Hauptseite: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 1: | Zeile 1: | ||
__NOTOC__ | __NOTOC__ | ||
Wenn [[Besondere Kategorien personenbezogener Daten | besondere Kategorien]] oder andere [[personenbezogene Daten]] [[Verarbeitung | verarbeitet]] werden, eine ausreichende [[Rechtmäßigkeit | Rechtsgrundlage]] vorliegt, die [[Räumlicher Anwendungsbereich | räumliche Anwendbarkeit]] gegeben ist, alle notwendigen Dokumente ([[Datenschutzerklärung]], ggf. [[Einwilligung]], [[Auftragsverarbeitung | Auftragsverarbeitungsvertrag]], [[Verarbeitungsverzeichnis]], [[Datenschutzfolgenabschätzung]]) vorliegen, falls erforderlich [[Datenschutzbeauftragte]] benannt ist und diese Verarbeitung durch ausreichende [[technische und organisatorische Maßnahmen]] ermöglicht wird, sind weder eine [[Meldung an die Aufsichtsbehörde]], noch [[Klage und Verjährung | Klagen]] oder [[Schadensersatz]] notwendig, es sei denn, die Verarbeitung ist nicht rechtmäßig und [[Klage und Verjährung | verjährt]]. | Wenn [[Besondere Kategorien personenbezogener Daten | besondere Kategorien]] oder andere [[personenbezogene Daten]] [[Verarbeitung | verarbeitet]] werden, eine ausreichende [[Rechtmäßigkeit | Rechtsgrundlage]] vorliegt, die [[Räumlicher Anwendungsbereich | räumliche Anwendbarkeit]] gegeben ist, alle notwendigen Dokumente ([[Datenschutzerklärung]], ggf. [[Einwilligung]], [[Auftragsverarbeitung | Auftragsverarbeitungsvertrag]], [[Verarbeitungsverzeichnis]], [[Datenschutzfolgenabschätzung]]) vorliegen, falls erforderlich [[Datenschutzbeauftragte]] benannt ist und diese Verarbeitung durch ausreichende [[technische und organisatorische Maßnahmen]] ermöglicht wird, sind weder eine [[Meldung an die Aufsichtsbehörde]], noch [[Klage und Verjährung | Klagen]] oder [[Schadensersatz]] notwendig, es sei denn, die Verarbeitung ist nicht rechtmäßig und [[Klage und Verjährung | verjährt]]. | ||
+ | |||
+ | = Fall 1/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW = | ||
+ | {{:Fall 1/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW}} | ||
= Fall 64/2021: Datenschutz in der CovPass-App = | = Fall 64/2021: Datenschutz in der CovPass-App = | ||
Zeile 13: | Zeile 16: | ||
= Fall 61/2021: Gruppenauskunft für KiJuPa? = | = Fall 61/2021: Gruppenauskunft für KiJuPa? = | ||
{{:Fall 61/2021: Gruppenauskunft für KiJuPa?}} | {{:Fall 61/2021: Gruppenauskunft für KiJuPa?}} | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
= Prüfschema Datenschutz 2021: Arbeiten wir nach der EU-DSGVO? = | = Prüfschema Datenschutz 2021: Arbeiten wir nach der EU-DSGVO? = |
Version vom 6. Januar 2022, 14:47 Uhr
Wenn besondere Kategorien oder andere personenbezogene Daten verarbeitet werden, eine ausreichende Rechtsgrundlage vorliegt, die räumliche Anwendbarkeit gegeben ist, alle notwendigen Dokumente (Datenschutzerklärung, ggf. Einwilligung, Auftragsverarbeitungsvertrag, Verarbeitungsverzeichnis, Datenschutzfolgenabschätzung) vorliegen, falls erforderlich Datenschutzbeauftragte benannt ist und diese Verarbeitung durch ausreichende technische und organisatorische Maßnahmen ermöglicht wird, sind weder eine Meldung an die Aufsichtsbehörde, noch Klagen oder Schadensersatz notwendig, es sei denn, die Verarbeitung ist nicht rechtmäßig und verjährt.
