Folge uns auf Twitter.

Datenschutz-Grundlagen

datenschutz-maximum.de

Dipl.-Ing. Sven Scholz, Dipl.-Inform. Thomas Ziemer

Datenschutz-Grundlagen

Dipl.-Ing. Sven Scholz, Dipl.-Inform. Thomas Ziemer

Disclaimer

Der vorliegende Schulungs- und Beratungsfoliensatz ist urheberrechtlich geschützt.

Der Auftraggeber erlangt entweder vertragsgemäß oder nur aufgrund schriftlicher Einwilligung durch datenschutz-maximum ein nicht ausschließliches, dauerhaftes, unbeschränktes, unwiderrufliches und nicht übertragbares Nutzungsrecht.

Eine darüber hinausgehende Nutzung des Dokuments ist verboten und wird urheberrechtlich verfolgt.

Aufgaben des Datenschutzbeauftragten

Überwachung der Einhaltung der Verordnung einschließlich [...] der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Art. 39 EU-DSGVO

Gliederung

Datenschutz-Grundlagen

Einführung in die Grundlagen

Dieses Datenschutz-Kapitel überspringen?


Volkszählung - Die Totalerhebung

Volkszählung - Die Totalerhebung

Ein Meilenstein des Datenschutzes

Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen.

Volkszählungsurteil, 1983

Das Volkszählungsurteil

Der Eckpfeiler des Datenschutzes wird am 15. Dezember 1983 durch das Bundesverfassungsgericht gelegt. In diesem Urteil wird das Recht auf informationelle Selbstbestimmung etabliert, das aus

abgeleitet ist. Ab diesem Zeitpunkt steht unmissverständlich fest, dass Datenschutz ein Grundrecht ist.

Die Volkszählung

Die Volkszählung fand letztlich 1987 statt.

Sie musste teilweise neu konzipiert werden, indem personenbezogene Angaben von den Fragebögen getrennt und die Fragebögen selbst überarbeitet wurden, um die Anonymität der Befragten besser zu gewährleisten.

Die "Sieben Säulen des Datenschutzes"

Datenschutz ist tief verankert:

Anwendungsbereich des Datenschutzes

Artikel 2 EU-DSGVO spezifiziert den Anwendungsbereich:

Datenschutz-Grundlagen

Personenbezogene Daten

Personenbezogene Daten (pbD)

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

Personenbezogene Daten (pbD)

Bestimmt ist eine Person dann, wenn sich ihre Identität direkt aus "der Date" selbst ergibt, ohne dass zuvor weitere Ermittlungsschritte erforderlich sind.

Personenbezogene Daten (pbD)

Bestimmbar wird eine Person dann, wenn ihre Identität durch die Kombination "der Date" mit anderen Informationen feststellbar wird.

Der (möglicherweise hohe) Aufwand zur Identifikation dieser Person spielt aus Datenschutzsicht keine Rolle.

Besondere personenbezogene Daten (pbD)


Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind. (Art. 9 EU-DSGVO)

Besondere personenbezogene Daten (pbD)

Keine Angst im Personalwesen
Zur Verarbeitung personenbezogener Daten der besonderen Arten im Kontext von Beschäftigten (Religion, Gewerkschaft, medizinische Daten wie Krankheitstage etc.) "für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten" gibt es Erleichterungen.

z.B. Art. 9 Abs. 2 lit. h EU-DSGVO

Besondere personenbezogene Daten (pbD)

Keine Angst im Verein
Personenbezogene Daten der besonderen Arten dürfen verarbeitet werden wenn sie "[...] durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht [...] unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden" erfolgt.

z.B. Art. 9 Abs. 2 lit. d EU-DSGVO

Personenbezogene Daten (pbD) von Kindern

Verarbeitung personenbezogener Daten von Kindern
Die Einwilligung eines Kindes ist nur dann rechtmäßig, wenn dieses das sechzehnte Lebensjahr vollendet hat. Vor Vollendung des sechzehnten Lebensjahres muss die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt werden.

Aufgrund der besonderen Schutzwürdigkeit von Kindern sollten Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann (ErwGr 58).

Art. 8 EU-DSGVO

Datenschutz-Grundlagen

Rechtsgrundlagen

Gegenstand und Ziele

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Art. 1 EU-DSGVO

Risiken für die Rechte und Freiheiten der Person

Es kann zu physischen, materiellen oder immateriellen Schäden führen (ErwGr 75):

Deshalb: Verbot ...


Die Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten!
 
