Was ist Datenschutz?: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(71 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
[[Datei:Vortrag.jpeg|mini|rechts]]
 
=== Wenn im räumlichen Anwendungsbereich der EU-DSGVO ===
 
=== Wenn im räumlichen Anwendungsbereich der EU-DSGVO ===
* Die Verarbeitung findet innerhalb der EU statt  
+
<pre>Art. 3 EU-DSGVO</pre>
* oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
+
* Die Verarbeitung findet '''innerhalb der EU''' statt  
* oder die Verantwortlichen unterliegen EU-Recht
+
* oder in '''Norwegen, Island oder Liechtenstein''' ("NIL-Staaten")
* oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU
+
* oder die Verantwortlichen '''unterliegen EU-Recht'''
 +
* oder die Verantwortlichen haben ihren '''Hauptsitz'''
 +
* oder wenigstens eine '''Niederlassung''' innerhalb der EU
  
 
=== und im sachlichen Anwendungsbereich der EU-DSGVO ===
 
=== und im sachlichen Anwendungsbereich der EU-DSGVO ===
 +
<pre>Art. 2 EU-DSGVO</pre>
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
 
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
 
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
 
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
 
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
 +
 
=== und im zeitlichen Anwendungsbereich der EU-DSGVO ===
 
=== und im zeitlichen Anwendungsbereich der EU-DSGVO ===
* also nach dem 28.05.2018, 0:00 Uhr
+
<pre>Art. 99 Abs. 2 EU-DSGVO</pre>
 +
* findet also nach dem '''28.05.2018, 0:00 Uhr''' statt
 +
** also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
 +
** nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
 +
 
 
=== personenbezogene Daten ===
 
=== personenbezogene Daten ===
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die  
+
<pre>Art. 4 EU-DSGVO</pre>
** eine oder mehrere natürliche Personen  
+
* '''Personenbezogenen''' sind Daten (auch Bild- und Tonaufnahmen), durch die  
** direkt oder mit Hilfe von weiteren Datenquellen  
+
** eine oder mehrere natürliche '''Personen'''
** eindeutig  
+
** '''direkt''' oder mit Hilfe von weiteren Datenquellen
* identifiziert werden kann.
+
** '''eindeutig'''
 +
* '''identifiziert''' werden kann.
 +
* '''Juristische''' Personen genießen keinen Datenschutz
 +
** Das kann bei '''Ein-Mensch-Firmen''' anders sein!
 +
* '''Verstorbene''' genießen auch keinen Datenschutz
 +
** Das Interesse der '''Hinterbliebenen''' kann aber relevant sein.
  
 
=== oder besondere Kategorien personenbezogener Daten ===
 
=== oder besondere Kategorien personenbezogener Daten ===
* Daten über rassische oder ethnische Herkunft (Originaltext)
+
<pre>Art. 9 EU-DSGVO</pre>
 +
* Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
 
* politische Meinungen oder Gewerkschaftszugehörigkeit
 
* politische Meinungen oder Gewerkschaftszugehörigkeit
 
* religiöse oder weltanschauliche Überzeugungen
 
* religiöse oder weltanschauliche Überzeugungen
Zeile 26: Zeile 41:
  
 
=== verarbeitet werden, ===
 
=== verarbeitet werden, ===
 +
<pre>Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG</pre>
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erfasst (z. B. Daten werden gespeichert)
 
* erfasst (z. B. Daten werden gespeichert)
Zeile 44: Zeile 60:
 
* gelöscht (z. B. wieder herstellbar verschoben)
 
* gelöscht (z. B. wieder herstellbar verschoben)
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 +
 
=== dann müssen die Verantwortlichen ===
 
=== dann müssen die Verantwortlichen ===
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
+
<pre>Art. 24, 26 u. 27 EU-DSGVO</pre>
* Es kann auch gemeinsam Verantwortliche geben
+
* Verantwortlich ist, wer über '''Zweck und Mittel''' der Verarbeitung entscheidet
 +
* Es kann auch '''gemeinsam Verantwortliche''' geben
 
** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
 
** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
 
** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
 
** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
* Auftragnehmer ohne diese Entscheidungsfähigkeit dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden.
+
 
