Datenschutzverstöße

Foto. https:// pixabay.com | kostenfrei zur Verfügung

Datenschutzverstöße (Art 33 und 34 DSGVO)

  • Bei „Verletzungen des Schutzes personenbezogener Daten
    • Unverzügliche Benachrichtigung der zuständigen Aufsichtsbehörde
      • innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde
      • es sei denn, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt
      • Definition „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Nr. 12 DSGVO
  • Anforderung an die Anzeige einer Datenpanne (Inhalt der Meldung)
  • Verpflichtung des Verantwortlichen zur umfassenden Dokumentation der Datenpanne, ihrer Auswirkung sowie der nach der Panne ergriffenen Maßnahmen
    • bei verstoß gegen die Meldepflicht droht ein Bußgeld
  • Bei “ Verletzung des Schutzes personenbezogener Daten
    • Benachrichtigung der von der Datenpanne Betroffenen (Art. 34 Abs. 1 DSGVO)
      • wenn Datenpannen mit hohem Risiko für den/die Betroffenen verbunden ist
      • in klarer eund einfacher Sprache
  • Ausnahmen:
    • Unverhältnismäßigkeit der individuellen Benachrichtigung bei einer großen Zahl von Betroffenen
    • in diesem Fall: Öffentliche Bekanntmachung

Was bedeutet Datenschutz?

Foto ©: https://pixbay.com | zur freien Verfügung

Was bedeutet Datenschutz?

  • 1970: Das Hessische Datenschutzgesetz (1. Datenschutzgesetz weltweit)

Volkszählungsurteil des Bundesverfassungsgerichts I

  • Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“
  • „Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG umfasst.“
  • Volkszählungsurteil des Bundesverfassungsgerichts II Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art.1 Abs. 1 GG)
  • „Gewährleistung insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“

Einführung und Entwicklung des Datenschutzrechts II

  • 1970: Das Hessische Datenschutzgesetz (1. Datenschutzgesetz weltweit)
  • 1978: Inkrafttreten Bundesdatenschutzgesetz (BDSG)
  • 1983: Volkszählungsurteil des Bundesverfassungsgerichts (Geburtsstunde des Datenschutz)
  • Folge: Weitreichende Veränderung der Gesetzgebung und Novellierung des BDSG

Europa- & verfassungsrechtliche Grundlagen

  • Deutschland: Verfassungsrechtlich garantiertes recht auf informatielle Selbstbestimmung
    • (Art. 2 Abs. 1 i.V.m. Art 1Abs. 1 GG)
  • Europäisches Grundgesetz auf Datenschutz
    • (Art. der Charta der Grundrechte der Europäischen Union)

Einführung und Entwicklung des Datenschutzrechts II

  • 1970: Das Hessische Datenschutzgesetz (1. Datenschutzgesetz weltweit)
  • 1978: Inkrafttreten Bundesdatenschutzgesetz (BDSG)
  • 1983: Volkszählungsurteil des Bundesverfassungsgerichts (Geburtsstunde des Datenschutz)
  • Folge: Weitreichende Veränderung der Gesetzgebung und Novellierung des BDSG
  • 1995: Europäische Datenschutzrichtlinie RL95/46/EG
  • 2018: Unmittelbare Anwendung der DSGVO und Inkrafttreten des BDSG-NEU

Was ist Datenschutz?

  • Begriff kann unterschiedlich definiert werden
  • Hier: Schutz des sogenannten Datensubjekts in seinen Rechten
    • Jeder Mensch aus „Fleisch und Blut“ (z.B. nicht reine Unternehmensdaten)
    • Recht auf informationelle Selbstbestimmung
    • Europäisches Grundrecht auf Datenschutz
  • Schutz des Einzelnen vor einer missbräuchlichen Nutzung seiner personenbezogenen Daten
    • Verhältnis zwischen Staat und Bürger
      • Stichwort („gläserner Bürger“)
  • Verhältnis zwischen Bürgern (auch Unternehmen, Verein, etc.)
    • DSGVO
    • BSDG-NEU

Für wen, für was und wo gilt das Datenschutzrecht?

