Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Begriffe und Grundsätze des Datenschutzrechts

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Begriffe und Grundsätze des Datenschutzrechts

  1. 1. Rev. Stand 3.0 27. Januar 2022, 10.00 – 11.30 Uhr Webinar Die zentralen Begriffe und Grundsätze des Datenschutzrechts Inhaltlicher Stand: 20.12.2021 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Einführung 2. Begriffe 3. Grundsätze Agenda 3
  4. 4. Rev. Stand 3.0 1. Einführung 2. Begriffe 3. Grundsätze Agenda 4
  5. 5. Rev. Stand 3.0 Einführung 5 Verantwortlicher Privacy by design Accountability Recht auf Vergessen werden One- Stop- Shop risiko- basierter Ansatz Betroffener Privacy by default …
  6. 6. Rev. Stand 3.0 Einführung 6 Rechtsquellen DSGVO BDSG LDSG div. Spezial- normen
  7. 7. Rev. Stand 3.0 1. Einführung 2. Begriffe 3. Grundsätze Agenda 7
  8. 8. Rev. Stand 3.0 „personenbezogene Daten“ Art. 4 Nr. 1 DSGVO der zentrale Begriff im Datenschutzrecht sehr weitgehend, d.h. im Zweifel von einem Personenbezug ausgehen Begriffe 8
  9. 9. Rev. Stand 3.0  „personenbezogene Daten“  alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen  ausgenommen: reine Unternehmens-, Statistik-, Maschinendaten o.ä. Begriffe 9 § Art. 4 Nr. 1
  10. 10. Rev. Stand 3.0 Begriffe 10 • Name • Anschrift • Kontaktdaten • … persönliche Daten • Bankverbindung • Überweisung • Kontostand • … Finanzdaten • Größe • Gewicht • Haarfarbe • … allg. äußerliche Merkmale • Fingerabdruck • DNA-Probe • … biometrische Daten • erkennbar abgebildete Personen Fotos / Videos • AU- Bescheinigung • Diagnose • Rezept • … Gesundheitsdaten • AC – XY 1234 Kfz-Kennzeichen • dynamisch & statisch IP-Adressen Beispiele personenbezogener Daten:
  11. 11. Rev. Stand 3.0 „besondere Kategorien personenbezogener Daten“ Art. 9 Abs. 1 DSGVO besonders sensible Arten von Daten dürfen nur unter ganz bestimmten Voraussetzungen verarbeitet werden (Art. 9 Abs. 2 DSGVO) Begriffe 11
  12. 12. Rev. Stand 3.0  „besondere Kategorien personenbezogener Daten“  Die Verarbeitung personenbezogener Daten, aus denen [sensible Infos] hervorgehen, sowie die Verarbeitung von [sonstigen sensiblen Daten] einer natürlichen Person ist untersagt. Begriffe 12 § Art. 9 Abs. 1
  13. 13. Rev. Stand 3.0 Begriffe 13 besondere Kategorien personenbezogener Daten rass. / ethn. Herkunft polit. Meinung relig. / weltansch. Überzeugung Gewerkschaftszugeh. genetische Daten biometrische Daten Gesundheitsdaten Sexualleben § Art. 9 Abs. 1
  14. 14. Rev. Stand 3.0  Verbot der Benachteiligung von Beschäftigten (AGG)  „Ziel des Gesetzes ist, Benachteiligungen aus Gründen der Rasse oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität zu verhindern oder zu beseitigen.“ Begriffe 14 § § 1 AGG
  15. 15. Rev. Stand 3.0  Frage: Sind Fotos nur „normale“ oder besondere Kategorien personenbezogener Daten?  „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs ‚biometrische Daten‘ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.“ Begriffe 15 § ErwGr 51
  16. 16. Rev. Stand 3.0 „Betroffener“ Art. 4 Nr. 1 DSGVO auch: „betroffene Person“ Mensch, dessen Daten verarbeitet werden Begriffe 16
  17. 17. Rev. Stand 3.0  „Betroffener / betroffene Person“  eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“)  als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online- Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind Begriffe 17 § Art. 4 Nr. 1
  18. 18. Rev. Stand 3.0 „Verantwortlicher“ Art. 4 Nr. 7 DSGVO auch: „verantwortliche Stelle“ Institution, welche die Daten verarbeitet Begriffe 18
