Podcast "Der Feind in meinem Pad": Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „<pre> SKRIPT Podcast/Video DER FEIND IN MEINEM PAD Eine Einführung in die EU-DSGVO in 15 Schritten Frank Werner Geprüfter UNIX-Administrator Staatlich gepr…“)
 
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
  
 
DER FEIND IN MEINEM PAD
 
DER FEIND IN MEINEM PAD
Eine Einführung in die EU-DSGVO in 15 Schritten
+
Eine Prüfung nach EU-DSGVO in 10 Schritten
 +
Entwurf: April 2023
  
Frank Werner
+
FRANK H. WERNER
Geprüfter UNIX-Administrator
+
Behördlicher Datenschutzbeauftragter (2016)
Staatlich geprüfter Informatiker
+
Geprüfter UNIX-Administrator (1995)
Behördlicher Datenschutzbeauftragter
+
Staatlich geprüfter Informatiker (1989)
 +
Kommunalbeamter a. D. (1985)
  
Stand: April 2023
+
1. Ist die EU-DSGVO generell anwendbar?
  
1. Datenschutz - Entwicklung bisher
+
* EU-DSGVO ist Grundverordnung – keine nationale Umsetzung
 +
* Grundregelungen mit direkter Wirkung - aber „Öffnungsklauseln“
 +
* Regelungen ähneln dem alten deutschen Datenschutzrecht
 +
* Prüfung von Datenschutzfällen immer zuerst nach EU-DSGVO  (Art. 5)
 +
* Dann erst nach Datenschutz im Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
 +
* Dann entweder BDSG (bei Bundesbehörden, Firmen, Privatpersonen)
 +
* oder LDSG (Landesbehörden, Verbände, Kommunen)
 +
* Anwendbar auf alle Fälle NACH dem 28.05.2018, 0:00 Uhr (Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages)
 +
* Es gab 2 Jahre Karenzzeit (reichte aber nicht aus)
  
• Wissen ist Macht - das galt schon ewig
+
2. Werden personenbezogene Daten verarbeitet (Sachliche Anwendbarkeit)?
• Schweigepflicht, Need-to-know
 
• Datenschutz = Schutz der Daten natürlicher Personen
 
• aus dem Recht auf informationelle Selbstbestimmung
 
• definiert im Volkszählungsurteil 1983
 
• Erstes Datenschutzgesetz 1977 in Hessen
 
• Spiros Simitis
 
• Datenschutzgesetze z. B. 2000 in NRW und eben die EU-DSGVO
 
  
2. Prüfung 1: Fand der Sachverhalt im richtigen Zeitraum statt?
+
* Personenbezogene Daten beziehen sich auf natürliche Personen
 +
* Personen sind durch sie eindeutig identifizierbar
 +
* Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
 +
* Eindeutige Merkmale sind auch identifizierend
  
• Erlassen 28.05.2016, gültig 28.05.2018, 0:00 Uhr
+
Besondere Kategorien personenbezogener Daten sind Daten über
• Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages
 
• 2 Jahre Karenzzeit (reichte nicht aus)
 
• ist Grundverordnung – keine nationale Umsetzung
 
• Grundregelungen mit direkter Wirkung -aber „Öffnungsklauseln“
 
• Regelungen ähneln dem alten deutschen Datenschutzrecht
 
• Prüfung zuerst nach EU-DSGVO
 
• Dann nach Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
 
• Dann entweder BDSG: Bundesbehörden, Firmen, Privatpersonen
 
• oder LDSG: Landesbehörden, Verbände, Kommunen
 
  
3. Prüfung 2: Sind personenbezogene Daten betroffen?
+
* Ethnie und Herkunft (Originaltext: "Rasse")
• Personenbezogene Daten beziehen sich auf natürliche Personen
+
* Politische Einstellungen
• Personen sind durch sie eindeutig identifizierbar
+
* Mitgliedschaft in Gewerkschaften
• Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
+
* religiöse oder weltanschauliche Überzeugungen
• Eindeutige Merkmale sind auch identifizierend
+
* genetische Daten
 +
* biometrische Daten
 +
* Sexuelle Ausrichtung
  
4. Werden diese personenbezogenen Daten verarbeitet?
+
Verarbeitung bedeutet, Daten werden...
• erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
 
• organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
 
• verwenden, offenlegen, verbreiten (Datenverteilung)
 
• abgleichen, verknüpfen (Datenauswertung)
 
• einschränken, löschen, vernichten (Datenvernichtung).
 
