3. Datenschutzrecht Flashcards
(17 cards)
Sind Sie als SMA verpflichtet, Datenschutzbestimmungen gemäß BDSG und DSGVO einzuhalten? (IHK 27)
Ja, denn man kann oft bei Kontrolltätigkeiten mit Personenbezogenen Daten in Kontakt kommen.
Zum Beispiel:
✅ In Geschäftsräumen in denen Daten verarbeitet oder gelagert werden
✅ Aufnahme von Personalien bei Unfällen oder Veranstaltungen
Daher steht der SMA in der Pflicht, personenbezogene Daten vor,
✅ Verlust
✅ unbefugtem Zugriff
✅ Beschädigungen
✅ Missbrauch
zu schützen
Wozu dient die neue Datenschutzgrundverordnung/das Bundesdatenschutzgesetz? (IHK 27)
(Art. 1 DSGVO / §1 BDSG)
✅ Schutz der Persönlichkeitsrechte beim Umgang mit personenbezogenen Daten
✅ Regelungen der Rechtsgrundlagen bei der Datenverarbeitung
Geltungsbereich:
Bundesdatenschutzgesetz (BDSG)/Datenschutzgrundverordnung (DSGVO)
✅ Bundesverwaltung und Privatwirtschaft
Verarbeitung in der Privatwirtschaft für:
Eigene Zwecke:
✅ Einzelperson
✅ Unternehmen
✅ private Gesellschaft
✅ juristische Personen des privaten Rechtes
Fremde Zwecke:
✅ Auskunfteien
✅ Marktforschungsinstitute
✅ Detekteien
✅ Service-/Rechenzentren
Was sind personenbezogene Daten? (IHK 28)
(Art. 4 DSGVO) - Begriffsbestimmung
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Personen beziehen.
✅ Identifizierbare (durch Name, Adresse, Geburtsdatum usw.)
✅ Auch eine indirekte Zuordnung zählt (z.B. durch Kombination mehrerer Infos)
Dazu gehören unter anderem:
✅ Name, Adresse, Geburtsdatum
✅ Kontonummer, Beruf, Einkommen, Besitz
✅ genetische Informationen
✅ Gesundheitsdaten
✅ kulturelle Zugehörigkeit
✅ wirtschaftliche Verhältnisse
✅ sozialer Status
Was heißt Verarbeitung von Daten? (IHK 28)
(Art. 4 DSGVO) - Begriffsbestimmung
Verarbeitung nach der DSGVO heißt: Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten zu tun haben - egal ob mit oder ohne Computer.
Dazu gehören:
✅ das Erheben und Erfassen
✅ die Organisation und das Ordnen
✅ die Speicherung
✅ die Veränderung
✅ das Auslesen und Abfragen
✅ die Verwendung
✅ die Offenlegung durch Übermittlung
✅ die Verbreitung oder Bereitstellung
✅ der Abgleich
✅ die Einschränkung
✅ das Löschen oder die Vernichtung
Wann ist die Verarbeitung von Daten rechtmäßig? (IHK 28)
(Art. 6 DSGVO) - Rechtmäßigkeit der Verarbeitung
Rechtmäßig ist die Verarbeitung dann, wenn
✅ eine Einwilligung
✅ rechtliche Verpflichtung oder
✅ ein lebenswichtiges Interesse
vorliegt.
Welche Pflichten haben Personen nach § 53 BDSG - Datengeheimnis beim Umgang mit personenbezogenen Daten?
§ 53 BDSG verpflichtet alle Personen, die beruflich mit personenbezogenen Daten arbeiten,
dazu, diese Daten geheim zu halten, und sie nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen.
✅ Personen dürfen nur beschäftigt werden, wenn sie vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet worden sind.
✅ Diese Pflicht gilt auch nach Beendigung der Tätigkeit weiter.
Wann dürfen personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden? (IHK 29)
(Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung)
Ist grundsätzlich als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn:
✅ Vertragliches Verhältnis
Mit dem Betroffenen ein Vertrag oder vertragsähnliches Vertrauensverhältnis besteht.
✅ Berechtigtes Interesse
Die speichernde Stelle hat ein berechtigtes Interesse (IT-Sicherheit, Protokollierung von Zugriffen, Betrugsprävention, begrenzte Direktwerbung), sofern die schutzwürdigen Interessen der betroffenen Person nicht überwiegen.
