Hausarbeit Datenschutzrecht - Prüfungsleistung PDF

Preview

Summary

Hausarbeit für das Modul Datenschutzrecht um Bachelorstudium IT-Forensik.
Hausarbeit als Prüfungsleistung im Sommersemester 2020...

Description

Hochschule Wismar Fakultät für Ingenieurwissenschaften Bereich Elektrotechnik und Informatik

Hausarbeit - Datenschutzrecht Sommersemester 2020

Studiengang:

Bachelor IT-Forensik

Modul:

Datenschutzrecht

Dozentin:

Prof. Dr. M. Tamm

eingereicht am:

21. Mai 2020

Hausarbeit: Datenschutzrecht

1.

Sommersemester 2020

In einer Einführungslektüre zum Datenschutzrecht hat U gelesen, dass das Datenschutzrecht in Deutschland als „Querschnittsmaterie“ bezeichnet wird. Er fragt Sie, warum das so ist. Beim Datenschutzrecht handelt es sich um eine Querschnittsmaterie, das zeigt sich darin, dass neben den allgemeinen Datenschutzgesetzen eine große Zahl bereichsspezifischer Vorschriften bestehen. Es bestehen viele Schnittpunkte mit anderen Rechtsbereichen. Zentrale Gesetze im Datenschutzrecht sind die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze. Daneben bestehen etliche bereichsspezifischen Vorschriften.

2.

Außerdem möchte U wissen, was der Inhalt des „Rechtes auf informationelle Selbstbestimmung“ ist und wo es im deutschen Verfassungsrecht und in der Grundrechte Charta der EU geregelt wird? Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz nicht explizit geregelt. Das Datenschutzrecht (in Deutschland) findet seinen Ursprung im Volkszählungsurteil aus dem Jahr 1983. Aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG) und der Menschenwürde (Art. 1 Abs. 1 GG) leitete das Bundesverfassungsgericht erstmalig auch ein Recht auf informationelle Selbstbestimmung ab. Das Recht auf informationelle Selbstbestimmung besagt, dass jeder Einzelne grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen kann. Personenbezogene Daten unterstehen daher grundsätzlich dem Grundrechtsschutz. In den letzten Jahren wurde das Recht auf informationelle Selbstbestimmung immer weiter konkretisiert. Der Datenschutz ist auch auf europarechtlicher Ebene vertreten. Nach Art. 8 der EU-Grundrechte-Charta hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Seite 1 | 9

Hausarbeit: Datenschutzrecht

3.

Sommersemester 2020

Ferner ist ihm durch die Medien bekannt, dass das alte wie das neue BDSG, aber auch die DSGVO ein sog. „Verbot mit Erlaubnisvorbehalt“ enthält, wenn es um die Erhebung personenbezogener Daten geht. Was ist damit gemeint? Sowohl das deutsche (BDSG) als auch das europäische Datenschutzrecht (DSGVO) verfolgen keinen punktuellen, sondern einen umfassenden Ansatz. Das Datenschutzrecht gilt prinzipiell überall, sofern keine bereichsspezifische Sondervorschriften vorhanden sind. Das Prinzip des „Verbots mit Erlaubnisvorbehalt“ bedeutet, dass grundsätzlich jede Form der Datenverarbeitung verboten ist. Legitimiert werden kann die Datenverarbeitung durch bestehende Rechtsgrundlagen oder durch die Einwilligung der betroffenen Person. Liegt keine dieser Legitimationsgrundlagen vor, ist die Verarbeitung personenbezogener Daten daher verboten. Dies wird als „Verbot mit Erlaubnisvorbehalt“ bezeichnet und ist im Bundesdatenschutzgesetz (§4 Abs. 1 BDSG) und in der Datenschutzgrundverordnung (Art. 6 Abs. 1 DSGVO) festgeschrieben.

4.

In diesem Zusammenhang möchte U auch wissen, was man überhaupt unter „personenbezogenen Daten“ versteht und ob es bei den personenbezogenen Daten auch besondere Kategorien gibt, die etwa bei den von ihm gespeicherten Daten zu beachten sind. Der Begriff der „personenbezogenen Daten“ ist im Bundesdatenschutzgesetz (§3 Abs. 1 BDSG) in der Datenschutzgrundverordnung (Art. 4 Nr. 1 DSGVO) definiert. Personenbezogene Daten sind demnach „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Als personenbezogene Daten versteht man also Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. In der DSGVO werden personenbezogene Daten als solche besonderer Kategorien betrachtet, wenn es sich um besonders sensible Daten handelt, die einen besonderen Schutz bedürfen.

