Übersicht über die EU-DSGVO
Dieses Buch steht im Regal Rechtswissenschaft.
Sachliche und räumliche Zuständigkeit – für wen gilt die EU-DSGVO?
[Bearbeiten]Die Europäische Datenschutzgrundverordnung (EU-DSGVO)
[Bearbeiten]Die Europäische Datenschutzgrundverordnung (EU-DSGVO) wurde am 25. Mail 2016 verkündet und gilt seit 25. Mai 2018. In der Anwendungsreihenfolge der Prüfung eines Datenschutzfalles auf seine Rechtmäßigkeit steht die EU-DSGVO ganz oben. Anschließend sind Spezialgesetze daraufhin zu prüfen, ob sie Regelungen für den Datenschutz enthalten. Ist das nicht der Fall, ist das Bundesdatenschutzgesetz (Firmen, Bundesbehörden, Privatleute) oder das örtliche Landesdatenschutzgesetz (Landesbehörden, Kommunalverbände, kommunale Zweckverbände und Kommunen) zu prüfen.
Die EU-DSGVO verbietet die Verarbeitung personenbezogener Daten grundsätzlich, erklärt aber Ausnahmen davon. Darüber hinaus kann jeder natürlich seine eigenen Daten verarbeiten wie er Lust hat. Sie sind sein Eigentum.
Sachliche Anwendbarkeit
[Bearbeiten]Die EU-DSGVO regelt die Verarbeitung personenbezogener Daten. Ausnahmen sind die persönliche und familiäre Datenverarbeitung. Die EU-DSGVO schützt alle Bürger der EU bei nicht-privater Datenverarbeitung. Private Datenverarbeitung wie Adressbücher, Fotoalben oder Einladungen sind keine Datenverarbeitung für die EU-DSGVO.
Vorsicht: in Handys gespeicherte Daten gehen in der Regel an den Anbieter von Handys (Apple) oder Software (Google) oder Netzen (Vodafone, Telekom etc.). Sie ist dann nicht mehr privat und streng genommen müssen Sie Ihre Kontakte fragen, ob sie sie speichern oder gar übertragen dürfen.
Räumliche Anwendbarkeit
[Bearbeiten]Die EU-DSGVO gilt in ganz Europa.
Die Landesdatenschutzgesetze gelten für die Behörden des jeweiligen Landes und für die Kommunen in diesem Land.
Die EU-DSGVO ist zuständig, wenn
- die Verarbeitung für eine Tätigkeit in der EU stattfindet,
- von einem Verarbeiter ausgeführt wird, der sich in der EU niedergelassen hat
- oder für einen Verarbeiter, der dem Recht eines Mitgliedsstaates unterworfen ist.
Personenbezogene Daten und Verarbeitung – worum geht es genau?
[Bearbeiten]Mit personenbezogenen Daten kann man eine natürliche Person direkt oder mit Hilfe anderer Daten eindeutig identifizieren. Dazu gehören natürlich Namen und Adressen aber auch Auto-Kennzeichen oder einfach aufgenommene Gesichter.
Verarbeitet werden Daten, wenn sie
- entstehen (erheben, erfassen),
- umgewandelt werden (organisieren, ordnen, speichern, anpassen, verändern),
- den Besitzer wechseln (auslesen, abfragen),
- den Standort wechseln (verwenden, offenlegen, verbreiten),
- ausgewertet (abgleichen, verknüpfen)
- oder unbrauchbar gemacht werden (einschränken, löschen, vernichten).
Personenbezogene Daten über Ethnie und Herkunft, Politik und Gewerkschaft, religiöse oder weltanschauliche Überzeugungen, Genetik, Biometrik oder das Sexualleben sind „Besondere Kategorien personenbezogener Daten“ und besonders geschützt. Über die obigen Anforderungen hinaus muss z. B. für die Zwecke der Verarbeitung – sofern eingewilligt wurde - „ausdrücklich“ eingewilligt werden. Und es muss eine Erforderlichkeit gegeben sein im Bereich des Arbeitsrechtes oder dem Recht der sozialen Sicherheit. Der Schutz lebenswichtiger Interessen kann ein Erlaubnisgrund sein, wenn die Eigentümer der Daten nicht in der Lage sind, einzuwilligen.
