Datenschutz 2

Questions and Answers

Wann darf eine Ausnahme bei der Auslegung von Datenverarbeitungsregeln streng ausgelegt werden?

• Wenn die Datenverarbeitung im öffentlichen Interesse liegt.
• Wenn es sich um die Verarbeitung von Daten von Kindern unter 14 Jahren handelt.
• Immer, wenn ein überwiegend berechtigtes Interesse des Unternehmens vorliegt.
• Wenn die Datenverarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann. (correct)

Welche der folgenden Aussagen trifft auf die Datenverarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse zu?

• Sie darf nur von staatlichen Behörden durchgeführt werden.
• Sie ist immer zulässig, wenn sie der sozialen Sicherheit dient.
• Sie muss auf einer Grundlage im nationalen Recht oder im Unionsrecht basieren. (correct)
• Sie benötigt keine spezielle Rechtsgrundlage, solange ein öffentliches Interesse besteht.

Was muss bei der Bezugnahme auf ein überwiegend berechtigtes Interesse im Rahmen der Datenverarbeitung berücksichtigt werden?

• Die technischen Möglichkeiten zur Datenspeicherung.
• Die Höhe des finanziellen Gewinns für das Unternehmen.
• Die Notwendigkeit einer vorherigen Zustimmung der Aufsichtsbehörde.
• Die vernünftigen Erwartungen der betroffenen Person. (correct)

In welchem Fall ist die Verarbeitung personenbezogener Daten unzulässig?

Wenn keine Rechtsgrundlage für die Verarbeitung identifiziert werden kann. (A)

Welche Altersgruppe fällt unter die besondere Kategorie personenbezogener Daten?

Kinder bis 14 Jahre (C)

Welches der folgenden Beispiele zählt nicht zu den besonders sensiblen Daten?

Daten zum Einkommen (D)

Warum ist ein überwiegend berechtigtes Interesse allein keine ausreichende Rechtsgrundlage für die Verarbeitung sensibler Daten?

Weil der Schutz sensibler Daten einen höheren Stellenwert hat und strengere Anforderungen gelten. (C)

Welches der folgenden Beispiele ist ein Beispiel für biometrische Daten im Sinne des Datenschutzes?

Ein Fingerabdruck (B)

Welche Aussage trifft im Kontext von DSGVO-Bußgeldern nicht zu?

Behörden und öffentliche Stellen können grundsätzlich mit Geldbußen belegt werden. (D)

Wie wirken sich die im Jahr 2021 europaweit verhängten DSGVO-Bußgelder im Vergleich zu den Vorjahren aus?

Sie waren deutlich höher als in den Jahren 2019 und 2020. (B)

Welche der folgenden Aussagen beschreibt am besten den Begriff 'IT-Compliance'?

Die Einhaltung gesetzlicher, unternehmensinterner und vertraglicher Regelungen im IT-Bereich. (D)

Welche drei Säulen bilden die Grundlage für eine gute IT-Resilienz?

Informationssicherheit, Datenschutz-Management und betriebliches Kontinuitätsmanagement. (C)

Welches Ziel verfolgt das Datenschutzmanagement primär?

Die systematische Planung, Organisation, Steuerung und Kontrolle der gesetzlichen und betrieblichen Datenschutzanforderungen. (D)

Was gehört nicht zu den Zielen der Informationssicherheit?

Die freie und uneingeschränkte Verfügbarkeit aller Informationen für die Öffentlichkeit. (B)

Wie hängen Informationssicherheit und Datenschutzmanagement zusammen?

Sie ergänzen sich, wobei Informationssicherheit die technischen Aspekte und Datenschutzmanagement die organisatorischen Aspekte abdeckt. (D)

Ein Unternehmen speichert unverschlüsselt sensible Kundendaten. Welche Säule der IT-Resilienz wird hierbei primär vernachlässigt?

Informationssicherheit. (B)

Welche Aussage beschreibt am besten das 'Niederlassungsprinzip' im Kontext der DSGVO?

Die DSGVO gilt, wenn ein Unternehmen eine feste Einrichtung (z.B. Zweigstelle) in der EU hat und die Datenverarbeitung im Rahmen dieser Einrichtung erfolgt, unabhängig vom Ort der Verarbeitung. (C)

Ein Unternehmen mit Sitz außerhalb der EU betreibt eine deutschsprachige Website, über die es Produkte an Kunden in Deutschland verkauft und Zahlungen in Euro akzeptiert. Trifft die DSGVO auf dieses Unternehmen zu?

Ja, aufgrund des 'Marktortprinzip', da das Unternehmen sich gezielt an den europäischen Markt richtet. (C)

In welchen der folgenden Fälle findet die DSGVO keine Anwendung?

Eine Privatperson verarbeitet die Daten ihrer verstorbenen Großmutter für private Zwecke. (B)

Was bedeutet 'Profiling' im Kontext der DSGVO?

Die automatisierte Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte einer Person zu bewerten, insbesondere um Vorhersagen zu treffen. (B)

Welche der folgenden Länder sind nicht Teil des Europäischen Wirtschaftsraums (EWR) und unterliegen somit nicht direkt der DSGVO?

