Datenschutz
1. Konsultation: Datenschutz
Einleitung
- 18 Datenschutzaufsichtsbehörden in Deutschland
- Datenschutz-Recht ist immer personenbezogen!
- Institutionen können sich per Definition nicht auf Datenschutz für ihre Informationen berufen
- Abgrenzung zu: Datenrecht, Datensicherheit
Abgrenzung zu Datenrecht
- Personenbezogene Daten
- Sobald irgendeine Stelle ein Datum einer Person zuordnen kann greift das Datenschutzrecht!
- Z.B.: Matrikelnummer, Kfz-Kennzeichen- IP-Adresse
- Nicht personenbezogene Daten
- Kein allgemeiner Rechtsschutz
- Nur fragmentarischer Rechtsschutz etwa im Urheberrecht oder via vertragliche Vereinbarung
- Z.B. Datenbankschutz via Urheberrecht oder Katalog-/Metadaten via Vertragsvereinbarung
- Bundesregierung (2018): “Wir wollen ein Datenrecht schaffen”
- EU-Kommission beriet u.a. rechtliche Schutzkonzepte zu data ownership
- Anonymisierung nur rechtswirksam bei Einhaltung des Datenschutzgesetzes
Abgrenzung zu Datensicherheit
- Datenschutz: Was darf man? (rechtliche Perspektive)
- Datensicherheit: Wie stellen wir das organisatorisch/technisch sicher?
- Verschlüsselung/Abhörschutz
- Zugriffsberechtigungen
- Aktenvernichtung
- Verhinderung von Datenlecks
- Verpflichtung von Mitarbeitenden auf Datengeheimnis
- Relevant: IT-Sicherheitsgesetz 2.0 (2001) beim BSI
Sensible Daten im Datenschutzrecht
- Schwammiger Begriff im Alltagsgebrauch
- EU-Recht definiert wann personenbezogene Daten besonders schutzwürdig sind:
- Verarbeitung personenbezogener Daten, aus denen die
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- hervorgehen, sowie die Verarbeitung von 5. genetischen Daten 6. biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person 7. Gesundheitsdaten 8. Daten zum Sexualleben oder der sexuellen Orientierung
- Verarbeitung personenbezogener Daten, aus denen die
- Andere Daten (z.B. Bankinformationen) sind nicht rechtlich sensibel sondern vertraulich!
- Vertraulichkeit von Dokumenten werden von Institutionen selber festgelegt
- Unterschied: Gesetzliche Regelung (via EU/DSGVO) vs institutionelle Regelung
- Vertrauliche Regelungen gelten nur für Vertragsparteien
Juristische Grundlagen und zentrale Handlungsparameter
- Datenschutz Jede Person hat ein Recht auf informationelle Selbstbestimmung! (BVerfGE)
- 2009: Rechtsverbindlicher Teil der EU Grundrechte-Charta (Artikel 8)
Zulässigkeit von Datenverarbeitung
-
Wann ist die Datenverarbeitung zulässig?
- Mit Einwilligung der betroffenen Person
- Durch eine sonstige gesetzlich geregelte legitime Grundlage
- Sonst ist die Verarbeitung grundsätzlich verboten!
-
Zulässigkeitsbeispiel für Bibliotheken:
- Zulässig z.B. durch das Thüringer Bibliotheksgesetz, welches auf das Thüringer Hochschulgesetz (ThürHG) verweist
- ThürHG kodifiziert welche Daten verarbeitet werden dürfen und durch welche Institutionen
- ThürHG definiert auch dass Mitarbeiter verpflichtet sind, ihre Daten anzugeben insofern es für die Basis-/Pflichtaufgabenerfüllung erforderlich ist
- Zusätzlich: Allgemeine Bibliotheksordnung für Aufgaben die darüber hinausgehen
- Hochschulbibliotheken sind Hoheitsgebiet der einzelnen Länder
-
Wann sind datenschutzrechtliche Einwilligungserklärungen zulässig/wirksam? (nach DSGVO)
- Freiwilligkeit
- Mitarbeiter besonders abhängig, dadurch eingeschränkte Freiwilligkeit
- Betriebsvereinbarung
- Mitarbeiter besonders abhängig, dadurch eingeschränkte Freiwilligkeit
- Festlegung konkreter Zwecke (Zweckbindungsgrundsatz)
- Broad Consent in der Wissenschaft möglich
- Informierte Einwilligung vor Datenerhebung/-weiterverarbeitung
- Unmissverständlich abgegebene Erklärung bzw. eindeutige Bestätigung
- Nicht prinzipiell nur in Schriftform; vgl. DINI-Zertifikkat
- Verständlichkeit: Einfache & klare Sprache, Zugänglichkeit
- Jederzeit widerrufbar (ohne Begründung, Wirkung ex nunc)
- Im Streitfall Nachweispflicht bei datenverabeitender Stelle
- Sonderregelung für Jugendliche (bis 16 Jahre)
- Bereits eingeholte Einwilligungen gelten i.d.R. weiterhin
- Freiwilligkeit
-
Stärkung der Datenschutzprinzipien: Privacy by Design & Privacy by Default
- Unterstützend: Einführung von Datenschutz-Icons durch LfDI-BW
- Zweckbindung, Datenminimierung, Speicherbegrenzung!
- Für einen definierten, legitimen Zweck erheben!
- So wenig Daten wie möglich erheben!
- Nach Ablauf gesetzlicher Fristen und des Zweckes, alte Daten löschen!
Betrieblicher/Behördlicher Datenschutzbeauftragter
- Datenschutzbeauftragter muss in aller Regel benannt werden (immer bei öffentlichen Stellen)
- Datenschutzbeauftragter kann gemeinsam von mehreren verantwortlichen Stellen benannt werden
- Datenschutzbeauftragter kann extern sein
- Fachkunde erforderlich (Datenschutzrecht/Datenschutzpraxis; kein Rechtsstudium notwendig)
- Qualifizierung via Workshops und Seminare möglich
- Durch diese Vorlesung wurde das Grundniveau bereits erreicht
-
Interessenkonflikte vermeiden
-
Arbeit des Datenschutzbeauftragten
- Fachlich weisungsfrei
- Abberufung- und Benachteiligungsverbot
- Ausstattung mit erforderlichen Ressourcen
- Geheimnisträger
- Veröffentlichung der Kontaktdaten und Mitteilung an Aufsichtsbehörde
- Präventive interne Beratungsfunktion
- Schulungen durchführen, Handmaterialien, etc.
- Wer ist (intern) verantwortlich?
- Nicht der Datenschutzbeauftragte!
- Prinzipiell die verantwortliche Stelle (meist die Bibliotheksleitung)
- Im Übrigen gilt das allgemeine Dienst-/Arbeitsrecht
Haftung/Sanktion bei Nichteinhaltung
- Vor allem: Geldbußen
- Sie sollen immer wirksam, verhältnismäßig und abschreckend sein
- Höhe der Geldbußen bis zu 20.000.000 Euro bzw. 4% des Weltjahresumsatzes
- In Deutschland: Gegen Öffentliche Stellen/Behörden können keine Geldbußen
- Andere Sanktionen:
- Betroffenenrechte
- Schadenersatz
- Beschwerde bei Aufsichtsbehörde
- Befugnisse der Aufsichtsbehörde
- Weitreichend: Von Warnung bis zur kompletten Abschaltung des Services