Seite 2 | 9

Hausarbeit: Datenschutzrecht

Sommersemester 2020

In der DSGVO (Art. 9 DSGVO) steht dazu folgendes: Die Verarbeitung personenbezogener Daten ist untersagt, wenn folgendes aus denen hervorgeht: •

rassische und ethnische Herkunft,

•

politische Meinungen,

•

religiöse oder weltanschauliche Überzeugungen

•

die Gewerkschaftszugehörigkeit,

•

genetische Daten

•

biometrische Daten zur eindeutigen Identifizierung,

•

Gesundheitsdaten

•

Daten zum Sexualleben / der sexuellen Orientierung

Diese Daten sind nur unter festgelegten Bedingungen zu verarbeiten (Art. 9 Abs. 2 DSGVO). In diesem Fall betrifft dies einige Mitarbeiterdaten (Gewerkschafts- und Religionszugehörigkeit sowie die Krankheitstage).

5.

In einem ersten Telefonat mit der für ihn zuständigen Aufsichtsbehörde hat er zudem erfahren, dass er in jedem Fall das Gebot der „Datensparsamkeit“ einhalten muss, wie jeder andere datenschutzrechtlich Verantwortliche auch. Was ist damit abstrakt gemeint (dh, was sagt das Gebot)? Klären Sie ihn auf! Das Prinzip der Datensparsamkeit und Datenminimierung ist ein Grundsatz der Datenschutzgrundverordnung (Art. 5 Abs.1c DSGVO) und auch in der Datenschutzgrundverordnung verankert (§71 BDSG). Personenbezogene Daten müssen „sparsam“ erhoben werden und sind zu löschen, sobald der zugrunde liegende Zweck erfüllt ist. Personenbezogene Daten dürfen nur verarbeitet werden, wenn diese: •

Für den Zweck angemessen sind. Dies bedeutet, dass die personenbezogenen Daten so zu erheben und zu verarbeiten sind, dass sie für den angegebenen Zweck geeignet sind, aber nicht darüber hinaus.

Seite 3 | 9

Hausarbeit: Datenschutzrecht

•

Sommersemester 2020

Für den Zweck erheblich und relevant sind. Dies bedeutet, dass der Verantwortliche sich bei der Erhebung personenbezogener Daten auf die Informationen beschränken muss, die für den Zweck notwendig sind.

Als Beispiel dient die erstmalige Bestellung in einem Online-Shop: Für den Betreiber des Online-Shops hat natürlich Interesse daran, möglichst viele Daten von seinem neuen Kunden zu bekommen, damit er ihm später personalisierte Angebote zukommen lassen, ihn telefonisch kontaktieren oder zum Geburtstag Gutscheine oder ähnliches zukommen lassen kann. Und genau hier greift die DSGVO. Um die Bestellung durchführen zu können, benötigt der Online-Shop nicht sämtliche Daten. Weder die Telefonnummer noch das Geburtsdatum des Kunden sind erforderlich, daher muss darauf geachtet werden, dass diese Felder im Formular während des Bestellvorgangs, nicht als Pflichtfeld, sondern (wenn gewünscht) optional angeboten werden dürfen. Wichtig ist, dass nur Daten erhoben werden dürfen, die für den jeweiligen Zweck erforderlich sind. In diesem Beispiel sind das der Name des Kunden, die Anschrift und die E-Mail-Adresse für die Bestätigung der Bestellung. Diese Daten dürfen auch nur zu diesem Zweck verwendet werden. Alle weiteren Zwecke, wie zum Beispiel das Zusenden von Angeboten oder Geburtstagswünsche per E-Mail sind mit diesen Daten nicht erlaubt, außer der Kunde stimmt diesem explizit zu. Sobald die Einwilligung zur Nutzung der Daten widerrufen wird, oder der Ursprüngliche Zweck (Bestellung von Waren, evtl. Gewährleistung) erfüllt wurde müssen die Daten gelöscht werden.

Seite 4 | 9

Hausarbeit: Datenschutzrecht

6.

Sommersemester 2020

Nicht ganz klar ist U außerdem, was man unter datenschutzrechtlichen Kautelen als „Zweckbindung“ versteht. Könnten Sie ihm auch diesbzgl. mit ein paar abstrakten Ausführungen auf die Sprünge helfen? Das wäre nett. Das Gebot der Zweckbindung ist ein Grundsatz der Datenschutzgrundverordnung (Art. 5 Abs. 1b DSGVO) und soll sicherstellen, dass Daten nur für den zuvor eindeutig festgelegten und zulässigen Zweck erhoben und verarbeitet werden dürfen. Der Zweck für die Verarbeitung von personenbezogenen Daten muss somit im Vorfeld festgelegt werden. Dies bedeutet, dass schon bei der Erhebung von personenbezogenen Daten die betroffene Person darüber informiert werden soll, wofür die Daten verwendet werden. Je nachdem welcher Zweck zugrunde gelegt wird, wird bestimmt, welche Daten erhoben und verarbeitet werden dürfen. Ferner bestimmt der Zweck auch, wie lange die Daten gespeichert werden dürfen. Entfällt der Zweck, sind die erhobenen Daten zu löschen. Als Beispiel dient eine Bestellung von nicht jugendfreier Ware in einem Online-Shop: Wenn in einem Online-Shop Ware bestellt wird, die nicht jugendfrei ist (Beispielweise Liquid für E-Zigaretten) ist der Shop-Betreiber zur Prüfung des Alters, und damit des Geburtsdatums, verpflichtet. Dies ist somit für den ursprünglichen Zweck, nämlich der Erfüllung des Auftrags, legitim.

