2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
HR Data Protection
Manager (Beck) seit
07/2021
Data Protection Risk
Manager (FOM) seit
10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
9. Rev.
Stand
3.0
„personenbezogene Daten“
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden
„betroffene Person“) beziehen
ausgenommen: reine Unternehmens-, Statistik-,
Maschinendaten o.ä.
Begriffe
9
§
Art. 4 Nr. 1
12. Rev.
Stand
3.0
„besondere Kategorien personenbezogener Daten“
Die Verarbeitung personenbezogener Daten, aus denen
[sensible Infos] hervorgehen, sowie die Verarbeitung von
[sonstigen sensiblen Daten] einer natürlichen Person ist
untersagt.
Begriffe
12
§
Art. 9 Abs. 1
14. Rev.
Stand
3.0
Verbot der Benachteiligung von Beschäftigten (AGG)
„Ziel des Gesetzes ist, Benachteiligungen aus
Gründen der Rasse oder wegen der ethnischen
Herkunft, des Geschlechts, der Religion oder
Weltanschauung, einer Behinderung, des Alters
oder der sexuellen Identität zu verhindern oder zu
beseitigen.“
Begriffe
14
§
§ 1 AGG
15. Rev.
Stand
3.0
Frage: Sind Fotos nur „normale“ oder besondere
Kategorien personenbezogener Daten?
„Die Verarbeitung von Lichtbildern sollte nicht
grundsätzlich als Verarbeitung besonderer
Kategorien von personenbezogenen Daten
angesehen werden, da Lichtbilder nur dann von der
Definition des Begriffs ‚biometrische Daten‘ erfasst
werden, wenn sie mit speziellen technischen
Mitteln verarbeitet werden, die die eindeutige
Identifizierung oder Authentifizierung einer
natürlichen Person ermöglichen.“
Begriffe
15
§
ErwGr 51
17. Rev.
Stand
3.0
„Betroffener / betroffene Person“
eine identifizierte oder identifizierbare natürliche
Person (im Folgenden „betroffene Person“)
als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung
zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen
Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser
natürlichen Person sind
Begriffe
17
§
Art. 4 Nr. 1
19. Rev.
Stand
3.0
„Verantwortlicher / verantwortliche Stelle“
natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die allein oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet
Begriffe
19
§
Art. 4 Nr. 7
20. Rev.
Stand
3.0
ausgenommen: Privatpersonen (die rein privat handeln)
Praxisproblem: Ist ein Betriebs- / Personalrat als
Verantwortlicher i.S.d. der DSGVO anzusehen?
-> früher umstritten
-> inzwischen geklärt durch § 79a S. 2 BetrVG:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit
liegenden Aufgaben personenbezogene Daten verarbeitet, ist der
Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne
der datenschutzrechtlichen Vorschriften.“
Begriffe
20
22. Rev.
Stand
3.0
„Auftragsverarbeiter “
Art. 4 Nr. 8 DSGVO
zu unterscheiden vom Verantwortlichen
u.a. wichtig für Abgrenzung
Auftragsverarbeitung – gemeinsame
Verantwortlichkeit – getrennte Verantw.
Begriffe
22
23. Rev.
Stand
3.0
„Auftragsverarbeiter“
natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im
Auftrag des Verantwortlichen verarbeitet
Begriffe
23
§
Art. 4 Nr. 8
25. Rev.
Stand
3.0
„Verarbeitung“
Art. 4 Nr. 2 DSGVO
Oberbegriff für Vielzahl von Tätigkeiten
sehr weitgehend, d.h. im Zweifel von
einer Verarbeitung ausgehen
Begriffe
25
26. Rev.
Stand
3.0
„Verarbeitung“
jeder mit oder ohne Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede solche Vorgangsreihe
im Zusammenhang mit personenbezogenen Daten
Begriffe
26
§
Art. 4 Nr. 2
29. Rev.
Stand
3.0
„Einwilligung“
jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene
Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der
die betroffene Person zu verstehen gibt, dass sie mit der
Verarbeitung der sie betreffenden personenbezogenen
Daten einverstanden ist
Begriffe
29
§
Art. 4 Nr. 11
34. Rev.
Stand
3.0
„Rechtmäßigkeit“ [1/2]
Personenbezogene Daten müssen auf rechtmäßige
Weise, nach Treu und Glauben und in einer für die
betroffene Person nachvollziehbaren Weise verarbeitet
werden.
Grundsätze
34
§
Art. 5 Abs. 1 lit. a)
35. Rev.
Stand
3.0
„Rechtmäßigkeit“ [2/2]
jede Verarbeitung von personenbezogenen Daten ist
grdsl. verboten
es sei denn, sie ist ausnahmsweise erlaubt
d.h. für jede Datenverarbeitung muss eine
Rechtsgrundlage bestehen
Grundsätze
35
§
Art. 5 Abs. 1 lit. a)
