Was ist Datenschutz?: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(139 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Grundsatz ==
+
[[Datei:Vortrag.jpeg|mini|rechts]]
Wenn
+
=== Wenn im räumlichen Anwendungsbereich der EU-DSGVO ===
;[[personenbezogene Daten]]
+
<pre>Art. 3 EU-DSGVO</pre>
:personenbezogenen sind Daten, durch die eine natürliche Person direkt oder mit Hilfe von Datenquellen eindeutig identifiziert werden kann
+
* Die Verarbeitung findet '''innerhalb der EU''' statt
;[[Verarbeitung|verarbeitet]] werden,  
+
* oder in '''Norwegen, Island oder Liechtenstein''' ("NIL-Staaten")
:Daten werden verarbeitet, wenn sie ...
+
* oder die Verantwortlichen '''unterliegen EU-Recht'''
;dann müssen die [[Verantwortlichkeit|Verantwortlichen]] dies
+
* oder die Verantwortlichen haben ihren '''Hauptsitz'''
:Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
+
* oder wenigstens eine '''Niederlassung''' innerhalb der EU
;[[Rechtmäßigkeit|rechtmäßig]],  
+
 
:Rechtsgrundlagen sind
+
=== und im sachlichen Anwendungsbereich der EU-DSGVO ===
::Interessen
+
<pre>Art. 2 EU-DSGVO</pre>
:::lebenswichtiger Art
+
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
:::öffentlicher Art oder in Ausübung öffentlicher Gewalt
+
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
:::berechtigter Art
+
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
::Verträge
+
 
:::deren Teil der Betroffene ist
+
=== und im zeitlichen Anwendungsbereich der EU-DSGVO ===
::Gesetze
+
<pre>Art. 99 Abs. 2 EU-DSGVO</pre>
:::materieller Art (also z. B. keine Satzungen)
+
* findet also nach dem '''28.05.2018, 0:00 Uhr''' statt
::eine Einwilligung der Betroffenen
+
** also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
;[[Zweckbindung|zweckgebunden]],  
+
** nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
:Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein
+
 
;[[Minimierung|minimiert]],  
+
=== personenbezogene Daten ===
:Es dürfen nur Daten verarbeitet werden, die für den Zweck unbedingt notwendig sind.
+
<pre>Art. 4 EU-DSGVO</pre>
;[[Transparenz|transparent]],  
+
* '''Personenbezogenen''' sind Daten (auch Bild- und Tonaufnahmen), durch die  
:Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
+
** eine oder mehrere natürliche '''Personen'''
;mit den [[Richtigkeit|richtigen]] Daten,  
+
** '''direkt''' oder mit Hilfe von weiteren Datenquellen
:Betroffene haben ein Recht auf Korrektur ihrer Daten
+
** '''eindeutig'''
;zeitlich [[Begrenzung|begrenzt]],
+
* '''identifiziert''' werden kann.
:Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
+
* '''Juristische''' Personen genießen keinen Datenschutz
;[[Integrität und Vertraulichkeit|integer und vertraulich]],  
+
** Das kann bei '''Ein-Mensch-Firmen''' anders sein!
;nach [[Treu und Glauben]] und  
+
* '''Verstorbene''' genießen auch keinen Datenschutz
;[[Nachweispflicht|nachweisbar]] tun.
+
** Das Interesse der '''Hinterbliebenen''' kann aber relevant sein.
:Verantwortliche müssen u. U. ein Verarbeitungsverzeichnis führen
+
 
:Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
+
=== oder besondere Kategorien personenbezogener Daten ===
 +
<pre>Art. 9 EU-DSGVO</pre>
 +
* Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
 +
* politische Meinungen oder Gewerkschaftszugehörigkeit
 +
* religiöse oder weltanschauliche Überzeugungen
 +
* genetische, biometrische oder gesundheitliche Daten
 +
* Sexualleben oder die sexuelle Ausrichtung
 +
 
 +
=== verarbeitet werden, ===
 +
<pre>Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG</pre>
 +
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 +
* erfasst (z. B. Daten werden gespeichert)
 +
* empfangen (z. B. Daten werden von anderen Stellen übermittelt)
 +
* ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
 +
* abfragen (z. B. Daten werden von anderen Stellen angefordert)
 +
* organisiert (z. B. Daten werden anders sortiert)
 +
* geordnet (z. B. Daten werden reindiziert)
 +
* angepasst (z. B. Daten werden übersetzt)
 +
* verwendet (z. B. Adressen bei Serienbriefen)
 +
* abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
 +
* verknüpft (z. B. mit anderen Datenbeständen koordiniert)
 +
* offengelegt (z. B. in sozialen Netzen gepostet)
 +
* übermittelt (z. B. an andere Stellen gesendet)
 +
* verbreitet (z. B. ins Internet gestellt)
 +
* bereitgestellt (z. B. zum Abruf in die Cloud)
 +
* eingeschränkt (z. B. aus der Bearbeitung genommen)
 +
* gelöscht (z. B. wieder herstellbar verschoben)
 +
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 +
 
