Datenschutz ist ein zentrales Thema in der heutigen digitalen Welt. Es bezieht sich auf den Schutz personenbezogener Daten vor Missbrauch, unbefugtem Zugriff und unerlaubter Verarbeitung. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie zum Beispiel Name, Adresse, Geburtsdatum oder auch Online-Kennungen.
Ein wichtiger Aspekt des Datenschutzes ist die Gewährleistung der Privatsphäre von Individuen. Dies bedeutet, dass jede Person das Recht hat, selbst zu bestimmen, welche persönlichen Informationen an Dritte weitergegeben werden und wie diese Informationen verwendet werden dürfen. In der Europäischen Union wird der Datenschutz durch die Datenschutz-Grundverordnung (DSGVO) geregelt, die strenge Regeln für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten festlegt.
Während Datenschutz den Schutz der Privatsphäre und der persönlichen Informationen von Individuen fokussiert, bezieht sich Datensicherheit auf den Schutz von Daten vor unberechtigtem Zugriff, Verlust oder Beschädigung. Datensicherheit umfasst Maßnahmen wie Verschlüsselung, Firewalls, Zugangskontrollen und regelmäßige Sicherheitsupdates, um sicherzustellen, dass Daten vor Cyberangriffen, Datenverlust und anderen Bedrohungen geschützt sind.
Zusammengefasst kann man sagen:
- Datenschutz schützt die Rechte und Freiheiten von Individuen in Bezug auf ihre persönlichen Daten.
- Datensicherheit schützt die Daten selbst vor technischen und physischen Bedrohungen.
Quelle: Generiert mit Fobizz-KI-Tool
In einem Burgerladen findet das folgende Gespräch zwischen dem Angestellten Max und der Kundin
Lisa Maier, die kurz zuvor an der Kamera im Eingangsbereich vorbeigegangen ist, an der Kasse
statt:
Max (blickt auf seinen Bildschirm): Guten Tag Frau Maier, was kann ich für Sie tun?
Lisa (überrascht): Woher kennen Sie denn meinen Namen?
Max: Die Gesichtserkennungssoftware am Eingang hat Ihr Gesicht mit unserer Kundendatei abgeglichen,
um Ihr Profil zu laden. Möchten Sie auch heute einen Doppelcheeseburger mit Pommes, Majo
und Cola?
Lisa (erstaunt): Ach, in meinem Kundenprofil steht wohl, was ich letztes Mal bestellt habe, wie?
Max: Aber natürlich, wir möchten Ihnen den bestmöglichen Service bieten.
Lisa: Nun gut, ja, ich hätte gerne wieder so einen Burger.
Max: Das macht dann 10,99 €.
Lisa: Das letzte Mal habe ich aber weniger dafür bezahlt.
Max: Das stimmt, wir wurden aber vom Gesundheitsministerium dazu verpflichtet, die Bestellungen
der Kunden mit den bei der Krankenkasse gespeicherten Gesamt-Gesundheitsdaten abzugleichen. Das
ist in Ihrem bestmöglichen Interesse, denn wir möchten, dass Sie ein gesundes und langes Leben führen – und deswegen darf ich Ihnen die Produkte aus unserer Light-Produktpalette zu einem reduzierten
Preis anbieten. Ihr Fitness-Armband hat leider im letzten Monat erhöhte Fett- und Blutdruckwerte
übermittelt. Und wie ich sehe, geht aus Ihrer Fitness-App hervor, dass Sie schon länger nicht mehr joggen
waren. Darf ich Ihnen einen leichten Hühnchen-Wrap mit Beilagensalat und Wasser anbieten?
Darauf erhalten Sie 2 € Rabatt.
Lisa: Uhm, ok, naja, das schmeckt mir zwar nicht so gut, aber wenn’s um die Gesundheit geht…
Max: Das ist eine gute Wahl, dann haben Sie bestimmt bald wieder die tolle Bikini-Figur wie auf dem
Foto, das Sie aus Ihrem letzten Sommerurlaub gepostet haben. Das macht dann für Sie 6,79 €.
Lisa (etwas verärgert): Mit der Karte bitte.
Max: Ich müsste leider bei Ihnen in bar kassieren, da ich sehe, dass Sie Ihr Konto überzogen haben.
