Die zentralen Begriffe und Grundsätze des Datenschutzrechts

1. Rev.
Stand
3.0
27. Januar 2022, 10.00 – 11.30 Uhr
Webinar
Die zentralen Begriffe und
Grundsätze des
Datenschutzrechts
Inhaltlicher Stand: 20.12.2021 © RA Michael Rohrlich

2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
HR Data Protection
Manager (Beck) seit
07/2021
Data Protection Risk
Manager (FOM) seit
10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012

3. Rev.
Stand
3.0
1. Einführung
2. Begriffe
3. Grundsätze
Agenda
3

4. Rev.
Stand
3.0
1. Einführung
2. Begriffe
3. Grundsätze
Agenda
4

5. Rev.
Stand
3.0
Einführung
5
Verantwortlicher Privacy
by design
Accountability
Recht auf
Vergessen
werden
One-
Stop-
Shop
risiko-
basierter
Ansatz
Betroffener
Privacy
by default
…

6. Rev.
Stand
3.0
Einführung
6
Rechtsquellen
DSGVO
BDSG
LDSG
div. Spezial-
normen

7. Rev.
Stand
3.0
1. Einführung
2. Begriffe
3. Grundsätze
Agenda
7

8. Rev.
Stand
3.0
„personenbezogene Daten“
Art. 4 Nr. 1 DSGVO
der zentrale Begriff im Datenschutzrecht
sehr weitgehend, d.h. im Zweifel von
einem Personenbezug ausgehen
Begriffe
8

9. Rev.
Stand
3.0
 „personenbezogene Daten“
 alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden
„betroffene Person“) beziehen
 ausgenommen: reine Unternehmens-, Statistik-,
Maschinendaten o.ä.
Begriffe
9
§
Art. 4 Nr. 1

10. Rev.
Stand
3.0
Begriffe
10
• Name
• Anschrift
• Kontaktdaten
• …
persönliche Daten
• Bankverbindung
• Überweisung
• Kontostand
• …
Finanzdaten
• Größe
• Gewicht
• Haarfarbe
• …
allg. äußerliche
Merkmale
• Fingerabdruck
• DNA-Probe
• …
biometrische
Daten
• erkennbar
abgebildete
Personen
Fotos / Videos
• AU-
Bescheinigung
• Diagnose
• Rezept
• …
Gesundheitsdaten
• AC – XY 1234
Kfz-Kennzeichen
• dynamisch &
statisch
IP-Adressen
Beispiele
personenbezogener
Daten:

11. Rev.
Stand
3.0
„besondere Kategorien
personenbezogener Daten“
Art. 9 Abs. 1 DSGVO
besonders sensible Arten von Daten
dürfen nur unter ganz bestimmten
Voraussetzungen verarbeitet werden
(Art. 9 Abs. 2 DSGVO)
Begriffe
11

12. Rev.
Stand
3.0
 „besondere Kategorien personenbezogener Daten“
 Die Verarbeitung personenbezogener Daten, aus denen
[sensible Infos] hervorgehen, sowie die Verarbeitung von
[sonstigen sensiblen Daten] einer natürlichen Person ist
untersagt.
Begriffe
12
§
Art. 9 Abs. 1

13. Rev.
Stand
3.0
Begriffe
13
besondere
Kategorien
personenbezogener
Daten
rass. / ethn. Herkunft
polit. Meinung
relig. / weltansch.
Überzeugung
Gewerkschaftszugeh.
genetische Daten
biometrische Daten
Gesundheitsdaten
Sexualleben
§
Art. 9 Abs. 1

14. Rev.
Stand
3.0
 Verbot der Benachteiligung von Beschäftigten (AGG)
 „Ziel des Gesetzes ist, Benachteiligungen aus
Gründen der Rasse oder wegen der ethnischen
Herkunft, des Geschlechts, der Religion oder
Weltanschauung, einer Behinderung, des Alters
oder der sexuellen Identität zu verhindern oder zu
beseitigen.“
Begriffe
14
§
§ 1 AGG

