LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

4. Abgrenzung zur Anonymisierung

143

Im Gegensatz zur Anonymisierung verbleibt bei der Pseudonymisierung eine Zuordnungsmöglichkeit aufgrund der gesondert aufbewahrten Zusatzinformationen, weshalb es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt (siehe zur genauen Abgrenzung bereits oben Rn. 54). Entscheidet sich ein Verantwortlicher für eine Pseudonymisierung statt einer Anonymisierung, geht er davon aus, dass es erforderlich sein kann, den Personenbezug wiederherzustellen (z.B. wenn ein Arzt eine Probe pseudonymisiert in ein Labor schickt299).300

5. Varianten der Pseudonymisierung

144

Bei der grundsätzlichen Vorgehensweise der Pseudonymisierung lassen sich drei Ansätze unterscheiden.301 Zum einen kann der Verantwortliche selbst die Pseudonymisierung vornehmen (a), der Verantwortliche kann dafür einen Dritten beauftragen (b) oder aber die betroffene Person selbst setzt ein Pseudonym ein (c).

a) Beim Verantwortlichen selbst

145

Ausdrücklich erlaubt ist es nach ErwG 29 Satz 1,302 dass der Verantwortliche die Pseudonymisierung selbstvornehmen kann, also ohne einen Dritten dafür einzubeziehen (zur Trennung der Daten siehe oben Rn. 127–130).303 Dies ist zumindest nach der Gesetzesformulierung des Art. 4 Nr. 5 DSGVO der Standardfall.304 Dies ist insofern auch angemessen, da auch eine interne Pseudonymisierung Eingriffsintensität sowie Missbrauchsrisiko in Bezug durch sowohl Mitarbeiter als auch Dritte, denen die Daten in pseudonymisierter Form zur Verfügung gestellt werden, verringert.

b) Durch einen Dritten

146

Der Verantwortliche kann sich auch einen vertrauenswürdigen Drittenaussuchen (beispielsweise einen Treuhänder),305 der die Pseudonymisierung vornimmt und danach allein über die Zuordnungsmöglichkeit verfügt.306 Dies ist z.B. im Bereich der medizinischen Forschung eine gängige Konstruktion.307 Entsprechende Konstellationen sind typischerweise durch eine organisatorische Trennung zwischen dem Dritten, der die Zuordnungsmöglichkeit vorhält, und dem potenziellen Datenverwender gekennzeichnet. Gleichwohl existieren aber auch Konstellationen, bei denen der Datenverwender selbst das Wissen hat, um das Pseudonym aufzulösen.308

147

Auch bei der Aufbewahrung der Zuordnungsmöglichkeit durch einen Dritten hat der Verantwortliche entsprechende technische und organisatorische Maßnahmen einzusetzen, um eine Zuordnung zu verhindern(dazu bereits allgemein oben Rn. 131ff.). Mit dem Dritten ist insbesondere zu klären, wie genau das Pseudonymisierungsverfahren abläuft sowie, ob und unter welchen Voraussetzungen von wem eine Zuordnung veranlasst werden kann.309

148

Hierbei ist Folgendes zu beachten: Es handelt sich aus Sicht des datenverarbeitenden Verantwortlichen nicht (nur) um pseudonyme, sondern sogar anonyme Daten, sofern die Wahrscheinlichkeit des Zugriffs auf das für die Zuordnung jeweils erforderliche Zusatzwissen durch entsprechende technische und organisatorische Maßnahmen (z.B. ein vertragliches, mit Vertragsstrafen bewehrtes Herausgabeverbot seitens des Dritten) so verringert ist, dass die Re-Identifizierung der Betroffenen durch den Verantwortlichen einen unverhältnismäßigen Aufwand erfordern würde und daher de facto ausgeschlossen ist (ausführlich dazu oben Rn. 54).

c) Direkte Erhebung des Pseudonyms

149

Informationenkönnen auch unmittelbar in pseudonymer Form erhoben werden. So kann etwa die betroffene Person in einigen Konstellationen für sich selbst eine Kennung (z.B. eine Nutzer-ID bei Online-Diensten oder Angabe eines Decknamens bei einer Hotelbuchung) auswählen, also mithilfe eines Pseudonyms ihre wahre Identität verschleiern (zur Pflicht der Anbieter, eine Pseudonym-Wahl zu ermöglichen – wie noch unter § 13 Abs. 6 TMG – siehe oben Rn. 121).310 Gleichermaßen können Verantwortliche Informationen in pseudonymer Form erhalten, die durch ihnen unter Umständen unbekannte Dritte pseudonymisiert worden sind oder eben in einer Form vorliegen, die eine Identifizierung der Betroffenen aus sich selbst heraus nicht ermöglicht (etwa IP-Adressen, Cookie-IDs, Kreditkartennummern usw.). Hierbei handelt es sich in strenger Auslegung der Verordnung um keine Pseudonymisierung, wie sie Art. 4 Nr. 5 DSGVO vorsieht, weil die Pseudonymisierung nicht vom Verantwortlichen gesondert veranlasst und durch technische und organisatorische Mittel geschützt wird.311 Nicht ersichtlich ist jedoch, aus welchem Grund die Verarbeitung solcher Pseudonyme die gesetzlich geregelten Quasi-Privilegierungen nicht auslösen sollte (siehe zu diesen oben Rn. 119ff.), da die typischen mit der Pseudonymisierung einhergehenden Vorteile für die Betroffenen auch im Falle solcher Pseudonyme vorliegen.