Schweiz (C)

Ein in der EU ansässiges Unternehmen speichert personenbezogene Daten auf Servern, die sich außerhalb der EU befinden. Welche Aussage trifft zu?

Die DSGVO findet Anwendung, da das Unternehmen in der EU ansässig ist und die Datenverarbeitung im Rahmen seiner Tätigkeit erfolgt. (B)

Ein ausländisches Unternehmen hat keine Niederlassung in der EU, bietet aber gezielt Dienstleistungen für EU-Bürger an und verarbeitet deren Daten. Welche Aussage ist korrekt bezüglich der Anwendbarkeit der DSGVO?

Die DSGVO ist anwendbar aufgrund des 'Marktortprinzips', da die Dienstleistungen gezielt EU-Bürgern angeboten werden. (A)

Welches der folgenden Beispiele stellt keine 'sichtbare Ausrichtung auf den europäischen Markt' im Sinne der DSGVO dar?

Eine Website ist lediglich auf Englisch verfügbar und listet Preise in US-Dollar. (C)

Welche der folgenden Situationen stellt keine gültige Rechtsgrundlage für die Verarbeitung sensibler Daten gemäß DSGVO dar?

Die Datenverarbeitung ist für die Ausübung von Rechten im Bereich des Arbeitsrechts erforderlich. (A)

Unter welchen Umständen ist die Verarbeitung sensibler Daten, die zur Rechtsverteidigung erforderlich sind, zulässig?

Wenn eine Rechtsgrundlage im nationalen Recht vorliegt. (A)

Welche Aussage trifft im Kontext der DSGVO hinsichtlich der Veröffentlichung von personenbezogenen Daten durch Dritte zu?

Vor der Verarbeitung muss geprüft werden, ob die Veröffentlichung tatsächlich durch die betroffene Person selbst erfolgt ist. (A)

Welche der folgenden Bedingungen führt nicht zwangsläufig zu verschärften Bedingungen bei der Verarbeitung sensibler Daten gemäß DSGVO?

Datenverarbeitung aufgrund einer Betriebsvereinbarung. (A)

Was ist die wichtigste Voraussetzung bei Umsetzung der DSGVO bezüglich der Information der Betroffenen über die Verarbeitung ihrer Daten?

Die Information muss spätestens zum Zeitpunkt der Erhebung der Daten erfolgen. (D)

Welche der folgenden Bedingungen müssen alle erfüllt sein, damit ein kleineres Unternehmen kein Verarbeitungsverzeichnis führen muss?

Die Datenverarbeitung stellt kein Risiko für die Rechte und Freiheiten der betroffenen Personen dar, erfolgt nur gelegentlich und beinhaltet keine sensiblen Daten. (C)

Ein Unternehmen mit 20 Mitarbeitern führt eine Lohnverrechnung und eine Kundendatei. Benötigt dieses Unternehmen ein Verarbeitungsverzeichnis?

Ja, da weder die Lohnverrechnung noch die Kundendatei nur gelegentlich geführt werden, wodurch die Ausnahmebedingungen nicht zutreffen. (D)

Welche Aussage beschreibt am besten die Einschränkungen bei der Verarbeitung sensibler Daten?

Sensible Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden, wie rechtliches Erfordernis oder Einwilligung. (B)

Ein Unternehmen plant, Gesundheitsdaten seiner Mitarbeiter zu verarbeiten, um die Arbeitsbedingungen zu verbessern. Welche der folgenden Rechtsgrundlagen wäre hierfür am wenigsten geeignet?

Die Veröffentlichung der Daten durch die Mitarbeiter auf einer internen Plattform. (B)

Was versteht man unter einer 'Verletzung des Schutzes personenbezogener Daten' (Data Breach) gemäß DSGVO?

Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt. (B)

Ein Verein verarbeitet sensible Daten seiner Mitglieder (politische Meinung, religiöse Ansichten). Welche Bedingung muss erfüllt sein, damit dies datenschutzrechtlich zulässig ist?

Der Verein darf keine Gewinnerzielungsabsicht haben und muss politisch, weltanschaulich oder religiös ausgerichtet sein. (A)

Welche der folgenden Handlungen stellt keinen Datenschutzvorfall dar?

Die ordnungsgemäße Löschung von Kundendaten nach Ablauf der Aufbewahrungsfrist. (B)

Ein Unternehmen wird Opfer eines Ransomware-Angriffs, bei dem Kundendaten verschlüsselt werden. In welche Kategorie fällt dieser Datenschutzvorfall?

Sowohl Verlust der Verfügbarkeit als auch Verlust der Vertraulichkeit von Informationen. (C)

Welche Art von Schaden kann nicht durch eine Verletzung des Schutzes personenbezogener Daten entstehen?

Physischer Schaden, wie z.B. körperliche Verletzungen. (D)

Welche der folgenden Situationen könnte zu einem Identitätsdiebstahl oder -betrug führen?

Unbefugte erlangen Zugang zu einer Datenbank mit Namen, Adressen und Geburtsdaten von Kunden. (A)

Ein Unternehmen stellt fest, dass Kundendaten aufgrund einer Sicherheitslücke in der Software offengelegt wurden. Welche der folgenden Maßnahmen sollte nicht als erste Reaktion erfolgen?

