- juraLIB - Mindmaps, Schemata

- Grundbegriffe
  - Was sind Daten?
    - Personenbezogene Daten (§ 3 Abs.1 BDSG)
    - Besondere Arten personenbezogener Daten
    - Sonderfall: IP-Adressen
  - Wichtige Rechtsnormen im BDSG
    - 3 3 BDSG Definitionen
    - § 4a BDSG Einwilligung
    - § 4 BDSG Verbot
    - § 28 ff. BDSG Erlaubnistatbestände
- Grundprinzipien
  - Grundsatz des Bundesdatenschutzes § 4 BDSG
    - Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist verboten, es sei denn ..
  - Erlaubnistatbestand § 4 Abs.1 BDSG
    - Rechtsvorschrift
      - 4 Abs. 1
      - 4b, c
      - § § 28 ff.
      - § 32 BDSG
    - Einwilligung
      - Formale Vss. -Höchstpersönlich -Schriftform -Elektronischer Form -gesonderter Hinweis -Ausnahmen Inhaltliche Vss. -Frei Informationspflicht -Bestimmtheit -sensitive Daten
  - Einwilligung, § 4a BDSG
  - § 28 Abs.1 S. 1 NR.1 BDSG
    - Erhebung, Verarbeitung und Nutzung sind zulässig, soweit dies -notwendig... -...zur Erfüllung eines Schuldverhältnisses ... -mit dem Betroffenen ist
  - § 28 Abs.1 S.1 Nr 2 BDSG
    - Erhebung, Verarbeitung und Nutzung sind zulässig, soweit dies -erforderlich ... -... zur Wahrung berechtiger Interessen der verantwortlichen Stelle ist, ... -und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt
  - § 4 I BDSG: 'andere Rechtsvorschrift'
    - Betriebsvereinbarung kann bestimmte Verarbeitungsprozesse erlauben
      - Telefondatenverarbeitung
      - Zeiterfassung, Stempeluhr
      - Nutzung Mobilfunkgeräte
  - gesezliche Rechtfertigungen
    - zahlreiche weitere Rechtfertigungen vorhanden:
      - insbesondere für die geschäftsmäßigen Datenerhebung und -speicherung zum Zweck der Übermittlung
      - Spezialgesetzliche Regelungen nicht vergessen, etwa im TMG oder TKG
- Grundprinzipien II:
  - Transparenz: Klarheit für den Betroffenen
    - Das Prinzip ?Transparenz? beschreibt die Anforderung, dass jeder Betroffene wissen soll, dass Daten uber ihn erhoben werden.
  - Zweckbindung: Verwendung nur für den Zweck der Erhebung
    - Jeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen.
  - VermeidungundSicherheit: Keine unnötige Exponierung von Daten
    - Die Verarbeitung personenbezogener Daten ist stets an dem Ziel auszurichten, so wenige Daten wie moglich zu verarbeiten.
- Pflichten der verantwortlichen Stelle
  - Anforderungen an Datenschutz-Einhaltung
  - Grundbegriffe
  - Grundprinzipien
  - Pflichten der verantwortlichen Stelle
  - Umgang mit Betroffenen und Behörden
  - Internationaler Datentransfer/ grenzüberschreitende Datenverarbeitung
  - Datenschutzbeauftragter
  - ..
    - § 9 BDSG verpflichtet zur Schaffung ausreichender
      - technischer und organisatorischer Maßnahmen zur Gewährleistung des Datenschutzniveaus
      - Überwachung des Dienstleisters, § 11 BDSG
      - Umfang der Maßnahmen: § 9 Satz 2 BDSG: Verhältnismäßigkeit → Abwägung: Schutzbedürftigkeit der Daten → Aufwand
        Konkretisiert wird diese Verpflichtung durch die in der Anlagezu § 9 BDSG aufgestellten Anforderungen
    - technische und organisatorische Maßnahmen § 9 BDSG
      - Zutrittskontrolle
        z.B. Zugangskontrolle durch Pförtner, Schlüsselregelung, Ausweisterminals, biometrische Kontrollsysteme
      - Zugangskontrolle zu Datenverarbeitungssyteme gegen Unbefugte
        z.B. Benutzerverwaltung, Passwortvergabe, Einsatz von VPN, Einsatz Virenscanner
      - Zugriffskontrolle für Mitarbeiter/Befugte- Zugriff im Rahmen der Aufgabenstellung/Zugriffsberechtigung
        Erstellung Berechtigungskonzept, Verwaltung der Zugriffsrechte durch Systemadministrator, Passwortvergabe)
      - Weitergabekontrolle
        Sicherung der Übertragungswege
        Maßnahmen zur Verhinderung unbefugten Zugriffs z.B. Verschlüsselung von Daten bei ele ktronischer Übertragung, verschlossene Transportbehälter bei Datenträgertransport)
