CIPP E-Übersicht
CIPP E-Übersicht
CIPP E-Übersicht
1
die Harmonisierung des Datenschutzrechts zwischen den Ländern zu erleichtern
nicht rechtsverbindlich
keine Unterscheidung zwischen elektronisch erhobenen oder nicht erhobenen
personenbezogenen Daten
mitteilung oder Zustimmung
spezifischer Zweck für die Sammlung
individuelle Auskunftsrechte beim Verantwortlichen
gleichgewicht zwischen Datenschutz und freiem Informationsfluss/Handel
inländische Gesetze können höhere Standards haben
Konvention 108 (1981)
Übereinkommen des Europarates (zum Schutz des Menschen bei der
automatischen Verarbeitung personenbezogener Daten)
Offen zur Unterzeichnung durch Länder außerhalb Europas!
Rechtsverbindlich: erstes verbindliches internationales Instrument zur
Festlegung von Standards für personenbezogene Daten und Ausgewogenheit
mit freiem Informationsfluss für den internationalen Handel
Diejenigen, die personenbezogene Daten verwenden, haben die soziale
Verantwortung, diese personenbezogenen Daten zu schützen
Basierend auf den Grundsätzen von CoE 73/22 und 74/29
Ausnahmen für Unterzeichner bei notwendigen Maßnahmen in der
demokratischen Gesellschaft (z. B. Staatssicherheit oder Kriminalermittlung)
**Proportionalität
***FREIER INFORMATIONSFLUSS UNTER DEN UNTERZEICHNERN b/c min
Schutzniveau
Das Zusatzprotokoll befasst sich mit Übertragungen in Länder, die nicht
Unterzeichner sind
o Berechtigte Interessen des Einzelnen
o Im öffentlichen Interesse
o Weitergabe auf Grundlage der von der Aufsichtsbehörde genehmigten
Vertragsklauseln
Gegenseitige Amtshilfe mit Aufsichtsbehörden
Immer noch das einzige verbindliche Rechtsinstrument mit weltweitem
Anwendungsbereich im Bereich des Datenschutzes, das jedem Land offensteht
o Harmonisierung in Europa
Datenschutzrichtlinie (95/46/EG)
Europäische Kommission forderte das Europäische Parlament 1976 auf, in Kraft
1995
Richtlinien sind Rechtsvorschriften, aber überlassen Sie die
Umsetzungsmethoden den Mitgliedstaaten
Basierend auf Konvention 108
Ergebnisunterschiede in den Mitgliedstaaten (falsche Umsetzung,
unterschiedliche Standards)
o Z.B. Verpflichtung, lokale Datenschutzbehörden über
Verarbeitungsdetails zu informieren
o Behoben mit DSGVO
Charta der Grundrechte
EU, 2000 in Nizza, festigt grundlegende HR in Europa
2
Speziell bezieht sich auf den Schutz personenbezogener Daten (im Gegensatz
zur EMRK, die nur das Recht auf Privatsphäre hat)
ART 7: Recht auf Privatsphäre
ART 8: Datenschutzrechte
o Rechtmäßig für einen bestimmten Zweck, eine Einwilligung oder ein
anderes rechtmäßiges Interesse, das gesetzlich festgelegt ist
o Grundwerte: (1) fair, (2) festgelegter Zweck, (3) legitime Grundlage für
die Verarbeitung, (4) individuelles Recht auf Auskunft und Berichtigung
personenbezogener Daten, (5) Aufsichtsbehörde zur Überwachung der
Einhaltung
ART 10: Recht auf Weitergabe von Informationen
ART 52: Notwendigkeit und Verhältnismäßigkeit (Balance)
Vertrag von Lissabon
EUV und AEUV
AEUV ART. 16Abs. 1: Jeder hat ein Recht auf Schutz personenbezogener Daten
ARTIKEL 16Absatz 2: Alle EU-Institutionen müssen Einzelpersonen bei der
Verarbeitung personenbezogener Daten schützen
o Nationale Datenschutzbehörden können auch zuständig sein
Der Vertrag von Maastricht erwähnte die Grundrechte überhaupt nicht, sig
Entwicklung
DSGVO
Die Kommission hat 2009/2010 eine Überprüfung des geltenden Rechtsrahmens
eingeleitet, um die Datenschutzvorschriften zu stärken
Vorschriften sind in ihrer Gesamtheit verbindlich und gelten unmittelbar für die
Mitgliedstaaten => Maximierung der Kohärenz des Ansatzes
o Die Mitgliedstaaten können in einigen Fällen noch spezifischere Gesetze
erlassen
Bereits bestehende spezifische Gesetze (z. B. Aufbewahrung von
Mitarbeiterdaten)
Archivierungszwecke im öffentlichen Interesse,
wissenschaftliche oder historische Forschungszwecke,
statistische Zwecke
Verarbeitung besonderer Datenkategorien
Verarbeitung gemäß gesetzlicher Verpflichtung
WESENTLICHE ÄNDERUNGEN
o Stärkere Rechte für Einzelpersonen (insbesondere online)
o Datenschutz durch Design und Standard (neue Technologie entwickelt)
o Rechenschaftspflicht: Organisationen müssen in der Lage sein, die
Einhaltung der DSGVO nachzuweisen
o Mehr Befugnisse für Aufsichtsbehörden
o One-Stop-Shop
o Breitere Anwendung für alle, die auf EU-Verbraucher abzielen
Datenschutzrichtlinie für Strafverfolgungsbehörden
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung,
Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung
3
Die Mitgliedstaaten haben bis zum 6. Mai 2018 Zeit, um in nationales Recht
umzusetzen
ePrivacy-Richtlinie
Datenverarbeitung über öffentliche Kommunikationsnetze (nicht
Firmenintranet)
Die DSGVO erlegt keine zusätzlichen Verpflichtungen auf, die über die in dieser
Richtlinie enthaltenen Verpflichtungen hinausgehen
o die ePrivacy-Richtlinie muss überprüft und geändert werden, um
Kohärenz zu gewährleisten
Organe der Europäischen Union
o Vertrag von Lissabon (2009): Mit der Erweiterung der EU muss der Entscheidungsprozess
rationalisiert werden, um die Effizienz und Geschwindigkeit der EU zu verbessern
Europäischer Rat und EZB=institutioneller Status, kann verbindliche Beschlüsse fassen
Charta der Grundrechte= gleicher Rechtsstatus wie Verträge, rechtsverbindlich
Polen und UK= Die Charta gilt nur, wenn sie bereits in diesen Ländern
anerkannte Gesetze und Praktiken enthält
Tschechische Republik auch mit Sonderbestimmung
o Europäisches Parlament
Direkt von EU-Bürgern gewählte Mitglieder
4 Zuständigkeiten: (1) Legislativentwicklung, (2) Aufsicht über andere Institutionen, (3)
demokratische Vertretung, (4) Entwicklung des Haushalts
Arbeitet mit der Kommission zusammen, um neue Rechtsvorschriften zu
erlassen
o Kann die Kommission auffordern, dem Rat der EU einen
Legislativvorschlag vorzulegen; die Kommission auffordern, eine
Änderung bestehender Politiken und die Entwicklung neuer Politiken in
Betracht zu ziehen
Misstrauensbefugnis Kommission: Kommission muss dem Parlament regelmäßig
Berichte vorlegen
6-96 Mitglieder pro Staat, sitzen in europaweiten Fraktionen (und nicht von
Mitgliedstaaten)
Die Gruppe muss mindestens 25 Mitglieder haben, wobei mindestens ¼ der
Mitgliedstaaten innerhalb der Gruppe vertreten sein muss
Bericht für Plenarsitzung vorbereiten
Im Plenum prüft, ändert und stimmt das Parlament über Gesetzesvorschläge ab
Abstimmung= einfache Mehrheit
Teilt Gesetzgebungsbefugnisse mit Counsel of Europe
Ordentliches Verfahren: Beide Organe müssen der Gesetzgebung zustimmen
Konsultationsverfahren: Der Rat muss das Parlament konsultieren, ist aber nicht
gebunden
Zustimmungsverfahren: wichtige Beschlüsse, Zustimmung des Parlaments
erforderlich
ROLLE IM DATENSCHUTZ: alle Datenschutzgesetze, die im Rahmen des ordentlichen
Gesetzgebungsverfahrens angenommen wurden- > Parlament mit großer und gleicher
Rolle bei der Annahme
Sprachlicher Befürworter des Rechts auf Privatsphäre
o Europäischer Rat
4
Zusammenkunft der Staatsoberhäupter, Exekutivinstitution
Trifft sich viermal im Jahr, damit Staatsoberhäupter Themen besprechen können, die die
Gemeinschaft betreffen
o Rat der EU
Ein Minister pro Staat, Mitgesetzgeber mit dem Parlament
Hauptentscheidungsgremium, schreibt von der Kommission vorgeschlagene
Rechtsvorschriften
Schließt von der Kommission ausgehandelte internationale Abkommen ab
Der Rat wurde kritisiert, weil er undemokratisch ist und es ihm an Transparenz mangelt -
> jetzt finden Sitzungen in der Öffentlichkeit statt
Rotierende Präsidentschaft
Qualifizierte Mehrheiten
o Europäische Kommission
Entstanden aus der Fusion von Eur Coal and Steal Comm und Eur Atomic Energy Comm
Exekutivorgan, setzt die Entscheidungen und Richtlinien der EU um
Gewährleistung der Anwendung der Verträge und der von den Organen
erlassenen Maßnahmen
Anwendung des EU-Rechts unter Kontrolle des EuGH
Ausführung des Budgets und Verwaltung der Programme
Initiiert Gesetzgebung
EU-Rechtsvorschriften können nur angenommen werden, wenn sie von der
Kommission vorgeschlagen werden
Befugnis, rechtliche und administrative Maßnahmen zu ergreifen, einschließlich der
Verhängung von Geldbußen gegen Mitgliedstaaten, die sich nicht an Gesetze halten;
Aufsichtsbehörde über andere Institute
Unabhängige Kommissare ohne Gefolgschaft der Mitgliedstaaten, die sie entsenden
Ausgewählt auf Basis „Allgemeinkompetenz und europäisches Engagement“
ROLLE IM DATENSCHUTZ: schafft Rechtsvorschriften; kann
"Angemessenheitsfeststellungen" annehmen, bei denen Nicht-EU-Mitgliedstaaten ein
angemessenes Datenschutzniveau bieten; setzt die Charta der Personalabteilung durch
und gewährleistet so ein hohes Maß an Schutz der Rechte des Einzelnen auf
Privatsphäre und Datenschutz
o Europäischer Gerichtshof
Sitz in Luxemburg, eingerichtet mit dem Vertrag von Paris 1951
Gerichtsstand
Klagen der Kommission oder eines Mitgliedstaats gegen die Nichterfüllung
vertraglicher Verpflichtungen durch einen Mitgliedstaat
Klagen von Mitgliedstaaten, einem EU-Organ oder einer natürlichen oder
juristischen Person zur Überprüfung der Rechtmäßigkeit von Handlungen eines
EU-Instituts
Klagen von Mitgliedstaaten, einem EU-Organ oder natürlichen oder juristischen
Personen gegen EU-Organe wegen Untätigkeit
Vor nationalen Gerichten eingeleitete Klagen, von denen aus
Vorabentscheidungsersuchen an den EuGH zu Fragen der Auslegung oder
Gültigkeit des EU-Rechts gerichtet werden
Stellungnahmen zur Vereinbarkeit internationaler Abkommen der EU mit
Verträgen
5
Rechtsmittel des EuGH (Vorinstanz des EuGH)
Trifft Entscheidungen zum EU-Recht und setzt europäische Entscheidungen durch auf
der Grundlage von:
Maßnahmen der Kommission gegen einen Mitgliedstaat
Maßnahmen von Einzelpersonen zur Durchsetzung ihrer Rechte nach EU-Recht
28 von der Regierung ernannte Richter mit einer Amtszeit von 6 Jahren; ein Präsident
unter den 28, der alle 3 Jahre von den Richtern gewählt wird
8 Befürworter allgemein (geben unverbindliche Gutachten des EuGH ab, um den
EuGH bei der Entscheidung von Fällen zu unterstützen)
ROLLE IM DATENSCHUTZ: in Datenschutzfällen involviert (EuGH-Entscheidungen zum
Datenschutz)
Vor den nationalen Gerichten gebracht, von der Kommission gegen die
Mitgliedstaaten erhoben
Großbritannien spricht sich dafür aus, die EU-Vorschriften zur Vertraulichkeit
elektronischer Kommunikation nicht vollständig umzusetzen
Google Spanien vs. AEDP (2014), Recht auf Vergessenwerden
Digital Rights Ireland v. Ireland (2014): Ungültigkeit der Richtlinie zur
Vorratsdatenspeicherung in Bezug auf die Artikel 7, 8 und 11 der Charta
Smaranda Bara gegen CNAS (ANAF-Fall, 2015): Personenbezogene Daten dürfen
nicht zwischen öffentlichen Verwaltungsbehörden eines Mitgliedstaats
übermittelt werden, ohne dass die Person über die Übermittlung informiert wird
Weltimmo gegen ungarische DPA (2015): grenzüberschreitende Überweisungen
innerhalb der EU
Schrems v. Data Protection Commissioner (2015): US Safe Harbor für ungültig
erklärt als unzureichend
o Europäischer Gerichtshof für Menschenrechte* (gegründet vom CoE, nicht von der EU)
Keine EU-Institution, keine Durchsetzungsbefugnisse
Urteile sind bindend, Länder zur Einhaltung verpflichtet
EGMR-Entscheidungen können Geschädigte entschädigen
Anzahl der Richter=Anzahl der Mitglieder des Europarates, die das Übereinkommen
ratifiziert haben, aber keine Staaten vertreten
Kammern mit 7 Richtern verhandeln Fälle, die Kosten werden vom CoE getragen
Gerichtsstand
Alle Fälle, die die Auslegung oder Anwendung der EMRK betreffen
Fälle können von Vertragsstaaten oder der Europäischen Kommission der
Personalabteilung
o Staaten, deren Bürger mutmaßlich Opfer eines Verstoßes gegen die
EMRK sind, Staaten, die den Fall an die Kommission verwiesen haben,
und Staaten, gegen die eine Beschwerde eingereicht wurde (wenn die
Gerichtsbarkeit des EGMR oder die Zustimmung zur Anhörung des Falles
durch den EGMR zwingend erforderlich ist), können Fälle vorbringen
o Verstoß muss von einem an die EMRK gebundenen Staat begangen
worden sein
EGMR hat keine Befugnis, nationale Entscheidungen außer Kraft zu setzen oder
nationale Gesetze aufzuheben; keine Vollstreckungsbefugnisse (CoE behandelt,
nachdem eine Entscheidung getroffen wurde)
6
ROLLE IM DATENSCHUTZ: Gewährleistung des Rechts auf Schutz der Privatsphäre (nicht
des Datenschutzes!); der EGMR war im Bereich des Datenschutzes aktiv
Drei französische Fälle (2009): Das Gericht bekräftigte die grundlegende Rolle
des Schutzes personenbezogener Daten, vertrat jedoch die Auffassung, dass die
automatisierte Verarbeitung von Daten für polizeiliche Zwecke und
insbesondere „die Aufnahme der Antragsteller in die nationale Polizeidatenbank
für Sexualstraftäter nicht gegen Artikel 8 verstößt“.
MM v. UK (2012): Die wahllose und unbefristete Erhebung von
Strafregisterdaten entspricht wahrscheinlich nicht Artikel 8
Copland v. UK (2007): Die Überwachung der E-Mail des Antragstellers bei der
Arbeit verstößt gegen Artikel 8, da dies gesetzlich nicht vorgesehen ist
Gaskin v. UK (1989): Beschränkung des Zugangs des Antragstellers zu seiner
Akte entgegen Artikel 8
Haralambie v. Rumänien: Hindernisse, die dem Antragsteller in den Weg gelegt
wurden, als er Zugang zu den Geheimdienstakten über ihn suchte, die in den
Tagen der kommunistischen Herrschaft erstellt wurden, standen im
Widerspruch zu Art. 8 Abs.
Gesetzlicher Rahmen
o Konvention 108 (1981)
Erstes rechtsverbindliches internationales Instrument auf dem Gebiet der DP
Gründe für C108: (1) Versäumnis der MS, auf die Beschlüsse des CoE aus den Jahren 73
und 74 zum Schutz der Privatsphäre zu reagieren, und (2) Notwendigkeit, die in diesen
Beschlüssen enthaltenen Grundsätze mit einem verbindlichen Instrument zu stärken
Offen zur Unterzeichnung am 28. Januar 1981
Bemerkenswert aus 3 Gründen
Basierend auf einer Reihe von Grundsätzen, die sich mit den Hauptanliegen im
Zusammenhang mit der Datenschutzrichtlinie befassen (Genauigkeit und
Sicherheit der Datenschutzrichtlinie, Recht auf Zugang), die ihren Weg in die
Richtlinie und die DSGVO gefunden haben
Beide gewährleisten einen angemessenen Schutz der Privatsphäre des Einzelnen
und erkennen auch die Bedeutung des freien PD-Flusses für den Handel und die
Ausübung öffentlicher Funktionen an
Rechtsverbindliches Instrument: verlangt von den Unterzeichnerstaaten die
Umsetzung von Grundsätzen durch den Erlass nationaler Rechtsvorschriften
Zweck: Schaffung einer größeren Einheit zwischen den Unterzeichnerstaaten und
Ausweitung der Garantien für die Rechte und Grundfreiheiten des Einzelnen
o Datenschutzrichtlinie (95/46/EG) (1995)
Kam zustande, weil nur eine kleine Anzahl von Staaten C108 ratifizierte und die Gesetze
der Mitgliedstaaten bei der Umsetzung einen fragmentierten Ansatz verfolgten: Sie
wurden zu einem Hindernis für die Datenschutzrechte
Markiert den Ausgangspunkt der Führungsrolle der EU in der europäischen DP und die
relative Herabstufung der Bedeutung von C108
EU kann im Gegensatz zum CoE keine eigenständigen HR-Gesetze erlassen: muss sich
auf spezifische Bestimmungen des Vertrags von Rom stützen => ** *BASIEREND AUF
BINNENMARKTHARMONISIERUNGSMASSNAHME
Reguliert den freien Fluss personenbezogener Daten zwischen MS
7
Als Richtlinie wurden unterschiedliche Interpretationen erstellt, die von den
Mitgliedstaaten in ganz Europa übernommen wurden
Erforderlichkeit und Angemessenheit Schlüsselkonzepte in der Richtlinie (rechtmäßige
Gründe für die Verarbeitung und keine Übermittlung in Länder, die kein angemessenes
Schutzniveau bieten)
Behandelt manuelle und automatisierte Daten gleich
Grundprinzipien:
Faire und rechtmäßige Verarbeitung
Für einen bestimmten und legitimen Zweck erhoben, nicht in einer mit diesem
Zweck unvereinbaren Weise verarbeitet
Angemessen, relevant, nicht übertrieben
Genau und auf dem neuesten Stand
Nicht länger als nötig aufbewahrt
Verarbeitung in Übereinstimmung mit den Rechten des Einzelnen
Geeignete technische und organisatorische Maßnahmen
Nur außerhalb des EWR in Länder mit angemessenem Datenschutzniveau
übertragen
Gilt nur für Datenverantwortliche, die in einem EU-Mitgliedsstaat niedergelassen sind
oder bei denen C Datenverarbeitungsgeräte im Hoheitsgebiet eines Mitgliedstaats
einsetzt (Erfordernis, einen Vertreter zu ernennen)
Spezielle Kategorien identifizierter Daten: Rasse, ethnische Zugehörigkeit, Politik,
Religion, Gewerkschaftszugehörigkeit, Informationen zu Gesundheit und Sexualleben
Einrichtung von DPAs, wobei WP29 ein unabhängiges Gremium ist, das sich aus DPA-
Vertretern zusammensetzt
Verschrottet für die DSGVO, um eine einheitlichere Anwendung und Auslegung zu
erreichen
3 Faktoren der Überarbeitung: Divergenz der nationalen Maßnahmen und
Praktiken bei der Umsetzung, Auswirkungen auf Unternehmen und
Einzelpersonen, Entwicklungen in der Technologie
Hauptziele: Schutz der Daten des Einzelnen, Bürokratieabbau für Unternehmen,
Gewährleistung des freien Datenverkehrs innerhalb der EU
Wichtige Änderungen von der Richtlinie zur DSGVO:
Admin-Anforderungen entfernt (z. B. Benachrichtigungsanforderungen,
übermäßig teuer für Unternehmen)
Erhöhte Verantwortung und Rechenschaftspflicht für die Verarbeitung von PD
Lead Authority/Haupt-DPA
Personen größere Kontrolle über Daten (expliziteres Einverständnis erforderlich)
Verbesserte Portabilität zur Verbesserung des Wettbewerbs zwischen Servicern
Recht auf Vergessenwerden
Stellen Sie sicher, dass die EU-Vorschriften angewendet werden, wenn EU-Daten
im Ausland verarbeitet oder Dienstleistungen an EU-Bürger vermarktet werden
Stärkung der Befugnisse und Sanktionen der Datenschutzbehörde
Grundsätze und Regeln für die polizeiliche und justizielle Zusammenarbeit in
Strafsachen
Trilogverfahren zwischen Kommission, Parlament und Ministerrat mit mehreren
Entwürfen zur Einigung auf die endgültige Verordnung
o DSGVO (2018)
8
Wesentlicher Schritt zur Stärkung der Grundrechte der Bürger im digitalen Zeitalter und
Erleichterung der Wirtschaft durch Vereinfachung der Regeln für Unternehmen im
digitalen Binnenmarkt
Enthält sowohl operatives Recht als auch Präambel, die bei der Auslegung des Gesetzes
helfen
Wesentliche Änderungen gegenüber der Richtlinie:
Rechtsanwendung: direkt anwendbar in allen Mitgliedstaaten, ohne nat'l leg zu
erlassen
o Nicht auf Datenverantwortliche beschränkt
Langfristige Reichweite der Satzung (Einrichtung nicht erforderlich)
o Ermittelt nach Standort der betroffenen Person, wenn angebotene
Waren oder Dienstleistungen oder überwachtes Verhalten
o Die Verfolgung von DS im Internet, um ihre persönlichen Präferenzen zu
analysieren oder vorherzusagen, wird die Anwendung der Verordnung
auslösen, einschließlich der Verfolgung von Cookies oder der App-
Nutzung
Individuen die Kontrolle über ihre Daten geben: Stärkung der Einwilligung und
der DS-Rechte
o Zustimmung kann nicht mit AGB gebündelt werden, kann jederzeit auf
einfache Weise widerrufen werden, erklärt Einzelpersonen vor
Einholung der Zustimmung
o KINDERBESCH
Neuere und stärkere Persönlichkeitsrechte
o Transparenzpflichten, Rechte auf Datenübertragbarkeit, Einschränkung
der Verarbeitung, Recht auf Vergessenwerden
o Beibehaltung bestehender Rechte: Auskunft des Betroffenen,
Berichtigung, Löschung, Widerspruchsrecht, Recht auf Erhebung einer
Gebühr wurde aufgehoben
Neues Rechenschaftssystem: Machen Sie Unternehmen für ihre Datenpraktiken
rechenschaftspflichtiger
o Unternehmen implementieren Datenschutzrichtlinien
o Datenschutz durch Design und Standard
o Aufzeichnungspflichten
o Zusammenarbeit mit DPAs
o DPIAs
o Vorherige Konsultation mit DPAs in Hochrisikosituationen
o Obligatorische DSB für bestimmte Cs und Ps
Neue Pflichten des Datenverarbeiters
o Darf ohne Zustimmung von C keine Unteraufträge an Sub-P vergeben
o Viele ähnliche Verpflichtungen wie C oder Verpflichtung, C bei der
Einhaltung der DSGVO zu unterstützen
Internationale Datenübermittlungen: Einschränkungen bestehen weiterhin
o Angemessene Sicherheitsvorkehrungen treffen, unter der Bedingung,
dass durchsetzbare Rechte und wirksame Rechtsbehelfe für
Einzelpersonen bestehen
9
o BCRs werden jetzt explizit erwähnt, neben SCCs, Verhaltenskodizes,
Zertifizierungsmechanismen, anderen von der DPA genehmigten
Verträgen
o Konsistenzmechanismus für DPAs
Sicherheit: geeignete technische und organisatorische Maßnahme zum Schutz
personenbezogener Daten
o Melden Sie Datenverletzungen innerhalb von 72 Stunden an die DPA,
melden Sie Datenverletzungen mit hohem Risiko an DS
Durchsetzung und Risiko der Nichteinhaltung steigen
o Einzelpersonen haben Anspruch auf Entschädigung, können eine
Datenschutzbehörde zwingen, auf eine Beschwerde zu reagieren
o Rechte können von Verbraucherorganisationen im Namen von
Einzelpersonen ausgeübt werden
o Potenziell schwerwiegende Sanktionen, insbesondere bei Verstößen
gegen Grundprinzipien (Einwilligung), DS-Rechte, rechtmäßige
internationale Datenübermittlungen, Verpflichtungen nach den
Gesetzen der Mitgliedstaaten und Anordnungen von
Datenschutzbehörden
o LEDP (2008)
Schutz der PD in der polizeilichen und justiziellen Zusammenarbeit in Strafsachen
3 Hauptziele:
(1) bessere Zusammenarbeit zwischen den Strafverfolgungsbehörden,
Verbesserung der Zusammenarbeit bei der Bekämpfung des Terrorismus und
anderer schwerer Kriminalität in Europa,
(2) besserer Schutz der Daten der Bürger unter Anwendung der Grundsätze der
Notwendigkeit, Verhältnismäßigkeit und Rechtmäßigkeit mit angemessenen
Garantien und Überwachung durch unabhängige nationale
Datenschutzbehörden mit verfügbaren Rechtsbehelfen und
(3) klare Regeln für den internationalen Datenverkehr, um den Schutz von EU-
Bürgern zu gewährleisten, die nicht untergraben werden
o ePrivacy-Richtlinie (2002)
Ersetzt die Richtlinie von 1997, um den Konvergenzprozess widerzuspiegeln, das
aufkommende Internet
Die EU-Telekommunikationsgesetze wurden auf die gesamte elektronische
Kommunikation ausgeweitet
Notwendigkeit eines konsistenten und gleichen Schutzes unabhängig von den
verwendeten Technologien
Reformen zur Förderung eines stärkeren Wettbewerbs in der Branche, der
Wahlmöglichkeiten und des Schutzes der Verbraucher, eines stärkeren Rechts der
Verbraucher auf Privatsphäre
Gilt für „die Verarbeitung von PD im Zusammenhang mit der Bereitstellung öffentlich
zugänglicher elektronischer Kommunikationsdienste in öffentlichen
Kommunikationsnetzen“ in der EU
Privates Netzwerk wie Firmen-Intranet im Allgemeinen nicht abgedeckt
(Gedankengrundsätze der Richtlinie gelten weiterhin, wenn PD verarbeitet wird)
Wesentliche Bestimmungen:
10
Technische und organisatorische Maßnahmen zur Gewährleistung der
Sicherheit ihrer Dienste; Dienstanbieter ist stärker verpflichtet, den Abonnenten
über Datenschutzverletzungen zu informieren
MS erforderlich, um die Vertraulichkeit der erzeugten Kommunikations- und
Verkehrsdaten zu gewährleisten
o Ausnahmen: Zustimmung des Benutzers zum Abhören und Überwachen
oder solche, die gesetzlich zulässig sind
Die meisten Formen des digitalen Marketings erfordern eine vorherige
Zustimmung (Opt-in)
o Begrenzte Ausnahme für Bestandskunden für ähnliche Produkte und
Dienstleistungen, Opt-out-Bestimmung stattdessen
Verarbeitung von Verkehrs- und Rechnungsinformationen eingeschränkt
Standortdaten dürfen nur anonymisiert oder mit Einwilligung und für die
erforderliche Dauer verarbeitet werden
Abonnenten müssen informiert werden, bevor sie in ein Verzeichnis
aufgenommen werden
Gleichgewicht zwischen Datenschutzrechten und freiem Datenverkehr, die
Mitgliedstaaten sollten vermeiden, zu viele technische Anforderungen zu stellen, die
den freien Datenverkehr behindern würden
Änderungen
Obligatorische Benachrichtigung bei Verletzungen des Schutzes
personenbezogener Daten durch Dienstleister an Datenschutzbehörden und
relevante Personen, wenn die Verletzung die personenbezogenen Daten oder
die Privatsphäre eines Abonnenten oder einer Person beeinträchtigen könnte
Einzelpersonen und ISPs können gegen unerwünschte Kommunikation (Spam)
vorgehen
Cookies: nur unter der Bedingung zulässig, dass der betroffene Nutzer seine
Einwilligung erteilt hat, nachdem er gemäß der Richtlinie klare und umfassende
Informationen erhalten hat
o Ausnahmen: Die technische Speicherung oder der technische Zugriff
dient ausschließlich der Übertragung einer Kommunikation über ein
elektronisches Kommunikationsnetz oder ist für die Bereitstellung eines
vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes der
Informationsgesellschaft unbedingt erforderlich
Mittel, mit denen die Einwilligung eingeholt werden muss, nicht spezifiziert: Aus
bestimmten Handlungen kann eine eindeutige Einwilligung abgeleitet werden, wenn die
Handlungen zu einer unmissverständlichen Schlussfolgerung führen, dass die
Einwilligung erteilt wird, sofern die Einwilligung dem Standard der freien, spezifischen
und informierten Erteilung entspricht (implizite Einwilligung)
Reform der ePD
die ePrivacy-Verordnung wird diskutiert, um ePD zu ersetzen, den Rahmen zu
harmonisieren und die Kohärenz mit der DSGVO zu gewährleisten
Hauptmerkmale:
o Breitere Anwendung (alle Anbieter elektronischer
Kommunikationsdienste)
o Einheitliches Regelwerk
11
o Vertraulichkeit von E-Comms (Zugriff auf Inhalte ohne Zustimmung des
Nutzers verboten, Ausnahme zur Wahrung des öffentlichen Interesses)
o Einwilligung zur Verarbeitung von Kommunikationsinhalten und
Metadaten: anonymisiert oder gelöscht, wenn Benutzer keine
Einwilligung erteilen, außer zu Abrechnungszwecken
o Neue Geschäftsmöglichkeiten: Ermöglichen Sie
Telekommunikationsbetreibern, mehr Möglichkeiten zur Datennutzung
und zur Bereitstellung zusätzlicher Dienstleistungen zu haben
o Cookies: derzeit eine Überflutung von Einwilligungsanfragen,
Rationalisierung des Prozesses
Ermöglichen Sie Benutzern, mehr Kontrolle über die
Einstellungen zu haben
Keine Zustimmung erforderlich für nicht-datenschutzbezogene
aufdringliche Cookies, die das Interneterlebnis verbessern (z. B.