...mit anschließender dramaturgischer Stille ;)

 

Aber: Verbot mit Erlaubnisvorbehalt

Artikel 6 EU-DSGVO regelt die Erlaubnis aus ...

Wichtiger Hinweis

Sollte für eine geplante Verarbeitung personenbezogener Daten keine "passende" Rechtsgrundlage vorliegen, so ist die Verarbeitung der Daten zu unterlassen!

Grundsätze für die Datenverarbeitung

Artikel 5 EU-DSGVO schreibt vor, dass Daten ...

Wichtiger Hinweis

Der Rechenschafts- und Nachweispflicht lässt sich am Besten mittels schriftlicher Dokumentation nachkommen.

Mündliche Einwilligungen sind aus Sicht der EU-DSGVO in Ordnung, lassen sich jedoch schwerer nachweisen.

Datenschutz-Grundlagen

Rechte des Betroffenen

Informieren der betroffenen Person

Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung, sowie
Auskunftsrecht, Berichtigungsanspruch, Sperrungsanspruch,
Löschungsanspruch ("Recht auf Vergessenwerden")

Auskunftsrecht der betroffenen Person

Artikel 15 EU-DSGVO gewährt ein Auskunftsrecht über die ...

Wichtiger Hinweis

Wie die Rechte der betroffenen Person im einzelnen zu behandeln sind, dokumentiert die Datenschutzrichtlinie, die von jedem Beschäftigten verbindlich zu bestätigen ist.

Datenschutz-Grundlagen

Datenschutzpanne

Datenschutzpanne


Die zuständige Aufsichtsbehörde ist unverzüglich (binnen 72 Stunden) zu benachrichtigen: Mögliche nachteilige Folgen für die Betroffenen erörtern, ergriffene Maßnahmen

Datenschutzpanne


Unverzügliche Benachrichtigung, falls erforderlich: Grund des Datenverlustes, Empfehlung für Schutzmaßnahmen, Individuell oder über öffentliche Information (z. B. Zeitungsanzeigen)

Datenschutzpanne

...es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Art. 33 EU-DSGVO

Wichtiger Hinweis

Der Datenschutzbeauftragte ist (auch gern anonym) bei einer Datenschutzpanne unverzüglich zu benachrichtigen!!! Er entscheidet (evtl. gemeinsam mit der Geschäftsführung), wie darauf zu reagieren ist.

Er oder ggf. der Datenschutz-Koordinator sind ebenfalls stets zu benachrichtigen, wenn Betroffene ihre Rechte wahrnehmen möchten.

Datenschutz-Grundlagen

Pflichten des Unternehmens

Pflichten des Unternehmens

Geschäftsführung (Verantwortliche)

Pflichten des Unternehmens

Beschäftigte (interne und externe Mitarbeiter)

Wichtiger Hinweis

Der Datenschutzbeauftragte ist (auch gern anonym) bei Kenntnis von Datenmissbrauch, -verlust oder -manipulation unverzüglich zu benachrichtigen!!! Er entscheidet (evtl. gemeinsam mit der Geschäftsführung), wie darauf zu reagieren ist.

Datenschutz-Grundlagen

Sensibilisierung der Beschäftigten

Sensibilisierung der Beschäftigten

Der Mitarbeiter ist das größte Sicherheitsrisiko in einem Unternehmen! :(

Prioritäten setzen, sensibel sein...

Abbildung:
Bundesamt für Sicherheit in der Informationstechnik (BSI)

Beispiele:
Mitarbeiter des Monats,
private Kontaktadressen

Umgang mit Softwareanwendungen und Apps

If You're Not Paying For It, You're The Product!

Richard Serra, Interviews, Etc., 1970-1980

Dokumente und Akten

Internet

E-Mails

Kennwörter

Messenger-Dienste

Sensibler Umgang mit Daten

Wichtiger Hinweis

Beispiele:

Datenschutz-Grundlagen

Anforderungen an die Sicherheit der Datenverarbeitung

Anforderungen an die Sicherheit der Datenverarbeitung

Die hier genannten Schutzziele spielen zur Ermittlung des Schutzbedarfs personenbezogener Daten eine besondere Rolle (siehe auch BSI-Schutzbedarfsfeststellung).

Klassische und neue Schutzziele (§ 64 Abs. 2 Nr. 1 BDSG):

Grundsätzliche Kontrollkategorien nach DSGVO

Sensibilisierung der Beschäftigten

Datenschutz-Grundlagen

Nützliche Links

Nützliche Links

Datenschutz-Grundlagen

Gibt es Fragen oder Anmerkungen?