Prinzipien

💡 Grundlagen des Datenschutzrechts

• Rechtmäßigkeit der Verarbeitung
  • Verbot mit Erlaubnisvorbehalt
• Grundsätze für die Verarbeitung personenbezogener Daten
  • a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • b) Zweckbindung
  • c) Datenminimierung
  • d) Richtigkeit
  • e) Speicherbegrenzung
  • f) Integrität und Vertraulichkeit
• Betroffenenrechte
  • Recht auf Information
  • Recht auf Auskunft
    • Recht auf Datenübertragbarkeit
  • Recht auf Berichtigung
  • Recht auf Löschung / "Recht auf Vergessenwerden"
    • Recht auf Widerspruch
    • Recht auf Einschränkung der Verarbeitung
• Verarbeitung besonderer Kategorien personenbezogener Daten
• Melde-/Benachrichtigungspflichten

Rechtmäßigkeit der Verarbeitung

(Art. 6 DSGVO)

❓❗ Unter welchen Bedingungen ist eine Speicherung oder Verarbeitung von personenbezogenen Daten erlaubt?

Verbot mit Erlaubnisvorbehalt

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Grundsätze für die Verarbeitung personenbezogener Daten

(Art. 5 DSGVO)

❓❗ Was muss bei der Speicherung oder Verarbeitung von personenbezogenen Daten berücksichtigt werden?

a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

=> siehe Art. 6 DSGVO (Verbot mit Erlaubnisvorbehalt)

=> Es muss Betroffenen möglich sein, den Prozess der Verarbeitung und Zusammenhänge zu überblicken und verstehen (Wann wurden durch wen welche Daten warum verarbeitet?)

b) Zweckbindung

=> Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke

c) Datenminimierung

=> „dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“

d) Richtigkeit

=> „es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“

e) Speicherbegrenzung

=> Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“

f) Integrität und Vertraulichkeit

=> „angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“

Betroffenenrechte

(Art. 12 bis 23 DSGVO)

❓❗ Welche Rechte haben von Datenverarbeitung betroffene Personen gemäß DSGVO?

💬 Welche Konsequenzen ergeben sich für Diensteanbieter aus den Betroffenenrechten?

📝❗ FiSi AP2 Konzeption Sommer 2022 Aufgabe 3bc

Recht auf Information

(Art. 13 DSGVO)

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln […]

Recht auf Auskunft

(Art. 15 DSGVO)

=> betroffene Person dürfen von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten über Sie gespeichert werden

Recht auf Datenübertragbarkeit

(Art. 20 DSGVO)

(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln […]

Recht auf Berichtigung

(Art. 16 DSGVO)

=> wenn gespeicherte Daten unrichtig sind, so können Sie deren unverzügliche Berichtigung verlangen

Recht auf Löschung / "Recht auf Vergessenwerden"

(Art. 17 DSGVO)

„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:“

Gründe a) bis f)

Recht auf Widerspruch

(Art. 21 DSGVO)

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen

Recht auf Einschränkung der Verarbeitung

(Art. 18 DSGVO)

=> Wenn die Berichtigung falscher Daten verlangt oder Widerspruch gegen die Verarbeitung eingelegt wurde, muss die Verarbeitung der Daten vom Verantwortlichen bis zum Abschluss seiner Prüfung eingeschränkt werden

💡 Hervorragende Beispielprojekte (Vorträge), wie erfolgreicher Lobbyismus für digitale Rechte durch Nutzung der Betroffenenrechte aussehen kann :)

Verarbeitung besonderer Kategorien personenbezogener Daten

(Art. 9 DSGVO)

❓❗ Welche Daten sind über das bisher gelernte hinaus besonders zu schüzten?

Folgende Kategorien von Daten, die ein besonders hohes Risiko für die Grundrechte und Freiheiten der betroffenen Personen darstellen, unterliegen einem besonders hohem Schutzbedarf:

• rassische und ethnische Herkunft
• politische Meinungen, Gewerkschaftszugehörigkeit
• religiöse oder weltanschauliche Überzeugungen
• Gesundheitsdaten, genetische Daten, biometrischen Daten
• Daten zum Sexualleben oder der sexuellen Orientierung

Melde-/Benachrichtigungspflichten

im Falle einer Verletzung des Schutzes personenbezogener Daten

❓❗ Welche Pflichten hat der für die Verarbeitung von Daten Verantwortliche, wenn bekannt wird, dass Daten unsachgemäß geschützt wurden?

(Art. 33 DSGVO)

• binnen 72 Stunden an zuständigen Aufsichtsbehörde
• unverzüglich an Verantwortlichen (bei Auftragsverarbeitung)
• unverzüglich an Betroffenen (falls hohes Risiko für die persönlichen Rechte und Freiheiten, siehe Art. 34 DSGVO)

❓ Wie gehe ich damit um, wenn mir Sicherheitslücken / Datenschutzvergehen in fremden Projekten auffallen?

💡 Empfehlungen:

• Responsible Disclosure
• disclosure@ccc.de

💡 Quiz Show zu Datenschutz