Einführung ins Datenschutzrecht

Transkript

1 Einführung ins Datenschutzrecht Henry Krasemann CAU-Vorlesung (Folien teilweise von Harald Zwingelberg)

2 Organisatorisches I: Material Die Folien der Veranstaltungen werden auf der Seite zur Verfügung gestellt Ausgeteilte Gesetzestexte: Dürfen auch für die Klausur verwendet werden. Unterstreichungen und Hervorhebungen sind erlaubt. Ebenso Paragraphenverweise in der Form => 3 VIII nicht aber Anmerkungen mit Wörtern oder Text. 2

3 Organisatorisches II Prüfungsleistung: Klausur über alle Bestandteile der Veranstaltung Anteil Datenschutzrecht an der Gesamtleistung: 2/3 Üblicher Aufbau im Datenschutzrecht: Freitext- Fragen, Multiple Choice, evtl. ein kleiner Fall Es wird voraussichtlich eine Übungsklausur im Rahmen der Übungen gestellt und besprochen. 3

4 Literatur Literaturhinweise zur Vertiefung (Kauf für Vorlesung oder Klausur nicht erforderlich): Hoeren-Skript: /Skript_Internetrecht_April_2015.pdf Lehrbuch zum Datenschutzrecht von Kühling/Seidel/Sivridis, 2011 Kommentar zum BDSG Gola und Schomerus Referenzwerk: Siomitis Kommentar zum BDSG 4

5 Kurzvorstellung: Was macht das ULD? Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Öffentl. Verwaltungen Unternehmen Bürger, Kunden, Patienten Wirtschaft, Wissenschaft, Verwaltung 5

6 Identitätsmanagement PrimeLife, PRIME und FIDIS Europäisches Datenschutz-Gütesiegl - EuroPriSe Anonymität im Internet - AN.ON Datenschutz in Online-Spielen DOS Audit für Biobanken bdc-audit Datenschutz in Bürgerportalen Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung PRISE Virtuelles Datenschutzbüro Projekte

7 Warum gibt es Datenschutzrecht?

8 8

9 Entwicklung des Datenschutzes I Anfang der 70er Jahre: Computer in Verwaltung und Wirtschaft 1970: erstes Datenschutzgesetz in Hessen als erstes allgemeines Datenschutzgesetz der Welt 1977: Bundesdatenschutzgesetz Einführung von Datenschutzbeauftragten Automatisierte Datenverarbeitung Schutz personenbezogener Daten 1978: Landesdatenschutzgesetz Schleswig-Holstein 1981: alle Bundesländer haben ein LDSG 1983: Volkszählungsurteil 9

10 Volkszählungsurteil BVerfGE 65, 1: Anlass Verfassungsbeschwerde gegen Volkszählungsgesetz Melderegisterabgleich, Vermischung administrativer und statistischer Funktionen Wesentliche Inhalte: Die automatisierte Datenverarbeitung birgt die Möglichkeit der Auswertung und Verknüpfung von Datenbeständen, die an verschiedenen Orten vorhanden sind: keine belanglosen Informationen Möglich wird damit eine vollständige Offenlegung der Privatsphäre der Bürger (Stichwort: gläserner Bürger ) [Es] wird der Schutz des Einzelnen gegen unbegrenzte Erhebung [ ] seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen: => Recht auf informationelle Selbstbestimmung 10

11 Informationelle Selbstbestimmung Herleitung des Grundrechts Art. 1, Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Art. 2, Abs. 1 GG: "Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt." Inhalt der Informationellen Selbstbestimmung 1. Recht der Selbstbestimmung über die Preisgabe und Verwendung eigener Daten zu bestimmen 2. Schutz der Privatsphäre 3. Freie Entfaltung der Persönlichkeit 4. Aufrechterhaltung fairer Kommunikationsverhältnisse 11

12 BVerfG Online-Durchsuchung Schutz infomationstechn. Systeme Bundesverfassungsgericht 27. Feb Sachverhalt: Verfassungsschutzgesetz NRW sah Möglichkeit der Online-Durchsuchung vor. Urteil: Gesetz ist verfassungswidrig weil unverhältnismäßig, Schwere des Eingriffs muss besonders schwerwiegende Gefahr gegenüberstehen Eingriffsvoraussetzungen: Tatsächliche Anhaltspunkte für konkrete Gefahr für ein überragend wichtiges Rechtsgut (Leib, Leben, Freiheit der Person, Bestand des Rechtsstaates) Ein Ermächtigungsgesetz muss vorsehen: richterliche Anordnung Vorkehrungen für Schutz des Kernbereichs privater Lebensführung Erhebung aus laufendem Telekommunikationsvorgang unterfällt Art. 10 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 12