Erinnerung an die Warenkorbhistorie)
Cookies, die von der Website auf die Anzahl der Besucher
gesetzt werden, erfordern keine Zustimmung mehr
o Schutz vor Spam: Verbietet unerwünschte elektronische
Kommunikation auf irgendeine Weise, registrieren Sie sich auf der
Nicht-Anruf-Liste, Marketing-Anrufe müssen sich identifizieren
o Durchsetzung: Verantwortung der nationalen Datenschutzbehörden
Folgen eines Verstoßes: Mirrors GDPR
Vorschlag zur Einführung von „berechtigten Interessen“ als weitere
Rechtfertigung für die Verarbeitung von Daten
o Richtlinie zur Vorratsdatenspeicherung (2006)
Entwickelt, um die Verfügbarkeit von Verkehrs- und Standortdaten für Zwecke der
schweren Kriminalität und der Terrorismusbekämpfung sicherzustellen
2014: Der EuGH entschied, dass die Richtlinie ungültig ist, weil sie einen
unverhältnismäßigen Geltungsbereich hat und mit den Rechten auf Privatsphäre und
Datenschutz gemäß der EU-Grundrechtecharta unvereinbar ist
o Auswirkungen auf die Mitgliedstaaten
Konsistenz und zeitnahe Umsetzung ein Problem mit Richtlinien
Erlaubte MS die Freiheit, genau zu bestimmen, unter welchen Bedingungen die
Verarbeitung von PD rechtmäßig ist
Verschiedene Mechanismen in verschiedenen MS verwendet
Verantwortliche in mehreren Mitgliedstaaten mussten widersprüchliche
Verpflichtungen wie Benachrichtigungen, internationale Datenübertragungen
und Direktmarketing-Anforderungen erfüllen
Die Mitgliedstaaten haben eine Frist, wann sie eine Richtlinie umsetzen können
o Die Kommission setzt die ordnungsgemäße Umsetzung durch und stellt
sicher, dass sie Maßnahmen ergreifen kann, wenn die Umsetzung gegen
EU-Recht verstößt
o Wenn MS nicht rechtzeitig implementiert, werden Maßnahmen
dagegen ergriffen
Direkte Wirkung = Einzelpersonen können sich sofort darauf verlassen, Klagen
gegen Regierungen vor nationalen Gerichten zu erheben
12
Die Mitgliedstaaten und ihre Gerichte müssen ihre Gesetze im Lichte des Textes
und des Zwecks der Richtlinie auslegen, auch wenn sie noch nicht umgesetzt
wurden
Direkte Auswirkungen der Regulierung
Nationale DP-Gesetze werden für alle Angelegenheiten, die in den
Anwendungsbereich der DSGVO fallen, nicht mehr relevant sein
Direkt in den Mitgliedstaaten geltende Vorschriften, bedürfen keiner weiteren
Umsetzung, gelten ab dem 25. Mai 2018 sofort EU-weit
13
Die DSGVO gilt nicht für anonyme Informationen; Pseudonymisierung stellt
einen Mittelweg dar, entfernt aber die Organisation nicht aus der DSGVO
o Maßnahme, um sicherzustellen, dass PD, die nicht auf Einzelpersonen
zurückzuführen ist, eine gute Sicherheit ist
o Schutzmaßnahmen helfen bei der Datenminimierung
Die Aggregation für statistische Zwecke führt zu nicht personenbezogenen
Daten, aber der Kontext kann die Identifizierung von Stichprobengrößen
ermöglichen, die nicht groß genug sind
Natürliche Person
Unabhängig vom Wohnsitzland; gilt nicht für Verstorbene oder
Organisationsdaten
o Sensible personenbezogene Daten (besondere Kategorien)
Informationen, bei denen die Verarbeitung erhebliche Risiken für die Grundrechte und
Grundfreiheiten des Einzelnen mit sich bringen könnte
Kategorien: Rasse, ethnische Zugehörigkeit, politische Meinung, Religion,
Gewerkschaftszugehörigkeit, genetische oder biometrische Daten (zur eindeutigen
Identifizierung natürlicher Personen), Gesundheitsdaten, sexuelle Orientierung,
Sexualleben
Gesundheit= vergangener, gegenwärtiger oder zukünftiger Gesundheitszustand,
körperliche oder geistige Gesundheit
o Registrierung für oder Erbringung von Gesundheitsdienstleistungen,
Informationen aus Tests oder Untersuchungen des Körpers oder der
Körpersubstanz
Verarbeitung von Fotos (kann Rasse, ethnische Zugehörigkeit, körperliche
Behinderung=Gesundheit offenbaren)
o Verantwortliche und Auftragsverarbeiter
Verantwortlicher: bestimmt Zweck und Mittel der Datenverarbeitung,
Hauptentscheidungsträger
Verantwortung dafür, dass die Verarbeitung eine legitime Grundlage hat, DS-
Rechte eingehalten werden und festzustellen, ob die Benachrichtigung von
DPAs oder DS erforderlich ist, wenn ein Verstoß vorliegt
Wahrscheinlich das erste Ziel der Durchsetzung durch DPAs, nicht Ps
DieIdentifizierung des C hilft festzustellen, welche DPA die Autorität über die
Verarbeitungstätigkeit hat
Kann eine natürliche Person sein, aber im Allgemeinen die Organisation oder
das Unternehmen und nicht eine bestimmte Person, die vom für die
Verarbeitung Verantwortlichen ernannt wurde
o Wenn die Verarbeitung außerhalb des Umfangs und der Kontrolle von C
erfolgt, kann der Einzelne zum Verantwortlichen werden
Gemeinsam: wenn derselbe Satz von Daten/Verarbeitungsmitteln und Zwecken,
die von zwei separaten Verantwortlichen bestimmt werden, gemeinsam sein
kann (derselbe Satz von Informationen kann von verschiedenen
Verantwortlichen getrennt verarbeitet werden und die Verarbeitung nicht
verbinden)
o Muttergesellschaften können gemeinsame Verantwortliche mit
Tochtergesellschaften werden
14
o Legen Sie von Anfang an die jeweiligen Verantwortlichkeiten für die
Einhaltung der DSGVO fest, damit sich die gemeinsame
Verantwortlichkeit im Laufe der Zeit nicht weiterentwickelt; weisen Sie
die Verantwortlichkeiten für mögliche Datenschutzverletzungen klar zu
o Gemeinsame Verantwortliche müssen DS das Wesen der Beziehung zur
Verfügung stellen; DS-Rechte können gegen jeden der Cs ausgeübt
werden
Cs bestimmen Zwecke und Mittel der Verarbeitung: Tatsachen oder Umstände,
die wahrscheinlich entscheidend werden (Ps können zu Cs werden)
o Warum und wie der Verarbeitung: Warum findet die Verarbeitung statt
und welche Rolle spielen die an der Verarbeitung beteiligten Parteien?
Ps haben einen gewissen Ermessensspielraum bei der
Durchführung des Wie, ohne Cs zu werden: "bedeutet" ist nicht
nur die technische Art der Verarbeitung, sondern auch, welche
Daten verarbeitet werden, welche Dritten Zugriff haben, welche
Daten gelöscht werden, wie lange sie aufbewahrt werden usw.
Ps können technische und organisatorische Dinge bestimmen, z.
B. welche Art von Software für die Verarbeitung verwendet
werden soll
Wesentliche Elemente der Verarbeitung sind mit C
3 Kontrollquellen: explizite Rechtskompetenz, implizite Kompetenz, sachliche
Beeinflussung
Auftragsverarbeiter: darf Daten nur auf der Grundlage dokumentierter Anweisungen
des Verantwortlichen verarbeiten
Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
DSGVO-Anforderungen: Sicherheit, Aufbewahrung von Aufzeichnungen,
Benachrichtigung von Cs über Datenverstöße und Sicherstellung der Einhaltung
von Beschränkungen für internationale Datenübertragungen
o Verpflichtungen in Bezug auf Zwecke wie rechtmäßige Gründe und die
Achtung von DS-Rechten, die nur Cs auferlegt werden
Ps dürfen Daten nur auf der Grundlage von C-Anweisungen verarbeiten und
haben einen Vertrag oder einen verbindlichen Rechtsakt, der das Verhältnis
zwischen C und P schriftlich regelt
**Neu für Nicht-EWR-Ps, wenn die Verarbeitung für EWR-C noch der DSGVO
folgen muss
P VERTRAGSANFORDERUNGEN: Daten nur auf der Grundlage dokumentierter
Anweisungen von C verarbeiten, einschließlich Anweisungen für Übertragungen;
sicherstellen, dass autorisiertes Zugangspersonal der Vertraulichkeit zustimmt;
alle Mittel für die Sicherheit der Verarbeitung ergreifen; die Bedingungen für die
Unterverarbeitung einhalten; C mit geeigneten technischen und
organisatorischen Sicherheitsmaßnahmen unterstützen; C bei der Einhaltung
der Verpflichtungen in Artikel 32-36 unterstützen
Unterauftragsvergabe: vorherige Genehmigung von C (kann allgemein oder
spezifisch sein, mit der Möglichkeit, der Hinzufügung oder dem Austausch von
Verarbeitern zu widersprechen), der Vertrag zwischen P und Unter-Ps muss
15
zwingende Bestimmungen für den Verarbeiter enthalten, und der ursprüngliche
P bleibt gegenüber C für die Erfüllung seiner Unter-Ps in vollem Umfang haftbar
Cs und Ps sollten den Grad des unabhängigen Urteils bestimmen, den P ausüben kann,
die Überwachung der Ausführung der Dienstleistung durch den C, die Sichtbarkeit/das
Bild, das C dem Einzelnen darstellt, und das Fachwissen der Parteien
o Verarbeitung
Alle Vorgänge oder Vorgänge, die mit personenbezogenen Daten oder Datensätzen
durchgeführt werden, unabhängig davon, ob sie automatisiert erfolgen oder nicht, wie
z. B. Erfassung, Aufzeichnung usw.
Schwierige ID-Zeiten, wenn die Verwendung von PD nicht verarbeitet wird, breite
Definition
Bedingungen: (1) Die Verarbeitung muss ganz oder teilweise automatisiert erfolgen,
oder (2) wenn keine automatisierten Mittel vorhanden sind, muss es sich um PD
handeln, die Teil des Ablagesystems sind (strukturierter Satz von PD, auf den nach
bestimmten Kriterien zugegriffen werden kann
o Betroffene Person: identifizierte oder identifizierbare natürliche Person, die sich auf
personenbezogene Daten bezieht
Die DSGVO erstreckt sich nicht auf juristische Personen oder gilt nicht für tote Personen
Territorialer und materieller Geltungsbereich der DSGVO
o Territorialer Geltungsbereich
In der EU ansässige Organisationen
Wenn EU-gegründet, spielt es keine Rolle, wo die Verarbeitung stattfindet
Etablierung: effektive und reale Ausübung der Tätigkeit durch stabile
Arrangements (Weltimmo)
o Breites Konzept der Einrichtung: Website richtet sich an Menschen in
einem Land, in ihrer Sprache, Vertreter verfügbar, Postfach = das reicht!
o Staatsangehörigkeit des DS irrelevant
o "Eine Organisation kann gegründet werden, wenn sie"durch stabile
Vereinbarungen im Hoheitsgebiet dieses Mitgliedstaats eine echte und
effektive Tätigkeit ausübt, auch eine minimale "."
"Im Rahmen der Aktivitäten"
o Die DSGVO gilt unabhängig davon, ob die Verarbeitung in der Union
erfolgt oder nicht
o Google v. Spanien: ausreichende Verbindung zwischen den Aktivitäten
von Google Spanien und Google, Inc. - untrennbar verbunden wegen
der Gewinne
o Jede Organisation mit EU-Vertriebsbüros, die Werbung oder Marketing
fördern oder verkaufen oder Einzelpersonen in der EU ansprechen, fällt
in den Geltungsbereich (auch ausländische Unternehmen mit EU-Büros)
o Nicht explizit verwendet, um zu bestimmen, welche Gesetze der
Mitgliedstaaten gelten sollen: Wenn sich Ausnahmen oder
Abweichungen zwischen den Mitgliedstaaten unterscheiden, sollte das
Recht des Mitgliedstaats gelten, dem C unterliegt
o ***Auftragsverarbeiter mit EU-Niederlassung fallen ebenfalls unter die
DSGVO, auch wenn C, DS und die Verarbeitung außerhalb der EU
erfolgt!! Verrückt breit
16
Langarm-Organisationen, die Waren oder Dienstleistungen an EU-Bürger verkaufen oder
deren Verhalten überwachen
DS muss in der EU sein, aber EU-Aufenthalt ist nicht unbedingt eine
Voranforderung
Targeting EU DS
o Stellen Sie fest, ob C oder P beabsichtigt, DS Dienstleistungen in der EU
anzubieten (wenn versehentlich etwas an eine EU-Person verkauft wird,
nicht unbedingt im Rahmen der DSGVO)
o Relevante Faktoren: (1) Verwendung der EU-Sprache, (2) Anzeige der
Preise in EU-Währung, (3) Möglichkeit, Bestellungen in EU-Sprachen
aufzugeben, und (4) Verweis auf EU-Benutzer oder -Kunden
o Die Absicht, EU-Kunden anzusprechen, kann durch "Patent" -Beweise (z.
B. Geld für eine Suchmaschine, um den Zugang innerhalb der EU-
Mitgliedstaaten zu erleichtern) und andere Faktoren wie internationale
Art der Aktivität (touristische Aktivitäten), Erwähnungen von
Telefonnummern mit Ländercode, Verwendung von
Länderdomänennamen (.de, .fr, .uk, .eu), Reiserouten aus einem
Mitgliedstaat und Erwähnungen internationaler Kunden, einschließlich
Kunden in Mitgliedstaaten, belegt werden
Überwachung des Verhaltens
o Verhalten muss innerhalb der EU auftreten
o Online-Tracking von Personen zur Erstellung von Profilen, Analyse oder
Vorhersage persönlicher Präferenzen (Cookies)
Völkerrecht
o Verarbeitung an einem Ort, an dem das öffentliche Recht die
Zuständigkeit der Mitgliedstaaten zulässt (z. B. Botschaften und
Konsulate von EU-Mitgliedstaaten, Flugzeuge, Schiffe)
o Materialumfang
Angelegenheiten außerhalb der DSGVO (alles andere ist enthalten)
Öffentliche Sicherheit, Verteidigung, Nationale Sicherheit, Gemeinsame Außen-
und Sicherheitspolitik der EU
Haushaltsbefreiung: rein persönliche oder familiäre Aktivitäten, die nicht mit
beruflichen oder geschäftlichen Aktivitäten verbunden sind (z. B. soziale
Netzwerke und Online-Aktivitäten)
o Cs und Ps, die Mittel zur Verarbeitung von Haushaltsaktivitäten
bereitstellen, die noch im Geltungsbereich liegen
o Lindqvist: Ausnahme gilt nicht für die Bearbeitung einer
Veröffentlichung im Internet, so dass die Daten einer unbestimmten
Anzahl von Personen zugänglich gemacht wurden
WP29= Veröffentlichung von Informationen für die ganze Welt
und nicht für eine kleine Gruppe von Freunden kann ein Faktor
für die Anwendbarkeit der Ausnahme sein
Verhütung, Aufdeckung und Verfolgung strafrechtlicher Sanktionen
(Polizeibefugnisse)
o Die Datenschutzrichtlinie der Strafverfolgungsbehörden deckt in diesen
Fällen die PD ab
17
o LEDP gilt für „zuständige Behörden“: öffentliche Behörde, die für die
Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten
zuständig ist, oder jede andere Stelle oder Einrichtung, die nach dem
Recht der Mitgliedstaaten mit der Ausübung öffentlicher Gewalt für die
oben genannten Zwecke betraut ist
o Wenn Daten für unterschiedliche Zwecke verarbeitet werden, kann die
zuständige Behörde sowohl der DSGVO als auch der LEDP unterliegen
o Daten, die an eine andere Stelle übermittelt werden, die keine
zuständige Behörde ist, unterliegen der DSGVO
EU-Institutionen
ePrivacy-Richtlinie
Die DSGVO erlegt Personen, die bereits der ePrivacy-Richtlinie unterliegen,
keine zusätzlichen Verpflichtungen auf, wenn die Richtlinie bereits einen Bereich
Die Zustimmung zum Direktmarketing im Rahmen der ePD kann jetzt im
Rahmen der DSGVO strenger sein
Kommission will volle Kohärenz zwischen DSGVO und ePD erreichen
E-Commerce-Richtlinie
Die DSGVO lässt die Regeln in der ECD unberührt, insbesondere in Bezug auf
zwischengeschaltete Dienstleister
ECD stellt jedoch fest, dass Fragen im Zusammenhang mit der Verarbeitung von
PD aus seinem Anwendungsbereich ausgeschlossen sind und ausschließlich
durch die einschlägigen Datenschutzgesetze geregelt werden
Grundsätze der Datenverarbeitung
o Stammt aus Konvention 108 und Datenschutzrichtlinie
o Rechtmäßigkeit, Fairness und Transparenz
Rechtmäßigkeit: Rechtsgrundlagen für die Verarbeitung der Daten
Einwilligung
Vertragserfüllung mit der betroffenen Person
Gesetzliche Verpflichtung (in der EU/Mitgliedstaat)
Lebenswichtige Interessen (Leben oder Tod)
Öffentliches Interesse (Ausübung öffentlicher Gewalt)
Berechtigtes Interesse: notwendig für das berechtigte Interesse des
Verantwortlichen oder Dritten, und Interessen werden nicht durch Interessen
oder Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft
gesetzt (Abwägung!)
Fairness
DS muss sich bewusst sein, dass Daten verarbeitet werden, wie Daten
gesammelt und verwendet werden
In bestimmten Fällen ist die Verarbeitung automatisch gesetzlich zulässig und
gilt als fair
Sehen Sie sich an, wie sich die Verarbeitung auf DS auswirkt: Wenn negative
Auswirkungen und Auswirkungen nicht gerechtfertigt sind, gilt die Verarbeitung
als unfair
o Z. B. wenn Reise-Websites die Preise von Orten, die Sie sich mehrmals
angesehen haben, auf der Grundlage von Cookies erhöhen, ist die
Verarbeitung unfair
18
o Z.B. wenn ein Polizist sieht, dass jemand, den er wegen
Geschwindigkeitsüberschreitung angehalten hat, bereits mehrere
Strafzettel hat und die Geldstrafe erhöht, ist das fair
Transparenz
C muss offen und klar mit DS über die Verarbeitung sein (wie und warum,
Quelle)
o Aus diesem Grund muss DPA benachrichtigt werden: hat DS überhaupt
nicht geholfen
Befreiung von der Informationspflicht, wenn Daten, die direkt von DS und DS
erhoben werden, bereits relevante Informationen kennen
Ausnahme, wenn C Daten aus einer anderen Quelle bezieht UND: die
Bereitstellung von Informationen unmöglich ist oder einen unverhältnismäßigen
Aufwand erfordert, um das berechtigte Interesse von DS zu schützen und die
Vertraulichkeit der Informationen zu wahren
Benötigt die rechtzeitige Übermittlung von Informationen (siehe
Benachrichtigungskapitel)
Informationen müssen klar, prägnant und leicht verständlich sein und auf
zugängliche Weise bereitgestellt werden
o Berücksichtigen Sie folgende Umstände: Art der Daten, Art der
Datenerhebung und ob die Daten direkt oder indirekt erhoben werden
o Überlegen Sie, ob DS ein Kind ist (einfache und einfache Sprache
erforderlich), ob Fachjargon involviert sein wird, versuchen Sie, eine
einfache Sprache zu verwenden; Verwenden Sie kurze und Ad-hoc-
Datenschutzhinweise mit Links zu längeren Texten
Verwendung von standardisierten Symbolen in Betracht gezogen
o Zweckbindung
Verarbeiten Sie Daten nur, um festgelegte, eindeutige und legitime Zwecke zu erfüllen,
und verarbeiten Sie sie nicht über diese Zwecke hinaus, es sei denn, es wurden Daten
erhoben, die für den ursprünglichen Zweck geeignet sind. Um die Kompatibilität zu
bestimmen, sollten Sie Folgendes berücksichtigen:
Zusammenhang zwischen Verarbeitungszwecken
Kontext, in dem PD gesammelte, vernünftige Erwartungen an DS
Art der PD (Sonderkategorien?)
