Hauptseite

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Portrait FW.jpg

Herzlich Willkommen auf meiner Seite!

Mein Name ist FRANK WERNER, ich bin staatlich geprüfter Informatiker und Behördlicher Datenschutzbeauftragter für Leichlingen (Rheinland), Overath und Odenthal. Ich möchte Ihnen hier Informationen zum DATENSCHUTZ anbieten. Sofern Sie in "meinen" drei Kommunen arbeiten oder wohnen, können Sie mich gerne auch für konkrete Fragen persönlich kontaktieren. Andere Anfragen kann und darf ich leider nicht beantworten.

Aktuelles

Einführung in die EU-DSGVO

Inhaltsverzeichnis

Sachliche und räumliche Zuständigkeit – für wen gilt die EU-DSGVO?

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) - über was reden wir hier eigentlich?

Beschlussorgan der EU-DSGVO: Parlament der EU

Dies hier ist ein Text über die Europäische Datenschutzgrundverordnung. Hinter diesem Wortungetüm steckt ein Gesetz der Europäischen Union (EU), das am 25.05.2016 verkündet wurde und am 25.05.2018 voll in Kraft trat.

Die Datenschutzgrundverordnung ist aber ein besonderes Gesetz. Normalerweise müssen Gesetze der EU in nationales Recht umgesetzt werden. Einem EU-Gesetz, das allgemeine Regelungen enthält, muss also ein nationales Gesetz folgen, das speziellere Regelungen enthält. Das ist bei der EU-DSGVO nicht der Fall. Sie gilt direkt, Wort für Wort.

Die EU-DSGVO gilt seit dem 25. Mai 2018 und steht also sozusagen über den nationalen Gesetzen. Sie verbietet die Verarbeitung personenbezogener Daten grundsätzlich, erklärt aber natürlich Ausnahmen davon. Welche Daten schützt die Verordnung? Nun, eigentlich schützt sie keine Daten. Sie schützt Menschen. Denn Ausgangspunkt allen Datenschutzes ist die informelle Selbstbestimmung.

MERKE: Datenschutz schützt keine Daten sondern Menschen.

Wer Daten anderer Menschen verwendet, der muss daher bestimmte Regeln einhalten. Darüber hinaus kann jeder natürlich seine eigenen Daten verarbeiten wie er Lust hat. Sie sind sein Eigentum. Es empfiehlt sich, Daten als so etwas wie Geld zu betrachten. Auch beim Umgang mit dem Geld anderer Leute muss man sich an Regeln halten.

Sie denken jetzt vermutlich (oder haben es gehört), dass Sie eine immense Menge an Arbeit investieren müssen, um der neuen EU-DSGVO zu genügen. Glauben Sie das nicht. Vermutlich müssen Sie gar nicht viel tun. Die EU-DSGVO wurde nämlich dem deutschen Datenschutzrecht nach empfunden und enthält sehr viele Regelungen, die wir schon lange kennen.

Genau genommen müssen Sie vielleicht

  1. die Einwilligungen prüfen, die Sie bisher erhalten haben
  2. die Datenschutzerklärungen prüfen, die Sie bisher abgegeben haben
  3. die Verträge prüfen, die Sie mit Auftragsverarbeitern geschlossen haben
  4. anstelle eines Verfahrensverzeichnisses jetzt ein Verarbeitungsverzeichnis führen
  5. eine Datenschutzfolgenabschätzung abgeben
  6. einen Datenschutzbeauftragten ernennen

Diese Punkte sind von oben nach unten aber ansteigend unwahrscheinlich. In den meisten Fällen gelten die bisherigen Dokumente weiter, wenn sie noch der EU-DSGVO entsprechend. Genau das gilt es zu prüfen und genau dazu können Sie diesen Text benutzen.

Sachliche Anwendbarkeit - in welchen Fällen können wir die EU-DSGVO anwenden?

Die Frage, ob die EU-DSGVO auf den aktuellen Fall angewandt werden kann, ist in Artikel 2 Absatz 1 beantwortet:

EU-DSGVO: Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 EU-DSGVO)
Privatleben: hier gilt die EU-DSGVO i. d. R. nicht

Das Bundesdatenschutzgesetz gilt für Privatleute und alle Firmen. Ausnahmen sind die persönliche und familiäre Datenverarbeitung. Die EU-DSGVO schützt alle Bürger der EU bei nicht-privater Datenverarbeitung. Private Datenverarbeitung wie Adressbücher, Fotoalben oder Einladungen sind keine Datenverarbeitung für die EU-DSGVO.

ACHTUNG: in Handys gespeicherte Daten gehen in der Regel an den Anbieter von Handys (Apple) oder Software (Google) oder Netzen (Vodafone, Telekom etc.). Sie ist dann nicht mehr privat und streng genommen müssen Sie Ihre Kontakte fragen, ob sie sie speichern oder gar übertragen dürfen.

Wichtig für die Beurteilung, ob eine Datenverarbeitung unter die EU-DSGVO fällt, ist

  1. ob die Daten automatisiert verarbeitet werden oder
  2. ob die Daten "in einem Dateisystem" gespeichert sind oder
  3. ob die Daten "in einem Dateisystem" gespeichert werden sollen

Damit ist also - wir werden es öfter bemerken - so ziemlich alles abgedeckt, was an Daten in "Dateisystemen" oder "automatisch" verarbeitet wird. Die Frage ist bei Gesetzen immer, was genau damit gemeint ist. Zum Glück definiert die EU-DSGVO auch ziemlich genau, was sie meint. Und zwar im Artikel 4 "Begriffsbestimmungen".

Unter Artikel 4, Nummer 6 finden wir also die "Begriffsbestimmung" (Definition, Erklärung) von "Dateisystem":

DEFINITION: "Dateisystem" jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; (Art. 4 Nr. 6 EU-DSGVO)

Ist die EU-DSGVO auf Ihren Fall sachlich anwendbar? Dann prüfen Sie als nächstes die

anderenfalls prüfen Sie die

Räumliche Anwendbarkeit - wo überall gilt die EU-DSGVO?

Die EU-DSGVO gilt in ganz Europa. Und zwar in jedem Land der Europäischen Union. Außerdem haben sich noch drei Staaten, die nicht der EU angehören, freiwillig dazu verpflichtet, diese EU-DSGVO anzuwenden. Ungeachtet der Tatsache, dass sie alle in Europa liegen, nennt man diese Staaten "NIL-Staaten", weil es sich um

  • Norwegen
  • Island
  • Liechtenstein

handelt, deren Namen sich zu dem schönen Kürzel NIL zusammensetzen und leichter merken lassen.

