Docsity
EinloggenRegistrierung
Docsity
Prüfungen vorbereiten
Prüfungen vorbereiten

Besser lernen dank der zahlreichen Ressourcen auf Docsity

Download-Punkte bekommen.
Download-Punkte bekommen.

Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo

Leitfäden und Tipps
Leitfäden und Tipps
Auf Docsity verkaufen
Auf Docsity verkaufen
EinloggenRegistrierung

Prüfungen vorbereiten

Besser lernen dank der zahlreichen Ressourcen auf Docsity

Dokumente suchen

Bereite deine Prüfungen mit den Lernmaterialien von anderen Studierenden gezielt vor.

Store-Dokumente durchsuchen

Die besten Dokumente, die erfolgreiche Absolventen zum Verkauf stellen

Suche in alle Lernressourcen
Docsity AINEW

Summarize your documents, ask them questions, convert them into quizzes and concept maps

Download-Punkte bekommen.

Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo

Dokumente teilen
download point icon20 Punkte

Für jedes hochgeladene Dokument

Alle Arten, um Gratis-Punkte zu bekommen
Sofort Punkte bekommen

Wähle ein Premium-Abo mit allen Punkten, die du benötigst

Studienangebote

Wähle dein nächstes Studienprogramm

Setz dich jetzt mit den besten Universitäten der Welt in Verbindung. Wähle zwischen Tausenden Universitäten und offiziellen Partnern.

Community

Rangliste Universitäten

Finde heraus, welche laut den Docsity-Nutzern die besten Unis deines Landes sind

Kostenlose Leitfäden

Unsere Studi-Retter-Ebooks!

Lade unsere Leitfäden mit Lernmethoden, Hilfen zur Angstbewältigung und von Docsity-Tutoren erstellte Tipps zum Verfassen von Haus- und Abschlussarbeiten kostenlos herunter

Prüfungsschema zur Datenverarbeitung unter der DSGVO, Grafiken und Mindmaps von Datenschutzrecht

Universität GreifswaldDatenschutzrecht

Spezialthemen wie u.a. Verarbeitung von Daten über Straftaten (Art. 10), Automatisierte Entscheidungen und Profiling (Art. 22), Bereichsausnahmen für redaktionell-journalistische Tätigkeiten („Medienprivileg“) sowie allgemeine Anforderungen wie z.B. die Benennung eines Datenschutzbeauftragten (Art. 37 ff.), eines Vertreters bei Verantwortlichen ohne Niederlassung in der EU (Art. 27) oder das Führen eines Verarbeitungsverzeichnisses (Art. 30) wurden außen vor gelassen.

Art: Grafiken und Mindmaps

2019/2020

Hochgeladen am 10.04.2020

marie.c
marie.c 🇩🇪

4.8

(5)

1 / 4

Toggle sidebar

Diese Seite wird in der Vorschau nicht angezeigt

Lass dir nichts Wichtiges entgehen!