13 Personenbezogene Daten Was Bedeutet der Begriff Datenschutz? Schutz von Daten? Schutz der Person, deren Daten verarbeitet werden! u.a. 13

14 Personenbezogene Daten Personenbezogene Daten, 3 I BDSG Natürliche Person Kein Schutz für juristischer Personen mangels Menschenwürde. Aber: Schutz der natürlichen Person hinter der juristischen Person (Unternehmer) Ggf. postmortales Persönlichkeitsrecht? Einzelangaben über persönliche oder sachliche Verhältnisse Es gibt kein belangloses Datum unter den Bedingungen der automatischen Datenverarbeitung (Volkszählungsurteil). Alle Informationen, die über die Bezugsperson etwas aussagen. Bestimmte oder bestimmbare Person (Betroffener), 3 I BDSG Aus den Angaben muss sich ergeben, dass sie sich auf Person beziehen. 14

15 Persönliche oder familiäre Tätigkeiten Ausnahme vom Anwendungsbereich des BDSG Persönliche oder familiäre Tätigkeiten, 1 II Nr. 3 BDSG Abgrenzung des Bereichs persönlicher Lebensführung von beruflicher und geschäftlicher Sphäre. Äußerer Rahmen, organisatorische Anlage und inhaltliche Konzeption müssen persönliche/familiäre Zwecksetzung erkennen lassen. Beispiel: Nutzung einer Adressdatei auf PC von Familie und Freunden, private Fotosammlung, Urlaubsbilder. Nicht aber: Mitgliederliste eines Vereins, private Homepage, Social networks 1. Bei intensiven Rechtseingriffen: Abwehransprüche aus BGB möglich 1 zu social networks siehe: 15

16 Anonymisierung, Pseudonymisierung Rechtsfolgen BDSG / LDSG nicht anwendbar für anonyme Daten BDSG anwendbar aber erweiterte Verarbeitungsbefugnisse bei pseudonymen Daten 16

17 Personenbezogenes Datum? 3 I BDSG Einzelangaben über Persönliche und sachliche Verhältnisse Einer bestimmten oder bestimmbaren natürlichen Person Pseudonymisierung? Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen Bestimmbarkeit über Zuordnungsregel noch gegeben, damit liegt weiterhin Personenbezug vor. (juristisch umstritten: z.b. dynamische IP-Adressen) Anonymisierung? Verändern von personenbezogenen Daten derart, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht oder nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten, Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können Kein Personenbezug mehr! Rechtsfolge: Anonyme Daten / pseudonyme Daten zu denen der verarbeitenden Stelle die Zuordnungsregel unbekannt ist (umstritten), sind keinen personenbezogenen Daten mehr: Erleichterung der Datenverarbeitung! 17

18 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Beschaffen von Daten über Betroffenen Es ist eine gezieltes Beschaffen erforderlich. Daher kein Erheben, wenn ein Informant einer Behörde unaufgefordert etwas mitteilt, Stichwort: aufgedrängte Information. (Dann aber meist Nutzen ) Grundsatz der Direkterhebung: Daten sind bei dem Betroffenen selbst zu erheben, 4 II 1 BDSG. Ohne Kenntnis des Betroffenen dürfen Daten nur im engen Rahmen gesetzlicher Vorschriften erhoben werden, soweit dies zwingend erforderlich ist für den Zweck und Direkterhebung nur mit unverhältnismäßigem Aufwand möglich Informations- und Unterrichtungspflichten sind vor der Erhebung zu beachten. 18

19 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Speichern: jedes Fixieren von Daten (aufschreiben, speichern auf el. Datenträger, Entgegennehmen eines beschriebenen Datenträgers). Kein Speichern bei kurzzeitigem Zwischenspeichern Verändern: Das personenbezogene Datum erhält einen neuen Informations- und Aussagegehalt Übermitteln: Bekanntgabe an einen Dritten Sperren: Kennzeichnen von Daten, um weitere Verarbeitung einzuschränken. Z.B. nach Widerruf, während Aufbewahrungsfristen Löschen: Handlung, die dazu führt, dass Daten unkenntlich werden (Schreddern, Überschreiben) =>Anders als in der EU-DSRL im BDSG keine einheitliche Verwendung eines umfassenden Verarbeitungsbegriffs 19