Hier gilt überall die EU-DSGVO: EU, Norwegen, Island, Liechtenstein (außer der Schweiz und der Türkei)

Das Bundesdatenschutzgesetz gilt darüber hinaus in Deutschland für alle Privatpersonen und Unternehmen. Es gibt eine alte Fassung (abgekürzt: BDSG aF), die bis zum 25.05.2018 galt und es gibt eine neue Fassung (BDSG nF), die ab dem 25.05.2018 gilt. Der Gesetzgeber hat also gerade noch die Kurve gekriegt. Was ist wann anzuwenden? Nun, das ist einfach. Behandeln Sie einen Verstoß, der nachweislich vor dem 25.05.2018 passierte, nutzen Sie die alte Fassung, ansonsten die neue. In einem Rechtstaat dürfen Sie nämlich nur nach Gesetzen beurteilt werden, die während der Tat schon galten. DAvon können sich manche Staaten eine Scheibe abschneiden.

Die Landesdatenschutzgesetze gelten für die Behörden des jeweiligen Landes und für die Kommunen in diesem Land.

Und die EU-DSGVO? Schauen wir einfach nach:

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 EU-DSGVO).

Wir erfahren, dass die EU-DSGVO auf alle Datenverarbeitungen immer anwendbar ist, wenn der Verantwortliche wenigstens eine Niederlassung (oder den Hauptsitz) innerhalb der EU hat. Facebook, Twitter und Google sind hier also betroffen, auch wenn die Rechenzentren in den USA stehen.

Sollte alles außerhalb der EU stehen, gilt die EU-DSGVO aber vielleicht trotzdem:

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten,
unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(Art. 3. Abs. 2 EU-DSGVO)

Sollen also die Daten von Personen innerhalb der EU (nicht unbedingt nur EU-Bürger, auch Touristen, Asylbewerber etc.) verarbeitet werden, ist die EU-DSGVO ebenso anwendbar ("Marktortprinzip").

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Nehmen sich Firmen außerhalb der EU einen Sitz, findet die Datenverarbeitung nicht in der EU statt und werden obendrein noch Daten von Personen verarbeitet, die sich nicht in der EU befinden, ist die EU-DSGVO dennoch anwendbar. Dieses "Kaugummi-Prinzip" soll den größtmöglichen Datenschutz liefern.

Fassen wir zusammen. Die EU-DSGVO ist zuständig, wenn

  • die Verarbeitung für eine Tätigkeit in der EU stattfindet,
  • von einem Verarbeiter ausgeführt wird, der sich in der EU niedergelassen hat
  • oder für einen Verarbeiter, der dem Recht eines Mitgliedsstaates unterworfen ist.

Personenbezogene Daten und Verarbeitung – worum geht es genau?

Sind alle Daten geschützt? Nein, nur bestimmte Daten sind geschützt: personenbezogene Daten!

Personenbezogene Daten - wenn Ihre Daten Sie verraten!

Im Sinne dieser Verordnung bezeichnet der Ausdruck [...] "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; 

Als "natürliche Personen" bezeichnet der Jurist Menschen. Firmen, Vereine u. a. Organisationen sind dabei "juristische Personen".

Mit personenbezogenen Daten kann man also eine natürliche Person direkt oder mit Hilfe anderer Daten eindeutig identifizieren. Dazu gehören natürlich Namen und Adressen aber auch Auto-Kennzeichen oder einfach aufgenommene Gesichter.

Maßgeblich dabei ist, ob es prinzipiell möglich wäre, jemanden mit den Daten zu identifizieren. Das ist bei dem Gesicht von Bekannten sicher kein Problem. Bei einem unbekannten Autokennzeichen allerdings schon. Denn dann müsste man das Zulassungsregister zu Hilfe nehmen. Möglich wäre es aber trotzdem.

Man unterscheidet (ohne weitere Auswirkungen) zwischen direkter und indirekter Identifikation. Können Sie eine Person sofort anhand der vorliegenden Daten (eindeutig) erkennen, ist sie identifiziert. Benötigen Sie dazu Hilfe, ist sie identifizierbar.

Wichtig ist auch die Erwähnung von Merkmalen. Wenn man bestimmte, vielleicht einzigartige Eigenschaften einer Person beschreibt, kann es sich schon um personenbezogene Daten handeln. So könnte bereits eine besondere Narbe oder ein besonderes Muttermal eine Person identifizieren.

Besondere Kategorien personenbezogener Daten - wenn es wirklich ans Eingemachte geht

NSA-Skandal 2013: Radome in Bayern

Alle Daten sind gleich. Es gibt jedoch Daten, die "gleicher" als andere sind. Das sind sensible Daten, durch die man Menschen diskriminieren oder gar schädigen könnte. Außerdem berühren sie einen höchstpersönlichen Bereich, der nicht entgegen ihrem Willen öffentlich werden soll.

Die Daten sind abschließend im Art. 9 aufgeführt. Es sind also genau diese und keine anderen Daten.

Personenbezogene Daten über

  • Ethnie und Herkunft,
  • Politik und Gewerkschaft,
  • religiöse oder weltanschauliche Überzeugungen,
  • Genetik oder Biometrik
  • oder das Sexualleben

sind „Besondere Kategorien personenbezogener Daten“ und besonders geschützt.

Wenn Sie eine Einwilligung der Betroffenen brauchen, müssen Sie beachten, dass eine einfach Einwilligung nicht ausreichr. Über die Anforderungen an eine Einwilligung hinaus muss z. B. für die Zwecke der Verarbeitung – sofern eingewilligt wurde - „ausdrücklich“ eingewilligt werden. Das Wort "ausdrücklich" sollte dort am Besten auch stehen.

Die Verarbeitung muss erforderlich (!) sein, und zwar im Bereich des Arbeitsrechtes oder dem Recht der sozialen Sicherheit. Das gilt über Einwilligung und/oder Gesetz hinaus.

Der Schutz lebenswichtiger Interessen kann ein Erlaubnisgrund sein, wenn die Eigentümer der Daten nicht in der Lage sind, einzuwilligen. Dies könnte z. B. für Schwerverletzte gelten, die nicht mehr bei Bewusstsein sind.

