist.

DSG NW: Wenn die Behörden verpflichtet sind, ihre Akten nach Abschluss des Verfahrens einem öffentlichen Archiv anzubieten, entfällt die Löschungsfrist. Ist die Löschung sehr aufwändig, kann auch anonymisiert werden.

Rechte auf Einschränkung und Widerspruch bestehen ebenfalls nicht, wenn Daten für wissenschaftliche, historische oder statistische Zwecke verarbeitet werden und die Zwecke unmöglich macht. Es besteht dann nicht einmal ein Recht auf Berichtigung.

Privacy by - die richtige Einstellung ab Werk

Privacy

Beschäftigtendatenschutz

Im Beschäftigungskontext (also bei Eingehung, Durchführung, Beendigung und Abwicklung eines Beschäftigungsverhältnisses) dürfen personenbezogene Daten von Bewerbern und Beschäftigten natürlich auch verarbeitet werden. Das gilt zum einen, wenn es dafür erforderlich dafür ist und zum anderen natürlich, wenn die Betroffenen eingewilligt haben. Auch eine Ermächtigung durch eine Vorschrift (auch eine Dienstvereinbarung) oder einen Vertrag (auch Tarifvertrag) besteht. Eine Verwendung zur Leistungskontrolle ist nicht erlaubt. Überhaupt dürfen Beurteilungen nicht ausschließlich auf diesen Daten beruhen.

Übermittelt werden dürfen diese Daten außerhalb des öffentlichen (also in den privaten) Bereichs nur, wenn der Empfänger ein rechtliches Interesse daran darlegt. An künftige Dienstherren (Beamte) oder Arbeitgeber (Angestellte) dürfen diese Daten nicht übermittelt werden, es sei denn, es liegt eine entsprechende Einwilligung der Betroffenen dafür vor.

Die Freiwilligkeit der Einwilligung ist im DSG NW für den Beschäftigungskontext besonders geregelt. Abhängigkeiten und Umstände müssen hier (wegen des Rechtsgefälles) besonders betrachtet werden. Von einer Freiwilligkeit ist auszugehen, wenn von Arbeitgeber und Arbeitnehmer „gleichgelagerte“ Interessen verfolgen (z. B. eine Einstellung oder auch eine Aufhebung). Dies gilt auch für das Verhältnis von Bürger und Staat, die sich nur bei einer notwendigen Einwilligung auf Augenhöhe begegnen. Wenn der betroffenen Person ein wirtschaftlicher oder rechtlicher Vorteil gewährt wird, sollte die Einwilligung freiwillig sein. Sie muss in jedem Fall schriftlich erfolgen und über den Zweck der Verarbeitung und das Widerrufsrecht ist aufzuklären.

Bezieht sich die Einwilligung auf besondere personenbezogene Daten, muss in der Einwilligung gesondert darauf hingewiesen werden. Die Verarbeitung ist nur erlaubt, wenn dadurch Rechte und Pflichten, die soziale Sicherheit oder der Sozialschutz ausgeübt werden können und die schutzwürdigen Interessen der Betroffenen nicht überwiegen.


Weitere Informationen

  • Das Zweckentfremden von Daten rechtfertigt eine fristlose Kündigung (15.01.2020).
  • Datenschutzbeauftragter-Info zum Zugriff des Arbeitgebers auf den Dienstrechner.
  • Die E-Mails eines ausgeschiedenen Mitarbeiters auf einem Dienstcomputer dürfen ausgelesen werden, da dort Aufträge oder Termine verborgen sein könnten. Beide liegt im "berechtigten Interesse" des Art. 6 Abs. 1 Bst. f EU-DSGVO.
  • Eine Internet-Recherche ("Background-Check") wurde in einem Urteil nicht gerügt, da es Unstimmigkeiten im Lebenslauf gab (grundsätzlich dürfen nur Daten verwertet werden, die im Beschäftigtenkontext veröffentlicht wurde (z. B. XING), nicht im privaten Kontext (z. B. soziale Netzwerke).
  • Umfangreiche private Nutzung des Internets auf beruflicher Hardware rechtfertigen eine Kündigung.
  • Checkliste Datenschutz bei ausscheidenden Mitarbeiter/-innen.
  • Krankmeldungen per WhatsApp dürfen vom Arbeitgeber nicht verlangt werden (Datenschutzpraxis, 16.06.2020).
  • An den Einsatz eines GPS-Ortungssystem für Dienstwagen werden strenge Maßstäbe angelegt (AG Lüneburg, 24.06.2020).
  • "Best-Practise" (Erfahrungsbericht) Home-Office (LDA Bayern, 29.06.2020).
  • Arbeitnehmer müssen Zeiterfassung per Fingerabdruck nicht dulden (LAG Berlin-Brandenburg, 07.09.2020).
  • Falsche oder verzögerte Auskunft des Arbeitgebers über gespeicherte Daten: 5.000.- € Schadensersatz! (ArbG Düsseldorf).
  • Betriebliches Eingliederungsmanagement (BEM) und Datenschutz.
  • Datenschutz bei der Zeiterfassung.

