Wann ist eine Datenverarbeitung datenschutzkonform?

Wenn

  • im sachlichen und räumlichen Geltungsbereich der EU-DSGVO
  • personenbezogene Daten oder
  • besondere Kategorien personenbezogener Daten
  • von Verantwortlichen oder
  • im Auftrag
  • verarbeitet werden,

so muss dies

  • rechtmäßig und nach Treu und Glauben,
  • nachvollziehbar,
  • ausschließlich für vorher festgelegte Zwecke,
  • auf das notwendige Maß minimiert,
  • sachlich richtig und auf dem neuesten Stand,
  • auf das Notwendigste begrenzt,
  • integer und vertraulich,
  • sowie nachweisbar

erfolgen.

Die EU-DSGVO gilt seit dem 25.05.2018. Die EU-DSGVO ist unmittelbar geltendes Recht. Der EU-DSGVO widersprechendes Recht ist seit dem 25.05.2018 ungültig.

Eine Verarbeitung muss nicht nur rechtmäßig sein, sondern auch nachvollziehbar, zweckgebunden, minimalisiert, begrenzt, vertraulich, nachweisbar. Die Daten müssen richtig und aktuell sein.

Mit diesem Prüfschema lassen sich alle Aspekte der EU-DSGVO ansatzweise abprüfen. Detailliertere Informationen finden Sie in den erwähnten Rechtsquellen am Ende jeden Absatzes.

  1. Ist die EU-DSGVO sachlich anwendbar?

Ja, wenn nicht persönliche oder familiäre DV von lebenden natürlichen Personen (A2, EWG 14-21).

  • Ist die EU-DSGVO räumlich anwendbar?

Ja, wenn Verarbeitung für eine Tätigkeit in der EU, Verarbeiter in der EU niedergelassen, Verarbeiter einem Mitgliedsstaat rechtlich unterworfen oder Bürger innerhalb der EU betroffen sind (A3, EWG 22-25, § 5 DSG NW, § 1 BDSG).

  • Geht es um personenbezogene Daten?

Ja, wenn natürliche Personen sind eindeutig direkt oder indirekt identifizierbar sind (A4N1, EWG 26-37).

  • Findet eine Verarbeitung[1] statt?

Ja, wenn Daten Erhebung[2], Erfassung, Organisation, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegung durch Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung (A4N2, EWG 26-37).

  • Existiert eine Rechtsgrundlage für diese Verarbeitung?

Ja, wenn Gesetz, Vertrag, öffentliche Gewalt, öffentliches oder „berechtigtes“ (außer Behörden) Interesse, sonst Einwilligung[3] notwendig (A5, A6, EWG 39, § 3 DSG NW).

  • Werden die Betroffenenrechte ermöglicht?

Auskunft, Berichtigung, Vergessen, Verarbeitungseinschränkung (inkl. Mitteilungspflicht), Datenübertragbarkeit, Widerspruch, Automatische Entscheidungen (nicht bei **BPD**), Beschränkungen der Rechte (A15 – A23, EWG 63-73, §§ 32 – 37 BDSG).

  • Liegt eine Zweckänderung vor?

(Falls weder Gesetz noch Einwilligung vorliegen: Verbindung, Zusammenhang und Verhältnis (**BPD**) zwischen den Zwecken berücksichtigen, Folgen der Verarbeitung, Garantien durch Verschlüsselung/Pseudonymisierung prüfen, Informationspflicht (A13A3 u. A14A4, A6A4, EWG 32, 40-50, 55, 56, § 9 DSG NW).

  • Findet eine Übermittlung ins EU-Ausland statt?

Angemessenheitsbeschluss, Garantien (Unterrichtungsrecht n. A46!, A15A2), gem. Datenschutzvorschriften (A44 – A49, EWG 101-115, §§ 6 – 8 DSG NW, § 25 BDSG).

  • Werden Daten im Auftrag verarbeitet?

Auswahl nach Eignung zur Verarbeitung gem. EU-DSGVO, Verarbeitung nur aufgrund dokumentierter Weisung, Vertraulichkeitsverpflichtung, Sicherheit, weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag, Support des Verantwortlichen, Löschung nach Verarbeitung, Inspektionen, Weisungsprüfung (A28, EWG 81).

  1. Ist ein Datenschutzbeauftragter ernannt oder nicht erforderlich?

BDSG: 10 (demnächst 20) Angestellten o. umfangreicher Verarbeitung von **BPD**, Behörden immer (A37, EWG 97, § 38 BDSG, § 31 DSG NW).

  1. Ist ein Verarbeitungsverzeichnis rechtmäßig oder nicht erforderlich?

Verantwortliche, Zweck, Betroffene, Daten, Empfänger, Übermittlungen, Löschfristen, TOM, Auftragsverarbeiter: zus. Verarbeitungen, Pflicht ab 249 MA oder bei **BPD** (A30, EWG 82, § 53 DSG NW).

  1. Ist eine Datenschutzfolgenabschätzung rechtmüßig oder nicht erforderlich?

Bei automatischer Bewertung, umfangreicher Verarbeitung von **BPD** o. systematischer Überwachung! Verarbeitungsvorgänge, Notwendigkeit- und Verhältnismäßigkeit im Bezug zum Zweck, Risikoabwägung, Abhilfen für Risiken (A35, EWG 84, 89-93, §24 DSG NW).

  1. Ist eine Meldung an die Aufsichtsbehörde notwendig?

Art der Schutzverletzung, Kategorien betroffener Daten, Anzahl der Betroffenen, Anzahl der Datensätze, Kontaktdaten des Datenschutzbeauftragten, Folgen der Verletzung, Maßnahmen, Dokumentationen (DSFA, VAVZ, DSB, Auftrag, DSE) mitsenden.

A => Die Datenverarbeitung ist rechtmäßig => Andere Rechtsquellen ebenfalls prüfen!

B => Die Datenverarbeitung ist nicht rechtmäßig => Meldung an Aufsichtsbehörde erwägen!

C => Die EU-DSGVO ist nicht anwendbar => Andere Rechtsquellen prüfen!


[1] Besondere Kategorien personenbezogener Daten („BPD“, Daten über Rasse, Ethnie, Politik, Religion, Gewerkschaft, Genetik, Biometrik, Gesundheit, Sexualleben, sexuelle Ausrichtung, Verarbeitung nur durch Personal mit Schweigepflicht, A9, EWG 51-56, § 16 DSG NW, § 22 BDSG)

[2] Datenschutzerklärung notwendig (Erhebende und Empfänger: Verantwortliche, Datenschützer, Zwecke, Rechtsgrundlagen, Empfänger. Ferner: Speicherdauer, Beschwerderecht, Widerspruchsrecht, Folgen einer Verweigerung , automatische Auswertung, nur Empfänger: Quelle, **BPD**, A13, A14, EWG 60-62, §§ 11 – 14 DSG NW)

[3] Einwilligung notwendig (wenn keine sonstige Rechtsgrundlage! Nachweisbarkeit, klare einfache Sprache, einzelne Sachverhalte aufführen, in **BPD** ausdrücklich einwilligen, Widerrufsmöglichkeit, Freiwilligkeit, Abhängigkeit zwischen VA und BP beachten, A7, EWG 32, 33, 42, 43, § 51 BDSG)