20 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Jede Verwendung personenbezogener Daten, die keine Verarbeitung ist. Auffangtatbestand für nicht aufgezählte Vorgänge z.b. Weitergabe an empfangende Stelle, die nicht Dritte sondern nur Empfänger ist. Kein Nutzen ist Verwendung von Daten, die sich nicht auf den Personenbezug erstreckt (Statistik) Duplizieren, Kopieren, Auszüge anfertigen Weitergabe an Auftragsdatenverarbeiter (kein Dritter) 20

21 Wie funktioniert das Datenschutzrecht?

22 Sieben Goldene Regeln des Datenschutzes Rechtmäßigkeit Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung Einwilligung Informiert und freiwillig Zweckbindung Verwendung nur für Erhebungszweck Erforderlichkeit und Datensparsamkeit Verarbeitung nur soweit für Erhebungszweck erforderlich Transparenz und Betroffenenrechte Unterrichtung über Verwendung, Auskunfts-/Berichtigungs-/Löschrechte Datensicherheit Technische und organisatorische Maßnahmen Kontrolle Interner / externer Datenschutzbeauftragter; Audit 22

23 Rechtmäßigkeit Kern: Datenverarbeitung ist verboten, sofern nicht erlaubt in Gesetz oder via Einwilligung 4 Bundesdatenschutzgesetz (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Jede Datenverarbeitung bedarf einer Rechtsgrundlage Gesetz 28 Abs. 1 Satz 1 Nr. 1 Andere Rechtsvorschrift Einwilligung SGB, TKG, TMG, BerufsO 23

24 Rechtmäßigkeit Was ist wichtig? Jede Datenverarbeitung ist verboten, es sei denn sie ist erlaubt durch spezielle Normen, Einwilligung oder das BDSG bzw. LDSG, 4 I BDSG. Jedes Stadium der Datenverarbeitung bedarf einer Rechtsgrundlage. 24

25 Einwilligung 4a Bundesdatenschutzgesetz Eine Einwilligung ist eine Willensbekundung der/des Betroffenen, die freiwillig, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person zustimmt, dass die sie betreffenden personenbezogenen Daten erhoben, verarbeitet oder/und genutzt werden. 25

26 Was ist wichtig? Die Einwilligung muss informiert und freiwillig erfolgen. Die Einwilligung ist grundsätzlich schriftlich zu erteilen oder schriftlich zu bestätigen. Die Einwilligung ist mit Wirkung für die Zukunft widerruflich. 26

27 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. 27

28 Änderung des Verwendungszwecks Zweckänderung nur zulässig mit Legitimation (Gesetz, Einwilligung) 28 Abs. II, III BDSG Übermittlung/Nutzung zu anderen Zweck: Wahrung berechtigter Interessen eines Dritten Öffentliche Sicherheit Werbung, Markt- und Meinungsforschung Listenprivileg, 28 III S. 2 BDSG Forschung komplett neu 2009: 28 II, III 28

29 Erforderlichkeit Die Datenverarbeitung ist auf den für Ihren Erhebungszweck notwendigen Umfang zu begrenzen. Art Umfang Dauer der Datenverarbeitung 29

30 Erforderlichkeit Der Grundsatz der Erforderlichkeit knüpft an den jeweils verfolgten Zweck an: Für die Erreichung des festgelegten Zwecks müssen die persönlichen Daten geeignet und erforderlich sein. Verwaltung: nur diejenigen Daten, die für die Erfüllung der Aufgaben erforderlich sind Wirtschaft: grundsätzlich nur diejenigen Daten, die für Abwicklung des Vertrages erforderlich sind (Negativ-)Beispiele: Angabe von Telefonnummer, Geburtsdatum bei einem Kauf Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung Antworten auf Gesundheitsfragen bei der Wohnungssuche Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik der Personalabteilung keine Liste aller Geburtsdaten! 30

31 Was ist wichtig? Personenbezogene Daten dürfen nach Art, Umfang und Dauer nur soweit erhoben, verarbeitet und genutzt werden, wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall für die datenverarbeitende Stelle unverzichtbar ist. Personenbezogene Daten, die nicht mehr erforderlich sind, müssen gelöscht oder bei bestehenden Speicherpflichten aus anderen Gründen gesperrt werden. 31

32 Transparenz Die/der Betroffene muss in der Lage sein zu erfahren, wer welche Art von Daten in welchem Umfang und zu welchem Zweck erhebt, verarbeitet oder nutzt. Allgemeine und besondere Informations- und Benachrichtigungspflichten der verantwortlichen Stelle Organisatorische Transparenzverpflichtungen Auskunftsansprüche der Betroffenen 32

