Lexikon: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=== [[Auftragsverarbeitung]] ===
 
=== [[Auftragsverarbeitung]] ===
<pre>Art. 28 EU-DSGVO, § 62 BDSG</pre>
+
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 
Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
 
Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  
Zeile 8: Zeile 8:
  
 
=== [[Besondere Kategorien personenbezogener Daten]] ===
 
=== [[Besondere Kategorien personenbezogener Daten]] ===
<pre>Art. 9 EU-DSGVO, §§ 22, 48 BDSG</pre>
+
<pre>Art. 9 EU-DSGVO, § 16 DSG NW, §§ 22, 48 BDSG</pre>
 
Daten über die Abstammung oder Zugehörigkeit, die politische Einstellung, Religion, Gewerkschaft, Genetik, Biometrik, Gesundheit, Sexualleben einer Person. Zur Verarbeitung ist eine eindeutige Einwilligung notwendig. Sie darf nur zum Schutz lebenswichtiger, sozialer oder beruflicher Interessen der Betroffenen und ohne Gefahr der Offenlegung erfolgen.
 
Daten über die Abstammung oder Zugehörigkeit, die politische Einstellung, Religion, Gewerkschaft, Genetik, Biometrik, Gesundheit, Sexualleben einer Person. Zur Verarbeitung ist eine eindeutige Einwilligung notwendig. Sie darf nur zum Schutz lebenswichtiger, sozialer oder beruflicher Interessen der Betroffenen und ohne Gefahr der Offenlegung erfolgen.
  
 
=== [[Betroffenenrechte]] ===
 
=== [[Betroffenenrechte]] ===
<pre>Art. 12 bis 22 EU-DSGVO, §§ 29, 32 - 37, 53 - 60 BDSG</pre>
+
<pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre>
 
Rechte von betroffenen Personen auf Information (Art. 13 u. 14), Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und nicht automatisierte Entscheidung (Art. 22). Diese Rechte können eingeschränkt werden (Art. 23).
 
Rechte von betroffenen Personen auf Information (Art. 13 u. 14), Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und nicht automatisierte Entscheidung (Art. 22). Diese Rechte können eingeschränkt werden (Art. 23).
  
 
=== [[Datenschutzbeauftragte]] ===
 
=== [[Datenschutzbeauftragte]] ===
<pre>Art. 37 EU-DSGVO, §§ 5 - 7, § 38 BDSG</pre> Wer geeignet ist, Sensibilisierungen, Schulungen, Audits, Datenschutzfolgeabschätzungen, als Anlaufstelle die die Zusammenarbeit mit Aufsichtsbehörden bei Verantwortlichen oder Auftragsverarbeitern mit mehr als 20 Beschäftigten regelt, durchzuführen.
+
<pre>Art. 37 EU-DSGVO, § 31 DSG NW, §§ 5 - 7, § 38 BDSG</pre> Wer geeignet ist, Sensibilisierungen, Schulungen, Audits, Datenschutzfolgeabschätzungen, als Anlaufstelle die die Zusammenarbeit mit Aufsichtsbehörden bei Verantwortlichen oder Auftragsverarbeitern mit mehr als 20 Beschäftigten regelt, durchzuführen.
  
 
=== [[Datenschutzfolgenabschätzung]] ===
 
=== [[Datenschutzfolgenabschätzung]] ===
<pre>Art. 35 EU-DSGVO, § 67 BDSG</pre> Abschätzung der Folgen einer Verarbeitung, die notwendig ist, wenn Personen systematisch bewertet, besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden sollen oder öffentliche Bereiche systematisch überwacht werden sollen. Sie enthält eine systematische Beschreibung aller Vorgänge und ihren Zweck, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für Rechte und Freiheiten, sowie Abhilfemaßnahmen die diese Risiken bewältigen sollen. Bei hohem Risiko muss die Aufsichtsbehörde konsultiert werden.
+
<pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre> Abschätzung der Folgen einer Datenverarbeitung, die notwendig ist, wenn Personen systematisch bewertet, besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden sollen oder öffentliche Bereiche systematisch überwacht werden sollen. Sie enthält eine systematische Beschreibung aller Vorgänge und ihren Zweck, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für Rechte und Freiheiten, sowie Abhilfemaßnahmen die diese Risiken bewältigen sollen. Bei hohem Risiko muss die Aufsichtsbehörde konsultiert werden.
  