Folgen der Weiterverarbeitung an DS
Vorhandensein geeigneter Sicherheitsvorkehrungen
Identifizieren Sie zunächst einen bestimmten Zweck für die Verarbeitung von PD
Wenn die weitere Verarbeitung mit der ursprünglichen Verwendung vereinbar ist, kann
die ursprüngliche Rechtsgrundlage verwendet werden; wenn sie unvereinbar ist, ist eine
separate Rechtsgrundlage erforderlich und C muss DS benachrichtigen
o Datenminimierung
Daten müssen relevant, notwendig und angemessen sein, um den Zweck zu erfüllen, für
den sie verarbeitet werden
Erforderlichkeit: geeignet und zumutbar für Zwecke der Verarbeitung
Von einer Art, die notwendig ist, um den Zweck zu erreichen
Angemessen, wenn die Art oder Menge der PD im Verhältnis zu den Zwecken
verhältnismäßig ist
19
Die Feststellung, ob der Zweck durch die Anonymisierung von Daten erreicht
werden kann, könnte bei der Bewertung der Notwendigkeit helfen (ohne alle
eindeutigen Kennungen)
Verhältnismäßigkeit
Betrachten Sie die Menge der gesammelten Daten: große Datenmengen ohne
Einschränkungen sind unverhältnismäßig
Berücksichtigen Sie mögliche nachteilige Auswirkungen der Verarbeitungsmittel
und überprüfen Sie, ob Alternativen vorhanden sind
Gilt auch für Big-Data-Projekte
o Genauigkeit
Cs müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Daten
korrekt und auf dem neuesten Stand sind
Implementieren Sie Prozesse, um Ungenauigkeiten bei der Datenerhebung und der
laufenden Datenverarbeitung zu vermeiden
Cs müssen bewerten, wie zuverlässig eine Quelle ist, aus der sie Informationen sammeln
Wenn Daten für statistische oder historische Zwecke erhoben werden, muss C die PD
nur so beibehalten, wie sie ursprünglich erhoben wurde
Die Genauigkeit kann dazu führen, dass Aufzeichnungen über Fehler korrigiert werden
müssen
Cs muss DS antworten, der die Berichtigung von Informationen anfordert
o Speicherbegrenzung (Zeit): Daten, die nicht länger als für die Zwecke der PD erforderlich
aufbewahrt werden, werden verarbeitet
PD kann länger gespeichert werden, wenn sie anonymisiert ist oder ausschließlich zu
Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen
Forschungszwecken oder zu statistischen Zwecken verarbeitet wird
Cs darf PD nur unbegrenzt aufbewahren, wenn Daten irreversibel anonymisiert
sind oder aus anderen oben genannten Gründen
Es sollten Fristen für die Löschung oder regelmäßige Überprüfung festgelegt werden
Cs überprüfen persönliche Aufzeichnungen von Mitarbeitern, wenn die Beziehung zu
einem Ende kommt, bestimmen, was für rechtliche Zwecke aufbewahrt werden muss
Wenn das Gesetz schweigt, müssen interne Richtlinien zur Vorratsdatenspeicherung
festgelegt werden, um diesen Grundsatz zu erfüllen
o Integrität und Vertraulichkeit
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor zufälligem Verlust,
Zerstörung oder Beschädigung durch geeignete technische und organisatorische
Maßnahmen
Verwendung von Pseudonymisierung und Verschlüsselung von Daten
Weisen Sie ausreichende Ressourcen zu, um einen Rahmen für die
Informationssicherheitspolitik zu entwickeln und umzusetzen
Setzen Sie rechtliche und technische Datensicherheitsexperten ein und legen Sie ein
eigenes Budget fest
o Auch die Rechenschaftspflicht, die in der DSGVO hinzugefügt wurde!
Rechtmäßige Verarbeitungskriterien
o Die Verarbeitung muss rechtmäßig, fair und transparent erfolgen
o Baseline: Verarbeitung unrechtmäßig! C muss die Rechtsgrundlage für die Verarbeitung
nachweisen oder Ausnahmen zeigen (Journalismus oder Forschung, bei denen das Interesse an
der freien Meinungsäußerung überwiegen kann)
20
o Verarbeitung normaler personenbezogener Daten
Einwilligung (zu bestimmten Zwecken)
Muss frei gegeben, spezifisch, informiert und eindeutig sein
o Frei gegeben =echte Wahl, mit der Möglichkeit, abzulehnen oder sich
zurückzuziehen
Nicht frei gegeben, wenn mit einem anderen Problem
gebündelt (z. B. Kauf einer Dienstleistung)
Der Antrag auf Zustimmung muss in einer Weise gestellt
werden, die sich deutlich von anderen Angelegenheiten
unterscheidet
Wenn die Vertragserfüllung von der Einwilligung in die
Verarbeitung abhängig ist und die Verarbeitung für die
Vertragserfüllung nicht erforderlich ist, ist die Einwilligung
ungültig
Die Zustimmung sollte nicht herangezogen werden, wenn ein
klares Ungleichgewicht zwischen DS und C besteht (Arbeitgeber-
Arbeitnehmer-Verhältnis, gültige Zustimmung nur möglich,
wenn der Arbeitnehmer eine echte Möglichkeit hat, sich
zurückzuhalten, ohne Nachteile zu erleiden: Arbeitgeber sollten
sich nicht auf die Zustimmung verlassen)
Widerrufsfreiheit: Cs sollten daher prüfen, ob die Einwilligung
die beste Voraussetzung für eine langfristige Verarbeitung ist
o Spezifisch=im Zusammenhang mit einem bestimmten
Verarbeitungsvorgang
C sollte DS die vorgeschlagene Verwendung der Daten klar
erläutern
Wenn mehrere Zwecke, sollte die Zustimmung für alle von
ihnen gegeben werden
Wenn sich die Verarbeitungstätigkeit ändert, muss
möglicherweise eine neue Zustimmung eingeholt
werden
Für die wissenschaftliche Forschung, wenn nicht möglich, um
die Zwecke vollständig zu identifizieren, kann DS die
Zustimmung zu bestimmten Bereichen der wissenschaftlichen
Forschung erteilen
o Informiert=DS angesichts aller notwendigen Details der
Verarbeitungstätigkeit in Sprache und Form, die sie verstehen können,
wissen, wie sich die Verarbeitung auf sie auswirken wird
DS sollte zumindest die ID des Verantwortlichen und die Zwecke
der Verarbeitung kennen
o Eindeutig= DS-Erklärung oder bejahende Handlung darf keinen Zweifel
an ihrer Einwilligungsabsicht lassen
Zustimmung kann nicht vorausgewählt sein, DS muss aktiv ein
Auswahlkästchen ankreuzen
Schweigen oder voreingestellte Kästchen stellen keine
Zustimmung dar
21
Wenn die Einwilligung vorformuliert ist, muss sie in verständlicher und leicht
zugänglicher Form in klarer und einfacher Sprache und ohne missbräuchliche
Klauseln im Einklang mit den Verbraucherschutzanforderungen erfolgen
Manchmal ist eine Zustimmung erforderlich, so dass sich die Arbeitgeber auf die
Zustimmung und eine andere legitime Verarbeitungsbedingung verlassen
können, um ein Buy-In zu erstellen
Wenn eine gültige Einwilligung eingeholt wird, können laufende Interaktionen
mit DS eine fortgesetzte Einwilligung bieten
Timing: Zustimmung muss eingeholt werden, bevor C PD verarbeitet
Cs muss nachweisen, dass DS dem Verarbeitungsvorgang zugestimmt hat, und
die von bestimmten DS erteilten Zustimmungen protokollieren
Die Einwilligung ist nicht gleichbedeutend mit der Möglichkeit, sich abzumelden.
Sie erfordert eine ausdrückliche Angabe von Wünschen und eine Art
bestätigende Maßnahme.
Eine Einwilligung, die durch Zwang oder Nötigung erlangt wurde, ist ungültig
o Bestimmte Arten von schutzbedürftigen Personen können
möglicherweise keine Einwilligung erteilen (Minderjährige benötigen die
Einwilligung des Inhabers der persönlichen Verantwortung für das Kind)
Wenn die Zustimmung der Eltern erforderlich ist, muss C
angemessene Anstrengungen unternehmen, um die
Zustimmung der Eltern oder des Erziehungsberechtigten zu
überprüfen
Das Mindestalter für die Einwilligung gilt nur im Zusammenhang
mit (1) Diensten der Informationsgesellschaft, die einem Kind
direkt angeboten werden, und (2) wenn sich das C
ausschließlich auf die Einwilligung stützt oder sich nicht auf ein
anderes Kriterium stützen kann
**Cs sollten ein anderes Kriterium berücksichtigen, um die PD
des Kindes zu verarbeiten
Notwendigkeit
Enge und substanzielle Verbindung zwischen Verarbeitung und Zwecken (nur
bequem zählt nicht)
Nicht ausreichend, damit C die Verarbeitung für seine Zwecke für notwendig
hält, muss ein objektiver Test sein, ob die Verarbeitung für den angegebenen
Zweck unbedingt erforderlich ist
Vertragserfüllung, bei der DS Partei ist
Wenn DS ein Produkt oder eine Dienstleistung von C kauft
Die Verarbeitung von PD muss unvermeidbar sein, um den Vertrag
abzuschließen
Erforderlich für die Einhaltung der rechtlichen Verpflichtung, der C unterliegt
Erforderlich zur Einhaltung von Gesetzen wie Steuer- oder
Sozialversicherungspflichten in der EU
Vorbehaltlich zusätzlicher MS-Gesetze
Zum Schutz lebenswichtiger Interessen von DS oder einer anderen natürlichen Person
Lebens- oder Todessituationen, nur in seltenen Notfallsituationen relevant,
wenn DS nicht zustimmen kann (bewusstlos), Bereitstellung dringender
medizinischer Versorgung
22
Gilt nur mit einer anderen Verarbeitungsgrundlage existiert nicht
Erforderlich für die Erfüllung von Aufgaben, die im öffentlichen Interesse ausgeführt
werden, oder für die Ausübung der behördlichen Befugnisse, die dem für die
Verarbeitung Verantwortlichen übertragen wurden
Die Mitgliedstaaten oder die EU-Rechtsvorschriften legen fest, welche Aufgaben
im öffentlichen Interesse ausgeführt werden
DS haben das Recht, der Nutzung ihrer Daten zu widersprechen
o Wenn C Einwände erhebt, muss C nachweisen, dass er zwingende
schutzwürdige Gründe für die Verarbeitung von Daten hat, die
ausreichen, um Interessen, Rechte und Freiheiten der betroffenen
Person außer Kraft zu setzen oder zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen
Vorbehaltlich zusätzlicher MS-Gesetze
Erforderlich für berechtigte Interessen von C oder Dritten
Außer wenn Interessen durch Interessen oder Grundrechte und Grundfreiheiten
von DS außer Kraft gesetzt werden (insbesondere wenn DS ein Kind ist)
** Ausgleichstest
Behörden können sich nicht auf berechtigte Interessen berufen, der
Gesetzgeber muss den Behörden eine Rechtsgrundlage für die Verarbeitung
personenbezogener Daten bieten
Voraussetzungen, um sich auf diese Grundlage zu stützen: (1) für den Zweck
erforderlich, (2) der Zweck muss ein berechtigtes Interesse des Auftraggebers
oder des Dritten sein, und (2) das berechtigte Interesse kann nicht durch DS-
Interessen oder Grundrechte und Grundfreiheiten außer Kraft gesetzt werden
Berücksichtigen Sie angemessene Erwartungen an DS
Berechtigte Interessen können bestehen, wenn eine relevante und
angemessene Beziehung zwischen DS und C besteht, z. B. wenn DS Kunde ist
oder im Dienst von C steht
Die Verarbeitung von PD zur Betrugsprävention stellt ein berechtigtes Interesse
dar
Direktmarketing, interne Admin-Zwecke, können berechtigte Interessen sein
Verarbeitung streng verhältnismäßig und notwendig, um Netzwerk- und Info sec
zu gewährleisten
Diese Grundlage kann von DPAs in der gesamten EU unterschiedlich verstanden
werden (z. B. ICO= Legitimität des verfolgten Interesses feststellen, dann zeigen,
dass die Verarbeitung im Einzelfall nicht durch Vorurteile gegenüber der
betroffenen Person ungerechtfertigt ist)
o Auch wenn es aufgrund einzigartiger Umstände Vorurteile gibt, die sich
auf eine bestimmte Person beziehen, beeinträchtigt dies nicht
unbedingt die gesamte Verarbeitung
Unter Verwendung dieses Kriteriums haben DS das Recht, der Verwendung ihrer
Daten zu widersprechen: Wenn ein berechtigter Widerspruch von DS vorliegt,
muss C die Datenverarbeitung einstellen
o Verarbeitung sensibler personenbezogener Daten
Fotos sollten nicht systematisch als sensible Daten betrachtet werden, da sie nur dann
als biometrische Daten gelten, wenn sie mit spezifischen technischen Mitteln
23
verarbeitet werden, die eine eindeutige ID oder Authentifizierung einzelner Personen
ermöglichen
Die Verwendung dieser Datenkategorien kann naturgemäß eine Bedrohung für die
Privatsphäre darstellen
Personenbezogene Daten, die in Bezug auf Grundrechte und Grundfreiheiten besonders
sensibel sind, verdienen einen besonderen Schutz, da der Kontext erhebliche Risiken mit
sich bringen könnte
Beeinflusst durch Antidiskriminierungsgesetze (erklärt durch SSN und
Kreditkartennummern nicht enthalten)
In einigen Gerichtsbarkeiten müssen Cs die Erlaubnis der Datenschutzbehörden
einholen, bevor sie überhaupt verarbeitet werden können
Cs müssen die Bedingungen gemäß Artikel 6 und 9 erfüllen, um sensible Daten zu
verarbeiten; sicherstellen, dass Ds ordnungsgemäß und vollständig darüber informiert
wird, wie Daten gemäß Artikel 12-14 verwendet werden
Startpunkt= Verarbeitung verboten, es sei denn, es kann eine Ausnahme gefunden
werden
AUSNAHMEN
Einwilligung (es sei denn, das EU- oder MS-Recht besagt, dass das Verbot der
Verarbeitung von DS nicht aufgehoben werden kann: dann muss ein anderes
Kriterium verwendet werden)
o Eindeutig, frei gegeben, spezifisch, informiert und explizit
Kann auf Papier oder in elektronischer Form mit digitalen
Signaturen, Klicken auf Symbole oder Bestätigungs-E-Mail
explizit sein
Die Einwilligung muss ausdrücklich den Zweck der Verarbeitung
angeben (bezieht sich tatsächlich auf Kategorien von Daten, die
verarbeitet werden)
Eine schriftliche Zustimmung und/oder eine dauerhafte
Aufzeichnung kann erforderlich sein
o Aussage oder eindeutige bestätigende Maßnahme erforderlich
Erforderlich für die Durchführung von Verpflichtungen und die Ausübung
spezifischer Rechte des C oder DS im Bereich des Arbeits-, Sozialversicherungs-
und Sozialschutzrechts
o Notwendig für C, um den gesetzlichen Verpflichtungen aus dem
Arbeits-, Sozial- oder Sozialschutzrecht nachzukommen
o Relevant für DS-Kandidaten, Mitarbeiter und Auftragnehmer
o Bedarfsprüfung, Umfang des Kriteriums richtet sich nach lokalem
Arbeitsrecht
Notwendig zum Schutz lebenswichtiger Interessen
o Wenn DS physisch oder rechtlich nicht in der Lage ist, die Einwilligung zu
erteilen
o Es wird erwartet, dass Sie versuchen, die Zustimmung einzuholen, bevor
Sie sich darauf verlassen
Durchgeführt im Rahmen legitimer Aktivitäten mit angemessenen Garantien
durch eine Stiftung, ein assoziiertes Unternehmen oder eine andere
gemeinnützige Einrichtung mit politischer, philosophischer, religiöser oder
gewerkschaftlicher Zielsetzung
24
o Und unter der Bedingung, dass sich die Verarbeitung nur auf Mitglieder
oder ehemalige Mitglieder oder auf Personen bezieht, die im
Zusammenhang mit ihren Zwecken regelmäßigen Kontakt mit der Org
haben, und dass die PD ohne Zustimmung von DS nicht außerhalb des
Körpers offengelegt wird
o Kirchen, politische Parteien usw.
o Die Verarbeitung darf nur (1) im Rahmen rechtmäßiger Tätigkeiten, (2)
mit angemessenen Garantien und (3) im Zusammenhang mit
bestimmten Zwecken erfolgen
Von DS offensichtlich öffentlich gemachte personenbezogene Daten
o Medieninterviews, potentielle Social-Networking-Plattformen
Erforderlich für die Begründung, Ausübung oder Verteidigung von
Rechtsansprüchen oder wenn Gerichte in gerichtlicher Eigenschaft handeln
o Erfordert C zur Feststellung der Notwendigkeit: enge und wesentliche
Verbindung zwischen Verarbeitung und Zwecken
o Alle diese Verarbeitungen unterliegen weiterhin den in Artikel 5
dargelegten DP-Grundsätzen
Erhebliches öffentliches Interesse
o Auf der Grundlage des EU- oder MS-Rechts, das in einem angemessenen
Verhältnis zum verfolgten Ziel steht, den Wesensgehalt des Rechts auf
Datenschutz respektiert und geeignete und spezifische Maßnahmen zur
Wahrung der Grundrechte und Interessen von DS vorsieht
o MS kann Gesetze erlassen, aber die Verarbeitung muss (1) in einem
angemessenen Verhältnis zum verfolgten Ziel stehen und (2) den
Wesensgehalt des Rechts auf Datenschutz respektieren
o Von einigen Mitgliedstaaten definiertes öffentliches Interesse (nicht von
der DSGVO definiert)
Keine Verpflichtung zur Mitteilung von Ausnahmeregelungen an
die EG gemäß Richtlinie
o Großbritannien hat weitere Kriterien für die Verarbeitung im
öffentlichen Interesse: Die Verarbeitung muss erforderlich sein, um
rechtswidrige Handlungen zu verhindern oder aufzudecken oder um
eine Funktion zu erfüllen, die darauf abzielt, die Öffentlichkeit vor
unehrlichem, ernsthaft missbräuchlichem Verhalten oder
Missmanagement in der Verwaltung einer Organisation oder eines
Verbands zu schützen
Erforderlich für die Zwecke der Präventiv- oder Arbeitsmedizin, zur Beurteilung
der Arbeitsfähigkeit des Mitarbeiters, der medizinischen Diagnose, der
Gesundheitsversorgung oder gemäß dem Vertrag mit dem medizinischen
Fachpersonal und vorbehaltlich der Bedingungen und zusätzlichen
Sicherheitsvorkehrungen
o Zweck der medizinischen oder sozialen Versorgung
o Die Verarbeitung kann auf der Grundlage von EU- oder MS-Recht oder
im Rahmen von Verträgen mit Angehörigen der Gesundheitsberufe
erfolgen
o Die Ausnahme gilt hauptsächlich für Ärzte, Krankenschwestern oder
andere Personen, die in Gesundheitsberufen tätig sind
25
Ausnahme bedeutet nicht, dass diese Personen vom Rest der
DSGVO ausgenommen sind
o Ermöglicht auch Dinge wie Drogentests, um sicherzustellen, dass die
Mitarbeiter arbeitsfähig sind
Erforderlich aus Gründen des öffentlichen Interesses in Bereichen der
öffentlichen Gesundheit
o Wie Schutz vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder Gewährleistung hoher Qualitäts- und
Sicherheitsstandards der Gesundheitsversorgung und von Arzneimitteln
oder Medizinprodukten
o Öffentliche Gesundheit: alle Elemente im Zusammenhang mit der
Gesundheit, nämlich der Gesundheitszustand, einschließlich Morbidität
und Behinderung, die Determinanten, die sich auf diesen
Gesundheitszustand auswirken, der Gesundheitsbedarf, die für die
Gesundheitsversorgung zugewiesenen Ressourcen, die Bereitstellung
und den allgemeinen Zugang zur Gesundheitsversorgung sowie die
Gesundheitsausgaben und -finanzierung und die Ursachen der Moral
o Eine solche Verarbeitung sollte nicht dazu führen, dass PD aus anderen
Gründen von Dritten (z. B. Arbeitgebern, Versicherungen oder Banken)
verarbeitet wird
o Ermöglicht die Überwachung von Medikamenten und
Medizinprodukten, um Qualität und Sicherheit zu gewährleisten
Erforderlich für Archivierungszwecke im öffentlichen Interesse,
wissenschaftliche oder historische Forschung oder statistische Zwecke
o Um sich auf dieses Kriterium zu stützen, muss die Verarbeitung über
angemessene Garantien verfügen und für einen der Zwecke des EU-
oder MS-Rechts erforderlich sein, der verhältnismäßig sein, den
Wesensgehalt des DP-Rechts respektieren und geeignete Garantien
vorsehen muss
o **Anonymisierung spiegelt Best Practices wider
o Pharmaunternehmen und akademische Einrichtungen sollten Parameter
dieser Ausnahme untersuchen
o Daten zu Straftaten, strafrechtlichen Verurteilungen sowie Straftaten und
Sicherheitsmaßnahmen
Garantiert ein höheres Schutzniveau
Darf nur unter Aufsicht einer behördlichen Behörde verarbeitet werden oder wenn die
Verarbeitung von der EU oder den Mitgliedstaaten genehmigt wurde und angemessene
Garantien für die Rechte und Freiheiten von DS vorgesehen sind
Der für die Verarbeitung Verantwortliche des privaten Sektors muss die Vorschriften des
EU-Rechts oder des lokalen Rechts in Bezug auf die Verarbeitung von Daten prüfen
**NICHT als Kategorie sensibler Daten im Sinne von Art. 9 Abs.
o Verarbeitung, die keine Identifizierung erfordert
Wenn C DS bei der Verarbeitung von Daten nicht identifizieren muss, ist C nicht
verpflichtet, zusätzliche Informationen aufzubewahren, zu erwerben oder zu
verarbeiten, um DS ausschließlich zum Zwecke der Einhaltung der DSGVO zu
identifizieren
26
C muss den Verpflichtungen in Bezug auf bestimmte Rechte von DS nicht nachkommen,
es sei denn, DS stellt zusätzliche Informationen zur Verfügung, um ihre Identifizierung zu
ermöglichen
Informationspflichten
o Transparenz
Daten müssen "rechtmäßig, fair" und auf transparente Weise übertragen werden
Machen Sie den betroffenen Personen ihre verarbeiteten personenbezogenen Daten
deutlich, machen Sie sie auf ihre Rechte und die Risiken, Regeln und Garantien im
Zusammenhang mit der Verarbeitung aufmerksam
DS über das Vorliegen der Verarbeitung und deren Zweck informiert
Wenn Grundlage der Verarbeitung die Einwilligung ist, muss informiert werden
(Transparenz!)
DS muss die ID des Controllers kennen
Ungenaue oder unvollständige Informationen entsprechen nicht dem
Transparenzstandard
Berechtigte Interessengrundlage für die Verarbeitung: Kann ein DS zum Zeitpunkt und
im Rahmen der Erhebung von PD vernünftigerweise erwarten, dass eine Verarbeitung zu
diesem Zweck stattfinden könnte?
Allgemeine DPA-Meldepflicht entfällt!!
o DS hat das Recht, bestimmte Informationen von Cs zu erhalten, unabhängig davon, woher die
Informationen stammen
o Artikel 13: Bereitstellung von Informationen an DS, wenn Informationen direkt gesammelt
werden
Folgende Informationen sind zur Bereitstellung erforderlich:
ID und Kontaktdaten von C
Kontaktdaten des DSB (falls zutreffend)
Zwecke und Rechtsgrundlage der Verarbeitung
Bei berechtigtem Interesse, was ist das berechtigte Interesse, das
Empfänger oder Kategorien von Empfängern von Daten
Ob C beabsichtigt, in ein Drittland oder IO zu übertragen, und ob eine
Angemessenheitsentscheidung der Kommission vorliegt, und wenn nicht,
welche geeigneten Garantien für die Übertragung vorhanden sind
Artikel 13(2): Um eine faire und transparente Verarbeitung zu gewährleisten, stellen Sie
auch folgende Daten zur Verfügung (muss nur dann bereitgestellt werden, wenn dies
erforderlich ist, um eine faire PD-Verarbeitung zu gewährleisten: kann immer sein)
Zeitraum PD wird gespeichert oder Kriterien werden verwendet, um diesen
Zeitraum zu bestimmen
DS-Rechte in Bezug auf Daten: (1) rt auf Antrag auf Auskunft, Berichtigung oder
Löschung, (2) rt auf Antrag auf Einschränkung der Verarbeitung, (3) Widerspruch
gegen die Verarbeitung, (4) rt auf Datenübertragbarkeit
o NB nicht bedingungslose Rechte, nicht unter allen Umständen,
Ausnahmen bestehen
Wenn die Verarbeitung auf einer Einwilligung beruht, kann die Einwilligung
widerrufen werden
Rt. eine Beschwerde bei der Aufsichtsbehörde einzureichen
Ob die Bereitstellung von PD eine gesetzliche oder vertragliche Anforderung ist
oder erforderlich ist, um einen Vertrag abzuschließen
27
Ob DS verpflichtet ist, PD zur Verfügung zu stellen und die Konsequenzen, wenn
sie dies nicht tun
Bestehen einer automatisierten Entscheidungsfindung aka Profiling
o Art 14: Informationen zur Bereitstellung von DS, wenn Informationen indirekt empfangen
werden
Alles mit Artikel 13, plus Kategorien der betroffenen personenbezogenen Daten und die
Quelle der Daten
Kein Erfordernis, DS darüber zu informieren, ob die Bereitstellung auf
gesetzlichen oder vertraglichen Erfordernissen beruht, oder zu erklären, ob DS
zur Bereitstellung von Informationen verpflichtet ist und welche Folgen dies hat,
wenn dies nicht geschieht
Geben Sie Informationen an, es sei denn, es gilt eine Ausnahme
o Zusätzliche Informationen, die bereitgestellt werden müssen
Art 15: DS-Recht, Informationen anzufordern
Recht, von C die Einschränkung der Verarbeitung zu verlangen
Recht auf Widerspruch gegen die Verarbeitung aufgrund berechtigter
Interessen von C, Notwendigkeit der Verarbeitung im öffentlichen Interesse
oder Direktmarketing
Widerspruchsrecht gegen die Profilerstellung
Internationale Datenübermittlungen
Auf der Grundlage eines berechtigten Interesses: über die Weitergabe
informiert und darüber, was das Interesse ist
Auf der Grundlage der Einwilligung: mögliche Risiken der Übertragung und
geeignete Sicherheitsvorkehrungen
Basierend auf BCR: Informationen in BCR, DS-Verarbeitungsrechte und
Haftungsvereinbarungen
Neuer Verarbeitungszweck
DS muss über den Grund der Verarbeitung, der über den ursprünglichen Grund
hinausgeht, informiert werden
Mehrere Controller
Die Essenz der Anordnung sollte DS "zur Verfügung gestellt" werden (anders als
"bereitstellen")
Verletzungen des Schutzes personenbezogener Daten: manchmal müssen
Informationen bereitgestellt werden
o Wann ist Auskunft zu erteilen?