Lisa: (wird rot) Ach, das wissen Sie auch?!? Nun gut, …
Max: Darf ich Ihnen noch ein Angebot machen, welches Sie sicher nicht ausschlagen können? Wir arbeiten
mit unserem lokalen Fitnessstudio zusammen. Wären Sie an einem kostenlosen Probe-Monat
interessiert? Das Fitnessstudio liegt nur fünf Minuten zu Fuß von Ihrer Wohnung entfernt!
Lisa: Woher wissen Sie das schon wieder?
Max: Sie nutzen auf Ihrem Handy doch den Kartendienst Kookle Karten. Die dort abgespeicherte Heimatadresse
können wir als Premium-Partner dieses Unternehmens einsehen, damit wir unseren Service
in Ihrem Sinne verbessern können. Wie sollte ich Ihnen denn sonst so tolle Angebote machen können?
Lisa: Hm, na gut, kann ja nicht schaden, und wenn’s nichts kostet…
Max: Eine sehr gute Wahl. Sie werden es sicherlich nicht bereuen! Hier ist Ihr Wrap – und viel Spaß im
Fitnessstudio. Bis zum nächsten Mal, Frau Maier.
Lisa: Ehm, …, danke…
- Erstellen Sie eine Liste mit den Daten, welche der Burgerkette über die Kundin Lisa bekannt sind. Markieren Sie jene Daten, die dem Unternehmen ihrer Meinung nach bekannt sein sollten. Begründen Sie Ihre Wahl.
- Erläutern Sie, wie die Burgerkette an die Daten gelangt sein könnte und geben Sie auch die Institutionen an, die an dem Informationssystem, das die Burgerkette verwendet, beteiligt sein können.
- Erläutern Sie anhand des obigen Beispiels, welche positiven und negativen Auswirkung eine detaillierte Kenntnis von Daten über Personen haben kann.
Personenbezogene Daten sind Informationen, die etwas über eine bestimmte Person aussagen, z. B. Name, Adresse oder E-Mail-Adresse. Diese Daten müssen sich nicht direkt auf die Person beziehen, es reicht bereits, dass über die Daten ein Bezug zu einer Person hergestellt werden kann. Betrachten wir die folgende Szenarien:
- Eine Lehrkraft einer gewöhnlichen Klasse äußert, dass eine Schülerin der Klasse eine 1 in der letz - ten Klassenarbeit geschrieben hat.
- Eine Lehrkraft in einem Kurs, in dem nur eine Schülerin und sonst nur Schüler sind äußert, dass eine Schülerin der Klasse eine 1 in der letzten Klassenarbeit geschrieben hat.
Für das Jahr 1983 war von der damaligen Bundesregierung eine umfangreiche Bestandsaufnahme der gesamten Bevölkerung geplant worden. Gegen diese Datenerhebung bildeten sich zahlreiche Bürgerinitiativen. Die Gegner klagten beim Bundesverfassungsgericht gegen diese Volkszählung. Den Klagen wurde stattgegeben und das Bundesverfassungsgericht legte das Recht auf informationelle Selbstbestimmung fest. Das Volkszählungsgesetz wurde überarbeitet und die Volkszählung im Jahre 1987 schließlich durchgeführt. Die im Folgenden gezeigte Gegenüberstellung illustriert, in welchem Umfang Daten ursprünglich in der Volkszählung 1983 erhoben werden sollten und wie der Fragebogen dann bei der tatsächlichen Durchführung im Jahr 1987 aufgebaut war.