15. Rev.
Stand
3.0
 Frage: Sind Fotos nur „normale“ oder besondere
Kategorien personenbezogener Daten?
 „Die Verarbeitung von Lichtbildern sollte nicht
grundsätzlich als Verarbeitung besonderer
Kategorien von personenbezogenen Daten
angesehen werden, da Lichtbilder nur dann von der
Definition des Begriffs ‚biometrische Daten‘ erfasst
werden, wenn sie mit speziellen technischen
Mitteln verarbeitet werden, die die eindeutige
Identifizierung oder Authentifizierung einer
natürlichen Person ermöglichen.“
Begriffe
15
§
ErwGr 51

16. Rev.
Stand
3.0
„Betroffener“
Art. 4 Nr. 1 DSGVO
auch: „betroffene Person“
Mensch, dessen Daten verarbeitet
werden
Begriffe
16

17. Rev.
Stand
3.0
 „Betroffener / betroffene Person“
 eine identifizierte oder identifizierbare natürliche
Person (im Folgenden „betroffene Person“)
 als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung
zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen
Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser
natürlichen Person sind
Begriffe
17
§
Art. 4 Nr. 1

18. Rev.
Stand
3.0
„Verantwortlicher“
Art. 4 Nr. 7 DSGVO
auch: „verantwortliche Stelle“
Institution, welche die Daten verarbeitet
Begriffe
18

19. Rev.
Stand
3.0
 „Verantwortlicher / verantwortliche Stelle“
 natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die allein oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet
Begriffe
19
§
Art. 4 Nr. 7

20. Rev.
Stand
3.0
 ausgenommen: Privatpersonen (die rein privat handeln)
 Praxisproblem: Ist ein Betriebs- / Personalrat als
Verantwortlicher i.S.d. der DSGVO anzusehen?
-> früher umstritten
-> inzwischen geklärt durch § 79a S. 2 BetrVG:
„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit
liegenden Aufgaben personenbezogene Daten verarbeitet, ist der
Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne
der datenschutzrechtlichen Vorschriften.“
Begriffe
20

21. Rev.
Stand
3.0
Begriffe
21
Verantwortlicher*
Behörde
Unternehmen
Verein
* unabhängig von Größe, Organisationsform, Umsatz,
Mitarbeiteranzahl, Branche / Bereich…

22. Rev.
Stand
3.0
„Auftragsverarbeiter “
Art. 4 Nr. 8 DSGVO
zu unterscheiden vom Verantwortlichen
u.a. wichtig für Abgrenzung
Auftragsverarbeitung – gemeinsame
Verantwortlichkeit – getrennte Verantw.
Begriffe
22

23. Rev.
Stand
3.0
 „Auftragsverarbeiter“
 natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im
Auftrag des Verantwortlichen verarbeitet
Begriffe
23
§
Art. 4 Nr. 8

24. Rev.
Stand
3.0
Begriffe
24
Auftragsverarbeiter*
Behörde
Unternehmen
Verein
* unabhängig von Größe, Organisationsform, Umsatz,
Mitarbeiteranzahl, Branche / Bereich…

25. Rev.
Stand
3.0
„Verarbeitung“
Art. 4 Nr. 2 DSGVO
Oberbegriff für Vielzahl von Tätigkeiten
sehr weitgehend, d.h. im Zweifel von
einer Verarbeitung ausgehen
Begriffe
25

26. Rev.
Stand
3.0
 „Verarbeitung“
 jeder mit oder ohne Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede solche Vorgangsreihe
im Zusammenhang mit personenbezogenen Daten
Begriffe
26
§
Art. 4 Nr. 2

27. Rev.
Stand
3.0
Begriffe
27
Verarbeiten
Erheben,
Erfassen
Auslesen,
Abfragen
Verändern,
Anpassen,
Einschränken
Speichern
Löschen,
Vernichten
Ordnen,
Organisieren
Abgleichen,
Verknüpfen
Offenlegen
durch
Übermittlung,
Verbreitung,
Bereitstellung

28. Rev.
Stand
3.0
„Einwilligung“
Art. 4 Nr. 11 DSGVO
eine mögliche Rechtsgrundlage
hohe Voraussetzungen & widerrufbar
Begriffe
28

29. Rev.
Stand
3.0
 „Einwilligung“
 jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene
Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der
die betroffene Person zu verstehen gibt, dass sie mit der
Verarbeitung der sie betreffenden personenbezogenen
Daten einverstanden ist
Begriffe
29
§
Art. 4 Nr. 11

