Datenschutz
Schutz betroffener Personen (nicht Schutz des Verantwortlichen UND nicht Schutz sämtlicher Informationsgehalte; erweiterte Gewährleistungsziele
-schützt die Grundrechte und Grundfreiheiten natürlicher Personen (vgl. Art. 2 Abs. 1 DS-GVO)
•Datenschutzbeauftragte handeln im Interesse der betroffenen Personen
IT-Sicherheit
Sicherheit aller technischen Mittel zur Verarbeitung von Informationen
-schützt Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung (vgl. Art. 4 Nr. 2 NIS-RL)
•IT-Sicherheitsbeauftragte handeln im Interesse des Unternehmens bzw. der Behörde
Datenschutz- Gewährleistungs- und Schutzziele
Verfügbarkeit
Integrität
Vertraulichkeit
Datenminimierung
Nichtverkettung
Transparenz
Intervenierbarkeit
IT-Sicherheitsrecht- Gewährleistungs- und Schutzziele
Authentizität
Nichtabstreitbarkeit
Wiederherstellbarkeit
Belastbarkeit
Volkszählungsurteil
1983
Recht auf informationelle Selbstbestimmung
Rechtsquellen des Datenschutzsrechts
DSGVO -Spähre
J’I-RL Sühäre
unionsrechtsfreie Sphäre
EU Datenschutzvorschriften
DS-GVO
ePrivacy RL
MeldeVO
JI-RL
EUIBA -DSVO —> DSGSVO für Unons stellen
Durchführungsbeschluss über Standardvertragsklauserns Drittländer
Durchführungsbeschluss Standardvertragsklauseln zwischen verantwortlichen und Auftragsverarbeitern
deutsche Datenschutzaufsichtsbehörden
1 BfDI
Bundesländer
Kirchen Art. 91 Abs.2 DSGVO
Rundfunkanstalten Art 85 Abs.2 DSGVO
Stand der Technik
Zwischen allgemein anerkannten Regeln der Technik und Stand von Wissenschaft der Technik
von der Gesellschaft anerkannte Technike mittel die nicht veraltet oder brandneu sind sonder fest etabliert
allgemein anerkannten Regeln der Technik
mindestmaß an in der Gesellschaft an Technik anerkannten Standard wird genutzt
-weit hinter der aktuellen technischen Entwicklung
Stand von Wissenschaft und Technik
neuste Techniken und Entwicklungen
Verzicht auf TOMs
Verzicht auf Technisch Organisatorische Maßnahmen mit Einwilligung des Betroffenen?
—> nach BfDI Auffaßung nicht möglich
—> nach auffassung der Datenschutzkonferenz mit einwilligung schon möglich
Datenschutzfolgeabschätzung im alten BDSG
Vorabkontrolle §4d BDSG
Datenschutzbeauftragter zuständig kann sich an BFDI und Aufsichtsbehörde wenden
DSFA DS-GVO
Art. 35 DS-GVO
bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen
Risiko
physischen, materiellen oder immateriellen Schadens
Bsp. ErwGr 75
Risikomatrix
Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und der schwere des möglichen Schadens eingeordnet auf einer matrix
dabei gibt es drei kategorien
grün geringes risiko
gelbes risiko
rotes risiko
nach einordnung erfolgen maßnahmen zur risikominimierung
Wer führt die DFSA in einer Behörde durch?
DSFA-Team mit dem Verantwortlichen
DSB beratend
Wird die Verarbeitung bei pflichtwidrig unterlassener DSFA automatisch rechtswidrig?
Kann eine pflichtwidrig unterlassene DSFA nachgeholtwerden?
nach Wortlaut "vorab" (Art. 35 Abs. 1 DSGVO) --> Verstoß; die Verarbeitung an sich wird dadurch aber nicht rechtswidrig: mit Daten an sich nicht rechtswidrig nur das Verfahren ist rechtswidrig und muss um eine DFSA ergänzt werden (Art. 35 Abs. 11 DSGVO)
Kann der BfDIdie Durchführung einer DSFA anordnen?