36. Rev.
Stand
3.0
Grundsätze
36
•Einwilligung
Art. 6 Abs. 1 S. 1 lit. a)
•erforderlich zur Erfüllung eines Vertrages
•erforderlich zur Erfüllung einer vorvertragl. Maßnahme
Art. 6 Abs. 1 S. 1 lit b)
•erforderlich zur Erfüllung einer rechtlichen Verpflichtung
Art. 6 Abs. 1 S. 1 lit. c)
•Schutz lebenswichtiger Interessen
•des Betroffenen oder einer anderen Person
Art. 6 Abs. 1 S. 1 lit. d)
•Wahrnehmung einer Aufgabe, die im öffentlichen Interesse
liegt
•Ausübung öffentlicher Gewalt
Art. 6 Abs. 1 S. 1 lit. e)
•überwiegende berechtigte Interessen
•des Verantwortlichen oder eines Dritten
Art. 6 Abs. 1 S. 1 lit. f)*
* gilt nicht für Behörden in Erfüllung ihrer Aufgabe (Art. 6 Abs. 1 S. 2)
38. Rev.
Stand
3.0
„Interessenabwägung“
Interessen des Verantwortlichen (oder eines Dritten)
vs. Interessen des Betroffenen
legitimes Interesse des Verantwortlichen
Erforderlichkeit der Datenverarbeitung zur Wahrung
des Interesses
Interessen der Betroffenen dürfen nicht überwiegen
Verantwortlicher hat Dokumentations- &
Nachweispflicht
Grundsätze
38
§
Art. 6 Abs. 1 S. 1 lit. f)
39. Rev.
Stand
3.0
„Einwilligung“
hohe Anforderungen an rechtskonforme Einwilligung,
u.a.
freiwillig
in informierter Weise
durch aktive Handlung
jederzeit ohne Angaben von Gründen widerrufbar
Widerruf muss genauso einfach möglich sein wie die
Erteilung der Einwilligung
Grundsätze
39
§
Art. 6 Abs. 1 S. 1 lit. a)
40. Rev.
Stand
3.0
„gesetzl. Ausnahmetatbestand“
besondere Praxisrelevanz:
Erfüllung (vor-) vertraglicher Pflichten (z.B.
Bestellung im Onlineshop oder Erteilung eines
Angebots)
Erfüllung gesetzlicher Pflichten (z.B.
Aufbewahrungspflicht nach Handels- oder
Steuerrecht)
„Türöffner“ für Behörden bei Erfüllung ihrer
Kernaufgaben (Details in div. Spezialnormen sowie
in Landesdatenschutzgesetzen geregelt)
Grundsätze
40
§
Art. 6 Abs. 1 S. 1 lit. b) – e)
42. Rev.
Stand
3.0
„Zweckbindung“
Personenbezogene Daten müssen für festgelegte,
eindeutige und legitime Zwecke erhoben werden und
dürfen nicht in einer mit diesen Zwecken nicht zu
vereinbarenden Weise weiterverarbeitet werden.
Eine Weiterverarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder
historische Forschungszwecke oder für statistische
Zwecke gilt […] nicht als unvereinbar mit den
ursprünglichen Zwecken.
Grundsätze
42
§
Art. 5 Abs. 1 lit. b)
44. Rev.
Stand
3.0
„Datenminimierung“
Personenbezogene Daten müssen dem Zweck
angemessen und erheblich sowie auf das für die
Zwecke der Verarbeitung notwendige Maß beschränkt
sein.
Grundsätze
44
§
Art. 5 Abs. 1 lit. c)
46. Rev.
Stand
3.0
„Speicherbegrenzung“
Personenbezogene Daten müssen in einer Form gespeichert
werden, die die Identifizierung der betroffenen Personen nur
so lange ermöglicht, wie es für die Zwecke, für die sie
verarbeitet werden, erforderlich ist.
Personenbezogene Daten dürfen länger gespeichert werden,
soweit die personenbezogenen Daten vorbehaltlich der
Durchführung geeigneter technischer und organisatorischer
Maßnahmen, die von dieser Verordnung zum Schutz der
Rechte und Freiheiten der betroffenen Person gefordert
werden, ausschließlich für im öffentlichen Interesse liegende
Archivzwecke oder für wissenschaftliche und historische
Forschungszwecke oder für statistische Zwecke […] verarbeitet
werden.
Grundsätze
46
§
Art. 5 Abs. 1 lit. e)
48. Rev.
Stand
3.0
„Integrität und Vertraulichkeit“
Personenbezogene Daten müssen in einer Weise
verarbeitet werden, die eine angemessene Sicherheit
der personenbezogenen Daten gewährleistet,
einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder
unbeabsichtigter Schädigung durch geeignete
technische und organisatorische Maßnahmen.
Grundsätze
48
§
Art. 5 Abs. 1 lit. f)
50. Rev.
Stand
3.0
„Rechenschaftspflicht“ [1/2]
„Der Verantwortliche ist für die Einhaltung [der
Grundsätze in Art. 5 Abs. 1] verantwortlich und muss
dessen Einhaltung nachweisen können.“
„Der Verantwortliche setzt […] geeignete technische und
organisatorische Maßnahmen um, um sicherzustellen
und den Nachweis dafür erbringen zu können, dass die
Verarbeitung gemäß dieser Verordnung erfolgt.“
Grundsätze
50
§
Art. 5 Abs. 2
Art. 24 Abs. 1
51. Rev.
Stand
3.0
„Rechenschaftspflicht“ [2/2]
seit 25. Mai 2018 geändert Situation: vorher musste
Aufsichtsbehörde den Verantwortlichen etwaige Fehler
nachweisen, jetzt muss der Verantwortliche darlegen,
dass er rechtskonform handelt
Nachweis primär durch Datenschutz-Dokumentation
Grundsätze
51
§
Art. 5 Abs. 2