Informationen, die direkt von DS erhalten wurden: Informationen zum Zeitpunkt der
erhaltenen PD bereitstellen
Indirekt erhalten: innerhalb eines angemessenen Zeitraums nach Erhalt (innerhalb von 1
Monat), wenn für Kommunikationen verwendet, dann zum Zeitpunkt der ersten
Kommunikation mit DS und wenn einem anderen Empfänger spätestens bei der ersten
Offenlegung von PD mitgeteilt
Wenn eine neue Verarbeitung stattfindet, muss DS vor der neuen Verarbeitung
informiert werden
DS Widerspruchsrecht muss mindestens zum Zeitpunkt der ersten Kommunikation mit
dem DS zur Verfügung gestellt werden
Informationen über das Recht auf Widerruf der Einwilligung müssen vor Erteilung der
Einwilligung erteilt werden
28
o Wie man Informationen bereitstellt
Prägnante, transparente, verständliche und leicht zugängliche Form
Betrachten Sie das Publikum (unterschiedlich für Kinder)
Gleiches Formular wie Informationen (z. B. elektronisch, auf der Website, per E-
Mail usw.)
Klare und einfache Sprache
Faire Verarbeitungsinformationen können auf Anfrage mündlich erteilt werden, solange
die ID von DS auf andere Weise nachgewiesen wird
Kostenlos
Visualisierung/Standardsymbole können verwendet werden
Einwilligungsersuchen
Auf eine Weise dargestellt, die sich deutlich von anderen Angelegenheiten
unterscheidet
Verständliche und leicht zugängliche Form
Klare und einfache Sprache
Das Recht, der Verarbeitung zu widersprechen, muss DS klar und getrennt von anderen
Informationen zur Kenntnis gebracht werden
o Ausnahmen von der Informationspflicht
Neuer Zweck der Verarbeitung: kein Informationsbedarf, wenn
DS hat diese Info bereits
Bei Erlangung oder Offenlegung von PD im Recht der Mitgliedstaaten, dem C
unterliegt und das geeignete Maßnahmen zum Schutz der berechtigten
Interessen von DS vorsieht
PD muss vertraulich bleiben, vorbehaltlich einer Verpflichtung zum
Berufsgeheimnis, die durch das Recht der EU oder der Mitgliedstaaten geregelt
ist, oder
Die Bereitstellung von Informationen wäre unmöglich oder mit
unverhältnismäßiger Wirkung oder zu Archivierungszwecken, im öffentlichen
Interesse, in der wissenschaftlichen oder historischen Forschung oder zu
statistischen Zwecken (wenn die Bedingungen und Garantien für die
Verarbeitung dieser Informationen erfüllt sind oder die Bereitstellung fairer
Verarbeitungsinformationen wahrscheinlich die Erreichung der Ziele der
Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt)
C sollte geeignete Maßnahmen ergreifen, um DS rts, Freiheiten und legitime Interessen
zu schützen
Definition „unverhältnismäßige Wirkung“: Anzahl der betroffenen Personen, Alter der
PD, angewandte Ausgleichsmaßnahmen (geeignete Sicherheitsvorkehrungen getroffen)
Bekannte Personen über das Vorhalten von Daten über sie zu informieren, ist unsinnig
DS ist weiterhin berechtigt, Datenverarbeitungsinformationen anzufordern, auch wenn
eine Befreiung von der Informationspflicht vorliegt
Artikel 23: Ausnahmen für Dinge im Zusammenhang mit der Strafverfolgung, dem
öffentlichen Interesse und der nationalen Sicherheit
Recht der betroffenen Personen, über Einschränkungen informiert zu werden,
es sei denn, dies würde den Zweck der Einschränkung beeinträchtigen
Die Mitgliedstaaten können Rechtsvorschriften mit Ausnahmen für Medien und Kunst
erlassen
o anforderungen der ePrivacy-Richtlinie
29
Relevant für die Verwendung von Cookies usw.
Nur Einwilligung vorhanden: darf Cookies setzen, Informationen sammeln, nur mit
Einwilligung
Informationen über das Cookie müssen dem Benutzer gegeben werden, und der
Benutzer muss zustimmen, bevor das Cookie auf seinem Gerät platziert wird
o Hinweise zur fairen Verarbeitung
Cs müssen Informationen bereitstellen oder den DS speziell darauf aufmerksam
machen/informieren
Faktoren, ob Informationen "zur Verfügung gestellt" oder "zur Verfügung gestellt"
werden sollen
Umfang der Informationen, die DS bereits zur Verfügung stehen
Element der Sammlung oder Verarbeitung DS würde unerwartet oder anstößig
finden
Ob die Folgen der (Nicht-) Bereitstellung ihrer personenbezogenen Daten klar
sind und was die Folgen sind
Art der erfassten PD (besondere Kategorien??) und Art der Personen
(schutzbedürftig)
Methode, mit der Daten erhoben werden
Das Widerspruchsrecht muss DS zur Kenntnis gebracht werden, nicht nur zur
Verfügung gestellt
Auskünfte sind zu erteilen:
Klar, prägnant und leicht verständlich in einfacher, eindeutiger und direkter
Sprache
Wirklich informativ
Genau und aktuell
In angemessener Weise
Vorausschauend, aber realistisch (muss nicht jede mögliche Verwendung von
Daten in Zukunft auflisten, sondern die vernünftigerweise vorhersehbaren)
Kommerzieller Nutzen für die Informationsbereitstellung
DS setzt Vertrauen in die Organisation, schafft Kundenbindung und -bindung
DS wird wahrscheinlich immer mehr wertvolle personenbezogene Daten
bereitstellen
Das Risiko von Beschwerden und Streitigkeiten, die sich aus der Verwendung
von PD ergeben können, wird reduziert
Möglichkeiten, Mitteilungen zu machen:
Mehrschichtige Hinweise zur fairen Verarbeitung: kurze erste Benachrichtigung
mit Durchklicken auf ein vollständigeres Formular, DS kennt Informationen, die
auf Wunsch verfügbar sind (entsprechendes Formular, wie gebührenfreie
Nummer, die Sie anrufen können, wenn Sie nicht online sind)
o 3 empfohlene Schichten
o Cs sollten wichtige Informationen und Details zur Verarbeitung liefern,
die unerwartet oder anstößig sein können, sofort und deutlich sichtbar
o Zuerst sollte die ID von C und der übergeordnete Zweck der
Verarbeitung sein
o Vorteile: Hilfe für DS, die nur bestimmte Datenmengen aufnehmen
können, Platz-/Zeitbeschränkungen, längere Hinweise beeinträchtigen
die Lesbarkeit
30
o Stellen Sie sicher, dass Informationen, die DS zur Kenntnis gebracht
werden müssen, nicht vergraben werden
Just-in-Time-Mitteilungen: Bereitstellung von Informationen an bestimmten
Stellen der Verarbeitung
Datenschutz-Dashboards: können DS erlauben, zu kontrollieren, wie PD
verarbeitet wird
Alternative Formate: Visualisierung, standardisierte Icons, Animationen für
Kinder
Stellen Sie auch eine ungeschichtete Version zur Verfügung, wenn DS darauf
verweisen muss
Diverse Technologien (z.B. CCTV, Drohnen)
Stellen Sie Schilder und Informationsblätter auf, wenn sie in einem bestimmten
Bereich verwendet werden, und benachrichtigen Sie die Personen über die
Verwendung, listen Sie den Ort für Kontaktinformationen auf und kündigen Sie
länger an (QR-Code)
Verwenden Sie soziale Medien usw., wenn Sie bei Veranstaltungen verwendet
werden sollen
Stellen Sie die Verarbeitungsinformationen auf der Website des Betreibers zur
Verfügung
Sicherstellen, dass Drohnen/Kameras sichtbar sind und der Betrieb auch
deutlich sichtbar ist, mit Beschilderungs-ID als Drohnenbediener
Rechte der betroffenen Personen
o Stärkung der Rechte eines der Hauptziele der EU mit der DSGVO
C sollte angemessene Anstrengungen unternehmen, um DS zu identifizieren
Zeitrahmen, um DS-Anfragen zu berücksichtigen: Bestätigen Sie mindestens den Erhalt
der Anfrage und bestätigen oder klären Sie, was innerhalb eines Monats ab Eingang der
Anfrage angefordert wird (kann bei bestimmten Situationen und/oder besonders
komplexen Anfragen auf 2 weitere Monate verlängert werden)
Wenn die Organisation beschließt, nicht fortzufahren, muss DS benachrichtigen
und auf Möglichkeiten zur Einreichung von Beschwerden hinweisen
Elektronisch empfangene Anfragen sollten elektronisch beantwortet werden, es
sei denn, DS wünscht etwas anderes
Transparenz ist von grundlegender Bedeutung: DS-Rechte können nicht garantiert
werden, wenn sie nicht ordnungsgemäß über die Aktivitäten von C informiert werden
o Recht auf Auskunft (über die Erhebung und Verarbeitung personenbezogener Daten)
ID von C, Gründe und Zwecke der Verarbeitung, Rechtsgrundlage, Empfänger von Daten,
Übermittlung in Drittländer, sonstige Informationen zur Gewährleistung einer fairen und
transparenten Verarbeitung der Daten
Datenquelle, wenn indirekt
o Auskunftsrecht
DS hat das Recht, von C eine Bestätigung zu erhalten, ob PD verarbeitet wird, und wenn
ja, auch die folgenden Informationen
Zwecke der Verarbeitung
Kategorien von PD
Empfänger (einschließlich Überweisung)
Voraussichtlicher Zeitraum, für den PD gespeichert wird
Recht auf Löschung oder Berichtigung
31
Beschwerderecht
Datenquelle, wenn indirekt
Bestehen einer automatisierten Entscheidungsfindung
o Recht auf Berichtigung: Berichtigung unrichtiger Daten
C muss sicherstellen, dass ungenaue oder unvollständige Daten gelöscht, geändert oder
berichtigt werden
o Recht auf Löschung (Recht auf Vergessenwerden)
Recht auf Löschung, wenn Daten, die nicht mehr für den ursprünglichen Zweck benötigt
werden und kein neuer rechtmäßiger Zweck besteht, oder die rechtmäßige Grundlage
die Einwilligung ist und die Einwilligung ohne zusätzliche rechtmäßige Gründe für die
Verarbeitung widerrufen wird, oder DS das Recht auf Widerspruch ausübt und C keine
Gründe für die Außerkraftsetzung hat oder die Daten unrechtmäßig verarbeitet wurden
oder die Löschung zur Einhaltung des EU-Rechts oder des Rechts der nationalen
Mitgliedstaaten erforderlich ist
Wenn C Daten öffentlich gemacht hat und Dritte verarbeiten, muss er Dritte darüber
informieren, dass DS von diesem Recht Gebrauch gemacht hat (ausgenommen, wenn
die Einhaltung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern
würde)
Ausnahmen, wenn Verarbeitung notwendig ist
Zur Ausübung des Rechts auf freie Meinungsäußerung und Information
Zur Erfüllung gesetzlicher Verpflichtungen aus dem Recht der EU oder der
Mitgliedstaaten oder zur Erfüllung einer Aufgabe, die im öffentlichen Interesse
liegt (öffentliche Gesundheit, Archivierung, wissenschaftliche oder historische
Forschung oder statistische Zwecke)
Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen
Stärkt das Recht auf Vergessenwerden im Online-Umfeld
o Recht auf Einschränkung der Verarbeitung
Recht auf Einschränkung, wenn die Richtigkeit der Daten angefochten wird
(Einschränkung bis zur Überprüfung der Richtigkeit), die Verarbeitung rechtswidrig ist
(DS kann anstelle der Löschung eine Einschränkung verlangen), C die Daten nicht mehr
für den ursprünglichen Zweck benötigt, aber dennoch zur Begründung, Ausübung oder
Verteidigung von Rechtsansprüchen erforderlich ist oder die Überprüfung zwingender
Gründe im Zusammenhang mit einem Löschungsantrag anhängig ist
So erreichen Sie dies: Daten in ein anderes Verarbeitungssystem verschieben, Zugriff
einschränken, für Benutzer nicht verfügbar machen, vorübergehend von der Website
entfernen
o Recht auf Datenübertragbarkeit
Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu
erhalten, um sie an einen anderen Controller zu übertragen, oder zu verlangen, dass sie
direkt übertragen werden, sofern dies technisch möglich ist
Recht auf Datenübermittlung an ein anderes C ohne Behinderung durch
aktuelles C
o Widerspruchsrecht
Wenn C „berechtigte Interessen“ als rechtmäßige Gründe verwendet, kann DS der
Verarbeitung widersprechen
Nach Widerspruch muss C zwingende schutzwürdige Gründe für die
Verarbeitung nachweisen - > ausreichend zwingend, um die Interessen, Rechte
32
und Freiheiten der betroffenen Person außer Kraft zu setzen (z. B. zur
Begründung, Ausübung oder Verteidigung von Rechtsansprüchen)
Im Zusammenhang mit der Verarbeitung für wissenschaftliche und historische
Forschungs- oder statistische Zwecke kann DS nur widersprechen, wenn die
Verarbeitung für die Erfüllung einer im öffentlichen Interesse liegenden Aufgabe nicht
als notwendig erachtet wird
o Recht, keiner automatisierten Entscheidungsfindung zu unterliegen
Gilt nur, wenn eine solche Entscheidung ausschließlich auf einer automatisierten
Verarbeitung beruht und Rechtswirkungen in Bezug auf die DS entfaltet oder diese in
ähnlicher Weise erheblich beeinträchtigt
Selbst wenn die Verarbeitung unter diesen Artikel fällt, zulässig ist, wenn dies gesetzlich
zulässig ist, für die Vorbereitung oder Ausführung eines Vertrags erforderlich ist oder
mit ausdrücklicher Zustimmung des DS erfolgt, vorausgesetzt, C hat ausreichende
Sicherheitsvorkehrungen getroffen
Sicherheit personenbezogener Daten
o Warum Sicherheit wichtig ist
(1) Sicherheitszustand oft eine Voraussetzung für die Einhaltung anderer DP-Grundsätze
(2) Schwere Fälle von Unsicherheit garantieren negative Medienberichterstattung
(3) schlechte Sicherheitskontrollen= unterschiedliche Größen- und Schadensmerkmale
im Vergleich zu anderen DP-Verstößen
Harms: Betrug und Identitätsdiebstahl
Cybersicherheit und Datensicherheit haben die Aufmerksamkeit der nationalen Führer
wegen des Schadens, den sie verursachen könnten
Spannungen zwischen Sicherheit und Recht auf Privatsphäre (nationale
Sicherheit und Strafverfolgung)
o Sicherheitsprinzip
Artikel 5Absatz 1 Buchstabe f: Integrität und Vertraulichkeit der Daten
5(2): Controller müssen in der Lage sein, Compliance nachzuweisen
Artikel 32: geeignete technische und organisatorische Maßnahmen
Cs und Ps müssen Kontrollen zum Schutz vor komplexen technologischen
Bedrohungen sowie zum Schutz vor fahrlässigen Mitarbeitern implementieren
Erfordert keine absolute Sicherheit
o Regulierungsbehörden können nicht davon ausgehen, dass ein
Betriebsausfall zu einem Rechtsausfall führt
Risikobasierter Ansatz: Risikobewertungen
o Art der zu verarbeitenden Daten
o Vernünftigerweise vorhersehbare Bedrohungen
o State-of-Art-Test
o Kostenbetrachtung
Eine allein auf Kosten basierende Maßnahme kann nicht
ausgeschlossen werden
o Best Practices der Branche (z. B. Verschlüsselung, da Industriestandards
nicht gesetzlich vorgeschrieben sind, aber die Nichtumsetzung gegen
Best Practices verstößt)
Artikel 32(4): Personen, die unter der Kontrolle von Cs und Ps stehen/für Cs und Ps
arbeiten
Vertraulichkeitsprobleme
33
Alle Menschen, die durch Arbeit Zugang zu PD haben, haben eine
Vertrauenspflicht
Insider-Bedrohung: Cs und Ps sollten robuste Richtlinien haben, die die
Mitarbeiter auf ihre Verantwortung aufmerksam machen, PD übergeben,
regelmäßige Schulungen anbieten und klare Konsequenzen für Verstöße gegen
die Richtlinien festlegen
Art 28: Auftragsverarbeiter und das Verhältnis zwischen Cs und Ps
28(3)(h): Verarbeiter müssen in der Lage sein, die Einhaltung nachzuweisen
28(1): Ablauf der Sicherheitsgrundsätze von C nach P und weiter zu Unter-Ps
Cs dürfen nur Ps verwenden, die ausreichende Garantien für die Umsetzung
geeigneter technischer und organisatorischer Maßnahmen bieten können
o Nachweis vor Vertragsunterzeichnung, Audits zur Absicherung
o Ps können nur auf Anweisung von Cs handeln, sonst riskieren Sie, ein C
zu werden!
P Pflicht zur Unterstützung von C bei der Einhaltung und Reduzierung des
Risikos
o Z. B. PD-Verletzungsbenachrichtigungen, effektive Erkennung von
Vorfällen und Reaktion
Art 30: Verantwortliche und Auftragsverarbeiter müssen Aufzeichnungen über die
Verarbeitungstätigkeiten unter ihrer Verantwortung führen
o Benachrichtigung bei Verstößen: Pflicht des Verantwortlichen zur Benachrichtigung der
Datenschutzbehörde
Transparenzmechanismus, fördert die Minderung von Verlusten und Schäden, hilft der
Gesellschaft, die Ursachen des Scheiterns zu verstehen, ermöglicht die Entwicklung von
Reaktionen, um das Risiko zukünftiger Ereignisse und deren Auswirkungen zu
minimieren
Regulierungsbehörden können eine nachteilige Prüfung anwenden (behördliche
Durchsetzungsverfahren und Entschädigungsansprüche)
Wenn die berichtende Einheit angemessene Sicherheitsmaßnahmen ergriffen
hat, werden keine weiteren Maßnahmen ergriffen
Art 4(12): muss eine tatsächliche Sicherheitsverletzung sein, die zu einem negativen
Ergebnis führt - > Risiken von Sicherheitsverletzungen zählen nicht, obwohl das
Sicherheitsprinzip selbst darauf abzielt, Risiken zu verhindern
Art 33: Benachrichtigung der Regulierungsbehörde
Auslöser: Erkennung eines PD-Verstoßes (C wird sich des Verstoßes bewusst)
o Es kann nicht vermieden werden, Maßnahmen zur Erkennung zu
ergreifen (Artikel 5(1)(f) Erfordernisse für die Sicherheit)
Verstöße, die ein Risiko für die Rechte und Freiheiten von Personen darstellen,
müssen der Datenschutzbehörde gemeldet werden
o BENACHRICHTIGUNG OHNE UNNÖTIGE VERZÖGERUNG: 72-Stunden-
Grenze
Incident Response Plan für C
Risikokonzept, das keiner Schwereschwelle unterliegt, da das Konzept der
Rechte und Freiheiten breit gefächert ist
C muss jedes Mal dokumentieren, wenn eine Datenschutzverletzung auftritt,
Aufzeichnungen für immer aufbewahren, insbesondere wenn die DPA-
Berichtsschwelle nicht erreicht wird (auch gemeldete Aufzeichnungen)
34
**Ps müssen Cs unverzüglich über Verletzungen des Schutzes
personenbezogener Daten informieren
Art 34: Kommunikation mit der betroffenen Person
Verstöße, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen
Personen darstellen, müssen die betroffenen Personen benachrichtigen
o Schweregradschwelle in Artikel 33 nicht vorhanden
o Was ist ein „hohes“ Risiko? Auswirkungen auf eine große Anzahl
betroffener Personen oder besonders große Schäden an bestimmten
Personen
Ausnahmen
o Maßnahmen, die ergriffen werden, um PD unverständlich zu machen (z.
B. durch Verschlüsselung
o C hat Schritte unternommen, um zu verhindern, dass hohe Risiken
auftreten
o Die Offenlegung von Verstößen würde einen unverhältnismäßigen
Aufwand erfordern (z. B. wenn C nicht in der Lage ist, alle von
Verstößen betroffenen Personen zu identifizieren)
Ist dies der Fall, ist eine breite öffentliche Bekanntmachung
angemessen
Regulatoren können Cs anfordern, um sich an diesen Kommunikationen zu
beteiligen
o Bereitstellung von Sicherheit
Geschäftsmitglieder müssen auf der ganzen Linie zusammenarbeiten, um die Sicherheit
zu gewährleisten: Verbinden Sie alle Facetten des Geschäfts mit Sicherheitsexperten in
der Organisation
Risikobewertung, Rechenschaftspflicht und Datenschutz durch Design
Faktoren, die bei der Gestaltung der Reaktion auf Vorfälle zu berücksichtigen sind (unter
anderem):
Bedrohungs- und Schwachstellenbewertungen
Menschliche Faktoren
Erkennung und Reaktion von Vorfällen
Erstellen Sie eine Datenzuordnung und Bestandsaufnahme, um Bereiche der
Datenerfassung und Dateneingabe genau zu bestimmen => Plotten Sie den Datenfluss
durch die Organisation bis zur Redundanz, wenn die Informationen gelöscht oder
zerstört werden
Effektives Management ist der Schlüssel: Nehmen Sie Abweichungen von Richtlinien
und anderen Vorfällen ernst
Folgen einer schwerwiegenden Sicherheitsverletzung berücksichtigen:
nachteilige Überprüfung durch Dritte
Insider-Risikobewusstsein und -minderung
Kultur des Risikobewusstseins, Respekt für PD, um gute Sicherheit zu schaffen
Zu den Schlüsselkomponenten einer guten Sicherheitskultur gehören:
o Verständnis von Personenrisiken (Risikobewertung und -minderung,
Schulung)
o Rekrutierungsprozess: Zeigen Sie auch bei Bewerbern Wert auf
Sicherheit und Vertraulichkeit
35
o Angebotsschreiben und Anstellungsvertrag: Unternehmenskultur
einbetten
o Annahme des Stellenangebots: Rekrut sollte den Rahmen für den
Datenschutz bestätigen
o Einführung: Einführungsprogramm für neue Mitarbeiter mit mehr
Schulungen
o Kontinuierliche Weiterbildung
o Angemessene Prozesse zur Bewältigung von Misserfolgen,
Disziplinarmaßnahmen
o Ende des Arbeitsverhältnisses: Rückgabe physischer Komponenten,
Sicherstellung gekündigter Zugriffsrechte und Privilegien
Sicherheitsunterlagen
Schriftliche Richtlinie, Sicherheitsregeln
Angemessenheit des Papierkrams ist eines der ersten Dinge, die die
Aufsichtsbehörden bei der Untersuchung berücksichtigen werden
o Unzureichender Papierkram kann zu einem schlechten Eindruck führen
und im Falle von Sicherheitsverletzungen und Datenverlusten den
Aufsichtsbehörden ausreichende Gründe geben, um Verstöße
festzustellen
Richtlinienbasierte Regulierung viel einfacher zu kontrollieren und zu
überwachen, billiger, schneller, effizienter
Datenschutz durch Design, DPIAs und das Rechenschaftsprinzip setzen die
Erstellung und Verteilung von Aufzeichnungen voraus
MEHRSCHICHTIGER ANSATZ: Die oberste Schicht enthält übergeordnete
Richtlinienanweisungen, die mittlere Schicht hat Kontrollen implementiert, um
Richtlinien zu erreichen, und die untere Schicht umfasst Betriebsprozesse und -
verfahren (das Warum, Was und Wie)
Stellen Sie sicher, dass Technologie-Stacks robust sind: Antivirus, Antispam, Firewalls,
Verhinderung von Datenverlust usw.
Einige Jurisdiktionen (Deutschland) haben rechtliche Anforderungen an die
Zusammenarbeit mit Betriebsräten vor dem Einsatz von Technologien
Vollständig getestet von Penetrationstestern (ethische Hacker)
Physische Umgebung: CCTV, Clean-Desk-Richtlinien usw.