  19. 19. Rev. Stand 3.0  „Verantwortlicher / verantwortliche Stelle“  natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Begriffe 19 § Art. 4 Nr. 7
  20. 20. Rev. Stand 3.0  ausgenommen: Privatpersonen (die rein privat handeln)  Praxisproblem: Ist ein Betriebs- / Personalrat als Verantwortlicher i.S.d. der DSGVO anzusehen? -> früher umstritten -> inzwischen geklärt durch § 79a S. 2 BetrVG: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ Begriffe 20
  21. 21. Rev. Stand 3.0 Begriffe 21 Verantwortlicher* Behörde Unternehmen Verein * unabhängig von Größe, Organisationsform, Umsatz, Mitarbeiteranzahl, Branche / Bereich…
  22. 22. Rev. Stand 3.0 „Auftragsverarbeiter “ Art. 4 Nr. 8 DSGVO zu unterscheiden vom Verantwortlichen u.a. wichtig für Abgrenzung Auftragsverarbeitung – gemeinsame Verantwortlichkeit – getrennte Verantw. Begriffe 22
  23. 23. Rev. Stand 3.0  „Auftragsverarbeiter“  natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet Begriffe 23 § Art. 4 Nr. 8
  24. 24. Rev. Stand 3.0 Begriffe 24 Auftragsverarbeiter* Behörde Unternehmen Verein * unabhängig von Größe, Organisationsform, Umsatz, Mitarbeiteranzahl, Branche / Bereich…
  25. 25. Rev. Stand 3.0 „Verarbeitung“ Art. 4 Nr. 2 DSGVO Oberbegriff für Vielzahl von Tätigkeiten sehr weitgehend, d.h. im Zweifel von einer Verarbeitung ausgehen Begriffe 25
  26. 26. Rev. Stand 3.0  „Verarbeitung“  jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten Begriffe 26 § Art. 4 Nr. 2
  27. 27. Rev. Stand 3.0 Begriffe 27 Verarbeiten Erheben, Erfassen Auslesen, Abfragen Verändern, Anpassen, Einschränken Speichern Löschen, Vernichten Ordnen, Organisieren Abgleichen, Verknüpfen Offenlegen durch Übermittlung, Verbreitung, Bereitstellung
  28. 28. Rev. Stand 3.0 „Einwilligung“ Art. 4 Nr. 11 DSGVO eine mögliche Rechtsgrundlage hohe Voraussetzungen & widerrufbar Begriffe 28
  29. 29. Rev. Stand 3.0  „Einwilligung“  jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist Begriffe 29 § Art. 4 Nr. 11
  30. 30. Rev. Stand 3.0 Begriffe 30 vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG
  31. 31. Rev. Stand 3.0 1. Einführung 2. Begriffe 3. Grundsätze Agenda 31
  32. 32. Rev. Stand 3.0 Grundsätze 32 Rechtmäßigkeit Treu und Glauben Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht
  33. 33. Rev. Stand 3.0 „Rechtmäßigkeit“ Art. 5 Abs. 1 lit. a) DSGVO Verbot mit Erlaubnisvorbehalt Grundsätze 33
  34. 34. Rev. Stand 3.0  „Rechtmäßigkeit“ [1/2]  Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Grundsätze 34 § Art. 5 Abs. 1 lit. a)
  35. 35. Rev. Stand 3.0  „Rechtmäßigkeit“ [2/2]  jede Verarbeitung von personenbezogenen Daten ist grdsl. verboten  es sei denn, sie ist ausnahmsweise erlaubt  d.h. für jede Datenverarbeitung muss eine Rechtsgrundlage bestehen Grundsätze 35 § Art. 5 Abs. 1 lit. a)
  36. 36. Rev. Stand 3.0 Grundsätze 36 •Einwilligung Art. 6 Abs. 1 S. 1 lit. a) •erforderlich zur Erfüllung eines Vertrages •erforderlich zur Erfüllung einer vorvertragl. Maßnahme Art. 6 Abs. 1 S. 1 lit b) •erforderlich zur Erfüllung einer rechtlichen Verpflichtung Art. 6 Abs. 1 S. 1 lit. c) •Schutz lebenswichtiger Interessen •des Betroffenen oder einer anderen Person Art. 6 Abs. 1 S. 1 lit. d) •Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt •Ausübung öffentlicher Gewalt Art. 6 Abs. 1 S. 1 lit. e) •überwiegende berechtigte Interessen •des Verantwortlichen oder eines Dritten Art. 6 Abs. 1 S. 1 lit. f)* * gilt nicht für Behörden in Erfüllung ihrer Aufgabe (Art. 6 Abs. 1 S. 2)