bg1
Einführung & Arbeitshilfen
Koglin, Neues Datenschutzrecht, 4. Auflage 2018 (Druckfahnen 12/2017) S. 1
Prüfungsschema zur Datenverarbeitung unter der DSGVO
Hinweis: Spezialthemen wie u.a. Verarbeitung von Daten über Straftaten (Art. 10),
Automatisierte Entscheidungen und Profiling (Art. 22), Bereichsausnahmen für redaktionell-
journalistische Tätigkeiten („Medienprivileg“) sowie allgemeine Anforderungen wie z.B. die
Benennung eines Datenschutzbeauftragten (Art. 37 ff.), eines Vertreters bei Verantwortlichen
ohne Niederlassung in der EU (Art. 27) oder das Führen eines Verarbeitungsverzeichnisses
(Art. 30) wurden außen vor gelassen.
1. Anwendbarkeit der DSGVO
a. Zeitlich: ab 25.05.2018
i. Für zuvor begonnene Verarbeitungen: ErwG 171 (Frage: Relevanz der ErwG)
ii. Für zuvor eingeholte Einwilligungen: ErwG 171 (Frage: Relevanz der ErwG)
b. Sachlicher Anwendungsbereich (Art. 2 Abs. 1)
i. Personenbezogene Daten (Art. 4 Nr. 1, ErwG 1; auch Art. 8 EU-Grundrechte-
Charta)
1. Identifizierte Person: Z.B. durch Name, oder
2. Identifizierbare Person: Kann direkt oder indirekt identifiziert
werden (Art. 4 Nr. 1); str. durch wen (absolute oder relative
Ansicht) und ob illegale Datenverwendung hierbei zu
berücksichtigen ist.
Besonderheit: IP-Adressen und IDs, zu IP-Adressen grds.
bejahend BGH, Urt. v. 16.05.2017 (VI ZR 135/13) nach EuGH-
Vorlage u. dessen Urt. v. 19.10.2016 - C-582/14
3. Informationen müssen sich auf natürliche (identifizierte oder
identifizierbare) Person beziehen (Art. 4 Nr. 1).
ii. „Verarbeitung“ der Daten (Art. 1, 2; Def. in Art. 4 Nr. 2): Als Verarbeitung
gilt praktisch jede Tätigkeit in Zusammenhang mit diesen Daten; auch bereits
die bloße Erhebung oder Speicherung sowie das Ermöglichen, dass Dritte auf
die Daten zugreifen.
iii. Verarbeitungsweise (Art. 2 Abs. 1): Die personenbezogenen Daten müssen
1. ganz oder teilweise automatisiert verarbeitet werden (IT) oder
2. nichtautomatisiert verarbeitet werden, aber in einem Datei-
system gespeichert sein oder werden sollen (Kartei, Ordner).
iv. Ausnahmen nach Art. 2 Abs. 2 - 3
1. Abs. 2 lit. c: Durch nat. Personen zu rein persönl. oder fam.
Tätigkeiten. Diese Ausnahmen sind eng auszulegen; vgl. EuGH,
Urt. v. 11.12.2014, C212/13 (zur Datenschutz-RL).
2. Abs. 2 lit. b und d, Abs. 3: Ausnahmen u.a. für Ziele der
Strafverfolgung und -vollstreckung; beachte jedoch ggf. RL
2016/680 und §§ 45 ff. BDSG n.F.
3. Abs. 2 lit. a: Sofern Unionsrecht nicht anwendbar (u.a. geheim-
dienstl. Tätigkeiten); beachte jedoch ggf. § 85 BDSG n.F.
4. Abs. 3: Eigene Tätigkeit der Union; hierfür gilt VO (EG)
45/2001 (Datenschutz bei Verarbeitung u.a. durch EG-Organe).
pf3
pf4

Unvollständige Textvorschau

Nur auf Docsity: Lade Prüfungsschema zur Datenverarbeitung unter der DSGVO und mehr Grafiken und Mindmaps als PDF für Datenschutzrecht herunter!

Prüfungsschema zur Datenverarbeitung unter der DSGVO

Hinweis: Spezialthemen wie u.a. Verarbeitung von Daten über Straftaten (Art. 10), Automatisierte Entscheidungen und Profiling (Art. 22), Bereichsausnahmen für redaktionell- journalistische Tätigkeiten („Medienprivileg“) sowie allgemeine Anforderungen wie z.B. die Benennung eines Datenschutzbeauftragten (Art. 37 ff.), eines Vertreters bei Verantwortlichen ohne Niederlassung in der EU (Art. 27) oder das Führen eines Verarbeitungsverzeichnisses (Art. 30) wurden außen vor gelassen.

1. Anwendbarkeit der DSGVO a. Zeitlich: ab 25.05. i. Für zuvor begonnene Verarbeitungen: ErwG 171 (Frage: Relevanz der ErwG) ii. Für zuvor eingeholte Einwilligungen: ErwG 171 (Frage: Relevanz der ErwG) b. Sachlicher Anwendungsbereich (Art. 2 Abs. 1) i. Personenbezogene Daten (Art. 4 Nr. 1, ErwG 1; auch Art. 8 EU-Grundrechte- Charta) 1. Identifizierte Person: Z.B. durch Name, oder 2. Identifizierbare Person: Kann direkt oder indirekt identifiziert werden (Art. 4 Nr. 1); str. durch wen (absolute oder relative Ansicht) und ob illegale Datenverwendung hierbei zu berücksichtigen ist. Besonderheit: IP-Adressen und IDs, zu IP-Adressen grds. bejahend BGH, Urt. v. 16.05.2017 (VI ZR 135/13) nach EuGH- Vorlage u. dessen Urt. v. 19.10.2016 - C-582/ 3. Informationen müssen sich auf natürliche (identifizierte oder identifizierbare) Person beziehen (Art. 4 Nr. 1). ii. „Verarbeitung“ der Daten (Art. 1, 2; Def. in Art. 4 Nr. 2): Als Verarbeitung gilt praktisch jede Tätigkeit in Zusammenhang mit diesen Daten; auch bereits die bloße Erhebung oder Speicherung sowie das Ermöglichen, dass Dritte auf die Daten zugreifen. iii. Verarbeitungsweise (Art. 2 Abs. 1): Die personenbezogenen Daten müssen

