Was ist Datenschutz?: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
; Wenn im räumlichen Anwendungsbereich der EU-DSGVO
+
=== Wenn im räumlichen Anwendungsbereich der EU-DSGVO ===
 
* Die Verarbeitung findet innerhalb der EU statt oder in Norwegen, Island oder Liechtenstein
 
* Die Verarbeitung findet innerhalb der EU statt oder in Norwegen, Island oder Liechtenstein
 
* oder die Verantwortlichen unterliegen EU-Recht
 
* oder die Verantwortlichen unterliegen EU-Recht
 
* oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU
 
* oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU
; und im sachlichen Anwendungsbereich der EU-DSGVO
+
=== und im sachlichen Anwendungsbereich der EU-DSGVO ===
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
 
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
 
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
; und im zeitlichen Anwendungsbereich der EU-DSGVO
+
=== und im zeitlichen Anwendungsbereich der EU-DSGVO ===
 
* also nach dem 28.05.2018, 0:00 Uhr
 
* also nach dem 28.05.2018, 0:00 Uhr
; personenbezogene Daten
+
=== personenbezogene Daten ===
 
* Personenbezogenen sind Daten, durch die eine natürliche Person direkt oder mit Hilfe von Datenquellen eindeutig identifiziert werden kann
 
* Personenbezogenen sind Daten, durch die eine natürliche Person direkt oder mit Hilfe von Datenquellen eindeutig identifiziert werden kann
 
* Ton- und Bildaufnahmen sind personenbezogene Daten
 
* Ton- und Bildaufnahmen sind personenbezogene Daten
; oder besondere Kategorien personenbezogener Daten
+
=== oder besondere Kategorien personenbezogener Daten ===
 
* Daten über rassische oder ethnische Herkunft
 
* Daten über rassische oder ethnische Herkunft
 
* politische Meinungen oder Gewerkschaftszugehörigkeit
 
* politische Meinungen oder Gewerkschaftszugehörigkeit
Zeile 18: Zeile 18:
 
* genetische, biometrische oder gesundheitliche Daten
 
* genetische, biometrische oder gesundheitliche Daten
 
* Sexualleben oder die sexuelle Ausrichtung
 
* Sexualleben oder die sexuelle Ausrichtung
; verarbeitet werden,  
+
=== verarbeitet werden, ===
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erfasst (z. B. Daten werden gespeichert)
 
* erfasst (z. B. Daten werden gespeichert)
Zeile 37: Zeile 37:
 
* gelöscht (z. B. wieder herstellbar verschoben)
 
* gelöscht (z. B. wieder herstellbar verschoben)
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
; dann müssen die Verantwortlichen
+
=== dann müssen die Verantwortlichen ===
 
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
 
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
 
* Es kann auch Gemeinsam Verantwortliche geben
 
* Es kann auch Gemeinsam Verantwortliche geben
 
* Auftragnehmer ohne diese Entscheidungsfähigkeit dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden.
 
* Auftragnehmer ohne diese Entscheidungsfähigkeit dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden.
; dies rechtmäßig,  
+
=== dies rechtmäßig, ===
 
* Rechtsgrundlagen sind
 
* Rechtsgrundlagen sind
 
** Interessen
 
** Interessen
Zeile 54: Zeile 54:
 
*** die der Staat oder damit Beliehene ausüben dürfen
 
*** die der Staat oder damit Beliehene ausüben dürfen
 
** eine Einwilligung der Betroffenen
 
** eine Einwilligung der Betroffenen
; zweckgebunden,  
+
=== zweckgebunden, ===
 
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
 
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
 
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
 
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
Zeile 66: Zeile 66:
 
** Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
 
** Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
 
* Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
 
* Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
; unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
+
=== unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, ===
 
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein.
 
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein.
 
