Datenschutzrecht

Datenschutz ist der Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten. (personenbezogene Daten = nur Daten von natürlichen Personen)

• Datenschutz gilt für Privatpersonen; Daten von Unternehmen werden bspw. durch das Geschäftsgeheimnisgesetz geschützt

• Öffentlichkeitssphäre (Bereich der bewussten Zuwendung an die Öffentlichkeit)

• Individual-/ Sozialsphäre (etwa berufliche oder politische Betätigung)

• Privatsphäre (Privat-und Familienleben, häusliche Sphäre)

• Intimsphäre (innere Gedanken- und Gefühlswelt, Sexualbereich)

• Grundsätzliche Recht auf Achtung des Privatlebens des Einzelnen wird normiert

• Als völkerrechtlicher Vertrag bindet die EMRK die Mitgliedsstaaten

• Verhältnis Bürger zu Bürger: auch hier Schutz des allgemeinen Persönlichkeitsrechts

• Aus einer Verletzung des allg. Persönlichkeitsrechts können Schadensansprüche entstehen

• Wird durch verschiedene Vorschriften gewährleistet:

  • Europäische Datenschutzgrundverordnung (DSGVO)

  • Das Bundesdatenschutzgesetz (BDSG)

  • Die Datenschutzgesetze der Länder

  • Zahlreiche Spezialregelungen (z.B. Telemedien, Telekommunikation)

• A. Das Verhältnis DSGVO und BDSG

• B. Grundstrukturen der DSGVO

• C. Grundstrukturen der BDSG

• D. Die Weitergabe von Daten und Auftragsverarbeitung

• E. Betroffenenrechte

• F. Verstöße gegen das Datenschutzrecht

• G. Der Datenschutzbeauftragte und überwachende Stelle

• H. Arbeitnehmerdatenschutz

• I. Instrumente

DSGVO und das BDSG bilden in Deutschland das formelle Fundament des Datenschutzrechts

• Personenbezogene Daten

  • Alle Informationen, die sich auf eine identifizierbare natürliche Person bezieht o

• Verarbeitung

  • Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Speicherung, … oder eine andere Form der Bereit-stellung

• Verantwortlicher

  • Die natürliche oder juristische Person, Behörde, Einrichtung die über die Verarbeitung der personenbezogenen Daten entscheidet

• Auftragsverarbeiter

  • Die natürliche oder juristische Person, Behörde, Einrichtung die personenbezogenen Daten im Auftrag des Verantwortlichen bearbeitet

1. ) Zweckbindung / Erforderlichkeit

   a. Werden Daten für einen gewissen Zweck erhoben, dann dürfen diese auch nur dafür verwendet werden!

   b. Zwecke muss festgelegt, eindeutig und legitim sein

2. ) Verbot mit Erlaubnisvorbehalt / Rechtmäßigkeit

   a. Regel-Ausnahme-Prinzip

   • i. Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten, es sei denn es liegt eine Erlaubnis vor

   • ii. Das Ersuchen einer Einwilligung muss in verständlicher und leichter Form erfolgen

   • iii. Einwilligung ist nur wirksam, wenn die Informationspflichten eingehalten wurden!

3. ) Transparenz

   a. Datenverarbeitung hat in nachvollziehbarer Weise zu erfolgen

4. ) Datenminimierung (Sparsamkeit und Vermeidung)

   a. Es dürfen nur die Daten verarbeitet werden, welche zwingend erforderlich sind

   b. Dauer der Speicherung ist zu minimieren

   c. Löschung der Daten, wenn diese nicht mehr erforderlich sind ist erforderlich

5. ) Richtigkeit der Daten

6. ) Integrität und Vertraulichkeit

   a. Sicherheit der Daten muss gewährleistet sein

   b. Schutz muss durch technische und organisatorische Maßnahmen erfolgen

7. ) Rechenschaftspflicht des Verantwortlichen

   a. Der Verantwortliche ist für die Einhaltung der Regeln zum Datenschutz verantwortlich

   b. Einhaltung muss nachgewiesen werden können

• Stufenweise Prüfung:

  • Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten

  • Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

• Outsourcing von personenbezogenen Daten möglich

  • Vorgaben der DSGVO zu beachten

  • Früher (nach BDSG) ADV-Vertrag = Vertrag über die Auftragsdatenverarbeitung

  • 
    

• Grundsätzlich möglich, wenn eine der Voraussetzungen erfüllt ist:

  • Angemessenheitsbeschluss

  • Wenn kein Beschluss: Übermittlung nur, sofern:

    • Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorgesehen hat und

    • Den betroffenen Personen durchsetzbare Rechte zur Verfügung stehen

  • Wenn keine Genehmigung und keine Garantie:

    • Eine ausdrückliche Einwilligung der betroffenen Person vorliegt

    • Wichtige Gründe des öffentlichen Interesses

• Ausdruck einer fairen und transparenten Verarbeitung von personenbezogenen Daten

