Was ist Datenschutz?: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
(67 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
[[Datei:Vortrag.jpeg|mini|rechts]] | [[Datei:Vortrag.jpeg|mini|rechts]] | ||
=== Wenn im räumlichen Anwendungsbereich der EU-DSGVO === | === Wenn im räumlichen Anwendungsbereich der EU-DSGVO === | ||
− | * Die Verarbeitung findet innerhalb der EU | + | <pre>Art. 3 EU-DSGVO</pre> |
− | * oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten") | + | * Die Verarbeitung findet '''innerhalb der EU''' statt |
− | * oder die Verantwortlichen unterliegen EU-Recht | + | * oder in '''Norwegen, Island oder Liechtenstein''' ("NIL-Staaten") |
− | * oder die Verantwortlichen haben wenigstens eine Niederlassung innerhalb der EU | + | * oder die Verantwortlichen '''unterliegen EU-Recht''' |
+ | * oder die Verantwortlichen haben ihren '''Hauptsitz''' | ||
+ | * oder wenigstens eine '''Niederlassung''' innerhalb der EU | ||
=== und im sachlichen Anwendungsbereich der EU-DSGVO === | === und im sachlichen Anwendungsbereich der EU-DSGVO === | ||
+ | <pre>Art. 2 EU-DSGVO</pre> | ||
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte) | * und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte) | ||
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften) | * und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften) | ||
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich | * und es handelt sich nicht um den rein persönlichen oder familiären Bereich | ||
+ | |||
=== und im zeitlichen Anwendungsbereich der EU-DSGVO === | === und im zeitlichen Anwendungsbereich der EU-DSGVO === | ||
− | * also nach dem 28.05.2018, 0:00 Uhr | + | <pre>Art. 99 Abs. 2 EU-DSGVO</pre> |
+ | * findet also nach dem '''28.05.2018, 0:00 Uhr''' statt | ||
+ | ** also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018 | ||
+ | ** nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018 | ||
+ | |||
=== personenbezogene Daten === | === personenbezogene Daten === | ||
− | * Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die | + | <pre>Art. 4 EU-DSGVO</pre> |
− | ** eine oder mehrere natürliche Personen | + | * '''Personenbezogenen''' sind Daten (auch Bild- und Tonaufnahmen), durch die |
− | ** direkt oder mit Hilfe von weiteren Datenquellen | + | ** eine oder mehrere natürliche '''Personen''' |
− | ** eindeutig | + | ** '''direkt''' oder mit Hilfe von weiteren Datenquellen |
− | * identifiziert werden kann. | + | ** '''eindeutig''' |
+ | * '''identifiziert''' werden kann. | ||
+ | * '''Juristische''' Personen genießen keinen Datenschutz | ||
+ | ** Das kann bei '''Ein-Mensch-Firmen''' anders sein! | ||
+ | * '''Verstorbene''' genießen auch keinen Datenschutz | ||
+ | ** Das Interesse der '''Hinterbliebenen''' kann aber relevant sein. | ||
=== oder besondere Kategorien personenbezogener Daten === | === oder besondere Kategorien personenbezogener Daten === | ||
− | * Daten über rassische oder ethnische Herkunft (Originaltext) | + | <pre>Art. 9 EU-DSGVO</pre> |
+ | * Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir) | ||
* politische Meinungen oder Gewerkschaftszugehörigkeit | * politische Meinungen oder Gewerkschaftszugehörigkeit | ||
* religiöse oder weltanschauliche Überzeugungen | * religiöse oder weltanschauliche Überzeugungen | ||
Zeile 27: | Zeile 41: | ||
=== verarbeitet werden, === | === verarbeitet werden, === | ||
+ | <pre>Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG</pre> | ||
* erhoben (z. B. Daten werden von Betroffenen erfragt) | * erhoben (z. B. Daten werden von Betroffenen erfragt) | ||
* erfasst (z. B. Daten werden gespeichert) | * erfasst (z. B. Daten werden gespeichert) | ||
Zeile 45: | Zeile 60: | ||
* gelöscht (z. B. wieder herstellbar verschoben) | * gelöscht (z. B. wieder herstellbar verschoben) | ||
* vernichtet (z. B. endgültig unbrauchbar gemacht) | * vernichtet (z. B. endgültig unbrauchbar gemacht) | ||
+ | |||
=== dann müssen die Verantwortlichen === | === dann müssen die Verantwortlichen === | ||
− | * Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet | + | <pre>Art. 24, 26 u. 27 EU-DSGVO</pre> |
− | * Es kann auch gemeinsam Verantwortliche geben | + | * Verantwortlich ist, wer über '''Zweck und Mittel''' der Verarbeitung entscheidet |
+ | * Es kann auch '''gemeinsam Verantwortliche''' geben | ||
** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt | ** die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt | ||
** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt. | ** und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt. | ||
− | * | + | |
+ | === oder ihre Auftragsverarbeiter === | ||
+ | <pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre> | ||
+ | * auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter | ||
+ | * Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten | ||
+ | * wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können | ||
+ | * dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden: | ||
+ | ** Gegenstand der Verarbeitung | ||
+ | ** Dauer der Verarbeitung | ||
+ | ** Art der Verarbeitung | ||
+ | ** Zweck der Verarbeitung | ||
+ | ** Art der personenbezogenen Daten | ||