 
=== [[Datenschutzerklärung]] ===
 
=== [[Datenschutzerklärung]] ===
<pre>Art. 13 u. 14 EU-DSGVO</pre> Bei Ersterhebung notwendige Erklärung, wer welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange verarbeitet und wem sie ggf. übermittelt werden.
+
<pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 51 BDSG</pre> Bei Ersterhebung notwendige, formlose Erklärung, wer welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange verarbeitet und wem sie ggf. übermittelt werden.
  
 
=== [[Einwilligung]] ===
 
=== [[Einwilligung]] ===
<pre>Art. 7 EU-DSGVO, § 51 BDSG</pre> Jederzeit nachweisbare, freiwillige, das Widerrufsrecht erklärende Erlaubnis zur Verarbeitung für jeden Einzelfall Betroffener ab 16 Jahren in klarer und einfacher Sprache.
+
<pre>Art. 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre> Jederzeit nachweisbare, freiwillige, das Widerrufsrecht erklärende Erlaubnis zur Verarbeitung für jeden Einzelfall Betroffener ab 16 Jahren in klarer und einfacher Sprache.
  
 
=== [[Europäische Datenschutzgrundverordnung]] ===
 
=== [[Europäische Datenschutzgrundverordnung]] ===
Zeile 31: Zeile 31:
  
 
=== [[Grundsätze der Verarbeitung]] ===
 
=== [[Grundsätze der Verarbeitung]] ===
<pre>Art. 5 EU-DSGVO, § 47 BDSG</pre> Eine Verarbeitung muss nicht nur rechtmäßig sein sondern auch nachvollziehbar, zweckgebunden, minimalisiert, begrenzt, vertraulich, nachweisbar. Die Personenbezogenen Daten müssen richtig und aktuell sein.
+
<pre>Art. 5 EU-DSGVO, §§ 6 - 10 DSG NW, § 47 BDSG</pre> Eine Verarbeitung muss nicht nur rechtmäßig sein sondern auch nachvollziehbar, zweckgebunden, minimalisiert, begrenzt, vertraulich, nachweisbar. Die Daten müssen richtig und aktuell sein.
  
 
=== [[Meldung an die Aufsichtsbehörde]] ===
 
=== [[Meldung an die Aufsichtsbehörde]] ===
<pre>Art. 33 EU-DSGVO, § 65 BDSG</pre> Meldung von Verstößen mit Angabe der Kategorien der Daten und der Anzahl der Betroffenen und der Datensätze, Kontaktdaten des Datenschutzbeauftragten, Folgen, Maßnahmen zur Abmilderung.
+
<pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre> Meldung von Verstößen mit Angabe der Kategorien der Daten und der Anzahl der Betroffenen und der Datensätze, Kontaktdaten des Datenschutzbeauftragten, Folgen, Maßnahmen zur Abmilderung.
  
 
=== [[Personenbezogene Daten]] ===
 
=== [[Personenbezogene Daten]] ===
Zeile 43: Zeile 43:
  
 
=== [[Rechtmäßigkeit]] ===
 
=== [[Rechtmäßigkeit]] ===
<pre>Art. 6 EU-DSGVO</pre> Verarbeitung durch Einwilligung, Gesetz, Vertrag, lebenswichtiges oder öffentliches Interesse oder in Ausübung öffentlicher Gewalt.
+
<pre>Art. 6 EU-DSGVO</pre> Ausnahmen vom generellen Verbot der Verarbeitung personenbezogener Daten. Rechtmäßig (erlaubt) ist die Verarbeitung durch Einwilligung, Gesetz, Vertrag, lebenswichtiges oder öffentliches Interesse oder in Ausübung öffentlicher Gewalt.
  
