Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
KommunalerDatenschutzinderPraxis
-BvDHerbstkonferenz2018-
Stand:19.Oktober2018
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
2
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
3
1.AnwendungsbereichderDS-GVO
AnwendungsbereichDer(sachliche)AnwendungsbereichderDatenschutz-GrundverordnungumfasstnachArt.2Abs.1DS-GVOdieganzoderteilweiseautomaHsierteVerarbeitungpersonenbezogenerDatensowiedienichtautomaHsierteVerarbeitungpersonenbezogenerDaten,dieineinemDateisystemgespeichertsindodergespeichertwerdensollen.NichthiervonerfasstsindnachErwägungsgrund(EG)15DS-GVOlediglich"AktenoderAktensammlungensowieihreDeckblä^er,dienichtnachbesOmmtenKriteriengeordnetsind".StrukturierteBehördenakten-obelektronischoderinPapierformgeführt-unterfallendahervollumfänglichdenRegelungenderDatenschutz-Grundverordnung.
AnwendungsbereichderDS-GVO 4
Grundsatz:AnwendungsvorrangdesEU-Rechts
->DS-GVOistgrundsätzlichimmervornaHonalenRegelnanzuwenden
2.Ausnahme:DS-GVOräumtdemnaOonalenGesetzgeberGestaltungsspielraumeinübersog.Öffnungsklauseln(füröff.Bereichbesondersbedeutsam:Art.6Abs.3inVerbindungmitAbs.1Buchst.eDS-GVO)
1.Ausnahme:TäOgkeiten,dienichtindensachlichenAnwendungsbereichderVerordnungfallen(Art.2Abs.2DS-GVO)- JusOzundRechtspflege- staatlicheGefahrenabwehrund
Strafverfolgung(Ortspolizeibehörden!)
- Außen-undSicherheitspoliOk- Ausübungpersönlicherund
familiärerTäOgkeiten
AnwendungsbereichderDS-GVO 5
FragenausderPraxis
UnterfallenDatenverarbeitungen,dievonderStraßenverkehrsbehördevorgenommenwerden,demAnwendungsbereichderDS-GVO?ImmerhinstehtinArt.2Buchst.dDS-GVO,dassdieDS-GVOkeineAnwendungaufDatenverarbeitungendurchdiezuständigenBehördenzumZweckederVerhütung,ErmiKlung,AufdeckungoderVerfolgungvonStraLatenoderderStrafvollstreckung(einschließlichdesSchutzesvorundderAbwehrvonGefahrenfürdieöffentlicheSicherheit)findet.
Zunächst:dieStraßenverkehrsbehördeistkeineeigeneverantwortlicheStelle,sondernwirdalsuntergeordneteOrganisaOonseinheitderGemeindetäOg.Hiermussgeprüjwerden,obeineDatenverarbeitungdurchdieGemeinde(vorliegendvorgenommenvonderdieserzugerechnetenOrganisaOonseinheitStraßenverkehrsbehörde)demAnwendungsbereichderDS-GVOüberhauptunterfällt…..
6AnwendungsbereichderDS-GVO
…..GemäßArt.2Abs.2Buchst.dDS-GVOistdieDS-GVOnichtanwendbaraufDVendurchBehördenzumZweckederVerfolgung(u.a.)vonStrajaten,einschließlichderGefahrenabwehr.ErfasstwirdalsodieGefahrenabwehr(nur)imZusammenhangmitdrohendenoderbegangenenStraUatenoderOrdnungswidrigkeiten.DerBegriffderOrdnungswidrigkeitenistzwarnichtinArt.2Abs.2Bucht.dDS-GVOenthalten.EristeuroparechtskonformaberalsStraUateinzuordnen(sieheTelosdes§30Abs.2LDSG-neu).IndiesemZusammenhangstelltEG19S.4DS-GVOklar,dass„zuständigeBehörden“imSinnederJI-RichtlinieauchAufgabenhabenkönnen,dienichtzurErfüllungderZweckeausderJI-Richtlinieausgeführtwerden.DasbedeutetinderPraxis,dassinnerhalbeinerBehörde(z.B.derStraßenverkehrsbehörde)zufragenist,inwelchemAufgabenbereichdiefraglicheDatenverarbeitungstapindet.DieBußgeldstelleinnerhalbeinergrößerenBehördeneinheitunterliegtdemnachderJI-Richtlinie,diereineVerwaltungsabteilungdagegenderDS-GVO.
7AnwendungsbereichderDS-GVO
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
8
2.RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
ArOkel5:GrundsätzefürdieVerarbeitungpersonenbezogenerDaten(1)PersonenbezogeneDatenmüssen
a)…aufrechtmäßigeWeise…(„Rechtmäßigkeit,VerarbeitungnachTreu undGlauben,Transparenz“)b)… fürfestgelegte,eindeuOgeundlegiOmeZwecke…(„Zweckbindung“)c)… aufdasnotwendigeMaßbeschränkt…(„Datenminimierung“)d)… sachlichrichOg…(„RichOgkeit“)e)… erforderlich…(„Speicherbegrenzung“)[undmit]f)… angemessenerSicherheit…(„IntegritätundVertraulichkeit“)
[verarbeitetwerden.](2)DerVerantwortlicheistfürdieEinhaltungdesAbsatzes1verantwortlichundmuss
dessenEinhaltungnachweisenkönnen(„RechenschaUspflicht“).