Daten verarbeiten - was mit Daten so alles gemacht werden kann

Verarbeitet werden Daten, wenn sie Daten

  • erheben, erfassen, auslesen, abfragen (also sich beschaffen)
  • organisieren, ordnen, speichern, anpassen, verändern (also umgewandelt werden)
  • verwenden, offenlegen, verbreiten (den Standort wechseln)
  • abgleichen, verknüpfen (ausgewertet werden)
  • einschränken, löschen, vernichten (unbrauchbar gemacht werden).

Erhebung und Datenschutzerklärung – was muss man wann erklären?

Formular, Website, Kamera - was alles eine Erhebung ist

Manche glauben, eine Datenerfassung finde statt, wenn Leute mit Zettel und Bleistift in der Fußgängerzone herumlaufen und ihnen Fragen stellen. Das ist im Computerzeitalter nicht mehr zeitgemäß. Manche (böse Zungen behaupten: dieselben) Leute fragen sich auch, warum z. B. Websites eine Datenschutzerklärung besitzen müssen, obwohl dort ja nur etwas abgerufen wird.

Mustergültiges Schild zur Videoüberwachung

Man könnte sich den Begriff der Datenerhebung als Erzeugung von digitalen Daten vorstellen. Die Daten, die auch schon vor dem Computerzeitalter existiert haben, wie z. B. die Größe eines Menschen, werden bei einer Erhebung "digitalisiert". Speichert man diese erhobenen Daten auch noch ab, werden sie erfasst.

Das erwähnte Formular, mit denen man Sie z. B. in der Fußgängerzone nervt, ist natürlich eine Datenerhebung. Wenn Sie aber bei Ihrem Wocheneinkauf eine Kamera streifen, ist das ebenfalls eine Erhebung. Deshalb muss in der Nähe der Kamera - und zwar idealerweise bevor Sie ihren Aufnahmebereich betreten, eine Datenschutzerklärung aushängen.

Und wenn Sie "nur" im Internet surfen? Dann werden auch Daten von Ihnen erhoben. Zwar müssen Sie nirgends einen Namen eingeben, um z. B. eine Seite aufzurufen. Im Hintergrund wird aber die IP-Adresse, eine eindeutige, Ihrem Computer weltweit einmalig zugeordnete Adresse, auf dem Computer gespeichert, der die Seite ausliefert.

Datenschutzerklärung - was alles so erklärt werden muss

Werden Daten irgendwelcher Kategorien erstmals erhoben (oder erstmals an die Verantwortlichen übermittelt), ist eine Datenschutzerklärung abzugeben, in der aufgeführt ist, wer, ggf. mit welchem Datenschutzbeauftragten, warum, aufgrund welcher Berechtigungen oder Interessen die Daten verarbeitet. Werden diese Daten übermittelt, ist der Empfänger anzugeben. Bei Übermittlungen ins Nicht-EU-Ausland zusätzlich die Rechtsgrundlage der Übermittlung.

So eine Datenschutzerklärung kann so aussehen:

DATENSCHUTZERKLÄRUNG
Verantwortlicher.......: Schummel GmbH
Datenschutzbeauftragter: Anton Ahnungslos
Zweck..................: Verkauf von Schuhen
Grundlage..............: Berechtigtes Interesse
Übermittlung an........: Schuh Marketing "Tritt ihn" GmbH

Sie kann aber auch (empfehlenswerter) als Fließtext ausgegeben werden:

Die Schummel GmbH verarbeitet Ihre Daten zum Zweck des Verkaufs von Schuhen auf der Grundlage ihres berechtigten Interesses. Sie übermittelt Ihre Daten an die Firma Schuh Marketing "Tritt Ihn" GmbH. Datenschutzbeauftragter ist Anton Ahnungslos.

Anfrage - was Sie noch drauf haben müssen

Auf Anfrage hat der verantwortliche Verarbeiter Informationen bereitzustellen über die Dauer der Speicherung (oder Kriterien für die Dauer) und die Rechte der Betroffenen (siehe oben) informieren. (A2, EWG 14-21, A3, EWG 22-25, § 5 DSG NW, § 1 BDSG)

Sofern die Dateneigentümer in die Verarbeitung eingewilligt haben, muss das Recht auf Widerruf dieser Einwilligung genannt werden. Der Widerruf gilt stets für die Zukunft, nicht für die Vergangenheit (Für die Vergangenheit siehe "Recht auf Vergessenwerden").

Zweckänderung und Übermittlung – was man mit vorhandenen Daten machen darf

Zweckänderung - wenn Sie mit den Daten etwas anderes vor haben

Falls weder Gesetz noch Einwilligung vorliegen:

  • Verbindung,
  • Zusammenhang und Verhältnis zwischen den Zwecken berücksichtigen,
  • Folgen der Verarbeitung,
  • Garantien durch Verschlüsselung und Pseudonymisierung prüfen,
  • Informationspflicht (A13A3 u. A14A4, A6A4, EWG 32, 40-50, 55, 56, § 9 DSG NW).

Datenübermittlungen innerhalb und zwischen öffentlichen Stellen - wenn Daten auf Reisen gehen

Die EU-DSGVO regelt die Übermittlung von Daten innerhalb einer öffentlichen Stelle oder zwischen öffentlichen Stellen nicht im Speziellen.

DSG NW: Das Datenschutzgesetz Nordrhein-Westfalen regelt dagegen die Einrichtung eines automatisierten Übermittlungsverfahrens und die regelmäßige Datenübermittlung innerhalb einer oder zwischen öffentlichen Stellen wie zuvor auch. Sie ist zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erfolgt.

Die obersten Landesbehörden dürfen eine Verordnung erlassen, die diese Übermittlungen erlaubt. Dies ist bisher allerdings nicht geschehen.

Die Verantwortung für die Zulässigkeit einer solchen Datenübermittlung trägt die ersuchende Stelle. Die übermittelnde Stelle prüft dagegen nur, ob die Übermittlung im Rahmen der Aufgaben des Empfängers liegt. Weitere Prüfungen erfolgen nur, sofern hierzu im Einzelfall Anlass besteht. Die ersuchende Stelle muss für die Prüfung erforderliche Angaben machen.

Bei einem automatischen Abruf trägt die Verantwortung der Empfänger.

Datenbestände, die jedermann zur Benutzung offen stehen oder veröffentlicht werden dürften (Open Data) fallen natürlich nicht unter diese Beschränkungen .

