Tachylite

Datenschutz

Schutz personenbezogener Daten: Daten, die sich auf eine bestimmte Person beziehen oder mit denen eine Person identifiziert werden kann.
Geschichte:

  • 60er: Großrechner
  • 1970: erstes Datenschutzgesetz, Hessen
  • 1973: Datenschutz in Schweden
  • 1980: OECD-Leitlinien
  • 1981: Europarat macht Übereinkommen
  • 1978: erstes österreichisches DSG
  • 1988: DS im Grundrecht
  • 1995: Datenschutzrichtlinie EU
  • 2018: DSGVO: allgemein, Öffnungsklauseln, eng. GDPR

Postsack: beim Anschauen von Automatisierten Verarbeitungen oder Dateisystem geht es nicht um das eine System sondern die Ordnungsstruktur vom Gesamten Vorgang

Ausnahmen: Unionsrecht, Gemeinsame Politik, persönliche/familiäre Tätigkeiten (Haushaltsausnahme also ohne Bezug zu Beruf oder wissenschaft), Justiz

Räumlicher Anwendungsbereich: Niederlassung und Marktortsprinzip

Persönlicher Anwendungsbereich: natürliche Personen, Jedermann, Juristische Personen mit Namen von natärlicher Person

Grundrecht auf Datenschutz:

  • auf Geheimhaltung personenbezogener Daten, außer allgemeine Verfügbarkeit und mangelnde Rückführbarkeit
  • Einschränkung durch: Zustimmung, Lebenswichtig Interessen, Interessensabwägung
  • Recht auf Auskunft, Richtigstellung und Löschung (oder physische Vernichtung)

Verarbeitung: Vorgang mit oder ohne Automatisierung mit p.b. Daten wie Erheben, Erfassen, organisation, Speichern, Ändern, Auslesen, Abfragen, Verwenden, Offenlegung, Verbreitung, Abgleich

Rollen:

  • Verantwortlicher: wer über die Zwecke und Mittel der Verarbeitung entscheidet
  • Auftragsverarbeiter: wer Daten im Auftrag des Verantwortlichen verarbeitet

Pflichten des Verantwortlichen:

  • Verzeichnis (auch Auftragsverarbeiter)
  • evtl. Folgenabschätzung
  • evtl. Beauftragter (auch Auftragsverarbeiter)
  • Privacy by design & default
  • Sicherheitsmaßnahmen
  • Data breach notification
  • Zulässige Datenverarbeitung
  • Wahrung der Betroffenenrechte

Zulässigkeit der Verarbeitung

Mind. 1 von

  • Einwilligung
  • Vertragserfüllung
  • rechtliche Verpflichtung
  • Lebenswichtige Interessen
  • öffentliches Interesse
  • Interesse des Verantwortlichen, solange Betroffener nicht überwiegt (Interessensabwägung)

Bedingungen für Einwilligung:

  • freiwillig
  • Informiert
  • unmissverständlich
  • Nachweispflicht
  • verständlich und leicht zugänglich
  • Widerrufbarkeit
  • Koppelungsverbot
  • 14 Jahre

Grundsätze:

  • Rechtmäßigkeit, Verarbeitung nach Treu und glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

sensible Daten:

  • Rassische und ethnische Herkunft
  • politische Meinungen
  • Religiöse Überzeugungen
  • Gewerkschaft
  • Genetische Daten
  • Biometrischedaten
  • Gesundheitsdaten
  • sexuelle Orientierung

Regelungen:

  • Grundsätzliches Verarbeitungsverbot außer:
  • Einwilligung
  • Lebenswichtige Interesse
  • Kirchen, Vereine, ...
  • durch Betroffenen Veröffentlicht
  • Rechtsansprüche
  • öffentliches Interesse
  • Gesundheitsbereich
  • Forschung, Statistik

Verzeichnispflicht:
Verantwortliche müssen ein Verzeichnis führen von Datenverarbeitungsanwendungen, außer Kleinunternehmen und <250 MA

  • Verantwortlicher
  • Zwecke der Verarbeitung
  • betroffene Personen
  • Empfänger (inkl. Drittländer)
  • Löschfristen
  • Sicherheitsmaßnahmen

Folgenabschätzung:

  • automarisierte Verarbeitung + Profiling
  • bei umfangreicher Verarbeitung von sensiblen oder Strafrechtsdaten oder systematisch umfangreiche Überwachung öffentlich zugänglicher Bereiche
  • Positiv & Negativliste bei Behörde
  • z.B. Großkanzleien

Datenschutzbeauftragter:
Keine Pflicht außer:

  • Behörde oder öffentliche Stelle
  • Kerntätigkeit systematische Überwachung
  • Kerntätigkeit sensible oder strafrechtliche Daten
  • freiwillig möglich
  • z.B. Krankenhaus, Versicherung, ISP, Cloud-Anbieter, Social-Media Betreiber
  • Unterrichtung, Überwachung, Beratung

Data Breach:
Verletzung des Schutzes p.b. Daten: Vernichtung, Verlust, Veränderung oder Offenlegung
Meldung an DS-Behörder in 72h. außer keine Risiko für betroffene, aber Dokumentationspflicht

Betroffenenrechte:

  • Information: bei Datenerhebung wenn Person nicht schon über Daten verfügt, präzise, klar verständlich, schriftlich/elektronisch unentgeltlich
  • Auskunft: über Daten und Verarbeitung, Rechte, Herkunft, sonst siehe Verzeichnis, Identitätsnachweis nur bei Zweifel, unverzüglich in 1 Monat, Kopie der Daten, unentgeltlich, Ausnahme Geheimnisse
  • Berichtigung
  • Löschung: bei Verlangen von Betroffenen, nicht mehr Notwendig, Widerruf der Einwilligung, Widerspruch, rechtliche Verpflichtung, außer: Freiheit, rechtliche Verpflichtung, öffentliches Interesse, Archive, Forschungszwecke
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch
  • Keine automatisierte Entscheidungsfindung

Speicherfristen:

  • Buchhaltung: 7 Jahre
  • Patientenakten: 30 Jahre, "öffentliche Gesundheit"
  • Bewerbungsunterlagen: 6 Monate
  • Viedoüberwachung: 72 Stunden (sofern kein Vorfall)

Medienprivileg:
Für Journalismus, Wissenschaft, Kunst, literarische Zwecke gibt es Ausnahmen wenn Meinungsäußerung oder Informationsfreiheit

Bildverarbeitung:
Nur bei:

  • Lebenswichtiges Interesse
  • Einwilligung
  • Besondere Gesetze
  • Interessenabwägung
  • Unzulässig bei: Höchstpersönlicher Lebensbereich, Arbeitnehmerkontrolle
  • Kennzeichnungspflicht

Beschwerde:

  • wenn betroffene Person glaubt dass DSGVO verstoßen wurde
  • Instanzenzug: Datenschutzbehörde, Bundesverwaltungsgericht
  • Bei Grenzüberschreitung federführend Aufsichtsbehörde im Sitz der Hauptniederlassung
  • Verjährung 1 Jahr nach Kenntnis, spätestens 3 Jahre nach Ereignis

Schadenersatz:
Materiell, Immaterieller Schaden, Landesgericht ist Zuständig

Sanktionen: bei leichten Verstößen 10 Mio. oder 2% Umsatz
bei schweren Verstößen 20 Mio oder 4% Umsatz