• ferner: Zweckänderung oder Übermittlung
 
  
5. Verantwortliche, Auftragsverarbeitung, räumliche Anwendbarkeit
+
* erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
• Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
+
* organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
• Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
+
* verwenden, offenlegen, verbreiten (Datenverteilung)
• Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter
+
* abgleichen, verknüpfen (Datenauswertung)
 +
* einschränken, löschen, vernichten (Datenvernichtung).
 +
* ferner: Zweckänderung oder Übermittlung
  
6. Der Datenschutzbeauftragte
+
3. Ist diese Verarbeitung rechtmäßig?
  
• Datenschutzbeauftragte müssen von Behörden immer benannt werden
+
* Lebenswichtiges Interesse
• Verantwortliche, die systematisch überwachen, auch
+
* Öffentliches Interesse
• Verantwortliche, die umfangreiche besondere Kategorien verarbeiten, auch
+
* Öffentliche Gewalt
• Qualifikation und Fachwissen (Fortbildung)
+
* Gesetz
• Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
+
* Vertrag
• Keine Anweisungen bezüglich Tätigkeit
+
* Berechtigtes Interesse
• Bericht an Verantwortlichen unmittelbar
 
• Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
 
• Geheimhaltung und Vertraulichkeitspflicht
 
• Kein Interessenskonflikt (keine Selbstkontrolle)
 
• Pflichten:
 
  • Unterrichtung und Beratung über die Rechtslage
 
  • Überwachung der Einhaltung der EU-DSGVO
 
  • Beratung (auf Anfrage)
 
  • Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
 
  • Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!
 
  
7. Verarbeitungsverzeichnis
+
Wenn nicht: liegt eine gültige Einwilligung vor?
  
• Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
+
* Einwilligung ist immer möglich und immer gültig
• Name und Kontaktdaten des Datenschutzbeauftragten
+
* Denn mit seinen Daten kann jeder tun und lassen, was er will
• die Zwecke der Verarbeitung
+
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
• die Kategorien der betroffenen Personen und die der personenbezogenen Daten
+
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
• die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
+
* Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
• Übermittlung von solchen Daten an ein Drittland
+
* Einwilligung nur für jeweils einen Sachverhalt möglich
• Löschfristen dieser Daten
+
* Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
• technische und organisatorische Maßnahmen zum Schutz dieser Daten
+
* Einwilligende müssen "informiert" sein!
• ...für Auftragsverarbeiter zeigen dagegen nur an
+
* Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
• Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
 
• Name und Kontaktdaten des Datenschutzbeauftragten
 
• Kategorien von Verarbeitungen dieser Daten
 
• Übermittlung solcher Daten an ein Drittland
 
• technische und organisatorische Maßnahmen zum Schutz dieser Daten
 
  
8. Technische und organisatorische Maßnahmen
+
Bei besonderen Kategorien personenbezogener Daten
  
9. Ist diese Verarbeitung rechtmäßig?
+
* Zunächst gelten alle bisherigen Anforderungen an die Rechtmäßigkeit
 +
* Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
 +
* um ein Recht oder eine Pflicht
 +
* der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
 +
* Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
 +
* Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.
  