Die offengelegten Daten im Internet suchen und löschen. (B)

Welche der folgenden Anforderungen muss bei der Erfüllung der Informationspflichten gegenüber betroffenen Personen gemäß DSGVO beachtet werden?

Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer möglichst klaren und einfachen Sprache zugänglich gemacht werden. (C)

Ein Unternehmen stellt fest, dass unverschlüsselte Kundendaten durch einen Hackerangriff kompromittiert wurden. Welche Maßnahme muss der Verantwortliche gemäß DSGVO unverzüglich ergreifen?

Innerhalb von spätestens 72 Stunden muss eine Meldung an die Datenschutzbehörde durchgeführt werden. (B)

Was versteht man unter 'Datenschutz durch Technikgestaltung' im Kontext der DSGVO?

Die Integration von Datenschutzmaßnahmen in die Entwicklung und den Betrieb von Systemen von Anfang an. (A)

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) gemäß DSGVO zwingend erforderlich?

Wenn die Datenverarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. (C)

Welche der folgenden Aussagen beschreibt am besten die Verantwortlichkeit des 'Verantwortlichen' im Sinne der DSGVO?

Der Verantwortliche ist verpflichtet, ein Verzeichnis aller Datenverarbeitungstätigkeiten zu führen, die Informationspflichten zu erfüllen und Betroffenenrechte zu gewährleisten. (B)

Ein Unternehmen plant, Kundendaten für personalisierte Werbung zu nutzen. Welche Schritte sollte das Unternehmen vorab unternehmen, um die Rechtmäßigkeit gemäß DSGVO sicherzustellen?

Eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchführen, um die potenziellen Auswirkungen auf die Betroffenen zu bewerten. (C)

Wie sollte ein Unternehmen vorgehen, wenn eine betroffene Person ihr Recht auf Auskunft gemäß Artikel 15 DSGVO ausübt?

Das Unternehmen muss der betroffenen Person in präziser, transparenter und verständlicher Form Auskunft über die gespeicherten personenbezogenen Daten erteilen. (D)

Welche der folgenden Maßnahmen ist keine geeignete technische oder organisatorische Maßnahme im Sinne der DSGVO, um eine rechtmäßige Datenverarbeitung sicherzustellen?

Die Erstellung eines öffentlichen Profils aller Mitarbeiter auf der Unternehmenswebsite mit detaillierten Informationen über ihre Aufgaben und Verantwortlichkeiten. (C)

Flashcards

DSGVO Ausnahmen

Gilt nicht für anonymisierte Daten, Daten Verstorbener und den familiären/freundschaftlichen Bereich.

Besondere Ausnahme

Eine Ausnahme, die eng auszulegen ist und nur angewendet werden kann, wenn keine andere Rechtsgrundlage für die Datenverarbeitung existiert.

Räumlicher Anwendungsbereich DSGVO

Die DSGVO gilt, wenn der Datenverarbeiter in der EU ansässig ist oder sich betroffene Personen in der EU befinden.

Öffentliches Interesse/öffentliche Gewalt

Die Datenverarbeitung muss auf nationalem Recht oder EU-Recht basieren.

EWR-Länder

Island, Liechtenstein und Norwegen.

Vernünftige Erwartungen

Die Erwartungen der betroffenen Person zum Zeitpunkt der Datenerhebung müssen berücksichtigt werden.

Niederlassungsprinzip (DSGVO)

Wenn die Niederlassung eines Verarbeiters in der EU ist und die Datenverarbeitung im Rahmen dieser Niederlassung erfolgt.

Abwägung des berechtigten Interesses

Eine sorgfältige Abwägung muss erfolgen, ob die betroffene Person die Folgen der Datenerhebung vernünftigerweise absehen konnte.

Was ist eine Niederlassung?

Eine tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung (z.B. Zweigstelle, Tochtergesellschaft).

Keine Rechtsgrundlage

Wenn keine Rechtsgrundlage gefunden werden kann, ist und bleibt die Datenverarbeitung unzulässig.

Marktortprinzip (DSGVO)

Wenn sich betroffene Personen in der EU aufhalten und Waren/Dienstleistungen angeboten werden.

Daten von Minderjährigen

Daten von Kindern unter 14 Jahren.

Sichtbare Ausrichtung auf EU-Markt

Die sichtbare Ausrichtung auf den europäischen Markt (z.B. EU-Sprache, Bestellungen in EU möglich, europäische Währungen).

Sensible Daten (Beispiele)

Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen.

Beobachtung des Verhaltens (DSGVO)

Die Beobachtung des Verhaltens von Personen in der EU, z.B. Profiling des Online-Verhaltens.

Beispiele für sensible Daten

Fingerabdrücke, Iris-Scans oder Krankenakten.

Einwilligung (sensible Daten)

Ausdrückliche Zustimmung der betroffenen Person zur Verarbeitung ihrer sensiblen Daten.

Arbeits-/Sozialrecht

Datenverarbeitung notwendig, um Rechte auszuüben oder Pflichten im Arbeits- und Sozialrecht zu erfüllen.

Betriebsvereinbarung/Tarifvertrag

Ermächtigung zur Datenverarbeitung durch eine Betriebsvereinbarung oder einen Tarifvertrag.