DSG NW: Die Verantwortung der Zulässigkeit einer Datenübermittlung öffentlicher an private Stellen trägt die übermittelnde Stelle. Auf die folgenden Voraussetzungen ist die private Stelle hinzuweisen!

Sie ist nur zulässig, wenn

  • sie zur Aufgabenerfüllung der übermittelnden Stelle erforderlich ist und
  • die Verarbeitung nach § 3 DSG rechtmäßig und nach § 9 DSG zweckgebunden ist und
  • die private Stelle ein berechtigtes Interesse an den Daten glaubhaft darlegt und
  • die schutzwürdigen Belange der Betroffenen nicht überwiegen oder
  • die Daten zur Geltendmachung rechtlicher Ansprüche erforderlich sind und
  • der Dritte sich gegenüber der übermittelnden Stelle verpflichtet, die Zweckbindung zu erfüllen

Eine Verarbeitung zu anderen Zwecken ist aber zulässig, wenn auch eine Übermittlung zu diesem Zweck zulässig wäre und die übermittelnde Stelle zugestimmt hat.

Für besondere personenbezogene Daten ist darüber hinaus notwendig, wenn die Person eingewilligt hat, dadurch ihr Arbeitsrecht und ihren Sozialschutz ausüben kann, lebenswichtige Interessen der Person sie erforderlich machen, sie diese Daten selbst veröffentlicht hat oder die Übermittlung den anderen Anforderungen des Artikel 9 Absatz 2 der EU-DSGVO entspricht.

Datenübermittlungen in Nicht-EU-Länder

Sind Länder gemeint, die nicht zur EU gehören, spricht die EU-DSGVO von „Drittländern“. Datenübermittlungen innerhalb der EU sind nicht geregelt und daher grundsätzlich zulässig.

Jede Übermittlung in Drittländer ist dagegen nur zulässig, wenn die Bedingungen der DSGVO eingehalten werden. Das durch die DSGVO gewährte Schutzniveau darf nicht unterschritten werden.

Die EU-Kommission beschließt für jedes Land die Angemessenheit des Datenschutzes (Angemessenheitsbeschluss). Eine Übermittlung in solche Länder bedarf keiner weiteren Genehmigung.

Besteht kein Angemessenheitsbeschluss, darf nur übermittelt werden, wenn Verantwortliche und Auftragsverarbeiter geeignete Garantien im Sinne der Verordnung vorgesehen haben oder natürlich wieder eine entsprechende Einwilligung (Nr. 5) vorliegt.

Beispiel: Eine Übertragung personenbezogener Daten außerhalb der EU kann schon stattgefunden haben, wenn Adressen in Mobiltelefonen verwaltet werden. Die Anbieter von Betriebssystemen dieser Telefone verraten i. d. R. nicht, wo genau ihre Daten gespeichert werden. Es ist daher möglich, dass die in einem Handy eingetragenen Kontakte zusätzlich in einem Rechenzentrum in den USA gespeichert werden. Das gilt auch für „Cloud-Speicher“, also im Internet verfügbaren Speicherplatz, sowie „YouTube-Videos“.

  • nur durch Angemessenheitsbeschluss,
  • Garantien notwendig (Unterrichtungsrecht n. A46!,A15A2),
  • gem. Datenschutzvorschriften (A44 - A49, EWG 101-115, §§ 6 - 8 DSG NW, § 25 BDSG).

Jetzt sagen Sie bloß nicht, dass Sie nie Daten in die Welt versenden, denn...

ACHTUNG: Die Nutzung von Computern und Smartphones kann auch eine Übermittlung außerhalb der EU bedeuten!

Weitere Informationen

Rechtmäßigkeit und Einwilligung – Wann ist die Verarbeitung in Ordnung?

Erlaubnisvorbehalt - eigentlich ist alles verboten

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Allerdings definiert die Datenschutzgrundverordnung natürlich Ausnahmen. Ansonsten wären dieser und andere Texte schlicht überflüssig.

Der Unterschied zwischen

"Es ist alles erlaubt, was nicht verboten ist"

und

"Es ist alles verboten, was nicht erlaubt ist"

ist gewaltig.

Besteht nämlich für irgendeinen Bereich keine Regelung, kommt es darauf an, welcher der beiden Sätze gilt. In einem freien Rechtsstaat würde der erste Satz gelten, in einer Diktatur wohl eher der zweite.

Möchten Sie Ihre Meinung über einen Politiker öffentlich äußern, überlegen Sie besser, in welcher Art Staat Sie gerade unterwegs sind. In Rechtsstaaten gibt es i. A. kein Gesetz, dass das regelt. Sie dürfen Ihre Meinung also frei äußern. In restriktiven Staaten sollten Sie vorsichtiger sein. Jedenfalls, wenn Sie weiterlesen wollen.

Rechtliche Verpflichtung und Interessen - wenn Sie nicht anders können

So ist die Verarbeitung nur erlaubt, wenn ein Gesetz die Verarbeitung erlaubt. Sie ist auch erlaubt, wenn sie Teil eines Vertrages ist oder Erfüllung einer rechtlichen Verpflichtung eines Verantwortlichen erforderlich ist. Ferner ist sie erlaubt, wenn lebenswichtige Interessen einer natürlichen Person zu schützen sind. Öffentliches oder ein so genanntes berechtigtes Interesse kann auch die Verarbeitung erlauben.

Die Einwilligung - wenn Sie einverstanden sind

Die Einwilligung ist die "Green Card" unter den Berechtigungen. Grob gesagt kann man zu allem einwilligen. Sie muss aber bestimmte Voraussetzungen erfüllen, damit auch klar ist, auf was sich der Dateneigentümer alles einlässt.

  • Jede Einwilligung muss jederzeit nachweisbar und leicht zugänglich sein.
  • Sie muss in einer klaren und einfachen Sprache abgefasst sein.
  • Die einzuwilligenden Sachverhalte müssen klar zu unterscheiden sein.

Jede Einwilligung kann widerrufen werden, stoppt die Verarbeitung aber erst ab dem Zeitpunkt des Widerrufs. Ein Widerruf "Ich bin mit nichts einverstanden, was Sie bisher mit meinen Daten gemacht haben" ist nicht möglich (Verantwortliche sind ja keine Zeitreisenden).