Foto ©: https://pixbay.com | zur freien Verfügung
Foto ©: https://pixbay.com | zur freien Verfügung
Für wen gilt das neue Datenschutzrecht? 
(Art. 3 Abs. 1 DSGVO, § 1 Abs. 4 Nr. 1, 2 BDSG-NEU)
  • Adressaten der DSGVO (und BDSG-NEU) sind
    • Verantwortliche (BDSG-NEU: Öffentliche und nichtöffentliche Stellen)
      • Art. 4 Nr. 7 DSGVO: Diejenige natürliche oder juristische Person, Behörde oder Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
    • Auftragsverarbeiter
      • Art. 4 Nr. 8 DSGVO: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Für was gilt das neue Datenschutzrecht? (Sachlicher Anwendungsbereich, Art. 2 DSGVO, § ! Abs. ! BDSG-NEU)

  • Sachlicher Anwendungsbereich
    • Verarbeitung personenbezogener Daten
  • Ausnahmen: Art. 2 Abs. 2 DSGVO
    • Tätigkeiten die nicht in den Anwendungsbereich des Unionsrechts fallen (hier gilt das Gesetz der einzelnen Mitgliederstaaten)
    • Außen- und Sicherheitspolitik der Mitgliederstaaten (z.B.: geheimdienstliche Tätigkeiten)
    • bei natürlichen Personen zur Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten (sog. „Haushaltsausnahme“)
    • durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Wo gilt das neue Datenschutzrecht? (Räumlicher Anwendungsbereich, Art. 3 DSGVO, § 1 Abs. § BDSG-NEU)

  • Räumlicher Anwendungsbereich
    • Niederlassungsprinzip Art 3 Abs. 1 DSGVO
      • Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragverarbeiters in der EU
      • Dabei ist unerheblich, ob die Verarbeitung in der EU stattfindet oder nicht
      • Entscheidend: Niederlassung des Verantwortlichen oder Auftragverarbeiters in der EU
  • Marktortprinzip Art. 3 Abs. 2 DSGVO
    • Auch für Verantwortliche oder Auftragsverarbeiter außerhalb der EU, wenn
      • Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen an Personen, die sich in der Union befinden
      • Verhalten betroffener Personen in der EU beobachtet wird

Verzeichnis von Verarbeitungstätigkeiten

Foto ©: https://pixbay.com | zur freien Verfügung

Dokumentation: Verfahrensverzeichnis (Art. 30 DSGVO – Verzeichnis der Verarbeitungstätigkeiten)

  • Wer muss es führen?
    • Verantwortliche und auch der Auftragsverarbeiter
    • verantwortlich: Unternehmensleitung und nicht der betriebliche Datenschutzbeauftragte, an den die Aufgabe jedoch delegiert werden kann
  • In welcher Form ist es zu führen?
    • schriftlich
    • was aber auch in einem elektronischen Format erfolgen kann
    • praxiserprobt: Wxel-Tabelle und Papierausdruck
  • Ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen
    • die Erstellung des Verzeichnisses für Verarbeitungstätigkeiten ist daher eine der wichtigsten Aufgaben die im Bereich der Dokumentation zu erledigen sind
  • Ausnahme Art. 30 Abs. 5 DSGVO
    • für Unternehmen mit weniger als 250 Beschäftigten kaum praxisrelevant

Sanktionen

Foto ©: https://pixbay.com | zur freien Verfügung

Sanktionen

  • Zivilrechtliche Haftung
    • der für die Verarbeitung Verantwortliche haftet für eingetretene Schäden (Art. 82 DSGVO)
    • mit Beweislastumkehr versehene Verschuldungshaftung
    • ausdrücklich auch die Verpflichtung zum Ersatz immaterieller Schäden
  • Haftung für Ordnungswidrigkeiten
    • zentrales Instrument in der DSGVO
    • Art. 83 DSGVO
    • das materielle Datenschutzrecht soll mit „Zähnen“ versehen werden und kein Papiertiger bleiben
      • Bußgelder und die Zahl der Bußgeldtatbestände werden bemerkenswert erhöht
      • bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
    • Sanktioniert werden können nach Art. 83 DSGVO nur Verantwortliche, Auftragsverarbeiter sowie Überwachungs- und Zertifizierungsstellen (Art. 41 und 42 DSGVO)
  • Konkretisierung durch nationales Recht
    • § 41 Abs. 1 BDSG-NEU erklärt hinsichtlich der Fragen des Ordnungswidrigkeitenrechts das OWiG für anwendbar
    • die Aufsichtsbehörden sind für die Verhängung von Geldbußen zuständig und die Maßstäbe für die Höhe der Buße ergeben sich aus Art. 83 Abs. 2 DSGVO
  • Effektiver Rechtsschutz wird gewährleistet