 
=== [[Sachlicher Anwendungsbereich]] ===
 
=== [[Sachlicher Anwendungsbereich]] ===
Zeile 49: Zeile 49:
  
 
=== [[Übermittlung]] ===
 
=== [[Übermittlung]] ===
<pre>Art. 44 EU-DSGVO, § 25 BDSG</pre> Durch Angemessenheitsbeschluss oder Datenschutz, Rechte und Rechtsbehelfe garantierende oder sonst rechtmäßig legitimierte Übertragung von Personenbezogenen Daten ins EU-Ausland (auch per Cloud, Mail, Upload, Websites</pre>.
+
<pre>Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG</pre> Durch Angemessenheitsbeschluss oder Datenschutz, Rechte und Rechtsbehelfe garantierende oder sonst rechtmäßig legitimierte Übertragung von Personenbezogenen Daten ins EU-Ausland (auch per Cloud, Mail, Upload, Websites).
  
 
=== [[Verarbeitung]] ===
 
=== [[Verarbeitung]] ===
Zeile 55: Zeile 55:
  
 
=== [[Verarbeitungsverzeichnis]] ===
 
=== [[Verarbeitungsverzeichnis]] ===
<pre>Art. 30 EU-DSGVO</pre> Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen und Auftragsverarbeitern mit mehr als 249 Beschäftigten, das Namen und Kontaktdaten, das Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, ggf. Empfängern und Übermittlungen ins EU-Ausland, Löschfristen, sowie eine Beschreibung von technischen und organisatorischen Maßnahmen zur Realisierung beinhaltet.
+
<pre>Art. 30 EU-DSGVO, § 70 BDSG</pre> Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen und Auftragsverarbeitern mit mehr als 249 Beschäftigten, das Namen und Kontaktdaten, das Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, ggf. Empfängern und Übermittlungen ins EU-Ausland, Löschfristen, sowie eine Beschreibung von technischen und organisatorischen Maßnahmen zur Realisierung beinhaltet.
  
 
=== [[Videoüberwachung]] ===
 
=== [[Videoüberwachung]] ===
<pre>§ 4 BDSG</pre>
+
<pre>§ 20 DSG NW, § 4 BDSG</pre>
Im Sinne der EU-DSGVO die Erhebung oder Erfassung von Bildmaterial in Datenform. Sie ist im privaten Bereich grundsätzlich erlaubt, solange es sich um private Datenverarbeitung handelt (das ist allerdings schon bei Benutzung einer Kamera mit Verbindung zum Internet (Handy</pre> nicht mehr der Fall</pre>. Öffentliche Bereiche dürfen nur überwacht werden, wenn ein berechtigtes Interesse besteht und eine Datenschutzerklärung sichtbar ''vor'' dem Betreten des überwachten Bereichs aushängt. Für ein berechtigtes Interesse reicht keine allgemeine Bedrohungslage, jedoch eine bereits erfolgte Schädigung kann durchaus ein rechtmäßiger Grund sein.
+
Im Sinne der EU-DSGVO die Erhebung oder Erfassung von Bildmaterial in Datenform. Sie ist im privaten Bereich grundsätzlich erlaubt, solange es sich um private Datenverarbeitung handelt (das ist allerdings schon bei Benutzung einer Kamera mit Verbindung zum Internet (Handy) nicht mehr der Fall). Öffentliche Bereiche dürfen nur überwacht werden, wenn ein berechtigtes Interesse besteht und eine Datenschutzerklärung sichtbar ''vor'' dem Betreten des überwachten Bereichs aushängt. Für ein berechtigtes Interesse reicht keine allgemeine Bedrohungslage, jedoch eine bereits erfolgte Schädigung kann durchaus ein rechtmäßiger Grund sein.
  