Aus dem Volkszählungsgesetz von 1983:
§ 2
Die Volkszählung und Berufszählung erfasst:- Vornamen und Familiennamen, Anschrift, Telefonanschluss, Geschlecht, Geburtstag, Familienstand, rechtliche Zugehörigkeit oder Nichtzugehörigkeit zu einer Religionsgesellschaft, Staatsangehörigkeit;
- Nutzung der Wohnung als alleinige Wohnung, Hauptwohnung oder Nebenwohnung (§ 12 Abs. 2 des Melderechtsrahmengesetzes);
- Quelle des überwiegenden Lebensunterhaltes;
- Beteiligung am Erwerbsleben, Eigenschaft als Hausfrau, Schüler, Student;
- erlernten Beruf und Dauer der praktischen Berufsausbildung, höchsten Schulabschluss an allgemeinbildenden Schulen, höchsten Abschluss an einer berufsbildenden Schule oder Hochschule sowie Hauptfachrichtung des letzten Abschlusses;
- bei Erwerbstätigen sowie Schülern und Studenten Namen und Anschrift der Arbeitsstätte oder Ausbildungsstätte, hauptsächlich benutztes Verkehrsmittel und Zeitaufwand für den Weg zur Arbeitsstätte oder Ausbildungsstätte;
- bei Erwerbstätigen Geschäftszweig des Betriebes, Stellung im Beruf, ausgeübte Tätigkeit, Arbeitszeit, landwirtschaftliche und nichtlandwirtschaftliche Nebentätigkeit;
- im Anstaltsbereich die Eigenschaft als Insasse oder die Zugehörigkeit zum Personal oder zum Kreis der Angehörigen des Personals.
- (Partnerarbeit) Tauschen Sie sich mit Ihrem Sitznachbar/ihrer Sitznachbarin aus, welche der oben genannten Daten Sie ohne Probleme der öffentlichen Verwaltung preisgeben würden und bei welche Informationen Sie kritisch sehen. Die Volkszählung war ursprünglich für 1983 geplant. Zu dieser Zeit war der 1949 erschienene Roman „1984“ von George Orwell in den Medien äußerst präsent und seine Inhalte wurden in der Öffentlichkeit eingehend diskutiert. (Eine kurze Zusammenfassung finden Sie hier). Bewerten Sie vor diesem Hintergrund die umfangreichen Proteste gegen die Volkszählung.
- (Gruppenarbeit) Diskutieren Sie mit zwei anderen Partnergruppen über Ihre Entscheidungen in Aufgabe 1.
- (Partnerarbeit) Große Proteste seitens der Gegner der Volkszählung von 1983 löste insbesondere
folgende Passage aus § 9 des Volkszählungsgesetzes aus:
(1) Angaben der Volkszählung nach § 2 Nr. 1 und 2 können mit den Melderegistern verglichen und zu deren Berichtigung verwendet werden. Aus diesen Angaben gewonnene Erkenntnisse dürfen nicht zu Maßnahmen gegen den einzelnen Auskunftspflichtigen verwendet werden.
Erläutern Sie, welcher Grundsatz des aktuellen Datenschutzgesetzes hier verletzt wird (Eine Übersicht über die Grundsätze finden Sie hier). - (Partnerarbeit) Vergleichen Sie die in § 2 des Volkszählungsgesetzes verlangten Daten mit denen des Fragebogens von 1987 und geben Sie diejenigen Daten an, auf die bei der Volkszählung 1987 verzichtet wurde. Erläutern Sie, warum genau diese Daten weggelassen wurden.
- (Gruppenarbeit) Durch die Neufassung des Volkszählungsgesetzes sollte eine Anonymisierung der Daten gewährleistet sein. Diskutieren Sie, inwieweit aus den 1987 erhobenen Daten doch auf die zugrundeliegende Person geschlossen werden kann.
- (Gruppenarbeit) Vergleichen Sie die Angaben, die in der Volkszählung von 1983 verlangt wurden, mit den Daten, die soziale Netzwerke oder große Unternehmen im Internet über die Angaben in einem Profil und im Laufe der Zeit durch die Aktivitäten der jeweiligen Person sammeln.
- (Stammgruppe) Lesen Sie die drei Szenarien durch und notieren Sie stichpunktartig, was Ihrer Meinung nach datenschutzrechtlich problematisch sein könnte.
- (Expertengruppe) Finden Sie sich in einer Gruppe mit maximal vier Personen zusammen. Lesen Sie zunächst die Begriffsbestimmungen aus Artikel 4 der DSGVO (s. unten). Setzen Sie sich in ihrer Expertengruppe anhand Ihres Arbeitsblattes mit einem Grundsatz des Datenschutzes auseinander und formulieren Sie eine gemeinsame Lösung.