Lebenswichtige Interessen

Datenverarbeitung ist notwendig, um das Leben der betroffenen Person zu schützen, wenn diese nicht einwilligen kann.

Mitgliederverwaltung (Organisationen)

Datenverarbeitung durch Organisationen (politisch, religiös, etc.) bei Mitgliederverwaltung ohne Gewinnabsicht.

Öffentlich gemachte Daten

Sensible Daten, die die betroffene Person selbst veröffentlicht hat (z.B. in sozialen Medien).

Rechtsverteidigung

Datenverarbeitung ist notwendig zur Rechtsverteidigung oder Rechtsdurchsetzung.

Informationspflichten

Betroffene müssen über die Verarbeitung ihrer personenbezogenen Daten informiert werden, bevor die Daten erhoben werden.

Pflicht des Verantwortlichen

Verzeichnis aller Datenverarbeitungstätigkeiten führen.

Form der Informationsübermittlung

Informationen können schriftlich, elektronisch oder mündlich erfolgen. Schriftliche Bestätigung wird bei mündlicher Erteilung empfohlen.

Technische und organisatorische Maßnahmen

Geeignete technische und organisatorische Maßnahmen zur Sicherstellung rechtmäßiger Datenverarbeitung umsetzen.

Datensicherheitsmaßnahmen

Implementierung von Datensicherheitsmaßnahmen sowie Datenschutz durch datenschutzfreundliche Voreinstellungen und Technikgestaltung.

Zusammenarbeit mit Aufsichtsbehörde

Auf Anfrage der Aufsichtsbehörde zur Zusammenarbeit verpflichtet sein.

Meldepflicht bei Datenschutzverletzung

Innerhalb von 72 Stunden ab dem Erkennen des Vorfalls eine Meldung an die Datenschutzbehörde durchführen.

Datenschutz-Folgenabschätzung

Bei hohem Risiko für Betroffene eine Datenschutz-Folgenabschätzung vornehmen.

Verarbeitungsverzeichnis

Ein Verzeichnis, das die Verarbeitung personenbezogener Daten dokumentiert.

Pflicht zur Führung eines Verarbeitungsverzeichnisses

Unternehmen mit mehr als 250 Mitarbeitern sind grundsätzlich verpflichtet, ein Verarbeitungsverzeichnis zu führen.

Ausnahmen der Verzeichnis-Pflicht

Datenverarbeitungen, die kein Risiko für Betroffene darstellen, nur gelegentlich erfolgen und keine sensiblen Daten umfassen.

Häufigkeit der Datenverarbeitung

Die Lohnverrechnung und Kundendateien werden fast immer regelmäßig geführt.

Verletzung des Schutzes personenbezogener Daten

Eine Sicherheitsverletzung, die zur Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt.

Datenschutzvorfall

Unbefugte erhalten Zugriff auf personenbezogene Daten.

Beispiele für Datenschutzvorfälle

Verlust von Datenträgern oder Hackerangriffe.

Kategorien von Datenschutzvorfällen

Verlust der Verfügbarkeit, Vertraulichkeit oder Integrität von Informationen.

DSGVO Bußgelder: Ausnahmen

Geldbußen sind gegen Behörden und öffentliche Stellen im gesetzlichen Auftrag sowie gegen Körperschaften des öffentlichen Rechts ausdrücklich nicht möglich.

DSGVO: Vertretung

Betroffene können sich bei der Geltendmachung ihrer Ansprüche von einer Einrichtung, Organisation oder Vereinigung vertreten lassen.

IT-Compliance Definition

Die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT.

Säulen der IT-Resilienz

Informationssicherheit, Datenschutzmanagement und betriebliches Kontinuitätsmanagement.

Ziele der Informationssicherheit

Die Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten.

Zweck der Informationssicherheit

Schutz vor Gefahren und Bedrohungen, Vermeidung von wirtschaftlichen Schäden und Minimierung von Risiken.

Datenschutzmanagement Definition

Eine Methode, um Datenschutzanforderungen systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren.

Ziel des Datenschutzmanagements

Eine Systematik, um den Datenschutz langfristig und nachvollziehbar im Unternehmen zu verankern.

Study Notes

Datenschutz-Grundverordnung (DSGVO)

• Die DSGVO regelt den Datenschutz in der Europäischen Union.

Elementare Begriffe der DSGVO

• Auftragsverarbeiter: Verarbeitet Daten im Auftrag des Verantwortlichen, entscheidet aber nicht über Mittel und Zwecke.
• Auftragsverarbeitungsvertrag: Muss abgeschlossen werden, wenn ein Dienstleister potenziellen Zugang zu personenbezogenen Daten hat.
• Betroffener: Derjenige, dessen Daten verarbeitet werden; nach der DSGVO können nur natürliche Personen betroffen sein.
• Empfänger: Derjenige, an den der Verantwortliche Daten weitergibt, und der sie dann eigenverantwortlich verarbeitet, inklusive Rechtsanwälte, Steuerberater und Wirtschaftsprüfer.
• Personenbezogene Daten: Eindeutig identifizierte oder identifizierbare natürliche Personen, inklusive Name, Kennnummer, Standortdaten oder Online-Kennung sowie physische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale.
• Verantwortlicher: Derjenige, der die Daten verarbeitet und über Zweck und Mittel der Verarbeitung entscheidet, dies kann eine natürliche oder juristische Person, eine Behörde oder eine Einrichtung sein.
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erheben, Erfassen, Organisieren, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Abgleichen, Verknüpfen, Einschränken, Löeschen oder Vernichten.

