LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

131

Die DSGVO gesteht der Pseudonymisierung eine Vielzahl von Erleichterungenbzw. positiven Anerkenntnissen zu. Die Pseudonymisierung ist wie auch die Verschlüsselung (zur Einstufung der Verschlüsselung als Pseudonymisierung siehe unten Rn. 143) etwa gemäß Art. 6 Abs. 4 lit. e DSGVO als begünstigender Faktor bei einer zweckändernden Verarbeitung zu berücksichtigen.275 Bei Verletzungen des Schutzes personenbezogener Daten kann bei vorher erfolgter Verschlüsselung der relevanten Daten die Benachrichtigungspflicht gegenüber betroffenen Personen gemäß Art. 34 Abs. 3 lit. a DSGVO entfallen. Die Pseudonymisierung ist ausdrücklich sowohl eine Maßnahme zur Gewährleistung des Datenschutzes durch Technikgestaltung bzw. des Datenschutzes durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 DSGVO276 als auch der Sicherheit der Verarbeitung nach Art. 32 Abs. 1 lit. a DSGVO.277 Die Frage, ob Daten pseudonymisiert wurden oder nicht, ist dementsprechend zumindest mittelbar ein Faktor bei der Bußgeldbemessung nach Art. 83 Abs. 2 lit. d DSGVO. Auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten nach § 22 Abs. 1, 2 BDSG sind ausdrücklich die Pseudonymisierung oder Verschlüsselung in Betracht zu ziehen. Der Einsatz von Pseudonymisierung kann auch dazu führen, dass Pflichten zur Erfüllung der Betroffenenrechten, über Art. 11 DSGVO eingeschränkt werden.278 Sofern Mitgliedstaaten eine Privilegierung der Verarbeitung von personenbezogenen Daten zu im öffentlichen Interesse liegenden Archiv-, Forschungs- oder statistischen Zwecken vorsehen, kann gemäß Art. 89 Abs. 1 Satz 2 DSGVO eine Pseudonymisierung als Bedingunggefordert werden.

132

Im Nachgang an das Schrems II-Urteil des EuGH279 hat der EDSA die Relevanz der Pseudonymisierung von personenbezogenen Daten auch auf Drittlandtransfers erweitert. So geht der EDSA davon aus, dass die Pseudonymisierung von Daten als zusätzliche Sicherheitsmaßnahme (in der Regel also zusätzlich zum Abschluss von EU-Standardvertragsklauseln, vgl. hierzu Art. 46 Rn. 8ff.) in aller Regel ausreichend ist, um beim Datenimporteur im Drittland ein angemessenes Datenschutzniveau für den betroffenen Datentransfer zu etablieren, auch wenn das jeweilige Empfängerland grundsätzlich als unsicher zu klassifizieren wäre.280 Der EDSA setzt dabei jedoch insbesondere voraus, dass der Datenimporteur keine Kenntnis über die jeweils verwendete Zuordnungsregel erhält.

3. Voraussetzung einer wirksamen Pseudonymisierung

133

In Art. 4 Nr. 5 DSGVO hat der europäische Gesetzgeber klare Voraussetzungen für eine wirksamePseudonymisierung vorgesehen. Grundlegend versteht die DSGVO die Pseudonymisierung nicht nur als technische Maßnahme, sondern sie muss auch durch korrespondierende organisatorische Maßnahmen abgesichert werden.281

134

Im Detail verlangt der Gesetzestext, dass kumulativ282 (a) die Daten nicht ohne zusätzliche Informationen hinzuzuziehen einer natürlichen Person zugeordnet werden können, (b) die zusätzlichen Informationen getrennt aufbewahrt werden und (c) dass durch technische und organisatorische Maßnahmen sichergestellt wird, dass die Daten nicht entsprechend zurückzugeordnet werden.

a) Zuordnung von Daten ohne Hinzuziehung zusätzlicher Informationen nicht möglich

135

Wenn dem Verantwortlichenim zu betrachtenden Datensatz Informationen vorliegen, die eine Zuordnung ohne Weiteres ermöglichen, liegt schon keine Pseudonymisierung vor, unabhängig davon, ob darüber hinaus zusätzliche Informationen separat aufbewahrt werden.283 Die pseudonymisierten Daten müssen, solange die zusätzlichen Informationen nicht einbezogen werden, aus sich heraus für die relevante Stelle anonym sein, weshalb hier wiederum die Wahrscheinlichkeit der Identifizierung (unter gedanklicher Ausklammerung der bestehenden Zuordnungsregel) geprüft werden muss (siehe dazu oben Rn. 54).284

b) Getrennte Aufbewahrung der zusätzlichen Informationen

136

Die vom Pseudonym ersetzten zusätzlichenInformationen, die eine Identifizierbarkeit ermöglichen, sind nach Art. 4 Nr. 5 DSGVO getrenntvon den Daten bzw. Datensätzen aufzubewahren, in denen das Pseudonym verwendet wird. Dies bietet sich schon als Sicherheitsmaßnahme i.S.v. Art. 32 Abs. 1 DSGVO an, weil eine gemeinsame Aufbewahrung im Falle einer Entwendung der Daten eine gleichzeitige Entwendung der jeweiligen Zuordnungsregel und entsprechende Zuordnung erheblich erleichtern würde.285