Datenschutzfolgeabschätzung

Foto ©: https://pixbay.com | zur freien Verfügung
Datenschutz-Folgeabschätzung                                                                                  (Art. 35 und 36 DSGVO)
  • Birgt Datenverarbeitung voraussichtlich hohe Risiken
    • für die persönlichen Rechte und Freiheiten der davon betroffenen Personen
    • so muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen
  • Dabei Bewertung von
    • Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos
    • Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken für Rechte und Freiheiten betroffner Personen
  • Dabei Prüfung von
    • Maßnahmen, Garantien und Verfahren
      • zur Eindämmung bestehender Risiken
      • zur Einhaltung der sonstigen Vorgaben der DSGVO
  • Ergibt DS-FA, dass geplante Verarbeitung tatsächlich hohes Risiko zur Folge hätte
    • muss der Verantwortliche die zuständige Aufsichtsbehörde zu Rate ziehen
    • sofern er keine Maßnahmen zur Eindämmung des Risikos trifft
  • Folgende Checklisten
    • Indizien für Erforderlichkeit einer DS-FA
    • Mindestinhalte der DS-FA nach Art. 35 DSGVO
  • Dabei risikobasierten Ansatz beachten
    • je risikobehafteter die Verarbeitung
    • desto umfassender und genauer ist die DS-FA durchzuführen

Der Datenschutzbeauftragter

Foto ©: https://pixbay.com | zur freien Verfügung
Der Datenschutzbeauftragte                                                                                    (Art. 37 bis 39 DSGVO, § 38 BDSG-NEU)
  • War bisher deutsche Besonderheit
    • nun europaweit Pflicht zur Benennung in bestimmten Fällen
  • Beachte Pflichten zur Benennung
  • Bußgeldrahmen (10 Mio Euro / 2 % Jahresumsatz)

Benennung

  • Pflicht zur Benennung nach DSGVO, Art. 37 Abs. 1 DSGVO
    • bei Datenverarbeitung durch Behörden oder öffentlichen Stellen grundsätzlich immer!
      • Ausnahme: Justizielle Tätigkeiten
  • Verantwortliche und Auftragsverarbeiter, wenn Kerntätigkeit
    • in Durchführungvon Verarbeitungsvorgängen, die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern besteht
    • in umfangreicher Verarbeitung von Daten gem. Art. 9, 10 DSGVO
      • besondere Kategorien von Daten
      • Daten über starftrechtliche Verurteilungen
  • Definition „Kerntätigkeit“ nach der Artikel-29-Datenschutzgruppe
  • „Als Kerntätigkeit lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichnung der Ziele des Verantwortlichen oder des Auftragverarbeiters erforderlich sind“.
  • Möglichkeit der weitergehenden Konkretisierung der Benennungspflicht des Datenschutzbeauftragten durch nationales Recht in Art. 37 Abs. 4 DSGVO
  • Pflicht zur Benennung nach § 38 Abs. 1 BDSG-NEU
    • wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
    • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden
    • bei Erforderlichkeit einer Datenschutz-Folgenabschätzung*
    • *unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
  • Prüfung mit Fragenkatalog
    • Frage1: Sind in Ihrem Unternehmen oder Verein mindestens zehn Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?
      • Liegt schon immer dann vor, wenn jemand am PC, Laptop oder sonstigen EDV-Gerät mit pDaten von Menschen zu tun hat
      • Dabei ist es unerheblich, ob die Personen für Ihre Tätigkeit bezahlt werden, als auch ehrenamtliche Vereinsmitglieder zählen mit
      • maßgeblich ist die Zahl der Köpfe, nicht die Zahl der Stellen
  • Falls ja: Sie müssen auf jeden Fall einen Datenschutzbeauftragten benennen!
    • diese Verpflichtung ergibt sich in diesem Fall aus § 38 Abs. 1 BDSG-NEU
  • Frage 2: Verarbeiten Sie in Ihrem Unternehmen oder Verein Daten besonderer Kategorien, also Daten nach Art. 9 oder 10 DSGVO?
    • Gesundheitsdaten?
    • Daten aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen?
    • Daten zum Sexualleben oder zu sexueller Orientierung?
    • Daten aus den die rassistische oder ethnische Herkunft hervorgeht?
    • Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht?
    • Daten, aus denen politische Meinungen hervorgehen?
    • Daten über strafrechtliche Verurteilungen oder Straftaten?
  • Frage 3: Ist die Verarbeitung der in Frage 2 genannten Daten (Daten besonderer Kategorie oder Straftaten/strafrechtliche Verurteilungen) eine Kerntätigkeit Ihres Unternehmens und Vereins?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Frage 4: Ist die umfangreiche, regelmäßige und systematische Überwachung von Personen eine Kerntätigkeit Ihresn Unternehmens?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Bedeutung der Frage der Bennengspflicht
    • Oft übersehen: Alle (anderen) datenschutzrechtlichen Pflichten der DSGVO und des BDSG-NEU treffen Sie unabhängig davon, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu benennen