Erhebung und Datenschutzerklärung – was muss man wann erklären?
[Bearbeiten]Werden Daten irgendwelcher Kategorien erstmals erhoben (oder erstmals an die Verantwortlichen übermittelt),
- ist eine Datenschutzerklärung abzugeben,
in der aufgeführt ist,
- wer,
- ggf. mit welchem Datenschutzbeauftragten,
- warum,
- aufgrund welcher Berechtigungen oder Interessen,
die Daten verarbeitet. Werden diese Daten übermittelt, ist der Empfänger anzugeben.
Bei Übermittlungen ins Nicht-EU-Ausland zustzlich die Rechtsgrundlage der Übermittlung.
Auf Anfrage hat der verantwortliche Verarbeiter Informationen bereitzustellen über die Dauer der Speicherung (oder Kriterien für die Dauer) und die Rechte der Betroffenen (siehe oben) informieren. (A2, EWG 14-21, A3, EWG 22-25, § 5 DSG NW, § 1 BDSG)
Sofern die Dateneigentümer in die Verarbeitung eingewilligt haben, muss das Recht auf Widerruf dieser Einwilligung genannt werden. Der Widerruf gilt stets für die Zukunft, nicht für die Vergangenheit (siehe dazu "Recht auf Vergessenwerden").
Rechtmäßigkeit und Einwilligung – Wann ist die Verarbeitung in Ordnung?
[Bearbeiten]Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Allerdings definiert die Datenschutzgrundverordnung natürlich Ausnahmen. Ansonsten wären dieser und andere Texte schlicht überflüssig.
So ist die Verarbeitung nur erlaubt, wenn ein Gesetz die Verarbeitung erlaubt. Sie ist auch erlaubt, wenn sie Teil eines Vertrages ist oder Erfüllung einer rechtlichen Verpflichtung eines Verantwortlichen erforderlich ist. Ferner ist sie erlaubt, wenn lebenswichtige Interessen einer natürlichen Person zu schützen sind. Öffentliches oder ein so genanntes berechtigtes Interesse kann auch die Verarbeitung erlauben.
Jede Einwilligung muss jederzeit nachweisbar und leicht zugänglich sein. Sie muss in einer klaren und einfachen Sprache abgefasst sein. Die einzuwilligenden Sachverhalte müssen klar zu unterscheiden sein. Sie kann widerrufen werden, stoppt die Verarbeitung aber erst ab dem Zeitpunkt des Widerrufs. Die Einwilligenden müssen hierüber vor der Einwilligung informiert sein. Der Widerruf muss so einfach sein wie die Einwilligung. Einwilligungen dürfen natürlich nur freiwillig abgegeben werden. Dabei darf die Einwilligung nicht mit Leistungen gekoppelt werden (Kopplungsverbot).
Kinder unter 16 können nicht selbst einwilligen. Hier muss ein „Träger elterlicher Gewalt“ (ein Erziehungsberechtigter) einwilligen. Das Bundesdatenschutzgesetz senkt diese Grenze auf 13 Jahre.
Zweckänderung und Übermittlung – was man mit vorhandenen Daten machen darf
[Bearbeiten]Zweckänderung
[Bearbeiten]Falls weder Gesetz noch Einwilligung vorliegen:
- Verbindung,
- Zusammenhang und Verhältnis zwischen den Zwecken berücksichtigen,
- Folgen der Verarbeitung,
- Garantien durch Verschlüsselung und Pseudonymisierung prüfen,
- Informationspflicht (A13A3 u. A14A4, A6A4, EWG 32, 40-50, 55, 56, § 9 DSG NW).