Risikomanagement von Ps, Lieferanten und Lieferanten
Cs muss: (1) zuverlässige Prozessoren auswählen, (2) QC und Compliance
während der gesamten Beziehung aufrechterhalten und (3) die Beziehung in
einem Vertrag einrahmen, der die notwendigen Bestimmungen enthält, die P
dazu verpflichten, die Sicherheit aufrechtzuerhalten, nur auf Anweisung von C
zu handeln, mit C bei der Einhaltung zusammenzuarbeiten und Anforderungen
durch die Lieferkette zu kaskadieren
Führen Sie Audits durch und bewerten Sie 3D-Parteien, bevor Sie mit ihnen in
Kontakt treten
Wie sich Cs vor Compliance-Problemen nach Art 28 schützen können
o Checkliste der Probleme, die in der DD-Phase vor K zu berücksichtigen
sind
o Risikobewertung zum Verständnis von Bedrohungen und
Herausforderungen durch Outsourcing
36
o Der Vertrag sollte einen Rahmen für laufende Zusicherungen enthalten
(Audits vor Ort, Inspektionen, Tests, Periodenbewertungen der
laufenden Einhaltung)
o Reaktion auf Vorfälle
Incident Response Plan erstellen
Genehmigung durch die Geschäftsleitung (Buy-in erhalten)
Berücksichtigung antizipativer Aspekte des Vorfalls und Reaktionsaspekte der
Vorfallsreaktion
Fügen Sie Grundsätze für die Entscheidungsfindung hinzu und listen Sie auf, wer
beteiligt sein wird
Vorlagen für öffentliche Nachrichten und Kommunikationen
Benchmarking gegen Mitbewerber auf dem Markt
Analysieren, was für die Organisation und ihr Incident-Response-Team realistisch ist
Lückenanalyse, Entdeckungsübung, um herauszufinden, was bereits getan wird,
Überprüfung früherer Ereignisse auf frühere Erfolge und Misserfolge
Vorfallerkennung: Stellen Sie fest, ob die Organisation bereits kompromittiert wurde
(viele Hacker dringen ein und handeln jahrelang nicht)
Sicherstellung einer ordnungsgemäßen Klassifizierung von Vorfällen (bei falscher
Klassifizierung kann dies zu einer falschen Behandlung und Offenlegungsentscheidungen
bei Verstößen führen)
Erstellen Sie ein Playbook für den Umgang mit Vorfällen, die am
wahrscheinlichsten auftreten
Erstellen Sie einen Plan für den Umgang mit den Folgen, den Umgang mit Medien,
Strafverfolgungsbehörden, betroffenen Personen, Versicherern, Anbietern
Umgang mit der Offenlegung von Verstößen
Prozesshaltung entwickeln
Anforderungen an die Rechenschaftspflicht
o Was ändert sich im Allgemeinen
Rechenschaftspflicht bedeutet, dass die Datenschutzbehörden jederzeit einchecken
können, wenn sie die 6 DP-Grundsätze einhalten möchten (neu in der DSGVO)!
Organisationen müssen DP-Themen in ihr Geschäft und ihren Betrieb einbetten und eine
Kultur des Datenschutzes innerhalb des Unternehmens fördern
DPAs können Datenschutzstandards für effektive DP-Programme veröffentlichen
(interne und externe Richtlinien, DPOs, Audits): Wenn Sie die CNIL-Standards befolgen,
erhalten Sie ein Datenschutzsiegel
o Verantwortlichkeit des Verantwortlichen
Technische und organisatorische Maßnahmen: Art, Umfang, Kontext und Zwecke der
Verarbeitung sowie die Risiken für Rechte und Freiheiten des Einzelnen berücksichtigen
Je höher das Risiko der Verarbeitung ist (Rufschädigung, Diskriminierung,
wirtschaftliche oder soziale Benachteiligung, Entzug von Rechten und
Freiheiten), desto größer ist die von der AG geforderte Maßnahme zur
Risikominderung
Richtlinien zu haben und umzusetzen ist der einfachste Weg, um die Einhaltung der DPA
nachzuweisen (keine Richtlinie= es ist unwahrscheinlich, dass sie eingehalten wird), aber
das reicht allein nicht aus: 3 Schlüsselbereiche
Interne Richtlinien: Schlüsselthemen, die angegangen werden sollten
o Geltungsbereich: für wen und Arten von Aktivitäten, für die sie gilt
37
o Grundsatzerklärung: Verpflichtung zum PD-Schutz, Beschreibung der
Zwecke der Verarbeitung und des legitimen Geschäftszwecks
o Verantwortlichkeiten des Mitarbeiters: Was jede Rolle mit Daten tun
darf, Nutzungsbeschränkungen, zu befolgende Schritte, Sicherheits- und
Zugriffsverpflichtungen, Übertragung von PD verboten, es sei denn, es
wurden legitime Gründe festgelegt (Schritte, die Mitarbeiter vor der
Übertragung von Daten ergreifen sollten), Schulungsprogramme
Informationssicherheitsrichtlinien: Best Practices, die auf
Industriestandards (ISO 27001/2) basieren, aber nicht
erforderlich sind
o Managementverantwortlichkeiten: Entwickeln von Protokollen zur
Identifizierung und Bewältigung von Risiken, Verantwortlichkeiten
sollten den einzelnen Rollen klar zugeordnet werden
o Meldung von Vorfällen: Mitarbeiter sollten ausdrücklich verpflichtet
werden, Vorfälle von Datenschutzverletzungen sofort zu melden (Zeit ist
von entscheidender Bedeutung: 72 Stunden, um sie der
Datenschutzbehörde zu melden); einen Reaktionsplan und ein Team für
Vorfälle aufzustellen und regelmäßig zu testen
o Einhaltung der Richtlinien: Mitarbeiter, die sich nicht an die interne
Disziplin halten, das Unternehmen und die beteiligten Personen können
strafrechtlichen und zivilrechtlichen Sanktionen, Entschädigungen und
pauschaliertem Schadensersatz für Dienstleistungsverträge mit Dritten
unterliegen
Interne Zuweisung von Zuständigkeiten
o Cs müssen in der Lage sein, DP-Management-Ressourcen gegenüber
DPAs nachzuweisen
o Erleichtern Sie die Überwachung durch DPAs, ermöglichen Sie DS die
Ausübung von Rechten, ermöglichen Sie eine regelmäßige
Aktualisierung der Richtlinien
o Erstellen Sie ein Datenschutz-Management-Team oder einen Rat,
ernennen Sie den DSB
Schulung
o Interne Programme zur Information der Mitarbeiter über gesetzliche
DP-Verpflichtungen
o Erstellen Sie flexible Schulungsprogramme, die auf bestimmte Rollen
zugeschnitten sind
o Dokumentation und Überwachung der Einführung von
Schulungsprogrammen
o Data Protection by Design and Default (Integrieren Sie Sicherheitsvorkehrungen in alle
Verarbeitungen)
Privacy by Design
Einbettung von DP in Designspezifikationen neuer Systeme und Technologien
Gilt für alle Phasen eines Projekts oder Produkts, nicht nur für die Planungs- und
Ausführungsphasen neuer Entwicklungen
o Erstellen Sie Produkte mit integrierter Fähigkeit zur Verwaltung und
Erfüllung aller DSGVO-Verpflichtungen
Standardmäßiger Datenschutz
38
Durchführung geeigneter technischer und organisatorischer Maßnahmen, um
sicherzustellen, dass nur die für den jeweiligen Zweck erforderlichen PD
verarbeitet werden
Eingrenzung oder Minimierung der erhobenen Daten, stärkere Kontrolle über
den Umfang der Verarbeitung
PD darf standardmäßig nur so lange aufbewahrt werden, wie es für die
Bereitstellung des Produkts oder der Dienstleistung erforderlich ist
Explizite Verpflichtung zur Umsetzung geeigneter technischer und
organisatorischer Maßnahmen zur Erfüllung dieser Anforderung
So erfüllen Sie die Anforderungen: Berücksichtigen Sie den Stand der Technik, die
Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der
Verarbeitung sowie Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die
Rechte und Freiheiten natürlicher Personen
Arten von Techniken, die eingehalten werden müssen: Minimierung der verarbeiteten
PD, Pseudonymisierung, um DS eine bessere Kontrolle über ihre Daten zu ermöglichen
Stellen Sie sicher, dass PD einfach zu suchen und zu finden, zu korrigieren und frühzeitig
zu collagieren ist; richten Sie Systeme zum automatisierten Löschen von PD ein; stellen
Sie sicher, dass übermäßige PD zunächst nicht erfasst werden; stellen Sie sicher, dass PD
in einem gängigen, maschinenlesbaren und interoperablen Format strukturiert ist
o Dokumentation und Zusammenarbeit mit Regulierungsbehörden
DSGVO: Melde- und Registrierungspflichten abgeschafft!
Stattdessen müssen Cs detaillierte Aufzeichnungen über Verarbeitungsvorgänge
in schriftlicher Form führen, die den DPAs auf Anfrage zur Verfügung gestellt
werden
DP-Aufzeichnungen, die aufbewahrt werden müssen (ähnlich wie
Benachrichtigungsanforderungen)
Cs Name und Kontaktdaten, DPOs, Verarbeitungszwecke, Katzen von DS und PD,
Katzen von Empfängern, erwartete Übertragungen, geeignete
Sicherheitsvorkehrungen, Aufbewahrungsfristen, Sicherheitsmaßnahmen
Ds müssen Kontaktdaten, DPO, Name und Kontakt der einzelnen C P-Prozesse
für, Cats der Verarbeitungsdetails von Übertragungen und
Sicherheitsmaßnahmen, Sicherheitsmaßnahmen
Freistellung für Unternehmen mit weniger als 250 Mitarbeitern
Die Befreiung gilt nicht, wenn die Verarbeitung voraussichtlich zu einem Risiko
für die Rechte und Freiheiten von DS führt, häufig und nicht gelegentlich erfolgt
oder besondere Daten umfasst; gilt auch nicht für Daten im Zusammenhang mit
strafrechtlichen Verurteilungen und Straftaten
o Datenschutz-Folgenabschätzung (DSFA)
Unternehmen verwenden DPIA, um DP-Probleme zu identifizieren und anzugehen, die
bei der Entwicklung neuer Produkte oder Dienstleistungen oder bei der Durchführung
neuer Verarbeitungstätigkeiten auftreten können
Erforderlich gemäß DSGVO, wenn die Verarbeitungstätigkeit ein hohes Risiko für die
Rechte und Freiheiten von DS darstellen könnte; auch bevor mit riskanten PD-
Verarbeitungstätigkeiten fortgefahren wird
Wenn Risiken identifiziert wurden, ergreifen Sie geeignete Maßnahmen, um Risiken zu
vermeiden oder zumindest zu minimieren
ICO betrachtet DPIA als Best-Practice-Tool
39
Wie man feststellt, ob eine DSFA notwendig ist und wie man sie durchführt
Ist die Verarbeitung „risikoreich“?
o Systemisches und umfangreiches Profiling, das rechtliche Auswirkungen
hat oder Einzelpersonen erheblich betrifft; spezielle Katzen der PD in
großem Maßstab; systematische Überwachung eines öffentlich
zugänglichen Bereichs in großem Maßstab (z. B. Videoüberwachung und
Drohnen)
Was ist, wenn die Verarbeitung ein hohes Risiko darstellt und eine DSFA
erforderlich ist?
o Holen Sie zuerst den Rat des DSB ein
o Die DSFA muss mindestens Folgendes umfassen: systematische
Beschreibung der geplanten Verarbeitungstätigkeiten, Zwecke, legitimes
Interesse; Bewertung der Notwendigkeit und Verhältnismäßigkeit in
Bezug auf Zwecke; Bewertung der Risiken für die Rechte und Freiheiten
von Einzelpersonen; Maßnahmen zur Bewältigung der Risiken,
einschließlich Schutzmaßnahmen und Sicherheitsmaßnahmen und -
mechanismen
Was ist, wenn die Verarbeitung immer noch ein hohes Risiko birgt?
o Keine ausreichenden Maßnahmen zur Risikominderung, C muss sich vor
der Verarbeitung mit der DPA beraten (erlauben Sie den DPAs bis zu 8
Wochen, um eine Überweisung in Betracht zu ziehen)
o Datenschutzbeauftragter
Formal anerkannt, aber nicht erforderlich
Erforderlich, wenn: die behördliche Verarbeitung, Kerntätigkeiten eine regelmäßige und
systematische Überwachung von Personen in großem Umfang oder die Verarbeitung
besonderer Kategorien personenbezogener Daten in großem Umfang sind
Kernaktivitäten: Schlüsseloperationen, die notwendig sind, um die Ziele von C
oder P zu erreichen, DP ist ein untrennbarer Bestandteil der Aktivitäten von C
oder P
Große Faktoren: Anzahl der betroffenen DS, Datenvolumen, Umfang der
Datenelemente, Dauer oder Dauer, geografische Ausdehnung
Regelmäßiges und systematisches Monitoring: alle Formen des
internetbasierten Trackings und Profiling
o Regelmäßig: laufend oder in bestimmten Abständen für einen
bestimmten Zeitraum, wiederkehrend oder wiederholt, ständig oder
periodisch
o Systematisch: nach einem System, vorab arrangiert, organisiert oder
methodisch, Teil der allgemeinen Ebene für die Datenerhebung,
durchgeführt im Rahmen der Strategie
Der DSB muss ernannt werden, wenn dies nach MS-Recht erforderlich ist (Deutschland=
mindestens 9 Beschäftigte in der automatisierten Verarbeitung von PD oder mindestens
20 Personen in der nicht automatisierten Verarbeitung)
Frankreich: keine Anforderung, aber potenzielle Vorteile für Unternehmen mit
DSB
Konzernweite Termine erlaubt: DSB muss für jedes Unternehmen leicht zugänglich sein
40
Rolle des DSB: ordnungsgemäß und zeitnah in alle Angelegenheiten einbezogen, die sich
auf den Schutz der PD beziehen; unabhängig arbeiten (kann andere Rollen haben, die
keinen Interessenkonflikt verursachen); keine Begrenzung der Amtszeit
Muss eine direkte Berichtslinie zur höchsten Managementebene des Unternehmens
haben und Zugang zu den Datenverarbeitungsvorgängen des Unternehmens haben
Ausreichende technische Kenntnisse und Fachkenntnisse erforderlich, ernannt auf der
Grundlage von Erfahrungen und Fähigkeiten auf dem Gebiet des Datenschutzes
Muss in der Lage sein: das Unternehmen über Verpflichtungen im Zusammenhang mit
der DSGVO zu informieren und zu beraten, die Einhaltung der DSGVO und der
Unternehmensrichtlinien zu überwachen, zu DPIAs zu beraten, mit DPA
zusammenzuarbeiten und als Ansprechpartner für DPAs zu fungieren
Kann ein Mitarbeiter des Unternehmens oder ein dritter Dienstleister sein
o Sonstige Maßnahmen: BCRs-> gewährleistet ein gleich hohes Schutzniveau der PD, das von allen
Mitgliedern einer Gruppe mit einem einzigen Satz verbindlicher und durchsetzbarer Regeln
eingehalten wird
Goldstandard, denn um sie zu erreichen, müssen Unternehmen bei der Beantragung bei
DPA einen Rahmen für die Einhaltung der Datenschutzbestimmungen nachweisen; DPA
überwacht auch die laufende Einhaltung
Internationale Datenübermittlungen (Länder und internationale Organisationen)
o Transfers beinhalten keinen Transit, müssen die Verarbeitung außerhalb des EWR beinhalten
Technisches Routing, wie E-Mail und Webseiten, kann zufällige Datenbewegungen auf
der ganzen Welt während des Transports beinhalten
Der elektronische Zugriff auf personenbezogene Daten durch Reisende, die sich für
kurze Zeit physisch an einem anderen Ort aufhalten, zählt nicht
o Überweisungen nur unter 1 von 3 Bedingungen
(1) Angemessenes Schutzniveau pro Land (wie von der EU-Kommission anerkannt, mit
regelmäßigen Überprüfungen der Angemessenheit alle 4 Jahre)
Das Land befolgt die Rechtsstaatlichkeit, schützt die Menschenrechte, verfügt
über Rechtsvorschriften zum Schutz der Datenverarbeitung (einschließlich
Rechtsvorschriften über Übermittlungen) und verfügt über wirksame
administrative und gerichtliche Rechtsbehelfe für betroffene Personen, deren
Daten übermittelt werden
Unabhängige Aufsichtsbehörden einschließlich angemessener
Durchsetzungsbefugnisse UND
Internationale Verpflichtungen, die ein Drittland oder ein IO in Bezug auf den
Schutz personenbezogener Daten eingegangen ist, werden berücksichtigt
**11 Länder und Gebiete, die derzeit anerkannt sind
(2) C oder P angemessene Garantien mit durchsetzbaren Betroffenenrechten und
wirksamen Rechtsbehelfen vorsieht, oder
(3) Die Übertragung passt in eine der Ausnahmeregelungen für bestimmte Situationen
o EU-Recht extraterritorial angewandt
Große multinationale Unternehmen müssen das EU-Recht in allen ihren Verarbeitungen
weltweit anwenden
o USA
Safe Harbor
Bereitstellung einer Angemessenheitsentscheidung für Organisationen zur
Anmeldung und Selbstzertifizierung für EU-US-Transfers
41
o Die Parteien führten keine jährlichen Compliance-Prüfungen durch, und
FC erzwang keine
Snowden-Enthüllungen zeigten, dass Safe Harbor unwirksam ist
o Wollte den Datentransfer zwischen den USA und der EU für den
internationalen Handel sowie für die Strafverfolgung und die nationale
Sicherheit nicht aussetzen: begann, andere Mechanismen zu
untersuchen („Wiederherstellung des Vertrauens in den Datenfluss
zwischen der EU und den USA“)
o Schrems I: EuGH annulliert Safe Harbor
Privacy Shield
4 allgemeine Prioritäten der Kommission: (1) Transparenz, (2) Rechtsbehelfe, (3)
Durchsetzung, (4) Zugang zu Daten durch US-Behörden
o Knackpunkt für die USA: Die nationale Sicherheitsausnahme war nur
anzuwenden, wenn sie unbedingt notwendig und verhältnismäßig nach
EG
7 Grundsätze: (1) Hinweis, (2) Auswahl, (3) Rechenschaftspflicht, (4) Sicherheit,
(5) Datenintegrität und Zweckbeschränkung, (6) Zugriff und (7) Rückgriff,
Durchsetzung und Haftung
Detailliertere Dokumentation als Safe Harbor, höhere Standards eingeführt
o Zusicherungen, die den Zugang von US-Government-Agenturen, Checks
and Balances einschränken
WP29 Stellungnahme betrifft: keine wichtigen DP-Grundsätze aus dem EU-
Recht, kein Schutz für die Weiterleitung von Daten, Rechtsbehelfsmechanismus
für Einzelpersonen zu komplex, Dokumentation schloss
massive/unterschiedslose Datenerhebung durch US-Geheimdienste nicht aus,
neue Ombudsperson nicht ausreichend unabhängig oder mächtig
US-Unternehmen, die FTC oder DOT unterliegen, können beitreten, indem sie
eine Online-Registrierung bei DOC einreichen (gilt nicht für Banken oder
Telekommunikationsunternehmen!!)
