Verschwiegenheitspflichten: Steuergeheimnis
§ 30 Steuergeheimnis
(1) Amtsträger haben das Steuergeheimnis zu wahren.
(2) Ein Amtsträger verletzt das Steuergeheimnis, wenn er
… Verhältnisse eines anderen in einem Verfahren oder die getroffenen Feststellungen bei der Besteuereung bekannt geworden sind
… ein fremdes Betriebs- oder Geschäftsgeheimnis unbefugt offenbart oder verwertet
Verschwiegenheitspflichten: Verwaltungsverfahrensgesetz
§ 39 VwVfG
Beteiligte haben Anspruch darauf dass ihre Geheimnisse nicht unbefugt offenbart werden.
Verschwiegenheitspflichten: Strafgesetzbuch
§ 203 StGB Verletzung von Privatgeheimnissen
Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als
… Ärzte, Beamte, etc.
anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Verfassungsrecht: Wirkung der Grundrechte
Grundrechte wirken zw. Staat und Bürger
verpflichten den Staat
sind primär Abwehrrechte der Bürger*innen gegen den Staat
Freiheitsrechte
Leistungsrechte
Entstehung des Datenschutzrechts: Informationelle Selbstbestimmung
Volkszählungsurteil 1983 (BVerfGE 65, 1) Leitsätze:
Datenschutz von allgemeinen Persönlichkeitsrecht umfasst; Befugnis des einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen
“informationelle Selbstbestimmung” bedarf einer gesetzlichen Grundlage; Grundsatz der Verhältnismäßigkeit muss beachtet werden
Unterscheidung zw. individualisierter, nicht anonymen Daten und Daten für statistische Zwecke
Entstehung des Datenschutzrechts: Vertraulichkeit und Integrität IT-Systeme
“Bundes-Trojaner” (BVerfG vom 27.02.2008) Leitsätze:
Allg. Persönlichkeitsrtecht umfasst Grundrecht auf Gewährleistung der Vertaulichkeit und Integrität der informationstechnischen Systeme
Heimliche Infiltration nur bei konkreter Gefahr für ein überragendes wichtiges Rechtsgut zulässig (Leib, Leben, Freiheit, Existenz)
EU-Recht: Europarecht
Verordnungen: verbindlicher Rechtsakt, den alle EU-Länder in vollem Umfang umsetzen müssen
Richtlinien: Rechtsakt, in dem ein von allen EU-Ländern zu erreichendes Ziel festgelegt wird. Länder entscheiden selbst über Verwirklichung des Ziels
Beschlüsse: Für diejenigen verbindlich und unmittelbar anwendbar, an den sie gerichtet sind
Empfehlungen: nicht verbindlich
Stellungnahmen: In unverbindlicher Form zu einem Sachverhat äußern; für Adressaten keine rechtliche Verpflichtung
EU-Datenschutzgrundverordnung
Inkrafttreten 25. Mai 2018
löste BDSG ab
Dazwischen eine Umsetzungsfrist von 2 Jahren zum in den Einklang bringen der beiden Verordnungen
Personenbezogene Daten
Art. 4 Nr. 1
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen
natürliche Personen sind direkt oder indirekt identifizierbar
Daten von juristischen Personen, Vereinen, Verbänden etc. sind durch das Datenschutzrecht nicht geschützt.
pers.bez. Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse (zB Name, Adresse, Gehalt, Kreditkartennummer, Telefonnummer, …)
Verarbeitung besonderer Kategorien personenbezogener Daten
Art. 9 Abs. 1 DSGVO
Verarbeitung pers.bez. Daten aus denen die…
rassische, ethnische, politische, religiöse, gewerkschaftliche Zugehörigtkeit
…hervorgehen
sowie die Verarbeitung von…
genetischen, biometrischen, Gesundheitsdaten oder Daten zum Sexualleben
.. einer natürlichen Person ist untersagt!
=> Strenge Anforderungen (Ausnahmen in Abs. 2)
Identifizierbarkeit
(Singular von Daten = Datum)
Identifiziert ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt.
Identifizierbar wird eine Person, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird.
