IT-Recht

Question 1

Kerngebiete des IT-Rechts

Answer 1

• Datenschutzrecht
• Signaturrecht
• Haftungsrecht
• Strafrecht
• Sektorales Recht der IT-Sicherheit

Question 2

Rechtlicher Rahmen des IT-Rechts

Answer 2

• GG (Fernmeldegeheimnis, Grundrecht auf informationelle Selbstbestimmung, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme)
• DSGVO
• BSI
• Gesetz über die Elektrizitäts- und Gasversorgung
• Bundesdatenschutzgesetz
• Telekommunikations-Telemedien-Datenschutz Gesetz und E-Privacy-VO
• BGB
• Strafgesetzbuch
• Kreditwesengesetz

Question 3

Relevanz des Datenschutzrechts

Answer 3

Freie Entfaltung der Persönlichkeit durch das Gefühl, nicht beobachtet zu werden

Question 4

Datenschutzrecht: Verarbeitung

Answer 4

• Erheben
• Erfassen
• Organisation und Ordnen
• Speicherung
• Löschen oder Vernichtung

Question 5

Sachlicher Anwendungsbereich DSGVO

Answer 5

• gilt für die ganze oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen
• gilt für öffentliche und nicht-öffentliche Stellen
• Keine Anwendung bei ausschließlich persönlichen oder familiären Tätigkeiten (kein beruflicher oder wissenschaftlicher Bezug)

Question 6

Räumlicher Anwendungsbereich DSGVO

Answer 6

• Im Rahmen der Tätigkeiten einer EU-Niederlassung
• Verarbeitung personenbezogener Daten von Betroffenen, die sich in der Union befinden, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffene Personen in der Union Waren oder Dienstleistungen anzubieten oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt

Question 7

Grundsätze des Datenschutzrechts

Answer 7

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  -> legitimierende Rechtsgrundlage oder Einwilligung
• Zweckbindung
• Datenminimierung
• Speicherbegrenzung
  -> müssen gelöscht werden, wenn sie Zweck nicht mehr erfüllen
• Richtigkeit
• Integrität und Vertraulichkeit
  -> es müssen technische und organisatorische Maßnahmen getroffen werden
• Rechenschaftspflicht
  -> Nachweis der Umsetzung der Grundregeln

Question 8

DSGVO Maßnahmenkatalog

Answer 8

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
• Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Question 9

Privacy by Default

Answer 9

• gefordert von DSGVO
• geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, der Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden

Question 10

Privacy by Design

Answer 10

• gefordert von DSGVO
• Datenschutz wird bei der Technikgestaltung berücksichtigt
  -> U. a. Pseudonymisierung, Anonymisierung, Tools zur Einhaltung von Löschfristen

Question 11

Datenschutz Folgenabschätzung

Answer 11

• Bewertung und Beschreibung der Risiken, die bei einer Datenverarbeitung entstehen, und systematisches Ergreifen von Maßnahmen zum Schutz vor diesen Risiken
• Muss vor Beginn einer neu geplanten Datenverarbeitung erfolgen
• Aufsichtsbehörden müssen “Positivliste” und können “Negativliste” veröffentlichen

Question 12

Notwendigkeit der Durchführung einer DSFA

Answer 12

• Verpflichtend bei:
  -> Verwendung neuer Technologien
  -> Art, Umfang, Umstände und Zwecke der Verarbeitung
  -> hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge
• Verpflichtend im Kontext:
  -> Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet
  -> Umfangreiche Verarbeitung besonderer Kategorien von personenbezogener Daten
  -> Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Question 13

Prozess DSFA

Answer 13

• Vorbereitung
• Durchführung
• Umsetzung
• Überprüfung

Question 14

Meldepflichten

Answer 14

• Bei Verletzung des Schutzes personenbezogener Daten
  -> unverzüglich und binnen 72 Stunden, nachdem die Verletzung bekannt wurde
• Benachrichtigung der betroffenen Personen bei voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen
  -> unverzüglich

Question 15

Bußgeldrahmen der DSGVO

Answer 15

• Bis zu 10 Mil. (bzw. 2% des weltweit erzielten Jahresumsatzes bei Unternehmen)
• Bis zu 20 Mil. (bzw. 4% des weltweit erzielten Jahresumsatzes bei Unternehmen)
  -> Je nach Schwere

Question 16

Personenbezogene Daten

Answer 16

Alle Informationen, die sich auf eine identifizierte natürliche Person oder identifizierbare natürliche Person beziehen