o PS-Unternehmen unternehmen bestimmte Schritte, um die Einhaltung
nachzuweisen, einschließlich (1) interner Compliance-Bewertungen, (2)
Registrierung bei einem Drittanbieter für Schiedsverfahren und (3) Annahme
des Datenschutzschild-Hinweises und Online-Veröffentlichung
o Bereitstellung angemessener Sicherheitsvorkehrungen
Musterklauseln
C bis C oder C bis P
Vorab von der Kommission genehmigt, bei der DPA hinterlegt
o DPAs können auch ihre eigenen SCCs übernehmen oder Ad-hoc-
Verträge genehmigen, die ihnen von den Parteien für Übertragungen
vorgelegt werden (bietet mehr Flexibilität, ermöglicht realistischere
Vertragsverpflichtungen, gegen die sie mit geringerer
Wahrscheinlichkeit verstoßen)
Verhaltenskodizes und Zertifizierung: Neue Idee mit DSGVO
Binding Corporate Rules: jetzt ausdrücklich in DSGVO
Höhere Standards, legitimiert alle Transfers innerhalb des Unternehmens als
angemessen
42
o Muss bei den Datenschutzbehörden eingereicht und von diesen
genehmigt werden
o Kosteneffektiv für große multinationale Unternehmen
Multinationale Organisationen erstellen und befolgen dies freiwillig, und die
nationalen Regulierungsbehörden genehmigen dies in Übereinstimmung mit
ihren eigenen Gesetzen
DPAs müssen nach dem Konsistenzmechanismus genehmigen
Der vollständige Satz von BCRs muss Folgendes enthalten:
o Aufbau und Kontaktdaten der Unternehmensgruppe und der Mitglieder
o Datenübermittlungen (Kategorien, Art der Verarbeitung, Zwecke, Art
der betroffenen Personen, ID Drittland oder Drittländer
o Rechtsverbindlichkeit
o Anwendung allgemeiner DP-Grundsätze (Art. 5)
o Rechte der betroffenen Personen und Mittel zur Ausübung dieser
Rechte
o Annahme der Haftung für Verstöße gegen die BCR durch ein nicht in der
EU niedergelassenes betroffenes Mitglied durch C oder P, die im
Hoheitsgebiet eines Mitgliedstaats niedergelassen sind
o Wie Informationen über BCR den betroffenen Personen zur Verfügung
gestellt werden
o Aufgaben des DSB
o Beschwerdeverfahren
o Mechanismus zur Überprüfung der Einhaltung der BCR
o Mechanismen zur Meldung und Erfassung von Regeländerungen
o Kooperationsmechanismus mit DPA
o Mechanismen für die Berichterstattung an die DPA über rechtliche
Anforderungen, denen ein Mitglied der Unternehmensgruppe in einem
Drittland unterliegt und die sich erheblich nachteilig auf die in der BCR
enthaltenen Garantien auswirken können
o Angemessene Schulung des Personals, das Kontakt mit Daten hat
Ausnahmeregelungen
Einwilligung: explizit, spezifisch und informiert (auch über mögliche Risiken
informiert)
Vertragserfüllung
o Die Übertragung kann erfolgen, wenn dies für die Vertragserfüllung
erforderlich ist (z. B. Kaufvertrag)
o Auf Wunsch des Einzelnen oder in seinem Interesse abgeschlossener
Vertrag
o Kann Arbeitsverträge beantragen, aber beurteilen, ob die Übertragung
aufgrund der gelieferten Waren und Dienstleistungen erforderlich ist,
nicht aufgrund der Organisationswahl des Exporteurs
Öffentliches Interesse: Kriminalprävention, nationale Sicherheit,
Steuererhebung
Rechtsansprüche
Lebenswichtige Interessen: Leben oder Tod (in der Regel Krankenakten)
Öffentliche Register: Wenn Informationen verfügbar sind, können Auszüge
übertragen werden
43
Nicht wiederholte Übermittlungen: begrenzte Anzahl von betroffenen Personen,
die für die Zwecke zwingender berechtigter Interessen des C erforderlich sind,
wenn sie nicht durch die Interessen oder Rechte und Freiheiten der betroffenen
Person außer Kraft gesetzt werden
o +C muss auch geeignete Sicherheitsvorkehrungen zum Schutz von PD
o C muss Aufsichtsbehörde und betroffene Person über die Übermittlung
und die zwingenden berechtigten Interessen informieren
Aufsicht und Durchsetzung
o Im Zusammenhang mit der Rechenschaftspflicht
o Selbstregulierung
Nachweisliche Einhaltung der DP-Grundsätze, Ernennung des DPO und verstärkte
Fokussierung auf Verhaltenskodizes und Zertifizierung= Methoden der Selbstregulierung
Cs haben regulatorische Funktionen über ihre Ps, Ps über Sub-Ps, schafft Aufsicht und
Durchsetzung
Vorvertragliche DD, Vertragsschluss, nachvertragliche Anforderungen
Cs, von denen erwartet wird, dass sie Risiken identifizieren und dann gesendet werden,
um sie zu adressieren
Nachweisbarer Nachweis der Konformität durch Tests und ähnliche Aktivitäten,
einschließlich Tests im Rahmen der Geschäftstätigkeit
Meldung von PD-Verstößen an DPAs und manchmal an Einzelpersonen: Abschreckung
ist der Schlüssel zur Durchsetzung
Wirksame, verhältnismäßige und abschreckende Verwaltungsstrafen
DPIAs bei der Verarbeitung, die wahrscheinlich zu einem hohen Risiko für die Rechte
und Freiheiten von Personen führen
DSBs: klare Aufsichts- und Durchsetzungsposition, kündigungsfrei, eher quasi-DPA als
Mitarbeiter-> Kooperationspflicht mit DPA und Erweiterung der Regulierungsbehörde
Verhaltenskodizes, Zertifikate und Siegel: Branchenmitarbeiter können Codes und
Zertifizierungen erstellen, Cs und Ps müssen sich verpflichten, diese zu beantragen, und
sollten auf Einhaltung überwacht werden
Vertretungsorgane können DPA Entwürfe von Codes zur Genehmigung vorlegen
*** Konsistenzmechanismus, wenn Entwurfscode mindestens 2 MS betrifft
Die Überwachungsstellen müssen Unabhängigkeit, Fachwissen und
Konfliktvermeidung nachweisen; über Verfahren zur Ausstellung, Überprüfung
und gegebenenfalls zum Widerruf von Siegeln und Marken sowie über
Verfahren zum Umgang mit Konformisten verfügen
Cs und Ps können in schweren Fällen von der DPA wegen Verstoßes gegen die
Anforderungen des Codes mit einer Geldstrafe belegt werden
DPAs können die Akkreditierung der Überwachungsstelle widerrufen
o Regulierung durch den Bürger
Die Bürger haben das Muss der nichtlegislativen Änderung der PD-Gesetze getrieben
(siehe: Google v. Spanien und Recht auf Vergessenwerden)
Zivilgesellschaftliche Organisationen (CSOs) haben auch Macht in Rechtsstreitigkeiten
Primäres Risiko einer nachteiligen Prüfung von Bürgern als Prozessparteien und nicht als
DPAs
Rechte der betroffenen Person
44
Recht auf Transparenz, Datenzugriff, Berichtigung, Löschung, Einschränkung der
Verarbeitung, Datenübertragbarkeit, Widerspruch, Benachrichtigung über
schwerwiegende Datenschutzverletzungen
**Keine Anforderung, dass DS Rechte gegen C verfolgt, bevor Beschwerden und
Rechtsmittel vor Datenschutzbehörden oder Gerichten eingelegt werden! In
vielen Fällen bieten Rechte keinen direkten und offensichtlichen Weg zum
Controller (siehe: DP-Grundsätze, wie Vertraulichkeit)
Rechtsbehelfe bei Pflichtverletzung
Beschwerden an DPAs oder Gerichte weiterleiten, diese Rechtsmittel und
gleichzeitig mit dem C verfolgen
Der Rückgriff auf DPAs für Abhilfemaßnahmen ist die risikoarme Option
Einzelpersonen können jederzeit Rechtsmittel vor dem Heimatgericht oder der
Datenschutzbehörde einlegen, unabhängig vom Ort der Niederlassung in C oder
P
Sammel-/Vertretungsklagen
DSGVO-Sammelklagerecht nach Artikel 80
Einzelpersonen können sich dafür entscheiden, von gemeinnützigen
Organisationen (CSO), Befürwortern des Datenschutzes oder Interessengruppen
unterstützt zu werden: können im Namen einer oder vieler handeln
o MS kann Organisationen Befugnisse unabhängig von Mandaten von
Einzelpersonen geben
Haftungs- und Entschädigungsansprüche
DS kann Schadensersatzansprüche geltend machen, wenn ein Schaden b/c der
Nichteinhaltung
Cs und Ds können behaupten, nicht für ein Ereignis verantwortlich zu sein, das
zu einem Schaden als Verteidigung geführt hat
o Wenn mehrere Parteien ein Verschulden haben, kann jeder einzelne C
oder P, der für einen Schaden verantwortlich ist, für den gesamten
Schaden haftbar gemacht werden - > dann kann die entschädigende
Partei Entschädigung von anderen Cs und Ps verlangen
Was bedeutet Schaden? Finanzieller Verlust, vielleicht Notlage oder
immaterieller Schaden
o "Sachschaden" bedeutet eindeutig Not
Regulierung der Regulierungsbehörden
Wenn eine Person eine Beschwerde bei der DPA einreicht, aber nicht behandelt
wird, oder wenn sie 3 Monate lang nichts hört, kann sie vor Gerichten gegen die
DPA vorgehen, um das Problem zu erzwingen
o So ist Schrems I gegen die irische DPA vorgegangen
Hauptzweck ist es, Einsprüche gegen DPA-Korrekturmaßnahmen zu ermöglichen
o Einzelpersonen können auch gegen DPAs vorgehen, von denen sie
glauben, dass sie nicht die richtigen Korrekturmaßnahmen ergriffen
haben oder bei der Sanktionierung zu nachsichtig waren
o Verwaltungsaufsicht und Durchsetzung
DPAs sind die einzigen Stellen, die mit administrativen Aufsichts- und
Durchsetzungsbefugnissen (CNIL, ICO, AEPD) ausgestattet sind: Alle EU-Länder haben
bereits DPAs
45
MS müssen unabhängige Behörden benennen, um die Umsetzung der DSGVO zu
überwachen, in völliger Unabhängigkeit zu handeln und über ausreichende Fähigkeiten
und Ressourcen zu verfügen
Konsultationspflicht, geben Sie den Regulierungsbehörden Einfluss auf die
gesetzgeberische Agenda, beauftragen und befähigen Sie die Datenschutzbehörden,
ihre Parlamente und Regierungen zu DP zu beraten und zu beraten
DPA-Aufgaben
Sensibilisierung und Verständnis für DP fördern
Reklamationen bearbeiten und Untersuchungen durchführen
Unterstützung der konsistenten Anwendung der DSGVO auf internationaler
Ebene durch Anwendung des Konsistenzmechanismus
Überwachung der Entwicklung von Informations- und
Kommunikationstechnologien und Geschäftspraktiken
Empfangen und Behandeln von Beschwerden: Bürger haben den meisten
täglichen Kontakt mit Cs, sind also am besten in der Lage, die Compliance
tatsächlich zu beeinflussen; Bürger brauchen einen offiziellen Champion, dh die
DPA
DPIAs: DPAs veröffentlichen Listen von Situationen, in denen DPIAs
durchgeführt werden sollten und wo nicht erforderlich; Cs müssen sich auch mit
DAPs beraten, wenn DPIA anzeigt, dass Aktivitäten zu einem hohen Risiko für
die Rechte und Freiheiten von Einzelpersonen führen würden
Codes, Zertifikate, Siegel und Zeichen: Förderung der Entwicklung, Abgabe von
Stellungnahmen zu Entwürfen von Codes, Änderungen oder Erweiterungen
(unabhängig davon, ob sie der DSGVO entsprechen), Genehmigung von
Entwürfen von Codes usw., wenn sie ausreichende Garantien bieten, Entzug von
Zertifikaten, wenn Anforderungen nicht mehr erfüllt werden
SCCs und BCRs genehmigen: können auch eigene SCCs erstellen und eindeutige
Verträge für Übertragungen genehmigen
Aufzeichnungen über Verstöße und ergriffene Maßnahmen: Die DSGVO verlangt
diese Aufzeichnung, die in vielen Mitgliedstaaten bereits gängige Praxis ist
DPAs können DS oder DPOs nicht für ihre Dienstleistungen belasten, können
aber Admin-Kosten für offensichtlich unbegründete oder übermäßige Anfragen
zurückfordern
Tätigkeitsberichte: Regulierung muss transparent durchgeführt werden, um das
Vertrauen in das Regulierungssystem zu fördern und der Gesellschaft einen
kritischen Einblick in Trends und Entwicklungen innerhalb der Regulierung zu
geben
Befugnisse des Regulierers
Ermittlungsbefugnisse: Zugriff auf alle erforderlichen Beweise, Materialien und
Einrichtungen, um Aufgaben ausführen zu können, sowie Mechanismen, um
Ermittlungen einzuleiten, Cs und Ps über mutmaßliche Verstöße zu informieren
o DPAs können Zugang zu allen relevanten Dokumenten erhalten, die von
der untersuchten Organisation aufbewahrt werden, einschließlich
Unterlagen, Berichten und Auditberichten von Drittanbietern (sofern nicht
privilegiert)
o DPAs können betriebliche Überprüfungen durchführen
46
Korrekturbefugnisse: Aktivieren Sie Datenschutzbehörden, um Cs und Ps vor
zweifelhaften Verarbeitungstätigkeiten zu warnen, finanzielle Sanktionen zu
verhängen und Cs und Ps anzuweisen, die Datenverarbeitung einzustellen
Genehmigungs- und Beratungsbefugnisse: Codes, Zertifizierungen, Siegel und
Zeichen
Rechtsstreitigkeiten durch Aufsichtsbehörden: DPAs müssen in der Lage sein, die
Einhaltung durch Gerichte zu erzwingen
Schutz von Cs und Ps vor überstürzten regulatorischen Maßnahmen: Natürliche und
juristische Personen, die von DPA-Entscheidungen betroffen sind, können rechtliche
Schritte einleiten, um ihre Positionen zu schützen
Verpflichtung des Berufsgeheimnisses auf DPAs und ihre Mitarbeiter mit vertraulichen
Informationen, auf die sie zugreifen
o Kompetenz und internationale Zusammenarbeit
Wer ist befugt, die behördliche Aufsicht und Durchsetzung durchzusetzen?
Kompetenz
Datenschutzbehörden können im Hoheitsgebiet ihres eigenen Mitgliedstaats
tätig werden
DPAs können in ihrem Hoheitsgebiet niedergelassene Cs und Ps regulieren
Wenn C oder P in mehreren Gebieten ansässig sind oder eine
grenzüberschreitende Verarbeitung stattfindet, ist die federführende Behörde
zuständig
o "Hauptniederlassung" von C oder P gilt: wenn die Entscheidungsfindung
für die Verarbeitung personenbezogener Daten erfolgt, in der Regel in
der Zentralverwaltung (wenn die Entscheidungsfindung jedoch an
einem anderen Ort erfolgt, befindet sich die Hauptniederlassung dort)
o Leitende Behörde zur Regelung von Situationen der
grenzüberschreitenden Verarbeitung erforderlich
Unternehmen, die in nur einem Mitgliedstaat ansässig sind,
können weiterhin grenzüberschreitende Verarbeitungen
durchführen
Die federführende Behörde ist der einzige Ansprechpartner für
diese grenzüberschreitende Verarbeitung
o Nicht federführende Behörden können in grenzüberschreitenden
Situationen tätig werden, in denen sich die Beschwerde (1) nur auf ihr
Hoheitsgebiet bezieht oder (2) wenn sie Personen nur in ihrem
Hoheitsgebiet erheblich betrifft
DPA, die Kompetenz geltend macht, muss die federführende
Behörde benachrichtigen (kann einen Kompetenzkampf
auslösen)
Wenn die federführende Behörde die Geltendmachung
der Zuständigkeit anderer DPA ablehnt und die
Angelegenheit selbst aufgreift, ist das Verfahren in Art.
60 Abs.
Wenn die federführende Behörde die
Kompetenzbehauptung einer anderen DPA akzeptiert,
kann die zweite DPA vorbehaltlich der Regeln über
47
gegenseitige Amtshilfe und gemeinsame Operationen
fortfahren
o Streitigkeiten und Anfechtungen über Kompetenzen, die
höchstwahrscheinlich auf eine Beschwerde einer Person zurückzuführen
sind: kann sich bei der DPA in MS über ihren gewöhnlichen Aufenthalt,
ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes
beschweren
Kooperation
Die Lead Authority-Regel gilt nur für die grenzüberschreitende Verarbeitung:
Wenn sie ins Spiel kommt, gelten die Kooperationsverfahren des Artikels 60
o Beginnt in der Regel mit einem Ersuchen um gegenseitige Unterstützung
und gemeinsame Operationen, kann aber auch mit einem nicht
federführenden DPA beginnen, der seine Kompetenz geltend macht
Lead DPA liefert Entscheidungsentwurf an andere betroffene DPAs
o Könnte Kommentare, einen begründeten Einwand oder eine einfache
Vereinbarung auslösen
o Bei begründetem Einspruch kann die federführende Behörde den
Einspruch annehmen oder ablehnen
Wenn akzeptiert, erlässt er einen überarbeiteten
Entscheidungsentwurf, den andere Datenschutzbehörden
akzeptieren oder weitere begründete Einwände erheben
können
Wenn weitere begründete Einwände erhoben werden,
wird der Zyklus fortgesetzt, bis die Sackgasse
aufgebrochen ist (kann mit Überweisung an den EDPB
erfolgen)
Bei Ablehnung muss die federführende Behörde den
Konsistenzmechanismus befolgen
o Wenn keine Einwände erhoben werden, sind die federführende
Behörde und andere DPA in Übereinstimmung mit dem
Entscheidungsentwurf verbindlich
Wenn der Entscheidungsentwurf angenommen wird, nimmt die
federführende Behörde ihn an und benachrichtigt C oder P in
der Hauptniederlassung, die anderen betroffenen
Datenschutzbehörden und den EDSA
Wenn eine Beschwerde von einer Einzelperson an eine nicht
leitende DPA ausgelöst wird, sollte die zuständige DPA den
Beschwerdeführer über das Ergebnis informieren
Lastenverlagerung auf C oder P, um Compliance zu
gewährleisten, einschließlich der Berichterstattung an die
federführende Behörde, wie dies erreicht wird
o **Artikel 60 enthält einen Zeitplan für diese Schlüsselereignisse
Gegenseitige Amtshilfe: Mandat der Zusammenarbeit und des
Informationsaustauschs
o Die Datenschutzbehörden müssen geeignete Maßnahmen ergreifen, um
unverzüglich Hilfe zu leisten (einmonatiger Stopp)
48
o Die Datenschutzbehörde muss Anfragen nachkommen, es sei denn, sie
ist nicht befugt, Unterstützung zu leisten oder muss Rechtswidrigkeiten
vermeiden
o Wenn die empfangende DPA innerhalb eines Monats keine
Unterstützung leistet, kann die beantragende DPA eine vorläufige
Maßnahme ergreifen, die ein Dringlichkeitsverfahren auslöst
Gemeinsame Operationen: Entwickelt, um sicherzustellen, dass alle betroffenen
Datenschutzbehörden bei Aufsichts- und Durchsetzungsarbeiten
ordnungsgemäß vertreten sind
o Wenn Cs und Ps in mehreren Gebieten ansässig sind oder die
Verarbeitung eine erhebliche Anzahl von Personen in mehreren
Gebieten betrifft, haben alle betroffenen DPAs das Recht, an einer
gemeinsamen Operation teilzunehmen
o Die zuständige Behörde ist verpflichtet, andere Datenschutzbehörden
zur Teilnahme einzuladen
Konsistenzmechanismus
EDPB: Nachfolger von WP29
Stellungnahmen des EDSA
o Der EDSA muss Stellungnahmen zu den Listen der Umstände abgeben,
unter denen DPIAs erforderlich sind, zur Annahme vorgeschlagener
Codes, die mehrere MS betreffen, zu den Kriterien für die
Akkreditierung von Überwachungs- und Zertifizierungsstellen, von der
DPA genehmigten SCCs und BCR-Zulassungen
Stellungnahmen, die abgegeben werden, nachdem die
Datenschutzbehörden ihre erste Arbeit geleistet haben
Jede DPA, jeder EDPB-Vorsitzende oder die Kommission kann
Stellungnahmen zu Fragen von allgemeiner Geltung oder mit
Auswirkungen auf mehrere MS anfordern
Streitbeilegung durch EDPB
o Wesentlicher Teil des Kohärenzmechanismus, der ausgelöst wird, wenn
die federführende Behörde begründete Einwände gegen den Entwurf
einer Entscheidung über die grenzüberschreitende Verarbeitung
ablehnt, wenn es zwischen den Datenschutzbehörden zu Streitigkeiten
darüber kommt, wer für eine Hauptniederlassung zuständig ist, oder
wenn die Datenschutzbehörde ihre Entscheidungen (oben) nicht an den
EDPB verweist
o Ergebnis= Erlass eines verbindlichen Beschlusses
Wenn es sich um einen Entscheidungsentwurf handelt, ist die
federführende Behörde oder eine andere DPA verpflichtet, eine
endgültige Entscheidung auf der Grundlage einer verbindlichen
Entscheidung zu treffen
Dringlichkeitsverfahren
o Außergewöhnliche Umstände, in denen die Datenschutzbehörde
dringend Maßnahmen ergreifen sollte, um die Rechte und Freiheiten
des Einzelnen zu schützen
49
Wenn die Dringlichkeit groß genug ist, reicht die Zeit
möglicherweise nicht aus, um die Zusammenarbeit oder den
Konsistenzmechanismus fortzusetzen
Die Datenschutzbehörde kann sofort vorläufige Maßnahmen
ergreifen, die einer dreimonatigen Lebensdauer unterliegen und
von der Datenschutzbehörde mit Gründen an andere
Datenschutzbehörden, die in dieser Angelegenheit Bedenken
haben, an den EDSA und an die Kommission überwiesen werden
müssen
Nach Ablauf von 3 Monaten erlöschen die vorläufigen
Maßnahmen, es sei denn, die DPA ist der Ansicht, dass
die endgültige Maßnahme dringend ergriffen werden
muss. In diesem Fall kann sie den EDSA um eine
dringende Stellungnahme oder eine dringende
verbindliche Entscheidung ersuchen
o Sanktionen und Strafen
Bußgelder aufgrund der Art der Zuwiderhandlung und des Status des Unternehmens,
gegen das eine Geldbuße verhängt wurde (Nichtunternehmen: Behörden,
Organisationen, die keine Wirtschaftstätigkeit ausüben; gegenüber Unternehmen:
Unternehmen)
Stufe 1
o Verstöße: Einwilligung von Kindern, Datenschutz durch Design und
Standard, Beauftragung von Ps durch Cs, Aufzeichnungen über die
Verarbeitung, Zusammenarbeit mit Aufsichtsbehörden, Sicherheit,
Benachrichtigung über Verstöße, DPIAs, DOPs, Codes und
Zertifizierungen
o Bis zu 10 MIO. € oder 2% des gesamten weltweiten Jahresumsatzes im
Vorjahr
Stufe 2
o Zuwiderhandlungen: Datenschutzgrundsätze, Rechtmäßigkeit der
Verarbeitung, Einwilligung, Verarbeitung besonderer Datenkategorien,
DS-Rechte, internationale Übermittlungen, Nichteinhaltung der
Untersuchungs- und Berichtigungsbefugnisse der Datenschutzbehörden
o Bis zu 20 MIO. € oder 4 % des gesamten weltweiten Jahresumsatzes im
Vorjahr
Faktoren, die vor der Verhängung von Bußgeldern zu berücksichtigen sind
Wirksam, verhältnismäßig und abschreckend
Auf schwerwiegende Verstöße gegen die DSGVO kann mehrfach reagiert
werden
Der Gesamtbetrag der Geldbuße darf den für den schwersten Verstoß
angegebenen Betrag nicht überschreiten
Artikel 83(2) Faktoren:
o Art, Schwere und Dauer des Verstoßes, Art, Umfang oder Zweck der
betreffenden Verarbeitung, Anzahl der betroffenen DS, Schadenshöhe
o Vorsätzliche oder fahrlässige Zuwiderhandlung
o Maßnahmen zur Minderung von DS-Schäden
50
o Verantwortlichkeitsgrad unter Berücksichtigung technischer und
organisatorischer Maßnahmen
o Frühere Verstöße
o Grad der Zusammenarbeit mit DPA
o Kategorien der betroffenen PD
o Ob die DPA von einem Verstoß in Kenntnis gesetzt wurde
o Einhaltung der zuvor gegen Cs und Ps angeordneten Maßnahmen
o Einhaltung genehmigter Verhaltenskodizes
o Alle anderen erschwerenden oder mildernden Faktoren
Unternehmen: ein Unternehmen, das eine gewerbliche Tätigkeit ausübt (Unternehmen)
Behörden und nicht eingetragene assoziierte Unternehmen sind keine
Unternehmen
Die Mitgliedstaaten können die Behörden vollständig aus den
Bußgeldregelungen herausnehmen
Unternehmen ist eine einzige Einheit, erörtert keine Unternehmensgruppen
o ***Unternehmensteil der Unternehmensgruppe kann nur mit einem
Prozentsatz des Umsatzes des einzelnen Unternehmens bestraft
werden, nicht mit dem Umsatz der Gruppe
o Richtlinie zum Datenschutz bei der Strafverfolgung: Spiegelüberwachung und
Durchsetzungsregelung, es sei denn, es fehlt ein Konzept der federführenden Behörde (und
damit verbundene Kooperations- und Kohärenzmechanismen) und finanzielle Sanktionen
Abschnitt III: Einhaltung des europäischen Datenschutzrechts und der europäischen Datenschutzverordnung
Arbeitsverhältnisse
o Kniffliger Bereich, weil Schnittmenge von Datenschutz und Arbeitsrecht
Rücksprache mit dem zuständigen Arbeitsrecht und den Betriebsräten halten
Die Vorschriften der Mitgliedstaaten für die PD des Mitarbeiters umfassen Maßnahmen
zur Wahrung der Menschenwürde, der legitimen Interessen und der Grundrechte von
DS in Bezug auf die Transparenz der Verarbeitung und Übermittlung sowie die
Überwachung und Kontrolle
Mitarbeiter müssen das Recht haben, auf ihre personenbezogenen Daten zuzugreifen
o Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Mitarbeitern
Einwilligung
Muss frei gegeben werden, unter Beschäftigungsbedingungen schwer zu sagen,
da ungleichmäßige Leistung
o Keine gute Basis für Arbeitgeber, auf die sie sich verlassen können
Manchmal schreibt das lokale Recht vor, dass unter diesen
Umständen keine Einwilligung erteilt werden kann
Die Einwilligung sollte nicht geltend gemacht werden, es sei
denn, der Widerruf der Einwilligung wäre für die
Rechtmäßigkeit der Verarbeitung nicht problematisch oder der
Beschäftigung des Mitarbeiters abträglich
Frei gegeben, spezifisch, informiert und eindeutig
Kann die Einwilligung widerrufen, ohne Nachteile zu erleiden
Einige EU-Länder benötigen eine schriftliche Zustimmung
Erfüllung des Arbeitsvertrages
Zum Beispiel, um Mitarbeiter zu bezahlen (Name und Bankverbindung)
51
Erforderlich zur Einhaltung (EU-) gesetzlicher Verpflichtungen (z. B. Steuern)
Berechtigte Interessen des Arbeitgebers
Wenn der Arbeitgeber beispielsweise strukturelle Systeme ändert, um
Mitarbeiterdaten von einem alten Gehaltsabrechnungssystem in ein neues zu
migrieren, handelt es sich um die Verarbeitung eines legitimen Interesses
Behörden können sich auf diesen Grund überhaupt nicht berufen
o Sensible Mitarbeiterdaten
Wenn diese Daten verarbeitet werden, sollte sich der Arbeitgeber innerhalb einer
Ausnahme nach Artikel 9 befinden
Beinhaltet Zustimmung, sollte aber das letzte Mittel des Arbeitgebers sein
In einigen Gerichtsbarkeiten hängt der Umfang, in dem sensible Mitarbeiterdaten
verarbeitet werden können, vom begleitenden Arbeits- oder Arbeitsrecht ab
Z.B. in Portugal muss die Genehmigung von DPA eingeholt werden
Kann zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
sein (z. B. Anspruch auf rechtswidrige Kündigung, Diskriminierung)
o Mitteilung zur Verarbeitung
Arbeitgeber müssen über die Verarbeitung von Daten, Zwecke, Kontaktpersonen und
die DS-Rechte informieren
Kann mit einem Mitarbeiterhandbuch oder einem spezifischen
Benachrichtigungsdokument durchgeführt werden
Mitarbeiter müssen benachrichtigt werden, wenn ein neuer Zweck entsteht
Der Hinweis muss im Detail die Rechtsgrundlage angeben, was die legitimen Interessen
sind (falls verwendet), Empfänger von Daten, wohin die Daten übertragen werden und
wie lange sie aufbewahrt werden
o Aufbewahrung von Personalakten
Sollte nicht länger als nötig beibehalten werden, obwohl die gesamte Beschäftigung
normal ist, wahrscheinlich aus einem legitimen Grund geschützt
Nach der Beschäftigung benötigen Sie möglicherweise Aufzeichnungen zur Einhaltung
des Gesellschaftsrechts, des Arbeitsrechts, des Gesundheits- und Sicherheitsrechts, des
Steuerrechts und des Sozialversicherungsrechts usw.
