Aufgaben des Datenschutzmanagements Flashcards
Rechte der betroffenen Person
○ Recht auf Auskunft/Kopie
○ Recht auf Berichtigung
○ Recht auf Löschung/Vergessenwerden
○ Recht auf Einschränkung der Verarbeitung
○ Recht auf Datenübertragung
○ Widerspruchsrecht
Was ist das Recht auf Auskunft?
○ Auskunft über Verarbeitungszwecke
○ Kategorien personenbezogener Daten
○ Empfänger oder Kategorien von Empfängern
○ Geplante Speicherdauer oder Kriterien für deren Festlegung
Wie müssen Informationspflichten verfasst sein?
○ Information in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache
Wann sind Angaben bei Direkterhebung mitzuteilen?
○ Im Zeitpunkt der Erhebung der Daten
○ Keine Informationspflicht bei Bekanntheit der Daten
Wann sind Angaben bei Dritterhebung mitzuteilen?
○ Nachträglich innerhalb angemessener Frist (längstens Monatsfrist)
Auftragsverarbeitung - Definition
○ Verantwortlicher verarbeitet die Daten nicht selbst, sondern Dienstleister
Wer trägt bei Auftragsverarbeitung die Gesamtverantwortung?
○ Verantwortlicher
→ Eignung des Auftragnehmers prüfen
○ Auftragsverarbeiter darf ohne Genehmigung keine weiteren Verarbeiter in Anspruch nehmen
Auftragsverarbeitung vs. Funktionsübertragung
○ Auftragsverarbeitung
→ inhaltliche Verantwortung beim Auftraggeber → Kontrollpflichten
○ Funktionsübertragung
→ Vertragspartner entscheidet selbst über Umgang mit Daten
→ Datenübermittlung
→ Beispiel: Outsourcing Personalverwaltung
Auftragsverarbeitung in Drittstaaten - Drittstaaten & Verantwortlicher
○ Drittstaat: Anforderungen an Auftragsverarbeitung durch Dienstleister außerhalb der EU
○ Verantwortlicher: sicherstellen, dass Drittstaat EU-Standards erfüllt
Beispiele für sichere Drittstaaten
○ Argentinien, Kanada, Israel, Schweiz, Japan
Wie kann eine Auftragsverarbeitung in Drittstaaten umgesetzt werden?
- Angemessenheitsbeschluss (Erfüllung Datenschutzniveau)
- Standarddatenschutzklauseln (Verantwortlicher und ausländischer Dienstleister einigen sich vertraglich)
Gemeinsame Verantwortlichkeit - Beispiel Facebook
○ Facebook:
- Erfüllung der Informationspflichten
- Betroffenenrechte
- Meldung von Datenschutzverstößen
○ Fanpage-Seitenbetreiber:
- Rechtmäßigkeit der auf der Fanpage verarbeiteten Daten
- Eigene Datenschutzerklärung des Betreibers der Fanpage
- Weiterleitung von Auskunftsersuchen Betroffener an Facebook
Inhalt des Verzeichnisses der Verarbeitungstätigkeiten
○ Verarbeitungstätigkeit, Verarbeitungszwecke, Rechtsgrundlage
○ Beschreibung betroffener Personen und Kategorie der Daten
○ Beschreibung der Kategorien von Empfängern (inkl. Drittländer)
○ Vorgesehene Löschfristen
○ Beschreibung der technischen und organisatorischen Maßnahmen (eng)
Verpflichtungen für Verzeichnis der Verarbeitungstätigkeiten
○ Kein öffentliches Verzeichnis und keine Meldepflicht
→ Aber, Verpflichtung Aufsichtsbehörde Einsicht zu ermöglichen
○ Teil der Rechenschaftspflicht
○ Keine Verpflichtung bei weniger als 250 Beschäftigten unter bestimmten Bedingungen
Bedingungen für Unternehmen unter 250 Mitarbeitern
○ Kein Risiko für Rechte und Freiheiten Betroffener
○ Nur gelegentliche Verarbeitung
○ Keine Verarbeitung besonderer Datenkategorien
○ Keine personenbezogenen Daten über strafrechtliche Verurteilungen/Straftaten
Welche Verarbeitungspflichten gehen über das Verzeichnis hinaus?
○ Dokumentationspflichten
→ Einwilligungen, Ordnungsmäßigkeit der gesamten Verarbeitung
Datenschutzbeauftragter - Definition
○ Vom Gesetz vorgesehene Rolle
○ Sorgt für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften
○ Als Berater in Unternehmen/Behörde/Verein tätig
Wer ist verpflichtet einen Datenschutzbeauftragten zu benennen?
○ Behörden und öffentliche Stellen (Ausnahme: Gericht und Justiz)
→ Min 20 Mitarbeiter, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind
○ Aufgrund des Umfangs/Zwecke der Verarbeitung
→ Verarbeitung sensibler Daten
○ Verarbeitung besonderer Kategorien personenbezogener Daten
Welche Aufgaben hat der Datenschutzbeauftragte?
○ Unterrichtung und Beratung des Verantwortlichen
○ Überwachung der Einhaltung der Verordnung
○ Beratung in Zusammenhang mit Datenschutz-Folgeabschätzungen
○ Zusammenarbeit mit Aufsichtsbehörde
○ Anlaufstelle für Aufsichtsbehörde
Welche Verpflichtungen bestehen bei einer Datenschutzverletzung?
○ Meldung der Aufsichtsbehörde (binnen 72h)
○ Information der Betroffenen
○ Information der Öffentlichkeit (ggf. über Anzeigen)
Welche Angaben gehören in eine Meldung über eine Datenschutzverletzung?
○ Betroffene Organisation
○ Wer meldet den Vorfall?
○ Angaben zum Vorfall
○ Wie wurde reagiert?
○ Optionale Anhänge