Gültigkeitsbereich der DSGVO

• Die DSGVO gilt für alle Unternehmen, die auf dem deutschen Markt tätig sind, ohne Ausnahmen für kleinere Unternehmen.
• Sie gilt für personenbezogene Daten lebender Personen, in Deutschland auch für juristische Personen.
• Sie gilt nicht für anonymisierte Daten, Daten verstorbener Personen und familiäre Daten.
• Der räumliche Anwendungsbereich umfasst Fälle, in denen der Datenverarbeiter in der EU ansässig ist, und Fälle, in denen sich die betroffenen Personen innerhalb der EU befinden.
• Der Europäische Wirtschaftsraum (EWR), einschließlich Island, Liechtenstein und Norwegen, wird der EU gleichgestellt.
• Das Niederlassungsprinzip gilt, wenn sich die Niederlassung eines Verarbeiters in der EU befindet und die Datenverarbeitung im Rahmen der Tätigkeit dieser Niederlassung erfolgt, auch wenn die Verarbeitung außerhalb der EU stattfindet.
• Eine Niederlassung ist die tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung.
• Das Marktortprinzip gilt für die Verarbeitung personenbezogener Daten, wenn sich die betroffenen Personen in der EU aufhalten und damit Waren oder Dienstleistungen angeboten werden.
• Eine sichtbare Ausrichtung auf den europäischen Markt muss erkennbar sein, z. B. durch Verwendung der Sprache eines EU-Landes.
• Die Beobachtung des Verhaltens von Personen, die sich in der EU befinden, unterliegt der DSGVO, inklusive Profiling des Online-Verhaltens.

Grundprinzipien des Datenschutzrechtes

• Verantwortliche und Auftragsverarbeiter müssen Grundsätze für die Verwendung personenbezogener Daten einhalten und deren Einhaltung nachweisen.
• Das Datenschutzrecht ist ein Grundrecht und die Maßnahmen zur Herstellung von Datenschutz-Compliance müssen risikobasiert skaliert werden.
• Die Grundsätze sind in der DSGVO festgelegt:
  • Rechtmäßigkeit: Personenbezogene Daten müssen auf rechtmäßige Art verarbeitet werden, d.h. es muss eine Rechtsgrundlage vorliegen.
  • Treu und Glauben: Die Verarbeitung darf nur nach Treu und Glauben erfolgen und die berechtigten Interessen der Betroffenen müssen berücksichtigt werden.
  • Transparenz: Betroffene Personen müssen über die Verarbeitung ihrer personenbezogenen Daten informiert werden.
  • Zweckbindung: Personenbezogene Daten dürfen nur für einen vorab festgelegten, eindeutigen und legitimen Zweck erhoben werden.
  • Datenminimierung: Art und Umfang der Datenverarbeitung müssen auf das notwendige Maß beschränkt werden.
  • Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem aktuellen Stand sein.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange vorgehalten werden, wie es für den festgelegten Zweck notwendig ist.
  • Integrität und Vertraulichkeit: Es müssen angemessene Maßnahmen zum Schutz der Datensicherheit implementiert werden.
  • Rechenschaftspflicht: Das verantwortliche Unternehmen muss aktive Compliance-Maßnahmen implementieren und die Einhaltung der Grundsätze nachweisen.

Rechtmäßigkeit der Datenverarbeitung

• Jede Datenverarbeitung benötigt eine eigene Rechtsgrundlage und jede Form der Datenverarbeitung, die nicht ausdrücklich erlaubt ist, ist verboten.
• Die Rechtsgrundlage kann die ausdrückliche Einwilligung der betroffenen Person oder eine sonstige zulässige Rechtsgrundlage sein:
  • Einwilligung: Muss freiwillig erfolgen und kann jederzeit widerrufen werden. Sie kann schriftlich, elektronisch oder mündlich erfolgen.
  • Vertragserfüllung: Zum Beispiel die Verarbeitung der Lieferanschrift zur Zustellung bestellter Ware.
  • Gesetzliche Verpflichtung: Zum Beispiel die Übermittlung von Gehaltsdaten an eine gesetzliche Krankenversicherung.
  • Schutz lebenswichtiger Interessen: Zum Beispiel die Ermittlung der Blutgruppe eines bewusstlosen Schwerverletzten.
  • Aufgabe im öffentlichen Interesse/Ausübung öffentlicher Gewalt: Relevant für Behörden.
  • Überwiegend berechtigte Interessen: Erfordert eine ausgewogene Interessensabwägung und detaillierte Prüfung der Datenverarbeitung, wie z.B. die Prüfung des beruflichen E-Mail-Verkehrs auf Viren.
• Eine Einwilligung muss freiwillig und für einen bestimmten Zweck erfolgen; im Falle einer mündlichen Erklärung muss sich der Verantwortliche der Beweisbarkeit bewusst sein.
• Erfolgt die Verarbeitung zur Erfüllung eines Vertrages, ist sie ebenfalls rechtmäßig.
• Bei einer rechtlichen Verpflichtung kann ein Gesetz die Grundlage für mehrere Verarbeitungsvorgänge darstellen, wobei der Verarbeitungszweck festgelegt sein muss.
• Lebenswichtige Interessen der betroffenen Personen rechtfertigen die Verarbeitung ihrer personenbezogenen Daten, besonders in Notfallsituationen.
• Erfolgt die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, muss dafür eine Grundlage im nationalen Recht oder Unionsrecht bestehen.
• Bei der Bezugnahme auf ein überwiegend berechtigtes Interesse müssen die vernünftigen Erwartungen der betroffenen Person berücksichtigt werden.
• Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig.

