Herkunft des Datenschutzes in Deutschland
Dient dem Schutz des Grundrechts auf informationelle Selbstbestimmung
Hauptfunktion war ursprünglich Schutz der Bürger gegen den Staat (mittlerweile eher gegen Konzerne)
Grundrecht wurde im Rahmen des Volkszählungsurteils 1983 etabliert
Herkunft des Datenschutzes in Europa (EU)
Dient dem Schutz der Rechte und Freiheiten aus der Charta der Grundrechte der Europäischen Union – insbesondere von personenbezogenen Daten
Europaweite Vereinheitlichung von Datenschutzstandards
Konkrete Umsetzung entstammt in weiten Teilen den deutschen Ideen und Regelungen
Welche Perspektiven gibt es beim Datenschutz?
Was wird beim Datenschutz geregelt?
Verarbeitung von personenbezogenen Daten
Keine Anwendung bei Ausübung ausschließlich persönlicher/familiärer Tätigkeiten
Was sind personenbezogene Daten?
„alle Informationen, die sich auf eine identifizierbare [...] natürliche Person [...] direkt oder indirekt [...] beziehen; [...]”
Eindeutige Daten
Nicht eindeutig
Vor- und Nachname
IP-Adresse
Adresse
pseudonymisierte Daten
…
Gehalt, Augenfarbe, Alter, …
Was wird unter “verarbeiten” verstanden?
Jeden Vorgang im Zusammenhang mit personenbezogenen Daten
Erheben
Speichern
Löschen
Vernichten
Was versteht man unter den folgenden Begriffen: “Betroffener”, “Verantwortlicher” und “Dritter”?
Betroffener
Diejenige Person, deren Daten verarbeitet werden
Verantwortlicher
Derjenige, der darüber entscheidet, wie die Daten verarbeitet werden (i.d.R. ein bestimmtes Unternehmen)
Dritter
Jemand, der in die ursprüngliche Datenverarbeitung zwischen einem Betroffenen und einem Verantwortlichen nicht einbezogen war
Ist alles verboten?
Datenschutzgesetze sind „Verbotsgesetze mit Erlaubnisvorbehalt“
d.h. die Verarbeitung ist nur rechtmäßig, wenn
1. die Datenschutzgrundsätze eingehalten werden
und
2. ein Erlaubnistatbestand besteht
Welche Datenschutzgrundsätze gibt es?
Richtigkeit
Zweckbindung
Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden
Zweck muss den Betroffenen im Vorfeld klar sein
Zweckänderungen nur in Ausnahmefällen nach einer Interessensabwägung möglich
Datenminimierung
Rechtmäßigkeit, Treu- und Glauben, Transparenz (=> Informationspflicht)
Speicherbegrenzung
Integrität und Vertraulichkeit
Welche Erlaubnistatsbestände gibt es?
Einwilligung
Muss grundsätzlich freiwillig sein und darf nicht an die Erbringung einer Leistung gekoppelt werden
Kann widerrufen oder eingeschränkt werden (auch selektiv)
Ist stets an einen konkreten Zweck gebunden
Muss nachweisbar sein
Erfüllung eines Vertrages
Erfüllung gesetzlicher Verpflichtungen
Schutz lebenswichtiger Interessen
Im öffentlichen Interesse
Berechtigtes Interesse
Kann eingesetzt werden, wenn Einwilligung nicht praktikabel
Kann auch an eine Leistung gekoppelt werden
Es muss immer eine dokumentierte Interessensabwägung zwischen dem Interesse des Verantwortlichen und dem Interesse des Betroffenen gemacht werden
→ Maßstab ist bisherige Rechtsprechung und wie glaubhaft die Abwägung ist
Einwilligungen im Beschäftigungskontext
Sind in der Regel unwirksam
Der Arbeitgeber könnte einem suggerieren, dass es für die Karriere schon besser wäre jetzt hier zu unterschreiben ...
Ausnahmen gibt es nur bei Sachen, die „offensichtlich“ zum Vorteil des Arbeitnehmers sind (z.B. betriebliche Altervorsorge)
Rechtskonforme Verarbeitung
Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
Neben den üblichen Ausnahmen (Gesetzliche Regelungenoder Schutz von Leib und Leben) ist die Verarbeitung von besonderen personenbezogenen Daten nur auf Grundlage einer Einwilligung möglich
Welche Rechte besitzen Betroffenen?