9
2.RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
ArOkel5:GrundsätzefürdieVerarbeitungpersonenbezogenerDaten(1)PersonenbezogeneDatenmüssen
a)…aufrechtmäßigeWeise…(„Rechtmäßigkeit,VerarbeitungnachTreu undGlauben,Transparenz“)b)… fürfestgelegte,eindeuOgeundlegiOmeZwecke…(„Zweckbindung“)c)… aufdasnotwendigeMaßbeschränkt…(„Datenminimierung“)d)… sachlichrichOg…(„RichOgkeit“)e)… erforderlich…(„Speicherbegrenzung“)[undmit]f)… angemessenerSicherheit…(„IntegritätundVertraulichkeit“)
[verarbeitetwerden.](2)DerVerantwortlicheistfürdieEinhaltungdesAbsatzes1verantwortlichundmuss
dessenEinhaltungnachweisenkönnen(„RechenschaUspflicht“).
10
Wiewirprüfen:
„ZeigenSiemal,wasSiegetanhaben.“
=>Beweislastumkehr
2.RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
11RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
FüreinerechtmäßigeVerarbeitungpersonenbezogenerDatenmussgemäßArt.6Abs.1DS-GVOmindestenseinederfolgendenBedingungenvorliegen:a) DiebetroffenePersonhatihreEinwilligungzuderVerarbeitungdersiebetreffenden
personenbezogenenDatenfüreinenodermehrerebesHmmteZweckegegeben;b) dieVerarbeitungistfürdieErfüllungeinesVertrags,dessenVertragsparteidiebetroffenePerson
ist,oderzurDurchführungvorvertraglicherMaßnahmenerforderlich,dieaufAnfragederbetroffenenPersonerfolgen;
c) dieVerarbeitungistzurErfüllungeinerrechtlichenVerpflichtungerforderlich,derderVerantwortlicheunterliegt;
d) dieVerarbeitungisterforderlich,umlebenswichHgeInteressenderbetroffenenPersonodereineranderennatürlichenPersonzuschützen;
e) dieVerarbeitungistfürdieWahrnehmungeinerAufgabeerforderlich,dieimöffentlichenInteresseliegtoderinAusübungöffentlicherGewalterfolgt,diedemVerantwortlichenübertragenwurde;
f) dieVerarbeitungistzurWahrungderberechOgtenInteressendesVerantwortlichenodereinesDri^enerforderlich,sofernnichtdieInteressenoderGrundrechteundGrundfreiheitenderbetroffenenPerson,diedenSchutzpersonenbezogenerDatenerfordern,überwiegen,insbesonderedann,wennessichbeiderbetroffenenPersonumeinKindhandelt.
Unterabsatz1BuchstabefgiltnichtfürdievonBehördeninErfüllungihrerAufgabenvorgenommeneVerarbeitung. 12
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
Art.6Abs.1Buchst.aDS-GVO:Einwilligung
13RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
1. Freiwillig(Art.4Nr.11DS-GVO)- EineEinwilligungistdannfreiwillig,wenndiebetroffenePerson"eineechte
oderfreieWahlhatundsomitinderLageist,dieEinwilligungzuverweigernoderzurückzuziehen,ohneNachteilezuerleiden"(EG42,letzterSatz).
- ArbeitenBehördenmitEinwilligungenalsRechtsgrundlagefürihreDatenverarbeitung,istdasMerkmalderFreiwilligkeitbesonderssorgfälOgzuprüfen.DennimVerhältnisBehörde–BürgerliegteinstrukturellesUngleichgewicht,welchesdieFreiwilligkeiteinerWillensbekundungdesBürgersgrundsätzlichinFragestellt(EG43).
14
Empfehlung:DieVerarbeitungaufBasiseinerEinwilligungsolltenurausnahmsweiseerfolgen.StützenSiewennmöglichdieDatenverarbeitungaufeinegesetzlichnormierteGrundlage.
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
2. Informiert(Art.4Nr.11DS-GVO)- DiebetroffenePersonmuss(mindestens)wissen,werderVerantwortliche
istundfürwelcheZweckeihrepbDatenverarbeitetwerdensollen(EG42).
– DiebetroffenePersonmusswissen,dassundinwelchemUmfangsieihreEinwilligungerteilt(EG42).
– Siemussauchdarüberbelehrtwerden,dasssiejederzeitihreEinwilligungwiderrufenkann(Art.7Abs.3S.3DS-GVO).
– DerWiderrufderEinwilligungberührtdieRechtmäßigkeitderVerarbeitungjedochnichtrückwirkend(Art.7Abs.3S.2DS-GVO)
15RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
3. ZueinembesOmmtenZweck(Art.6Abs.1Buchst.aDS-GVO)=PrinzipderZweckbindung(sieheArt.5Abs.1Buchst.b)
- DerZweckderbeabsichOgtenDatenverarbeitungmuss• besHmmt(Art.6Abs.1Buchst.a),
• festgelegt,eindeuHgundlegiHm(Art.5Abs.1Buchst.b)sein.
- EinepauschaleEinwilligungistunwirksam.