 +
=== dann müssen die Verantwortlichen ===
 +
<pre>Art. 24, 26 u. 27 EU-DSGVO</pre>
 +
* Verantwortlich ist, wer über '''Zweck und Mittel''' der Verarbeitung entscheidet
 +
* Es kann auch '''gemeinsam Verantwortliche''' geben
 +
** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
 +
** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
 +
 
 +
=== oder ihre Auftragsverarbeiter ===
 +
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 +
* auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
 +
* Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
 +
* wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
 +
* dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
 +
** Gegenstand der Verarbeitung
 +
** Dauer der Verarbeitung
 +
** Art der Verarbeitung
 +
** Zweck der Verarbeitung
 +
** Art der personenbezogenen Daten
 +
** Kategorien betroffener Personen
 +
** Rechte und Pflichten der Verantwortlichen
 +
** Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
 +
** keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
 +
** Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
 +
 
 +
=== dies aufgrund einer Rechtsgrundlage ===
 +
<pre>Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG</pre>
 +
* Rechtsgrundlagen sind
 +
** Interessen
 +
*** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
 +
*** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
 +
*** berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
 +
** Verträge, Vorverträge oder vorvertragliche Verhandlungen
 +
*** deren Beteiligte die Betroffenen sind
 +
** Gesetze
 +
*** materieller Art (also z. B. keine Satzungen)
 +
** oder in Ausübung öffentlicher Gewalt
 +
*** die der Staat oder damit Beliehene ausüben dürfen
 +
 
 +
=== oder einer informierten Einwilligung der Betroffenen ===
 +
<pre>Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre>
 +
* Einwilligung ist immer möglich und immer gültig
 +
* Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
 +
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
 +
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
 +
* Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
 +
* Einwilligung nur für jeweils einen Sachverhalt möglich
 +
* Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
 +
* Einwilligende müssen "informiert" sein!
 +
* Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
 +
 
 +
=== unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, ===
 +
<pre>Art. 9 EU-DSGVO</pre>
 +
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein.
 +
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
 +
* Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
 +
* Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
 +
* Die Betroffenen haben die Daten selbst öffentlich gemacht.
 +
* Die Verarbeitung ist im Bereich von Gerichten erforderlich.
 +
* Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
 +
* Verarbeitung zum Zwecke der
 +
** Gesundheitsvorsorge,
 +
** Arbeitsmedizin,
 +
** Beurteilung der Arbeitsfähigkeit,
 +
** medizinische Diagnostik,
 +
** Versorgung oder Behandlung im Gesundheitsbereich,
 +
** Schutz vor Pandemien o. ä.,
 +
** archivarische, wissenschaftliche oder historische Zwecke
 +
* Verarbeitende unterliegen einer Geheimhaltungspflicht
 +
 
 +
=== unter Wahrung der Rechte der Betroffenen, ===
 +
<pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre>
 +
* konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
 +
* destruktive Rechte (Widerspruch, Einschränkung, Löschung)
 +
* deskriptive Rechte (Auskunft, Mitteilungen)
 +
* Eventuell müssen Datenschutzbeauftragte benannt werden
 +
* Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.
 +
 
 +
=== zweckgebunden, ===
 +
<pre>Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG</pre>
 +
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
 +
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
 +
* Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
 +
* oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
 +
* Zu berücksichtigen sind
 +
** Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
 +
** Zusammenhängen der Erhebung der Datenbestände
 +
** Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
 +
** Folgen der neuen Verarbeitung
 +
** Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
 +
* Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
 +
 
 +
=== minimiert, ===
 +
<pre>Art. 5 Abs. 1 Bst. c EU-DSGVO</pre>
 +
* Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
 +
 
 +
=== transparent, ===
 +
<pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG</pre>
 +
* Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden.
 +
* Betroffene haben ein Recht auf Auskunft
 +
 
 +
=== mit den korrekten Daten, ===
 +
* Betroffene haben ein Recht auf Korrektur ihrer Daten
 +
* Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)
 +
 
 +
=== zeitlich begrenzt, ===
 +
* Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
 +
* Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
 +
* Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.
 +
 
 +
=== integer und vertraulich, ===
 +
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
 +
** es sich bei den Verantwortlichen um Behörden handelt
 +
** oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
 +
** oder besondere Kategorien personenbezogener Daten verarbeitet werden
 +
** oder personenbezogene Daten in großem Umfang verarbeitet werden
 +
** oder systematisch das Verhalten natürlicher Personen überwacht wird
 +
 
