Prüfschema Datenschutz 2024: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 23: Zeile 23:
 
</pre>
 
</pre>
 
<input type="checkbox">personenbezogene Daten
 
<input type="checkbox">personenbezogene Daten
<input type="checkbox">Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
+
<pre>
<input type="checkbox">eine oder mehrere natürliche Personen
+
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
<input type="checkbox">direkt oder mit Hilfe von weiteren Datenquellen
+
* eine oder mehrere natürliche Personen
<input type="checkbox">eindeutig
+
* direkt oder mit Hilfe von weiteren Datenquellen
<input type="checkbox">identifiziert werden kann.
+
* eindeutig identifiziert werden kann.
<input type="checkbox">oder besondere Kategorien personenbezogener Daten
+
<input type="checkbox">oder besondere Kategorien personenbezogener Daten <input type="text"><br>
<input type="checkbox">Daten über "rassische" oder ethnische Herkunft (Originaltext)
+
* Daten über "rassische" oder ethnische Herkunft (Originaltext)
<input type="checkbox">politische Meinungen oder Gewerkschaftszugehörigkeit
+
* politische Meinungen oder Gewerkschaftszugehörigkeit
<input type="checkbox">religiöse oder weltanschauliche Überzeugungen
+
* religiöse oder weltanschauliche Überzeugungen
<input type="checkbox">genetische, biometrische oder gesundheitliche Daten
+
* genetische, biometrische oder gesundheitliche Daten
<input type="checkbox">Sexualleben oder die sexuelle Ausrichtung
+
* Sexualleben oder die sexuelle Ausrichtung
 +
</pre>
 
<input type="checkbox">verarbeitet werden,
 
<input type="checkbox">verarbeitet werden,
<input type="checkbox">erhoben (z. B. Daten werden von Betroffenen erfragt)
+
<pre>
<input type="checkbox">erfasst (z. B. Daten werden gespeichert)
+
* erhoben (z. B. Daten werden von Betroffenen erfragt)
<input type="checkbox">empfangen (z. B. Daten werden von anderen Stellen übermittelt)
+
* erfasst (z. B. Daten werden gespeichert)
<input type="checkbox">ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
+
* empfangen (z. B. Daten werden von anderen Stellen übermittelt)
<input type="checkbox">abfragen (z. B. Daten werden von anderen Stellen angefordert)
+
* ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
<input type="checkbox">organisiert (z. B. Daten werden anders sortiert)
+
* abfragen (z. B. Daten werden von anderen Stellen angefordert)
<input type="checkbox">geordnet (z. B. Daten werden reindiziert)
+
* organisiert (z. B. Daten werden anders sortiert)
<input type="checkbox">angepasst (z. B. Daten werden übersetzt)
+
* geordnet (z. B. Daten werden reindiziert)
<input type="checkbox">verwendet (z. B. Adressen bei Serienbriefen)
+
* angepasst (z. B. Daten werden übersetzt)
<input type="checkbox">abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
+
* verwendet (z. B. Adressen bei Serienbriefen)
<input type="checkbox">verknüpft (z. B. mit anderen Datenbeständen koordiniert)
+
* abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
<input type="checkbox">offengelegt (z. B. in sozialen Netzen gepostet)
+
* verknüpft (z. B. mit anderen Datenbeständen koordiniert)
<input type="checkbox">übermittelt (z. B. an andere Stellen gesendet)
+
* offengelegt (z. B. in sozialen Netzen gepostet)
<input type="checkbox">verbreitet (z. B. ins Internet gestellt)
+
* übermittelt (z. B. an andere Stellen gesendet)
<input type="checkbox">bereitgestellt (z. B. zum Abruf in die Cloud)
+
* verbreitet (z. B. ins Internet gestellt)
<input type="checkbox">eingeschränkt (z. B. aus der Bearbeitung genommen)
+
* bereitgestellt (z. B. zum Abruf in die Cloud)
<input type="checkbox">gelöscht (z. B. wieder herstellbar verschoben)
+
* eingeschränkt (z. B. aus der Bearbeitung genommen)
<input type="checkbox">vernichtet (z. B. endgültig unbrauchbar gemacht)
+
* gelöscht (z. B. wieder herstellbar verschoben)
 +
* vernichtet (z. B. endgültig unbrauchbar gemacht)
 +
</pre>
 
