Podcast "Der Feind in meinem Pad": Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „<pre> SKRIPT Podcast/Video DER FEIND IN MEINEM PAD Eine Einführung in die EU-DSGVO in 15 Schritten Frank Werner Geprüfter UNIX-Administrator Staatlich gepr…“)
 
Zeile 10: Zeile 10:
 
Behördlicher Datenschutzbeauftragter
 
Behördlicher Datenschutzbeauftragter
  
Stand: April 2023
+
Entwurf: April 2023
  
 
1. Datenschutz - Entwicklung bisher
 
1. Datenschutz - Entwicklung bisher
  
Wissen ist Macht - das galt schon ewig
+
* Wissen ist Macht - das galt schon ewig
Schweigepflicht, Need-to-know
+
* Schweigepflicht, Need-to-know
Datenschutz = Schutz der Daten natürlicher Personen
+
* Datenschutz = Schutz der Daten natürlicher Personen
aus dem Recht auf informationelle Selbstbestimmung
+
* aus dem Recht auf informationelle Selbstbestimmung
definiert im Volkszählungsurteil 1983
+
* definiert im Volkszählungsurteil 1983
Erstes Datenschutzgesetz 1977 in Hessen
+
* Erstes Datenschutzgesetz 1977 in Hessen
Spiros Simitis
+
* Spiros Simitis
Datenschutzgesetze z. B. 2000 in NRW und eben die EU-DSGVO
+
* Datenschutzgesetze z. B. 2000 in NRW und eben die EU-DSGVO
  
2. Prüfung 1: Fand der Sachverhalt im richtigen Zeitraum statt?
+
2. Prüfung 1: Ist die EU-DSGVO generell anwendbar?
  
Erlassen 28.05.2016, gültig 28.05.2018, 0:00 Uhr
+
* Erlassen 28.05.2016, gültig 28.05.2018, 0:00 Uhr
Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages
+
* Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages
2 Jahre Karenzzeit (reichte nicht aus)
+
* 2 Jahre Karenzzeit (reichte nicht aus)
ist Grundverordnung – keine nationale Umsetzung
+
* ist Grundverordnung – keine nationale Umsetzung
Grundregelungen mit direkter Wirkung -aber „Öffnungsklauseln“
+
* Grundregelungen mit direkter Wirkung -aber „Öffnungsklauseln“
Regelungen ähneln dem alten deutschen Datenschutzrecht
+
* Regelungen ähneln dem alten deutschen Datenschutzrecht
Prüfung zuerst nach EU-DSGVO
+
* Prüfung zuerst nach EU-DSGVO
Dann nach Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
+
* Dann nach Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
Dann entweder BDSG: Bundesbehörden, Firmen, Privatpersonen
+
* Dann entweder BDSG: Bundesbehörden, Firmen, Privatpersonen
oder LDSG: Landesbehörden, Verbände, Kommunen
+
* oder LDSG: Landesbehörden, Verbände, Kommunen
  
 
3. Prüfung 2: Sind personenbezogene Daten betroffen?
 
3. Prüfung 2: Sind personenbezogene Daten betroffen?
Personenbezogene Daten beziehen sich auf natürliche Personen
+
 
Personen sind durch sie eindeutig identifizierbar
+
* Personenbezogene Daten beziehen sich auf natürliche Personen
Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
+
* Personen sind durch sie eindeutig identifizierbar
Eindeutige Merkmale sind auch identifizierend
+
* Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
 +
* Eindeutige Merkmale sind auch identifizierend
  
 
4. Werden diese personenbezogenen Daten verarbeitet?
 
4. Werden diese personenbezogenen Daten verarbeitet?
erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
+
 
organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
+
* erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
verwenden, offenlegen, verbreiten (Datenverteilung)
+
* organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
abgleichen, verknüpfen (Datenauswertung)
+
* verwenden, offen legen, verbreiten (Datenverteilung)
einschränken, löschen, vernichten (Datenvernichtung).
+
* abgleichen, verknüpfen (Datenauswertung)
ferner: Zweckänderung oder Übermittlung
+
* einschränken, löschen, vernichten (Datenvernichtung).
 +
* ferner: Zweckänderung oder Übermittlung
  
