Please enable JavaScript.
Coggle requires JavaScript to display documents.
DS-GVO (II. Grundsätze "informationelle Selbstbestimmung" (1.…
DS-GVO
II. Grundsätze
"informationelle Selbstbestimmung"
1. Rechtmäßigkeit
Verbot mit Erlaubnisvorbehalt,
d.h. alles ist grundsätzlich verboten,
was nicht ausdrücklich erlaubt ist
Einwilligung für einen oder mehrere bestimmte Zwecke
zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen
Erfüllung rechtlicher Verpflichtungen
zum Schutz lebenswichtiger Interessen
Aufgabe im öffentlichen Interesse oder Gewalt
berechtigtes Interesse
3. Transparenz
Informationspflicht der Verantwortlichen
vor Datenerfassung
bei Datenverarbeitung
nach Verstößen/Pannen
Auskunftsrecht der Betroffenen
Welche Daten?
Zu welchem Zweck?
Herkunft der Daten
4. Zweckbindung
Verarbeitung zum angegebenen Zweck
oder ähnlichen Zwecken
5. Datenminimierung
Verarbeiten der für den Zweck
erforderlichen Daten
2. Verarbeitung nach Treu und Glauben
Ist rechtlich noch schwammig,
wird mit der Zeit konkretisiert
6. Richtigkeit
Daten müssen aktuell sein
oder gelöscht werden.
7. Speicherbegrenzung
pb. Daten dürfen nur für die erforderliche Dauer
gespeichert werden, anschließend müssen diese gelöscht oder anonymisiert werden
8. Sicherheit und Vertraulichkeit
Schutz vor Zugriff Dritter
Schutz vor Verlust
I. Begriffe
1. Personenbezogene Daten
(identifizierte oder identifizierbare
natürliche Person)
Vorname, Name
Adresse
Email-Adresse
IP-Adresse
Besondere Kategorie
rassische und ethnische Herkunft (z.B. Fotos)
politische Meinungen
religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
Gesundheitsdaten
Daten zum Sexualleben oder der sexuellen Orientierung
KFZ-Nummernschild
Telefonnummer
2. Datenverarbeitung
Erheben
Erfassen
Ordnen
Speichern
Auslesen
Offenlegen
Abgleich
Einschränken
Löschen
Vernichten
3. Betroffene Personen
Mitarbeiter
Spender
Lieferanten (Ansprechpartner, Fahrer)
Partner
III. Datenverarbeitung in der BM
1. Grundlage
zur Erfüllung eines Vertrages oder
vorvertraglicher Maßnahmen
(z. B. Kinder- oder FBS-Patenschaft)
Erfüllung rechtlicher Verpflichtungen
(z. B. Nachweis über Spendeneingang)
berechtigtes Interesse
Erwägungsgrund 47 (2):
"Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht."
Einwilligung für einen oder mehrere bestimmte Zwecke
2. Informationspflichten
Direkterhebung
Zeitpunkt:
bei Erhebung
Informationen:
Namen und die Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zwecke und die Rechtsgrundlage
wenn "berechtigte Interessen" bestehen
ggf. die Empfänger oder Kategorien von Empfängern
ggf. die Absicht die pb. an ein Drittland zu übermitteln
Speicherdauer, bzw. Kriterien für die Festlegung dieser Dauer
Recht auf Auskunft, Berichtigung, Löschung, Eingrenzung...
Beschwerderecht bei einer Aufsichtsbehörde
...
Praxis:
Datenschutzerklärung auf der Webseite
ausgedruckte Datenschutzerklärung bei "face-to-face"
Bei Email (Erstkontakt) Hinweis auf DSE-Webseite
Bei Änderungen der DSE Hinweis im Rundbrief/Zeitschrift
Telefonat???
Dritterhebung
Zeitpunkt:
bei erster Mitteilung
bei erster Offenlegung
spätestens innerhalb eines Monats
Informationen:
:warning: zusätzlich :warning:
Kategorien der Daten
aus welcher Quelle
ggf., ob aus öffentlich zugänglichen Quellen
3. Datenschutz
Offenlegung
Keine Offenlegung bzw. Weitergabe an Dritte
Keine pb-Daten liegen lassen
Keine Einsicht Dritter in pb-Daten
Blätter mit pb-Daten schreddern
Computer sperren
Keine pb-Daten auf USB-Sticks oder SD-Karten
keine Emails mit pb-Daten unverschlüsselt verschicken
Notebooks verschlüsseln und Kennwort sichern
Zimmer abschliessen
Fotos: Einwilligung für einen oder mehrere bestimmte Zwecke
Übermittlung
Auftragnehmer/Partner:
Datenvernichtungsunternehmen
Druckerei
Newsletterversand
Hosting
Reiseagenturen
...
Sitz des Unternehmens:
EU
Sicherer Drittstaat
Schurkenstaat => Privacy Shield List
Vereinbarung zur
Datenverarbeitung
Praxis:
WhatsApp muss von einem Dienstgerät weg
Keine pb-Daten über und zu Bitrix
keine pb-Daten an Dritte