 +
=== nach Treu und Glauben durchführen ===
 +
* Nach herrschender Meinung in anständiger und fairer Weise.
 +
* Englischer Begriff: "fairness".
 +
=== und dabei technische und organisatorische Maßnahmen ergreifen ===
 +
<pre>Art. 25 u. 32 EU-DSGVO</pre>
 +
* Datensicherung (Erzeugen von redundanten Datenbeständen)
 +
* Datensicherheit (Wahrung der Integrität der Datenbestände)
 +
* Datenzugriff (Schutz vor unberechtigtem Zugriff)
 +
 
 +
=== und das alles nachweisen können ===
 +
<pre>Art. 30 EU-DSGVO, § 70 BDSG</pre>
 +
* Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO).
 +
** wenn es sich um Behörden handelt
 +
** oder um private Stellen,
 +
*** die mehr als 249 Beschäftigte haben
 +
*** deren Verarbeitung nicht nur gelegentlich erfolgt
 +
*** oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
 +
*** oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
 +
* das mindestens folgendes enthält:
 +
** Name und Kontaktdaten des Verantwortlichen,
 +
*** der gemeinsam Verantwortlichen und der Vertreter,
 +
*** sowie ggf. der Auftragsverarbeiter
 +
** Name und Kontaktdaten des Datenschutzbeauftragten
 +
** die Zwecke der Verarbeitung
 +
** die Kategorien betroffener Personen und Daten
 +
** die Kategorien von Empfängern (auch in Drittländern)
 +
** Übermittlungen an ein Drittland
 +
** Fristen für die Löschung der Daten
 +
** technische und organisatorische Maßnahmen zum Schutz der Daten
 +
* und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
 +
 
 +
=== und möglicherweise Folgen abschätzen ===
 +
<pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre>
 +
* Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn
 +
** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI)
 +
** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
 +
*** Art (regelmäßig Profiling)
 +
*** Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
 +
*** Umstände (systematische Überwachung)
 +
*** Zwecke
 +
** der Verarbeitung dies verursachen könnte.
 +
* Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
 +
* Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
 +
** Beschreibung von Verarbeitungsvorgängen
 +
** Beschreibung von Zwecken
 +
** Beschreibung von Interessen
 +
** Bewertung von Notwendigkeit und Verhältnismäßigkeit
 +
** Bewertung von Risiken für Rechte und Freiheiten und
 +
** die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).
 +
 
 +
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
 +
<pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre>
 +
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
 +
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
 +
* Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
 +
* Die Meldung
 +
** soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
 +
** enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
 +
** enthält Kontaktdaten der Datenschutzbeauftragten
 +
** enthält wahrscheinliche Folgen der Verletzung
 +
** enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
 +
* Der Verantwortliche benachrichtigt auch die betroffenen Personen
 +
 
 +
=== eine Klage erhoben, ===
 +
* Die Verjährungsfrist beträgt drei bis fünf Jahre.
 +
* Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
 +
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
 +
** die sie nach Prüfung auf Einstellung
 +
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde
 +
** an das Strafgericht übersendet.
 +
 
 +
=== und eventuell eine Strafe verhängt ===
 +
* Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
 +
* Bußgelder werden gegen jeden Verantwortlichen verhängt.
 +
* Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
 +
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
 +
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
 +
 
 +
=== oder Schadensersatz verlangt werden kann. ===
 +
* Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
 +
* Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
 +
* Schmerzensgeld ist auch möglich.

Aktuelle Version vom 9. September 2024, 08:55 Uhr

Vortrag.jpeg

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

Art. 3 EU-DSGVO
  • Die Verarbeitung findet innerhalb der EU statt
  • oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben ihren Hauptsitz
  • oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

Art. 2 EU-DSGVO
  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

Art. 99 Abs. 2 EU-DSGVO
  • findet also nach dem 28.05.2018, 0:00 Uhr statt
    • also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
    • nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018

personenbezogene Daten

Art. 4 EU-DSGVO
  • Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
    • eine oder mehrere natürliche Personen
    • direkt oder mit Hilfe von weiteren Datenquellen
    • eindeutig
  • identifiziert werden kann.
  • Juristische Personen genießen keinen Datenschutz
    • Das kann bei Ein-Mensch-Firmen anders sein!
  • Verstorbene genießen auch keinen Datenschutz
    • Das Interesse der Hinterbliebenen kann aber relevant sein.

oder besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO
  • Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

Art. 24, 26 u. 27 EU-DSGVO
  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch gemeinsam Verantwortliche geben
    • die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
    • und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragsverarbeiter