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
 
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
Zeile 83: Zeile 83:
 
** archivarische, wissenschaftliche oder historische Zwecke
 
** archivarische, wissenschaftliche oder historische Zwecke
 
* Verarbeitende unterliegen einer Geheimhaltungspflicht
 
* Verarbeitende unterliegen einer Geheimhaltungspflicht
; minimiert,  
+
=== minimiert, ===
 
* Es dürfen nur Daten verarbeitet werden, die für den Zweck unbedingt notwendig sind.
 
* Es dürfen nur Daten verarbeitet werden, die für den Zweck unbedingt notwendig sind.
; transparent,  
+
=== transparent, ===
 
* Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
 
* Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
 
* Betroffene haben ein Recht auf Auskunft
 
* Betroffene haben ein Recht auf Auskunft
; mit richtigen Daten,  
+
=== mit richtigen Daten, ===
 
* Betroffene haben ein Recht auf Korrektur ihrer Daten
 
* Betroffene haben ein Recht auf Korrektur ihrer Daten
; zeitlich begrenzt,
+
=== zeitlich begrenzt, ===
 
* Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
 
* Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
; integer und vertraulich,  
+
=== integer und vertraulich, ===
 
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
 
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
 
** es sich bei den Verantwortlichen um Behörden handelt
 
** es sich bei den Verantwortlichen um Behörden handelt
Zeile 98: Zeile 98:
 
** personenbezogene Daten in großem Umfang verarbeitet werden
 
** personenbezogene Daten in großem Umfang verarbeitet werden
 
** und systematisch das Verhalten natürlicher Personen überwacht wird
 
** und systematisch das Verhalten natürlicher Personen überwacht wird
; nach Treu und Glauben und
+
=== nach Treu und Glauben und ===
 
* Nach herrschender Meinung in anständiger und fairer Weise.
 
* Nach herrschender Meinung in anständiger und fairer Weise.
; nachweisen können,
+
=== nachweisen können, ===
 
* Verantwortliche müssen ein Verarbeitungsverzeichnis führen
 
* Verantwortliche müssen ein Verarbeitungsverzeichnis führen
 
** wenn es sich um Behörden handelt
 
** wenn es sich um Behörden handelt
 
* Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
 
* Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
; weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
+
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
; eine Klage erhoben,
+
=== eine Klage erhoben, ===
; oder eine Strafe verhängt werden kann.
+
=== oder eine Strafe verhängt werden kann. ===

Version vom 30. Januar 2024, 10:46 Uhr

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

  • Die Verarbeitung findet innerhalb der EU statt oder in Norwegen, Island oder Liechtenstein
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

  • also nach dem 28.05.2018, 0:00 Uhr

personenbezogene Daten

  • Personenbezogenen sind Daten, durch die eine natürliche Person direkt oder mit Hilfe von Datenquellen eindeutig identifiziert werden kann
  • Ton- und Bildaufnahmen sind personenbezogene Daten

oder besondere Kategorien personenbezogener Daten

  • Daten über rassische oder ethnische Herkunft
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch Gemeinsam Verantwortliche geben
  • Auftragnehmer ohne diese Entscheidungsfähigkeit dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden.

dies rechtmäßig,

  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei Seuchen))
      • berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist)
    • Verträge
      • deren Teil der Betroffene ist
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen
    • eine Einwilligung der Betroffenen

zweckgebunden,

  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht

minimiert,

  • Es dürfen nur Daten verarbeitet werden, die für den Zweck unbedingt notwendig sind.

transparent,

  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft

mit richtigen Daten,

  • Betroffene haben ein Recht auf Korrektur ihrer Daten

zeitlich begrenzt,

  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.

integer und vertraulich,

  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • besondere Kategorien personenbezogener Daten verarbeitet werden
    • personenbezogene Daten in großem Umfang verarbeitet werden
    • und systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben und

  • Nach herrschender Meinung in anständiger und fairer Weise.

nachweisen können,

  • Verantwortliche müssen ein Verarbeitungsverzeichnis führen
    • wenn es sich um Behörden handelt
  • Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

eine Klage erhoben,

oder eine Strafe verhängt werden kann.