- WenndieVerarbeitungmehrerenZweckendient,solltefüralledieseVerarbeitungszweckeeineEinwilligunggegebenwerden(EG32S.5).
16RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
4. ZueinerbesOmmtenVerarbeitung(Art.4Nr.11DS-GVO)
- DieEinwilligungmusssichweiterhinaufeinebesHmmteVerarbeitungvonDatenbeziehen(„fürdenkonkretenFall“).
- „Blanko-Einwilligungen“sindunwirksam.
17RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
5. Unmissverständlich(Art.4Nr.11DS-GVO)
- „Unmissverständlich“imSinneeinereindeuHgenbestäHgendenHandlung,mitderdiebetroffenePersonzuverstehengibt,dasssiemitderVerarbeitungihrerDateneinverstandenist.AuchakOvekonkludenteWillensbekundigungen(wieNicken)fallendarunter.
- SOllschweigenoderUntäHgkeitkönnenkeineEinwilligungdarstellen(EG32S.3).
18
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
6. VorliegenderEinsichtsfähigkeit(Art.8DS-GVO)
FürdieErteilungeinerwirksamenEinwilligungzueinerDVbedarfeskeinerGeschäUsfähigkeitderbetroffenenPersonimSinnedesBGB.EskommtalleinaufdieentsprechendeEinsichtsfähigkeitan,dieeinzelfallbezogenbetrachtetwerdenmuss.
FürMinderjährigekannArt.8aberauchaußerhalbseinerRegelungsmaterieindiziellenCharakterzukommen(„Fausgormel:ab16Jahreneinwilligungsfähig“).
19
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
Einwilligung-Widerruf
- DiebetroffenePersonhatdasRecht,ihreEinwilligungjederzeitzuwiderrufen(Art.7Abs.3S.1DS-GVO).DurchdenWiderrufderEinwilligungwirddieRechtmäßigkeitderbiszumWiderruferfolgtenVerarbeitungnichtberührt(Art.7Abs.3S.2DS-GVO).
- EinWiderrufverpflichtetaber-beiFehleneinesalternaOvenErlaubnistatbestandes–grds.zurLöschungdergespeichertenDaten(Art.17Abs.1Buchst.b)
- DiebetroffenePersonistgemäßArt.7Abs.3S.3DS-GVOüberdieMöglichkeitdesWiderrufsvorabinKenntniszusetzen(siehebereitsoben).
20
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
Einwilligung-Nachweispflicht
- BeruhtdieDatenverarbeitungaufeinerEinwilligung,somussdieverantwortliche(öffentliche)Stellenachweisenkönnen,dassdiebetroffenePersonindieVerarbeitungihrerpersonenbezogenenDateneingewilligthat(Art.7Abs.1DS-GVO).
- EineSchriUform-ErfordernisfürdieEinwilligungsiehtdieDS-GVOzwarnichtvor,imHinblickaufdieNachweispflichtistsieabernachwievorzuempfehlen.
21RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
FragenausderPraxisFrage:WieistmitFotosvonPersonenaufkommunalenHomepages(zumBeispielanlässlicheinesöffentlichenBürgerempfanges)umzugehen:BenöWgtmanvonallenabgebildetenPersonenEinwilligungen?DieÖffentlichkeitsarbeitöffentlicherStellengehörtnachunsererRechts-auffassungzudendiesenzugewiesenenAufgaben.SowohldasFotografieren(=Erheben)alsauchdieVeröffentlichungvonLichtbildernrichtetsichnach§4LDSG.Wirhaltenesfürvertretbar,imRahmenderErforderlichkeitsprüfungden§23Absatz1Nummer2oder3desKunsturhebergesetzes(KUG)jedenfallsentsprechendanzuwenden.JeehersicheineVielzahlvonPersonenals"Beiwerk"oderimRahmenvonÜbersichtsaufnahmenaufdemBildbefindet,destoeherwirdeineVeröffentlichungohneEinwilligungzulässigsein.JeehereinzelnePersonenhervorgehobenpräsenOertwerden,destoeherbedarfeseinerEinwilligungderBetroffenen.InbesonderemMaßgiltdies,wennessichumAbbildungenvonKindernhandelt.ImZweifelsolltedieöffentlicheStellePersonenentwederumEinwilligungbi^enodersieunkenntlichmachen(z.B.verpixeln).DadasFotografiereneineDatenerhebungdarstellt,istdieInformaOonspflichtgemäßArOkel13DS-GVOzubeachten.
22
FragenausderPraxisFrage:UnsereKommuneverarbeitetDatenehrenamtlichTäWger(z.B.inderFeuerwehr)–bedarfesdazueinerEinverständniserklärung?Nach§1Abs.3und§§3und6desLandesfeuerwehrgesetzeshandeltessichumeine(weisungsfreie)PflichtaufgabederGemeinde,einekommunalefreiwilligeFeuerwehreinzurichtenundzuunterhalten.AlsRechtsgrundlagefüreineDVkommt§4LDSGinBetracht,wenndaseinzelneDatumzurAufgabenerfüllungderFeuerwehrerforderlichist.WennüberdieErforderlichkeithinausgehendepbDerhobenodersonstwieverarbeitetwerden,bedarfnurdieseinerEinwilligung.Ansonstengilt:werdenEhrenamtlicheeigenständigtäOg(auchwenneinefinanzielleUnterstützungderKommunevorliegt,z.B.beiAsylkreisen),werdendiesenichtfürdieGemeindetäOg.
23RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
FragenausderPraxis
InunsererGemeindeistesguteTradiWon,dieBeförderungenvonkommunalenAngestelltenimGemeindebläKlezuveröffentlichen.WasistdafüreigentlichdiedatenschutzrechtlicheRechtsgrundlage?
DieVeröffentlichungvonBeförderungenineinem„Gemeindeblä^le“istnichtzurAufgabenerfüllungderKommuneerforderlich.DakeineandereRechtsgrundlageersichtlichist,musshierzudieEinwilligungdesBetroffeneneingeholtwerden.
24RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
AllgemeinzuArt.6Abs.1Buchst.b-f:Tatbestandsmerkmal„Erforderlichkeit“AlleErlaubnistatbestände-außerderEinwilligung(Buchst.a)-setzenvoraus,dassdieVerarbeitungimHinblickaufeingewissesZiel„erforderlich“ist.EuGHUrteilvom16.12.2008–AZ:C-524/06:DerBegriffderErforderlichkeitistein„autonomerBegriffdesGemeinschajsrechts“,weilerkeinenvariablenInhaltindenMitgliedstaatenhabendarf->Auslegungnichtnachdt.RechtKriteriensind:• legiHmerZweck(vgl.EG39S.6)• BeschränkungaufdasNotwendige(<->Dienliche/Förderliche),vgl.EG39S.7• PrüfungvonAlternaOven(mildestesMilel,vgl.EG39S.9)DieVoraussetzungderErforderlichkeitstelltsicher,dassderVerantwortlicheeinvorgegebenesZielnichtzumAnlassnimmt,überschießendpbDzuverarbeiten.DerzulässigeUmfangistanhanddesVerarbeitungszweckszuermi^eln. 25
FüreinerechtmäßigeVerarbeitungpersonenbezogenerDatenmussgemäßArt.6Abs.1DS-GVOmindestenseinederfolgendenBedingungenvorliegen:a) DiebetroffenePersonhatihreEinwilligungzuderVerarbeitungdersiebetreffenden
personenbezogenenDatenfüreinenodermehrerebesOmmteZweckegegeben;b) dieVerarbeitungistfürdieErfüllungeinesVertrags,dessenVertragsparteidiebetroffenePerson
ist,oderzurDurchführungvorvertraglicherMaßnahmenerforderlich,dieaufAnfragederbetroffenenPersonerfolgen;
c) dieVerarbeitungistzurErfüllungeinerrechtlichenVerpflichtungerforderlich,derderVerantwortlicheunterliegt;
d) dieVerarbeitungisterforderlich,umlebenswichHgeInteressenderbetroffenenPersonodereineranderennatürlichenPersonzuschützen;
e) dieVerarbeitungistfürdieWahrnehmungeinerAufgabeerforderlich,dieimöffentlichenInteresseliegtoderinAusübungöffentlicherGewalterfolgt,diedemVerantwortlichenübertragenwurde;
f) dieVerarbeitungistzurWahrungderberechOgtenInteressendesVerantwortlichenodereinesDri^enerforderlich,sofernnichtdieInteressenoderGrundrechteundGrundfreiheitenderbetroffenenPerson,diedenSchutzpersonenbezogenerDatenerfordern,überwiegen,insbesonderedann,wennessichbeiderbetroffenenPersonumeinKindhandelt.
Unterabsatz1BuchstabefgiltnichtfürdievonBehördeninErfüllungihrerAufgabenvorgenommeneVerarbeitung.
26RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
Art.6Abs.1Buchst.e:rechtlicheVerpflichtung
Art.6Abs.1Buchst.eDS-GVO(i.V.m.Art.6Abs.3)stelltfürdieöffentlichenStellendenzentralenErlaubnistatbestandzurVerarbeitungpersonenbezogenerDatendar.AllerdingshandeltessichbeiArt.6Abs.1Buchst.eumkeineeigenständigeRechtsgrundlage,sonderngem.Art.6Abs.3(Öffnungsklausel!)istdiesedurchUnionsrecht/RechtdesjeweiligenMitgliedstaatesfestzulegen.Dieshatderbaden-wür^embergischeLandesgesetzgeberz.B.in§4LDSGumgesetzt.Subsidiaritätsprinzip:DasLDSGgiltgem.§2Abs.3subsidiärzu„besonderenRechtsvorschrijendesBundesoderdesLandes“,dieaufpersonenbezogeneDatenanzuwendensind.
27RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
ÖffnungsklauselundSubsidiariätsprinzip
Art.6Abs.1Buchst.e
Öffnungsklausel
§4LDSG
„besondereRechtsvorschrijdesBundesoderLandes“
28
Datenschutz-Grundverordnung
Ergänzende/ausfüllendenaOonale
Datenschutz-gesetze
AnzuwendendesDatenschutzrechtfüröffentlicheStelleninBW
DieBesOmmungenderDS-GVOunddernaOonalenDatenschutzgesetzemüssenabdem25.Mai2018immerimZusammenhanganzuwendensein.
RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten 29
NachArt.6Abs.1Buchst.eisteineDatenverarbeitungdannrechtmäßig,- wennsiefürdieWahrnehmungeinerAufgabeerforderlichist,dieim
öffentlichenInteresseliegt(Variante1)oder- inAusübungöffentlicherGewalterfolgt,diedemVerantwortlichen
übertragenwurde(Variante2).BeispielefürVariante1sindinsbesondereausdemBereichderfreiwilligenAufgabeneineröffentlichenStellezunennen,wiederBetriebeineröffentlichenBibliothekodereinesSchwimmbades.EsgiltindiesemZusammenhangderGrundsatzderAllzuständigkeitderGemeinde(§2Abs.1GemO),vorausgesetzteineöffentlichenAufgabeliegtvor.Variante2beschreibtdieklassischhoheitlichenTäOgkeiteneineröffentlichenStelle,dieaufgrundrechtlichfestgelegterAufgabendurchgeführtwerdenmüssen.
30RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
DieRechtsgrundlagefüreineDatenverarbeitungistdemnachimmerArt.6Abs.1Buchst.einVerbindungmit
- einemFachgesetz(überwiegendimBereichderPflichtaufgaben)oder
- §4LDSG(überwiegendimfreiwilligenBereich)
Entscheidendistimmer,dassdieDatenverarbeitungfürdiekonkreteAufgabenerfüllungerforderlichist.
31RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
FragenausderPraxis
KönnenimRahmenvonArt.6Abs.1Buchst.eiVmAbs.3DS-GVOpersonenbezogeneDatenaufGrundlageeinerSatzungodereinesKreistagsbeschlussesverarbeitetwerden?„Rechtsgrundlage“imSinnevonArt.6Abs.3DS-GVOkönnenformelleParlamentsgesetze,Rechtsverordnungen,SatzungenoderauchDienstvereinbarungensein.EinKreistagsbeschlussdagegennicht.
32RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
PrüfungsschemataRechtmäßigkeiteinerDV1. InwelcherFormliegteineVerarbeitungpersonenbezogenerDatenvor
(Erheben,Offenlegen,Veröffentlichen,…)2. WelchesDatumwirdverarbeitet(Name,Religionszugehörigkeit,Beruf,…)
3. WelchergesetzlicheRechtsgrundausArt.6(b-f)isteinschlägig4. BeiArt.6cunde:wasistdieausfüllende/ergänzendenaOonaleNorm(§4
LDSGoderbesondereRechtsvorschrijenüberdieVerarbeitungpersonenbezogenerDaten)
5. IstdieErforderlichkeitbeimgesetzlichenRGgegeben6. Wennnein:Prüfung,obEinwilligungeingeholtwerdenkann(nichtalle
Sachverhaltesindeinwilligungsfähig)7. WenneineinwilligungsfähigerSachverhaltvorliegt:EinwilligungalsRG
einholen
33RechtmäßigkeitderVerarbeitung
personenbezogenerDaten
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
34
35WannhabenDateneinenPersonenbezug?
Wan3.WannhabenDateneinenPersonenbezug?
36
Tatbestandsmerkmaleder„personenbezogenenDaten“gem.Art.4Nr.1:1. NatürlichePerson
2. InformaOonen
3. BezugaufeineidenOfizierteoderidenOfizierbarePerson
WannhabenDateneinenPersonenbezug?
FragenausderPraxis
UnserBürgermeisterhatineinerGemeinderatssitzungAngabenzurfinanziellenSituaWoneinerortsansässigenGmbHgemacht.DerAlleingesellschaLerhatsichnunüberdasVorgehenbeschwertundVerletzungseinerpersonenbezogenenDatengerügt.PersonenbezogeneDatenkönnendochbeieinerGmbHgarnichtverletztwerden,oder?
JurisOschePersonenwieeineGmbHsindvomSchutzbereichderDS-GVOausgenommen.SoweitjedochInformaOonenaufeinidenOfizierbaresMitglieddurchschlägt,handeltessichbeiderInformaOonumeinpersonenbezogenesDatum.DieskannbeieinerEin-Mann-GmbHderFallsein.
37WannhabenDateneinenPersonenbezug?
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
38
39VerantwortlicheStelle
D44.VerantwortlicheStelle
FragenausderPraxis
WeristaufkommunalerEbeneVerantwortlicherimSinnedesArt.4Nr.7DS-GVO?VerantwortlicheStelleistdieGemeindealsGebietskörperschajmitallihrenOrganenundorganisatorischenUntergliederungen,vertretendurchden(Ober-)Bürgermeister,die(Ober-)Bürgermeisterin.GeradeingrößerenbehördlichenEinheitenkannsichdieFragederVeranwortlichkeitbezüglicheinerkonkretenDatenverarbeitungstellen.DieskannsichzumBeispielimHinblickaufdenAnwendungsbereichoderbeimErstellendesVerarbeitungsverzeichnissesergeben.
40VerantwortlicheStelle
FragenausderPraxis
SindFrakWonenindenGemeinderätenverantwortlicheStellenimSinnevonArt.4Nr.7DS-GVO?