Sollte sicher archiviert werden
o Arbeitsplatzüberwachung und Verhinderung von Datenverlust
Rechte der Mitarbeiter gegen legitime Betriebsrechte abgewogen
Zuverlässigkeitsüberprüfungen
Muss durchgeführt werden, um die Einstellung skrupelloser Personen zu
vermeiden
Mitarbeiter müssen sicherstellen, dass sie bei Hintergrundüberprüfungen keine
schwarzen Listen erstellen (in der Regel illegal) oder Listen von Personen
erstellen, die sie nicht beschäftigen werden
Verhinderung von Datenverlust
DLP-Tools verwenden Dritte für den Betrieb, beinhalten die Verarbeitung von
Mitarbeiterdaten, aber der Hauptzweck besteht darin, den Verlust von Daten zu
verhindern
Mitarbeiterüberwachung
Muss die lokalen Arbeitsgesetze sowie die Datenschutzgesetze einhalten
Sicherstellung der Einhaltung folgender Grundsätze: Notwendigkeit, Legitimität
(Rechtsgrundlage), Verhältnismäßigkeit und Transparenz
52
Stellen Sie sicher, dass die Daten sicher aufbewahrt werden und nur von
Personen abgerufen werden können, die berechtigten Grund haben, sie
einzusehen
Notwendigkeit
Betrachten Sie zuerst andere weniger aufdringliche Maßnahmen für ihren
Zweck
Muss eine DSFA durchführen, wenn die Überwachung wahrscheinlich zu einem
hohen Risiko für die Rechte und Freiheiten von Einzelpersonen führt
o DSFA erforderlich, wenn es sich um eine systemische und umfassende
Bewertung persönlicher Aspekte von Personen handelt, die auf einer
automatischen Verarbeitung basiert und auf der Entscheidungen
basieren, die rechtliche Auswirkungen haben oder die Personen in
ähnlicher Weise erheblich beeinträchtigen
Legitimität
Muss eine gesetzliche Grundlage für die Überwachung haben
Prüfung des berechtigten Interessenausgleichs: berechtigtes Interesse des
Arbeitgebers versus Verletzung der Rechte und Freiheiten des Einzelnen
Zustimmung zur Überwachung sehr begrenzt in ihrer Nützlichkeit
Überwachung, bei der sensible personenbezogene Daten erfasst werden,
wahrscheinlich problematisch
Die EU hat strenge Gesetze darüber, was als legitime Mitarbeiterüberwachung
gilt, berücksichtigt Tarifverträge und konsultiert Betriebsräte
o In Vereinbarungen zwischen Betriebsrat und Arbeitgebern kann
aufgeführt werden, welche Überwachung zulässig ist
Das Screening von E-Mails zur Verhinderung von Viren und die Überwachung
der Online-Zeit, die nicht funktioniert, sind legitime Tätigkeiten des Arbeitgebers
o Der Inhalt dessen, was Mitarbeiter tun, kann nicht überprüft werden
o Finden Sie weniger aufdringliche Alternativen: Blockieren bestimmter
Websites, Verhindern von Viren über die Erkennung
Verhältnismäßigkeit
Bestimmen Sie, ob die vorgeschlagene Überwachung in einem angemessenen
Verhältnis zu den Bedenken des Arbeitgebers steht
Vernünftige und realistische Reaktion auf eine potenzielle oder bekannte
Bedrohung
o Datenminimierung: Personenbezogene Daten müssen angemessen,
relevant und auf das für den Zweck der Verarbeitung erforderliche Maß
beschränkt sein
o Eigentlich ist das Öffnen von E-Mails unverhältnismäßig
Wenn die Tarifverträge die Überwachung genehmigen, ist die
Verhältnismäßigkeit wahrscheinlich
Transparenz
Arbeitgeber müssen ausreichende Informationen über die
Überwachungstätigkeit bereitstellen
Das Festlegen von Erwartungen trägt dazu bei, dass die Überwachung
rechtmäßig ist: Wenn die Mitarbeiter nicht über die Überwachung informiert
wurden, können sie ein höheres Maß an Privatsphäre erwarten
53
Das Gesetz erkennt an, dass Mitarbeiter ein gewisses Maß an Privatsphäre bei
der Arbeit genießen
Richtlinie zur zulässigen Nutzung von Kommunikationsgeräten, einschließlich
des Umfangs der zulässigen privaten Nutzung von Arbeitgebergeräten:
Mitarbeiter haben das Recht auf eine eingeschränkte private Nutzung von
Arbeitgebergeräten
Private Kommunikation sollte nicht geöffnet oder überwacht werden
Manchmal ist eine verdeckte Überwachung notwendig: Manchmal ist es nicht
erlaubt oder eine eingeschränkte Nutzung erlaubt und die Polizei sollte
eingeschaltet werden
Von Arbeitgebern bereitzustellende Informationen
Firmen-E-Mail/Internet-Richtlinie
Gründe und Zweck der durchgeführten Überwachung
Einzelheiten der ergriffenen Überwachungsmaßnahmen
Vollstreckungsverfahren
Ob die Verwendung von Webmail-Konten am Arbeitsplatz zulässig ist
Vorkehrungen für den Zugriff auf den Inhalt von E-Mails der Mitarbeiter
Speicherdauer für Sicherungskopien von Nachrichten
Informationen darüber, wann E-Mails von Servern gelöscht wurden
Einbeziehung von Arbeitnehmervertretern in die Formulierung von Richtlinien
Bedingungen, unter denen die private Internetnutzung erlaubt ist
Implementierte Systeme zur Verhinderung des Missbrauchs des Internets und
des Zugriffs auf bestimmte Websites
Informationen über die Beteiligung von Arbeitgebervertretern an der Erstellung
und Umsetzung von Richtlinien
Mitarbeiter benachrichtigen, wenn Missbrauch festgestellt wird; ggf. müssen
auch Betriebsräte benachrichtigt werden
Rechte des beschuldigten Mitarbeiters: nicht sofort beschuldigen, Fehlklicks üblich
Unzulässige Überwachung
Schwer zu rechtfertigende Überwachung, die sensible PD sammelt oder
besonders aufdringlich ist
Verdeckte Überwachung rechtswidrig ohne vorherige Genehmigung von DPA
oder einer Ausnahme
Als privat markierte E-Mails sollten generell nicht gelesen werden
o Betriebsräte
Verpflichtung zur Wahrung der Arbeitnehmerrechte
Länderspezifisch: Großbritannien hat nur Gewerkschaften, die nicht mitbestimmen
können, wie Arbeitgeber PD einsetzen, während Deutschland und Frankreich starke
Betriebsräte haben
Z.B. deutsche WCs können der Verwendung von
Mitarbeiterüberwachungsgeräten widersprechen
Arbeitgeber engagieren sich für WCs, indem sie (1) WC benachrichtigen, (2) WC
konsultieren oder (3) die Genehmigung von WC einholen
Wenn WC eine Entscheidung ablehnt, besteht die einzige Möglichkeit des
Arbeitgebers möglicherweise darin, vor den örtlichen Gerichten anzufechten
Manchmal kann es sein, dass die DPA die Verarbeitung nicht genehmigt, es sei denn, WC
war beteiligt
54
o Whistleblowing-Schemata
SOX: US-Gesellschaften mit an SOX GEBUNDENEN EU-TOCHTERGESELLSCHAFTEN
Unternehmen muss Mitarbeitern die Möglichkeit geben, Vorwürfe über
Fehlverhalten zu erheben (kann gegen EU-Datenschutzgesetze verstoßen)
Rechtsfrage ist, Unternehmen verantwortungsvoller und
rechenschaftspflichtiger zu machen, insbesondere im Hinblick auf interne
Kontrollen
Unternehmen ermutigen diejenigen, die Informationen über potenziellen oder
tatsächlichen Betrug haben, sich zu melden und vertrauliche Berichte
vorzulegen
o Kann unabhängige Drittanbieteragenturen für die Kontaktaufnahme mit
Whistleblowern nutzen
Bedenken: Gegenstand einer Beschwerde kann die Person, die den Vorwurf
erhebt, nicht konfrontieren, und Anonymität könnte zu Funktionsmissbrauch
führen
Probleme bei der Einhaltung der DSGVO
DPIA sollte für Whistleblowing-Schema durchgeführt werden
Verbindung mit WCs vor der Implementierung der Methode
Drittanbieter-Verarbeiterverträge außerhalb der EU müssen den EU-Verarbeitungsgesetzen
entsprechen
Mechanismen für die Datenübertragung außerhalb des EWR müssen den
Gesetzen entsprechen
Möglicherweise ist die Zustimmung von Mitarbeitern erforderlich
Whistleblowing-Richtlinien und -Verfahren sollten für Mitarbeiter transparent
sein
Die Whistleblowing-Richtlinie sollte bestimmte Elemente abdecken:
Personenberichterstattung (Begrenzung, wer berichten kann, basierend auf
direktem Wissen)
Personen belastet (nur diejenigen, die der meldenden Person bekannt sind)
Vertraulichkeit über die Anonymität der Berichterstattung (wenn Sie wissen,
dass der Ausweis des Berichterstatters zu einer genaueren und gründlicheren
Untersuchung führt)
Umfang der Berichte (Beschränkung des Umfangs der meldepflichtigen
Angelegenheiten auf diejenigen, die sich auf die Unternehmensführung
auswirken)
Vorratsdatenspeicherung: strenge Richtlinien nach Abschluss der Untersuchung
und Löschen aller Berichte, die sich als unbegründet herausstellen
Bereitstellung von Informationen: Erfüllung der DSGVO-Anforderungen an
Transparenz und Bekanntmachung
Rechte von belasteten Personen: DP-Rechte können eingeschränkt werden,
wenn die Untersuchung beeinträchtigt wird
Übertragungen außerhalb des EWR: staatlicher Mechanismus zur Legitimierung
von Übertragungen
o Bring Your Own Device-Richtlinie
Der Arbeitgeber bleibt als für die Verarbeitung Verantwortlicher für alle
personenbezogenen Daten verantwortlich, die auf dem Gerät des Mitarbeiters für
55
geschäftliche Zwecke mithilfe der Einstellungen für geschäftliche E-Mails verarbeitet
werden
Unternehmen sollten eine Richtlinie für persönliche Geräte festlegen, die für die Arbeit
verwendet werden
Überlegen Sie, wie Sie die auf dem Gerät gespeicherten personenbezogenen Daten
verwalten können, sobald der Mitarbeiter das Unternehmen verlässt oder das Gerät
verloren geht oder gestohlen wird
Überwachungstätigkeiten
o Notwendigkeit, die Notwendigkeit der Überwachung im nationalen Sicherheitsinteresse und das
Recht des Einzelnen auf Privatsphäre in Einklang zu bringen
Internet bedeutet, dass immer mehr Informationen über Privatpersonen zur
Überwachung zur Verfügung stehen
Werden Gesellschaften zu Überwachungsgesellschaften?
o Technologie: Neue Technologie, die unser Leben sicherer macht, aber auch mehr Daten
generiert
Jetzt werden täglich Überwachungsaktivitäten sowohl des öffentlichen als auch des
privaten Sektors für eine Vielzahl von rechtmäßigen Zwecken durchgeführt
CCTV- und GSP-Teil der Überwachung
o Wenn die Überwachung zu einem Eingriff in die Privatsphäre führt, prüfen Sie, ob der Eingriff
notwendig, rechtmäßig, fair und verhältnismäßig ist
o Regulierung der Überwachung
Öffentliche und staatliche Stellen oder private Stellen können Überwachung
durchführen (nationale Sicherheit, Strafverfolgung, private Zwecke wie Arbeitsrecht)
Individuelle Rechte können eingeschränkt werden, wenn die Einschränkung den
Wesensgehalt der Grundrechte und -freiheiten respektiert und in einer demokratischen
Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt
Nationale und öffentliche Sicherheit, Verhütung und Aufdeckung von Straftaten
sowie Schutz von DS und Rechten und Freiheiten sind Gründe für die
Anwendung von Beschränkungen
Die LEDP-Richtlinie gilt für Strafverfolgungsmaßnahmen
Obwohl die Verarbeitung personenbezogener Daten rechtmäßig, fair und
transparent sein muss, sollte dies die Strafverfolgungsbehörden nicht daran
hindern, Aktivitäten wie verdeckte Ermittlungen oder Videoüberwachung
durchzuführen
Tätigkeiten können durchgeführt werden, solange sie gesetzlich vorgeschrieben
sind und eine notwendige und verhältnismäßige Maßnahme in einer
demokratischen Gesellschaft unter Berücksichtigung der berechtigten
Interessen der betroffenen natürlichen Person darstellen
Unternehmen des privaten Sektors können verpflichtet sein, PD an
Strafverfolgungsbehörden zu behalten und/oder mit diesen zu teilen
o Kommunikationsdaten
Moderne Überwachung erfolgt in der Regel auf elektronischem Wege und generiert
Kommunikationsinhalte und Metadaten
Metadaten= Daten über Daten, Informationen, die als Folge der Übertragung
einer Kommunikation erzeugt und verarbeitet werden
56
o Verkehrsdaten: Art, Format, Uhrzeit, Dauer, Herkunft, Ziel, Routing,
verwendetes Protokoll sowie Herkunfts- und Endnetze einer
Kommunikation
o Standortdaten: Breite, Länge, Höhe der Geräte des Benutzers,
Netzwerkzelle
o Teilnehmerdaten: Name, Kontaktdaten, Zahlungsinformationen
Metadaten können ein vollständiges Bild der Kommunikation liefern und
können zur Identifizierung einzelner Personen verwendet werden (fällt daher
unter die DSGVO)
Schwierigkeiten bei der Abwägung konkurrierender rechtlicher Interessen:
Dauerbeschränkung der DSGVO im Vergleich zum Telekommunikationsgesetz, das von
Anbietern verlangt, Anrufdaten länger als für die Verarbeitung erforderlich
aufzubewahren
In diesem Fall entschied der EuGH im Jahr 2014, dass die Richtlinie wegen
unverhältnismäßiger Verletzung der Persönlichkeitsrechte ungültig sei.
o Videoüberwachung (CCTV)
Enthält Bilder von Personen, die zur Identifizierung einer Person verwendet werden
können: Dies gilt als Verarbeitung!
Jedes Mal, wenn das Bild einer Person aufgenommen wird, gilt es als biometrische
Daten
Artikel 9 Es müssen besondere Kategorien der Datenfreistellung gelten
o C kann sich möglicherweise auf das Recht der Mitgliedstaaten berufen,
um die Überwachung im öffentlichen Interesse für einen öffentlichen
Bereich oder bei der Ausübung öffentlicher Aufgaben durchzuführen
Cs müssen sich wahrscheinlich auf einen legitimen Interessenabwägungstest für eine
rechtmäßige Grundlage verlassen, es ist unwahrscheinlich, dass sie eine Zustimmung
erhalten
Die Nutzung von CCTV darf Rechte und Freiheiten von Einzelpersonen nicht
außer Kraft setzen
DPIA erforderlich, wenn: Überwachung als hohes Risiko angesehen wird, eine
systematische Überwachung des öffentlich zugänglichen Bereichs in großem Maßstab
beinhaltet oder wenn die Videoüberwachung von der zuständigen Datenschutzbehörde
in die Liste aufgenommen wurde
Die DSFA muss Folgendes beschreiben: Durchzuführende Verarbeitung,
Verarbeitungszwecke, verfolgte berechtigte Interessen, Bewertung, warum eine
Überwachung notwendig und verhältnismäßig ist, Bewertung der Risiken für die Rechte
und Freiheiten der betroffenen DS und Maßnahmen, die zur Bewältigung dieser Risiken
erforderlich sind
Wenn die DSFA darauf hinweist, dass hohe Risiken nicht ausreichend gemindert
werden können, muss C vor der Verwendung der Videoüberwachung die
Datenschutzbehörde konsultieren
o Wenn das öffentliche Interesse die gesetzliche Grundlage ist, kann MS
die DPA-Konsultation obligatorisch machen
Verhältnismäßige und angemessene, relevante und nicht übermäßige Lösung des
Problems, das sie anspricht, sollte die Verwendung von CCTV nur dann erfolgen, wenn
andere weniger aufdringliche Lösungen, die keine Bilderfassung erfordern, in Betracht
57
gezogen wurden und für den Zweck als unanwendbar oder unzureichend befunden
wurden
Die Verhältnismäßigkeit erstreckt sich auch auf die Wahl des Systems und der
Technologie (z. B. Gesichtserkennung und Zoom-Technologie)
Verhältnismäßigkeit bedeutet auch, zu bestimmen, ob Aspekte der
verwendeten CCTV und der Verarbeitung von Filmmaterial in einem
angemessenen Verhältnis zum Zweck des CCTV-Systems stehen, das für
o Betriebs- und Überwachungsanordnungen: wichtige Betriebsaspekte
(Kameratypen, Positionierung von Kameras), Überprüfung, ob die
Überwachung bestimmter Räume minimiert werden kann; Nutzung
bestimmter Funktionen (Zoom, Freeze)
o Aufbewahrung von CCTV-Aufnahmen: Nur so lange aufbewahren, wie es
unbedingt erforderlich ist
o Notwendigkeit der Offenlegung gegenüber Dritten, wie z. B.
Strafverfolgungsbehörden
o Ob CCTV-Aufnahmen mit anderen Informationen kombiniert werden,
um Personen zu identifizieren
o Überwachung von Bereichen mit hoher Erwartung an die Privatsphäre
(Umkleideräume, Badezimmer): nur unter außergewöhnlichen
Umständen erlaubt, mit der Notwendigkeit, mit sehr ernsten Bedenken
umzugehen, Personen darauf aufmerksam zu machen, dass sie
überwacht werden
Weitere Maßnahmen: Mitarbeiterschulung, disziplinarische und rechtliche Sanktionen
bei Missbrauch, CCTV-Richtlinie (schriftliches Dokument zu wichtigen
Datenschutzfragen), regelmäßige Überprüfungen zur Sicherstellung der Einhaltung und
Überprüfung, ob die Verwendung von CCTV weiterhin gerechtfertigt ist
DS-Rechte und CCTV
Transparenzanforderungen gelten weiterhin, insbesondere wenn Kameras einen
großen öffentlichen Raum abdecken
o Die Informationen sollten sichtbar sein und sich in angemessener
Entfernung zum überwachten Bereich befinden
o Identifizieren Sie den Zweck der Überwachung und C mit Kontaktdaten
Vorbehaltlich des Zugriffsrechts von DS auf Art. 15: CCTV wird für kurze Zeit
aufbewahrt, daher kann es schwieriger sein, dieses Recht zu nutzen
o Wenn Filmmaterial Bilder von anderen enthält, sollten Maßnahmen
ergriffen werden, um ihre Privatsphäre zu schützen, z. B. unscharfe
Bilder
o Biometrische Daten
Personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung
ergeben und sich auf die physischen, physiologischen oder Verhaltensmerkmale einer
natürlichen Person beziehen, die die eindeutige Identifizierung dieser natürlichen
Person ermöglichen oder bestätigen
Z.B. DNA, Fingerabdrücke, Handflächen, Venenmuster, Geruch, Stimme,
Gesicht, Handschrift, Gang
Kann in seiner Rohform oder biometrischen Vorlagenform vorliegen: Die Vorlage muss
ausreichende Details enthalten, damit eine Person aus der im biometrischen System
gespeicherten Population von Personen identifiziert werden kann
58
Haupteinsatzgebiete der Systeme: Identifizierung und Authentifizierung
Um unter Art. 9 Sonderkategorie zu fallen, muss der Zweck der Verarbeitung
biometrischer Daten darin bestehen, eine natürliche Person eindeutig zu identifizieren
o Standortdaten
Standortbasierte Dienste, verlassen sich auf die technische Fähigkeit, ein tragbares
Gerät zu lokalisieren
Abgeleitet aus Satellitennetzwerk-generierten Daten (GPS), zellbasierten mobilen Daten
(Cell ID), Chipkarten-generierten Daten (Zahlungskarten)
3 große Kategorien von Standortdaten, die Google zur Bereitstellung seiner Dienste
verwendet: implizite Standortinformationen (mithilfe von Suchanfragen usw.);
Internetverkehrsinformationen (IP-Adresse, ermöglicht die Anwendung der richtigen
Sprache); gerätebasierte Standortdienste (Turn-by-Turn-Navigation)
Standortdaten sind ein Identifikator, da sie eine Person identifizieren oder zur
Identifizierung einer Person führen können: Als personenbezogene Daten im Sinne
dieser Definition gelten
Selbst wenn Benutzer Standortdienste auf ihrem Gerät oder für eine App
ausschalten, können Schwachstellen in einer mobilen App ausgenutzt werden,
um auf den Standort zuzugreifen
App-Entwickler müssen entscheiden, ob Apps mit Standort zu hohen Risiken für
Rechte und Freiheiten von Einzelpersonen führen. In diesem Fall ist eine DSFA
erforderlich
Der Standortverlauf kann verwendet werden, um Rückschlüsse auf einzelne
Personen zu ziehen, z. B. das Zuhause von Freunden, die Religion, den
Gesundheitszustand, die politische Zugehörigkeit usw.
Bedenken hinsichtlich der Aufbewahrung und des Zugriffs durch Behörden oder
Arbeitgeber
o Wenn der Arbeitgeber eine Flotte von Fahrzeugen verwendet, die nicht
an Einzelpersonen gebunden sind, keine personenbezogenen Daten:
Wenn Daten, die für einen Zweck im Zusammenhang mit dem
Mitarbeiter verwendet werden, unter die DSGVO fallen
Direktmarketing
o Im Allgemeinen
DM: jede Form der Verkaufsförderung, einschließlich DMs von
Wohltätigkeitsorganisationen und polnischen Organisationen für Fundraising-Zwecke
Muss nichts zum Verkauf anbieten, könnte eine kostenlose Werbeaktion sein
oder einfach nur die Organisation im Allgemeinen bewerben
An bestimmte Personen gerichtet (DP-Gesetze gelten, wenn die PD von
Personen verarbeitet wird, um ihnen eine Marketingbotschaft zu übermitteln)
Die meisten DM unterliegen DP-Gesetzen sowie Verbraucherschutzgesetzen und
Werbegesetzen, die zwischen MS variieren
Anwendbares Recht kann der Ort sein, an dem sich der Absender oder
Empfänger befindet, oder beides
Beinhaltet häufig Daten, die über das Gerät des Verbrauchers gesammelt werden:
Cookies, Standortdaten
Push-Nachrichten und In-App-Nachrichten sind DM!