+ | ** Kategorien betroffener Personen | ||
+ | ** Rechte und Pflichten der Verantwortlichen | ||
+ | ** Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer | ||
+ | ** keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache | ||
+ | ** Regelung einer Löschungspflicht nach dem Ende der Verarbeitung | ||
=== dies aufgrund einer Rechtsgrundlage === | === dies aufgrund einer Rechtsgrundlage === | ||
+ | <pre>Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG</pre> | ||
* Rechtsgrundlagen sind | * Rechtsgrundlagen sind | ||
** Interessen | ** Interessen | ||
*** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht) | *** lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht) | ||
− | *** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen)) | + | *** öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg)) |
− | *** berechtigter Art (z. B. Firmen, deren Interesse | + | *** berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist) |
** Verträge, Vorverträge oder vorvertragliche Verhandlungen | ** Verträge, Vorverträge oder vorvertragliche Verhandlungen | ||
*** deren Beteiligte die Betroffenen sind | *** deren Beteiligte die Betroffenen sind | ||
Zeile 64: | Zeile 98: | ||
** oder in Ausübung öffentlicher Gewalt | ** oder in Ausübung öffentlicher Gewalt | ||
*** die der Staat oder damit Beliehene ausüben dürfen | *** die der Staat oder damit Beliehene ausüben dürfen | ||
+ | |||
=== oder einer informierten Einwilligung der Betroffenen === | === oder einer informierten Einwilligung der Betroffenen === | ||
+ | <pre>Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre> | ||
* Einwilligung ist immer möglich und immer gültig | * Einwilligung ist immer möglich und immer gültig | ||
− | * Denn mit seinen Daten kann jeder tun und lassen, was er will | + | * Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will |
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!) | * Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!) | ||
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot) | * Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot) | ||
Zeile 76: | Zeile 112: | ||
=== unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, === | === unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, === | ||
+ | <pre>Art. 9 EU-DSGVO</pre> | ||
* Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein. | * Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten ''explizit'' aufgeführt sein. | ||
* Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen. | * Die Verarbeitung muss ''erforderlich'' sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen. | ||
Zeile 92: | Zeile 129: | ||
** archivarische, wissenschaftliche oder historische Zwecke | ** archivarische, wissenschaftliche oder historische Zwecke | ||
* Verarbeitende unterliegen einer Geheimhaltungspflicht | * Verarbeitende unterliegen einer Geheimhaltungspflicht | ||
+ | |||
+ | === unter Wahrung der Rechte der Betroffenen, === | ||
+ | <pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre> | ||
+ | * konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen) | ||
+ | * destruktive Rechte (Widerspruch, Einschränkung, Löschung) | ||
+ | * deskriptive Rechte (Auskunft, Mitteilungen) | ||
+ | * Eventuell müssen Datenschutzbeauftragte benannt werden | ||
+ | * Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht. | ||
+ | |||
=== zweckgebunden, === | === zweckgebunden, === | ||
+ | <pre>Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG</pre> | ||
* Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein. | * Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein. | ||
* Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war. | * Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war. | ||
Zeile 106: | Zeile 153: | ||
=== minimiert, === | === minimiert, === | ||
+ | <pre>Art. 5 Abs. 1 Bst. c EU-DSGVO</pre> | ||
* Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind. | * Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind. | ||
=== transparent, === | === transparent, === | ||
− | * Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden. | + | <pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG</pre> |
+ | * Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden. | ||
* Betroffene haben ein Recht auf Auskunft | * Betroffene haben ein Recht auf Auskunft | ||
+ | |||
=== mit den korrekten Daten, === | === mit den korrekten Daten, === | ||
* Betroffene haben ein Recht auf Korrektur ihrer Daten | * Betroffene haben ein Recht auf Korrektur ihrer Daten | ||
Zeile 122: | Zeile 172: | ||
=== integer und vertraulich, === | === integer und vertraulich, === | ||
* Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn | * Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn | ||
− | ** es sich bei den Verantwortlichen um Behörden handelt | + | ** es sich bei den Verantwortlichen um Behörden handelt |
− | ** mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind | + | ** oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?) |
− | ** besondere Kategorien personenbezogener Daten verarbeitet werden | + | ** oder besondere Kategorien personenbezogener Daten verarbeitet werden |