Technische und organisatorische Maßnahmen, Verarbeitungsverzeichnis, Datenschutzfolgenabschätzung – was die EDV können muss

T.O.M - Datensicherheit, Datensicherung, Kontrollen

Datensicherheit

Verantwortliche und Auftragsverarbeiter haben ein angemessenes Schutzniveau zu gewährleisten. Das schließt u. U. die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein, die Fähigkeit, Daten integer, vertraulich und verfügbar zu halten und belastbare Systeme einzusetzen.

Werden besondere Kategorien personenbezogene Daten verarbeitet, schreibt das DSG NW besondere Garantien zu ihrem Schutz vor:

  • Der EU-DSGVO entsprechende technische und organisatorische Maßnahmen
  • Die Erfassung, Änderung und Löschung muss protokolliert werden.
  • Die Beteiligten müssen sensibilisiert werden
  • Der Zugang muss (auch gegenüber dem Auftragsverarbeiter) beschränkt werden
  • Die Daten müssen anonymisiert oder wenigstens pseudonymisiert werden
  • Die Daten müssen verschlüsselt werden
  • Vertraulichkeit und Integrität müssen sichergestellt werden
  • Eine Datenwiederherstellung muss unverzüglich möglich sein
  • Die technischen und organisatorischen Maßnahmen müssen regelmäßig überprüft werden
  • Illegale Übermittlungen und Zweckänderungen müssen verhindert werden

Datensicherung

Verantwortliche und Auftragsverarbeiter sollen die Fähigkeit besitzen, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen.

In aller Regel ist dies durch ein (automatisches, aber kontrolliertes) Datensicherungsprogramm möglich. Die Medien, auf denen die Datensicherung erfolgt, sollten dabei natürlich gegen Vernichtung geschützt werden, also u. a. in einem anderen Brandabschnitt als die Server aufbewahrt werden.

Datensicherungsmedien sind vom „Recht auf Vergessen“ auch betroffen. Personenbezogene Daten, die gelöscht werden müssen, dürfen sich auch nicht mehr auf Datensicherungsmedien befinden.

Kontrollen

Verantwortliche und Auftragsverarbeiter sollen ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit aller Maßnahmen einsetzen.

Es sollen nur Personen eingesetzt werden, die personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Die Personen müssen geschult und sensibilisiert sein.

DSG NW: Die Unterlagen über die technischen und organisatorischen Maßnahmen unterliegen nicht dem IFG NW. Sie dürfen also aufgrund einer Anfrage nach Informationsfreiheit nicht übermittelt werden.

Weitere Informationen

Verarbeitungsverzeichnis - schreiben Sie auf, was Sie tun

Der Verantwortliche und jeder Auftragsverarbeiter (siehe Auftragsverarbeitung) erstellt ein Verzeichnis der Verarbeitungsvorgänge, das der Datenschutzbeauftragte fortführt.

...für Verantwortliche Dieses Verarbeitungsverzeichnis enthält

  • Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • die Kategorien der betroffenen Personen und die der personenbezogenen Daten
  • die Kategorien von Empfängern, denen die Daten offengelegt werden (in Drittländern)
  • Übermittlung von solchen Daten an ein Drittland
  • Löschfristen dieser Daten
  • technische und organisatorische Maßnahmen zum Schutz dieser Daten

...für Auftragsverarbeiter Auftragsverarbeiter zeigen dagegen nur an

  • Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Kategorien von Verarbeitungen dieser Daten
  • Übermittlung solcher Daten an ein Drittland
  • technische und organisatorische Maßnahmen zum Schutz dieser Daten

Praxis Während das frühere Verfahrensverzeichnis lediglich die Verfahren (Programme) aufzeichnen musste, die eingesetzt werden, geht das Verarbeitungsverzeichnis weiter. Unter einer Verarbeitung wird hier ein (Geschäfts-) Prozess verstanden. Damit müssen z. B. Kundenkontakte (über die Website aber auch tele-fonisch), Verkäufe, Akquisition oder Beschaffungen dokumentiert werden. Dies bietet u. a. die Chance, Geschäftsprozesse zu dokumentieren.