 
=== [[Zweckänderung]] ===
 
=== [[Zweckänderung]] ===
<pre>Art. 6 Abs. 4 EU-DSGVO, §§ 23 - 24 BDSG</pre> Durch Einwilligung oder Verbindung zum ursprünglichen Zweck (Datenart, Erhebungsgrund, Folgen</pre> erlaubte Änderung der Verarbeitung bereits erhobener personenbezogener Daten.
+
<pre>Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG</pre> Durch Einwilligung oder Verbindung zum ursprünglichen Zweck (Berücksichtigung von Datenart, Erhebungsgrund, Folgen) erlaubte Änderung der Verarbeitung bereits erhobener personenbezogener Daten.

Aktuelle Version vom 19. Mai 2022, 10:26 Uhr

Auftragsverarbeitung

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG

Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.

Beschäftigtendatenschutz

Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG

Datenschutz im Kontext von Arbeitgeber und Arbeitnehmer.

Besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO, § 16 DSG NW, §§ 22, 48 BDSG

Daten über die Abstammung oder Zugehörigkeit, die politische Einstellung, Religion, Gewerkschaft, Genetik, Biometrik, Gesundheit, Sexualleben einer Person. Zur Verarbeitung ist eine eindeutige Einwilligung notwendig. Sie darf nur zum Schutz lebenswichtiger, sozialer oder beruflicher Interessen der Betroffenen und ohne Gefahr der Offenlegung erfolgen.

Betroffenenrechte

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG

Rechte von betroffenen Personen auf Information (Art. 13 u. 14), Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und nicht automatisierte Entscheidung (Art. 22). Diese Rechte können eingeschränkt werden (Art. 23).

Datenschutzbeauftragte

Art. 37 EU-DSGVO, § 31 DSG NW, §§ 5 - 7, § 38 BDSG

Wer geeignet ist, Sensibilisierungen, Schulungen, Audits, Datenschutzfolgeabschätzungen, als Anlaufstelle die die Zusammenarbeit mit Aufsichtsbehörden bei Verantwortlichen oder Auftragsverarbeitern mit mehr als 20 Beschäftigten regelt, durchzuführen.

Datenschutzfolgenabschätzung

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG

Abschätzung der Folgen einer Datenverarbeitung, die notwendig ist, wenn Personen systematisch bewertet, besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden sollen oder öffentliche Bereiche systematisch überwacht werden sollen. Sie enthält eine systematische Beschreibung aller Vorgänge und ihren Zweck, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für Rechte und Freiheiten, sowie Abhilfemaßnahmen die diese Risiken bewältigen sollen. Bei hohem Risiko muss die Aufsichtsbehörde konsultiert werden.

Datenschutzerklärung

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 51 BDSG

Bei Ersterhebung notwendige, formlose Erklärung, wer welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange verarbeitet und wem sie ggf. übermittelt werden.

Einwilligung

Art. 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG

Jederzeit nachweisbare, freiwillige, das Widerrufsrecht erklärende Erlaubnis zur Verarbeitung für jeden Einzelfall Betroffener ab 16 Jahren in klarer und einfacher Sprache.

Europäische Datenschutzgrundverordnung

EU-DSGVO, DSGVO oder DS-GVO. Gilt seit dem 25.05.2018 wenn die Verarbeitung personenbezogener Daten natürlicher Personen innerhalb der EU durch jemanden erfolgt, der wenigstens eine Niederlassung in der EU hat oder EU-Recht unterliegt. Die EU-DSGVO ist unmittelbar geltendes Recht. Der EU-DSGVO widersprechendes Recht ist seit dem 25.05.2018 ungültig. Ergänzt wird die EU-DSGVO durch das Bundesdatenschutzgesetz (BDSG), gültig für Bundesbehörden und den gesamten privaten Rechtsverkehr inkl. der Wirtschaft, und die einzelnen Landesdatenschutzgesetze, gültig für Landesbehörden und Kommunen.