 +
=== oder ihre Auftragsverarbeiter ===
 +
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 +
* auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
 +
* Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
 +
* wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
 +
* dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
 +
** Gegenstand der Verarbeitung
 +
** Dauer der Verarbeitung
 +
** Art der Verarbeitung
 +
** Zweck der Verarbeitung
 +
** Art der personenbezogenen Daten
 +
** Kategorien betroffener Personen
 +
** Rechte und Pflichten der Verantwortlichen
 +
** Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
 +
** keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
 +
** Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
  
 
=== dies aufgrund einer Rechtsgrundlage ===
 
=== dies aufgrund einer Rechtsgrundlage ===
 +
<pre>Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG</pre>
 
* Rechtsgrundlagen sind
 
* Rechtsgrundlagen sind
 
** Interessen
 
** Interessen
 
*** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
 
*** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
*** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen))
+
*** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
*** berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist)
+
*** berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
 
** Verträge, Vorverträge oder vorvertragliche Verhandlungen
 
** Verträge, Vorverträge oder vorvertragliche Verhandlungen
 
*** deren Beteiligte die Betroffenen sind
 
*** deren Beteiligte die Betroffenen sind
Zeile 63: Zeile 98:
 
** oder in Ausübung öffentlicher Gewalt
 
** oder in Ausübung öffentlicher Gewalt
 
*** die der Staat oder damit Beliehene ausüben dürfen
 
*** die der Staat oder damit Beliehene ausüben dürfen
== oder einer informierten Einwilligung der Betroffenen ==
+
 
 +
=== oder einer informierten Einwilligung der Betroffenen ===
 +
<pre>Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre>
 
* Einwilligung ist immer möglich und immer gültig
 
* Einwilligung ist immer möglich und immer gültig
* Denn mit seinen Daten kann jeder tun und lassen, was er will
+
* Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
 
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
 
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
 
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
 
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
Zeile 75: Zeile 112:
  
 
=== unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, ===
 
=== unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, ===
 +
<pre>Art. 9 EU-DSGVO</pre>
 
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein.
 
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein.
 
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
 
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
Zeile 91: Zeile 129:
 
** archivarische, wissenschaftliche oder historische Zwecke
 
** archivarische, wissenschaftliche oder historische Zwecke
 
* Verarbeitende unterliegen einer Geheimhaltungspflicht
 
* Verarbeitende unterliegen einer Geheimhaltungspflicht
 +
 +
=== unter Wahrung der Rechte der Betroffenen, ===
 +
<pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre>
 +
* konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
 +
* destruktive Rechte (Widerspruch, Einschränkung, Löschung)
 +
* deskriptive Rechte (Auskunft, Mitteilungen)
 +
* Eventuell müssen Datenschutzbeauftragte benannt werden
 +
* Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.
 +
 
=== zweckgebunden, ===
 
=== zweckgebunden, ===
 +
<pre>Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG</pre>
 
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
 
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
 
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
 
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
Zeile 105: Zeile 153:
  
 
=== minimiert, ===
 
=== minimiert, ===
 +
<pre>Art. 5 Abs. 1 Bst. c EU-DSGVO</pre>
 
* Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
 
* Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
  
 
=== transparent, ===
 
=== transparent, ===
* Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
+
<pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG</pre>
 +
* Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden.
 
* Betroffene haben ein Recht auf Auskunft
 
* Betroffene haben ein Recht auf Auskunft
 +
 
=== mit den korrekten Daten, ===
 
=== mit den korrekten Daten, ===
 
* Betroffene haben ein Recht auf Korrektur ihrer Daten
 
* Betroffene haben ein Recht auf Korrektur ihrer Daten
Zeile 121: Zeile 172:
 
=== integer und vertraulich, ===
 
=== integer und vertraulich, ===
 
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
 
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
** es sich bei den Verantwortlichen um Behörden handelt oder
+
** es sich bei den Verantwortlichen um Behörden handelt
** mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind oder
+
** oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
** besondere Kategorien personenbezogener Daten verarbeitet werden oder
+
** oder besondere Kategorien personenbezogener Daten verarbeitet werden
** personenbezogene Daten in großem Umfang verarbeitet werden oder
+
** oder personenbezogene Daten in großem Umfang verarbeitet werden
** und systematisch das Verhalten natürlicher Personen überwacht wird
+
** oder systematisch das Verhalten natürlicher Personen überwacht wird
  
=== nach Treu und Glauben ===
+
=== nach Treu und Glauben durchführen ===
 
* Nach herrschender Meinung in anständiger und fairer Weise.
 