 
5. Verantwortliche, Auftragsverarbeitung, räumliche Anwendbarkeit
 
5. Verantwortliche, Auftragsverarbeitung, räumliche Anwendbarkeit
Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
+
 
Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
+
* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter
+
* Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
 +
* Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter
  
 
6. Der Datenschutzbeauftragte
 
6. Der Datenschutzbeauftragte
  
Datenschutzbeauftragte müssen von Behörden immer benannt werden
+
* Datenschutzbeauftragte müssen von Behörden immer benannt werden
Verantwortliche, die systematisch überwachen, auch
+
* Verantwortliche, die systematisch überwachen, auch
Verantwortliche, die umfangreiche besondere Kategorien verarbeiten, auch
+
* Verantwortliche, die umfangreiche besondere Kategorien verarbeiten, auch
Qualifikation und Fachwissen (Fortbildung)
+
* Qualifikation und Fachwissen (Fortbildung)
Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
+
* Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
Keine Anweisungen bezüglich Tätigkeit
+
* Keine Anweisungen bezüglich Tätigkeit
Bericht an Verantwortlichen unmittelbar
+
* Bericht an Verantwortlichen unmittelbar
Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
+
* Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
Geheimhaltung und Vertraulichkeitspflicht
+
* Geheimhaltung und Vertraulichkeitspflicht
Kein Interessenskonflikt (keine Selbstkontrolle)
+
* Kein Interessenskonflikt (keine Selbstkontrolle)
Pflichten:
+
* Pflichten:
   Unterrichtung und Beratung über die Rechtslage
+
   * Unterrichtung und Beratung über die Rechtslage
   Überwachung der Einhaltung der EU-DSGVO
+
   * Überwachung der Einhaltung der EU-DSGVO
   Beratung (auf Anfrage)
+
   * Beratung (auf Anfrage)
   Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
+
   * Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
   Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!
+
   * Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!
  
 
7. Verarbeitungsverzeichnis
 
7. Verarbeitungsverzeichnis
  
Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
+
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
Name und Kontaktdaten des Datenschutzbeauftragten
+
* Name und Kontaktdaten des Datenschutzbeauftragten
die Zwecke der Verarbeitung
+
* die Zwecke der Verarbeitung
die Kategorien der betroffenen Personen und die der personenbezogenen Daten
+
* die Kategorien der betroffenen Personen und die der personenbezogenen Daten
die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
+
* die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
Übermittlung von solchen Daten an ein Drittland
+
* Übermittlung von solchen Daten an ein Drittland
Löschfristen dieser Daten
+
* Löschfristen dieser Daten
technische und organisatorische Maßnahmen zum Schutz dieser Daten
+
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
...für Auftragsverarbeiter zeigen dagegen nur an
+
* ...für Auftragsverarbeiter zeigen dagegen nur an
Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
+
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
Name und Kontaktdaten des Datenschutzbeauftragten
+
* Name und Kontaktdaten des Datenschutzbeauftragten
Kategorien von Verarbeitungen dieser Daten
+
* Kategorien von Verarbeitungen dieser Daten
Übermittlung solcher Daten an ein Drittland
+
* Übermittlung solcher Daten an ein Drittland
technische und organisatorische Maßnahmen zum Schutz dieser Daten
+
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
  
 
8. Technische und organisatorische Maßnahmen
 
8. Technische und organisatorische Maßnahmen
Zeile 95: Zeile 98:
 
9. Ist diese Verarbeitung rechtmäßig?
 
9. Ist diese Verarbeitung rechtmäßig?
  
Lebenswichtiges Interesse
+
* Lebenswichtiges Interesse
Öffentliches Interesse
+
* Öffentliches Interesse
Öffentliche Gewalt
+
* Öffentliche Gewalt
Gesetz
+
* Gesetz
Vertrag
+
* Vertrag
Berechtigtes Interesse
+
* Berechtigtes Interesse
  