        Revisionsvermittlungesetzliche Schuldverhältnisseorgänge an Dritte
        Dokumentation der Übermitllungsplanung
        z.B. aktuelle Ubersicht uber: vorgesehene Datenempfanger, ubermittlungsfahige Daten und Ubermittlungsprogramme zur Revision durch externe Stellen
      - Eingabekontrolle
        Moglichkeit der Feststellung der Person, die Daten eingegeben, verandert oder geloscht hat
        z.B. automatisierte Protokollierung der Dateneingabe
      - Auftragskontrolle
        Sicherstellung der weisungsgemaßen Auftragsdatenverarbeitung
      - Datentrennung
        getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten
    - Eckpfeiler aus § 9 BDSG
      - Verfügbarkeit
      - Vertraulichkeit
      - Integrität
      - Revisionssicherheit
      - Transparenz
      - dieser Schutz orientiert sich an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten
  - Verpflichtungen der Mitarbeiter
    - § 5 Verpflichtungserklärung
- Umgang mit Betroffenen und Behörden
  - Rechte des Betroffenen
    - Informationspflicht § 42a BDSG
    - Benachrichtigung § 33 BDSG
    - Grundsatz der Direkterhebung § 4 Abs.2 = Kenntnis
    - Auskunfsrecht § 19, 34 BDSG
      - personenbezogene Daten
      - Herkunft
      - Zweck der Speicherung
      - Scoring (Wahrscheinlichkeitswerte zu zukünftigen Verhalten des Betroffenen für Vertragesetzliche Schuldverhältnisseerhältnisse wichtig)
      - geschäftsmäßig zum Zweck der Übermittlung gespeicherte Daten (i.d.R. Auskunfteien)
      - Verfahren
        nähere Bezeichnung soll erfolgen (präzise)
        keine Frist, aber nur unverzügliche und schnelle Auskungstserteilung
        Identitätsprüfung (str.)
        auf Verlangen in Textform (außer: besondere Umstände),
        verständlich
        Speicherfrist
        Herkunft, Empfänger bei Übermittlung von Persönlichkeitsprofilien für Werbezwecke 2 Jahre
        Scoring Auskunft über letzte 6 Monate
    - Berechtigung § § 20, 35 BDSG
      - Berechtigung von nicht mit der Realität übereinstimmenden personenbezogenen Daten inst unabhängig von einem Ersuchen des Betroffenen
    - Löschung § § 20, 35 BDSG
      - d.h. Unkenntlichmachung ist jederzeit zulässig außer entgegenstehende schutzwürdige Interessen des Betroffenen oder Aufbwahrungsfristen
      - Löschungspflicht bei
        ? Unzulassigkeit der Speicherung,
        ? besonders sensitiven Daten, wenn Richtigkeit nicht bewiesen durch verantwortliche Stelle,
        ? Zweckwegfall im Fall der Datenverarbeitung fur eigene Zwecke,
        ? geschaftsmaßig zum Zweck der Ubermittlung gespeicherten Daten, wennkeine Erforderlichkeit mehr besteht
    - Sperrung § § 20, 35 BDSG
      - d.h. Kennzeichnung, um weitere Verbreitung oder Nutzung einzuschranken, relatives Nutzungesetzliche Schuldverhältnisseerbot (Abs. 8)
    - Schadensersatz § 7,8 BDSG, 823 Abs.1
      - öffentlicher Bereich § 8
        automatisierte Verarbeitung
        Gefährdungshaftung (Vertrauen in den Staat)
      - nicht- und öffentlicher Bereich
        automatisierte (und nicht-automatisierte) Verarbeitungsform → Exkulpationsmöglichkeit
        Haftung für vermutetes aber wiederlegbares Verschulden
      - Problem: Nachweis des Schadens
  - Sanktionen
    - § 43 Abs. 1, 2 BDSG
      - ? Ordnungswidrigkeiten hinsichtlich unbefugtem Speichern, Verandern undUbermitteln von geschutzten personenbezogenen Daten
      - ? Bußgeld bis 50.000 € / 300.000 € bzw. wirtschaftlichen Wert ubersteigend
      - ? Speziellere Regelungen etwa in § 149 TKG und § 16 TMG.
    - § 44 BDSG
      - ? Strafvorschrift
      - ? Obige Ordnungswidrigkeiten gegen Entgelt oder in Bereicherungsabsicht
      - ? Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe
      - ? speziellere Regelung etwa in § 203 StGB.
    - § 43 Abs. 3 BDSG-Geldbuße bis 50.000 €
    - Neuer Knoten