33 Was ist wichtig? Personenbezogene Daten sind bei den Betroffenen zu erheben. Dabei sind sie über die Identität der verantwortlichen Stelle, die Art der Daten, den Zweck der Verarbeitung sowie die Kategorien der Empfänger zu unterrichten. Ist die Erhebung nicht direkt bei den Betroffenen erfolgt, sind diese nachträglich davon zu unterrichten. Betroffene haben einen Auskunftsanspruch gegenüber der verantwortlichen Stelle. 33

34 Datensicherheit Datenschutz ist nur gewährleistet, wenn die personenbezogenen Daten auch technisch und organisatorisch sicher verarbeitet werden. 9 Bundesdatenschutzgesetz und Anlage zum Bundesdatenschutzgesetz Technische Maßnahmen Organisatorische Maßnahmen (innerbetriebliche Organisation) Schutzziele Vertraulichkeit Integrität Verfügbarkeit 34

35 Was ist wichtig? Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist durch technische und organisatorische Maßnahmen zu schützen Bei Datenverlust sind die Betroffenen zu unterrichten 35

36 Kontrolle Die Datenverarbeitung unterliegt einer internen und externen Kontrolle. Externe Kontrolle Aufsichtsbehörden 38 BDSG Interne Kontrolle Betrieblicher Datenschutzbeauftragter 4g BDSG 36

37 Welche Normen sind anwendbar?

38 Weltweit OECD 1980: Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten Kein Völkerrecht, sondern nur Empfehlungen Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien der Generalversammlung der Vereinten Nationen (UN) vom Dezember 1990 Safe Harbor-Abkommen USA EU 38

39 Art. 8 EU-Grundrechtecharta Grundrecht auf Datenschutz EG-Datenschutzrichtlinie 95/46/EG Allgemeiner Rahmen Wird gerade überarbeitet Richtlinie 2002/58/EG (überarbeitete Fassung von 2009) Telekommunikation / Internetdienste Richtlinie 2006/24/EG Vorratsdatenspeicherung EU 39

40 Bundesdatenschutzgesetz (BDSG) Allgemeine Datenschutzregelungen Für Bundesbehörden und Privatwirtschaft Landesdatenschutzgesetze Für Landesbehörden Telekommunikationsgesetz (TKG) Telekommunikationsdienste Telemediengesetz (TMG) Telemediendienste (u. a. Webseiten) Sozialgesetzbücher, Strafgesetzbuch Deutschland 40

41 Datenschutz im Rechtssystem Grundgesetz: Allg. Pers.R Recht auf informationelle Selbstbestimmung Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme Normenhierarchie BDSG SGB TKG, TMG LDSG LVwG (= PolizeiG ) 41

42 Datenschutz im Rechtssystem Grundrechte: Binden unmittelbar den Staat (Art. 1 Abs. 3 GG) Sind individuelle Abwehrrechte gegen den Staat Bedeuten Schutzpflicht für den Staat Träger: natürliche Personen, (juristische Personen: Art. 19 III GG) Ausstrahlungswirkung ins Privatrecht: Grundrechte wirken als objektive Wertordnung mittelbar auf Rechtsbeziehungen des Privatrechts; Generalklauseln sind verfassungskonform auszulegen Grundrechte sind nicht schrankenlos gewährleistet; Beschränkung nur innerhalb festgelegter Grenzen zulässig 42

43 Datenschutz im Rechtssystem Grundrechte mit Datenschutzrelevanz Artikel 1 und Artikel 2: Verankerung, allgpersr Artikel 3 GG Allgemeine Gleichbehandlung Artikel 4 GG Glaubens-und Gewissensfreiheit Artikel 5 GG Meinungsfreiheit Artikel 8 Versammlungsfreiheit Artikel 9 Vereinigungsfreiheit Artikel 10 Brief-, Post- und Fernmeldegeheimnis Artikel 13 Unverletzlichkeit der Wohnung 43

44 Aufsichtsstellen in Deutschland Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bundesbehörden Sonderzuweisungen: Telekommunikations- Unternehmen, Postwesen Landesbeauftragte für Datenschutz Landesbehörden Privatwirtschaft mit Sitz im jeweiligen Bundesland 44

45 BDSG: Regelungen für die Wirtschaft Abschnitte des BDSG: Erster Abschnitt BDSG (Allgemeiner Teil: 1 bis 11 BDSG) Zweiter Abschnitt BDSG (Bundesverwaltung) Dritter Abschnitt BDSG (Wirtschaft: 27 ff. BDSG) Fünfter Abschnitt BDSG (Bußgeld und Strafvorschriften: 43 f BDSG) Abschnitte des LDSG: Keine interne Aufteilung sondern Orientierung am zeitlichen Ablauf der Datenverarbeitung + Sonderregelungen 45