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche
Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person
angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen,
zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche
Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die
Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen,
die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel,
ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass
diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine
natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche
Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder
Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen
Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen
Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden
und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen
Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
[…]
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein
oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht
der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien
seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
[…]
11.„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen
bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung
der sie betreffenden personenbezogenen Daten einverstanden ist;
[…]
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu
den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die
eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder
daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer
natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus
denen Informationen über deren Gesundheitszustand hervorgehen;
Zweckbindung
- Lesen Sie die folgenden Ausschnitte der Datenschutzgrundverordnung der EU (DSGVO). Beurteilen Sie dann, ob die in der Tabelle stehenden Aussagen richtig oder falsch sind, und formulieren Sie eine kurze schriftliche Begründung für Ihre Wahl mit Verweis auf die entsprechenden Ausschnitte der DSGVO.
- Fassen Sie in eigenen Worten kurz zusammen, was man unter dem Grundsatz der Zweckbindung versteht (1 Satz).
DSGVO
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1)Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren
Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen
Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen
Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder
für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“);
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt
ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen
Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person
erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche
unterliegt;
Fälle
- Ein Unternehmen muss festlegen, wozu es Daten verwenden wird, bevor es die Daten bei seinen Kunden erhebt.
- Dem Kunden muss bei der Erhebung der Daten mitgeteilt werden, wofür die Daten erhoben werden.
- Susanne hat bei dem Gewinnspiel eines lokalen Radiosenders ihre E-Mail-Adresse angegeben, um im Falle eines Gewinns informiert werden zu können. Nun schickt der Radiosender ihr monatlich Newsletter. Dies ist datenschutzrechtlich zulässig.
- Eine IT-Firma speichert die Namen, Anschrift und E-Mail-Adressen aller Personen, welche sich jemals bei ihnen beworben und eine Absage bekommen haben, da sie diese in Zukunft vielleicht (ggf. auch für Werbezwecke) noch einmal brauchen könnte.
- Lesen Sie die folgenden Ausschnitte der Datenschutzgrundverordnung der EU (DSGVO). Beurteilen Sie dann, ob die in der Tabelle stehenden Aussagen richtig oder falsch sind, und formulieren Sie eine kurze schriftliche Begründung für Ihre Wahl mit Verweis auf die entsprechenden Ausschnitte der DSGVO.
- Fassen Sie in eigenen Worten kurz zusammen, was man unter dem Grundsatz des Verbots mit Erlaubnisvorbehalt versteht (1 Satz).
DSGVO
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
Artikel 6
Rechtmäßigkeit der Verarbeitung
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Fälle
- Die Erhebung personenbezogener Daten ist grundsätzlich erlaubt.
- Matthias hat sich bei einem Online-Versandhandel mit seiner E-Mail-Adresse registriert. Das Unternehmen darf seine Adresse an andere Unternehmen weitergeben.
- Bei den Bildern von Videoüberwachungssystemen handelt es sich um personenbezogene Daten, wenn die abgebildeten Personen zu erkennen sind. Der Einsatz solcher Systeme an öffentlichen Plätzen muss folglich durch ein Gesetz oder eine andere Rechtsvorschrift erlaubt werden.
- Lesen Sie die folgenden Ausschnitte der Datenschutzgrundverordnung der EU (DSGVO). Beurteilen Sie dann, ob die in der Tabelle stehenden Aussagen richtig oder falsch sind, und formulieren Sie eine kurze schriftliche Begründung für Ihre Wahl mit Verweis auf die entsprechenden Ausschnitte der DSGVO.
- Fassen Sie in eigenen Worten kurz zusammen, was man unter dem Grundsatz der Datenvermeidung und Datensparsamkeit versteht (1 bis 2 Sätze).
DSGVO
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
Artikel 6
Rechtmäßigkeit der Verarbeitung
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Fälle
- Es ist im Sinne der Datenvermeidung und Datensparsamkeit zulässig, dass mein gesamtes Adressbuch auf den Server des Anbieters eines sozialen Netzwerks übertragen wird.
- Ein Kameraüberwachungssystem erfasst Personen, indem es diese als sich bewegende Punkte auf dem Grundriss des überwachten Gebäudes darstellt, anstatt ihr Gesicht als Bild zu zeigen. Dies entspricht dem Grundsatz der Datenvermeidung.