GemeinderatsfrakOonensindselbstkeineOrganederGemeinde,sondernTeildesOrgansGemeinderat.Dasbedeutet,dasswederFrakOonennocheinzelneMitgliederdesGemeinderatsVerantwortlicheimSinnevonArOkel4Nr.7DS-GVOsind.DieVerarbeitungpersonenbezogenerDatendurchdiesestehtdaherinderdatenschutzrechtlichenVerantwortungderjeweiligenGebietskörperschaj.
41VerantwortlicheStelle
Abgrenzung:Verantwortlicher-AuUragsverarbeiter
42VerantwortlicheStelle
FragenausderPraxisWirschließenalsStadtVerträge,beidenendieAuLragsverarbeitungnur„Nebenpflicht“nebendereigentlichenDienstleistungist(wennz.B.unserDienstleisterBetreuungs-leistungenanGrundschulenerbringt).WannisteinexternerDienstleistereigenverantwortlicherDriKer,wannAuLragsverarbeiter?AujragsverarbeitungimdatenschutzrechtlichenSinneliegtnurinFällenvor,indeneneineStellevoneineranderenStelleimSchwerpunktmitderVerarbeitungpersonenbezogenerDatenbeaujragtwird.DieBeaujragungmitfachlichenDienstleistungenandererArt,d.h.mitDienstleistungen,beidenennichtdieDatenverarbeitungimVordergrundstehtbzw.beidenendieDatenverarbeitungnichtzumindesteinenwichOgen(Kern-)Bestandteilausmacht,stelltkeineAujragsverarbeitungimdatenschutzrechtlichenSinnedar.
43VerantwortlicheStelle
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaHonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
44
5.InformaHonspflichten/Datenschutzerklärung
45
DerHinweismitdenentsprechendenInformaOonennachArt.13und14wirdhäufigalsDatenschutzhinweis,DatenschutzbesOmmungenoderDatenschutzerklärung
bezeichnet.
InformaOonspflichten/Datenschutzerklärung
46
Direkterhebung
InformaOonspflichten/Datenschutzerklärung
Art.13- Zeitpunkt:„zumZeitpunktderErhebungdieserDaten“- DieInformaOonspflichtennachArt.13und14werden(nur)dannausgelöst,
wenneineDatenerhebungvorliegt.- DerBegriffdesErhebensvonpersonenbezogenerDatenistumstri^en.- Format:grundsätzlichschrijlich(Art.12Abs.1S.2DS-GVO),ggf.auch
elektronisch.FallsdiebetroffenePersondiesverlangt,auchmündlich(Art.12Abs.1S.3)
- Inhalt:abschließendinArt.13Abs.1und2aufgezählt.- Ausnahmen:ausschließlichnachArt.13Abs.4,wenndiebetroffenePerson
bereitsüberdieInformaOonenverfügtodernachArt.23Abs.1DS-GVOiVm§8und§16LDSG(Gefährdungderöff.Sicherheit,derVerfolgungvonStrajaten,BeeinträchOgungderAusübungzivilrechtlicherAnsprüche,öffentlicheAuszeichnungenundEhrungenu.a.).
47InformaOonspflichten/Datenschutzerklärung
48
Fremderhebung/Drilerhebung
InformaOonspflichten/Datenschutzerklärung
Art.14
Zeitpunktgem.Art.14Abs.3:- Buchst.a:grundsätzlichspätestensinnerhalbeinesMonats- Buchst.b:fallsdieDatenzurKommunikaOonmitderbetroffenen
Personverwendetwerdensollen,spätestenszumZeitpunktdererstenMi^eilungandiese.
- Buchst.c:fallsdieOffenlegunganeinenanderenEmpfängerbeabsichOgtist,spätestenszumZeitpunktdererstenOffenlegung.
Format:wiebeiArt.13Inhalt:abschließendinAbs.1und2aufgezählt.
49InformaOonspflichten/Datenschutzerklärung
Art.14Ausnahmen:• Art.14Abs.5Buchst.a:DiebetroffenePersonverfügtbereitsüber
diefraglichenInformaOonen,• Art.14Abs.5Buchst.b:DieErteilungdieserInformaOonenerweist
sichalsunmöglichoderwürdeeinenunverhältnismäßigenAufwanderfordern,
• Art.14Abs.5Buchst.c:DerVerantwortlicheunterliegteinernaOonaleroderEU-RechtsvorschrijenbezüglichderErlangungoderOffenlegungderpersonenbezogenenDaten,
• Art.14Abs.5Buchst.d:Berufsgeheimnis,
• §§8und16LDSG
50
InformaOonspflichten/Datenschutzerklärung
FragenausderPraxisInwelcherFormmüssenwirunsererInformaWonspflichtnachkommen?MüssenwirtatsächlichfürjedesFormulareinseparatesInformaWonsblaKentwerfen?DieInformaOonennachArOkel13oder14DS-GVOmüssenunsererAnsichtnachnichtzwangsläufigmitdemselbenMediumzurVerfügungstellen.DieskannauchdurchdieAbbildungeinerVerlinkungaufeineURLgeschehen.Möglichistesauch,dieInformaOonenamSchalterdesSachbearbeiters/derSachbearbeiterinauszustellen.Esistgrundsätzlichratsam,mehrereKanälederInformaOonsvermi^lungzunutzen.UndessindKanälezuwählen,welchedenBetroffenenvoraussichtlichauchzurVerfügungstehen.