• Lebenswichtiges Interesse
+
4. Brauchen wir eine Datenschutzerklärung?
• Öffentliches Interesse
 
• Öffentliche Gewalt
 
• Gesetz
 
• Vertrag
 
• Berechtigtes Interesse
 
  
10. Wenn nicht: liegt eine gültige Einwilligung vor?
+
* Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
 +
* Der Verantwortliche erklärt...
 +
* ...wer er ist (und wer sein Stellvertreter ist)
 +
* ...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
 +
* ...welchen Zweck die Verarbeitung hat
 +
* ...welche Rechtsgrundlage die Verarbeitung hat
 +
* ...ggf. welche berechtigten Interessen
 +
* ...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
 +
* ...die Absicht, die Daten außerhalb der EU zu übermitteln
  
• Einwilligung ist immer möglich und immer gültig
+
sowie vor einer Zweckänderung (beim Verantwortlichen!)
• Denn mit seinen Daten kann jeder tun und lassen, was er will
 
• Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
 
• Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
 
• Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
 
• Einwilligung nur für jeweils einen Sachverhalt möglich
 
• Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
 
• Einwilligende müssen "informiert" sein!
 
• Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
 
  
11. Werden besondere Kategorien personenbezogener Daten rechtmäßig verarbeitet?
+
* den neuen Zweck
 +
* die Dauer der Speicherung dieser Daten
 +
* das Bestehen der Betroffenenrechte
 +
* das Recht auf Widerruf einer Einwilligung
 +
* das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
 +
* die Folgen der fehlenden Bereitstellung der Daten
 +
* das Bestehen einer automatischen Entscheidungsfindung
  
• Besondere Kategorien personenbezogener Daten sind ausschließlich Daten über
+
5. Brauchen wir ein Verarbeitungsverzeichnis?
◦ Ethnie und Herkunft (Originaltext: Rasse)
 
◦ Politische Einstellungen
 
◦ Mitgliedschaft in Gewerkschaften
 
◦ religiöse oder weltanschauliche Überzeugungen
 
◦ genetische Daten
 
◦ biometrische Daten
 
◦ Sexuelle Ausrichtung
 
• Zunächst gelten alle bisherigen Anforderungen (Nr. 5)
 
• Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
 
• um ein Recht oder eine Pflicht
 
• der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
 
• Einwilligungen müssen AUSDRÜCKLICH erfolgen (Nr. 6)
 
• Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
 
• Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.
 
  
12. Brauchen wir eine Datenschutzerklärung?
+
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
 +
* Name und Kontaktdaten des Datenschutzbeauftragten
 +
* die Zwecke der Verarbeitung
 +
* die Kategorien der betroffenen Personen und die der personenbezogenen Daten
 +
* die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
 +
* Übermittlung von solchen Daten an ein Drittland
 +
* Löschfristen dieser Daten
 +
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
 +
* ...für Auftragsverarbeiter zeigen dagegen nur an
 +
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
 +
* Name und Kontaktdaten des Datenschutzbeauftragten
 +
* Kategorien von Verarbeitungen dieser Daten
 +
* Übermittlung solcher Daten an ein Drittland
 +
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
  
• Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
+
6. Brauchen wir eine Datenschutzfolgenabschätzung?
• Der Verantwortliche erklärt...
 
• ...wer er ist (und wer sein Stellvertreter ist)
 
• ...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
 
• ...welchen Zweck die Verarbeitung hat
 
• ...welche Rechtsgrundlage die Verarbeitung hat
 
• ...ggf. welche berechtigten Interessen
 
• ...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
 
• ...die Absicht, die Daten außerhalb der EU zu übermitteln
 
  
sowie auf Nachfrage (beim Verantwortlichen!)   <- FALSCH!
+
Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutz-Folgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.
  
• die Dauer der Speicherung dieser Daten
+
Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn
• das Bestehen der Betroffenenrechte
 
• das Recht auf Widerruf einer Einwilligung
 
• das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
 
• die Folgen der fehlenden Bereitstellung der Daten
 
• das Bestehen einer automatischen Entscheidungsfindung
 
  
13. Sind die Betroffenenrechte garantiert?
+
* natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
 +
* dass Rechtsfolgen für diese Personen haben könnte oder
 +
* große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
 +
* öffentliche Bereiche systematisch überwacht werden sollen
  
• Dateneigentümer haben garantierte Rechte im Datenschutz
+
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.
• Konstruktive Rechte:
 
◦ Auskunft
 
◦ Berichtigung
 
◦ Datenübertragbarkeit
 
• Destruktive Rechte:
 
◦ Widerspruch
 
◦ Einschränkung
 
◦ Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!
 
Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
 
• Aus der Informationspflicht folgt die Datenschutzerklärung
 
  
14. Brauchen wir eine Datenschutzfolgenabschätzung?
+
Eine DSFA enthält wenigstens
  
Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutz-Folgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.
+
* eine Beschreibung der geplanten Verarbeitungsvorgänge
 +
* eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
 +
* eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
 +
* Abhilfemaßnahmen, die die Risiken minimieren
 +
 
 +
Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.
 +
 
 +
7. Sind die Betroffenenrechte garantiert?
 +
 
 +
* Dateneigentümer haben garantierte Rechte im Datenschutz
  
Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn
+
* Konstruktive Rechte:
 +
    Auskunft
 +
    Berichtigung
 +
    Datenübertragbarkeit
  
• natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
+
* Destruktive Rechte:
• dass Rechtsfolgen für diese Personen haben könnte oder
+
    Widerspruch
• große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
+
    Einschränkung
• öffentliche Bereiche systematisch überwacht werden sollen
+
    Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!
  
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.
+
* Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
 +
* Aus der Informationspflicht folgt die Datenschutzerklärung
  
Eine DSFA enthält wenigstens
+
8. Verantwortliche, gemeinsam Verantwortliche, Auftragsverarbeitung
  
• eine Beschreibung der geplanten Verarbeitungsvorgänge
+
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
• eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
+
* Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
• eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
+
* Technische und organisatorische Maßnahmen notwendig
• Abhilfemaßnahmen, die die Risiken minimieren
+
* Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter
 +
* Auftragsverarbeitungsverträge müssen bestimmten Anforderungen genügen
  
Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.
+
9. Der Datenschutzbeauftragte
  
15. Meldung, Klage, Bußgeld
+
* Datenschutzbeauftragte müssen benannt werden
 +
* Von Behörden immer!
 +
* von Verantwortlichen, die systematisch überwachen (Security Dienste)
 +
* von Verantwortlichen, die umfangreiche besondere Kategorien verarbeiten (Praxen, Apotheken)
 +
* Notwendig Qualifikation und Fachwissen (evtl. Fortbildung)
 +
* Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
 +
* Keine Weisungsempfänger bezüglich Tätigkeit
 +
* Recht auf Bericht an Verantwortliche unmittelbar
 +
* Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
 +
* Geheimhaltung und Vertraulichkeitspflicht
 +
* Kein Interessenskonflikt (keine Selbstkontrolle)
 +
* Unterrichtung und Beratung über die Rechtslage
 +
* Überwachung der Einhaltung der EU-DSGVO
 +
* Allgemeine Beratung (auf Anfrage)
 +
* Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
 +
* Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!
  
Meldung „möglichst“ binnen 72 Stunden
+
10. Meldung, Klage, Bußgeld
• Auftragsverarbeiter melden an Verantwortliche
 
  
Inhalt der Meldung
+
* Meldung „möglichst“ binnen 72 Stunden
Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
+
* Auftragsverarbeiter melden an Verantwortliche
Kontaktdaten des Datenschutzbeauftragten
+
* Inhalt der Meldung
Wahrscheinliche Folgen der Verletzung
+
* Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
+
* Kontaktdaten des Datenschutzbeauftragten
 +
* Wahrscheinliche Folgen der Verletzung
 +
* Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
  
Zuständig sind die ordentlichen Gerichte
+
* Zuständig sind die ordentlichen Gerichte
Also z. B. nicht die Verwaltungsgerichte
+
* Also z. B. nicht die Verwaltungsgerichte
Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
+
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
die sie nach Prüfung auf Einstellung
+
* die sie nach Prüfung auf Einstellung
nicht ohne Zustimmung der erlassenden Datenschutzbehörde
+
* nicht ohne Zustimmung der erlassenden Datenschutzbehörde
an das Strafgericht übersandt.
+
* an das Strafgericht übersandt.
  