 
10. Wenn nicht: liegt eine gültige Einwilligung vor?
 
10. Wenn nicht: liegt eine gültige Einwilligung vor?
  
Einwilligung ist immer möglich und immer gültig
+
* Einwilligung ist immer möglich und immer gültig
Denn mit seinen Daten kann jeder tun und lassen, was er will
+
* Denn mit seinen Daten kann jeder tun und lassen, was er will
Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
+
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
+
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
+
* Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
Einwilligung nur für jeweils einen Sachverhalt möglich
+
* Einwilligung nur für jeweils einen Sachverhalt möglich
Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
+
* Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
Einwilligende müssen "informiert" sein!
+
* Einwilligende müssen "informiert" sein!
Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
+
* Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)
  
 
11. Werden besondere Kategorien personenbezogener Daten rechtmäßig verarbeitet?
 
11. Werden besondere Kategorien personenbezogener Daten rechtmäßig verarbeitet?
  
Besondere Kategorien personenbezogener Daten sind ausschließlich Daten über
+
* Besondere Kategorien personenbezogener Daten sind ausschließlich Daten über
Ethnie und Herkunft (Originaltext: Rasse)
+
* Ethnie und Herkunft (Originaltext: Rasse)
Politische Einstellungen
+
* Politische Einstellungen
Mitgliedschaft in Gewerkschaften
+
* Mitgliedschaft in Gewerkschaften
religiöse oder weltanschauliche Überzeugungen
+
* religiöse oder weltanschauliche Überzeugungen
genetische Daten
+
* genetische Daten
biometrische Daten
+
* biometrische Daten
Sexuelle Ausrichtung
+
* Sexuelle Ausrichtung
Zunächst gelten alle bisherigen Anforderungen (Nr. 5)
+
* Zunächst gelten alle bisherigen Anforderungen (Nr. 5)
Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
+
* Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
um ein Recht oder eine Pflicht
+
* um ein Recht oder eine Pflicht
der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
+
* der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
Einwilligungen müssen AUSDRÜCKLICH erfolgen (Nr. 6)
+
* Einwilligungen müssen AUSDRÜCKLICH erfolgen (Nr. 6)
Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
+
* Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.
+
* Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.
  
 
12. Brauchen wir eine Datenschutzerklärung?
 
12. Brauchen wir eine Datenschutzerklärung?
  
Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
+
* Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
Der Verantwortliche erklärt...
+
* Der Verantwortliche erklärt...
...wer er ist (und wer sein Stellvertreter ist)
+
* ...wer er ist (und wer sein Stellvertreter ist)
...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
+
* ...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
...welchen Zweck die Verarbeitung hat
+
* ...welchen Zweck die Verarbeitung hat
...welche Rechtsgrundlage die Verarbeitung hat
+
* ...welche Rechtsgrundlage die Verarbeitung hat
...ggf. welche berechtigten Interessen
+
* ...ggf. welche berechtigten Interessen
...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
+
* ...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
...die Absicht, die Daten außerhalb der EU zu übermitteln
+
* ...die Absicht, die Daten außerhalb der EU zu übermitteln
  
 
sowie auf Nachfrage (beim Verantwortlichen!)  <- FALSCH!
 
sowie auf Nachfrage (beim Verantwortlichen!)  <- FALSCH!
  
die Dauer der Speicherung dieser Daten
+
* die Dauer der Speicherung dieser Daten
das Bestehen der Betroffenenrechte
+
* das Bestehen der Betroffenenrechte
das Recht auf Widerruf einer Einwilligung
+
* das Recht auf Widerruf einer Einwilligung
das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
+
* das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
die Folgen der fehlenden Bereitstellung der Daten
+
* die Folgen der fehlenden Bereitstellung der Daten
das Bestehen einer automatischen Entscheidungsfindung
+
* das Bestehen einer automatischen Entscheidungsfindung
  
 
13. Sind die Betroffenenrechte garantiert?
 
13. Sind die Betroffenenrechte garantiert?
  
Dateneigentümer haben garantierte Rechte im Datenschutz
+
* Dateneigentümer haben garantierte Rechte im Datenschutz
Konstruktive Rechte:
+
* Konstruktive Rechte:
◦ Auskunft
+
◦ Auskunft
◦ Berichtigung
+
◦ Berichtigung
◦ Datenübertragbarkeit
+
◦ Datenübertragbarkeit
Destruktive Rechte:
+
* Destruktive Rechte:
◦ Widerspruch
+
◦ Widerspruch
◦ Einschränkung
+
◦ Einschränkung
◦ Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!
+
◦ Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!
Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
+
* Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
Aus der Informationspflicht folgt die Datenschutzerklärung
+
* Aus der Informationspflicht folgt die Datenschutzerklärung
  