51InformaOonspflichten/Datenschutzerklärung
FragenausderPraxisGemäßArt.14Abs.5Buchst.ceniälltdieInformaWonspflicht,wenndieErhebungundOffenlegungpersonenbezogenerDatendurchRechtsvorschriLgeregeltist.WelcheAnforderungensindaneinesolcheRechtsvorschriLzustellen?EinesolcheRechtsvorschrijmüsstequalitaOveinformellesGesetz,eineRechtsverordnungodereineSatzungsein.DemWortlautnachmussdieRechtsvorschrijdesMitgliedstaatesdieErlangungoderOffenlegungderpersonenbezogenenDaten„ausdrücklichregeln“.Diesbedeutet,dasszumindestdieArtdererhobenenDaten,dieVoraussetzungenderDatenerhebungoder–offenlegungunddenVerarbeitungszweckhinreichendvorgibt.ZudemmussdieRechtsvorschrijgrundsätzlicheinePflichtzurDatenerhebungvorsehen.AnsonstenkanndiebetroffenePersonnichtzuverlässigabsehen,obsiemitderDatenerhebungzurechnenhat.ImkommunalenBereichfalleninsbesonderegesetzlicheMeldepflichtenanBehörden(z.B.zurordnungsgemäßenBerechnungvonSteuern)unterVorschrijdesArt.14Abs.5Buchst.cDS-GVO.DieBehörde,diedieDatenempfängt,wirdvondenInformaOonspflichtenfreigestellt.
52InformaOonspflichten/Datenschutzerklärung
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
53
6.Datenpannen
=„VerletzungdesSchutzespersonenbezogenerDaten“
isteineVerletzungderSicherheit,die,obunbeabsichOgtoderunrechtmäßig,- zurVernichtung,- zumVerlust,- zurVeränderungoder- zurunbefugtenOffenlegungvon
beziehungsweise- zumunbefugtenZugangzupersonenbezogenenDatenführt,dieübermi^elt,gespeichertoderaufsonsOgeWeiseverarbeitetwurden.
54Datenpannen
Art.33Abs.1DS-GVO:DerVerantwortlichemussdieDatenschutzverletzungandieAufsichtsbehördeimmerbinnen72Stunden,nachdemihmdieVerletzungbekanntwurde,melden,esseidenn,dassdieDatenpanne„voraussichtlichnichtzueinemRisiko“fürdenBetroffenenführt.
55Datenpannen
Art.34Abs.DS-GVO:EineBenachrichHgungderbetroffenenPersonmussdagegennurdannerfolgen,wenneinhohesRisikofürderenRechteundFreiheitenbesteht.BeispielefürhohesRisiko:Diskriminierung,finanzielleVerluste,Rufschädigung,IdenOtätsdiebstahloder-betrug;(besondereKategorienpbD:)Gesundheitsdaten,DatenausdenendieethnischeHerkunj,religiöseÜberzeugungenhervorgehen.
56Datenpannen
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
57
7.Betroffenenrechte
- AuskunUsrecht,obDatenderbetroffenenPersonverarbeitetwerden(Art.15DS-GVO),
- RechtaufBerichHgung(Art.16DS-GVO),
- RechtaufLöschung(und„RechtaufVergessenwerden",Art.17DS-GVO),
- RechtaufEinschränkungderVerarbeitung(Art.18DS-GVO),
- RechtaufDatenübertragbarkeit(Art.20DS-GVO),
- RechtaufWiderspruchgegendieVerarbeitungpersonenbezogenerDatendesBetroffenen(Art.21DS-GVO),
- Rechtaufnicht-automaHsierteVerarbeitungeinschließlichProfiling(Art.22DS-GVO).
58Betroffenenrechte
AllgemeineRegelnzudenBetroffenenrechteninArt.12- DerVerantwortlichemussunverzüglich,spätestensinnerhalbeinesMonats
denBetroffenenüberdieergriffenenMaßnahmeninformieren(Art.12Abs.3DS-GVO),dieFristkannumweiterezweiMonateverlängertwerden.
- DieInformaOonenwerdengrds.unentgeltlichzurVerfügunggestellt(Art.12Abs.5DS-GVO).
- GegebenenfallsmusseineIdenHtätsprüfungvorgenommenwerden(Art.12Abs.6DS-GVO)
- OffenkundigunbegründeteoderexzessiveAnträgeeinerbetroffenenPersonkönnenzurAblehnungoderzueinerKostenersta^ungspflichtführen(Art.12Abs.5S.2DS-GVO).
- AblehnendeBescheidemüssenbegründetwerdenunddenHinweisenthalten,eineBeschwerdebeiderAufsichtsbehördeodereinengerichtlichenRechtsbehelfeinlegenzukönnen(Art.12Abs.4).
59Betroffenenrechte
AuskunUsrechtnachArt.15:- GegenstanddesAnspruchsgemäßArt.15Abs.3DS-GVOsindalleaufdie
betroffenePersonbezogenenDaten,diebeidemVerantwortlichenzumZeitpunktderAuskunjserteilungvorhandensind.DieDatensindsoherauszugeben,wiesiebeimVerantwortlichenvorliegen.
- DiebetroffenePersonkannalsonichtverlangen,dassderVerantwortlichedieDatenfürsieau�ereitet.