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
  • Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
  • wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
  • dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
    • Gegenstand der Verarbeitung
    • Dauer der Verarbeitung
    • Art der Verarbeitung
    • Zweck der Verarbeitung
    • Art der personenbezogenen Daten
    • Kategorien betroffener Personen
    • Rechte und Pflichten der Verantwortlichen
    • Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
    • keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
    • Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

dies aufgrund einer Rechtsgrundlage

Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
      • berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
    • Verträge, Vorverträge oder vorvertragliche Verhandlungen
      • deren Beteiligte die Betroffenen sind
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen

oder einer informierten Einwilligung der Betroffenen

Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
  • Einwilligung ist immer möglich und immer gültig
  • Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
  • Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
  • Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
  • Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
  • Einwilligung nur für jeweils einen Sachverhalt möglich
  • Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
  • Einwilligende müssen "informiert" sein!
  • Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

Art. 9 EU-DSGVO
  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht

unter Wahrung der Rechte der Betroffenen,

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
  • konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
  • destruktive Rechte (Widerspruch, Einschränkung, Löschung)
  • deskriptive Rechte (Auskunft, Mitteilungen)
  • Eventuell müssen Datenschutzbeauftragte benannt werden
  • Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.

zweckgebunden,

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

minimiert,

Art. 5 Abs. 1 Bst. c EU-DSGVO
  • Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

transparent,

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG
  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft

mit den korrekten Daten,

  • Betroffene haben ein Recht auf Korrektur ihrer Daten
  • Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

zeitlich begrenzt,

  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
  • Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
  • Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

integer und vertraulich,

  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
    • oder besondere Kategorien personenbezogener Daten verarbeitet werden
    • oder personenbezogene Daten in großem Umfang verarbeitet werden
    • oder systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben durchführen

  • Nach herrschender Meinung in anständiger und fairer Weise.
  • Englischer Begriff: "fairness".

und dabei technische und organisatorische Maßnahmen ergreifen

Art. 25 u. 32 EU-DSGVO
  • Datensicherung (Erzeugen von redundanten Datenbeständen)
  • Datensicherheit (Wahrung der Integrität der Datenbestände)
  • Datenzugriff (Schutz vor unberechtigtem Zugriff)

und das alles nachweisen können

Art. 30 EU-DSGVO, § 70 BDSG
  • Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
    • wenn es sich um Behörden handelt
    • oder um private Stellen,
      • die mehr als 249 Beschäftigte haben
      • deren Verarbeitung nicht nur gelegentlich erfolgt
      • oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
      • oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
  • das mindestens folgendes enthält:
    • Name und Kontaktdaten des Verantwortlichen,
      • der gemeinsam Verantwortlichen und der Vertreter,
      • sowie ggf. der Auftragsverarbeiter
    • Name und Kontaktdaten des Datenschutzbeauftragten
    • die Zwecke der Verarbeitung
    • die Kategorien betroffener Personen und Daten
    • die Kategorien von Empfängern (auch in Drittländern)
    • Übermittlungen an ein Drittland
    • Fristen für die Löschung der Daten
    • technische und organisatorische Maßnahmen zum Schutz der Daten
  • und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

und möglicherweise Folgen abschätzen

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
  • Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
    • neue Technologien verwendet werden (Data Mining, Profiling, KI)
    • voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
      • Art (regelmäßig Profiling)
      • Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
      • Umstände (systematische Überwachung)
      • Zwecke
    • der Verarbeitung dies verursachen könnte.
  • Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
  • Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
    • Beschreibung von Verarbeitungsvorgängen
    • Beschreibung von Zwecken
    • Beschreibung von Interessen
    • Bewertung von Notwendigkeit und Verhältnismäßigkeit
    • Bewertung von Risiken für Rechte und Freiheiten und
    • die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
  • Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
  • Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
  • Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
  • Die Meldung
    • soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
    • enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
    • enthält Kontaktdaten der Datenschutzbeauftragten
    • enthält wahrscheinliche Folgen der Verletzung
    • enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
  • Der Verantwortliche benachrichtigt auch die betroffenen Personen

eine Klage erhoben,

  • Die Verjährungsfrist beträgt drei bis fünf Jahre.
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
    • die sie nach Prüfung auf Einstellung
    • nicht ohne Zustimmung der erlassenden Datenschutzbehörde
    • an das Strafgericht übersendet.

und eventuell eine Strafe verhängt

  • Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
  • Bußgelder werden gegen jeden Verantwortlichen verhängt.
  • Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
  • Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
  • Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

oder Schadensersatz verlangt werden kann.

  • Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
  • Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
  • Schmerzensgeld ist auch möglich.