Prüfschema Datenschutz 2024: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 4: Zeile 4:
 
<body>
 
<body>
 
<form>
 
<form>
<input type="checkbox" name="raw">Wenn im räumlichen Anwendungsbereich der EU-DSGVO<br>
+
<input type="checkbox" name="raw"><b>Wenn im räumlichen Anwendungsbereich der EU-DSGVO</b><br>
 
<pre>
 
<pre>
 
* Die Verarbeitung findet innerhalb der EU statt
 
* Die Verarbeitung findet innerhalb der EU statt
Zeile 12: Zeile 12:
 
* oder wenigstens eine Niederlassung innerhalb der EU
 
* oder wenigstens eine Niederlassung innerhalb der EU
 
</pre>
 
</pre>
<input type="text" name="RAW" size="132"><br><br>
+
<textarea name="RAW" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">und im sachlichen Anwendungsbereich der EU-DSGVO<br>
+
<input type="checkbox" name="saw"><b>und im sachlichen Anwendungsbereich der EU-DSGVO</b><br>
 
<pre>
 
<pre>
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
Zeile 19: Zeile 19:
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
 
</pre>
 
</pre>
<input type="text" name="SAW" size="132"><br><br>
+
<textarea name="SAW" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">und im zeitlichen Anwendungsbereich der EU-DSGVO<br>
+
<input type="checkbox" name="zaw"><b>und im zeitlichen Anwendungsbereich der EU-DSGVO</b><br>
 
<pre>
 
<pre>
 
* also nach dem 28.05.2018, 0:00 Uhr
 
* also nach dem 28.05.2018, 0:00 Uhr
 
</pre>
 
</pre>
<input type="text"><br><br>
+
<textarea name="ZAW" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">personenbezogene Daten
+
<input type="checkbox" name="pbd">personenbezogene Daten
 
<pre>
 
<pre>
 
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
 
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
Zeile 32: Zeile 32:
 
* eindeutig identifiziert werden kann.
 
* eindeutig identifiziert werden kann.
 
</pre>
 
</pre>
<input type="text"><br><br>
+
<textarea name="PBD" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">oder besondere Kategorien personenbezogener Daten<br>
+
<input type="checkbox" name="bpd">oder besondere Kategorien personenbezogener Daten<br>
 
<pre>
 
<pre>
 
* Daten über "rassische" oder ethnische Herkunft (Originaltext)
 
* Daten über "rassische" oder ethnische Herkunft (Originaltext)
Zeile 41: Zeile 41:
 
* Sexualleben oder die sexuelle Ausrichtung
 
* Sexualleben oder die sexuelle Ausrichtung
 
</pre>
 
</pre>
<input type="text"><br><br>
+
<textarea name="BPD" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">verarbeitet werden,
+
<input type="checkbox" name="ver">verarbeitet werden,
 
<pre>
 
<pre>
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
Zeile 63: Zeile 63:
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 
</pre>
 
</pre>
<input type="text"><br><br>
+
<textarea name="VER" size="100%" placeholder="Bemerkungen"></textarea><br>
<input type="checkbox">dann müssen die Verantwortlichen
+
<input type="checkbox" name="vea">dann müssen die Verantwortlichen
 +
<pre>
 
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
 
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
 
* Es kann auch gemeinsam Verantwortliche geben
 
* Es kann auch gemeinsam Verantwortliche geben
** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
+
* die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
+
* und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
 +
</pre>
 +
<textarea name="VEA" size="100%" placeholder="Bemerkungen"></textarea><br>
 
<input type="checkbox">oder ihre Auftragnehmer
 
<input type="checkbox">oder ihre Auftragnehmer
 
* ohne diese Entscheidungsfähigkeit
 
* ohne diese Entscheidungsfähigkeit

Aktuelle Version vom 6. März 2024, 10:14 Uhr

Wenn im räumlichen Anwendungsbereich der EU-DSGVO
* Die Verarbeitung findet innerhalb der EU statt
* oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
* oder die Verantwortlichen unterliegen EU-Recht
* die Verantwortlichen haben ihren Hauptsitz
* oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO
* also nach dem 28.05.2018, 0:00 Uhr

personenbezogene Daten
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
* eine oder mehrere natürliche Personen
* direkt oder mit Hilfe von weiteren Datenquellen
* eindeutig identifiziert werden kann.