− | ** personenbezogene Daten in großem Umfang verarbeitet werden | + | ** oder personenbezogene Daten in großem Umfang verarbeitet werden |
− | ** | + | ** oder systematisch das Verhalten natürlicher Personen überwacht wird |
=== nach Treu und Glauben durchführen === | === nach Treu und Glauben durchführen === | ||
* Nach herrschender Meinung in anständiger und fairer Weise. | * Nach herrschender Meinung in anständiger und fairer Weise. | ||
* Englischer Begriff: "fairness". | * Englischer Begriff: "fairness". | ||
+ | === und dabei technische und organisatorische Maßnahmen ergreifen === | ||
+ | <pre>Art. 25 u. 32 EU-DSGVO</pre> | ||
+ | * Datensicherung (Erzeugen von redundanten Datenbeständen) | ||
+ | * Datensicherheit (Wahrung der Integrität der Datenbestände) | ||
+ | * Datenzugriff (Schutz vor unberechtigtem Zugriff) | ||
=== und das alles nachweisen können === | === und das alles nachweisen können === | ||
− | * Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO). | + | <pre>Art. 30 EU-DSGVO, § 70 BDSG</pre> |
+ | * Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO). | ||
** wenn es sich um Behörden handelt | ** wenn es sich um Behörden handelt | ||
** oder um private Stellen, | ** oder um private Stellen, | ||
Zeile 153: | Zeile 209: | ||
* und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss | * und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss | ||
− | === | + | === und möglicherweise Folgen abschätzen === |
− | + | <pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre> | |
− | * | + | * Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn |
− | ** neue Technologien verwendet werden | + | ** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI) |
** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil | ** voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil | ||
*** Art (regelmäßig Profiling) | *** Art (regelmäßig Profiling) | ||
Zeile 173: | Zeile 229: | ||
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, === | === weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, === | ||
+ | <pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre> | ||
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG). | * Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG). | ||
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG). | * Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG). | ||
Zeile 185: | Zeile 242: | ||
=== eine Klage erhoben, === | === eine Klage erhoben, === | ||
− | * Die Verjährungsfrist beträgt drei Jahre. | + | * Die Verjährungsfrist beträgt drei bis fünf Jahre. |
* Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte). | * Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte). | ||
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft, | * Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft, | ||
** die sie nach Prüfung auf Einstellung | ** die sie nach Prüfung auf Einstellung | ||
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde | ** nicht ohne Zustimmung der erlassenden Datenschutzbehörde | ||
− | ** an das Strafgericht | + | ** an das Strafgericht übersendet. |
=== und eventuell eine Strafe verhängt === | === und eventuell eine Strafe verhängt === | ||
− | * | + | * Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen. |
− | * Bußgelder | + | * Bußgelder werden gegen jeden Verantwortlichen verhängt. |
− | * Mitarbeiter können auch | + | * Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit). |
− | * Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig | + | * Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht. |
− | |||
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht. | * Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht. | ||
=== oder Schadensersatz verlangt werden kann. === | === oder Schadensersatz verlangt werden kann. === | ||
+ | * Voraussetzung ist, dass wirklich ein Schaden entstanden ist. | ||
+ | * Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht. | ||
* Schmerzensgeld ist auch möglich. | * Schmerzensgeld ist auch möglich. |
Aktuelle Version vom 9. September 2024, 08:55 Uhr
Inhaltsverzeichnis
- 1 Wenn im räumlichen Anwendungsbereich der EU-DSGVO
- 2 und im sachlichen Anwendungsbereich der EU-DSGVO
- 3 und im zeitlichen Anwendungsbereich der EU-DSGVO
- 4 personenbezogene Daten
- 5 oder besondere Kategorien personenbezogener Daten
- 6 verarbeitet werden,
- 7 dann müssen die Verantwortlichen
- 8 oder ihre Auftragsverarbeiter
- 9 dies aufgrund einer Rechtsgrundlage
- 10 oder einer informierten Einwilligung der Betroffenen
- 11 unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
- 12 unter Wahrung der Rechte der Betroffenen,
- 13 zweckgebunden,
- 14 minimiert,
- 15 transparent,
- 16 mit den korrekten Daten,
- 17 zeitlich begrenzt,
- 18 integer und vertraulich,
- 19 nach Treu und Glauben durchführen
- 20 und dabei technische und organisatorische Maßnahmen ergreifen
- 21 und das alles nachweisen können
- 22 und möglicherweise Folgen abschätzen
- 23 weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
- 24 eine Klage erhoben,
- 25 und eventuell eine Strafe verhängt
- 26 oder Schadensersatz verlangt werden kann.