  1. ganz oder teilweise automatisiert verarbeitet werden (IT) oder
  2. nichtautomatisiert verarbeitet werden, aber in einem Datei- system gespeichert sein oder werden sollen (Kartei, Ordner). iv. Ausnahmen nach Art. 2 Abs. 2 - 3
  3. Abs. 2 lit. c: Durch nat. Personen zu rein persönl. oder fam. Tätigkeiten. Diese Ausnahmen sind eng auszulegen; vgl. EuGH, Urt. v. 11.12.2014, C‑212/13 (zur Datenschutz-RL).
  4. Abs. 2 lit. b und d, Abs. 3: Ausnahmen u.a. für Ziele der Strafverfolgung und - vollstreckung; beachte jedoch ggf. RL 2016/680 und §§ 45 ff. BDSG n.F.
  5. Abs. 2 lit. a: Sofern Unionsrecht nicht anwendbar (u.a. geheim- dienstl. Tätigkeiten); beachte jedoch ggf. § 8 5 BDSG n.F.
  6. Abs. 3: Eigene Tätigkeit der Union; hierfür gilt VO (EG) 45/2001 (Datenschutz bei Verarbeitung u.a. durch EG-Organe).

c. Räumlicher Anwendungsbereich (Art. 3): i. Im Rahmen der Tätigkeit einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der Union (nicht EWR), auch wenn die Verarbeitung selbst außerhalb der Union stattfindet (Bsp: Cloud). Niederlassung: Nicht notwendig eigene Gesellschaft, ähnlich permanent establishment im Steuerrecht (z.B. dauerhaftes Büro). Vgl. auch EuGH „Google Spain“, Urt. v. 13.05.2014, C-131/12. Nicht Hauptniederlassung i.S.d. Art. 4 Nr. 16. ii. Wenn Niederlassung nicht in der EU, aber