* Nach herrschender Meinung in anständiger und fairer Weise.
 
* Englischer Begriff: "fairness".
 
* Englischer Begriff: "fairness".
 +
=== und dabei technische und organisatorische Maßnahmen ergreifen ===
 +
<pre>Art. 25 u. 32 EU-DSGVO</pre>
 +
* Datensicherung (Erzeugen von redundanten Datenbeständen)
 +
* Datensicherheit (Wahrung der Integrität der Datenbestände)
 +
* Datenzugriff (Schutz vor unberechtigtem Zugriff)
  
 
=== und das alles nachweisen können ===
 
=== und das alles nachweisen können ===
* Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
+
<pre>Art. 30 EU-DSGVO, § 70 BDSG</pre>
 +
* Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO).
 
** wenn es sich um Behörden handelt
 
** wenn es sich um Behörden handelt
 
** oder um private Stellen,  
 
** oder um private Stellen,  
Zeile 152: Zeile 209:
 
* und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
 
* und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
  
=== oder abschätzen ===
+
=== und möglicherweise Folgen abschätzen ===
* Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren
+
<pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre>
* Dies muss erstellt werden, wenn
+
* Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn
** neue Technologien verwendet werden
+
** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI)
 
** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
 
** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
 
*** Art (regelmäßig Profiling)
 
*** Art (regelmäßig Profiling)
Zeile 172: Zeile 229:
  
 
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
 
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
 +
<pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre>
 
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
 
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
 
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
 
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
Zeile 184: Zeile 242:
  
 
=== eine Klage erhoben, ===
 
=== eine Klage erhoben, ===
* Die Verjährungsfrist beträgt drei Jahre.
+
* Die Verjährungsfrist beträgt drei bis fünf Jahre.
 
* Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
 
* Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
 
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
 
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
 
** die sie nach Prüfung auf Einstellung
 
** die sie nach Prüfung auf Einstellung
 
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde
 
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde
** an das Strafgericht übersandt.
+
** an das Strafgericht übersendet.
  
 
=== und eventuell eine Strafe verhängt ===
 
=== und eventuell eine Strafe verhängt ===
* Die EU-DSGVO sieht Bußgelder in Höhe von max. 2 % des weltweiten Jahresumsatzes vor.
+
* Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
* Bußgelder sind nur gegen jeden Verantwortlichen möglich
+
* Bußgelder werden gegen jeden Verantwortlichen verhängt.
* Mitarbeiter können auch verantwortlich sein
+
* Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
+
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
* Darüber hinaus das Landgericht.
 
 
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
 
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
  
 
=== oder Schadensersatz verlangt werden kann. ===
 
=== oder Schadensersatz verlangt werden kann. ===
 +
* Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
 +
* Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
 
* Schmerzensgeld ist auch möglich.
 
* Schmerzensgeld ist auch möglich.

Aktuelle Version vom 9. September 2024, 08:55 Uhr

Vortrag.jpeg

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

Art. 3 EU-DSGVO
  • Die Verarbeitung findet innerhalb der EU statt
  • oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben ihren Hauptsitz
  • oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

Art. 2 EU-DSGVO
  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

Art. 99 Abs. 2 EU-DSGVO
  • findet also nach dem 28.05.2018, 0:00 Uhr statt
    • also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
    • nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018

personenbezogene Daten

Art. 4 EU-DSGVO
  • Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
    • eine oder mehrere natürliche Personen
    • direkt oder mit Hilfe von weiteren Datenquellen
    • eindeutig
  • identifiziert werden kann.
  • Juristische Personen genießen keinen Datenschutz
    • Das kann bei Ein-Mensch-Firmen anders sein!
  • Verstorbene genießen auch keinen Datenschutz
    • Das Interesse der Hinterbliebenen kann aber relevant sein.

oder besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO
  • Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

Art. 24, 26 u. 27 EU-DSGVO
  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch gemeinsam Verantwortliche geben
    • die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
    • und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragsverarbeiter

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
  • Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
  • wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
  • dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
    • Gegenstand der Verarbeitung
    • Dauer der Verarbeitung
    • Art der Verarbeitung
    • Zweck der Verarbeitung
    • Art der personenbezogenen Daten
    • Kategorien betroffener Personen
    • Rechte und Pflichten der Verantwortlichen
    • Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
    • keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
    • Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

dies aufgrund einer Rechtsgrundlage

Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
      • berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
    • Verträge, Vorverträge oder vorvertragliche Verhandlungen
      • deren Beteiligte die Betroffenen sind
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen

oder einer informierten Einwilligung der Betroffenen

Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
  • Einwilligung ist immer möglich und immer gültig
  • Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
  • Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
  • Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
  • Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
  • Einwilligung nur für jeweils einen Sachverhalt möglich
  • Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
  • Einwilligende müssen "informiert" sein!
  • Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

Art. 9 EU-DSGVO
  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht

unter Wahrung der Rechte der Betroffenen,

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
  • konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
  • destruktive Rechte (Widerspruch, Einschränkung, Löschung)
  • deskriptive Rechte (Auskunft, Mitteilungen)
  • Eventuell müssen Datenschutzbeauftragte benannt werden
  • Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.

zweckgebunden,

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

minimiert,

Art. 5 Abs. 1 Bst. c EU-DSGVO
  • Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

transparent,

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG
  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft

mit den korrekten Daten,

  • Betroffene haben ein Recht auf Korrektur ihrer Daten
  • Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

zeitlich begrenzt,

  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
  • Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
  • Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

integer und vertraulich,

  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
    • oder besondere Kategorien personenbezogener Daten verarbeitet werden
    • oder personenbezogene Daten in großem Umfang verarbeitet werden
    • oder systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben durchführen

  • Nach herrschender Meinung in anständiger und fairer Weise.
  • Englischer Begriff: "fairness".

und dabei technische und organisatorische Maßnahmen ergreifen

Art. 25 u. 32 EU-DSGVO
  • Datensicherung (Erzeugen von redundanten Datenbeständen)
  • Datensicherheit (Wahrung der Integrität der Datenbestände)
  • Datenzugriff (Schutz vor unberechtigtem Zugriff)

und das alles nachweisen können

Art. 30 EU-DSGVO, § 70 BDSG
  • Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
    • wenn es sich um Behörden handelt
    • oder um private Stellen,
      • die mehr als 249 Beschäftigte haben
      • deren Verarbeitung nicht nur gelegentlich erfolgt
      • oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
      • oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
  • das mindestens folgendes enthält:
    • Name und Kontaktdaten des Verantwortlichen,
      • der gemeinsam Verantwortlichen und der Vertreter,
      • sowie ggf. der Auftragsverarbeiter
    • Name und Kontaktdaten des Datenschutzbeauftragten
    • die Zwecke der Verarbeitung
    • die Kategorien betroffener Personen und Daten
    • die Kategorien von Empfängern (auch in Drittländern)
    • Übermittlungen an ein Drittland
    • Fristen für die Löschung der Daten
    • technische und organisatorische Maßnahmen zum Schutz der Daten
  • und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

und möglicherweise Folgen abschätzen

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
  • Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
    • neue Technologien verwendet werden (Data Mining, Profiling, KI)
    • voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
      • Art (regelmäßig Profiling)
      • Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
      • Umstände (systematische Überwachung)
      • Zwecke
    • der Verarbeitung dies verursachen könnte.
  • Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
  • Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
    • Beschreibung von Verarbeitungsvorgängen
    • Beschreibung von Zwecken
    • Beschreibung von Interessen
    • Bewertung von Notwendigkeit und Verhältnismäßigkeit
    • Bewertung von Risiken für Rechte und Freiheiten und
    • die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
  • Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
  • Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
  • Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
  • Die Meldung
    • soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
    • enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
    • enthält Kontaktdaten der Datenschutzbeauftragten
    • enthält wahrscheinliche Folgen der Verletzung
    • enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
  • Der Verantwortliche benachrichtigt auch die betroffenen Personen

eine Klage erhoben,

  • Die Verjährungsfrist beträgt drei bis fünf Jahre.
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
    • die sie nach Prüfung auf Einstellung
    • nicht ohne Zustimmung der erlassenden Datenschutzbehörde
    • an das Strafgericht übersendet.

und eventuell eine Strafe verhängt

  • Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
  • Bußgelder werden gegen jeden Verantwortlichen verhängt.
  • Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
  • Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
  • Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

oder Schadensersatz verlangt werden kann.

  • Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
  • Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
  • Schmerzensgeld ist auch möglich.