Die Einwilligenden müssen hierüber vor der Einwilligung informiert sein. Der Widerruf muss so einfach sein wie die Einwilligung. Einwilligungen dürfen natürlich nur freiwillig abgegeben werden. Dabei darf die Einwilligung nicht mit Leistungen gekoppelt werden (Kopplungsverbot).

ACHTUNG: Kinder unter 16 können nicht selbst einwilligen. Hier muss ein „Träger elterlicher Gewalt“ (ein
Erziehungsberechtigter) einwilligen. Das Bundesdatenschutzgesetz senkt diese Grenze auf 13 Jahre, nicht aber die Landesdatenschutzgesetze!

Rechte der Betroffenen und Auskünfte – was jeder über sich erfahren darf

Die EU-DSGVO gibt den Betroffenen eine Menge Rechte. Diese Rechte können allerdings eingeschränkt werden.

Auskunft, Berichtigung, Übertragung - Ihre konstruktiven Rechte als Betroffene

Die Betroffenen haben ein Recht auf

  • Auskunft über die Datenverarbeitung
  • Berichtigung von falschen Daten
  • Übertragung der Daten an eine beliebige Stelle

Das heißt nichts weniger als dass Sie verlangen können zu erklären, was genau mit Ihren Daten passiert (siehe auch Datenschutzerklärung). Die Auskunft ist für Sie zunächst mal kostenlos, wenn Sie die Anzahl der Anfragen nicht übertreiben.

Entdecken Sie nach einer Auskunft, dass die Verantwortlichen mit falschen Daten hantieren, können Sie eine Berichtigung verlangen. Mit falschen Daten darf niemand arbeiten.

Außerdem können Sie - NEU! - verlangen, dass man Ihre Daten an eine von Ihnen benannte Stelle überträgt. Das muss zwar technisch möglich sein, die meisten heutigen Programme verfügen aber über eine so genannte "Exportfunktion". Oft können die Daten auch online übertragen werden. Bei einer "Cloud" (Google Drive etc.) müssen die Verantwortlichen natürlich darauf achten, dass die Daten außerhalb der EU übertragen werden könnten.

Weitere Informationen

Einschränkung, Widerspruch, Löschung - wenn es Ihnen zu bunt wird

  • Sollten eine Verarbeitung unklar sein, können Sie verlangen, dass die Verarbeitung eingeschränkt wird.
  • Grundsätzlich können Sie einer Verarbeitung widersprechen
  • Wollen Sie gar keine Verarbeitung mehr, können Sie die Löschung beauftragen.
  • Eine Löschung bedeutet, dass alle Ihre Daten restlos verschwinden. Das gilt für alle Computer und auch die Datensicherung, auf der sich vielleicht noch eine Kopie befindet. Die Verantwortlichen müssen Sie "vergessen" können.

Dieses Recht zu gewährleisten entspricht ein dem Risiko angemessenes Schutzniveau.

Auskunft, Berichtigung, Vergessen, Verarbeitungseinschränkung (inkl. Mitteilungspflicht), Datenübertragbarkeit, Widerspruch, Automatisierte Entscheidungen 2 , Beschränkungen der Rechte sind möglich (A15 - A23, EWG 63-73, §§ 32 - 37 BDSG).

Datenschutzbeauftragter - wer für Sie aufpasst

Wenn Sie 20 Mitarbeiter/-innen haben, die mit personenbezogenen Daten arbeiten, brauchen Sie einen Datenschutzbeauftragten. Zur Verarbeitung reicht es schon aus, wenn sie mit E-Mails arbeiten oder Webseiten auswerten. Am einfachsten rechnen Sie jeden Arbeitsplatz dazu, der mit einem Computer arbeitet.

Wenn Sie weniger als 20 Mitarbeiter/-innen haben, aber umfangreiche Verarbeitung von personenbezogenen Daten besonderer Kategorie vornehmen, brauchen Sie ebenfalls einen Datenschutzbeauftragten. Verarbeiten Sie also beispielsweise Gesundheitsdaten (wie Apotheken, Arztpraxen), genetische oder ethnische Daten (Forschungsinstitute) oder die Daten von politischen Parteien oder Gewerkschaften, müssen Sie jemanden ernennen.

Behörden müssen übrigens immer einen Datenschutzbeauftragten ernennen!

Datenschutzbeauftragter kann werden, wer die EU-DSGVO anwenden kann (oder vielleicht diesen Text als Grundlage nimmt). Weitere Voraussetzungen gibt es nicht. Interessenskonflikte müssen natürlich vermieden werden. EDV-Leute können keine Datenschutzbeauftragten werden, da sie ja überwacht werden müssen. Das gleiche gilt für Verantwortliche.

Der Datenschutzbeauftragte ist wegen seiner Tätigkeit nicht kündbar (wegen anderer Vergehen aber natürlich schon). Das gilt bis zu einem Jahr nach dem Ende seiner Tätigkeit.

Weitere Informationen

Verantwortliche - der den Hut auf hat

  • Verantwortlich ist, wer über Zwecke und Mittel der Datenverarbeitung bestimmt (z. B. Auswahl der Software).
  • Hat ein Dritter Einfluss auf die Datenverarbeitung, ist er Gemeinsam Verantwortlicher.
  • Datenverarbeitende Produkte (Apps, Programme, Webseiten) müssen datenschutzrechtlich aufgebaut werden ("Privacy by Design").
  • Diese Produkte müssen ohne weitere Einstellungen bei Inbetriebnahme datenschutzsicher sein ("Privacy by Default").
  • Hierzu sind alle technischen und organisatorischen Maßnahmen zu ergreifen.

Rechtmäßige Auftragsverarbeitung - wer was darf

Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.

Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.

Auswahl des Auftragsverarbeiters: nach Eignung zur Verarbeitung gem. EU-DSGVO

Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.

Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:

  • Verarbeitung nur aufgrund dokumentierter Weisung
  • Vertraulichkeitsverpflichtung
  • Sicherheit
  • weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
  • Support des Verantwortlichen
  • Löschung aller Daten nach dem Ende der Auftragsverarbeitung
  • Inspektionen
  • Weisungsprüfung

Weitere Informationen

Beschäftigtendatenschutz

Im Beschäftigungskontext (also bei Eingehung, Durchführung, Beendigung und Abwicklung eines Beschäftigungsverhältnisses) dürfen personenbezogene Daten von Bewerbern und Beschäftigten natürlich auch verarbeitet werden. Das gilt zum einen, wenn es dafür erforderlich dafür ist und zum anderen natürlich, wenn die Betroffenen eingewilligt haben. Auch eine Ermächtigung durch eine Vorschrift (auch eine Dienstvereinbarung) oder einen Vertrag (auch Tarifvertrag) besteht. Eine Verwendung zur Leistungskontrolle ist nicht erlaubt. Überhaupt dürfen Beurteilungen nicht ausschließlich auf diesen Daten beruhen.