30. Rev.
Stand
3.0
Begriffe
30
vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG

31. Rev.
Stand
3.0
1. Einführung
2. Begriffe
3. Grundsätze
Agenda
31

32. Rev.
Stand
3.0
Grundsätze
32
Rechtmäßigkeit Treu und Glauben Transparenz
Zweckbindung Datenminimierung Richtigkeit
Speicherbegrenzung
Integrität und
Vertraulichkeit
Rechenschaftspflicht

33. Rev.
Stand
3.0
„Rechtmäßigkeit“
Art. 5 Abs. 1 lit. a) DSGVO
Verbot mit Erlaubnisvorbehalt
Grundsätze
33

34. Rev.
Stand
3.0
 „Rechtmäßigkeit“ [1/2]
 Personenbezogene Daten müssen auf rechtmäßige
Weise, nach Treu und Glauben und in einer für die
betroffene Person nachvollziehbaren Weise verarbeitet
werden.
Grundsätze
34
§
Art. 5 Abs. 1 lit. a)

35. Rev.
Stand
3.0
 „Rechtmäßigkeit“ [2/2]
 jede Verarbeitung von personenbezogenen Daten ist
grdsl. verboten
 es sei denn, sie ist ausnahmsweise erlaubt
 d.h. für jede Datenverarbeitung muss eine
Rechtsgrundlage bestehen
Grundsätze
35
§
Art. 5 Abs. 1 lit. a)

36. Rev.
Stand
3.0
Grundsätze
36
•Einwilligung
Art. 6 Abs. 1 S. 1 lit. a)
•erforderlich zur Erfüllung eines Vertrages
•erforderlich zur Erfüllung einer vorvertragl. Maßnahme
Art. 6 Abs. 1 S. 1 lit b)
•erforderlich zur Erfüllung einer rechtlichen Verpflichtung
Art. 6 Abs. 1 S. 1 lit. c)
•Schutz lebenswichtiger Interessen
•des Betroffenen oder einer anderen Person
Art. 6 Abs. 1 S. 1 lit. d)
•Wahrnehmung einer Aufgabe, die im öffentlichen Interesse
liegt
•Ausübung öffentlicher Gewalt
Art. 6 Abs. 1 S. 1 lit. e)
•überwiegende berechtigte Interessen
•des Verantwortlichen oder eines Dritten
Art. 6 Abs. 1 S. 1 lit. f)*
* gilt nicht für Behörden in Erfüllung ihrer Aufgabe (Art. 6 Abs. 1 S. 2)

37. Rev.
Stand
3.0
Grundsätze
37
zulässige
Verarbeitung
personenbezogener
Daten
Einwilligung
gesetzlicher
Ausnahmetatbestand
überwiegende
berechtigte
Interessen

38. Rev.
Stand
3.0
 „Interessenabwägung“
 Interessen des Verantwortlichen (oder eines Dritten)
vs. Interessen des Betroffenen
 legitimes Interesse des Verantwortlichen
 Erforderlichkeit der Datenverarbeitung zur Wahrung
des Interesses
 Interessen der Betroffenen dürfen nicht überwiegen
 Verantwortlicher hat Dokumentations- &
Nachweispflicht
Grundsätze
38
§
Art. 6 Abs. 1 S. 1 lit. f)

39. Rev.
Stand
3.0
 „Einwilligung“
 hohe Anforderungen an rechtskonforme Einwilligung,
u.a.
 freiwillig
 in informierter Weise
 durch aktive Handlung
 jederzeit ohne Angaben von Gründen widerrufbar
 Widerruf muss genauso einfach möglich sein wie die
Erteilung der Einwilligung
Grundsätze
39
§
Art. 6 Abs. 1 S. 1 lit. a)

40. Rev.
Stand
3.0
 „gesetzl. Ausnahmetatbestand“
 besondere Praxisrelevanz:
 Erfüllung (vor-) vertraglicher Pflichten (z.B.
Bestellung im Onlineshop oder Erteilung eines
Angebots)
 Erfüllung gesetzlicher Pflichten (z.B.
Aufbewahrungspflicht nach Handels- oder
Steuerrecht)
 „Türöffner“ für Behörden bei Erfüllung ihrer
Kernaufgaben (Details in div. Spezialnormen sowie
in Landesdatenschutzgesetzen geregelt)
Grundsätze
40
§
Art. 6 Abs. 1 S. 1 lit. b) – e)