<input type="checkbox">dann müssen die Verantwortlichen
 
<input type="checkbox">dann müssen die Verantwortlichen
 
<input type="checkbox">Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
 
<input type="checkbox">Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet

Version vom 6. März 2024, 08:59 Uhr

Wenn im räumlichen Anwendungsbereich der EU-DSGVO
* Die Verarbeitung findet innerhalb der EU statt
* oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
* oder die Verantwortlichen unterliegen EU-Recht
* die Verantwortlichen haben ihren Hauptsitz
* oder wenigstens eine Niederlassung innerhalb der EU
und im sachlichen Anwendungsbereich der EU-DSGVO
* und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
* und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
* und es handelt sich nicht um den rein persönlichen oder familiären Bereich
und im zeitlichen Anwendungsbereich der EU-DSGVO
* also nach dem 28.05.2018, 0:00 Uhr
personenbezogene Daten
* Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
* eine oder mehrere natürliche Personen
* direkt oder mit Hilfe von weiteren Datenquellen
* eindeutig identifiziert werden kann.
oder besondere Kategorien personenbezogener Daten 
* Daten über "rassische" oder ethnische Herkunft (Originaltext) * politische Meinungen oder Gewerkschaftszugehörigkeit * religiöse oder weltanschauliche Überzeugungen * genetische, biometrische oder gesundheitliche Daten * Sexualleben oder die sexuelle Ausrichtung
verarbeitet werden,
* erhoben (z. B. Daten werden von Betroffenen erfragt)
* erfasst (z. B. Daten werden gespeichert)
* empfangen (z. B. Daten werden von anderen Stellen übermittelt)
* ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
* abfragen (z. B. Daten werden von anderen Stellen angefordert)
* organisiert (z. B. Daten werden anders sortiert)
* geordnet (z. B. Daten werden reindiziert)
* angepasst (z. B. Daten werden übersetzt)
* verwendet (z. B. Adressen bei Serienbriefen)
* abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
* verknüpft (z. B. mit anderen Datenbeständen koordiniert)
* offengelegt (z. B. in sozialen Netzen gepostet)
* übermittelt (z. B. an andere Stellen gesendet)
* verbreitet (z. B. ins Internet gestellt)
* bereitgestellt (z. B. zum Abruf in die Cloud)
* eingeschränkt (z. B. aus der Bearbeitung genommen)
* gelöscht (z. B. wieder herstellbar verschoben)
* vernichtet (z. B. endgültig unbrauchbar gemacht)
dann müssen die Verantwortlichen Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet Es kann auch gemeinsam Verantwortliche geben die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt. oder ihre Auftragnehmer ohne diese Entscheidungsfähigkeit auf die Einhaltung der Garantien der EU-DSGVO hin ausgewählten Auftragsverarbeiter dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden: Gegenstand der Verarbeitung Dauer der Verarbeitung Art der Verarbeitung Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien betroffener Personen Rechte und Pflichten der Verantwortlichen Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache Regelung einer Löschungspflicht nach dem Ende der Verarbeitung dies aufgrund einer Rechtsgrundlage Rechtsgrundlagen sind Interessen lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht) öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen)) berechtigter Art (z. B. Firmen, deren Interesse die Werbung ist) Verträge, Vorverträge oder vorvertragliche Verhandlungen deren Beteiligte die Betroffenen sind Gesetze materieller Art (also z. B. keine Satzungen) oder in Ausübung öffentlicher Gewalt die der Staat oder damit Beliehene ausüben dürfen oder einer informierten Einwilligung der Betroffenen Einwilligung ist immer möglich und immer gültig denn mit seinen Daten kann jeder tun und lassen, was er will Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!) Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot) Sie muss jederzeit nachweisbar sein (während der Verarbeitung) Einwilligung nur für jeweils einen Sachverhalt möglich Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft Einwilligende müssen "informiert" sein! Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen) unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen, Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein. Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen. Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich. Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung. Die Betroffenen haben die Daten selbst öffentlich gemacht. Die Verarbeitung ist im Bereich von Gerichten erforderlich. Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich. Verarbeitung zum Zwecke der Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheitsbereich, Schutz vor Pandemien o. ä., archivarische, wissenschaftliche oder historische Zwecke Verarbeitende unterliegen einer Geheimhaltungspflicht zweckgebunden, Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein. Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war. Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein. oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung) Zu berücksichtigen sind Verbindungen zwischen dem ursprünglichen und dem neuen Zweck Zusammenhängen der Erhebung der Datenbestände Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten Folgen der neuen Verarbeitung Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar. minimiert, Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind. transparent, Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden. Betroffene haben ein Recht auf Auskunft mit den korrekten Daten, Betroffene haben ein Recht auf Korrektur ihrer Daten Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung) zeitlich begrenzt, Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist. Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden. Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten. integer und vertraulich, Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn es sich bei den Verantwortlichen um Behörden handelt oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind oder besondere Kategorien personenbezogener Daten verarbeitet werden oder personenbezogene Daten in großem Umfang verarbeitet werden oder und systematisch das Verhalten natürlicher Personen überwacht wird nach Treu und Glauben durchführen Nach herrschender Meinung in anständiger und fairer Weise. Englischer Begriff: "fairness". und das alles nachweisen können Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO). wenn es sich um Behörden handelt oder um private Stellen, die mehr als 249 Beschäftigte haben deren Verarbeitung nicht nur gelegentlich erfolgt oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet das mindestens folgendes enthält: Name und Kontaktdaten des Verantwortlichen, der gemeinsam Verantwortlichen und der Vertreter, sowie ggf. der Auftragsverarbeiter Name und Kontaktdaten des Datenschutzbeauftragten die Zwecke der Verarbeitung die Kategorien betroffener Personen und Daten die Kategorien von Empfängern (auch in Drittländern) Übermittlungen an ein Drittland Fristen für die Löschung der Daten technische und organisatorische Maßnahmen zum Schutz der Daten und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss oder abschätzen Verantwortliche müssen u. U. eine Datenschutzfolgenabschätzung durchführen und dokumentieren Dies muss erstellt werden, wenn neue Technologien verwendet werden voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil Art (regelmäßig Profiling) Umfang (große Mengen besonderer Kategorien personenbezogener Daten) Umstände (systematische Überwachung) Zwecke der Verarbeitung dies verursachen könnte. Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden. Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes: Beschreibung von Verarbeitungsvorgängen Beschreibung von Zwecken Beschreibung von Interessen Bewertung von Notwendigkeit und Verhältnismäßigkeit Bewertung von Risiken für Rechte und Freiheiten und die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren). weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG). Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG). Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG). Die Meldung soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?) enthält Kontaktdaten der Datenschutzbeauftragten enthält wahrscheinliche Folgen der Verletzung enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung Der Verantwortliche benachrichtigt auch die betroffenen Personen eine Klage erhoben, Die Verjährungsfrist beträgt drei Jahre. Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte). Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft, die sie nach Prüfung auf Einstellung nicht ohne Zustimmung der erlassenden Datenschutzbehörde an das Strafgericht übersandt. und eventuell eine Strafe verhängt Die EU-DSGVO sieht Bußgelder in Höhe von max. 2 % des weltweiten Jahresumsatzes vor. Bußgelder sind nur gegen jeden Verantwortlichen möglich Mitarbeiter können auch verantwortlich sein Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig Darüber hinaus das Landgericht. Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht. oder Schadensersatz verlangt werden kann. Schmerzensgeld ist auch möglich.