  1. Personen in der EU Waren/Dienstleistungen angeboten werden (auch unentgeltlich; ungleich § 7 Abs. 3 UWG))
  2. oder ihr Verhalten in der EU beobachtet wird. iii. Sonderfall Art. 3 Abs. 3: Wenn Ort/Niederlassung aufgrund Völkerrecht dem Recht eines Mitgliedsstaates unterliegt, wie Botschaften, Schiffe, Flugzeuge (ErwG 25). Vorsicht: Dt. Fassung („Ort“) abweichend von engl. Fassung („establishment“). d. Adressaten der Normen: i. Für die Datenverarbeitung Verantwortlicher : Derjenige, der faktisch bestimmt, ob und wie Daten verarbeitet werden (Art. 4 Nr. 7). ii. Auftragsverarbeiter: Derjenige, die Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8). 2. Zwischenergebnis: DSGVO anwendbar Hinweis: Ggf. zusätzlich ePrivacyVO bzw. Richtlinie 2002/58/EG nebst TMG, TKG, § 7 UWG u.a. beachten. Falls DSGVO nicht anwendbar: a. ePrivacyVO prüfen (auch bei nicht personenbezogenen Daten anwendbar) b. ggf. Anwendbarkeit BDSG 2018 Teil 3 und 4 3. Allgemeine Voraussetzung für die Datenverarbeitung: Einhaltung aller organisatorischen und IT-seitigen Anforderungen (u.a. Art. 5 Abs. 1 lit. a: Rechtmäßigkeitsprinzip; Art. 5 Abs. 2: Rechenschaftspflicht); vgl. auch unten Ziff. 5 ff. der Prüfliste. 4. Spezifische Voraussetzung: Rechtsgrundlage für Datenverarbeitung (Erlaubnisvorbehalt, abschließender Katalog nach Art. 6) Vorfrage: Welche Datenverarbeitung zu welchem Zweck? – Genau zu definieren und zu dokumentieren, ansonsten Prüfung nicht mgl. und ggf. Verstoß gegen Art. 5 Abs. 2. a. Einwilligung (Art. 6 Abs. 1 lit. a; führt zu  Widerrufsrecht, siehe unten) i. Vorherige (!) Informiertheit des Betroffenen: Art. 4 Nr. 11 , Art. 7 Abs. 2: U.a. verständliche Form, einfache Sprache, erkennbar. ii. Zweckfestlegung, Bestimmtheit: Einwilligung „für einen oder mehrere bestimmte Zwecke“ (Art. 6 Abs. 1 lit. a). Beachte die damit einhergehende  Zweckbindung (Art. 5 Abs. 1 lit b), siehe unten. iii. Freiwilligkeit, insb. Kopplungsverbot, d.h. wenn Erfüllung von Vertrag/ Erbringung von Dienstleistung an Erteilung der Einw. gekoppelt wird. Unklar, was „Dienstleistung“ ist, jedenfalls nicht Art. 4 Nr. 25. Gola/Schulz, Art 7 Rn. 22: Art. 4 Nr. 1 der RL 2006/123 (ohne weitere Begründung); letztlich unklar, ob kostenlose Webseiten darunter fallen. iv. Hinweis auf Widerrufsrecht u. Folgen vor Erklärung der Einwilligung (Art. 7 Abs. 3 S. 3).

Einwilligungsinhalt einschließlich des Zwecks bereits festgelegt wurden. Beachte auch Info-Pflicht aus Art 13 Abs. 3, Art 14. Abs. 4.

6. Anforderungen an die Datenverarbeitung insbesondere bei Datenerhebung Datenminimierung, Privacy by Default (Art. 5 Abs. 1lit. c, Art. 25 Abs. 2) 7. Allgemeine Anforderungen an die Datenverarbeitung Verantwortung (Art. 24), Privacy by Design (Art 25 Abs. 1), Sicherheit der Verarbeitung (Art. 32) 8. Sofern erforderlich: Datenschutz-Folgenabschätzung durchgeführt Nach hM keine explizite Rechtmäßigkeitsvoraussetzung, aber in Rechtmäßigkeitsprinzip (Art. 5 Abs. 1 lit. a) enthalten. 9. Spezielle Informationspflichten bei Widerrufs- bzw. Widerspruchsrecht a. Widerrufsrecht bei Einwilligung. Art. 7 Abs. 3: i. Informationspflicht vor/bei Einholung der Einwilligung. ii. Der Widerruf selbst muss so einfach sein wie Erteilung der Einwilligung. iii. Hinweis auch im Rahmen des Auskunftsrechts nach Art. 13 bzw. 14. b. Widerspruchsrecht gegen Datenverarbeitung, die a.G. von berechtigtem Interesse oder im öff. Interesse erfolgt, einschl. Profiling sowie Direktwerbung (Art. 21) i. Außer bei Direktwerbung: Ausnahme zur Weiterverwendung u.a. zur Geltendmachung von Rechtsansprüchen (Art. 21 Abs. 1 S. 2) ii. Hinweispflicht nach Art. 21 Abs. 4 „spätestens zum Zeitpunkt der ersten Kommunikation“; verständlich und separat. 10. Allgemeine Informationspflichten: a. Art. 13: Sofern Daten beim Betroffenen erhoben wurden b. Art. 14: Sofern Daten bei Dritten erhoben wurden 11. Nach Abschluss der Verarbeitung bzw. Erreichung des Zwecks: Datenlöschung (Art. 17) oder ggf. Einschränkung der Verarbeitung (Art. 18). Art. 17 und 18 sind als antragsgebundenes Recht der betroffenen Person formuliert, aber u.a. aus der Pflicht zu Datenminimierung (Art. 5 Abs. 1 lit. c, 25 Abs. 2) auch eigenständige Pflicht des Verantwortlichen.