Ungezieltes Marketing (Website-Banner) und rein servicebezogene Botschaften
(Information über Status einer Bestellung) sind keine DM
59
die ePrivacy-Richtlinie gilt, wenn Marketing über elektronische Kommunikationsnetze
gesendet wird: gilt nicht für Postmarketing
Cs müssen alle DSGVO-Anforderungen erfüllen: Rechtsgrundlage für die Verarbeitung
(in der Regel Einwilligung oder berechtigte Interessen), Bereitstellung fairer
Verarbeitungsinformationen (Transparenz), geeignete technische und organisatorische
Maßnahmen zum Schutz der Daten, keine Übermittlung außerhalb des EWR
DS muss ein spezifisches Recht haben, DM, die von C gesendet wurden, abzulehnen
oder abzulehnen; kann jederzeit widerrufen werden, wenn dies auf einer Einwilligung
beruht; wenn dies auf legitimen Interessen beruht, ist immer noch ein Opt-out
erforderlich
DS muss über das Recht auf Opt-out informiert werden, klar und getrennt von
anderen Informationen dargestellt werden
DS muss in der Lage sein, sich über alle Marketingkanäle hinweg abzumelden
Cs müssen Opt-Out-Anfragen zeitnah und ohne Kosten für DS erfüllen
PD muss gelöscht werden, es sei denn, die Aufbewahrung ist unbedingt
erforderlich
o Ausnahmen: zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen erforderlich, zwingende schutzwürdige Gründe für
die Fortsetzung der Verarbeitung überwiegen die
datenschutzrechtlichen Interessen von DS
Profiling-Daten müssen ohne Ausnahme entfernt werden
Wenn Einzelpersonen eine Abmeldung beantragen, sollten Cs die Kontaktdaten
unterdrücken, anstatt sie zu löschen: verhindert, dass die Daten später erneut
erfasst werden und die DM wieder aufgenommen wird
o C sollte Aufzeichnungen über DS aufbewahren, denen keine Marketing-
Kommunikation gesendet werden sollte
Nationale Opt-Out-Listen („Robinson-Liste“)
o MS kann verlangen, dass Cs die DM-Liste gegen Robinson-Listen sowie
interne Opt-out-Datensätze bereinigt, bevor Marketingmaterialien
gesendet werden: Unterlassen, kein Datenverstoß, nur Verstoß gegen
nationale Gesetze
o Spätere Opt-in-Zustimmung überschreibt Robinson-Liste
ePrivacy-Richtlinie
Erlegt dem Marketing die Einwilligung und Informationsanforderungen per
Telefon, Fax, E-Mail, SMS, Sofortnachrichten, Push-Benachrichtigungen und
anderen elektronischen Nachrichten auf
Erfordert die vorherige Zustimmung des Empfängers
o Ausnahmen für E-Mail-Marketing auf Opt-out-Basis, wenn C DS-
Informationen durch den Verkauf von Produkten oder Dienstleistungen
erhalten hat
Adressiert standortbasiertes Marketing UND OBA-COOKIES
Manchmal von der Telekom-Regulierungsbehörde anstelle von DPA
durchgesetzt
o Per Post (ePrivacy-Richtlinie gilt nicht)
Auch wenn es nicht elektronisch ist, stellen Sie dennoch die Einhaltung der DSGVO/DP-
Grundsätze sicher (rechtmäßige Verarbeitung, Transparenz, Opt-out-Anfragen, andere
DS-Rechte)
60
Einwilligungserfordernisse
Keine direkte Anforderung in der DSGVO, aber einige nationale Regeln erfordern
eine postalische DM: Wenn nicht, verlassen Sie sich in der Regel auf legitime
Interessen mit Abwägung
Ausgleichsfaktoren: bestehender Kunde von C, Art des Produkts und der
Dienstleistungen, wurde DS zuvor mitgeteilt, dass es keine postalischen DMs
erhalten würde
Liegt keine berechtigte Interessengrundlage vor, ist eine Einwilligung
erforderlich
In einigen Mitgliedstaaten muss die Dm-Liste gegen das nationale Opt-out-Register
gesäubert werden, es sei denn, es liegt eine gültige Opt-in-Einwilligung von DS vor
o Telefonisch (es gilt die ePrivacy-Richtlinie)
Einwilligungserfordernisse
Keine ausdrückliche Zustimmungspflicht, außer bei automatisierten
Anrufsystemen (immer Opt-in-Zustimmung erforderlich)
o Automatisierte Systeme können weiterhin verwendet werden, um
Nummern zu wählen, um persönliche Gespräche zu erleichtern
Die Gesetze der Mitgliedstaaten können bestimmen, ob sie auf Opt-in- oder
Opt-out-Basis zulässig sind
o DS muss in der Lage sein, sich kostenlos abzumelden
o Die meisten Mitgliedstaaten verfügen über nationale Opt-out-Register
für Telemarketing
o Einige Mitgliedstaaten verlangen von Telemarketern, dass sie bei jedem
Anruf ein nationales Opt-out-Register angeben und ein individuelles
Recht auf sofortige kostenlose Registrierung anbieten
Die DP-Bedingungen gelten nicht immer, die Gesetze variieren im Allgemeinen von Staat
zu Staat
Nur ein einheitlicher Ansatz ist es, die Zustimmung auf der ganzen Linie zu erhalten
Automatisierte Anrufsysteme: einige MS-Anforderungs-IDs und Kontaktdaten des
Anrufers
Einige MS haben einen entspannteren Ansatz für B2B-Telemarketing
Die DSGVO gilt weiterhin, insbesondere bei der Verarbeitung der PD der
Mitarbeiter für B2B-DM
die ePrivacy-Richtlinie gilt gleichermaßen für B2B- und B2C-Telemarketing
o Per E-Mail/SMS (es gilt die ePrivacy-Richtlinie)
Muss allgemeine DSGVO-Anforderungen erfüllen, wie Transparenz und rechtmäßige
Verarbeitung
Elektronische Post: jede Text-, Sprach-, Ton- oder Bildnachricht, die über ein öffentliches
Kommunikationsnetz gesendet wird und im Netzwerk oder im Endgerät des Empfängers
gespeichert werden kann, bis sie vom Empfänger gesammelt wird (technologieneutrale
Definition)
C muss zuvor eine Einwilligung einholen und eine faire Verarbeitungsbenachrichtigung
abgeben, wenn Daten erhoben werden
Begrenzte Opt-out-Ausnahme, wenn DS-Kontaktdaten im Zusammenhang mit
dem Verkauf eines Produkts oder einer Dienstleistung erhalten werden
61
o Einige MS verlangen, dass ein Verkauf getätigt wurde, während andere
es während des Kontakts im Allgemeinen zulassen (kein Verkauf
getätigt)
Für die Befreiung darf C nur DM an Einzelpersonen über Cs eigene ähnliche
Produkte oder Dienstleistungen als die gekauften senden, UND
o Daten können nicht an Dritte weitergegeben werden
o Kann Produkte oder Dienstleistungen nicht anders vermarkten als die,
die mit DS verbunden sind
C muss dem Einzelnen klar und deutlich die Möglichkeit gegeben haben, das
Marketing per E-Mail zu dem Zeitpunkt, zu dem die Daten anfänglich erhoben
wurden, und in jeder Marketingkommunikation auf einfache und kostenlose
Weise abzulehnen
o In der Regel erfolgt dies beim Sammeln von Daten durch Ankreuzen des
Kontrollkästchens
Muss DS mit gültiger Adresse senden, um ein Opt-out anzufordern, über ein geeignetes
Medium, über das die Marketingmitteilung gesendet wurde
C darf die ID des Absenders nicht verbergen oder verschleiern, sicherstellen,
dass die Nachricht eindeutig als kommerzielle Kommunikation identifizierbar ist,
sicherstellen, dass Promo-Angebote klar identifizierbar sind und die
Bedingungen für sie leicht zugänglich und eindeutig sind, und dass Promospiele
oder Wettbewerbe klar identifizierbar sind und die Bedingungen für die
Teilnahme leicht zugänglich sind und klar/eindeutig dargestellt werden
o Per Fax (es gilt die ePrivacy-Richtlinie)
DSGVO, einschließlich der Transparenz- und rechtmäßigen Verarbeitungsanforderungen
Einwilligungserfordernis: muss vor dem Versenden von Faxen eine vorherige
Einwilligungserklärung einholen
Mit fairer Verarbeitungsbenachrichtigung präsentieren, wenn Daten gesammelt werden
Wenn MS derzeit B2B-Fax-Marketing auf Opt-out-Basis zulässt, kann Cs nach nationalem
Recht aufgefordert werden, beabsichtigte Fax-Marketing-Kontakte gegen Opt-out-
Register zu bereinigen
o Standortbasiert (es gilt die ePrivacy-Richtlinie)
Standortdaten: alle Daten, die in einem elektronischen Kommunikationsnetz oder durch
einen elektronischen Kommunikationsdienst verarbeitet werden und die geografische
Position des Endgeräts eines Benutzers eines öffentlich zugänglichen elektronischen
Kommunikationsdienstes angeben
Beinhaltet Breite/Länge, Höhe, Fahrtrichtung
Gilt nur für Daten, die die Position der Endgeräte anzeigen, nicht den Standort
der Person -> der Standort der Veröffentlichung auf Facebook gilt nicht (aber die
DSGVO gilt weiterhin, nur keine ePD)
Entweder basierend auf Smartphone-Standortdaten (Weitergabe an einem Geschäft)
oder Hochladen in soziale Netzwerke
Standortbasierte Daten sind personenbezogene Daten, daher gilt die DSGVO: Es gelten
Transparenz- und rechtmäßige Verarbeitungsanforderungen
Einwilligung: Opt-in für „Mehrwertdienst“ erforderlich
Ausnahme: anonymisierte Daten, aber es ist unwahrscheinlich, dass dies
realistisch zutrifft
62
DS müssen zunächst informiert werden über: Arten der erhobenen und verarbeiteten
Standortdaten, Zwecke und Dauer der Verarbeitung und ob sie an Dritte übermittelt
werden
Es ist oft schwierig, Informationen auf benutzerfreundliche Weise
bereitzustellen. Best Practices bestehen darin, Informationen über die
Verwendung von Standortdaten für Marketingzwecke in die
Datenschutzrichtlinie der App aufzunehmen
C muss DS die Möglichkeit bieten, die Zustimmung zur Nutzung des Standorts für DM zu
widerrufen, und muss während des gesamten Verarbeitungszeitraums der DS-
Standortdaten verfügbar sein
Muss sowohl ein umfassendes Recht auf Deaktivierung als auch das Recht auf
vorübergehende Deaktivierung für jede Verbindung zum Netzwerk oder für jede
Kommunikation bieten
o Online Behavioral Advertising (OBA) – Cookies! (Es gilt die ePrivacy-Richtlinie)
Website-Werbung, die sich an Einzelpersonen richtet, basierend auf der Beobachtung
des Verhaltens im Laufe der Zeit, liefert Werbung, die für die Rechte und Interessen des
Einzelnen relevanter ist, verbessert die Anzeigeneffektivität und die Klickrate
Cs kann Empfehlungen an DS basierend auf früheren Interaktionen mit einer Website
abgeben
Werbenetzwerke können das Verhalten über mehrere, nicht verbundene
Websites verfolgen, um Werbung auf allen Websites gezielt zu platzieren
Cookie, das auf dem Computer abgelegt wird, um Informationen zu sammeln,
Präferenzen aufzuzeichnen und an das Netzwerk zurückzusenden
o Schließlich wird diesem Benutzer ein Profil zugewiesen (neue Mutter,
junge Fachkraft)
Die Frage ist, ob ein Online-Profil ohne Kenntnis der tatsächlichen Person als PD
qualifiziert werden sollte und daher unter die DSGVO fällt
Betrachtetes „Profiling“
OBA ermöglicht die Verfolgung von Benutzern eines bestimmten Computers,
auch wenn dynamische IP-Adressen verwendet werden, so dass Benutzer
herausgegriffen werden können, auch wenn echte Namen nicht bekannt sind
Welche Stelle ist der Datenverantwortliche?
Werbenetzwerke qualifizieren sich oft, weil sie die vollständige Kontrolle über
den Zweck und die Mittel haben, für die die Informationen der Website-
Besucher verarbeitet werden: Werbenetzwerke mieten Flächen von Website-
Publishern, setzen und lesen Cookie-bezogene Informationen und sammeln IP-
Adressen und andere Daten
Der Website-Publisher kann ein gemeinsamer Controller mit dem
Werbenetzwerk sein, indem er Werbenetzwerke einbindet, um OBA über ihre
Websites zu beobachten
o Netzwerk und Publisher sollten vertraglich vereinbaren, wer Besucher
darüber informiert, dass personenbezogene Daten für OBA verwendet
werden, und wie Besuchern die Möglichkeit geboten wird,
Werbetreibende können unabhängige Datenverantwortliche sein: Der
Werbetreibende überwacht die nachfolgenden Browsing-Aktivitäten der Person
und kombiniert sie mit dem Targeting-Profil, das sich auf die Person bezieht
**Alle beteiligten Parteien können Compliance-Anforderungen haben
63
ePD gilt unabhängig davon, ob DSGVO als anwendbar angesehen wird
Explizite Erwähnung von Cookies in ePD
o Die Verwendung von Cookies ist nur unter der Bedingung zulässig, dass
der Einzelne seine Einwilligung erteilt hat und klare und umfassende
Informationen erhalten hat (vorherige Einwilligung nach Aufklärung)
o Einwilligung muss konkrete Angabe ihrer Wünsche sein, frei gegeben
und widerruflich: aktive Beteiligung des Nutzers erforderlich, Opt-Out
passive Mechanismen unzureichend
Die Verwendung von Browsereinstellungen reicht in der Regel nicht aus, um
eine Einwilligung einzuholen
o Möglicherweise, wenn die Standardeinstellung des Browsers keine
Cookies ist und der Benutzer sie aktiv ändert, um Cookies zu
akzeptieren, könnte dies möglicherweise zutreffen
Die meisten OBA-Lösungen implizieren die Verwendung von Cookies von Drittanbietern:
Link zur Datenschutzerklärung von Drittanbietern
o Durchsetzung
Geldbußen und Verwaltungssanktionen durch DPAs
Zivilrechtliche und manchmal strafrechtliche Haftung
ePrivacy-Richtlinie: Rechtsbehelfe, Haftungen und Sanktionen der DSGVO bei Verstößen
gegen die ePD
Kann von Verbraucherschutz- und Telekommunikationsbehörden anstelle von
Datenschutzbehörden durchgesetzt werden
Neues Recht für Einzelpersonen und Unternehmen mit berechtigtem Interesse
an der Einstellung oder dem Verbot von Spam eingerichtet, um private Klagen
gegen nicht konforme Vermarkter zu erheben (Erwartung, dass ISPs diese
Ansprüche geltend machen werden)
Internet-Technologie und -Kommunikation
o Cloud Computing
Die Bereitstellung von IT über das Internet (Software, Infrastruktur, Hosting,
Plattformen)
Servicemodelle: Infrastruktur, Plattform oder Software as a Service
Die Struktur des Dienstes wird von den Kunden des Lieferanten in einer Reihe von
Ländern geteilt
ARTIKEL 3 FINDET WAHRSCHEINLICH ANWENDUNG: Tätigkeiten der EU-Niederlassung
des für die Verarbeitung Verantwortlichen oder das Anbieten von Waren oder
Dienstleistungen an Einzelpersonen in der EU oder die Überwachung ihres Verhaltens
Weltimmo (1. Test): Die Etablierung hängt vom Grad der Stabilität der
Vereinbarungen ab und davon, ob es eine effektive Ausübung der Aktivitäten
gibt
o Website, die auf Ungarn abzielt, in ungarischer Sprache, mit einem
Vertreter in Ungarn für Gerichtsverfahren/Inkasso, einem Briefkasten in
Ungarn und einem ungarischen Bankkonto ist für die Einrichtung in
Ungarn ausreichend
o Minimale Aktivitäten können eine Niederlassung darstellen
Google v. Spain: Economic link between non-EU data C processing PD and EU-
based establishment can mean C activities subject to regulation
2. Test: Es muss nicht festgestellt werden, ob eine Niederlassung in der EU
64
o ***Ps können aufgrund der Verarbeitung in das EU-Recht einbezogen
werden: Auch wenn P nicht direkt den Gesetzen dieser beiden Tests
unterliegt, muss P dies ebenfalls befolgen, wenn der Kunde unter das
EU-Recht fällt!
C v. P: C bestimmt, wie und warum PD verarbeitet wird, P handelt auf Anweisung von C
Wenn P einige wesentliche und wesentliche Elemente der Verarbeitung
bestimmt, wie z. B. die Vorratsdatenspeicherung, könnten sie zu einem C
Relevant, da Cloud-Computer personenbezogene Daten, die von Kunden
gesammelt werden, für ihre eigenen Zwecke nutzen möchten
Von der DSGVO geregelte Dienstleistungsverträge mit detaillierter Auflistung der
Pflichten des Auftragsverarbeiters:
Fügen Sie Informationen über Gegenstand, Dauer, Art und Zweck der
Verarbeitung mit Art der personenbezogenen Daten und Kategorien von DS
hinzu
PD wird nur auf dokumentierte Weisung, einschließlich Datenübertragungen,
verarbeitet
Personen, die Daten verarbeiten, die der Geheimhaltungsverpflichtung
unterliegen
Mehr präskriptive Sicherheitsmaßnahmen
Cs von Unter-Ps in Kenntnis gesetzt und haben ein Widerspruchsrecht
Alle Unter-Ps haben die gleichen vertraglichen Verpflichtungen wie Ps
Maßnahmen, die ergriffen werden, um sicherzustellen, dass Cs alle ihre
Verpflichtungen mit Hilfe von Ps erfüllen können (z. B. DS über
Datenschutzverletzungen informieren, DPIA durchführen usw.)
Alle PD werden gelöscht oder zurückgegeben, sobald die Leistungserbringung
abgeschlossen ist
Überwachung der Vertragstreue erlaubt
Cs suchen auch normale Vertragsbestimmungen, wie Entschädigung für
Missbrauch von PD durch P
***AUCH P nicht verantwortlich für die regulatorischen Verpflichtungen von C
Internationale Datenübermittlungen
Cs müssen in der Lage sein, Schutzmaßnahmen zum Schutz der übertragenen
PD: Optionen aufzuzeigen
o Geografische Einschränkungen (kann den Zweck der Cloud zunichte
machen, die Kosten erhöhen)
o Wählen Sie Privacy-Shield-zertifizierte Lieferanten in den USA
o Modellklauseln verwenden
Schwierig zu konstruieren für Übertragungen an mehrere
Parteien
Muss aktualisiert werden, wenn sich der Prozess
weiterentwickelt
Sind unflexibel
o Maßgeschneiderte Datenübertragungsvereinbarungen (müssen von den
Aufsichtsbehörden genehmigt werden)
o BCRs für Ps (ermöglicht Cs die Verwendung, wenn Informationen von Ps
übertragen werden)
o Verhaltens- und Zertifizierungskodizes (neu mit DSGVO)
65
o Ausnahmeregelung zu Art. 49: beinhaltet Einwilligung
o Cookies
Cookie: eine kleine Textdatei, die von einem Website-Server auf den Computer der
Besucher seiner Website geliefert wird (Device Fingerprinting)-> beschränkt auf mobile
Geräte und mit Apps
Hilfe bei der Anpassung der Website-Angebote und der Aufrechterhaltung der
Sicherheit von Einzelpersonen, während sie auf der Website eingeloggt sind, auch
gezielte Werbung
Verknüpft mit Informationen, die nicht persönlich identifizierbar sind (IP-Adressen,
Zeitpunkt eines Website-Besuchs usw.), aber das Zusammenstellen dieser
Informationen kann ein Identitätsprofil der Surfgewohnheiten erstellen: Dies sind
personenbezogene Daten im Sinne der DSGVO, da Cookies PD sammeln, um ein Profil zu
erstellen!
Wenn Profil mit Name, E-Mail oder Adresse verknüpft wird, definitiv
personenbezogene Daten
Zu den pseudonymen Daten gehören Profile, die mit einer Person verknüpft werden
können, auch wenn C die Verknüpfung nicht beabsichtigt
Vidal-Hall v. Google: Profile von Surfgewohnheiten, die zur Erstellung von Profilen für
Zielanzeigen verwendet werden
English Ct of Appeal entschied, dass Profile PD waren und die Verwendung von
Profilen durch Google anstößig war, denn selbst wenn Google nicht wusste, wer
die Person war, wussten andere, die das Gerät verwendeten, wahrscheinlich
und würden Informationen über die Person basierend auf gezielten Anzeigen
erhalten
IP-Adressen werden jetzt in der DSGVO explizit als PD betrachtet
EU-Recht auf Nicht-EU-Websites wegen 2. Prung von Art 3 Test angewendet
ePrivacy-Richtlinie ebenfalls anwendbar
Speicherung von Informationen oder Zugriff auf Informationen nur zulässig,
wenn die Einwilligung auf klaren und umfassenden Informationen beruht
(Ausnahme für notwendige Cookies)
o Informationen über das Senden und den Zweck von Cookies müssen
dem Benutzer mitgeteilt werden
o Der Benutzer muss zustimmen, bevor ein Cookie gesetzt wird
o Der Benutzer muss die Wahl haben, zuzustimmen und einen aktiven
Hinweis darauf zu geben, dass die Zustimmung erteilt wird
Debatte, ob die Einwilligung über die Browsereinstellungen ausreicht
o Ausreichend, wenn: (1) die Standardeinstellung des Browsers Cookies
ablehnt, (2) die Einstellungen klare, umfassende und vollständig
sichtbare Informationen über die Verwendung und den Zweck von
Cookies und deren Ablehnung enthalten, (3) die Benutzer positive
Schritte unternehmen müssen, um das Setzen von Cookies und das
fortlaufende Abrufen von Daten aus Cookies zu akzeptieren, und (4) es
unmöglich ist, die von den Benutzern in ihren Einstellungen getroffenen
Entscheidungen zu umgehen
Websites sollten vollständige und transparente Informationen über ihre Verwendung
von Cookies bereitstellen
66
IP-Adressen sind PD, da der ISP die Adresse mit einem bestimmten Kunden verknüpfen
kann
Unternehmen können weiterhin ein Profil von IP-Benutzern erstellen und
basierend auf der IP-Adresse unterscheiden und ISPs auffordern, IP-Benutzer zu
identifizieren
Breyer v. Deutschland (dynamische IP-Adressen)
o Sowohl statische als auch dynamische IP-Adressen können PD in den
Händen anderer Organisationen als ISPs darstellen
o Suchmaschinen
Verarbeitung großer Mengen von Volumina, einschließlich Benutzer-IP-Adressen,
Cookies (zur Personalisierung und Verbesserung von Diensten),
Benutzerprotokolldateien (nach denen sie zuvor gesucht haben), Webseiten von
Drittanbietern
Bei der Erstellung von Profilen wie Benutzerprotokolldateien und der Verwaltung von
Webseiten von Drittanbietern sind Suchmaschinen Cs für die PD
Webseiten von Drittanbietern, weil SEOs usw.
Im Allgemeinen gilt der 2. Absatz von Artikel 3, in der Regel außerhalb des EWR, aber mit
Überwachung des Verhaltens
Könnte auch als Auftragsverarbeiter unterliegen, wenn die Seiten von Drittanbietern
der DSGVO unterliegen
Google v. Spanien: Die Aktivitäten von Google Spain und Google, Inc. waren aufgrund
der Rolle von Google Spain beim Verkauf von Werbeflächen, die erforderlich sind, um
die Suchmaschine von Google, Inc. wirtschaftlich rentabel zu machen, „untrennbar
miteinander verbunden“
Weitere Fragen
Vorratsdatenspeicherung: muss die Proportionalitätsanforderung erfüllen, max.
6 Monate, dann löschen oder unwiderruflich anonymisieren
Weiterverarbeitung zu unterschiedlichen Zwecken: Parameter müssen klar
definiert und Nutzer auf den Zweck aufmerksam gemacht werden (z.B. wenn
Nutzerdaten plattform- und dienstübergreifend korreliert sind, muss die
Einwilligung des Nutzers eingeholt werden)
o Wenn Suchmaschinen Daten quellenübergreifend verknüpfen, kann dies
rechtswidrig sein, wenn Einzelpersonen bei der Datenerhebung nicht
die erforderlichen fairen Verarbeitungsinformationen erhalten und das
Recht haben, die Profilerstellung abzulehnen
Einhaltung der DS-Rechte: registrierte und nicht registrierte Nutzer,
Berichtigung oder Löschung zwischengespeicherter personenbezogener Daten
(Recht auf Vergessenwerden)
o Soziale Netzwerke
SNS-Anbieter = Cs, auch außerhalb des EWR (gleiche Überlegungen wie Suchmaschinen)
SNSs müssen sicherstellen, dass Anwendungen von Drittanbietern auch der DSGVO
entsprechen
SNS-Benutzer können im Rahmen der „Haushaltsausnahme“ oder der Ausnahme für die
Verwendung von PD für journalistische, künstlerische oder literarische Zwecke
ausgenommen werden
Gilt nicht, wenn SNS von der Organisation verwendet wird (Benutzer sind Cs
unter GPDR)
67
Wenn der Benutzer wissentlich den Zugriff auf personenbezogene Daten über
ausgewählte Kontakte hinaus erweitert (in diesem Fall auch als C fungierend)
Informationen, die von SNS-Anbietern bereitgestellt werden müssen
Beachten Sie, dass PD für Marketing und Opt-out (falls zutreffend) verwendet
wird
Beachten Sie, dass PD an bestimmte Dritte weitergegeben wird
Erläuterung des durchgeführten Profiling
Informationen zur Verarbeitung sensibler PD
o Ausdrückliche Zustimmung von DS zur Bereitstellung im Internet
erforderlich
o SNS sollte deutlich machen, dass die Bereitstellung von Daten völlig
freiwillig ist
o Fotos können sensible Daten überprüfen, werden jedoch normalerweise
nicht in diesem Bereich erfasst, es sei denn, der Zweck besteht darin,
diese Daten preiszugeben.
Warnungen vor Risiken für die Privatsphäre
Warnung vor der Zustimmung von Dritten, die beim Hochladen von Daten anderer
Personen wie Fotos erforderlich ist
Wenn SNS PD von Nichtbenutzern sammelt und aggregiert (z. B. Benutzer lädt
Kontaktliste hoch) und dann ein Profil erstellt, ist diese Verarbeitung gemäß DSGVO
rechtswidrig, da die Person, die das Profil erstellt hat, nicht in der Lage ist, etwas über
die Verarbeitung zu erfahren
KINDER
Unter 13-16 Jahren (länderabhängig) muss die Zustimmung der Eltern gegeben
werden
Berechtigte Interessengründe für die Verarbeitung liegen möglicherweise nicht
vor
Cs muss Rücksicht auf das Wohl des Kindes nehmen
Sensibilisierungsmaßnahmen und faire und rechtmäßige Verarbeitung
Sensible PD sollten nicht angefordert werden, datenschutzfreundliche
Standardeinstellungen sollten übernommen werden und Minderjährige sollten
nicht mit Direktmarketing angesprochen werden
o Mobile Apps
Apps haben auf gespeicherte mobile Daten zugegriffen, die verwendet werden, um
Benutzern innovative Dienste anzubieten, können an App-Entwickler zurückgesendet
und mit einem bestimmten Gerät verknüpft werden (einschließlich Standort, Fotos, E-
Mails, Internet-Browsing-Verlauf, Höhe, Audio, Video, Geschwindigkeit,
Benutzerinteraktionen)
Spezielle PD können auch nach Standort aufgedeckt werden (z. B. wiederholte
Besuche in einer Kirche)
Daten, die in Apps gesammelt werden, gelten wahrscheinlich als personenbezogene
Daten
die ePrivacy-Richtlinie gilt auch, insbesondere wenn Cookies angewendet und
verwendet werden
Cookies sind in der Regel nur in der App verfügbar, in der sie gesetzt werden
o Aus diesem Grund haben Werbetreibende neue Tracking-Methoden
entwickelt
68
o Wann immer neue Methoden verwendet werden, bedürfen sie auch der
Zustimmung von DS
App-Entwickler sind wahrscheinlich Daten-C, es sei denn, die App verarbeitet Daten am
Telefon, sendet sie aber nicht an den Entwickler zurück
Viele andere Parteien werden wahrscheinlich auch als Verarbeiter beteiligt sein
Dritte können auch zu Verantwortlichen werden
Der App-Zugriff auf Dinge wie Kontakte und Fotos erfordert die Zustimmung des
Benutzers
Hinweis: Angemessene Informationen auf kleinem Raum schwierig
Symbole oder visuelle Symbole können bessere Werkzeuge sein
Mehrschichtige Hinweise mit Links zu vollständigen Informationen
Möglicherweise müssen vor dem Herunterladen der App Hinweise und
Datenschutzrichtlinien gegeben werden
Einwilligung: Die ePrivacy-Richtlinie erfordert eine Einwilligung, bevor Informationen auf
einem Gerät gespeichert werden, einschließlich des Herunterladens einer App
Kann als rechtmäßiger Grund erforderlich sein, andere Gründe sind
möglicherweise nicht verfügbar (z. B. berechtigtes Interesse an intimen
Informationen über den Standort)
Einwilligung zur Datenverarbeitung, die für die Bereitstellung von App-
Funktionen nicht zwingend erforderlich ist, generell nicht gültig, wenn der
Nutzer diese zur Nutzung der App erteilen muss
Die Einwilligung muss spezifisch sein, keine übergeordnete Einwilligung für die
Verarbeitung durch die App
Datenminimierung: Personenbezogene Daten müssen angemessen, relevant und auf
das für den Zweck, für den sie verarbeitet werden, erforderliche Maß beschränkt sein
o Internet der Dinge
Allgemeine Dinge im Leben, die mit dem Internet verbunden sind (Home Nest, Alexa
usw.)
Sensoren sammeln häufig Informationen über identifizierbare Personen
C vs. P: Gleiche Überlegungen wie mobile Geräte
Sicherheit schwierig, da eine große Anzahl von Objekten mit demselben Netzwerk
verbunden ist (große Anzahl von Punkten für böswilligen Zugriff) und Software mit
Sicherheitspatches weniger wahrscheinlich auf dem neuesten Stand gehalten wird
Netzwerke sollten sicher gestaltet sein, Datenschutz durch Design bei der
Gestaltung von Dingen implementieren
Hinweis und Auswahl
Wie kann man Einzelpersonen die von der DSGVO geforderten fairen Hinweise
geben (Aufkleber?)
Einwilligung in der Regel der am besten geeignete Grund für die Verarbeitung:
Einwilligungsmechanismen müssen möglicherweise in die Geräte selbst
eingebaut werden
69