Das Verfahrensverzeichnis kann aber dennoch gute Dienste leisten. Es kann als Einstieg in die Antwort der Frage dienen, was denn mit den Daten in den Verarbeitungsprozessen passiert. Denn diese Daten werden sehr wahrscheinlich ja mit einem Programm verarbeitet. Maßgebliche Hilfe zur Ermittlung der eingesetzten (kostenpflichtigen!) Verfahren ist sicher eine Liste der bezahlten Rechnungen für die Programme, bzw. ein entsprechender Finanzplan.

Muster eines Eintrags in ein Verarbeitungsverzeichnis

Verantwortliche:		
Stadt NEUSTADT
Der Bürgermeister
Hauptstraße 1
00000 NEUSTADT
Tel. 0…

Datenschutzbeauftragter:	
Detlef Datenschutz
Stadt ALTSTADT
Hauptstraße 1
00000 ALTSTADT
Tel. 0….

Zweck der Verarbeitung:
___________________________________________________________________________

Betroffene Personen:
___________________________________________________________________________

Personenbezogene Daten:
___________________________________________________________________________

Empfänger der Daten:
(z. B. Kontaktdaten des kommunalen Rechenzentrums) 

Übermittlung außerhalb d. EU, Norwegens, Islands oder Liechtensteins:
___________________________________________________________________________

Daten werden gelöscht:
__ Jahre nach Abschluss des Verfahrens

Techn. u. org. Maßnahmen:
Datensicherung, Brand- und Wasserschutz, Integritätsprüfung, Klimatisierung, elektronische und physische Zugangskontrolle

Datenschutzfolgenabschätzung - schätzen Sie ein, was passieren könnte

In einer Datenschutzfolgenabschätzung (Rechtsquellen: Art. 35, EWG 84, 89-93, z. B. §24 DSG NW, hier mal DSFA abgekürzt) schätzen Sie die Folgen einer Verarbeitung für den Datenschutz ab. Eine DSFA kann grundsätzlich immer gemacht werden. Sie ist aber manchmal auch Pflicht (und muss dann auch vorzeigbar sein).

Eine DSFA ist Pflicht, wenn Sie

  • Daten automatisch bewerten wollen (z. B. "Scoring", also das Einsortieren der Kreditwürdigkeit von Bewohnern nach Stadtteil)
  • umfangreich personenbezogene Daten besonderer Kategorie verarbeiten wollen (Gesundheitsdatenbanken, Mitgliederlisten von Parteien etc.)
  • Personen systematisch überwachen wollen (also z. B. schon, wenn Sie eine Kamera auf den Marktplatz stellen)

Eine solche DSFA enthält wenigstens die folgenden Punkte

  • die Verarbeitungsvorgänge, deren Folgen abgeschätzt werden sollen (Was haben Sie genau vor?)
  • eine Gegenüberstellung von Notwendigkeit und Verhältnismäßigkeit in Bezug zum Zweck (Ist das angemessen?)
  • eine Abwägung der Risiken, die für die betroffenen Personen entstehen könnten (Was kann schlimmstenfalls passieren?)
  • und Abhilfen, die diese Risiken minimieren (Was tun Sie dagegen?)

Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutzfolgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn

  • natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
  • das Rechtsfolgen für diese Personen haben könnte oder
  • große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
  • öffentliche Bereiche systematisch überwacht werden sollen

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.


Eine DSFA enthält wenigstens

  • eine Beschreibung der geplanten Verarbeitungsvorgänge
  • eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
  • eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
  • Abhilfemaßnahmen, die die Risiken minimieren

Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren .

Eine DSFA soll nach nordrhein-westfälischem Recht nicht durchgeführt werden, wenn eine Verarbeitung von einer obersten Landesbehörde bereits durchgeführt wurde. Dabei muss die geprüfte Verarbeitung im Wesentlichen unverändert übernommen werden . Diese Landesbehörden können den öffentlichen Stellen die Ergebnisse zur Verfügung stellen.

Entwickelt eine öffentliche Stelle selbst ein Verfahren (Programmierung, Prozessplanung, Formulare), kann sie eine DSFA selbst durchführen. Übernehmende Behörden müssen das dann ebenfalls nicht mehr tun.

Marktplatz (Symbolbild)

Muster einer Datenschutzfolgenabschätzung

Die nachstehend beschriebene Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge. Es wird daher vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchgeführt.

⬜ Der Rat des Datenschutzbeauftragten wurde vorschriftsgemäß eingeholt.

Auslöser dieser Einschätzung ist

⬜ eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung gründet und die eine Rechtswirkung gegenüber natürlichen Personen entfaltet

⬜ eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 EU-DSGVO 

⬜ eine systematische Überwachung öffentlich zugänglicher Bereiche

Systematische Beschreibung der geplanten Verarbeitungsvorgänge:

___________________________________________________________________________

Bewertung von Notwendigkeit und Verhältnismäßigkeit:

___________________________________________________________________________

Bewertung der Risiken für Rechte und Freiheit natürlicher Personen:

___________________________________________________________________________

Abhilfemaßnahmen zur Bewältigung dieser Risiken:

___________________________________________________________________________

Weitere Informationen

Der Rechtsweg

Meldung an die Aufsichtsbehörde

Im Falle einer Datenschutzverletzung, welche zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt, „möglichst“ binnen 72 Stunden an die Aufsichtsbehörde. Anderenfalls ist ihr eine Begründung vorzulegen, warum diese Frist nicht eingehalten wurde. Das gleiche gilt für Auftragsverarbeiter in Bezug auf den Verantwortlichen.

Eine solche Meldung umfasst zu mindestens die folgenden Informationen

  1. Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Wahrscheinliche Folgen der Verletzung
  4. Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

Diese Informationen können auch schrittweise, also bei neuen Erkenntnissen, zur Verfügung gestellt werden. Der Verantwortliche erstellt eine Dokumentation der Verletzung und Auswirkungen, die der Aufsichtsbehörde eine Überprüfung auf Einhaltung des Artikels 33 ermöglicht.

Der Verantwortliche benachrichtigt auch die betroffenen Personen, wenn die Verletzung ein hohes Risiko für Rechte und Freiheiten der Betroffenen erzeugt, in klarer und einfacher Sprache. Diese Benachrichtigung enthält wenigstens die in den Ziffern 2 – 4 genannten Angaben dieses Abschnitts.

Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet.

Wichtig ist übrigens, die räumlich richtige Aufsichtsbehörde zu konsultieren. In einem Fall versuchte die belgische Datenschutzbehörde die irische Niederlassung eines weltweiten Konzerns zu maßregeln. Der Europäische Gerichtshof sieht jedoch die ausschließliche Zuständigkeit bei der irischen Datenschutzbehörde.

Regelmäßig kontaktieren die Aufsichtsbehörden die Beschuldigten aus dokumentarischen Gründen schriftlich. In einzelnen Fällen ist es ihr aber erlaubt mit Hilfe der Polizei Akten einzusehen.

Weitere Informationen

Klage und Verjährung

  • Datenschutzverstöße verjähren nach 3 - 5 Jahren.
  • Bußgelder gegen Mitarbeiter nur sind möglich, wenn diese selbst Verantwortliche sind (also eigenverantwortlich Daten verarbeitet haben).
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Bis 100.000.- € ist das Amtsgericht zuständig, darüber hinaus das Landgericht.
  • Die Übersendung der Akten erfolgt an die Staatsanwaltschaft, die sie nach Prüfung auf Einstellung (nicht ohne Zustimmung der erlassenden Datenschutzbehörde) an das Strafgericht übersandt.
  • Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

Geldbußen und Verjährungsfristen:

  • Höchstmaß der Strafe > 15.000.- € = 3 Jahre
  • Höchstmaß der Strafe > 2.500.- € = 2 Jahre
  • Höchstmaß der Strafe > 1.000.- € = 1 Jahr
  • ansonsten = 6 Monate

Bußgelder