Besondere Kategorien von Daten

• Für sensible Daten gelten noch strengere Rechtsgrundlagen.
• Daten von Kindern bis 14 Jahren gelten z.B. als besondere Kategorie.
• Sensible Daten sind rassische oder ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
• Ein überwiegend berechtigtes Interesse ist für sensible Daten keine ausreichende Rechtsgrundlage.
• Mögliche Rechtsgrundlagen für sensible Daten sind:
  • Ausdrückliche Einwilligung des Betroffenen
  • Notwendigkeit der Datenverarbeitung für die Ausübung von Rechten oder Pflichten im Bereich des Arbeits- oder Sozialrechts
  • Ermächtigung durch eine Betriebsvereinbarung oder einen Kollektivvertrag
  • Lebenswichtige Interessen des Betroffenen, ohne Einwilligung
  • Mitgliederverwaltung durch politisch, religiös oder gewerkschaftlich ausgerichtete Organisationen ohne Gewinnabsicht
  • Vom Betroffenen selbst veröffentlichte sensible Daten
  • Daten zur Rechtsverteidigung oder Rechtsdurchsetzung
  • Rechtsgrundlage im nationalen Recht, insbesondere im Gesundheits- oder Sozialwesen
• Bei sensiblen Daten ist teilweise eine begrenzte Speicherdauer erforderlich.
• Werden sensible Daten verarbeitet, sieht die DSGVO verschärfte Bedingungen vor.
• Eine Datenverarbeitung ist zulässig, wenn die betroffenen Personen ihre personenbezogenen Daten selbst öffentlich gemacht haben, wobei geprüft werden muss, ob die Veröffentlichung der Daten durch die betroffenen Personen selbst erfolgt ist.

Informationspflichten

• Die Betroffenen müssen spätestens zum Zeitpunkt der Erhebung ihrer Daten über die Verarbeitung informiert werden, z.B. in Form einer Datenschutzerklärung oder eines Cookie-Banners.
• Üblich sind auch schriftliche Einwilligungserklärungen, oder ein Aushang bei Videoüberwachung.
• Die Information muss den Betroffenen leicht zugänglich gemacht werden.
• Die Informationspflicht entfällt, wenn ein Betroffener bereits über die Informationen verfügt oder wenn die Daten nicht beim Betroffenen selbst erhoben werden und deren Verarbeitung durch nationales oder EU-Recht geregelt ist oder einem gesetzlichen Berufsgeheimnis unterliegt.
• Bei unverhältnismäßig hohem Aufwand kann die Information stufenweise erfolgen.

Rechte von Betroffenen

• Betroffenenrechte ermöglichen es, sich gegen unrichtige oder unvollständige Datensätze zu wehren.
• Dazu gehören:
  • Informationspflicht bei Erhebung von personenbezogenen Daten
  • Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden
  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
• Bei einem Auskunftsbegehren gilt eine Mitwirkungspflicht des Betroffenen, wenn der Verantwortliche eine große Menge von Informationen verarbeitet.
• Die Identität des Betroffenen muss im Falle eines Auskunftsbegehrens nachgewiesen werden, z.B. durch Passwort, elektronische Signatur, Lichtbildausweis oder Video-Konferenz und wird vorzugsweise mit einer Zwei-Faktoren-Identifizierung durchgeführt.
• Das Auskunftsrecht wurde anfangs nicht ernst genommen, ist aber inzwischen relevant.
• Das Recht auf Datenübertragbarkeit kann nur unter bestimmten Voraussetzungen geltend gemacht werden, z.B. nicht bei analogen Daten in Aktenordnern oder wenn die Daten unter definierten Rechtsgrundlagen verarbeitet wurden oder der Betroffene bereits eingewilligt hat.
• Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format übergeben werden.
• Das Widerspruchsrecht kann geltend gemacht werden, wenn die Daten auf Grundlage eines überwiegend berechtigten Interesses, im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt zu Zwecken der Direktwerbung oder zu wissenschaftlichen Forschungszwecken verarbeitet werden.
• Das Recht auf Vergessenwerden greift, wenn der Verantwortliche keine Rechtsgrundlage mehr für die Daten des Betroffenen hat.
• Wird einem Löschbegehren nicht entsprochen, müssen dem Betroffenen Gründe für die Ablehnung mitgeteilt werden, andernfalls muss gelöscht werden, und die Betroffenen sowie auch alle Empfänger sind davon zu informieren.
• Backup-Daten sind von einer Löschung aufgrund einer Anfrage eines Betroffenen grundsätzlich nicht betroffen, solange die Aufbewahrung des Backups aus Gründen der Datensicherheit erforderlich ist.
• Der Verantwortliche hat einen Monat Zeit, auf die Inanspruchnahme der Rechte zu reagieren, die Bearbeitungsfrist kann sich auf bis zu zwei Monaten verlängern.

