6.3 Datenschutz-Anforderungen an Organisationen Flashcards
Was sind die Grundsätze der Datenverarbeitung ?
Zentrale Vorschrift der DSGVO. Grundsätze, die bei jeder Datenverarbeitung eingehalten werden müssen. Zwingend einzuhalten.
Welche Grundsätze der Datenverarbeitung gibt es ?
Grundsatz... ...der Rechtmäßigkeit ...der Transparenz ...der Zweckbindung ...der Datenminimierung ...der Richtigkeit ...der Speicherbegrnzung ... der Integrität und Vertraulichkeit
Was besagt der Grundsatz der Rechtmäßigkeit ?
Pb-Daten müssen auch rechtmäßige Weise verarbeitet werden. Das heißt nur dann, wenn einer der Erlaubnistatbestände vorliegt.
Wann ist die Verarbeitung von Pb-Daten rechtmäßig ?
- Durch die Einwilligung der betroffenen Person
- Erforderlich zur Erfüllung eines Vertrages oder zur Durchführung torvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen
- Erforderlich zur Erfüllung einer rechtlichen Verpflichtung
- Erforderlich zur Wahrung des berechtigten Interesses des Verantwortlichen
Was ist bei einer Einwilligung zur Verarbeitung Pb-Daten zu beachten ?
- Einverständnis muss vor der Verarbeitung eingeholt werden.
- Nachweis über die Einwilligung zum Beleg
- Einwilligung muss freiwillig abgegeben werden
- Einwilligung muss klar erkennbar, sowie möglichst einfach gestaltet sein
Kann man seine Einwilligung zur Verarbeitung eigener Pb-Daten widerrufen ?
Ja, jederzeit ohne Grund. Aber erfolgte Vorgänge zur Datenverarbeitung bleiben bis zum Wiederruf zulässig.
Wann ist eine Datenverarbeitung erforderlich, zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen ?
Wenn die Verarbeitung zur Erfüllung eines Vertrages notwendig ist oder für vorvertragliche Maßnahmen. Es dürfen nur so viele Daten genutzt werden wie nötig.
Wann ist eine Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ?
z.B. für die Dokumentation- und Aufbewahrungspflicht aus dem Handels- und Steuerrecht. Oder für Verpflichtungen aus dem Stier- und Sozialversicherungsrecht.
Wann ist eine Datenverarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich ?
Nicht!, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Was besagt der Grundsatz der Transparenz ?
Pb-Daten müssen transparent verarbeitet werden. Betroffene müssen darüber informiert werden, wie ihre Daten verarbeitet werden.
(Grundsatz der Transparenz) Was ist bei der Direkterhebung personenbezogener Daten zu beachten ?
Art. 13 DSGVO Abs. 1 und 2 gibt einen Informationskatalog für die Inhalte einer Information bei einer Direkterhebung bei der betroffenen Person vor, der einzuhalten ist. Das muss spätestens zum Zeitpunkt der Datenerhebung geschehen.
(Grundsatz der Transparenz) Was ist bei der Indirekten Erhebung personenbezogener Daten zu beachten ?
Zusätzlich zu den Informationen aus
Art. 13 DSGVO muss der Betroffene noch Informationen auch Art. 14 DSGVO erhalten und zwar innerhalb einer Frist von max. 1 Monat
(Grundsatz der Transparenz) Was ist bei einer Zweckänderung zu beachten ?
Will der Verantwortliche die erhobenen Daten für einen anderen Zweck nutzen als ursprünglich vorgesehen, hat er zusätzliche Informationspflichten einzuhalten. Die Info ist vor der zweckändernden Verarbeitung zu erteilen.
Was besagt der Grundsatz zur Zweckbindung ?
Daten dürfen nur dann erhoben werden wenn festgelegte, eindeutige, legitime Zwecke bestehen. Und zwar bereits zum Zeitpunkt der Datenerhebung.
Wann ist ein Zweck zur Datenerhebung legitim?
Wenn er im Einklang mit der Rechtsordnung steht.
Was besagt der Grundsatz der Datenminimierung ?
Es müssen so wenig personenbezogene Daten wie möglich verarbeitet werden. Nur in dem Maß, der für den Zweck der Verarbeitung notwendig ist.
Wie wird sichergestellt, dass der Grundsatz zur Datenminimierung eingehalten wird ?
Man muss in regelmäßigen Abständen kontrollieren, ob die Daten noch benötigt werden. Wenn sie es nicht sind, so ist die Bearbeitung einzuschränken oder eine Löschung vorzunehmen.
Was besagt der Grundsatz der Richtigkeit ?
Pb-Daten müssen richtig sein, d.h. sachlich richtig und auf dem neusten Stand.
Was besagt der Grundsatz der Speicherbegrenzung ?
Die Identifizierung der betroffenen Personen bei der Speicherung personenbezogener Daten darf nur so lange möglich sein, wie dies für den Zweck der Verarbeitung erforderlich ist.
Wie wird der Grundsatz der Speicherbegrenzung umgesetzt ?
Es sind Fristen für die Löschung oder regelmäßige Überprüfung der personenbezogenen Daten vorgesehen.
Was besagt der Grundsatz der Integrität und Vertraulichkeit ?
Pb-Daten sollen durch technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.
Was sind geeignete Maßnahmen um den Grundsatz der Integrität und Vertraulichkeit umzusetzen ?
Peudonymisierung und Verschlüsselung von Pb-Daten.
Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen.
Auch Pb-Daten bei einem Zwischenfall wiederherzustellen.
Was besagt die Rechenschaftspflicht des DSGVO ?
Die Verarbeitung personenbezogener Daten muss “nachweisbar erfolgen. Die Einhaltung der Grundsätze muss jederzeit nachgewiesen werden können (z.B. beim Besuch einer Aufsichtsbehörde)
Welche Informationen müssen entsprechend der Rechenschaftspflicht vorgelegt werden können ?
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz durch Technikgestaltung
Was ist das “Verzeichnis von Verarbeitungstätigkeiten” ?
Die Beschreibung von Verarbeitungstätigkeiten hat so konkret zu erfolgen, dass eine Überprüfung durch die Aufsichtsbehörden hinsichtlich der Rechtmäßigkeit möglich ist. Es sind technische sowie organisatorische Maßnahmen zu beschreiben.
Wann ist man von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, befreit ?
Wenn das Unternehmen weniger als 250 Mitarbeiter hat. Aber nur dann, wenn durch den Verarbeitungsvorgang kein Risiko für die Freiheit und Rechte der Betroffenen entsteht oder die Verarbeitung nur gelegentlich erfolgt.
Was ist “Datenschutz durch Technikgestaltung” ?
Der Verantwortliche ist verpflichtet, technisch-organisatorische Maßnahmen umzusetzen, damit die Datenverarbeitung die Vorgaben des DSGVO einhält.