- DieverantwortlicheStelleübersendetdemBetroffeneneineKopiederangefordertenDaten.Dieskannauchelektronischerfolgen(Art.15Abs.3).
60Betroffenenrechte
BeschränkungdesAuskunUsrechtsnachArt.15durchdenneuen§9LDSG:DurchdieÖffnungsklauseldesArt.23DS-GVOhatderbaden-wür^embergischeGesetzgeberdasRechtaufAuskunjin§9LDSGeingeschränkt.DanachkanndieverantwortlicheStelledieAuskunjserteilungandiebetroffenePersonausfolgendenGründenablehnen:- DieInformaOonwürdedieöffentlicheSicherheitgefährdenodersonstdem
WohledesBundesodereinesLandesNachteilebereiten(§9Abs.1S.1iVm§8Abs.1Nr.1LDSG).
- DieInformaOonwürdedieVerhütungoderVerfolgungvonStraUatenoderOrdnungswidrigkeitenvonerheblicherBedeutunggefährden(§9Abs.1S.1iVm§8Abs.1Nr.2LDSG).
61Betroffenenrechte
- DieInformaOonwürdedieGeltendmachung,AusübungoderVerteidigungzivilrechtlicherAnsprüchebeeinträchHgen(§9Abs.1S.1iVm§8Abs.1Nr.3LDSG).
- DieDatenoderdieTatsachederVerarbeitungnacheinerRechtsvorschrij
oderzumSchutzederbetroffenenPersonoderzumSchutzederRechteundFreiheitenandererPersonenmüssengeheimgehaltenwerden(§9Abs.1S.1iVm§8Abs.1Nr.4LDSG).
- DiepersonenbezogenenDatensindausschließlichzuZweckenderDatensicherung(„Back-up“)oderDatenschutzkontrollegespeichertundeineDatenverarbeitungzuanderenZweckenistdurchgeeignetetechnischeundorganisatorischeMaßnahmenausgeschlossen(§9Abs.1S.2LDSG).
62Betroffenenrechte
- SoferndieöffentlicheStelleeinegroßeMengeanInformaOonenüberdiebetroffenePersonverarbeitet,kannsievonderbetroffenenPersoneinePräzisierungverlangen,aufwelcheInformaOonenoderVerarbeitungsvorgängesichdasAuskunjsersuchenbezieht.PräzisiertdiebetroffenePersondanachnicht,kanndieAuskunUverweigertwerden,soweitdieAuskunjserteilungeinenunzumutbarenAufwandauslösenwürde(§9Abs.2LDSG).
EinweitererAblehnungsgrundergibtsichaus§9Abs.3iVm§8Abs.2LDSG:- BeiAuskunjsansprüchen,diesichaufÜbermillungenpersonenbezogener
DatenanStaatsanwaltschaUen,Polizeibehörden,Polizeivollzugsdienst,VerfassungsschutzbehördenundFinanzverwaltungbeziehen,mussdiesenBehörden(dieunterdenAnwendungsbereichderJI-Richtliniefallen)vorabGelegenheitzurStellungnahmegegebenwerden.Hintergrundist,dassdieseBehördenbeiGefährdungderErmi^lungendieAuskunjverweigernkönnen.
63Betroffenenrechte
Agenda
1. AnwendungsbereichderDS-GVO
2. RechtmäßigkeitderVerarbeitungpersonenbezogenerDaten
3. WannhabenDateneinenPersonenbezug?
4. VerantwortlicheStelle
5. InformaOonspflichten/Datenschutzerklärung
6. Datenpannen
7. Betroffenenrechte
8. Verarbeitungsverzeichnis
64
Verarbeitungsverzeichnis
SinnundZweckdesVerzeichnissesergebensichausErwägungsgrund82DS-GVO:
65Verarbeitungsverzeichnis
Verarbeitungsverzeichnis,Art.30- DasVerfahrensverzeichnisnach§11LDSGwirdabgelöstdurchein
VerarbeitungsverzeichnisnachArt.30DS-GVO
- JederVerantwortlicherund-neu-jederAujragsverarbeitermussinZukunjeinVerarbeitungsverzeichniserstellenundführen.
- EineaufAntragfürjedermannzugänglicheÜbersichtderVerfahren,mitdenenpbDverarbeitetwerden,istinderDS-GVOnichtmehrvorgesehen.SiemüssenjedochdenAufsichtsbehördenjederzeitaufAnfragezurVerfügunggestelltwerden(Art.30Abs.4;EG82).
- wegenderUnterschiedebeideneingesetztenVerfahrenwirddasVerarbeitungsverzeichnisinderPraxisnotwendigerweiseauseinerReihevonEinzelverzeichnissenbestehen.
66Verarbeitungsverzeichnis
67
MustervorlagederDSK
(aufderHomepagedesLfDI)
68
MustervorlagederDSK
(aufderHomepagedesLfDI)
Verarbeitungsverzeichnis
69
„HinweisezumVerarbeitungs-verzeichnis“:kannals
Ausfüllhilfedienen
(aufderHomepagedesLfDI)
Verarbeitungsverzeichnis
AlleshateinEnde…vielenDankfürIhreAufmerksamkeit!
70
Ansprechpartner:AnnekeGranerundFrankFeucht-ReferatDatenschutzimKommunalwesen-