 
14. Brauchen wir eine Datenschutzfolgenabschätzung?
 
14. Brauchen wir eine Datenschutzfolgenabschätzung?
Zeile 173: Zeile 176:
 
Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn
 
Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn
  
natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
+
* natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
dass Rechtsfolgen für diese Personen haben könnte oder
+
* dass Rechtsfolgen für diese Personen haben könnte oder
große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
+
* große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
öffentliche Bereiche systematisch überwacht werden sollen
+
* öffentliche Bereiche systematisch überwacht werden sollen
  
 
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.
 
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.
Zeile 182: Zeile 185:
 
Eine DSFA enthält wenigstens
 
Eine DSFA enthält wenigstens
  
eine Beschreibung der geplanten Verarbeitungsvorgänge
+
* eine Beschreibung der geplanten Verarbeitungsvorgänge
eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
+
* eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
+
* eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
Abhilfemaßnahmen, die die Risiken minimieren
+
* Abhilfemaßnahmen, die die Risiken minimieren
  
 
Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.
 
Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.
Zeile 191: Zeile 194:
 
15. Meldung, Klage, Bußgeld
 
15. Meldung, Klage, Bußgeld
  
Meldung „möglichst“ binnen 72 Stunden
+
* Meldung „möglichst“ binnen 72 Stunden
Auftragsverarbeiter melden an Verantwortliche
+
* Auftragsverarbeiter melden an Verantwortliche
 
+
* Inhalt der Meldung
Inhalt der Meldung
+
* Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
+
* Kontaktdaten des Datenschutzbeauftragten
Kontaktdaten des Datenschutzbeauftragten
+
* Wahrscheinliche Folgen der Verletzung
Wahrscheinliche Folgen der Verletzung
+
* Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
 
  
Zuständig sind die ordentlichen Gerichte
+
* Zuständig sind die ordentlichen Gerichte
Also z. B. nicht die Verwaltungsgerichte
+
* Also z. B. nicht die Verwaltungsgerichte
Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
+
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
die sie nach Prüfung auf Einstellung
+
* die sie nach Prüfung auf Einstellung
nicht ohne Zustimmung der erlassenden Datenschutzbehörde
+
* nicht ohne Zustimmung der erlassenden Datenschutzbehörde
an das Strafgericht übersandt.
+
* an das Strafgericht übersandt.
  
Bußgelder sind nur gegen jeden Verantwortlichen möglich
+
* Bußgelder sind nur gegen jeden Verantwortlichen möglich
Mitarbeiter können auch verantwortlich sein
+
* Mitarbeiter können auch verantwortlich sein
Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
+
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
Darüber hinaus das Landgericht.
+
* Darüber hinaus das Landgericht.
Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
+
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
Datenschutzverstöße verjähren nach 3 - 5 Jahren
+
* Datenschutzverstöße verjähren nach 3 - 5 Jahren
  
 
ENDE
 
ENDE
 
</pre>
 
</pre>

Version vom 27. April 2023, 12:07 Uhr

SKRIPT Podcast/Video

DER FEIND IN MEINEM PAD
Eine Einführung in die EU-DSGVO in 15 Schritten

Frank Werner
Geprüfter UNIX-Administrator
Staatlich geprüfter Informatiker
Behördlicher Datenschutzbeauftragter

Entwurf: April 2023

1. Datenschutz - Entwicklung bisher

* Wissen ist Macht - das galt schon ewig
* Schweigepflicht, Need-to-know
* Datenschutz = Schutz der Daten natürlicher Personen
* aus dem Recht auf informationelle Selbstbestimmung
* definiert im Volkszählungsurteil 1983
* Erstes Datenschutzgesetz 1977 in Hessen
* Spiros Simitis
* Datenschutzgesetze z. B. 2000 in NRW und eben die EU-DSGVO

