Aufgaben des Datenschutzmanagements Flashcards
Rechte der betroffenen Person
○ Recht auf Auskunft/Kopie
○ Recht auf Berichtigung
○ Recht auf Löschung/Vergessenwerden
○ Recht auf Einschränkung der Verarbeitung
○ Recht auf Datenübertragung
○ Widerspruchsrecht
Was ist das Recht auf Auskunft?
○ Auskunft über Verarbeitungszwecke
○ Kategorien personenbezogener Daten
○ Empfänger oder Kategorien von Empfängern
○ Geplante Speicherdauer oder Kriterien für deren Festlegung
Wie müssen Informationspflichten verfasst sein?
○ Information in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache
Wann sind Angaben bei Direkterhebung mitzuteilen?
○ Im Zeitpunkt der Erhebung der Daten
○ Keine Informationspflicht bei Bekanntheit der Daten
Wann sind Angaben bei Dritterhebung mitzuteilen?
○ Nachträglich innerhalb angemessener Frist (längstens Monatsfrist)
Auftragsverarbeitung - Definition
○ Verantwortlicher verarbeitet die Daten nicht selbst, sondern Dienstleister
Wer trägt bei Auftragsverarbeitung die Gesamtverantwortung?
○ Verantwortlicher
→ Eignung des Auftragnehmers prüfen
○ Auftragsverarbeiter darf ohne Genehmigung keine weiteren Verarbeiter in Anspruch nehmen
Auftragsverarbeitung vs. Funktionsübertragung
○ Auftragsverarbeitung
→ inhaltliche Verantwortung beim Auftraggeber → Kontrollpflichten
○ Funktionsübertragung
→ Vertragspartner entscheidet selbst über Umgang mit Daten
→ Datenübermittlung
→ Beispiel: Outsourcing Personalverwaltung
Auftragsverarbeitung in Drittstaaten - Drittstaaten & Verantwortlicher
○ Drittstaat: Anforderungen an Auftragsverarbeitung durch Dienstleister außerhalb der EU
○ Verantwortlicher: sicherstellen, dass Drittstaat EU-Standards erfüllt
Beispiele für sichere Drittstaaten
○ Argentinien, Kanada, Israel, Schweiz, Japan
Wie kann eine Auftragsverarbeitung in Drittstaaten umgesetzt werden?
- Angemessenheitsbeschluss (Erfüllung Datenschutzniveau)
- Standarddatenschutzklauseln (Verantwortlicher und ausländischer Dienstleister einigen sich vertraglich)
Gemeinsame Verantwortlichkeit - Beispiel Facebook
○ Facebook:
- Erfüllung der Informationspflichten
- Betroffenenrechte
- Meldung von Datenschutzverstößen
○ Fanpage-Seitenbetreiber:
- Rechtmäßigkeit der auf der Fanpage verarbeiteten Daten
- Eigene Datenschutzerklärung des Betreibers der Fanpage
- Weiterleitung von Auskunftsersuchen Betroffener an Facebook
Inhalt des Verzeichnisses der Verarbeitungstätigkeiten
○ Verarbeitungstätigkeit, Verarbeitungszwecke, Rechtsgrundlage
○ Beschreibung betroffener Personen und Kategorie der Daten
○ Beschreibung der Kategorien von Empfängern (inkl. Drittländer)
○ Vorgesehene Löschfristen
○ Beschreibung der technischen und organisatorischen Maßnahmen (eng)
Verpflichtungen für Verzeichnis der Verarbeitungstätigkeiten
○ Kein öffentliches Verzeichnis und keine Meldepflicht
→ Aber, Verpflichtung Aufsichtsbehörde Einsicht zu ermöglichen
○ Teil der Rechenschaftspflicht
○ Keine Verpflichtung bei weniger als 250 Beschäftigten unter bestimmten Bedingungen
Bedingungen für Unternehmen unter 250 Mitarbeitern
○ Kein Risiko für Rechte und Freiheiten Betroffener
○ Nur gelegentliche Verarbeitung
○ Keine Verarbeitung besonderer Datenkategorien
○ Keine personenbezogenen Daten über strafrechtliche Verurteilungen/Straftaten