Bewerte diese Mindmap:

{{percent}}%

Deine Bewertung: {{hasRated}} / 10

zuletzt bearbeitet: 01.01.1970 veröffentlicht: 03.03.2016

Grundbegriffe

Was sind Daten?

Personenbezogene Daten (§ 3 Abs.1 BDSG)

Besondere Arten personenbezogener Daten

Sonderfall: IP-Adressen

Wichtige Rechtsnormen im BDSG

3 3 BDSG Definitionen

§ 4a BDSG Einwilligung

§ 4 BDSG Verbot

§ 28 ff. BDSG Erlaubnistatbestände

Grundprinzipien

Grundsatz des Bundesdatenschutzes § 4 BDSG

Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist verboten, es sei denn ..

Erlaubnistatbestand § 4 Abs.1 BDSG

Rechtsvorschrift

4 Abs. 1

4b, c

§ § 28 ff.

§ 32 BDSG

Einwilligung

Formale Vss. -Höchstpersönlich -Schriftform -Elektronischer Form -gesonderter Hinweis -Ausnahmen Inhaltliche Vss. -Frei Informationspflicht -Bestimmtheit -sensitive Daten

Einwilligung, § 4a BDSG

§ 28 Abs.1 S. 1 NR.1 BDSG

Erhebung, Verarbeitung und Nutzung sind zulässig, soweit dies -notwendig... -...zur Erfüllung eines Schuldverhältnisses ... -mit dem Betroffenen ist

§ 28 Abs.1 S.1 Nr 2 BDSG

§ 4 I BDSG: 'andere Rechtsvorschrift'

Betriebsvereinbarung kann bestimmte Verarbeitungsprozesse erlauben

Telefondatenverarbeitung

Zeiterfassung, Stempeluhr

Nutzung Mobilfunkgeräte

gesezliche Rechtfertigungen

zahlreiche weitere Rechtfertigungen vorhanden:

insbesondere für die geschäftsmäßigen Datenerhebung und -speicherung zum Zweck der Übermittlung

Spezialgesetzliche Regelungen nicht vergessen, etwa im TMG oder TKG

Grundprinzipien II:

Transparenz: Klarheit für den Betroffenen

Das Prinzip ?Transparenz? beschreibt die Anforderung, dass jeder Betroffene wissen soll, dass Daten uber ihn erhoben werden.

Zweckbindung: Verwendung nur für den Zweck der Erhebung

Jeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen.

VermeidungundSicherheit: Keine unnötige Exponierung von Daten

Die Verarbeitung personenbezogener Daten ist stets an dem Ziel auszurichten, so wenige Daten wie moglich zu verarbeiten.

Pflichten der verantwortlichen Stelle

Anforderungen an Datenschutz-Einhaltung

Grundbegriffe

Grundprinzipien

Pflichten der verantwortlichen Stelle

Umgang mit Betroffenen und Behörden

Internationaler Datentransfer/ grenzüberschreitende Datenverarbeitung

Datenschutzbeauftragter

..

§ 9 BDSG verpflichtet zur Schaffung ausreichender

technischer und organisatorischer Maßnahmen zur Gewährleistung des Datenschutzniveaus

Überwachung des Dienstleisters, § 11 BDSG

Umfang der Maßnahmen: § 9 Satz 2 BDSG: Verhältnismäßigkeit → Abwägung: Schutzbedürftigkeit der Daten → Aufwand

Konkretisiert wird diese Verpflichtung durch die in der Anlagezu § 9 BDSG aufgestellten Anforderungen

technische und organisatorische Maßnahmen § 9 BDSG

Zutrittskontrolle

z.B. Zugangskontrolle durch Pförtner, Schlüsselregelung, Ausweisterminals, biometrische Kontrollsysteme

Zugangskontrolle zu Datenverarbeitungssyteme gegen Unbefugte

z.B. Benutzerverwaltung, Passwortvergabe, Einsatz von VPN, Einsatz Virenscanner

Zugriffskontrolle für Mitarbeiter/Befugte- Zugriff im Rahmen der Aufgabenstellung/Zugriffsberechtigung

Erstellung Berechtigungskonzept, Verwaltung der Zugriffsrechte durch Systemadministrator, Passwortvergabe)

Weitergabekontrolle

Sicherung der Übertragungswege

Revisionsvermittlungesetzliche Schuldverhältnisseorgänge an Dritte

Eingabekontrolle

Moglichkeit der Feststellung der Person, die Daten eingegeben, verandert oder geloscht hat

Auftragskontrolle

Sicherstellung der weisungsgemaßen Auftragsdatenverarbeitung

Datentrennung

getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten

Eckpfeiler aus § 9 BDSG

Verfügbarkeit

Vertraulichkeit

Integrität

Revisionssicherheit

Transparenz

dieser Schutz orientiert sich an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten

Verpflichtungen der Mitarbeiter

§ 5 Verpflichtungserklärung