Übermittelt werden dürfen diese Daten außerhalb des öffentlichen (also in den privaten) Bereichs nur, wenn der Empfänger ein rechtliches Interesse daran darlegt. An künftige Dienstherren (Beamte) oder Arbeitgeber (Angestellte) dürfen diese Daten nicht übermittelt werden, es sei denn, es liegt eine entsprechende Einwilligung der Betroffenen dafür vor.

Die Freiwilligkeit der Einwilligung ist im DSG NW für den Beschäftigungskontext besonders geregelt. Abhängigkeiten und Umstände müssen hier (wegen des Rechtsgefälles) besonders betrachtet werden. Von einer Freiwilligkeit ist auszugehen, wenn von Arbeitgeber und Arbeitnehmer „gleichgelagerte“ Interessen verfolgen (z. B. eine Einstellung oder auch eine Aufhebung). Dies gilt auch für das Verhältnis von Bürger und Staat, die sich nur bei einer notwendigen Einwilligung auf Augenhöhe begegnen. Wenn der betroffenen Person ein wirtschaftlicher oder rechtlicher Vorteil gewährt wird, sollte die Einwilligung freiwillig sein. Sie muss in jedem Fall schriftlich erfolgen und über den Zweck der Verarbeitung und das Widerrufsrecht ist aufzuklären.

Bezieht sich die Einwilligung auf besondere personenbezogene Daten, muss in der Einwilligung gesondert darauf hingewiesen werden. Die Verarbeitung ist nur erlaubt, wenn dadurch Rechte und Pflichten, die soziale Sicherheit oder der Sozialschutz ausgeübt werden können und die schutzwürdigen Interessen der Betroffenen nicht überwiegen.


Weitere Informationen

  • Das Zweckentfremden von Daten rechtfertigt eine fristlose Kündigung (15.01.2020).
  • Datenschutzbeauftragter-Info zum Zugriff des Arbeitgebers auf den Dienstrechner.
  • Die E-Mails eines ausgeschiedenen Mitarbeiters auf einem Dienstcomputer dürfen ausgelesen werden, da dort Aufträge oder Termine verborgen sein könnten. Beide liegt im "berechtigten Interesse" des Art. 6 Abs. 1 Bst. f EU-DSGVO.
  • Eine Internet-Recherche ("Background-Check") wurde in einem Urteil nicht gerügt, da es Unstimmigkeiten im Lebenslauf gab (grundsätzlich dürfen nur Daten verwertet werden, die im Beschäftigtenkontext veröffentlicht wurde (z. B. XING), nicht im privaten Kontext (z. B. soziale Netzwerke).
  • Umfangreiche private Nutzung des Internets auf beruflicher Hardware rechtfertigen eine Kündigung.
  • Checkliste Datenschutz bei ausscheidenden Mitarbeiter/-innen.

Privacy, Verarbeitungsverzeichnis und Datenschutzfolgenabschätzung – was noch fehlen könnte

Privacy by - die richtige Einstellung ab Werk

MERKE: Privacy by Design = Maximaler Datenschutz schon beim Konstruieren/Programmieren!
MERKE: Privacy by Default = Maximaler Datenschutz schon bei (erster) Inbetriebnahme!

Weitere Informationen

Verarbeitungsverzeichnis - erklären Sie, was Sie tun

Wenn Sie Daten verarbeiten, müssen Sie eine Liste führen, was Sie mit den Daten regelmäßig so anstellen. Dieses Verzeichnis hieß früher "Verfahrensverzeichnis", da Verwaltungsmenschen und Juristen Programme auch gern als "Verfahren" bezeichnen. Das ist überflüssig geworden, denn es enthielt ja nur eine Liste von Programmen, die eigentlich nicht viel aussagte.

Das neuere Verarbeitungsverzeichnis muss ein paar Pflichtangaben enthalten:

  • Verantwortliche
  • Zweck
  • Betroffene
  • Daten
  • Empfänger,
  • Übermittlungen
  • Löschfristen
  • Technische und organisatorische Maßnahmen
  • Für Auftragsverarbeiter zusätzlich Verarbeitungen

Rechtsquellen sind Art. 30, EWG 82, § 53 DSG NW.

Ein Eintrag in ein solches Verzeichnis könnte folgendermaßen aussehen. Es sollen "Knöllchen" (Verwarnungsgelder für Parksünder) erfasst und verarbeitet werden:

Verantwortlicher.........................: Stadt Düsendorf
Zweck....................................: Verkehrsraumüberwachung
Betroffene...............................: Fahrzeughalter, deren Fahrzeug auf dem Rheinparkplatz steht
Daten....................................: Kennzeichen, Ort, Datum, Fahrzeug, Haltername und -anschrift
Empfänger................................: Rechenzentrum Flinkstadt
Übermittlungen...........................: Abends an das Rechenzentrum zur weiteren Verarbeitung
Löschfristen.............................: 4 Wochen nach Zahlung
Technische und organisatorische Maßnahmen: Offline-Erfassungsgeräte, Datensicherung, Zugangsschutz

Natürlich können Sie die Daten der oder des Verantwortlichen nur einmal aufführen. Für jede Verarbeitung (abgeschlossener Verarbeitungsprozess) muss allerdings ein Eintrag vorhanden sein.

Datenschutzfolgenabschätzung - schätzen Sie ab, was passieren kann

In einer Datenschutzfolgenabschätzung (Rechtsquellen: Art. 35, EWG 84, 89-93, z. B. §24 DSG NW, hier mal DSFA abgekürzt) schätzen Sie die Folgen einer Verarbeitung für den Datenschutz ab. Eine DSFA kann grundsätzlich immer gemacht werden. Sie ist aber manchmal auch Pflicht (und muss dann auch vorzeigbar sein).