7.

Von besonderem Interesse sind für U außerdem, welche Anforderungen im technischen Datenschutz mit den Schlagworten „Privacy by Design“ und „Privacy by Default“ festgeschrieben sind. Was beinhalten diese Gebote (abstrakt), führen Sie auch dazu ein paar Sätze aus! Privacy by Design (Datenschutz durch Technikgestaltung) und Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) sind in der Datenschutzgrundverordnung (Art. 25 DSGVO) verankert.

Seite 5 | 9

Hausarbeit: Datenschutzrecht

•

Sommersemester 2020

Privacy by Design (Art. 25 Abs. 1 DSGVO): Privacy by Design bedeutet, dass entsprechende IT-Systeme (Software, Hardware) von Grund auf so entwickelt wird, dass von Anfang an sämtliche relevanten Datenschutzmaßnahmen berücksichtigt werden. In allen Bereichen der Technikgestaltung wird sich nach den Datenschutzanforderungen orientiert. Privacy by Design sieht vor, dass sich Datenschutz im Sinne der DSGVO am leichtesten einhalten lässt, wenn es bereits vollständig technisch integriert ist, sodass keine nachträglichen Maßnahmen (z.B. Löschung von zu Unrecht erhobenen Daten) erforderlich werden. Das entsprechende IT-System kann somit ab Auslieferung bzw. Einsatzbeginn DSGVO-konform eingesetzt werden.

•

Privacy by Default (Art. 25 Abs. 2 DSGVO): Privacy by Default soll vor allem dem Schutz der Nutzer dienen, die weniger technikversiert sind. Es bedeutet, dass die Voreinstellung von Software, Hardware und Services bei Auslieferung datenschutzfreundlich sein muss. Durch dieses Vorgehen wird die Privatsphäre der User respektiert. Durch Privacy by Default entfällt die Notwendigkeit der manuellen Einstellung, da die Konfiguration bereits von vorneherein datenschutzfreundlich gestaltet ist. Dieses Prinzip ist besonders für unwissende User vom Vorteil, da diese User nicht eigenständig entsprechende Einstellungen tätigen würden (weil dazu ggf. das technische Wissen fehlt). Der Nutzer müsste erst aktiv werden, um den Datenschutz zu lockern und nicht umgekehrt.

8.

Eine vorletzte Frage betrifft die Bestellung des Datenschutzbeauftragten. Ist es für seinen Betrieb notwendig, einen solchen zu bestellen und dafür Ressourcen aufzuwenden? Unter welchen Voraussetzungen ein Unternehmen einen Datenschutzbeauftragten bestellen muss, ist in der Datenschutzgrundverordnung (Art. 37 DSGVO) sowie im Bundesdatenschutzgesetz (§38 BDSG) definiert. Die Datenschutzgrundverordnung definiert die grundlegenden Vorschriften für die Bestellung eines Datenschutzbeauftragten. Gemäß DSGVO (Art. 37 Abs. 1aSeite 6 | 9

Hausarbeit: Datenschutzrecht

Sommersemester 2020

c DSGVO) ist ein Datenschutzbeauftragter zu bestellen, wenn eine der folgenden Bedingungen erfüllt ist: a. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, b. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. c. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) besteht. In Deutschland werden die Vorschriften durch die DSGVO durch das Bundesdatenschutzgesetz ergänzt. Das Bundesdatenschutzgesetz regelt (§38 BDSG), dass auch in folgenden Fällen ein Datenschutzbeauftragter ernannt werden muss: • Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung

personenbezogener Daten beschäftigen. • Die Datenverarbeitung unterliegt einer Datenschutz-Folgenabschätzung (Art.

35 DSGVO). • Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermitt-

lung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Die Tätigkeit des Datenschutzbeauftragten kann von einem internen Mitarbeiter oder von einem externen ausgeübt werden. Die Anforderungen (Fachwissen und datenschutzrechtliche Kompetenz) an diese Person sind von der Qualität der Durchführungen zur Datenverarbeitung abhängig. Je höher der Schutzbedarf der verarbeiteten Daten ist, desto höher sind auch die Anforderungen an den Datenschutzbeauftragten.