Pflichten von Verantwortlichen und Auftragsverarbeitern

• Ein Verantwortlicher muss nachweisen, dass er alle ihm auferlegten Pflichten erfüllt und ist erster Ansprechpartner.
• Unbedingt zu befolgende Pflichten sind:
  • Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Erfüllung der Informationspflichten gegenüber den betroffenen Personen und Beantwortung von Anträgen und Anfragen
  • Erfüllung der Betroffenenrechte
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung einer rechtmäßigen Datenverarbeitung
  • Implementierung der Datensicherheitsmaßnahmen sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen und Technikgestaltung
• Der Verantwortliche muss bei einer Datenschutzverletzung innerhalb von 72 Stunden eine Meldung an die Datenschutzbehörde durchführen und ggf. die betroffenen Personen direkt informieren.
• Er muss Risikoanalysen durchführen, bei hohem Risiko für betroffene Personen zusätzlich eine Datenschutz-Folgenabschätzung vornehmen.
• Bei umfangreicher Verarbeitung sensibler Daten muss ein Datenschutzbeauftragter bestellt werden, ebenso bei Daten über strafrechtliche Verurteilungen und Straftaten.
• Der Verantwortliche muss sicherstellen, dass die Verarbeitung von personenbezogenen Daten entsprechend der DSGVO erfolgt und dies nachweisen können.

Zusammenarbeit mit Auftragsverarbeitern

• Die Datenverarbeitung durch einen Auftragsverarbeiter erfolgt immer im Interesse des Verantwortlichen.
• Auftragsverarbeiter müssen den Schutz der betroffenen Personen gewährleisten können und geeignete technische und organisatorische Maßnahmen treffen.
• Jeder Auftragsverarbeiter muss ein Verzeichnis aller Kategorien von Tätigkeiten führen, die im Auftrag des Verantwortlichen durchgeführt werden.
• Der Auftragsverarbeiter ist verpflichtet, auf Anfrage mit der Datenschutzbehörde zusammenzuarbeiten, den Verantwortlichen bei der Erfüllung der Pflichten nach der DSGVO zu unterstützen und Risikoanalysen durchzuführen.
• Ohne vorherige schriftliche Genehmigung des Verantwortlichen darf kein weiterer Auftragsverarbeiter beauftragt werden.
• Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages, der zum Beispiel auf Standardvertragsklauseln der Europäischen Kommission beruhen kann, schriftlich oder elektronisch abgeschlossen sein muss und unter anderem die Bindung an den Verantwortlichen, den Gegenstand und die Dauer der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen sowie die Pflichten des Verantwortlichen enthalten muss.
• Der Auftragsverarbeiter ist nicht verpflichtet, selbst Anfragen von Betroffenen zu beantworten, sondern sollte diese an den Verantwortlichen weiterleiten.
• Der Auftragsverarbeiter unterliegt einer Warnpflicht, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen das Datenschutzrecht verstößt.
• Zwei oder mehr Verantwortliche können gemeinsam für die Verarbeitung verantwortlich sein und die Zwecke und Mittel festlegen; in diesem Fall ist in einer Vereinbarung festzuhalten, wer welche Pflicht übernimmt, wobei betroffene Personen ihre Rechte gegenüber jedem Einzelnen geltend machen können.

Verzeichnis der Datenverarbeitungstätigkeiten

• Ein Verzeichnis über die Verarbeitung von Daten muss geführt werden.
• Dieses Verarbeitungsverzeichnis muss sämtliche Verarbeitungstätigkeiten enthalten und folgende Items auflisten:
  • Name und Kontaktdaten des Verantwortlichen, ggf. eines Vertreters und eines Datenschutzbeauftragten
  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien der betroffenen Personen und der Kategorien der personenbezogenen Daten
  • Kategorien von Empfängern
  • Übermittlungen von personenbezogenen Daten an ein Drittland außerhalb der Europäischen Union
  • Fristen für die Löschung der verschiedenen Datenkategorien oder Kriterien für die Festlegung der Aufbewahrungsdauer
  • Allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen
• Das Verarbeitungsverzeichnis muss schriftlich oder elektronisch geführt werden (z.B. als Word- oder Excel-Datei).
• Das Verzeichnis muss nur gegenüber der Aufsichtsbehörde offengelegt werden.
• Die Pflicht zur Führung eines Verarbeitungsverzeichnisses gilt grundsätzlich nur für Unternehmen mit mehr als 250 Mitarbeiterinnen, wobei kleinere Unternehmen nur unter bestimmten Bedingungen von der Verpflichtung befreit sind: Die Datenverarbeitungen dürfen kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, nur gelegentlich erfolgen und keine sensiblen Daten beinhalten.

