Datenschutzrecht

§ 30 Steuergeheimnis

(1) Amtsträger haben das Steuergeheimnis zu wahren.

(2) Ein Amtsträger verletzt das Steuergeheimnis, wenn er

… Verhältnisse eines anderen in einem Verfahren oder die getroffenen Feststellungen bei der Besteuereung bekannt geworden sind

… ein fremdes Betriebs- oder Geschäftsgeheimnis unbefugt offenbart oder verwertet

§ 39 VwVfG

Beteiligte haben Anspruch darauf dass ihre Geheimnisse nicht unbefugt offenbart werden.

§ 203 StGB Verletzung von Privatgeheimnissen

Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als

… Ärzte, Beamte, etc.

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

• Grundrechte wirken zw. Staat und Bürger

• verpflichten den Staat

• sind primär Abwehrrechte der Bürger*innen gegen den Staat

• Freiheitsrechte

• Leistungsrechte

Volkszählungsurteil 1983 (BVerfGE 65, 1) Leitsätze:

1. Datenschutz von allgemeinen Persönlichkeitsrecht umfasst; Befugnis des einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen

2. “informationelle Selbstbestimmung” bedarf einer gesetzlichen Grundlage; Grundsatz der Verhältnismäßigkeit muss beachtet werden

3. Unterscheidung zw. individualisierter, nicht anonymen Daten und Daten für statistische Zwecke

“Bundes-Trojaner” (BVerfG vom 27.02.2008) Leitsätze:

1. Allg. Persönlichkeitsrtecht umfasst Grundrecht auf Gewährleistung der Vertaulichkeit und Integrität der informationstechnischen Systeme

2. Heimliche Infiltration nur bei konkreter Gefahr für ein überragendes wichtiges Rechtsgut zulässig (Leib, Leben, Freiheit, Existenz)

• Verordnungen: verbindlicher Rechtsakt, den alle EU-Länder in vollem Umfang umsetzen müssen

• Richtlinien: Rechtsakt, in dem ein von allen EU-Ländern zu erreichendes Ziel festgelegt wird. Länder entscheiden selbst über Verwirklichung des Ziels

• Beschlüsse: Für diejenigen verbindlich und unmittelbar anwendbar, an den sie gerichtet sind

• Empfehlungen: nicht verbindlich

• Stellungnahmen: In unverbindlicher Form zu einem Sachverhat äußern; für Adressaten keine rechtliche Verpflichtung

• Inkrafttreten 25. Mai 2018

• löste BDSG ab

• Dazwischen eine Umsetzungsfrist von 2 Jahren zum in den Einklang bringen der beiden Verordnungen

Art. 4 Nr. 1

• Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen

• natürliche Personen sind direkt oder indirekt identifizierbar

• Daten von juristischen Personen, Vereinen, Verbänden etc. sind durch das Datenschutzrecht nicht geschützt.

• pers.bez. Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse (zB Name, Adresse, Gehalt, Kreditkartennummer, Telefonnummer, …)

Art. 9 Abs. 1 DSGVO

Verarbeitung pers.bez. Daten aus denen die…

rassische, ethnische, politische, religiöse, gewerkschaftliche Zugehörigtkeit

…hervorgehen

sowie die Verarbeitung von…

genetischen, biometrischen, Gesundheitsdaten oder Daten zum Sexualleben

.. einer natürlichen Person ist untersagt!

=> Strenge Anforderungen (Ausnahmen in Abs. 2)

(Singular von Daten = Datum)

• Identifiziert ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt.

• Identifizierbar wird eine Person, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird.

• DSGVO/ BDSG schützt die personenbezogenen Daten von Menschen

• Recht auf informationelle Selbstbestimmung

• Schutz vor Beeinträchtigung von Persönlichkeitsrechten

Aber:

• Verbot mit Erlaubnisvorbehalt

• Zweckbindung

• Prinzip der Erforderlichkeit

• Prinzip der Datensparsamkeit

• Informationsrecht (Art. 13 und 14)

• Auskunftsrecht (Art. 15)

• Recht auf Berichtigung (Art. 16) und Löschung (Art. 17)

• Weitere Betroffenenrechte (Art. 18-20)

• Haftung (Art. 82)

• Bußgeld, Straftaten (Art. 83 und 84)

• Data Breach Notification (Art. 33 und 34)

• Meldung an Aufsichtsbehörde unverzüglich binnen 72 Stunden und an Betroffenen

• neu: Meldepflicht unabhängig von der Kategorie und Verarbeitungsart der Daten

• Rechtmäßigkeit/Treu und Glauben

• Transparenz

• Zweckbindung

• Datensparsamkeit

• Richtigkeit

• Begrenzte Speicherung

• Integrität und Vertraulichkeit

Datenverarbeitung ist erlaubt, wenn… (Art. 6 DSGVO)