Fall 1/2022: Verfahren nach dem Informationsfreiheitsgesetz NRW
Es wurde eine Anfrage gestellt, ob eine Dienstanweisung auch das Verfahren nach dem Informationsfreiheitsgesetz NRW regeln muss. § 5 IFG NW regelt allerdings (ziemlich detailliert) das Verfahren nach einer Anfrage. Daher halte ich eine zusätzliche Regelung in einer Dienstanweisung nicht für notwendig. Beantwortet werden die Anfragen i. d. R. von den Fachämtern, die auch Detailkenntnisse haben. Eine zentrale Anfragestelle ist mir nicht bekannt.
Fall 64/2021: Datenschutz in der CovPass-App
Damit man nach Impfungen (derzeit gegen Covid-19) nicht ständig den Impfpass als Papier dabei haben muss, wurde eine digitalisierte Form des Impfpasses geschaffen. Neben der "Corona-Warn-App" gibt es eine reine Ausweismöglichkeit, die "CovPass-App". Letztere wird tatsächlich wortwörtlich in der Coronaschutzverordnung NRW vorgeschrieben.
Da die "CovPass"-App im Gegensatz zur "Corona-Warn"-App nicht quelloffen ist, also die eigentlichen Vorgänge im Programme nicht öffentlich eingesehen werden können, schlägt ihr naturgemäß ein höheres Misstrauen entgegen. Die Frage ist, ob die Datenverarbeitung in der "CovPass"-App trotzdem sicher ist.
Der Bundesdatenschutzbeauftragte hat sich mit dieser Frage beschäftigt und in einer viel beachteten Rede die Datenschutz- und Datensicherheitsfragen erwähnt. Er hat keine Bedenken, da die Daten lediglich lokal gespeichert werden. Ich kann das aus eigener Erfahrung bestätigen, da ich nach einem Wechsel des Mobiltelefons keine andere Möglichkeit hatte, als das Zertifikat nochmals einzulesen. Ein Server, an dem ich mich hätte anmelden können, existiert nicht.
Fall 63/2021: Videoüberwachung der Gemeinden
Es tauchte die Frage auf, ob eine Kommune die eigenen Anlagen dauerhaft überwachen darf. Das meint keine öffentlichen Bereiche. Es gab auch öfter Einbrüche und Beschädigungen. Vorgesehen waren 10 Tage Speicherdauer der Filme...
Zur Klärung mal grundsätzlich
- kann man sein eigenes Grundstück immer mit Video überwachen.
- Es darf aber – wie gesagt – nur das eigene Grundstück sein, kein öffentlicher Bereich.
- Wenn Mitarbeiter/-innen gefilmt werden, Kamera normalerweise ausschalten (= Arbeitsrecht!).
- Wenn niemand erwischt wird, sind 10 Tage Speicherdauer etwas viel (48 Stunden max.).
- Wenn jemand erwischt wird, können wir die Videos vorhalten, bis alles geklärt ist (keine Frist).
- Einzige Voraussetzung ist eine Datenschutzerklärung, die einsehbar ist, bevor einen die Kamera erwischt:
VIDEOÜBERWACHUNG Verantwortliche: (Name der Kommune), Der Bürgermeister Datenschutzbeauftragter: (Telefonnummer) oder datenschutz@...de Zweck: Vorbeugung von Vermögensschäden aller Art Rechtsgrundlage: Art. 6 Abs. 1 Bst. c EU-DSGVO i. V. m. § 10 Gemeindeordnung Nordrhein Westfalen Übermittlung: (hier evtl. eine Security-Firma eintragen)
Oft werden diese Datenschutzerklärungen noch mit einem Symbol gekennzeichnet:
Fall 62/2021: Keine Impfumfrage nach Liste!
Wegen der Bemühungen, die Corona-Pandemie unter Kontrolle zu bekommen, ist die jährliche Grippeschutzimpfung etwas aus dem Fokus geraten. Dennoch ist natürlich auch hier eine entsprechende Vorsorge notwendig, da die Grippe kein Grippaler Infekt sondern eine eigene, teilweise sehr gefährliche Krankheit ist.