2. Prüfung 1: Ist die EU-DSGVO generell anwendbar?

* Erlassen 28.05.2016, gültig 28.05.2018, 0:00 Uhr
* Unterschied zu 24:00 Uhr: gültig ab Anfang des Tages
* 2 Jahre Karenzzeit (reichte nicht aus)
* ist Grundverordnung – keine nationale Umsetzung
* Grundregelungen mit direkter Wirkung -aber „Öffnungsklauseln“
* Regelungen ähneln dem alten deutschen Datenschutzrecht
* Prüfung zuerst nach EU-DSGVO
* Dann nach Spezialrecht (Gesellschaftsrecht, Polizeirecht, BGB)
* Dann entweder BDSG: Bundesbehörden, Firmen, Privatpersonen
* oder LDSG: Landesbehörden, Verbände, Kommunen

3. Prüfung 2: Sind personenbezogene Daten betroffen?

* Personenbezogene Daten beziehen sich auf natürliche Personen
* Personen sind durch sie eindeutig identifizierbar
* Auch mit Hilfe von anderen Daten (Nummernschild und Kfz-Register)
* Eindeutige Merkmale sind auch identifizierend

4. Werden diese personenbezogenen Daten verarbeitet?

* erhoben, erfasst, auslesen, abfragen (Datenerzeugung)
* organisieren, ordnen, speichern, anpassen, verändern (Datenveränderung)
* verwenden, offen legen, verbreiten (Datenverteilung)
* abgleichen, verknüpfen (Datenauswertung)
* einschränken, löschen, vernichten (Datenvernichtung).
* ferner: Zweckänderung oder Übermittlung

5. Verantwortliche, Auftragsverarbeitung, räumliche Anwendbarkeit

* Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung bestimmt
* Bestimmen mehrere darüber, sind es gemeinsam Verantwortliche
* Bestimmen Auftragnehmer selbstständig über Mittel und Zweck, sind es Auftragsverarbeiter

6. Der Datenschutzbeauftragte

* Datenschutzbeauftragte müssen von Behörden immer benannt werden
* Verantwortliche, die systematisch überwachen, auch
* Verantwortliche, die umfangreiche besondere Kategorien verarbeiten, auch
* Qualifikation und Fachwissen (Fortbildung)
* Pflicht zur Unterstützung durch Verantwortliche und Auftragsverarbeiter
* Keine Anweisungen bezüglich Tätigkeit
* Bericht an Verantwortlichen unmittelbar
* Betroffene können ihn zu Rate ziehen (Bürger, Kunden)
* Geheimhaltung und Vertraulichkeitspflicht
* Kein Interessenskonflikt (keine Selbstkontrolle)
* Pflichten:
  * Unterrichtung und Beratung über die Rechtslage
  * Überwachung der Einhaltung der EU-DSGVO
  * Beratung (auf Anfrage)
  * Anlaufstelle für und Zusammenarbeit mit der Aufsichtsbehörde
  * Datenverarbeitung durch Datenschutzbeauftragte erfolgt verantwortungsvoll!

7. Verarbeitungsverzeichnis

* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
* Name und Kontaktdaten des Datenschutzbeauftragten
* die Zwecke der Verarbeitung
* die Kategorien der betroffenen Personen und die der personenbezogenen Daten
* die Kategorien von Empfängern, denen die Daten offen gelegt werden (in Drittländern)
* Übermittlung von solchen Daten an ein Drittland
* Löschfristen dieser Daten
* technische und organisatorische Maßnahmen zum Schutz dieser Daten
* ...für Auftragsverarbeiter zeigen dagegen nur an
* Name und Kontaktdaten von Verantwortlichen, gemeinsam Verantwortlichen und Stellvertretern
* Name und Kontaktdaten des Datenschutzbeauftragten
* Kategorien von Verarbeitungen dieser Daten
* Übermittlung solcher Daten an ein Drittland
* technische und organisatorische Maßnahmen zum Schutz dieser Daten

8. Technische und organisatorische Maßnahmen

9. Ist diese Verarbeitung rechtmäßig?

* Lebenswichtiges Interesse
* Öffentliches Interesse
* Öffentliche Gewalt
* Gesetz
* Vertrag
* Berechtigtes Interesse

10. Wenn nicht: liegt eine gültige Einwilligung vor?

* Einwilligung ist immer möglich und immer gültig
* Denn mit seinen Daten kann jeder tun und lassen, was er will
* Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
* Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
* Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
* Einwilligung nur für jeweils einen Sachverhalt möglich
* Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
* Einwilligende müssen "informiert" sein!
* Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