Auskunft
Umfassende Auskunft über die verarbeiteten Daten, inklusive Kopie der Daten („Datenübertragbarkeit“)
Berichtigung
Recht auf Vergessenwerden
Geht noch weiter als „Löschung“; alle Empfänger der verarbeiteten Daten müssen ebenfalls zur Löschung aufgefordert werden
Einschränkung der Verarbeitung
Selektiver Widerspruch zu bestimmten Verarbeitungszwecken
Widerspruch
Vor allem im Zusammenhang mit „berechtigten Interesse“
Widerruf
Für Einwilligungen
Was bedeutet die DSGVO für Drittländer?
Drittländer sind alle Länder, in denen die DSGVO nicht gilt
Übermittlung von personenbezogenen Daten ist nur in den folgenden Fällen erlaubt:
Es gibt eine explizite Einwilligung des Betroffenen
Es gibt einen „Angemessenheitsbeschluss“ der EU (gibt es z.B. für die Schweiz, Kanada und Japan)
Das Unternehmen nutzt von der EU genehmigte „Standardvertragsklauseln“, genehmigte „unternehmensinterne Richtlinien“
Schrems II
Bis vor kurzem
Für die USA gibt es zwar keinen Angemessenheitsbeschluss, aber die EU hat ein Abkommen mit der USA abgeschlossen: PrivacyShield
Datentransfer in die USA ist auf Basis von Privacy Shield möglich
Privacy Shield erfordert eine Selbstzertifizierung der Unternehmen
EuGH-Urteil vom 16.6.2020
Das Privacy-Shield-Abkommen ist unwirksam
Datentransfer in die USA ist auch auf Basis von Standardvertragsklauseln nur mit zusätzlichen Garantien möglich
Grund: PATRIOT ACT
Auswirkungen: MS Teams, Zoom, ...
Auf was muss bei der Technik beim Datenschutz geachtet werden?
Grundsätzlich
Technische Maßnahmen zum Schutz von personenbezogenen Daten müssen immer auf dem aktuellsten Stand sein (sog. Stand der Technik)
TLS-Verschlüsselung bei Webseiten
Festplattenverschlüsselung
Zugriffsbeschränkungen
Passwortschutz etc.
Erforderlich durch den Datenschutzgrundsatz „Vertraulichkeit und Integrität“
Weiterführende Maßnahmen können auch als zusätzliche Rechtfertigung für eine Verarbeitung auf Basis von berechtigtem Interesse verwendet werden
z.B. Verarbeitung von Videoaufzeichnungen direkt auf der Kamera, Weitergabe nur von anonymisierten Daten
Anonym vs. Pseudonym
Anonyme Daten
Sind alle Daten, die nicht personenbezogen sind.
Für anonyme Daten ist die DSGVO nicht anwendbar!
Pseudonyme Daten
Sind personenbezogene Daten, bei denen bestimmte Merkmale „verschleiert“ oder entfernt sind
Für pseudonyme Daten gilt die DSGVO uneingeschränkt!
Pseudonymisierung ist eine technische Datenschutzmaßnahme
Was muss beim Datenschutzbeauftragten beachtet werden?
Jedes Unternehmen mit mehr als 20 Mitarbeitenden, die „regelmäßig“ personenbezogene Daten verarbeiten, muss einen Datenschutzbeauftragten berufen
Die Kontaktdaten müssen in allen Datenschutzhinweisen (Art. 13 DSGVO) genannt werden
Was sind die Aufgaben des Datenschutzbeauftragten?
Soll die (rechtmäßige) Verarbeitung von personenbezogenen Daten kontrollieren und überwachen
Muss offiziell bei der Aufsichtsbehörde gemeldet werden
Muss „Fachkunde“ vorweisen können und sich regelmäßig weiterbilden
Ist in seiner Tätigkeit weisungsfrei und unkündbar
Übernimmt üblicherweise auch Schulungen und gestaltet datenschutzkonforme Prozesse mit
Ist offiziell Teil des Aufsichtsorgans und daher erste Anlaufstelle bei Beschwerden
Was machen die Aufsichtbehörden?
Die Einhaltung des Datenschutzrechts wird europaweit von Aufsichtsbehörden überwacht (in Deutschland: je eine pro Bundesland)
Aufsichtsbehörden können Datenverarbeitungspraktiken von Unternehmen kontrollieren (anlasslos und unangekündigt!) und ggf. Bußgelder verhängen
Last changed2 years ago