Wenn im räumlichen Anwendungsbereich der EU-DSGVO
Art. 3 EU-DSGVO
- Die Verarbeitung findet innerhalb der EU statt
- oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
- oder die Verantwortlichen unterliegen EU-Recht
- oder die Verantwortlichen haben ihren Hauptsitz
- oder wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
Art. 2 EU-DSGVO
- und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
- und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
- und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
Art. 99 Abs. 2 EU-DSGVO
- findet also nach dem 28.05.2018, 0:00 Uhr statt
- also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
- nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018
personenbezogene Daten
Art. 4 EU-DSGVO
- Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
- eine oder mehrere natürliche Personen
- direkt oder mit Hilfe von weiteren Datenquellen
- eindeutig
- identifiziert werden kann.
- Juristische Personen genießen keinen Datenschutz
- Das kann bei Ein-Mensch-Firmen anders sein!
- Verstorbene genießen auch keinen Datenschutz
- Das Interesse der Hinterbliebenen kann aber relevant sein.
oder besondere Kategorien personenbezogener Daten
Art. 9 EU-DSGVO
- Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
- politische Meinungen oder Gewerkschaftszugehörigkeit
- religiöse oder weltanschauliche Überzeugungen
- genetische, biometrische oder gesundheitliche Daten
- Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
- erhoben (z. B. Daten werden von Betroffenen erfragt)
- erfasst (z. B. Daten werden gespeichert)
- empfangen (z. B. Daten werden von anderen Stellen übermittelt)
- ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
- abfragen (z. B. Daten werden von anderen Stellen angefordert)
- organisiert (z. B. Daten werden anders sortiert)
- geordnet (z. B. Daten werden reindiziert)
- angepasst (z. B. Daten werden übersetzt)
- verwendet (z. B. Adressen bei Serienbriefen)
- abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
- verknüpft (z. B. mit anderen Datenbeständen koordiniert)
- offengelegt (z. B. in sozialen Netzen gepostet)
- übermittelt (z. B. an andere Stellen gesendet)
- verbreitet (z. B. ins Internet gestellt)
- bereitgestellt (z. B. zum Abruf in die Cloud)
- eingeschränkt (z. B. aus der Bearbeitung genommen)
- gelöscht (z. B. wieder herstellbar verschoben)
- vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen
Art. 24, 26 u. 27 EU-DSGVO
- Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
- Es kann auch gemeinsam Verantwortliche geben
- die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
- und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.
oder ihre Auftragsverarbeiter
Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
- auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
- Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
- wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
- dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
- Gegenstand der Verarbeitung
- Dauer der Verarbeitung
- Art der Verarbeitung
- Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Rechte und Pflichten der Verantwortlichen
- Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
- keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
- Regelung einer Löschungspflicht nach dem Ende der Verarbeitung
dies aufgrund einer Rechtsgrundlage
Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
- Rechtsgrundlagen sind
- Interessen
- lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
- öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
- berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
- Verträge, Vorverträge oder vorvertragliche Verhandlungen
- deren Beteiligte die Betroffenen sind
- Gesetze
- materieller Art (also z. B. keine Satzungen)
- oder in Ausübung öffentlicher Gewalt
- die der Staat oder damit Beliehene ausüben dürfen
- Interessen
oder einer informierten Einwilligung der Betroffenen
Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
- Einwilligung ist immer möglich und immer gültig
- Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
- Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
- Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
- Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
- Einwilligung nur für jeweils einen Sachverhalt möglich
- Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
- Einwilligende müssen "informiert" sein!
- Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,
Art. 9 EU-DSGVO
- Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
- Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
- Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
- Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
- Die Betroffenen haben die Daten selbst öffentlich gemacht.
