LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

123

Keine Rolle bei der Qualifikation eines Datenverarbeitungsvorgangs als Profiling i.S.d. Art. 4 Nr. 4 DSGVO spielt der Umstand, durch welche Technologie das Profiling erfolgt. So ist die DSGVO gem. ErwG 15 technologieneutral. Für das Vorliegen von Profiling i.S.d. Art. 4 Nr. 4 DSGVO ist es zudem irrelevant, ob die Bewertung der Person im Rahmen des Profiling richtig oder falsch bzw. vollständig oder unvollständig ist. Allerdings sind diese Umstände im Rahmen der Zulässigkeit der Datenverarbeitung zu berücksichtigen, insbesondere vor dem Hintergrund des Grundsatzes der Richtigkeit gem. Art. 5 Abs. 1 lit. d DSGVO.250

VI. Pseudonymisierung (Nr. 5)

1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

124

Die Pseudonymisierungspielt als Schutzmechanismusfür personenbezogene Daten unter der DSGVO eine prominentere Rolle als noch unter der alten Rechtslage. In Art. 4 Nr. 5 DSGVO ist die Pseudonymisierung definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

125

Die Pseudonymisierung ist mithin ein Werkzeug, durch das die Identität einer betroffenen Person verschleiert bzw. die Identifizierung erschwert werden kann, indem die direkt identifizierenden Merkmale von den anderen Informationen getrennt und durch ein Ersatzkennzeichen, das Pseudonym,251 ersetzt werden. Im Gegensatz zur Anonymisierung (zur Abgrenzung siehe bereits oben Rn. 54) behält sich der Verantwortliche jedoch eine separate Zuordnungsmöglichkeit bei (z.B. eine Zuordnungstabelle oder einen Schlüssel). Beispiele für Pseudonyme können Nutzerkennungen, E-Mail-Adressen, öffentliche bzw. private Schlüssel (z.B. in Blockchains) und Künstler- oder Decknamen sein,252 wobei stets gesondert geprüft werden muss, ob tatsächlich eine wirksame Pseudonymisierung i.S.v. Art. 4 Nr. 5 DSGVO vorliegt (dazu unten Rn. 124ff.). Die Pseudonymisierung ist ein wichtiger Bestandteil vieler neuer Technologien, wie z.B. Datenanalyse im Rahmen von Augmented Reality,253 Big Data,254 Car-to-Car-Communication,255 HealthTech,256 InsurTech257 und Blockchains.258

126

Pseudonyme Datenwerden selbst nicht ausdrücklich definiert, aus der Definition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO lässt sich jedoch schließen, dass pseudonyme Daten personenbezogene Daten sind, die „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

127

Neben der Definition in Art. 4 Nr. 5 DSGVO und den begleitenden Erwägungen in ErwG 26 Satz 2, 28, 29, 78 Satz 3 hält die DSGVO keine Erläuterungen vor, wie genau eine Pseudonymisierung erreicht werden kann. Hierfür sind wiederum die noch zur DSRl getätigten Ausführungen der Art.-29-Datenschutzgruppe hilfreich.259 Die DSRl sah keine Definition der Pseudonymisierung vor; auf deutscher Gesetzesebeneexistierte eine entsprechende Begriffsbestimmung in § 46 Nr. 5 BDSG, die jedoch lediglich für die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen Anwendung findet und – mit marginalen Abweichungen – den Wortlaut von Art. 4 Nr. 4 DSGVO wiedergibt.

2. Rechtliche Wirkung und Anreize

128

Nach ErwG 26 Satz 2 sind einer Pseudonymisierung unterzogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person, also als personenbezogene Daten(siehe dazu oben Rn. 55), zu betrachten. Rechtlich gesehen bewirkt eine Pseudonymisierung unter der DSGVO somit keine umfassende Privilegierungfür den Verantwortlichen in dem Sinne, dass – wie bei der Anonymisierung – das Verbotsprinzip auf die Verarbeitung der pseudonymen Daten keine Anwendung mehr findet. Insofern bedarf es zur Verarbeitung pseudonymer Daten weiterhin eines entsprechenden gesetzlichen Erlaubnistatbestands. Für andere Stellen, die die Zuordnungsregel nicht kennen, kann es sich bei einer Pseudonymisierung unterzogener Daten allerdings auch – dem (eingeschränkten) relativen Verständnis des Personenbezugs folgend (siehe dazu oben Rn. 34) – um anonyme Daten handeln, sofern kein anderweitiges wahrscheinlich von den Empfängern oder Dritten verwendetes Zusatzwissen verfügbar ist.260