✅ Allgemein zugängliche Quellen
Daten aus allgemein öffentlich zugänglichen Quellen entnommen werden können (Handelsregister, Internet, Telefonbuch). Auch hier nur zulässig, wenn keine Schutzwürdigen Interessen überwiegen.
✅ Der Zweck der Erhebung personenbezogener Daten ist für die Verarbeitung und Nutzung von Daten konkret festzulegen.
Wann und von wem muss ein Betroffener über die Speicherung seiner Daten benachrichtigt werden? (IHK 29)
(Art. 13 DSGVO - Informationspflicht)
Werden personenbezogene Daten ohne Kenntnis des Betroffenen erstmals gespeichert, ist dieser von der betroffenen Stelle zum Zeitpunkt der Erhebung zu informieren.
Bei Speicherung für eigene Zwecke über:
✅ Speicherung, Art der Daten, Zweckbestimmung, Verarbeitung, Nutzung, Identität der verantwortlichen Stelle
Bei geschäftsmäßiger Speicherung zum Zwecke der Übermittlung über:
✅ die erstmalige Übermittlung
✅ Art der Datenübermittlung
Der Betroffene ist über die Erhebung in einer genauen, transparenten, verständlichen und leicht zugänglichen Form und in einer einfachen Sprache zu informieren.
Kann der Betroffene Auskunft über seine gespeicherten Daten verlangen? (IHK 30)
(Art. 12 DSGVO - Rechte der betroffenen Person)
Der Betroffene kann schriftlich Auskunft über die von ihm gespeicherten Daten verlangen.
Auskunft über:
✅ die zu seiner Person gespeicherten Daten
✅ deren Herkunft
✅ den Zweck der gespeicherten Daten
✅ die Weitergabe von Daten an Dritte
✅ Die Auskunft muss unverzüglich, spätestens binnen einer Frist von einem Monat, erteilt werden
Wann kann der Betroffene verlangen, dass Daten berichtigt, gelöscht und/oder gesperrt werden? (IHK 30)
(Art. 5 Abs. 1 DSGVO - Recht zur Berichtigung, Löschung und Sperrung der Daten)
Berichtigung bei:
✅ Die Daten sind unrichtig
✅ Die Speicherung ist unzulässig
Löschen wenn:
✅ Der Zweck der Speicherung ist nicht mehr erforderlich.
✅ Der Löschung stehen gesetzliche/vertragliche Aufbewahrungsfristen nicht entgegen.
Sperren wenn:
✅ Die Richtigkeit wird vom Betroffenen bestritten
Wann muss ein Datenschutzbeauftragter bestellt werden? (IHK 30)
(Art. 37 DSGVO - Benennung eines DSB)
Ein Datenschutzbeauftragter ist zu bestellen, wenn:
✅ Die Kerntätigkeit des Unternehmens die Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten
✅ oder eine systematische Überwachung von betroffenen Personen ist.
✅ Keine Mindestpersonenzahl wird in der DSGVO genannt!
(§38 BDSG - Datenschutzbeauftragter nicht öffentlicher Stellen)
✅ Ein Datenschutzbeauftragter muss innerhalb eines Monats schriftlich bestellt werden, wenn mindestens 20 Personen regelmäßig und dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
✅ Der Datenschutzbeauftragte muss laut DSGVO kein Mitarbeiter des Unternehmens sein
Welche Bedingungen und Voraussetzungen sind bei der Bestellung des Datenschutzbeauftragten zu beachten? (IHK 31)
Der DSB wird auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechtes und Datenschutzpraxis besitzt. Ein Nachweis über seine Kenntnisse sind zu führen.
Welche Aufgaben hat ein Datenschutzbeauftragter u.a. zu erfüllen? (IHK 31)
(Art. 39 DSGVO - Aufgaben des Datenschutzbeauftragten)
✅ Die Unterrichtung und Beratung des Unternehmens und der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten (Gesetze, Verordnungen, Rechtsprechungen etc.)