46 besondere Arten personenbezogener Daten Besondere Arten personenbezogener Daten, 3 Abs. 9 Rassische und ethnische Herkunft Politische Meinung Religiöse oder philosophische Überzeugung Gewerkschaftszugehörigkeit Gesundheit Sexualleben Besondere Anforderungen Ausdrückliche Einwilligung nach 4a Abs. 3 BDSG Besondere gesetzliche Anforderungen 28 Abs. 6ff. BDSG 46

47 Verantwortlichkeiten / Auftragsdatenverarbeitung

48 Verantwortlich Wer personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt Verantwortlichkeit Wer andere im Wege der Auftragsdatenverarbeitung für sich tätig werden lässt Auftragsdatenverarbeitung Datenverarbeitung nach Weisung des Auftraggebers Verlängerter Arm des Auftraggebers Beispiel: DV im Rechenzentrum Gegenteil: Übermittlung an einen Dritten / Funktionsübertragung 48

49 11 BDSG Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 49

50 11 BDSG Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Gilt entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 50

51 203 StGB Keine Auftragsdatenverarbeitung möglich, wenn Verletzung von Privatgeheimnissen Gilt für Geheimnisträger wie: Anwälte, Ärzte, Psychologen, Eheberater, Beratungsstellen, Versicherungen, Steuerberater Problembereiche: Aktenvernichtung, EDV-Wartung etc. 51

52 Bundesdatenschutzgesetz

53 Grundlagen Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener): 3 Abs. 1 BDSG Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt: 3 Abs. 7 BDSG Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat: 4 Abs. 1 BDSG 53

54 Besondere Regelungen 4d: Meldepflicht für Verfahren automatisierter Verarbeitung Ausnahme: Datenschutzbeauftragter bestellt Ausnahme: höchstens 9 Personen ständig mit Datenverarbeitung betraut Immer Meldepflicht: wenn Datenverarbeitung zum Zweck der Übermittlung/anonymisierten Übermittlung oder zu Zwecken der Markt- oder Meinungsforschung 54

55 4f BDSG: Datenschutzbeauftragter Datenschutzbeauftragter Bei automatisierter Verarbeitung personenbezogener Daten Wenn mindestens 10 Personen ständig mit automatisierter Verarbeitung beschäftigt sind Bei nicht-automatisierter Verarbeitung Wenn mindestens 20 Personen damit beschäftigt sind Fachkunde + Zuverlässigkeit + weisungsfrei Aufgaben: Kontrolle, Beratung, Schulung etc. 55

56 Auskunft ( 19, 34 BDSG) Rechte der Betroffenen Berichtigung ( 20, 35 BDSG) Löschung ( 20, 35 BDSG) Sperrung ( 20, 35 BDSG) 56

57 6a BDSB Automatisierte Einzelentscheidungen Entscheidungen, die rechtliche Folgen nach sich ziehen / den Betroffenen erheblich beeinträchtigen, sind unzulässig, wenn sie ausschließlich aufgrund automatisierter Datenverarbeitung getroffen werden Insbesondere, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person erfolgt Beispiel: Kreditentscheidung 57

58 Generalnormen 28 BDSG: Datenverarbeitung / -speicherung für eigene Geschäftszwecke Aufgrund eines rechtsgeschäftlichen Schuldverhältnisses, zur Wahrung berechtigter Interessen oder aus allgemein zugänglicher Quelle Beachten: schutzwürdiges Interesse des Betroffenen 58

59 28 Abs. 3b BDSG: Kopplungsverbot Generalnormen Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen [ ] abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. 59

60 29 BDSG: Datenverarbeitung zum Zweck der Übermittlung Typisch: Adresshandel / Auskunfteien Generalnormen 32 BDSG: Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses 60

61 Technische und organisatorische Maßnahmen ( 9 BDSG) Maßnahmen sind zu treffen, die erforderlich sind, um die Ausführungen des BDSG zu gewährleisten Angemessenes Verhältnis zwischen Aufwand und angestrebtem Schutzzweck zu beachten Beachten: Art der zu schützenden personenbezogenen Daten / Datenkategorien Anlage zu 9 Satz 1 BDSG regelt die konkreten Maßnahmen Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsprinzip (Zwecktrennung) 61

62 Vielen Dank! Noch Fragen? Henry Krasemann Tel