129

Allerdings erkennt der europäische Gesetzgeber in ErwG 28 Satz 1 ausdrücklich an, dass ein Anreizbestehen muss, personenbezogene Daten zu pseudonymisieren, dass pseudonymisierte Daten die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen können. Es ist beispielsweise möglich, durch den unternehmensinternen Einsatz von Pseudonymisierungen die Missbrauchsgefahr von personenbezogenen Daten zu begrenzen, indem Mitarbeitern lediglich Zugriff auf pseudonymisierte Datensätze, jedoch nicht auf die entsprechende Zuordnungsregel gewährt wird. So wird der Anreiz einer unberechtigten Datennutzung minimiert, da die Daten in der Regel weder für den Mitarbeiter noch für einen interessierten Dritten von Wert sein werden, da sie nicht über die nötige Zuordnungsregel verfügen, um die Daten in einem anderen Kontext fruchtbar zu machen.261 Wirtschaftlich gesehen bewahren pseudonymisierte Daten dem Verantwortlichen im Gegensatz zu anonymisierten Daten die Möglichkeit, Daten zusammenzuführen262 oder zu erweitern,263 da die jeweiligen Datensätze einer bestimmten Person – wenn auch unter einem Pseudonym – zugeordnet werden können. Die Pseudonymisierung gewährt somit nicht nur bessere Vertraulichkeit, sondern erhält auch ein gewisses Maß an Nutzbarkeit.264 Andererseits stellt die Zuordnung eines Pseudonyms für viele unterschiedliche Sachverhalte eine Gefahrdar, weil dadurch ein klares Profil der natürlichen Person geschaffen wird und der zu betreibende Aufwand für eine De-Anonymisierung sinkt.265 Es kann daher sinnvoll sein, für jedes Ereignis ein neues Pseudonym (dann auch „Transaktionspseudonym“ genannt)266 zu verwenden.267

130

Nicht ausdrücklich gesetzlich vorgesehen, aber dennoch wohl praktisch als Anreiz existierend, ist der Faktor, dass es eine Interessenabwägungim Rahmen von Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen beeinflussen kann, wenn dieser die jeweils betroffenen Daten lediglich in pseudonymisierter Form verarbeitet.268 Generell dürfte eine Pseudonymisierung bei allen Pflichten in der DSGVO, die eine risikobasierte Prüfung vorsehen, sich positiv für denjenigen, der eine Pseudonymisierung vorgenommen hat, auswirken.269 Spiegelbildlich ist jedoch zu beachten, dass eine Aufhebung der Pseudonymisierung und damit womöglich eine einhergehende Re-Identifizierung eine besonders erhebliche Beeinträchtigung der Rechte der betroffenen Person darstellt, insbesondere wenn dieser die Aufhebung nicht erwarten durfte (vgl. auch die explizite Nennung der Aufhebung der Pseudonymisierung als möglicher Schaden in ErwG 75 und 85 Satz 1).270 Unter der DSGVO besteht hingegen keine generelle Pflicht des Verantwortlichen zur bzw. ein Recht der betroffenen Personen auf Pseudonymisierung (vgl. für Telemedien § 13 Abs. 6 TMG271).272 Dem steht auch schon die ausdrückliche Erwähnung in ErwG 28 Satz 2 entgegen, dass neben der Pseudonymisierung noch andere Möglichkeiten der grundrechtsschonenden Datenverarbeitung existieren. Im Einzelfall kann dem Verantwortlichen aber im Sinne des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und im Rahmen der Interessenabwägung der Einsatz der Pseudonymisierung angeraten sein, um z.B. bei einer Datenanalyse die nicht relevanten identifizierenden Merkmale zu schützen.273 Einige mitgliedstaatliche Vorschriften auferlegen ausdrücklich Pseudonymisierungspflichten, meist bereichsspezifisch (z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken und statistischen Zwecken, siehe dazu § 27 BDSG Rn. 16ff.).274