- Die Verarbeitung ist im Bereich von Gerichten erforderlich.
- Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
- Verarbeitung zum Zwecke der
- Gesundheitsvorsorge,
- Arbeitsmedizin,
- Beurteilung der Arbeitsfähigkeit,
- medizinische Diagnostik,
- Versorgung oder Behandlung im Gesundheitsbereich,
- Schutz vor Pandemien o. ä.,
- archivarische, wissenschaftliche oder historische Zwecke
- Verarbeitende unterliegen einer Geheimhaltungspflicht
unter Wahrung der Rechte der Betroffenen,
Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
- konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
- destruktive Rechte (Widerspruch, Einschränkung, Löschung)
- deskriptive Rechte (Auskunft, Mitteilungen)
- Eventuell müssen Datenschutzbeauftragte benannt werden
- Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.
zweckgebunden,
Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
- Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
- Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
- Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
- oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
- Zu berücksichtigen sind
- Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
- Zusammenhängen der Erhebung der Datenbestände
- Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
- Folgen der neuen Verarbeitung
- Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
- Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.
minimiert,
Art. 5 Abs. 1 Bst. c EU-DSGVO
- Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.
transparent,
Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG
- Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
- Betroffene haben ein Recht auf Auskunft
mit den korrekten Daten,
- Betroffene haben ein Recht auf Korrektur ihrer Daten
- Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)
zeitlich begrenzt,
- Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
- Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
- Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.
integer und vertraulich,
- Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
- es sich bei den Verantwortlichen um Behörden handelt
- oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
- oder besondere Kategorien personenbezogener Daten verarbeitet werden
- oder personenbezogene Daten in großem Umfang verarbeitet werden
- oder systematisch das Verhalten natürlicher Personen überwacht wird
nach Treu und Glauben durchführen
- Nach herrschender Meinung in anständiger und fairer Weise.
- Englischer Begriff: "fairness".
und dabei technische und organisatorische Maßnahmen ergreifen
Art. 25 u. 32 EU-DSGVO
- Datensicherung (Erzeugen von redundanten Datenbeständen)
- Datensicherheit (Wahrung der Integrität der Datenbestände)
- Datenzugriff (Schutz vor unberechtigtem Zugriff)
und das alles nachweisen können
Art. 30 EU-DSGVO, § 70 BDSG
- Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
- wenn es sich um Behörden handelt
- oder um private Stellen,
- die mehr als 249 Beschäftigte haben
- deren Verarbeitung nicht nur gelegentlich erfolgt
- oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
- oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
- das mindestens folgendes enthält:
- Name und Kontaktdaten des Verantwortlichen,
- der gemeinsam Verantwortlichen und der Vertreter,
- sowie ggf. der Auftragsverarbeiter
- Name und Kontaktdaten des Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- die Kategorien betroffener Personen und Daten
- die Kategorien von Empfängern (auch in Drittländern)
- Übermittlungen an ein Drittland
- Fristen für die Löschung der Daten
- technische und organisatorische Maßnahmen zum Schutz der Daten
- Name und Kontaktdaten des Verantwortlichen,
- und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss
und möglicherweise Folgen abschätzen
Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
- Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
- neue Technologien verwendet werden (Data Mining, Profiling, KI)
- voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
- Art (regelmäßig Profiling)
- Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
- Umstände (systematische Überwachung)
- Zwecke
- der Verarbeitung dies verursachen könnte.
- Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
- Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
- Beschreibung von Verarbeitungsvorgängen
- Beschreibung von Zwecken
- Beschreibung von Interessen
- Bewertung von Notwendigkeit und Verhältnismäßigkeit
- Bewertung von Risiken für Rechte und Freiheiten und
- die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).
weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,
Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
- Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
- Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
- Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
- Die Meldung
- soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
- enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
- enthält Kontaktdaten der Datenschutzbeauftragten
- enthält wahrscheinliche Folgen der Verletzung
- enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
- Der Verantwortliche benachrichtigt auch die betroffenen Personen
eine Klage erhoben,
- Die Verjährungsfrist beträgt drei bis fünf Jahre.
- Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
- Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
- die sie nach Prüfung auf Einstellung
- nicht ohne Zustimmung der erlassenden Datenschutzbehörde
- an das Strafgericht übersendet.
und eventuell eine Strafe verhängt
- Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
- Bußgelder werden gegen jeden Verantwortlichen verhängt.
- Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
- Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
- Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
oder Schadensersatz verlangt werden kann.
- Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
- Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
- Schmerzensgeld ist auch möglich.