137

In der DSGVO ist nicht näher dargelegt, wie genau diese Trennungaussehen muss, aber es ist wohl davon auszugehen, dass dies technisch sowie räumlich zu verstehen sein kann, sodass die zusätzlichen Informationen weder im gleichen (physischen) Schrank liegen noch über das gleiche Nutzerkonto verfügbar sein dürfen.286 Eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen sollte insofern ausreichen.287 Wie aufwendig die Trennung im Einzelfall zu gestalten ist, sollte von der Schutzbedürftigkeitder Daten abhängig gemacht werden.288 Technisch gesehen bieten sich zur Trennung der Einsatz von Referenzlistenmodellen und kryptografischen Verfahren an (dazu unten Rn. 141–144).

138

Sofern sowohl die pseudonymisierten Daten als auch die eine Identifizierung ermöglichenden zusätzlichen Informationen übermittelt werden, kann mangels getrennter Aufbewahrung nicht von einer Pseudonymisierung ausgegangen werden.289

139

Sofern die zusätzlichen Informationen bei einem Dritten aufbewahrt werden und der Verantwortliche wahrscheinlich nicht durch die ihm zur Verfügung stehenden Mittel darauf zugreifenwird, ist auch möglich, dass es sich nicht um pseudonyme, sondern um anonyme Daten handelt (siehe dazu bereits oben Rn. 54).

c) Gewährleistung der Nichtzuordnung durch technische und organisatorische Maßnahmen

140

Art. 4 Nr. 5 DSGVO fordert, dass die Nichtzuordnung pseudonymisierter Daten durch technische und organisatorische Maßnahmen gewährleistet wird.290 Es geht mithin nicht um einen gänzlichen Ausschluss der Zuordnung i.S.v. „garantieren“ (dann würde es sich sowieso um eine Anonymisierung handeln), sondern die Gewährleistung soll nur eine Erschwerungerwirken, sodass auch innerhalb eines Unternehmens sowie erst recht einer Unternehmensgruppe eine Pseudonymisierung möglich ist (zur genauen Ausgestaltung sogleich Rn. 132ff.).291 Welchen Reifegrad die technische und organisatorische Trennung gewährleisten muss, stellt die DSGVO nicht klar. Im Einzelfall sollte jedoch nach einem objektiven Beurteilungsmaßstab eine Verknüpfungsmöglichkeit im Regelfall ausgeschlossen sein.292 Regelmäßig sicherer als die Eigenverwahrung dürfte jedenfalls die Einschaltung eines vertrauenswürdigen Dritten als Treuhänder sein.293

141

Nimmt der Verantwortliche ohne Zuhilfenahme eines Dritten selbst interneine Pseudonymisierung vor, ist nach ErwG 29 Satz 2 vom Verantwortlichen organisatorisch zu gewährleisten, dass er die bezüglich der zusätzlichen, die Identifizierung ermöglichenden Daten zugriffsbefugten Personen ausdrücklich benennt. Dies unterstreicht, dass der einfache Nutzer der Daten keinen Zugriff auf dieses Referenzwissen haben sollte, sondern – um einen Missbrauch auszuschließen – nur eine begrenzte Anzahl Personen, z.B. bestimmte leitende Mitarbeiter des Verantwortlichen.294

142

Dass nur befugte PersonenZugriff auf die zusätzlichen Informationen haben, sollte durch sowohl technische (z.B. Wahl eines besonders sicheren Pseudonymisierungsverfahrens (dazu sogleich Rn. 141ff.), beschränkte Zugriffsrechte durch entsprechende Rechte- und Rollenkonzepte,295 verschlüsselte Übermittlung der pseudonymisierten Daten sowie insbesondere der Zuordnungsregel als auch organisatorische Maßnahmen (insbesondere klare Festlegung, wer über die Zuordnungsmöglichkeit verfügen soll, wer die Pseudonymisierung vornimmt und unter welchen Bedingungen eine Zuordnung erlaubt ist, was z.B. arbeitsvertraglich, durch Organisationsanweisungen und in der Datenschutz-Policy des Verantwortlichen geregelt werden kann) abgesichert werden.296 Wichtig ist auch, dass organisatorisch sichergestellt ist, dass zu Beginn der Pseudonymisierung, aber auch laufend aufgrund des sich stets ändernden Re-Identifizierungsrisikos (dazu oben Rn. 121) geprüft wird, dass ohne die zusätzlichen Informationen kein Re-Identifizierungsrisiko besteht.297 Generell entscheidend dafür, welche technischen und organisatorischen Maßnahmen konkret ergriffen werden sollten, ist der technische und organisatorische Aufbau des Datenmanagements, also insbesondere die Frage, ob der Verantwortliche jeweils die Datenhaltung und die Pseudonymisierung zentral oder dezentral vornimmt und ob er sich dabei eines Dritten bedient.298