✅ Überwachung der Einhaltung datenschutzrechtlicher Regelungen und betrieblicher Strategien für den Schutz personenbezogener Daten
✅ Beratung bei und Überwachung der Durchführung einer Datenschutz-Folgenabschätzung
✅ Zusammenarbeit mit den Datenschutzbehörden
✅ Ansprechpartner für Betroffene und die Datenschutzbehörde
Ist ein Datenschutzbeauftragter zur Geheimhaltung verpflichtet? (IHK 31)
✅ Ja. Er ist zur Geheimhaltung verpflichtet.
✅ Sie müssen vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden.
✅ Die Geheimhaltungspflicht besteht auch nach Beendigung der Tätigkeit fort.
Wann ist eine Videoüberwachung zulässig und was ist zu beachten? (IHK 32)
Videoüberwachung ist nur zulässig:
✅ zur Wahrnehmung des Hausrechts
✅ zur Wahrnehmung berechtigter Interessen für festgelegte Zwecke
✅bei Erforderlichkeit und wenn
✅keine Schutzwürdige Interessen des Betroffenen überwiegen
✅ Die Videoüberwachung muss z.B. durch ein Hinweisschild sichtbar gemacht werden.
✅ Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind.
Welche technischen und organisatorischen Maßnahmen sind zur Durchsetzung der DSGVO und des BDSG erforderlich? (IHK 32)
Code of Conduct & Zertifizierung:
✅ Verhaltensregeln oder Datenschutzzertifikate können als Nachweis dienen, das Datenschutz eingehalten wird.
✅ Freiwillig, ist nicht gesetzlich vorgeschrieben
Rechenschaftspflicht / Prozessabläufe dokumentieren:
✅ Unternehmen müssen jederzeit nachvollziehbar zeigen können, wie mit personenbezogenen Daten umgegangen wird (Verpflichtend) - nach Art. 5 Abs. 2 DSGVO
Privacy by Design (verpflichtend):
✅ Datenschutz muss von Anfang an in Systeme eingebaut werden. (Schon bei der Planung & Entwicklung von Software oder Prozessen muss Datenschutz mit eingebaut werden) z.B. Passwörter werden verschlüsselt gespeichert, ein Kundenformular fragt nur wirklich notwendige Daten ab usw.
Privacy by Default (verpflichtend):
✅ Die Werkseinstellung muss standardmäßig, datenschutzfreundlich für Nutzer voreingestellt sein. Z.B. Standortfreigabe aus statt an, Profil privat statt öffentlich.
Datenschutz-Folgeabschätzung: (verpflichtend bei hohem Risiko)
Bedeutet die Vorabprüfung der Risiken, Folgen & Rechtmäßigkeit der Datenverarbeitung bei:
✅ besonders sensiblen Daten (z.B. Gesundheitsdaten)
✅ systematischer Bewertung natürlicher Personen z.B. (Scoring, Profiling)
✅ systematischer Überwachung öffentlich zugänglicher Bereiche z.B. Videoüberwachung
Welche Folgen können Verstöße gegen Datenschutzgesetze haben? (IHK 33)
Verstöße gegen Datenschutzgesetze können sowohl den Tatbestand einer Straftat, als auch den einer Ordnungswidrigkeit erfüllen. Z.B.:
§201 StGB - Verletzung der Vertraulichkeit des Wortes
✅ Unbefugt: heimliche private Gespräche mit einem Tonträger aufnimmt, oder eine so hergestellte Aufnahme gebraucht, private Gespräche abhört oder verbreitet
✅ Freiheitsstrafe bis zu 3 Jahren oder mit einer Geldstrafe bestraft werden
✅ Der Versuch ist auch strafbar
§202 StGB - Verletzung des Briefgeheimnisses: (Schriftstücke & Abbildungen)
✅ Unbefugt: Briefe öffnet, sich über den Inhalt mit Hilfe von Technik Kenntnis verschafft, oder Behältnisse öffnet um Inhalte eines Schriftstücks einzusehen.
✅ bis zu 1 Jahr Freiheitsstrafe oder Geldstrafe
§202a StGB - Ausspähen von Daten
✅ Wer sich unbefugt Zugang zu Daten, die besonders gesichert sind, unter Überwindung der Zugangssicherung (Firewall, oder Passwörter), verschafft. Betrifft Daten die elektronisch, magnetisch, gespeichert oder übermittelt werden.
✅ Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe
