Inhaltsverzeichnis
1 Wenn im räumlichen Anwendungsbereich der EU-DSGVO
2 und im sachlichen Anwendungsbereich der EU-DSGVO
3 und im zeitlichen Anwendungsbereich der EU-DSGVO
4 personenbezogene Daten
5 oder besondere Kategorien personenbezogener Daten
6 verarbeitet werden,
7 dann müssen die Verantwortlichen
8 oder ihre Auftragsverarbeiter
9 dies aufgrund einer Rechtsgrundlage
10 oder einer informierten Einwilligung der Betroffenen
11 unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
12 unter Wahrung der Rechte der Betroffenen,
13 zweckgebunden,
14 minimiert,
15 transparent,
16 mit den korrekten Daten,
17 zeitlich begrenzt,
18 integer und vertraulich,
19 nach Treu und Glauben durchführen
20 und dabei technische und organisatorische Maßnahmen ergreifen
21 und das alles nachweisen können
22 und möglicherweise Folgen abschätzen
23 weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
24 eine Klage erhoben,
25 und eventuell eine Strafe verhängt
26 oder Schadensersatz verlangt werden kann.
Wenn im räumlichen Anwendungsbereich der EU-DSGVO
Art. 3 EU-DSGVO
Die Verarbeitung findet innerhalb der EU statt
oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
oder die Verantwortlichen unterliegen EU-Recht
oder die Verantwortlichen haben ihren Hauptsitz
oder wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
Art. 2 EU-DSGVO
und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
Art. 99 Abs. 2 EU-DSGVO
findet also nach dem 28.05.2018, 0:00 Uhr statt
also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
personenbezogene Daten
Art. 4 EU-DSGVO
Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
eine oder mehrere natürliche Personen
direkt oder mit Hilfe von weiteren Datenquellen
eindeutig
identifiziert werden kann.
Juristische Personen genießen keinen Datenschutz
Das kann bei Ein-Mensch-Firmen anders sein!
Verstorbene genießen auch keinen Datenschutz
Das Interesse der Hinterbliebenen kann aber relevant sein.
oder besondere Kategorien personenbezogener Daten
Art. 9 EU-DSGVO
Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
politische Meinungen oder Gewerkschaftszugehörigkeit
religiöse oder weltanschauliche Überzeugungen
genetische, biometrische oder gesundheitliche Daten
Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
Art. 4 Nr. 2 EU-DSGVO
erhoben (z. B. Daten werden von Betroffenen erfragt)
erfasst (z. B. Daten werden gespeichert)
empfangen (z. B. Daten werden von anderen Stellen übermittelt)
ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
abfragen (z. B. Daten werden von anderen Stellen angefordert)
organisiert (z. B. Daten werden anders sortiert)
geordnet (z. B. Daten werden reindiziert)
angepasst (z. B. Daten werden übersetzt)
verwendet (z. B. Adressen bei Serienbriefen)
abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
verknüpft (z. B. mit anderen Datenbeständen koordiniert)
offengelegt (z. B. in sozialen Netzen gepostet)
übermittelt (z. B. an andere Stellen gesendet)
verbreitet (z. B. ins Internet gestellt)
bereitgestellt (z. B. zum Abruf in die Cloud)
eingeschränkt (z. B. aus der Bearbeitung genommen)
gelöscht (z. B. wieder herstellbar verschoben)
vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen
Art. 24, 26 u. 27 EU-DSGVO
Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
Es kann auch gemeinsam Verantwortliche geben
die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
oder ihre Auftragsverarbeiter
Art. 28 EU-DSGVO
auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
Gegenstand der Verarbeitung
Dauer der Verarbeitung
Art der Verarbeitung
Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Rechte und Pflichten der Verantwortlichen
Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
dies aufgrund einer Rechtsgrundlage
Art. 5 EU-DSGVO
Rechtsgrundlagen sind
Interessen
lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
Verträge, Vorverträge oder vorvertragliche Verhandlungen
deren Beteiligte die Betroffenen sind
Gesetze
materieller Art (also z. B. keine Satzungen)
oder in Ausübung öffentlicher Gewalt
die der Staat oder damit Beliehene ausüben dürfen
oder einer informierten Einwilligung der Betroffenen
Art. 6 u. 7 EU-DSGVO
Einwilligung ist immer möglich und immer gültig
Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
Einwilligung nur für jeweils einen Sachverhalt möglich
Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
Einwilligende müssen "informiert" sein!
Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
Art. 9 EU-DSGVO
Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
Die Betroffenen haben die Daten selbst öffentlich gemacht.
Die Verarbeitung ist im Bereich von Gerichten erforderlich.
Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
Verarbeitung zum Zwecke der
Gesundheitsvorsorge,
Arbeitsmedizin,
Beurteilung der Arbeitsfähigkeit,
medizinische Diagnostik,
Versorgung oder Behandlung im Gesundheitsbereich,
Schutz vor Pandemien o. ä.,
archivarische, wissenschaftliche oder historische Zwecke
Verarbeitende unterliegen einer Geheimhaltungspflicht
unter Wahrung der Rechte der Betroffenen,
Art. 16 - 19 EU-DSGVO
konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
destruktive Rechte (Widerspruch, Einschränkung, Löschung)
deskriptive Rechte (Auskunft, Mitteilungen)
zweckgebunden,
Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
Zu berücksichtigen sind
Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
Zusammenhängen der Erhebung der Datenbestände
Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
Folgen der neuen Verarbeitung
Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
minimiert,
Art. 5 Abs. 1 Bst. c EU-DSGVO
Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
transparent,
Art. 13 u. 14 EU-DSGVO
Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
Betroffene haben ein Recht auf Auskunft
mit den korrekten Daten,
Betroffene haben ein Recht auf Korrektur ihrer Daten
Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)
zeitlich begrenzt,
Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.
integer und vertraulich,
Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
es sich bei den Verantwortlichen um Behörden handelt
oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
oder besondere Kategorien personenbezogener Daten verarbeitet werden
oder personenbezogene Daten in großem Umfang verarbeitet werden
oder systematisch das Verhalten natürlicher Personen überwacht wird
nach Treu und Glauben durchführen
Nach herrschender Meinung in anständiger und fairer Weise.
Englischer Begriff: "fairness".
und dabei technische und organisatorische Maßnahmen ergreifen
Art. 25 u. 32 EU-DSGVO
Datensicherung (Erzeugen von redundanten Datenbeständen)
Datensicherheit (Wahrung der Integrität der Datenbestände)
Datenzugriff (Schutz vor unberechtigtem Zugriff)
und das alles nachweisen können
Art. 30 EU-DSGVO
Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
wenn es sich um Behörden handelt
oder um private Stellen,
die mehr als 249 Beschäftigte haben
deren Verarbeitung nicht nur gelegentlich erfolgt
oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
das mindestens folgendes enthält:
Name und Kontaktdaten des Verantwortlichen,
der gemeinsam Verantwortlichen und der Vertreter,
sowie ggf. der Auftragsverarbeiter
Name und Kontaktdaten des Datenschutzbeauftragten
die Zwecke der Verarbeitung
die Kategorien betroffener Personen und Daten
die Kategorien von Empfängern (auch in Drittländern)
Übermittlungen an ein Drittland
Fristen für die Löschung der Daten
technische und organisatorische Maßnahmen zum Schutz der Daten
und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
und möglicherweise Folgen abschätzen
Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
neue Technologien verwendet werden (Data Mining, Profiling, KI)
voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
Art (regelmäßig Profiling)
Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
Umstände (systematische Überwachung)
Zwecke
der Verarbeitung dies verursachen könnte.
Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
Beschreibung von Verarbeitungsvorgängen
Beschreibung von Zwecken
Beschreibung von Interessen
Bewertung von Notwendigkeit und Verhältnismäßigkeit
Bewertung von Risiken für Rechte und Freiheiten und
die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).
weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
Die Meldung
soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
enthält Kontaktdaten der Datenschutzbeauftragten
enthält wahrscheinliche Folgen der Verletzung
enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Der Verantwortliche benachrichtigt auch die betroffenen Personen
eine Klage erhoben,
Die Verjährungsfrist beträgt drei bis fünf Jahre.
Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
die sie nach Prüfung auf Einstellung
nicht ohne Zustimmung der erlassenden Datenschutzbehörde
an das Strafgericht übersandt.
und eventuell eine Strafe verhängt
Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
Bußgelder werden gegen jeden Verantwortlichen verhängt.
Mitarbeiter können allerdings auch verantwortlich sein (Vorsatz, Fahrlässigkeit).
Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landgericht.
Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
oder Schadensersatz verlangt werden kann.
Schmerzensgeld ist auch möglich.