Grundlagen des Datenschutzrechts
DSGVO/ BDSG schützt die personenbezogenen Daten von Menschen
Recht auf informationelle Selbstbestimmung
Schutz vor Beeinträchtigung von Persönlichkeitsrechten
Aber:
Verbot mit Erlaubnisvorbehalt
Zweckbindung
Prinzip der Erforderlichkeit
Prinzip der Datensparsamkeit
DSGVO: Betroffenenrechte
Informationsrecht (Art. 13 und 14)
Auskunftsrecht (Art. 15)
Recht auf Berichtigung (Art. 16) und Löschung (Art. 17)
Weitere Betroffenenrechte (Art. 18-20)
DSGVO: Haftung und Bußgeld
Haftung (Art. 82)
Bußgeld, Straftaten (Art. 83 und 84)
DSGVO: Meldepflichten (“Data Breach”)
Data Breach Notification (Art. 33 und 34)
Meldung an Aufsichtsbehörde unverzüglich binnen 72 Stunden und an Betroffenen
neu: Meldepflicht unabhängig von der Kategorie und Verarbeitungsart der Daten
Grundsätze für die Verarbeitung pers.bez. Daten
Rechtmäßigkeit/Treu und Glauben
Transparenz
Datensparsamkeit
Richtigkeit
Begrenzte Speicherung
Integrität und Vertraulichkeit
Zulässigkeit der Datenverarbeitung
Datenverarbeitung ist erlaubt, wenn… (Art. 6 DSGVO)
… Einwilligung des Betroffenen
… berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen nicht entgegenstehen
… Datenverarbeitung erforderlich ist (zB Erfüllung Vertrag)
Einwilligung (Art. 7 und 8)
Verantwortlicher muss Einwilligung nachweisen
Klare Kenntlichmachung der Einwilligung
Hinweis auf das Widerrufsrecht
Widerruf muss so einfach wie die Einwilligung sein
Kopplungsverbot
(Opt-In: Nicht vorab angeklickte Checkboxen mit Double-Opt-In (s. Cookie-Urteil))
Datenportabilität
Art. 20 DSGVO
Erweiterung des Auskunftsrechts: Recht auf Erhalt einer Kopie seiner Daten
Erweiterung durch Portierbarkeit der Daten zu einem Wettbewerbsdienst
Eine Kopie kann vom Betroffenen herausverlangt werden als strukturiertes, gängiges und maschinenlesbares Format -> „Strukturiert“ bedeutet Datenbankformat (XML, CSV usw.)
(Gilt nur bei Verarbeitung aufgrund Einwilligung oder Vertrag)
“Recht auf Vergessenwerden”
Vom Verantwortlichen veröffentlichte Daten sind nach den Vorgaben des Art. 17 Abs. 1 zu löschen (vorbehaltlich der Ausnahmen nach Art. 17 Abs. 3).
System des Datenschutzes/ Datenschutzmanagement (Grafik)
DSGVO - Privacy by Design
Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik…trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen - wie z.B. Pseudonymisierung
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden
Datenschutzbeauftragte
Pflicht zur Bestellung eines Datenschutzbeauftragte/n (Art. 37 Abs. 1 DSGVO)
Kerntätigkeiten:
Regelmäßige und systematische Beobachtung von betroffenen Personen
Umfangreiche Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
In folgenden Fällen verpflichtend:
Verarbeitung personenbezogener Daten durch Behörden / öffentliche Stellen
für nichtöffentliche Stellen wenn…
mind. 20 Personen ständig mit automatisierter Verarbeitung der pers.bez. Daten beschäftigt
Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabschätzung unterliegen
pers.bez. Daten geschäftsmäßiger Zwecks der (anonymisierten) Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden
Anforderungen an Datenschutzbeauftragten - Artikel 37 Abs. 5
Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
Fähigkeit zur Erfüllung der Aufgaben aus Art. 39 DSGVO
Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen, also nur einen Teil der Arbeitszeit für die Aufgaben des Datenschutzbeauftragten aufbringen (sog. Nebenamt).
Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Stellung des Datenschutzbeauftragten
Unabhängigkeit
Zugang zu Ressourcen
Weisungsfreiheit
Abberufungs- und Benachteiligungsverbot
Direkter Berichtweg zur höchsten Managementebene
Aufgaben des Datenschutzbeauftragten
Beratung (zB Unterrichtung oder Hilfe)
Überwachung (Einhaltung DSGVO, Zusammenarbeit Aufsichtsbehörde)
=> Auch ohne eine Pflicht zur Bestellung sind diese Aufgaben durch die Verantwortlichen selbstverständlich zu erfüllen.
Verfahrensverzeichnis: Verpflichtete
In der Regel müssen alle Verantwortlichen (Unternehmen/Legaleinheiten/Behörden etc.) ein VVT (Verzeichnis von Verarbeitungstätigkeiten) führen!
Pflicht ist eigentlich beschränkt aber Beschränkung läuft aufgrund einer regelmäigen Verarbeitung ins Leere
Auftragsverarbeiter
Art. 28 DSGVO
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Übermittlung in Drittländer
Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):
Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45)
Vorliegen geeigneter Garantien (Art. 46)
Ausnahmen für bestimmte Fälle (Art. 49)
Weitere bereichsspezifische Regelungen
§25b KWG Auslagerung von Aktivitäten und Prozessen
Ein Institut muss… angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden…Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, das die ausgelagerten Aktivitäten und Prozesse einbezieht.
Wichtig für alle IT-Mitarbeiter*innen
§53 BDSG
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Rechte des Betriebsrats
§87BetrVG Mitbestimmungsrechte
Mitbestimmung bei:
Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (“Verhaltenskontrolle”)
Häufigkeit und Verteilung der Zugriffe auf Datenbanken
Mitarbeit an Unternehmenswikis und Teamseiten
Verfügbarkeit per Handy oder Notebook
Fragen der betrieblichen Lohngestaltung
Festsetzung der Akkord-und Prämiensätze und vergleichbarer leistungsbezogener Entgelte
Unterrichtungs- und Beratungsrechte
Der Arbeitgeber hat den Betriebsrat über die Planung..
von Neu-, Um- oder Erweiterungsbauton
von technischen Anlagen
von Arbeitsverfahren und Arbeitsabläufen
der Arbeitsplätze
… rechtzeitig unter Vorlage der erforderlichen Unterlagen zu unterrichten
Zuletzt geändertvor einem Jahr