Was ist Datenschutz
Datenschutz ist der Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten. (personenbezogene Daten = nur Daten von natürlichen Personen)
Datenschutz gilt für Privatpersonen; Daten von Unternehmen werden bspw. durch das Geschäftsgeheimnisgesetz geschützt
Das allgemeine Persönlichkeitsrecht
Öffentlichkeitssphäre (Bereich der bewussten Zuwendung an die Öffentlichkeit)
Individual-/ Sozialsphäre (etwa berufliche oder politische Betätigung)
Privatsphäre (Privat-und Familienleben, häusliche Sphäre)
Intimsphäre (innere Gedanken- und Gefühlswelt, Sexualbereich)
Europäische Menschenrechtskonvention
Grundsätzliche Recht auf Achtung des Privatlebens des Einzelnen wird normiert
Als völkerrechtlicher Vertrag bindet die EMRK die Mitgliedsstaaten
Zivilrecht
Verhältnis Bürger zu Bürger: auch hier Schutz des allgemeinen Persönlichkeitsrechts
Aus einer Verletzung des allg. Persönlichkeitsrechts können Schadensansprüche entstehen
Formeller Datenschutz
Wird durch verschiedene Vorschriften gewährleistet:
Europäische Datenschutzgrundverordnung (DSGVO)
Das Bundesdatenschutzgesetz (BDSG)
Die Datenschutzgesetze der Länder
Zahlreiche Spezialregelungen (z.B. Telemedien, Telekommunikation)
Gliederung DSGVO und BDSG
A. Das Verhältnis DSGVO und BDSG
B. Grundstrukturen der DSGVO
C. Grundstrukturen der BDSG
D. Die Weitergabe von Daten und Auftragsverarbeitung
E. Betroffenenrechte
F. Verstöße gegen das Datenschutzrecht
G. Der Datenschutzbeauftragte und überwachende Stelle
H. Arbeitnehmerdatenschutz
I. Instrumente
DSGVO und das BDSG bilden in Deutschland das formelle Fundament des Datenschutzrechts
Wichtige Begriffe der DSGVO
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierbare natürliche Person bezieht o
Verarbeitung
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Speicherung, … oder eine andere Form der Bereit-stellung
Verantwortlicher
Die natürliche oder juristische Person, Behörde, Einrichtung die über die Verarbeitung der personenbezogenen Daten entscheidet
Auftragsverarbeiter
Die natürliche oder juristische Person, Behörde, Einrichtung die personenbezogenen Daten im Auftrag des Verantwortlichen bearbeitet
Wichtige Grundprinzipien der DSGVO
) Zweckbindung / Erforderlichkeit
a. Werden Daten für einen gewissen Zweck erhoben, dann dürfen diese auch nur dafür verwendet werden!
b. Zwecke muss festgelegt, eindeutig und legitim sein
) Verbot mit Erlaubnisvorbehalt / Rechtmäßigkeit
a. Regel-Ausnahme-Prinzip
i. Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten, es sei denn es liegt eine Erlaubnis vor
ii. Das Ersuchen einer Einwilligung muss in verständlicher und leichter Form erfolgen
iii. Einwilligung ist nur wirksam, wenn die Informationspflichten eingehalten wurden!
) Transparenz
a. Datenverarbeitung hat in nachvollziehbarer Weise zu erfolgen
) Datenminimierung (Sparsamkeit und Vermeidung)
a. Es dürfen nur die Daten verarbeitet werden, welche zwingend erforderlich sind
b. Dauer der Speicherung ist zu minimieren
c. Löschung der Daten, wenn diese nicht mehr erforderlich sind ist erforderlich
) Richtigkeit der Daten
) Integrität und Vertraulichkeit
a. Sicherheit der Daten muss gewährleistet sein
b. Schutz muss durch technische und organisatorische Maßnahmen erfolgen
) Rechenschaftspflicht des Verantwortlichen
a. Der Verantwortliche ist für die Einhaltung der Regeln zum Datenschutz verantwortlich
b. Einhaltung muss nachgewiesen werden können
Was erfolgt bei der Interessenabwägung von pers. bez. Daten
Stufenweise Prüfung:
Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
Auftragsverarbeitung
Outsourcing von personenbezogenen Daten möglich
Vorgaben der DSGVO zu beachten
Früher (nach BDSG) ADV-Vertrag = Vertrag über die Auftragsdatenverarbeitung
Wie kann eine Datenübermittlung an ein Drittland oder eine internationale Organisation erfolgen
Grundsätzlich möglich, wenn eine der Voraussetzungen erfüllt ist:
Angemessenheitsbeschluss
Wenn kein Beschluss: Übermittlung nur, sofern:
Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorgesehen hat und
Den betroffenen Personen durchsetzbare Rechte zur Verfügung stehen
Wenn keine Genehmigung und keine Garantie:
Eine ausdrückliche Einwilligung der betroffenen Person vorliegt
Wichtige Gründe des öffentlichen Interesses
Benachrichtigungs- und Auskunftsansprüche
Ausdruck einer fairen und transparenten Verarbeitung von personenbezogenen Daten
Wichtig für die Rechtsdurchsetzung
Berichtigungsanspruch
Gespeicherte Daten, die unrichtig sind
Der Betroffene trägt die Beweislast
Unvollständige Daten
Sofern die Unvollständigkeit zu einem Risiko für die betroffene Person führen kann
Unverzügliche Berichtigung
Löschungsanspruch
„Recht auf Vergessenwerden“
Löschung, wenn
Daten für Zweck, zu dem sie erhoben wurden nicht mehr notwendig sind
Widerruf der Einwilligung
Unrechtmäßige Verarbeitung
…
Recht auf Einschränkung der Verarbeitung
Recht greift, wenn
Der Betroffene Richtigkeit der Daten in Frage stellt
Verarbeitung unrechtmäßig ist
Recht auf Datenübertragbarkeit
Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format
Übermittlung von Verantwortlichem zu Verantwortlichem möglich
Widerspruchsrecht
Jederzeit Widerspruch gegen die Verarbeitung möglich
Widerspruch bei Direktwerbung
Verarbeitung weiterhin möglich, wenn schutzwürdige Gründe für die Verarbeitung vorliegen
Bußgeldbewehrte Ordnungswidrigkeit
Verstöße gegen die Pflichten der DSGVO können eine bußgeldbewehrte Ordnungswidrigkeit darstellen
Wie kann man sich Strafbar machen in verbindungen zu pers. bez. Daten?