Seite 7 | 9

Hausarbeit: Datenschutzrecht

Sommersemester 2020

Daraus lässt sich ableiten, dass es für U unerlässlich ist einen Datenschutzbeauftragten zu benennen. Das Unternehmen besitzt mehr als 20 Angestellte (§38 BDSG), die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind zudem werden personenbezogene Daten besonderer Kategorien der Mitarbeiter verarbeitet (Gewerkschafts- und Religionszugehörigkeit sowie Krankheitstage)

9.

Ferner: Wie sieht es mit den Speicherfristen für die Kundendaten aus? Ist es legal, wie er das derzeit handhabt? Argumentieren Sie ausführlich Nach dem Bundesdatenschutzgesetz ist die Speicherung von Daten zu eigenen Zwecken zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Dabei ist der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1c DSGVO / §71 BDSG) zu beachten. Es dürfen nur die Daten erhoben und gespeichert werden, die für diesen Zweck erforderlich sind. Solange ein Vertragsverhältnis mit den jeweiligen Kunden besteht, das noch nicht endgültig abgewickelt ist, dürfen die Daten gespeichert bleiben. Sobald der ursprüngliche Zweck nicht mehr gegeben ist, weil das Vertragsverhältnis beendet ist und nachvertragliche Ansprüche nicht mehr in Betracht kommen, müssen die Daten umgehend gelöscht werden (§35 Abs. 2 Nr. 3 BDSG). Kunden können zudem die Löschung ihrer personenbezogenen Daten verlangen. Hierbei gibt es jedoch ausnahmen. Wenn die Aufbewahrungsfrist durch Gesetze geregelt ist besteht keine Pflicht zur Löschung. Wenn ein Gesetz eine solche Aufbewahrungsfrist vorsieht, sind die entsprechenden Daten zu sperren (§35 Abs. 3 BDSG). Die gesperrten Daten bleiben bestehen, müssen jedoch, für die Mitarbeiter unzugänglich aufbewahrt werden. Das Vorgehen von U ist demnach zulässig, da bei technischen Geräten eine erhöhte Wahrscheinlichkeit für Gewährleistungsansprüche plausibel erscheint und somit eine Aufbewahrung der Kundendaten bis zum Ablauf dieser akzeptabel ist.

Seite 8 | 9

Hausarbeit: Datenschutzrecht

Sommersemester 2020

10. Zu guter Letzt: Darf U auch die Gewerkschaftszugehörigkeit, Krankheitsdaten und Religionszugehörigkeit der Mitarbeiter*innen seines Unternehmens speichern, obwohl dies besonders sensible Daten sind. Argumentieren Sie ausführlich auch diesbzgl.! Vorschriften zum Datenschutz im Beschäftigungsverhältnis sind im Bundesdaten-schutzgesetz (§26 BDSG) und in der Datenschutzgrundverordnung (Art. 88 DSGVO) geregelt. Arbeitgeber dürfen personenbezogene Daten der Arbeitnehmer nur verarbeiten, wenn dies im Rahmen des Arbeitsverhältnisses angemessen und auf das notwendige Maß beschränkt ist. Das besagt der Grundsatz der Datenminimierung (Art. 5 Abs.1c DSGVO). Auch personenbezogene Daten besonderer Kategorien dürfen im Rahmen des Arbeitsverhältnisses erhoben bzw. verarbeitet werden. Dies betrifft Daten wie Gesundheitsinformationen, Religions- und Gewerkschaftszugehörigkeit, da diese vor allem für die Lohnabrechnung benötigt werden (z.B. Krankheitstage, Kirchensteuer). In diesem Fall greift eine der Ausnahmeregelungen, in deren Rahmen die Verarbeitung solcher besonders sensiblen Daten zu arbeits- und sozialrechtlichen Zwecken erforderlich ist (Art. 9 Abs. 2b DSGVO). Die Zugehörigkeit zur Gewerkschaft darf jedoch vom Arbeitgeber nicht einfach erfragt werden. Wenn der Mitarbeiter den Gewerkschaftsbeitrag direkt abführen lässt, erhält der Arbeitgeber im Rahmen der Lohnabrechnung Kenntnis von der Gewerkschaftszugehörigkeit. Dies ist rechtlich unproblematisch, da der Beschäftigte in die direkte Abführung eingewilligt hat. Diese Daten dürfen dann jedoch nur zu Abrechnungszwecken genutzt werden. Letztlich dürfen jedoch nur die Informationen über Arbeitnehmer gespeichert werden, die für das Arbeitsverhältnis von Bedeutung sind. Ausschlaggebend für die Erhebung ist, dass ohne diese Daten kein rechtsgültiges Arbeitsverhältnis zustande kommen könnte. U geht daher mit der Speicherung der besonders sensiblen Daten seiner Mitarbeiter richtig um.

Seite 9 | 9...