Bußgelder sind nur gegen jeden Verantwortlichen möglich
+
* Bußgelder sind nur gegen jeden Verantwortlichen möglich
Mitarbeiter können auch verantwortlich sein
+
* Mitarbeiter können auch verantwortlich sein
Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
+
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
Darüber hinaus das Landgericht.
+
* Darüber hinaus das Landgericht.
Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
+
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
Datenschutzverstöße verjähren nach 3 - 5 Jahren
+
* Datenschutzverstöße verjähren nach 3 - 5 Jahren
  
 
ENDE
 
ENDE
 
</pre>
 
</pre>

Aktuelle Version vom 6. Oktober 2023, 06:08 Uhr

SKRIPT Podcast/Video

DER FEIND IN MEINEM PAD
Eine Prüfung nach EU-DSGVO in 10 Schritten
Entwurf: April 2023

FRANK H. WERNER
Behördlicher Datenschutzbeauftragter (2016)
Geprüfter UNIX-Administrator (1995)
Staatlich geprüfter Informatiker (1989)
Kommunalbeamter a. D. (1985)

1. Ist die EU-DSGVO generell anwendbar?

* EU-DSGVO ist Grundverordnung – keine nationale Umsetzung
* Grundregelungen mit direkter Wirkung - aber „Öffnungsklauseln“
* Regelungen ähneln dem alten deutschen Datenschutzrecht
* Prüfung von Datenschutzfällen immer zuerst nach EU-DSGVO  (Art. 5)
* Dann erst nach Datenschutz im Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
* Dann entweder BDSG (bei Bundesbehörden, Firmen, Privatpersonen)
* oder LDSG (Landesbehörden, Verbände, Kommunen)
* Anwendbar auf alle Fälle NACH dem 28.05.2018, 0:00 Uhr (Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages)
* Es gab 2 Jahre Karenzzeit (reichte aber nicht aus)

2. Werden personenbezogene Daten verarbeitet (Sachliche Anwendbarkeit)?

* Personenbezogene Daten beziehen sich auf natürliche Personen
* Personen sind durch sie eindeutig identifizierbar
* Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
* Eindeutige Merkmale sind auch identifizierend

Besondere Kategorien personenbezogener Daten sind Daten über

* Ethnie und Herkunft (Originaltext: "Rasse")
* Politische Einstellungen
* Mitgliedschaft in Gewerkschaften
* religiöse oder weltanschauliche Überzeugungen
* genetische Daten
* biometrische Daten
* Sexuelle Ausrichtung

Verarbeitung bedeutet, Daten werden...

* erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
* organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
* verwenden, offenlegen, verbreiten (Datenverteilung)
* abgleichen, verknüpfen (Datenauswertung)
* einschränken, löschen, vernichten (Datenvernichtung).
* ferner: Zweckänderung oder Übermittlung

3. Ist diese Verarbeitung rechtmäßig?

* Lebenswichtiges Interesse
* Öffentliches Interesse
* Öffentliche Gewalt
* Gesetz
* Vertrag
* Berechtigtes Interesse

Wenn nicht: liegt eine gültige Einwilligung vor?

* Einwilligung ist immer möglich und immer gültig
* Denn mit seinen Daten kann jeder tun und lassen, was er will
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
* Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
* Einwilligung nur für jeweils einen Sachverhalt möglich
* Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
* Einwilligende müssen "informiert" sein!
* Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

Bei besonderen Kategorien personenbezogener Daten 

* Zunächst gelten alle bisherigen Anforderungen an die Rechtmäßigkeit
* Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
* um ein Recht oder eine Pflicht
* der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
* Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
* Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.

4. Brauchen wir eine Datenschutzerklärung?

* Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
* Der Verantwortliche erklärt...
* ...wer er ist (und wer sein Stellvertreter ist)
* ...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
* ...welchen Zweck die Verarbeitung hat
* ...welche Rechtsgrundlage die Verarbeitung hat
* ...ggf. welche berechtigten Interessen
* ...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
* ...die Absicht, die Daten außerhalb der EU zu übermitteln

sowie vor einer Zweckänderung (beim Verantwortlichen!)