Eine DSFA ist Pflicht, wenn Sie

  • Daten automatisch bewerten wollen (z. B. "Scoring", also das Einsortieren der Kreditwürdigkeit von Bewohnern nach Stadtteil)
  • umfangreich personenbezogene Daten besonderer Kategorie verarbeiten wollen (Gesundheitsdatenbanken, Mitgliederlisten von Parteien etc.)
  • Personen systematisch überwachen wollen (also z. B. schon, wenn Sie eine Kamera auf den Marktplatz stellen)

Eine solche DSFA enthält wenigstens die folgenden Punkte

  • die Verarbeitungsvorgänge, deren Folgen abgeschätzt werden sollen (Was haben Sie genau vor?)
  • eine Gegenüberstellung von Notwendigkeit und Verhältnismäßigkeit in Bezug zum Zweck (Ist das angemessen?)
  • eine Abwägung der Risiken, die für die betroffenen Personen entstehen könnten (Was kann schlimmstenfalls passieren?)
  • und Abhilfen, die diese Risiken minimieren (Was tun Sie dagegen?)

Ein Beispiel:

Marktplatz (Symbolbild)


Verarbeitungsvorgänge: Aufnehmen des Marktplatzes 24 Stunden/Tag durch eine aufzeichnende Kamera
Gegenüberstellung....: Zwar werden viele Menschen aufgenommen, es gibt aber immer wieder Schlägereien mit Schwerverletzten
Abwägung.............: Das Gut "Gesundheit" ist höher zu bewerten als das Recht auf informelle Selbstbestimmung
Abhilfe..............: Die Bänder werden nach 1 Woche ungesehen (!) gelöscht und nur im Schadensfall herangezogen.

Technische und organisatorische Maßnahmen – was die EDV können muss

Datensicherheit

Verantwortliche und Auftragsverarbeiter haben ein angemessenes Schutzniveau zu gewährleisten. Das schließt u. U. die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein, die Fähigkeit, Daten integer, vertraulich und verfügbar zu halten und belastbare Systeme einzusetzen.

Werden besondere Kategorien personenbezogene Daten verarbeitet, schreibt das DSG NW besondere Garantien zu ihrem Schutz vor:

  • Der EU-DSGVO entsprechende technische und organisatorische Maßnahmen
  • Die Erfassung, Änderung und Löschung muss protokolliert werden.
  • Die Beteiligten müssen sensibilisiert werden
  • Der Zugang muss (auch gegenüber dem Auftragsverarbeiter) beschränkt werden
  • Die Daten müssen anonymisiert oder wenigstens pseudonymisiert werden
  • Die Daten müssen verschlüsselt werden
  • Vertraulichkeit und Integrität müssen sichergestellt werden
  • Eine Datenwiederherstellung muss unverzüglich möglich sein
  • Die technischen und organisatorischen Maßnahmen müssen regelmäßig überprüft werden
  • Illegale Übermittlungen und Zweckänderungen müssen verhindert werden

Datensicherung

Verantwortliche und Auftragsverarbeiter sollen die Fähigkeit besitzen, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen.

In aller Regel ist dies durch ein (automatisches, aber kontrolliertes) Datensicherungsprogramm möglich. Die Medien, auf denen die Datensicherung erfolgt, sollten dabei natürlich gegen Vernichtung geschützt werden, also u. a. in einem anderen Brandabschnitt als die Server aufbewahrt werden.

Datensicherungsmedien sind vom „Recht auf Vergessen“ auch betroffen. Personenbezogene Daten, die gelöscht werden müssen, dürfen sich auch nicht mehr auf Datensicherungsmedien befinden.

Vertrauen ist gut - warum Kontrolle besser ist

Verantwortliche und Auftragsverarbeiter sollen ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit aller Maßnahmen einsetzen.

Mehr Schutz der Daten: Terminal mit zentraler Verarbeitung

Es sollen nur Personen eingesetzt werden, die personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten.

DSG NW: Die Unterlagen über die technischen und organisatorischen Maßnahmen unterliegen nicht dem IFG NW. Sie dürfen also aufgrund einer Anfrage nach Informationsfreiheit nicht übermittelt werden.

Datensicherheit, also den Schutz der Daten vor fremden Zugriff, ist jetzt Vorschrift. Jetzt fragen Sie sich sicher, wie Sie denn einen PC vor Zugriff am besten schützen. Die Antwort ist leider: nur sehr schwer. Wenn Sie alle Ihre Daten auf der Festplatte eines PC haben und Ihnen brennt die Hütte ab, sind die Daten futsch. Vielleicht haben Sie glücklicherweise eine Kopie aller Daten außerhalb des PC (Datensicherung), aber unglücklicherweise befand sich diese im selben Gebäude und ist auch futsch. Vielleicht brannte es gar nicht. Vielleicht gab es einen Wasserschaden. Vielleicht brach jemand ein.

Sie merken: der PC ist keine gute Idee (mehr). Das Halten der Daten vor Ort (dezentrale Datenhaltung) sollte heute eigentlich nicht mehr vorkommen. Dezentrale Datenhaltung können Sie vermeiden, in dem Sie externe Server benutzen, also Computer, die Speicher- und andere Dienste anbieten und mit denen Sie sich verbinden können. Das kann Ihr eigener Server sein, der dann vielleicht - mehrfach vorhanden - in einem anderen Brandabschnitt steht und gesondert gesichert ist.

Möglich wäre auch

  • das Betreiben Ihres Servers in einem speziell gesicherten Rechenzentrum (Server Housing)
  • das Anmieten eines (virtuellen) Servers in einem speziell gesicherten Rechenzentrum (Server Hosting)
  • das Anmieten einer Website
  • die berühmt-berüchtigte Nutzung von Diensten ohne festen Server (Cloud Computing)

Weitere Informationen

Folgen - was passiert, wenn...

Rechtliche Folgen eines rechtmäßigen Falls

  • Datenschutzrecht ist allgemeines Recht, dem Spezialrecht vor geht!
  • Im Falle eines datenschutzrechtlich rechtmäßigen Falles sind in jedem Fall weitere Gesetze zu prüfen!
  • Bei der Frage der Rechtmäßigkeit von Abbildern ist z. B. auch das Kunsturhebergesetz zu berücksichtigen!