Glücklicherweise sorgen sich auch gute Arbeitgeber um die Gesundheit ihrer Beschäftigten und bieten eine entsprechende Schutzimpfung an. Verlockend ist dabei, eine Liste herumgehen zu lassen, auf der sich die Impfwilligen eintragen können. Allerdings handelt es sich um Gesundheitsdaten, die unter die Besonderen Kategorien personenbezogener Daten fallen und nicht ohne ausreichende Rechtsgrundlage übermittelt werden dürfen.
Es empfiehlt sich daher eher, eine E-Mail-Adresse anzubieten, bei der sich Impfwillige melden können. So erfährt niemand von der Impfwilligkeit der anderen und die verarbeitende Stelle hat einen ausreichenden Grund für die Verarbeitung. Die Schweigepflicht ist dabei natürlich selbstverständlich.
Fall 61/2021: Gruppenauskunft für KiJuPa?
Für die Wahl zum Kinder- und Jugendparlament (KiJuPa) wird eine Gruppenauskunft angefordert. Das ist eine Auskunft über die Meldedaten einer fest definierten Gruppe. Darf für die Wahl des KiJuPa eine Liste aller Wahlberechtigten angefordert werden?
Diese Auskunft muss sich durch feste Kriterien definieren und sie muss im öffentlichen Interesse liegen (§ 46 Bundesmeldegesetz). Fraglos liegt die Jugendpartizipation im öffentlichen Interesse, denn man möchte natürlich Kinder und Jugendliche an die Politik heranführen, damit sie früh lernen, sich für ihre Interessen einzusetzen. Und die Gruppe der Wähler kann man aufgrund des Alters ebenfalls spezifizieren. Das Alter ist nach § 46 auch ein erlaubtes Kriterium zur Definition einer Gruppe.
Die Auskunft ist also datenschutzrechtlich einwandfrei.
Prüfschema Datenschutz 2021: Arbeiten wir nach der EU-DSGVO?
- Geben Sie dem Fall ein eindeutiges Aktenzeichen und einen eindeutigen Titel.
- Beschreiben Sie den Sachverhalt (ohne personenbezogene Daten zu erfassen, da dies selbst ein Datenschutzfall sein könnte).
- Prüfen Sie dann die folgenden Verhältnisse:
- Fand der Sachverhalt nach dem 28.05.2018, 0:00 Uhr statt?
- Sind personenbezogene Daten betroffen? Wenn ja, welcher Art?
- Werden diese Daten verarbeitet und brauchen Sie eine Datenschutzerklärung!
- Ist die EU-DSGVO räumlich anwendbar?
- Besteht eine Rechtsgrundlage oder müssen Sie eine Einwilligung einholen?
- Werden besondere Kategorien personenbezogener Daten verarbeitet?
- Besteht eine legale Auftragsverarbeitung, sind alle Betroffenenrechte gewährleistet?
- Muss ein Verarbeitungsverzeichnis durch Verantwortliche erstellt werden?
- Müssen Datenschutzbeauftragte benannt werden?
- Muss eine Datenschutzfolgenabschätzung abgegeben werden?
- Sind geeignete technische und organisatorische Maßnahmen ergriffen worden?
- Eventuell muss eine Meldung an die Aufsichtsbehörde erfolgen.
- Es droht u. U. ein Bußgeld.
- Es besteht möglicherweise ein Anspruch auf Schadensersatz.
Weitere Angebote
- 👩🎓 Einführung in die EU-DSGVO
- 📜 Datenschutzberichte
- 📓 Datenschutzlexikon
- 🎈 Eine Liste weiterer interessanter Links
- 👓 Prüfschema für Datenschutzfälle
- 💸 Korruptionsschutz
Letzte Änderungen
Programme (Windows, Beta)
- 😀 KURT - Programm zur Prüfung der Korruptionsvorbeugung (Version 21.07.2020)
- 😁 EUGEN - Programm zur Prüfung von Datenschutzfällen (Version 24.06.2020)
- 🍕 Pizza 2000 - Einfaches Programm für Lieferdienste (Version 14.08.2020, Freizeitspaß)