150

Sollte der Verantwortliche bzw. Dritte ein solches Pseudonym nicht oder nicht mit vertretbaremAufwand auflösen können, etwa da er über keinen Zugang zur Zuordnungsregel verfügt oder eine anderweitige Rückführung unmöglich ist bzw. mit einem unverhältnismäßigen Aufwand verbunden wäre, ist zu beachten, dass es sich bei den entsprechenden Daten für den Verantwortlichen um anonyme Daten handelt (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Sofern entsprechende Mittel vorliegen, handelt es sich bis zu einer entsprechenden Re-Identifizierung der Betroffenen um ein Pseudonym.312

151

Ob das jeweilige Pseudonym jedoch wirklich schützende Wirkung hat und daher die quasi-privilegierendenFolgen der DSGVO auslösen kann, hängt von der Stärke des Pseudonyms und damit vom Einzelfall ab. Es ist denkbar, dass ein Nutzer einer Online-Community mit dem Namen Max Mustermann sich den Benutzernamen „Max.Mustermann87“ aussucht, weil er im Jahr 1987 geboren ist. In diesem Fall wäre datenschutzrechtlich nichts gewonnen, sondern im Gegenteil, die selbst gewählte Kennung wäre für Dritte noch informationsreicher als der eigentliche Name.

6. Pseudonymisierungsverfahren

152

In der Praxis bieten sich verschiedene Pseudonymisierungsverfahrenan, die allerdings weder in der DSGVO benannt noch näher beleuchtet werden. Die Art.-29-Datenschutzgruppe313 hat sich allerdings mit eben diesen befasst, wie auch die Datenschutzbeauftragten des Bundes und der Länder.314 Die Wirksamkeit der gewählten Pseudonymisierungsverfahren hängt nach der Art.-29-Datenschutzgruppe vom Zeitpunkt der Pseudonymisierung, von der Rücknahmefestigkeit der Pseudonymisierungsprozedur, von der Größe der Population, in der sich die betroffene Person verbirgt, von der Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen derselben betroffenen Person, von der Zufälligkeit und Vorhersehbarkeit sowie der Menge der möglichen Pseudonyme ab.315

153

Ein gängiges Verfahren der Pseudonymisierung ist zunächst die Erstellung einer Referenzliste, in der die extrahierten identifizierenden Daten dem Pseudonym gegenübergestellt werden, um eine klare Zuordnung mit Hilfe dieser Liste zu ermöglichen.316 Dies bietet sich für Situationen an, bei denen eine Zuordnung nur in Ausnahmefällen notwendig ist, wie z.B. für fehlerhafte Zahlungsvorgänge.317 Die Referenzlisten können dabei auch von einem oder mehreren Dritten verwahrt werden(siehe dazu bereits oben Rn. 138).

154

Auch die Verschlüsselungvon personenbezogenen Daten, eines der sog. kryptografischen Verfahren, kann ein Werkzeug zur Pseudonymisierung sein.318 Eine Verschlüsselung ist eine Maßnahme, durch die ein Datensatz (oder im Falle der Pseudonymisierung u.U. auch nur der Teil des Datensatzes, der sich auf natürliche Personen bezieht) mit kryptografischen Verfahren so unkenntlich gemacht wird, dass er nur durch einen oder mehrere Schlüssel (z.B. ein Passwort oder ein mathematischer Algorithmus) wieder lesbar gemacht werden kann.319 Unterschieden wird insofern zwischen der symmetrischen Verschlüsselung, d.h. ein Schlüsseltausch zwischen berechtigtem Sender und Empfänger, und der asymmetrischen Verschlüsselung, mithin eine Ver- und Entschlüsselung mittels eines öffentlichen und eines privaten Schlüssels.320 Die DSGVO unterscheidet zwar zwischen der Pseudonymisierung und der Verschlüsselung, eine Verschlüsselung dürfte aber jedenfalls dann als Pseudonymisierung anzusehen sein, wenn der Schlüssel getrennt und nicht für die Nutzer der Daten aufbewahrt wird und diese Trennung mit technisch-organisatorischen Maßnahmen gewährleistet wird.321 Unabhängig davon, ob die Verschlüsselung im konkreten Fall eine Pseudonymisierung erwirkt, gelten jedenfalls viele der Quasi-Privilegierungen (siehe oben Rn. 119) auch allgemein für Verschlüsselungen. Im Einzelfall wird nach erfolgter Verschlüsselung auch für einen Nicht-Schlüsselinhaber von einer Anonymisierung auszugehen sein (vgl. dazu bereits oben Rn. 54).322 Die Stärke der kryptografischen Verfahren richtet sich nach verschiedenen Faktoren, z.B. dem Einsatzgebiet, der Verschlüsselungsebene, dem Verschlüsselungsverfahren, dem Verschlüsselungsalgorithmus (bspw. AES oder RSA), der Schlüssellänge (bspw. 128 oder 256 Bit) und dem Einweg- oder Zweiweg-Charakter.323