Übermittlung außerhalb der EU (in "Drittstaaten")
[Bearbeiten]- nur durch Angemessenheitsbeschluss,
- Garantien notwendig (Unterrichtungsrecht n. A46!,A15A2),
- gem. Datenschutzvorschriften (A44 - A49, EWG 101-115, §§ 6 - 8 DSG NW, § 25 BDSG).
Auftragsverarbeitung und gemeinsam Verantwortliche – wenn mehrere Leute im Spiel sind
[Bearbeiten]Auswahl des Auftragsverarbeiters: nach Eignung zur Verarbeitung gem. EU-DSGVO
Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
- Verarbeitung nur aufgrund dokumentierter Weisung
- Vertraulichkeitsverpflichtung
- Sicherheit
- weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
- Support des Verantwortlichen
- Löschung aller Daten nach dem Ende der Auftragsverarbeitung
- Inspektionen
- Weisungsprüfung
Verarbeitungsverzeichnis und Datenschutzfolgenabschätzung – was noch fehlen könnte
[Bearbeiten]Verarbeitungsverzeichnis: Inhalt: Verantwortliche, Zweck, Betroffene, Daten, Empfänger, Übermittlungen, Löschfristen, TOM, Auftragsverarbeiter: zus. Verarbeitungen (A30, EWG 82, § 53 DSG NW). Datenschutzfolgenabschätzung: Bei automatischer Bewertung, umfangreicher Verarbeitung von Daten besonderer Kategorien o. systematischer Überwachung! Verarbeitungsvorgänge, Notwendigkeit- und Verhältnismäßigkeit im Bezug zum Zweck, Risikoabwägung, Abhilfen für Risiken (A35, EWG 84, 89-93, §24 DSG NW).
Rechte der Betroffenen und Auskünfte – was jeder über sich erfahren darf
[Bearbeiten]Die Betroffenen haben ein Recht auf
- Auskunft über die Datenverarbeitung,
- Berichtigung, Einschränkung oder Löschung falscher Daten,
- auf Widerspruch gegen die Verarbeitung und auf eine
- Übertragung der Daten an eine beliebige Stelle.
Dieses Recht zu gewährleisten entspricht ein dem Risiko angemessenes Schutzniveau.
Auskunft, Berichtigung, Vergessen, Verarbeitungseinschränkung (inkl. Mitteilungspflicht), Datenübertragbarkeit, Widerspruch, Automatisierte Entscheidungen 2 , Beschränkungen der Rechte sind möglich (A15 - A23, EWG 63-73, §§ 32 - 37 BDSG).
Datenschutzbeauftragter und Meldung an die Datenschutzbehörde – wenn es schief geht
[Bearbeiten]BDSG: 10 (demnächst 20) Angestellten o. umfangreicher Verarbeitung von Daten besonderer Kategorien, Behörden müssen immer einen Datenschutzbeauftragten ernennen (A37, EWG 97, § 38 BDSG, § 31 DSG NW). Meldung: Art der Schutzverletzung, Kategorien betroffener Daten, Anzahl der Betroffenen, Anzahl der Datensätze, Kontaktdaten des Datenschutzbeauftragten, Folgen der Verletzung, Maßnahmen, Dokumentationen (DSFA, VAVZ, DSB, Auftrag, DSE) mitsenden.
Technische und organisatorische Maßnahmen – was die EDV können muss
[Bearbeiten]Folgen
[Bearbeiten]Folgen rechtmäßiger Datenverarbeitung
[Bearbeiten]Folgen unrechtmäßiger Datenverarbeitung
[Bearbeiten]Folgen fehlender Anwendbarkeit
[Bearbeiten]Dieses Lehrwerk ist erst vor kurzem angelegt worden. – Nützliche Hinweise findest du im Wikibooks-Lehrbuch. – Bei Problemen kannst du unter diesem Link um Hilfe bitten. – Diskussionen zu diesem Buch führst du auf dieser Seite. – (Datum im Format Jahr_Monat_Tag: 20210310))
Details zu diesem Baustein erfährst du unter diesem Link.