Bei unberechtigter Weitergabe oder Zugänglichmachung von Daten einer großen Zahl von Personen
Bei unberechtigter Verarbeitung oder Erschleichung von Daten
Überwachung des Datenschutzes
Jeder Mitgliedstaat muss eine oder mehrere unabhängige Behörden haben, welche für die Überwachung zuständig sind
In Deutschland -> Bundesdatenschutzbeauftragter und Landesdatenschutzbeauftragte (Zusammen die „Datenschutzkonferenz“)
Datenschutzbeauftragte nach deutschem Recht
Ist Pflicht, wenn
Verarbeitung von einer Behörde oder öffentlichen Stelle erfolgt
Kann ein Mitarbeiter sein, aber auch ein Dienstleister; fachliche Eignung notwendig
Aufgaben
Überwachung und Einhaltung der Vorschriften
Schulung der Mitarbeiter
Interne Beratung usw.
Verarbeitung von Beschäftigtendaten
Grundsätzliche verboten mit Erlaubnisvorbehalt:
Sofern Verarbeitung erforderlich ist, um das Arbeitsverhältnis zu begründen
Mit Einwilligung
Zur Aufdeckung bereits begangener Straftaten
Beschäftigte, die personenbezogene Daten verarbeiten: Verpflichtung auf das Datengeheimnis
Besondere Kategorien personenbezogener Daten
Gesundheitsdaten
Im Bewerbungsverfahren ist das Fragerecht begrenzt
Beantwortung der Frage muss für die Begründung des Beschäftigungsverhältnisses erforderlich sein
Dienst- und Betriebsvereinbarungen
Schriftliche Übereinkünfte von Betriebs-/Personalrat und Arbeitgeber/Dienstherrn
Gelten unmittelbar und zwingend
Personal- und Betriebsrat
Haben Möglichkeiten der Kontrolle und der präventiven Einwirkung
Aufgrund gesetzlicher Mitwirkungs- und Mitbestimmungsrechte
Videoüberwachung am Arbeitsplatz
Videoüberwachung nur rechtmäßig, wenn verhältnismäßig
Offene Videoüberwachung
Kennzeichnung über Überwachungsmaßnahmen müssten gut erkennbar sein
Unzulässig ist eine Überwachung im Sinne einer Leistungskontrolle
Verhältnismäßigkeitsprüfung am Bsp. Videoüberwachung
Legitimer Zweck?
Was möchte der Arbeitgeber erreichen?
Geeignet
Kann dieser Zweck mit der Videoüberwachung erreicht werden?
Erforderlich
Es darf kein gleich wirksames, aber milderes Mittel zur Verfügung stehen
Angemessen
Bei Gesamtabwägung darf der Eingriff in Persönlichkeitsrechte der Beschäftigten nicht über dem Eingriff der Gründe für eine Videoüberwachung stehen
Datenschutz-Folgeabschätzung
Ziel:
Kriterien für den Schutz der betroffenen Personen definieren
Wann?
Immer dann, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen zur Folge hat
Mindestbestandteile:
Systematische Beschreibung
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Bewertung der Risiken für die Rechte und Freiheiten der Person
Zu bewältigende Risiken mit deren Abhilfemaßnahmen
Löschkonzept
Vorgehensweise
Bestimmung der Datenarten, welche in den Beständen des Unternehmens ist
Zusammenfassung der Datenarten in Löschklassen
Definition von Löschregeln für die Datenarten
Definition von konkreten Umsetzungsregeln
Definition der jeweils Verantwortlichen für die Umsetzung
Dokumentation der ergriffenen Maßnahmen
E-Privacy Richtlinie
Richtlinie zur Harmonisierung
Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste
Umsetzung in Deutschland durch TKG und TMG
Cookies
Sind kurze Textdateien, welche von Webservern auf den Rechner übertragen und gespeichert werden.
Dienen zur Identifikation der Seitenbesucher
E-Privacy Verordnung
Sollte mit der DSGVO kommen und die E-Privacy Richtlinie ablösen
Stärkung der Privatsphäre von Internet-Nutzern
Last changed2 years ago