* den neuen Zweck
* die Dauer der Speicherung dieser Daten
* das Bestehen der Betroffenenrechte
* das Recht auf Widerruf einer Einwilligung
* das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
* die Folgen der fehlenden Bereitstellung der Daten
* das Bestehen einer automatischen Entscheidungsfindung

5. Brauchen wir ein Verarbeitungsverzeichnis?

* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
* Name und Kontaktdaten des Datenschutzbeauftragten
* die Zwecke der Verarbeitung
* die Kategorien der betroffenen Personen und die der personenbezogenen Daten
* die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
* Übermittlung von solchen Daten an ein Drittland
* Löschfristen dieser Daten
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
* ...für Auftragsverarbeiter zeigen dagegen nur an
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
* Name und Kontaktdaten des Datenschutzbeauftragten
* Kategorien von Verarbeitungen dieser Daten
* Übermittlung solcher Daten an ein Drittland
* technische und organisatorische Maßnahmen zum Schutz dieser Daten

6. Brauchen wir eine Datenschutzfolgenabschätzung?

Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutz-Folgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn

* natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
* dass Rechtsfolgen für diese Personen haben könnte oder
* große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
* öffentliche Bereiche systematisch überwacht werden sollen

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.

Eine DSFA enthält wenigstens

* eine Beschreibung der geplanten Verarbeitungsvorgänge
* eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
* eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
* Abhilfemaßnahmen, die die Risiken minimieren

Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.

7. Sind die Betroffenenrechte garantiert?

* Dateneigentümer haben garantierte Rechte im Datenschutz

* Konstruktive Rechte:
    Auskunft
    Berichtigung
    Datenübertragbarkeit

* Destruktive Rechte:
    Widerspruch
    Einschränkung
    Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!

* Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
* Aus der Informationspflicht folgt die Datenschutzerklärung

8. Verantwortliche, gemeinsam Verantwortliche, Auftragsverarbeitung

* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
* Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
* Technische und organisatorische Maßnahmen notwendig
* Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter
* Auftragsverarbeitungsverträge müssen bestimmten Anforderungen genügen

9. Der Datenschutzbeauftragte

* Datenschutzbeauftragte müssen benannt werden
* Von Behörden immer!
* von Verantwortlichen, die systematisch überwachen (Security Dienste)
* von Verantwortlichen, die umfangreiche besondere Kategorien verarbeiten (Praxen, Apotheken)
* Notwendig Qualifikation und Fachwissen (evtl. Fortbildung)
* Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
* Keine Weisungsempfänger bezüglich Tätigkeit
* Recht auf Bericht an Verantwortliche unmittelbar
* Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
* Geheimhaltung und Vertraulichkeitspflicht
* Kein Interessenskonflikt (keine Selbstkontrolle)
* Unterrichtung und Beratung über die Rechtslage
* Überwachung der Einhaltung der EU-DSGVO
* Allgemeine Beratung (auf Anfrage)
* Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
* Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!

10. Meldung, Klage, Bußgeld

* Meldung „möglichst“ binnen 72 Stunden
* Auftragsverarbeiter melden an Verantwortliche
* Inhalt der Meldung
* Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
* Kontaktdaten des Datenschutzbeauftragten
* Wahrscheinliche Folgen der Verletzung
* Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

* Zuständig sind die ordentlichen Gerichte
* Also z. B. nicht die Verwaltungsgerichte
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
* die sie nach Prüfung auf Einstellung
* nicht ohne Zustimmung der erlassenden Datenschutzbehörde
* an das Strafgericht übersandt.

* Bußgelder sind nur gegen jeden Verantwortlichen möglich
* Mitarbeiter können auch verantwortlich sein
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
* Darüber hinaus das Landgericht.
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
* Datenschutzverstöße verjähren nach 3 - 5 Jahren

ENDE