Rechtliche Folgen eines unrechtmäßigen Falls

  • Ob sich Wettbewerber gegenseitig abmahnen dürfen, ist nach wie vor unklar.
  • Die unrechtmäßige Verarbeitung personenbezogener Daten ist auch dann strafbar, wenn die Daten nicht missbraucht wurden (ArbG Siegburg, Urteil v. 15.1.2020, 3 Ca 1793/19).
  • § 32 des Datenschutzgesetzes Nordrhein Westfalens bestimmt, dass gegen Behörden keine Bußgelder verhängt werden.
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Bis 100.000.- € ist das Amtsgericht zuständig, darüber hinaus das Landgericht.
  • Die Übersendung der Akten erfolgt an die Staatsanwaltschaft, die sie nach Prüfung auf Einstellung an das Strafgericht übersandt.
  • Für die Einstellung eines Verfahrens benötigt die Staatsanwaltschaft die Zustimmung der erlassenden Datenschutzbehörde.
  • Datenschutzverstöße verjähren i. d. R. nach drei Jahren.
  • Beispielhafte Bußgelder aus Brandenburg.
  • Das Klagerecht liegt bei Datenschutzbehörden und Betroffenen.
  • Auch bei Missständen darf man nicht auf eigene Faust ermitteln.

Meldung an die Aufsichtsbehörde

Im Falle einer Datenschutzverletzung, welche zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt, „möglichst“ binnen 72 Stunden an die Aufsichtsbehörde. Anderenfalls ist ihr eine Begründung vorzulegen, warum diese Frist nicht eingehalten wurde. Das gleiche gilt für Auftragsverarbeiter in Bezug auf den Verantwortlichen.

Eine solche Meldung umfasst zu mindestens die folgenden Informationen

  1. Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Wahrscheinliche Folgen der Verletzung
  4. Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

Diese Informationen können auch schrittweise, also bei neuen Erkenntnissen, zur Verfügung gestellt werden. Der Verantwortliche erstellt eine Dokumentation der Verletzung und Auswirkungen, die der Aufsichtsbehörde eine Überprüfung auf Einhaltung des Artikels 33 ermöglicht.

Der Verantwortliche benachrichtigt auch die betroffenen Personen, wenn die Verletzung ein hohes Risiko für Rechte und Freiheiten der Betroffenen erzeugt, in klarer und einfacher Sprache. Diese Benachrichtigung enthält wenigstens die in den Ziffern 2 – 4 genannten Angaben dieses Abschnitts.

Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet.

Die Bußgelder umfassen nach einem Beschluss der Datenschutzkonferenz (DSK) Tagessätze zwischen 972.- € und 1,25 Mio €.

Prüfschema Datenschutz

  1. Anwendbarkeit der EU-DSGVO
    1. Sachliche Anwendbarkeit - kann die EU-DSGVO auf einen Fall angewandt werden?
      1. Findet eine ganz, teilweise oder nicht-automatisierte Verarbeitung statt?
      2. Findet keine ausschließlich persönliche oder familiäre Datenverarbeitung ("Haushaltsprivileg") statt?
      3. Bewegt sich der Sachverhalt nicht außerhalb des EU-Rechts, oder im Bereich der Strafverfolgung/Strafvollzug?
    2. Räumliche Anwendbarkeit - findet der Sachverhalt im Anwendungsbereich der EU-DSGVO statt?
      1. Liegt der Marktort innerhalb der EU?
      2. Hat der Verantwortliche wenigstens eine Niederlassung innerhalb der EU?
      3. Untersteht der Verantwortliche dem Recht eines EU-Staates?
    3. Sind personenbezogene Daten im Sachverhalt betroffen?
      1. Direkte Identifizierung
      2. Indirekte Identifizierung
      3. Besondere Kategorien personenbezogener Daten
  2. Prüfung auf Verarbeitung
    1. Findet eine Übermittlung statt?
      1. Übermittlungen innerhalb der EU zwischen Behörden und Bürgern
      2. Übermittlungen innerhalb der EU zwischen Behörden
      3. Übermittlungen außerhalb der EU
    2. Soll eine Zweckänderung vorgenommen werden?
    3. Findet eine sonstige Verarbeitung statt?
  3. Prüfung auf Rechtmäßigkeit
    1. Ist die Datenverarbeitung Teil einer vertraglichen Verpflichtung?
    2. Ist die Datenverarbeitung Teil einer rechtlichen Verpflichtung?
    3. Findet die Datenverarbeitung aus einem berechtigtem Interesse statt?
  4. Liegt eine Einwilligung vor?
    1. Kann die Einwilligung nachgewiesen werden?
    2. Erfüllt die Einwilligung die formellen Anforderungen?
    3. Erfüllt die Einwilligung die Anforderungen an die Freiwilligkeit?
  5. Erstellung notwendiger Dokumente
    1. Findet eine Erhebung von Daten statt, so dass eine Datenschutzerklärung notwendig wird?
    2. Muss ein Verarbeitungsverzeichnis erstellt werden?
    3. Muss eine Datenschutzfolgenabschätzung abgegeben werden?
  6. Werden besondere Kategorien personenbezogener Daten verarbeitet?
    1. Verarbeitung besondere Kategorien personenbezogener Daten
    2. Einwilligung für besondere Kategorien personenbezogener Daten
    3. Dokumente für besondere Kategorien personenbezogener Daten
  7. Sind die Betroffenenrechte gewahrt?
    1. Auskunft, Berichtigung, Übertragbarkeit der Verarbeitung
    2. Einschränkung, Widerruf, Löschung der Verarbeitung
    3. Einschränkung von Benutzerrechten
  8. Muss ein Datenschutzbeauftragter ernannt werden?
    1. Benennung und Eignung eines Datenschutzbeauftragten
    2. Aufgaben und Funktionen eines Datenschutzbeauftragten
    3. Abberufung und Rücktritt eines Datenschutzbeauftragten
  9. Prüfung der Verantwortlichkeiten
    1. Gibt es gemeinsam Verantwortliche?
    2. Findet eine Auftragsverarbeitung statt?
    3. Besonderheiten im Beschäftigtendatenschutz
  10. Datenschutz und Technik
    1. Technische und organisatorische Maßnahmen
    2. Privacy by Design
    3. Privacy by Default
  11. Folgen von Prüfungsergebnissen
    1. Müssen andere datenschutzrelevante Gesetze geprüft werden?
    2. Muss eine Meldung an die Aufsichtsbehörde erfolgen?
    3. Wie hoch sind die zu erwartenden Bußgelder?

Links

Programme (Windows, Beta)

  • KURT - Programm zur Prüfung der Korruptionsvorbeugung (Version 18.06.2020)
  • EUGEN - Programm zur Prüfung von Datenschutzfällen (Version 24.06.2020)