41. Rev.
Stand
3.0
„Zweckbindung“
Art. 5 Abs. 1 lit. b) DSGVO
erst Zweckbestimmung, dann
Datenverarbeitung
Grundsätze
41

42. Rev.
Stand
3.0
 „Zweckbindung“
 Personenbezogene Daten müssen für festgelegte,
eindeutige und legitime Zwecke erhoben werden und
dürfen nicht in einer mit diesen Zwecken nicht zu
vereinbarenden Weise weiterverarbeitet werden.
 Eine Weiterverarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder
historische Forschungszwecke oder für statistische
Zwecke gilt […] nicht als unvereinbar mit den
ursprünglichen Zwecken.
Grundsätze
42
§
Art. 5 Abs. 1 lit. b)

43. Rev.
Stand
3.0
„Datenminimierung“
Art. 5 Abs. 1 lit. c) DSGVO
Faustregel: so viel wie nötig, so wenig wie
möglich
Grundsätze
43

44. Rev.
Stand
3.0
 „Datenminimierung“
 Personenbezogene Daten müssen dem Zweck
angemessen und erheblich sowie auf das für die
Zwecke der Verarbeitung notwendige Maß beschränkt
sein.
Grundsätze
44
§
Art. 5 Abs. 1 lit. c)

45. Rev.
Stand
3.0
„Speicherbegrenzung“
Art. 5 Abs. 1 lit. e) DSGVO
Löschkonzept!
Grundsätze
45

46. Rev.
Stand
3.0
 „Speicherbegrenzung“
 Personenbezogene Daten müssen in einer Form gespeichert
werden, die die Identifizierung der betroffenen Personen nur
so lange ermöglicht, wie es für die Zwecke, für die sie
verarbeitet werden, erforderlich ist.
 Personenbezogene Daten dürfen länger gespeichert werden,
soweit die personenbezogenen Daten vorbehaltlich der
Durchführung geeigneter technischer und organisatorischer
Maßnahmen, die von dieser Verordnung zum Schutz der
Rechte und Freiheiten der betroffenen Person gefordert
werden, ausschließlich für im öffentlichen Interesse liegende
Archivzwecke oder für wissenschaftliche und historische
Forschungszwecke oder für statistische Zwecke […] verarbeitet
werden.
Grundsätze
46
§
Art. 5 Abs. 1 lit. e)

47. Rev.
Stand
3.0
„Integrität und Vertraulichkeit“
Art. 5 Abs. 1 lit. f) DSGVO
TOMs
vgl. Art. 24 Abs. 1 & Art. 32 Abs. 1
Grundsätze
47

48. Rev.
Stand
3.0
 „Integrität und Vertraulichkeit“
 Personenbezogene Daten müssen in einer Weise
verarbeitet werden, die eine angemessene Sicherheit
der personenbezogenen Daten gewährleistet,
einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder
unbeabsichtigter Schädigung durch geeignete
technische und organisatorische Maßnahmen.
Grundsätze
48
§
Art. 5 Abs. 1 lit. f)

49. Rev.
Stand
3.0
„Rechenschaftspflicht“
Art. 5 Abs. 2 DSGVO
vielfältige Dokumentationspflichten
Faustregel: wer schreibt, der bleibt
Grundsätze
49

50. Rev.
Stand
3.0
 „Rechenschaftspflicht“ [1/2]
 „Der Verantwortliche ist für die Einhaltung [der
Grundsätze in Art. 5 Abs. 1] verantwortlich und muss
dessen Einhaltung nachweisen können.“
 „Der Verantwortliche setzt […] geeignete technische und
organisatorische Maßnahmen um, um sicherzustellen
und den Nachweis dafür erbringen zu können, dass die
Verarbeitung gemäß dieser Verordnung erfolgt.“
Grundsätze
50
§
Art. 5 Abs. 2
Art. 24 Abs. 1

51. Rev.
Stand
3.0
 „Rechenschaftspflicht“ [2/2]
 seit 25. Mai 2018 geändert Situation: vorher musste
Aufsichtsbehörde den Verantwortlichen etwaige Fehler
nachweisen, jetzt muss der Verantwortliche darlegen,
dass er rechtskonform handelt
 Nachweis primär durch Datenschutz-Dokumentation
Grundsätze
51
§
Art. 5 Abs. 2