Grundsätze der Verarbeitung

Art. 5 EU-DSGVO, §§ 6 - 10 DSG NW, § 47 BDSG

Eine Verarbeitung muss nicht nur rechtmäßig sein sondern auch nachvollziehbar, zweckgebunden, minimalisiert, begrenzt, vertraulich, nachweisbar. Die Daten müssen richtig und aktuell sein.

Meldung an die Aufsichtsbehörde

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG

Meldung von Verstößen mit Angabe der Kategorien der Daten und der Anzahl der Betroffenen und der Datensätze, Kontaktdaten des Datenschutzbeauftragten, Folgen, Maßnahmen zur Abmilderung.

Personenbezogene Daten

Art. 4 EU-DSGVO

Daten durch die natürliche Personen direkt oder indirekt eindeutig identifiziert werden können (Fotos, (IP-)Adressen, Namen, Kfz-Kennzeichen, Personalnummern).

Räumlicher Anwendungsbereich

Art. 3 EU-DSGVO

Gebiet, in dem die EU-DSGVO anwendbar ist. Sie umfasst naturgemäß die ganze EU. Die sog. "NIL-Staaten" (Norwegen, Island, Liechtenstein) haben sich freiwillig zur Gültigkeit der EU-DSGVO in ihrem Staatsgebiet verpflichtet. England ist seit dem "Brexit" nicht mehr Teil der EU.

Rechtmäßigkeit

Art. 6 EU-DSGVO

Ausnahmen vom generellen Verbot der Verarbeitung personenbezogener Daten. Rechtmäßig (erlaubt) ist die Verarbeitung durch Einwilligung, Gesetz, Vertrag, lebenswichtiges oder öffentliches Interesse oder in Ausübung öffentlicher Gewalt.

Sachlicher Anwendungsbereich

Art. 2 EU-DSGVO

Sachlicher Bereich, in dem die EU-DSGVO anwendbar ist. Die Verordnung gilt für die Verarbeitung personenbezogener Daten, unerheblich, ob diese automatisiert, teilweise automatisiert oder nicht automatisiert erfolgt. Sofern sie nicht automatisiert erfolgt, ist die EU-DSGVO anwendbar, wenn diese Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Übermittlung

Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG

Durch Angemessenheitsbeschluss oder Datenschutz, Rechte und Rechtsbehelfe garantierende oder sonst rechtmäßig legitimierte Übertragung von Personenbezogenen Daten ins EU-Ausland (auch per Cloud, Mail, Upload, Websites).

Verarbeitung

Art. 4 EU-DSGVO

Das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder andere Bereitstellung, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten von Daten.

Verarbeitungsverzeichnis

Art. 30 EU-DSGVO, § 70 BDSG

Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen und Auftragsverarbeitern mit mehr als 249 Beschäftigten, das Namen und Kontaktdaten, das Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, ggf. Empfängern und Übermittlungen ins EU-Ausland, Löschfristen, sowie eine Beschreibung von technischen und organisatorischen Maßnahmen zur Realisierung beinhaltet.

Videoüberwachung

§ 20 DSG NW, § 4 BDSG

Im Sinne der EU-DSGVO die Erhebung oder Erfassung von Bildmaterial in Datenform. Sie ist im privaten Bereich grundsätzlich erlaubt, solange es sich um private Datenverarbeitung handelt (das ist allerdings schon bei Benutzung einer Kamera mit Verbindung zum Internet (Handy) nicht mehr der Fall). Öffentliche Bereiche dürfen nur überwacht werden, wenn ein berechtigtes Interesse besteht und eine Datenschutzerklärung sichtbar vor dem Betreten des überwachten Bereichs aushängt. Für ein berechtigtes Interesse reicht keine allgemeine Bedrohungslage, jedoch eine bereits erfolgte Schädigung kann durchaus ein rechtmäßiger Grund sein.

Zweckänderung

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG

Durch Einwilligung oder Verbindung zum ursprünglichen Zweck (Berücksichtigung von Datenart, Erhebungsgrund, Folgen) erlaubte Änderung der Verarbeitung bereits erhobener personenbezogener Daten.