Übersicht zur DSGVO

Autor: Jürgen Liebenstein 30.08.2023




Verarbeitung: Daten erheben, speichern, nutzen, übermitteln, ändern und löschen

Verarbeitung personenbezogener Daten natürlicher Einzelpersonen
Name, Anschrift, Geburtsdatum
Ehestand, Religionszugehörigkeit
Aufenthaltsdaten
IP-Adresse
E-Mails, Adresse und Inhalte




Besondere Daten

betrifft spezielle Regelungen für besondere Daten
- rassische und ethnische Herkunft
- politische Meinung
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische, biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
- Besondere Daten erfordern eine Risikofolgeabschätzung




Unterschiede nach Größe der Organisation

unter 10 Mitarbeitern, die mit Daten arbeiten, ist kein Datenschutzbeauftragter zu benennen
lediglich klar abgegrenzte Benutzergruppen ohne weitere Veröffentlichung ausgenommen




Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn:


a) Einwilligung
b) Erfüllung Vertrag oder Anbahnung Vertrag
c) Erfüllung einer rechtlichen Verpflichtung
d) lebenswichtige Interessen zu schützen
e) Wahrnehmung einer Aufgabe im öffentlichen Interesse
e) Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt
f) Wahrung der berechtigten Interessen des Verantwortlichen

Ansonsten ist eine Verarbeitung ohne Ausnahme verboten
Verbot mit Erlaubnisvorbehalt
Zweckbindungsgrundsatz
Grundsatz der Datenminimierung
Datenschutz bereits bei der Planung berücksichtigen




a) Einwilligung

Einwilligung hat keinen zeitlichen Ablauf
ABER: Die Einwilligung kann jederzeit widerrufen werden.
Einwilligung muss freiwillig sein (Koppelungsverbot)
und nicht im Gegenzug von "Vergünstigungen"
Mindestalter 16 Jahre, darunter durch Eltern,
nur ein Elternteil, dann schriftlich dass anderer Elternteil einverstanden




c) Erfüllung Vertrag oder Anbahnung Vertrag

Vertrag bedingt die Datenverarbeitung
kein Widerspruch so lange (Modell-)Vertrag gilt

ABER: Führt Anbahnung nicht zu Vertrag muss man löschen




f) Wahrung der berechtigten Interessen des Verantwortlichen

Die berechtigten Interessen werden abgewogen
Prüfung evtl. vor Gericht




Backup und Sicherheit

Funktionierende (!) Backups sind nun zwingend notwendig. Art. 32 nennt "geeignete organisatorische und technische Maßnahmen ... personenbezogene Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen."

Außerdem muss eine Sicherheit auf dem Stand der Technik hergestellt werden und überprüft werden. Diese Maßnahmen zur Überprüfung sind bei neuen Komponenten (Hard- und oder Software) notwendig, aber auch in regelmäßigen, zeitlichen Abständen, man geht von einem Quartal bis zu einem Jahr aus, wiederholt werden




Meldepflicht bei Datenverlust

Kommt es zu einem Verlust von personenbezogenen Daten
Aufsichtsbehörde innerhalb von 72 Stunden informieren und Betroffene besser unverzüglich

Beispiel: bereits eine E-Mail, die an den falschen Adressaten geschickt
E-Mail-Verteiler im CC statt in BCC (Blindkopie)
verlorenes Handy mit Kundendaten im Telefonbuch!
verlorenes Notebook

Art. 33 Abs. 3 der DSGVO




Datenschutzerklärung


- Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke der Verarbeitung (bitte im Einzelnen aufzählen)
- Rechtsgrundlage der Verarbeitung
- berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO
- Empfänger oder Kategorien von Empfängern (z.B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, im Internet)
- Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
- Speicherdauer der personenbezogenen Daten
- Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
- Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde




Auskunft ist eine Informationspflicht

unverzüglich, ohne schuldhafte Verzögerung, spätestens nach 1 Monat

Kopie sämtlicher Daten

Welche Daten zu welchem Zweck verarbeitet werden
woher die Daten stammen
an wen die Daten weitergegeben wurden
wie lange sie gespeichert werden




Datenschutzerklärung für Webseite fast zwingend

Logs max. 7 bis 14 Tage speichern
- Angabe Grund Sicherheitsaspekte
- keine Bestätigung der Datenschutzerklärung notwendig
- Newsletter oder Kontaktformular bedürfen keiner Einwilligung
- ABER: Übermitteln Formulare Daten dann ist https: (SSL-Verschlüsselung) zwingend

- Google-Fonts und Analytics hoch problematisch usw.

YouTube, Vimeo, Facebook etc. problematisch besser Einbindung erst nach Benutzeraktion (Generator auf runamind.de)
Datenschutzerklärung auf den Portalen verlinken




Technische Voraussetzungen

Backups werden verpflichtend
Stand der Technik
TOMs: Die technischen und organisatorischen Maßnahmen
Datenschutz-Folgenabschätzung (nur bei hohen Risiken)




Bußgelder

„in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“

Wiederholungstäter, Vorsatz, Gewinnerzielungsabsicht




Verein

Aufgaben festlegen
Für Veröffentlichungen Einwilligung einholen

Verarbeitungsverzeichnisse




Veranstaltungen

Fotos und Video der Veranstaltung, berechtigtes Interesse
Person muss bei Teilnahme an öffentlicher Veranstaltung mit Fotos rechnen
unvorteilhafte Fotos davon ausgenommen
Hinweisschilder bei Betreten,
keine Kopplung, Hinweis Datenschutzerklärung

kleine, überschaubare Gruppen, Einverständniserklärung

Aushang als AGB beim Betreten für Massenveranstaltungen




Fotos/Videos im öffentlichen Raum

Beiwerk kein Problem
Einwilligung nur theoretisch möglich
Datenschutzerklärung

Lächeln in Kamera keine Einwilligung
schriftliche Einwilligung, aber kann Widerrufen werden, dann löschen!!
Modelrelease-Vertrag unbegrenzte Dauer

Bei Fotos RAW-Datei aufheben, für Originalnachweis
GPS-Angaben problematisch
Speicherung 70 Jahre nach Tod des Fotografen, sonst Vereinbarung

Autokennzeichen sind persönliche Daten

Auffinden über Namen problematisch
geschlossene Benutzergruppe dann keine DSGVO

Handy-Aufnahmen grundsätzlich problematisch Teilung mit Google/Apple-Servern



Schul- und Mannschaftsfotos

erlaubt, von jedem so lange keine Veröffentlichung
Verbot aber durch Hausrecht der Schule möglich

Mannschaftsfotos erlaubt, da berechtigtes Interesse
Unterrichtung über Veröffentlichung
Minderjährige unter 16 Jahren, Erlaubnis der Eltern