  37. 37. Rev. Stand 3.0 Grundsätze 37 zulässige Verarbeitung personenbezogener Daten Einwilligung gesetzlicher Ausnahmetatbestand überwiegende berechtigte Interessen
  38. 38. Rev. Stand 3.0  „Interessenabwägung“  Interessen des Verantwortlichen (oder eines Dritten) vs. Interessen des Betroffenen  legitimes Interesse des Verantwortlichen  Erforderlichkeit der Datenverarbeitung zur Wahrung des Interesses  Interessen der Betroffenen dürfen nicht überwiegen  Verantwortlicher hat Dokumentations- & Nachweispflicht Grundsätze 38 § Art. 6 Abs. 1 S. 1 lit. f)
  39. 39. Rev. Stand 3.0  „Einwilligung“  hohe Anforderungen an rechtskonforme Einwilligung, u.a.  freiwillig  in informierter Weise  durch aktive Handlung  jederzeit ohne Angaben von Gründen widerrufbar  Widerruf muss genauso einfach möglich sein wie die Erteilung der Einwilligung Grundsätze 39 § Art. 6 Abs. 1 S. 1 lit. a)
  40. 40. Rev. Stand 3.0  „gesetzl. Ausnahmetatbestand“  besondere Praxisrelevanz:  Erfüllung (vor-) vertraglicher Pflichten (z.B. Bestellung im Onlineshop oder Erteilung eines Angebots)  Erfüllung gesetzlicher Pflichten (z.B. Aufbewahrungspflicht nach Handels- oder Steuerrecht)  „Türöffner“ für Behörden bei Erfüllung ihrer Kernaufgaben (Details in div. Spezialnormen sowie in Landesdatenschutzgesetzen geregelt) Grundsätze 40 § Art. 6 Abs. 1 S. 1 lit. b) – e)
  41. 41. Rev. Stand 3.0 „Zweckbindung“ Art. 5 Abs. 1 lit. b) DSGVO erst Zweckbestimmung, dann Datenverarbeitung Grundsätze 41
  42. 42. Rev. Stand 3.0  „Zweckbindung“  Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.  Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt […] nicht als unvereinbar mit den ursprünglichen Zwecken. Grundsätze 42 § Art. 5 Abs. 1 lit. b)
  43. 43. Rev. Stand 3.0 „Datenminimierung“ Art. 5 Abs. 1 lit. c) DSGVO Faustregel: so viel wie nötig, so wenig wie möglich Grundsätze 43
  44. 44. Rev. Stand 3.0  „Datenminimierung“  Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Grundsätze 44 § Art. 5 Abs. 1 lit. c)
  45. 45. Rev. Stand 3.0 „Speicherbegrenzung“ Art. 5 Abs. 1 lit. e) DSGVO Löschkonzept! Grundsätze 45
  46. 46. Rev. Stand 3.0  „Speicherbegrenzung“  Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.  Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke […] verarbeitet werden. Grundsätze 46 § Art. 5 Abs. 1 lit. e)
  47. 47. Rev. Stand 3.0 „Integrität und Vertraulichkeit“ Art. 5 Abs. 1 lit. f) DSGVO TOMs vgl. Art. 24 Abs. 1 & Art. 32 Abs. 1 Grundsätze 47
  48. 48. Rev. Stand 3.0  „Integrität und Vertraulichkeit“  Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Grundsätze 48 § Art. 5 Abs. 1 lit. f)
  49. 49. Rev. Stand 3.0 „Rechenschaftspflicht“ Art. 5 Abs. 2 DSGVO vielfältige Dokumentationspflichten Faustregel: wer schreibt, der bleibt Grundsätze 49
  50. 50. Rev. Stand 3.0  „Rechenschaftspflicht“ [1/2]  „Der Verantwortliche ist für die Einhaltung [der Grundsätze in Art. 5 Abs. 1] verantwortlich und muss dessen Einhaltung nachweisen können.“  „Der Verantwortliche setzt […] geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ Grundsätze 50 § Art. 5 Abs. 2 Art. 24 Abs. 1
  51. 51. Rev. Stand 3.0  „Rechenschaftspflicht“ [2/2]  seit 25. Mai 2018 geändert Situation: vorher musste Aufsichtsbehörde den Verantwortlichen etwaige Fehler nachweisen, jetzt muss der Verantwortliche darlegen, dass er rechtskonform handelt  Nachweis primär durch Datenschutz-Dokumentation Grundsätze 51 § Art. 5 Abs. 2

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×