Verletzung des Schutzes personenbezogener Daten

• Eine Verletzung ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von personenbezogenen Daten oder zum unbefugten Zugang zu personenbezogenen Daten führt, unabhängig davon, ob dies unbeabsichtigt oder unrechtmäßig erfolgt.
• Ein Datenschutzvorfall ist der Umstand, dass Unbefugte Zugang zu personenbezogenen Daten erhalten (z.B. durch Verlust eines Datenträgers oder Hackerangriff).
• Ein Datenschutzvorfall kann potenziell in drei Kategorien erfolgen:
  • Verlust der Verfügbarkeit von Informationen
  • Verlust der Vertraulichkeit von Informationen
  • Verlust der Integrität
• Den betroffenen Personen kann dadurch ein physischer, materieller oder immaterieller Schaden entstehen.
• Eine Meldung an die zuständige Aufsichtsbehörde ist erforderlich, wenn ein Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.
• Bei einem hohen Risiko ist zusätzlich die betroffene Person zu benachrichtigen.
• Ein Auftragsverarbeiter muss die Verletzung unverzüglich dem Verantwortlichen melden.
• Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen, wobei die Verzögerung zu begründen ist.

Datenschutz-Folgenabschätzung

• Eine Datenschutz-Folgenabschätzung ist eine Selbstevaluierung, bei der die Auswirkungen und Risiken der Datenverarbeitungen für die Rechte und Freiheiten der Betroffenen untersucht werden. Eine Folgenabschätzung ist immer dann erforderlich, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht.
• Die Artikel 29-Gruppe hat neun Kriterien entwickelt, um das Risiko zu prüfen sind:
• Der Verarbeitungsvorgang bewirkt ein Bewerten oder Einstufen betroffener Personen.
• Der Verarbeitungsvorgang beinhaltet eine automatisierte Entscheidungsfindung mit Rechtswirkung
• Der Verarbeitungsvorgang beinhaltet möglicherweise eine systematische Überwachung
• Es werden vertrauliche oder höchst persönliche Daten verarbeitet
• Die Datenverarbeitung erfolgt in großem Umfang
• Die Datenverarbeitung beinhaltet ein potenzielles Abgleichen oder Zusammenführen von Datensätzen
• Es werden möglicherweise Daten schutzbedürftiger betroffener Personen verarbeitet
• Der Verarbeitungsvorgang beinhaltet eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
• Die Datenverarbeitung kann die betroffenen Personen potenziell an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung hindern
• Sind zwei oder mehrere Kriterien mit ja zu beantworten und besteht ein hohes Risiko, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Datenübermittlung an Drittländer

• Die Datenübermittlung an ein Drittland sind alle Staaten außerhalb der Europäischen Union und des EWR. Die Übermittlung ist zulässig, wenn das betreffende Drittland ein angemessenes Schutzniveau bietet oder geeignete Garantien vorliegen, wie z.B. interne Datenschutzvorschriften, Standarddatenschutzklauseln.

Strafausmaß

• Strafrahmen sind bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes vorgesehen und wird der jeweils höhere Betrag herangezogen.
• Folgende Faktoren spielen in Bezug auf die Höhe der Geldbuße eine Rolle:
  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzliches oder fahrlässiges Handeln
  • Maßnahmen zur Minderung des Schadens
  • Angemessene technische und organisatorische Maßnahmen
  • Wiederholte Tat
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorien personenbezogener Daten besonders sensible oder strafrechtlich relevante Daten
  • Selbstanzeige
  • Verstoß gegen einen Bescheid der Aufsichtsbehörde
  • Finanzielle Vorteile durch den Verstoß
• Betroffene haben das Recht, sowohl für materielle als auch für immaterielle Schäden Schadenersatz zu erhalten.
• Die Höhe der Strafe richtet sich weiterhin nach Schaden und Größe des Unternehmens.

Datenschutz & IT-Compliance

• Unter IT-Compliance versteht man die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft.
• Eine gute IT-Resilienz basiert auf den drei Säulen Informationssicherheit, Datenschutz-Management und betrieblichem Kontinuitätsmanagement.
• Die DSGVO sieht vor, dass ein jeweils dem Risiko angemessenes Schutzniveau gewährleistet werden muss, und kann man grundsätzlich technische, organisatorische und physische Maßnahmen unterscheiden, in präventive, detektive, reaktive oder abschreckende Maßnahmen unterteilen.

Unterschiede bei der Auslegung der DSGVO in Deutschland und anderen Ländern Europas

• Bei der Umsetzung der DSGVO gibt es Spielräume in den Mitgliedsstaaten.
• Allerdings enthält die DSGVO auch eine Öffnungsklausel, wonach jedes Mitgliedsland Vorschriften festlegen kann

Description

Testen Sie Ihr Wissen über Ausnahmen bei der Auslegung von Datenverarbeitungsregeln. Beantworten Sie Fragen zu Aufgaben im öffentlichen Interesse, berechtigten Interessen und unzulässiger Datenverarbeitung. Vertiefen Sie Ihr Verständnis für sensible Daten, biometrische Daten und DSGVO-Bußgelder.