11. Werden besondere Kategorien personenbezogener Daten rechtmäßig verarbeitet?

* Besondere Kategorien personenbezogener Daten sind ausschließlich Daten über
* Ethnie und Herkunft (Originaltext: Rasse)
* Politische Einstellungen
* Mitgliedschaft in Gewerkschaften
* religiöse oder weltanschauliche Überzeugungen
* genetische Daten
* biometrische Daten
* Sexuelle Ausrichtung
* Zunächst gelten alle bisherigen Anforderungen (Nr. 5)
* Solche Datenverarbeitungen müssen außerdem ERFORDERLICH sein
* um ein Recht oder eine Pflicht
* der sozialen Sicherheit oder dem Arbeitsrecht auszuüben
* Einwilligungen müssen AUSDRÜCKLICH erfolgen (Nr. 6)
* Verarbeitung nur durch Fachpersonal oder Personal mit Schweigepflicht ("Berufsgeheimnis")
* Berufsgeheimnisträger sind Ärzte, Anwälte, Geistliche, Apotheker etc.

12. Brauchen wir eine Datenschutzerklärung?

* Werden Daten ERHOBEN oder EMPFANGEN, ist eine Datenschutzerklärung notwendig
* Der Verantwortliche erklärt...
* ...wer er ist (und wer sein Stellvertreter ist)
* ...wer der Datenschutzbeauftragte ist (sofern es einen gibt)
* ...welchen Zweck die Verarbeitung hat
* ...welche Rechtsgrundlage die Verarbeitung hat
* ...ggf. welche berechtigten Interessen
* ...wer diese Daten empfängt (oder welche Kategorien von Empfängern)
* ...die Absicht, die Daten außerhalb der EU zu übermitteln

sowie auf Nachfrage (beim Verantwortlichen!)   <- FALSCH!

* die Dauer der Speicherung dieser Daten
* das Bestehen der Betroffenenrechte
* das Recht auf Widerruf einer Einwilligung
* das Bestehen eines Rechts der Beschwerde bei der Aufsichtsbehörde
* die Folgen der fehlenden Bereitstellung der Daten
* das Bestehen einer automatischen Entscheidungsfindung

13. Sind die Betroffenenrechte garantiert?

* Dateneigentümer haben garantierte Rechte im Datenschutz
* Konstruktive Rechte:
◦ Auskunft
◦ Berichtigung
◦ Datenübertragbarkeit
* Destruktive Rechte:
◦ Widerspruch
◦ Einschränkung
◦ Löschung (Vergessen werden) -> auch nicht aktuelle Datenbestände berücksichtigen!
* Die Rechte sind allerdings beschränkt (Art. 23 EU-DSGVO)
* Aus der Informationspflicht folgt die Datenschutzerklärung

14. Brauchen wir eine Datenschutzfolgenabschätzung?

Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutz-Folgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn

* natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
* dass Rechtsfolgen für diese Personen haben könnte oder
* große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
* öffentliche Bereiche systematisch überwacht werden sollen

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.

Eine DSFA enthält wenigstens

* eine Beschreibung der geplanten Verarbeitungsvorgänge
* eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
* eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
* Abhilfemaßnahmen, die die Risiken minimieren

Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren.

15. Meldung, Klage, Bußgeld

* Meldung „möglichst“ binnen 72 Stunden
* Auftragsverarbeiter melden an Verantwortliche
* Inhalt der Meldung
* Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
* Kontaktdaten des Datenschutzbeauftragten
* Wahrscheinliche Folgen der Verletzung
* Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

* Zuständig sind die ordentlichen Gerichte
* Also z. B. nicht die Verwaltungsgerichte
* Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
* die sie nach Prüfung auf Einstellung
* nicht ohne Zustimmung der erlassenden Datenschutzbehörde
* an das Strafgericht übersandt.

* Bußgelder sind nur gegen jeden Verantwortlichen möglich
* Mitarbeiter können auch verantwortlich sein
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig
* Darüber hinaus das Landgericht.
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
* Datenschutzverstöße verjähren nach 3 - 5 Jahren

ENDE