Art. 58 Abs 2 lit. d DSGVO --> Anweisung DSFA nachzuholen im Einklang mit DSGVO (Art. 58 Abs. 2 lit. a --> Warnung sollte auch schon zu Durchführung einer DSFA führen)
Ist ein einzelner beliehener Unternehmer zur Durchführung einer DSFA verpflichtet?
ja
Kann die DSFA einem Auftragsverarbeiter aufgebürdet werden?
Art. 28 Abs. 3 lit. f DSGVO (ErwGr 95, ErwGr 77)--> Beteiligung des Auftragsverarbeiter an der DSFA, schlussendliche Verantwortlichkeit liegt aber bei Aufsichtsbehörde
Muß der Personalrat im Rahmen der DSFA mit ins Boot geholt werden? Mußihm der Abschlußberichtzugänglich gemacht werden?
Art. 35 Abs. 9 --> Personalrat als Vertreter betroffener Personen kann ggf. einbezogen werden; d.h. keine Verpflichtung aber Möglichkeit dazu;
Bundespersonalvertretungsgesetz: §66 BPersVG --> Informationspflicht der Dienststelle: Abschlussbericht ist, soweit es für die Erfüllung der Aufgaben erforderlich ist, dem Personalrat vorzuverlegen
Ist betroffenen Personen der Abschlußbericht zugänglich zu machen?
Keine Pflicht den Abschlußbericht nach DSGVO den Betroffenen zugänlich zu machen; auf Antrag ggf. in Teilen zu erhalten
kein betroffenenrecht aus Art. 12-23
Prüfungsschema ob DSFA durchzuführen ist
Rechtmäßigkeit —> Erlaubnistatbestand für geplante Verarbeitung vorhanden (Wenn nein prüfung vorbei
Pflicht zur DSFA
Verarbeitung geblacklistet gem. Art. 35 Abs. 4 DS-GVO? —> wenn ja dann DSFA
hohes Risiko gem Art. 35 a-c? —> wenn ja dann DSFA
(Verarbeitung gewhitelistet gem. Art. 35 Abs. 5 DS-GVO dann nein)
(liegt schon für ähnliche Vorgänge eine DSFA vor oder vorweggenommene Folgenabschätzung dann nein
Durchführung DSFA —> Art. 35 Abs. 7 litt. a-d DS-GVO Mindestbestandteile der DSFA
Blacklist BfDI
1.Bewertung oder Einstufung
2.automatisierte Entscheidungsfindung
3.Beobachtung, Überwachung oder Kontrolle von Betroffenen
4.vertrauliche oder höchst persönliche Informationen
5.Datenverarbeitung in großem Umfang
6.Datensätze aus zwei oder mehreren zweckverschiedenen Verarbeitungenzusammengeführt/abgeglichen
7.schutzbedürftige Betroffene
8.neue Technologien > $STANDDERTECHNIK
9.Hinderung an der Ausübung eines Rechts, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags
—> bei min. 2 durchführung DSFA
Durchführung einer DSFA
Vorbereitung
Durchführung
Umsetzung
Überprüfung
Auftragsverarbeiter
art. 28 DS-GVO
Vertrag notwendig —> musterverträge durch das BMI und Standardvertragsklauseln durch Durchführungsbeschluss der EU
Auftragsverarbeiter gilt als Teil des Verantwortlichen und braucht daher keinen Rechtfertigung für die Weitergabe von Daten vom Verantwortlichen an diesen aus Art. 6 Abs.1 DS-GVO
Verantwortlicher muss TOMs überprüfen aber nicht zwingend vor Ort
EVB-IT
Ergänzende Vertragsbedingungen für die Beschaffung von IT
Bestehen aus Vertragsformular
dazugehörigen AGB
Mustern
Last changeda year ago