• Wichtig für die Rechtsdurchsetzung

• Gespeicherte Daten, die unrichtig sind

  • Der Betroffene trägt die Beweislast

• Unvollständige Daten

  • Sofern die Unvollständigkeit zu einem Risiko für die betroffene Person führen kann

• Unverzügliche Berichtigung

• „Recht auf Vergessenwerden“

• Löschung, wenn

  • Daten für Zweck, zu dem sie erhoben wurden nicht mehr notwendig sind

  • Widerruf der Einwilligung

  • Unrechtmäßige Verarbeitung

  • …

• Recht greift, wenn

  • Der Betroffene Richtigkeit der Daten in Frage stellt

  • Verarbeitung unrechtmäßig ist

• Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format

• Übermittlung von Verantwortlichem zu Verantwortlichem möglich

• Jederzeit Widerspruch gegen die Verarbeitung möglich

• Widerspruch bei Direktwerbung

• Verarbeitung weiterhin möglich, wenn schutzwürdige Gründe für die Verarbeitung vorliegen

• Verstöße gegen die Pflichten der DSGVO können eine bußgeldbewehrte Ordnungswidrigkeit darstellen

• Bei unberechtigter Weitergabe oder Zugänglichmachung von Daten einer großen Zahl von Personen

• Bei unberechtigter Verarbeitung oder Erschleichung von Daten

• Jeder Mitgliedstaat muss eine oder mehrere unabhängige Behörden haben, welche für die Überwachung zuständig sind

• In Deutschland -> Bundesdatenschutzbeauftragter und Landesdatenschutzbeauftragte (Zusammen die „Datenschutzkonferenz“)

• Ist Pflicht, wenn

  • Verarbeitung von einer Behörde oder öffentlichen Stelle erfolgt

• Datenschutzbeauftragte nach deutschem Recht

  • Kann ein Mitarbeiter sein, aber auch ein Dienstleister; fachliche Eignung notwendig

  • Aufgaben

    • Überwachung und Einhaltung der Vorschriften

    • Schulung der Mitarbeiter

    • Interne Beratung usw.

• Grundsätzliche verboten mit Erlaubnisvorbehalt:

  • Sofern Verarbeitung erforderlich ist, um das Arbeitsverhältnis zu begründen

  • Mit Einwilligung

  • Zur Aufdeckung bereits begangener Straftaten

• Beschäftigte, die personenbezogene Daten verarbeiten: Verpflichtung auf das Datengeheimnis

• Gesundheitsdaten

• Im Bewerbungsverfahren ist das Fragerecht begrenzt

• Beantwortung der Frage muss für die Begründung des Beschäftigungsverhältnisses erforderlich sein

• Schriftliche Übereinkünfte von Betriebs-/Personalrat und Arbeitgeber/Dienstherrn

• Gelten unmittelbar und zwingend

• Haben Möglichkeiten der Kontrolle und der präventiven Einwirkung

  • Aufgrund gesetzlicher Mitwirkungs- und Mitbestimmungsrechte

• Videoüberwachung nur rechtmäßig, wenn verhältnismäßig

• Offene Videoüberwachung

  • Kennzeichnung über Überwachungsmaßnahmen müssten gut erkennbar sein

• Unzulässig ist eine Überwachung im Sinne einer Leistungskontrolle

• Legitimer Zweck?

  • Was möchte der Arbeitgeber erreichen?

• Geeignet

  • Kann dieser Zweck mit der Videoüberwachung erreicht werden?

• Erforderlich

  • Es darf kein gleich wirksames, aber milderes Mittel zur Verfügung stehen

• Angemessen

  • Bei Gesamtabwägung darf der Eingriff in Persönlichkeitsrechte der Beschäftigten nicht über dem Eingriff der Gründe für eine Videoüberwachung stehen

• Ziel:

  • Kriterien für den Schutz der betroffenen Personen definieren

• Wann?

  • Immer dann, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen zur Folge hat

• Mindestbestandteile:

  • Systematische Beschreibung

  • Bewertung der Notwendigkeit und Verhältnismäßigkeit

  • Bewertung der Risiken für die Rechte und Freiheiten der Person

  • Zu bewältigende Risiken mit deren Abhilfemaßnahmen

• Vorgehensweise

  • Bestimmung der Datenarten, welche in den Beständen des Unternehmens ist

  • Zusammenfassung der Datenarten in Löschklassen

  • Definition von Löschregeln für die Datenarten

  • Definition von konkreten Umsetzungsregeln

  • Definition der jeweils Verantwortlichen für die Umsetzung

  • Dokumentation der ergriffenen Maßnahmen

• Richtlinie zur Harmonisierung

• Richtlinie gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste

• Umsetzung in Deutschland durch TKG und TMG

• Sind kurze Textdateien, welche von Webservern auf den Rechner übertragen und gespeichert werden.

• Dienen zur Identifikation der Seitenbesucher

• Sollte mit der DSGVO kommen und die E-Privacy Richtlinie ablösen

• Ziel:

  • Stärkung der Privatsphäre von Internet-Nutzern