• … Einwilligung des Betroffenen

• … berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen nicht entgegenstehen

• … Datenverarbeitung erforderlich ist (zB Erfüllung Vertrag)

• Verantwortlicher muss Einwilligung nachweisen

• Klare Kenntlichmachung der Einwilligung

• Hinweis auf das Widerrufsrecht

• Widerruf muss so einfach wie die Einwilligung sein

• Kopplungsverbot

(Opt-In: Nicht vorab angeklickte Checkboxen mit Double-Opt-In (s. Cookie-Urteil))

Art. 20 DSGVO

• Erweiterung des Auskunftsrechts: Recht auf Erhalt einer Kopie seiner Daten

• Erweiterung durch Portierbarkeit der Daten zu einem Wettbewerbsdienst

• Eine Kopie kann vom Betroffenen herausverlangt werden als strukturiertes, gängiges und maschinenlesbares Format -> „Strukturiert“ bedeutet Datenbankformat (XML, CSV usw.)

(Gilt nur bei Verarbeitung aufgrund Einwilligung oder Vertrag)

Vom Verantwortlichen veröffentlichte Daten sind nach den Vorgaben des Art. 17 Abs. 1 zu löschen (vorbehaltlich der Ausnahmen nach Art. 17 Abs. 3).

Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1) Unter Berücksichtigung des Stands der Technik…trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen - wie z.B. Pseudonymisierung

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden

Pflicht zur Bestellung eines Datenschutzbeauftragte/n (Art. 37 Abs. 1 DSGVO)

Kerntätigkeiten:

• Regelmäßige und systematische Beobachtung von betroffenen Personen

• Umfangreiche Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten

In folgenden Fällen verpflichtend:

• Verarbeitung personenbezogener Daten durch Behörden / öffentliche Stellen

• für nichtöffentliche Stellen wenn…

  • mind. 20 Personen ständig mit automatisierter Verarbeitung der pers.bez. Daten beschäftigt

  • Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabschätzung unterliegen

  • pers.bez. Daten geschäftsmäßiger Zwecks der (anonymisierten) Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden

• Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis

• Fähigkeit zur Erfüllung der Aufgaben aus Art. 39 DSGVO

• Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen, also nur einen Teil der Arbeitszeit für die Aufgaben des Datenschutzbeauftragten aufbringen (sog. Nebenamt).

• Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

• Unabhängigkeit

• Zugang zu Ressourcen

• Weisungsfreiheit

• Abberufungs- und Benachteiligungsverbot

• Direkter Berichtweg zur höchsten Managementebene

• Beratung (zB Unterrichtung oder Hilfe)

• Überwachung (Einhaltung DSGVO, Zusammenarbeit Aufsichtsbehörde)

=> Auch ohne eine Pflicht zur Bestellung sind diese Aufgaben durch die Verantwortlichen selbstverständlich zu erfüllen.

• In der Regel müssen alle Verantwortlichen (Unternehmen/Legaleinheiten/Behörden etc.) ein VVT (Verzeichnis von Verarbeitungstätigkeiten) führen!

• Pflicht ist eigentlich beschränkt aber Beschränkung läuft aufgrund einer regelmäigen Verarbeitung ins Leere

Art. 28 DSGVO

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):

• Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45)

• Vorliegen geeigneter Garantien (Art. 46)

• Ausnahmen für bestimmte Fälle (Art. 49)

§25b KWG Auslagerung von Aktivitäten und Prozessen

Ein Institut muss… angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden…Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, das die ausgelagerten Aktivitäten und Prozesse einbezieht.

§53 BDSG

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

§87BetrVG Mitbestimmungsrechte

Mitbestimmung bei:

• Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (“Verhaltenskontrolle”)

  • Häufigkeit und Verteilung der Zugriffe auf Datenbanken

  • Mitarbeit an Unternehmenswikis und Teamseiten

  • Verfügbarkeit per Handy oder Notebook

• Fragen der betrieblichen Lohngestaltung

• Festsetzung der Akkord-und Prämiensätze und vergleichbarer leistungsbezogener Entgelte

Der Arbeitgeber hat den Betriebsrat über die Planung..

• von Neu-, Um- oder Erweiterungsbauton

• von technischen Anlagen

• von Arbeitsverfahren und Arbeitsabläufen

• der Arbeitsplätze

… rechtzeitig unter Vorlage der erforderlichen Unterlagen zu unterrichten