Was ist Datenschutz?

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Vortrag.jpeg

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

Art. 3 EU-DSGVO
  • Die Verarbeitung findet innerhalb der EU statt
  • oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben ihren Hauptsitz
  • oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

Art. 2 EU-DSGVO
  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

Art. 99 Abs. 2 EU-DSGVO
  • findet also nach dem 28.05.2018, 0:00 Uhr statt
    • also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
    • nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018

personenbezogene Daten

Art. 4 EU-DSGVO
  • Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
    • eine oder mehrere natürliche Personen
    • direkt oder mit Hilfe von weiteren Datenquellen
    • eindeutig
  • identifiziert werden kann.
  • Juristische Personen genießen keinen Datenschutz
    • Das kann bei Ein-Mensch-Firmen anders sein!
  • Verstorbene genießen auch keinen Datenschutz
    • Das Interesse der Hinterbliebenen kann aber relevant sein.

oder besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO
  • Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

Art. 24, 26 u. 27 EU-DSGVO
  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch gemeinsam Verantwortliche geben
    • die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
    • und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragsverarbeiter

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
  • Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
  • wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
  • dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
    • Gegenstand der Verarbeitung
    • Dauer der Verarbeitung
    • Art der Verarbeitung
    • Zweck der Verarbeitung
    • Art der personenbezogenen Daten
    • Kategorien betroffener Personen
    • Rechte und Pflichten der Verantwortlichen
    • Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
    • keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
    • Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

dies aufgrund einer Rechtsgrundlage

Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
      • berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
    • Verträge, Vorverträge oder vorvertragliche Verhandlungen
      • deren Beteiligte die Betroffenen sind
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen

oder einer informierten Einwilligung der Betroffenen

Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
  • Einwilligung ist immer möglich und immer gültig
  • Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
  • Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
  • Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
  • Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
  • Einwilligung nur für jeweils einen Sachverhalt möglich
  • Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
  • Einwilligende müssen "informiert" sein!
  • Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

Art. 9 EU-DSGVO
  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht

unter Wahrung der Rechte der Betroffenen,

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
  • konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
  • destruktive Rechte (Widerspruch, Einschränkung, Löschung)
  • deskriptive Rechte (Auskunft, Mitteilungen)

zweckgebunden,

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

minimiert,

Art. 5 Abs. 1 Bst. c EU-DSGVO
  • Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

transparent,

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG
  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft

mit den korrekten Daten,

  • Betroffene haben ein Recht auf Korrektur ihrer Daten
  • Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

zeitlich begrenzt,

  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
  • Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
  • Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

integer und vertraulich,

  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
    • oder besondere Kategorien personenbezogener Daten verarbeitet werden
    • oder personenbezogene Daten in großem Umfang verarbeitet werden
    • oder systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben durchführen

  • Nach herrschender Meinung in anständiger und fairer Weise.
  • Englischer Begriff: "fairness".

und dabei technische und organisatorische Maßnahmen ergreifen

Art. 25 u. 32 EU-DSGVO
  • Datensicherung (Erzeugen von redundanten Datenbeständen)
  • Datensicherheit (Wahrung der Integrität der Datenbestände)
  • Datenzugriff (Schutz vor unberechtigtem Zugriff)

und das alles nachweisen können

Art. 30 EU-DSGVO, § 70 BDSG
  • Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
    • wenn es sich um Behörden handelt
    • oder um private Stellen,
      • die mehr als 249 Beschäftigte haben
      • deren Verarbeitung nicht nur gelegentlich erfolgt
      • oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
      • oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
  • das mindestens folgendes enthält:
    • Name und Kontaktdaten des Verantwortlichen,
      • der gemeinsam Verantwortlichen und der Vertreter,
      • sowie ggf. der Auftragsverarbeiter
    • Name und Kontaktdaten des Datenschutzbeauftragten
    • die Zwecke der Verarbeitung
    • die Kategorien betroffener Personen und Daten
    • die Kategorien von Empfängern (auch in Drittländern)
    • Übermittlungen an ein Drittland
    • Fristen für die Löschung der Daten
    • technische und organisatorische Maßnahmen zum Schutz der Daten
  • und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

und möglicherweise Folgen abschätzen

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
  • Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
    • neue Technologien verwendet werden (Data Mining, Profiling, KI)
    • voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
      • Art (regelmäßig Profiling)
      • Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
      • Umstände (systematische Überwachung)
      • Zwecke
    • der Verarbeitung dies verursachen könnte.
  • Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
  • Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
    • Beschreibung von Verarbeitungsvorgängen
    • Beschreibung von Zwecken
    • Beschreibung von Interessen
    • Bewertung von Notwendigkeit und Verhältnismäßigkeit
    • Bewertung von Risiken für Rechte und Freiheiten und
    • die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
  • Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
  • Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
  • Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
  • Die Meldung
    • soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
    • enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
    • enthält Kontaktdaten der Datenschutzbeauftragten
    • enthält wahrscheinliche Folgen der Verletzung
    • enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
  • Der Verantwortliche benachrichtigt auch die betroffenen Personen

eine Klage erhoben,

  • Die Verjährungsfrist beträgt drei bis fünf Jahre.
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
    • die sie nach Prüfung auf Einstellung
    • nicht ohne Zustimmung der erlassenden Datenschutzbehörde
    • an das Strafgericht übersendet.

und eventuell eine Strafe verhängt

  • Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
  • Bußgelder werden gegen jeden Verantwortlichen verhängt.
  • Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
  • Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
  • Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

oder Schadensersatz verlangt werden kann.

  • Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
  • Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
  • Schmerzensgeld ist auch möglich.