- Ein Smart-TV-Fernsehgerät überträgt diverse Daten (Programmwechsel, Dauer des Fernsehkonsums usw.) an den TV-Hersteller, ohne dass der Nutzer dies unterbinden kann. Dies ist datenschutzrechtlich unbedenklich.
- Lesen Sie die folgenden Ausschnitte der Datenschutzgrundverordnung der EU (DSGVO). Beurteilen Sie dann, ob die in der Tabelle stehenden Aussagen richtig oder falsch sind, und formulieren Sie eine kurze schriftliche Begründung für Ihre Wahl mit Verweis auf die entsprechenden Ausschnitte der DSGVO.
- Fassen Sie in eigenen Worten kurz zusammen, was man unter dem Grundsatz der Transparenz versteht (1 bis 2 Sätze).
DSGVO
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
Artikel 6
Rechtmäßigkeit der Verarbeitung
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Fälle
- Betroffene müssen darüber informiert werden, dass Daten über sie erhoben werden. Warum und von wem diese erhoben werden, muss ihnen nicht mitgeteilt werden.
- Frau Maier möchte ihrem neuen Mitarbeiter das Gehalt überweisen. Leider hat sie seine Kontodaten nicht. Sie weiß aber, dass er Kunde der gleichen Bankfiliale wie sie selbst ist. Darf sie bei der Bankfiliale anrufen und die Kontodaten ihres Mitarbeiters erfragen? (ja = richtig, nein = falsch)
- Ein Polizist benötigt die Telefonnummer von Herrn Müller. Da er nur weiß, wo Herr Müller arbeitet, ruft er bei dessen Arbeitsstelle an, um die Telefonnummer zu erfragen. Das Sekretariat darf Herr Müllers Telefonnummer weitergeben.
- Lesen Sie die folgenden Ausschnitte der Datenschutzgrundverordnung der EU (DSGVO). Beurteilen Sie dann, ob die in der Tabelle stehenden Aussagen richtig oder falsch sind, und formulieren Sie eine kurze schriftliche Begründung für Ihre Wahl mit Verweis auf die entsprechenden Ausschnitte der DSGVO.
- Fassen Sie in eigenen Worten kurz zusammen, welche Rechte ein Betroffener hat (ca. 3 Sätze).
DSGVO
Abschnitt 2
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Artikel 13
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; 4.5.2016 L 119/40 Amtsblatt der Europäischen Union DE
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
Hinweis: Die SCHUFA ist ein privates Unternehmen, welches Daten über die Kreditwürdigkeit von Personen sammelt. Es speichert neben personenbezogenen Daten wie Name, Geburtsdatum und Anschrift Informationen über Bankkonten, Kreditkarten, Telekommunikationskosten oder Versandhandelskosten. Fälle
- Susanne möchte wissen, welche Daten bei der SCHUFA über sie gespeichert sind. Die SCHUFA muss ihr diese Auskunft erteilen.
- Susanne hat die Auskunft über ihre Daten von der SCHUFA erhalten. Sie stellt fest, dass dort ein Handyvertrag aufgeführt ist, den sie nicht abgeschlossen hat. Kann sie etwas dagegen unternehmen? (Richtig = Ja, Falsch = Nein)
- Lorenz hatte vor einigen Jahren Zeit Schwierigkeiten, seine Handyrechnung zurückzuzahlen. Diese Information wird für immer von der SCHUFA gespeichert.
- (Stammgruppe) Präsentieren Sie den anderen Gruppenmitgliedern den von Ihnen in Aufgabe 2 erarbeiteten Grundsatz. Notieren Sie die Merksätze der jeweils anderen Gruppen. Jedes Mitglied der Stammgruppe hat ca. 3 Minuten für die Präsentation. Erörtern Sie, gegen welche Grundsätze des Datenschutzes bei den drei Szenarien aus Aufgabe 1 verstoßen wurde und wie die Betroffenen hätten handeln können. Begründen Sie Ihre Aussagen mit den entsprechenden Auszügen der DSGVO.
Die Grundsätze des Datenschutzes
| Grundsatz/Recht | Erläuterung |
|---|---|
| Zweckbindung | |
| Verbot mit Erlaubnisvorbehalt | |
| Datenvermeidung & Datensparsamkeit | |
| Transparenz | |
| Betroffenheit |