Was ist Datenschutz?

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Wenn im räumlichen Anwendungsbereich der EU-DSGVO
  • Die Verarbeitung findet innerhalb der EU statt oder in Norwegen, Island oder Liechtenstein
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
  • also nach dem 28.05.2018, 0:00 Uhr
personenbezogene Daten
  • Personenbezogenen sind Daten, durch die eine natürliche Person direkt oder mit Hilfe von Datenquellen eindeutig identifiziert werden kann
  • Ton- und Bildaufnahmen sind personenbezogene Daten
oder besondere Kategorien personenbezogener Daten
  • Daten über rassische oder ethnische Herkunft
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen
  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch Gemeinsam Verantwortliche geben
  • Auftragnehmer ohne diese Entscheidungsfähigkeit dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden.
dies rechtmäßig,
  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei Seuchen))
      • berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist)
    • Verträge
      • deren Teil der Betroffene ist
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen
    • eine Einwilligung der Betroffenen
zweckgebunden,
  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht
minimiert,
  • Es dürfen nur Daten verarbeitet werden, die für den Zweck unbedingt notwendig sind.
transparent,
  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft
mit richtigen Daten,
  • Betroffene haben ein Recht auf Korrektur ihrer Daten
zeitlich begrenzt,
  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
integer und vertraulich,
  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • besondere Kategorien personenbezogener Daten verarbeitet werden
    • personenbezogene Daten in großem Umfang verarbeitet werden
    • und systematisch das Verhalten natürlicher Personen überwacht wird
nach Treu und Glauben und
  • Nach herrschender Meinung in anständiger und fairer Weise.
nachweisen können,
  • Verantwortliche müssen ein Verarbeitungsverzeichnis führen
    • wenn es sich um Behörden handelt
  • Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
eine Klage erhoben,
oder eine Strafe verhängt werden kann.