oder besondere Kategorien personenbezogener Daten
* Daten über "rassische" oder ethnische Herkunft (Originaltext)
* politische Meinungen oder Gewerkschaftszugehörigkeit
* religiöse oder weltanschauliche Überzeugungen
* genetische, biometrische oder gesundheitliche Daten
* Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,
* erhoben (z. B. Daten werden von Betroffenen erfragt)
* erfasst (z. B. Daten werden gespeichert)
* empfangen (z. B. Daten werden von anderen Stellen übermittelt)
* ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
* abfragen (z. B. Daten werden von anderen Stellen angefordert)
* organisiert (z. B. Daten werden anders sortiert)
* geordnet (z. B. Daten werden reindiziert)
* angepasst (z. B. Daten werden übersetzt)
* verwendet (z. B. Adressen bei Serienbriefen)
* abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
* verknüpft (z. B. mit anderen Datenbeständen koordiniert)
* offen gelegt (z. B. in sozialen Netzen gepostet)
* übermittelt (z. B. an andere Stellen gesendet)
* verbreitet (z. B. ins Internet gestellt)
* bereitgestellt (z. B. zum Abruf in die Cloud)
* eingeschränkt (z. B. aus der Bearbeitung genommen)
* gelöscht (z. B. wieder herstellbar verschoben)
* vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
* Es kann auch gemeinsam Verantwortliche geben
 * die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
 * und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragnehmer * ohne diese Entscheidungsfähigkeit * auf die Einhaltung der Garantien der EU-DSGVO hin ausgewählten Auftragsverarbeiter dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden: Gegenstand der Verarbeitung Dauer der Verarbeitung Art der Verarbeitung Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien betroffener Personen Rechte und Pflichten der Verantwortlichen Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache Regelung einer Löschungspflicht nach dem Ende der Verarbeitung dies aufgrund einer Rechtsgrundlage Rechtsgrundlagen sind Interessen lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht) öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen)) berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist) Verträge, Vorverträge oder vorvertragliche Verhandlungen deren Beteiligte die Betroffenen sind Gesetze materieller Art (also z. B. keine Satzungen) oder in Ausübung öffentlicher Gewalt die der Staat oder damit Beliehene ausüben dürfen oder einer informierten Einwilligung der Betroffenen Einwilligung ist immer möglich und immer gültig denn mit seinen Daten kann jeder tun und lassen, was er will Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!) Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot) Sie muss jederzeit nachweisbar sein (während der Verarbeitung) Einwilligung nur für jeweils einen Sachverhalt möglich Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft Einwilligende müssen "informiert" sein! Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen) unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein. Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen. Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich. Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung. Die Betroffenen haben die Daten selbst öffentlich gemacht. Die Verarbeitung ist im Bereich von Gerichten erforderlich. Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich. Verarbeitung zum Zwecke der Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheitsbereich, Schutz vor Pandemien o. ä., archivarische, wissenschaftliche oder historische Zwecke Verarbeitende unterliegen einer Geheimhaltungspflicht zweckgebunden, Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein. Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war. Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein. oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung) Zu berücksichtigen sind Verbindungen zwischen dem ursprünglichen und dem neuen Zweck Zusammenhängen der Erhebung der Datenbestände Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten Folgen der neuen Verarbeitung Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar. minimiert, Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind. transparent, Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden. Betroffene haben ein Recht auf Auskunft mit den korrekten Daten, Betroffene haben ein Recht auf Korrektur ihrer Daten Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung) zeitlich begrenzt, Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist. Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden. Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten. integer und vertraulich, Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn es sich bei den Verantwortlichen um Behörden handelt oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind oder besondere Kategorien personenbezogener Daten verarbeitet werden oder personenbezogene Daten in großem Umfang verarbeitet werden oder und systematisch das Verhalten natürlicher Personen überwacht wird nach Treu und Glauben durchführen Nach herrschender Meinung in anständiger und fairer Weise. Englischer Begriff: "fairness". und das alles nachweisen können Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO). wenn es sich um Behörden handelt oder um private Stellen, die mehr als 249 Beschäftigte haben deren Verarbeitung nicht nur gelegentlich erfolgt oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet das mindestens folgendes enthält: Name und Kontaktdaten des Verantwortlichen, der gemeinsam Verantwortlichen und der Vertreter, sowie ggf. der Auftragsverarbeiter Name und Kontaktdaten des Datenschutzbeauftragten die Zwecke der Verarbeitung die Kategorien betroffener Personen und Daten die Kategorien von Empfängern (auch in Drittländern) Übermittlungen an ein Drittland Fristen für die Löschung der Daten technische und organisatorische Maßnahmen zum Schutz der Daten und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss oder abschätzen Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren Dies muss erstellt werden, wenn neue Technologien verwendet werden voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil Art (regelmäßig Profiling) Umfang (große Mengen besonderer Kategorien personenbezogener Daten) Umstände (systematische Überwachung) Zwecke der Verarbeitung dies verursachen könnte. Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden. Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes: Beschreibung von Verarbeitungsvorgängen Beschreibung von Zwecken Beschreibung von Interessen Bewertung von Notwendigkeit und Verhältnismäßigkeit Bewertung von Risiken für Rechte und Freiheiten und die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren). weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG). Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG). Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG). Die Meldung soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?) enthält Kontaktdaten der Datenschutzbeauftragten enthält wahrscheinliche Folgen der Verletzung enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung Der Verantwortliche benachrichtigt auch die betroffenen Personen eine Klage erhoben, Die Verjährungsfrist beträgt drei Jahre. Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte). Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft, die sie nach Prüfung auf Einstellung nicht ohne Zustimmung der erlassenden Datenschutzbehörde an das Strafgericht übersandt. und eventuell eine Strafe verhängt Die EU-DSGVO sieht Bußgelder in Höhe von max. 2 % des weltweiten Jahresumsatzes vor. Bußgelder sind nur gegen jeden Verantwortlichen möglich Mitarbeiter können auch verantwortlich sein Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig Darüber hinaus das Landgericht. Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht. oder Schadensersatz verlangt werden kann. Schmerzensgeld ist auch möglich.