GDD ERFA-KREIS Karlsruhe 07.05.2018 Datenschutzanforderungen an technische IT-Anwendungen (z.B. CAD) Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Datenschutzanforderungen an technische IT-Anwendungen Was sind technische IT-Anwendungen? Applikationen, bei denen die Verarbeitung von personenbezogenen Daten in jedem Falle nur notwendiger Nebenzweck ist, dennoch gilt Art. 32 EU-DS-GVO „Sicherheit der Verarbeitung“
Datenschutzanforderungen an technische IT-Anwendungen Welche personenbezogenen Daten werden verarbeitet? Vorname + Name Email-Adresse Geschäftliche Adresse Geschäftliche Telefonnummer IT-User (z.B. im Active Directory) IP-Adresse Ggf. weitere…? Wie werden diese personenbezogenen Daten verarbeitet? Verknüpfung von technischen Informationen mit Personen und deren Aktivitäten „Zeichnung 1 wurde von User X erstellt“ „Stücklisten des Kunden Y dürfen nur von User Z bearbeitet werden“
Datenschutzanforderungen an technische IT-Anwendungen Besteht ein hohes Risiko für die Rechte und Freiheiten betroffener Personen (Art. 35 EU-DS-GVO)? Kriterien nach Art. 29 Datenschutzgruppe – WP 248 Bewertung Scoring/Profiling (ggf. Leistungsüberwachung) (Nein) Automatische Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen Nein Systematische Überwachung (ohne mögliche Kenntnis des Betroffenen) Sensible Daten (besondere personenbezogene Daten nach Art. 9 EU-DS-GVO) Daten die in großem Umfang verarbeitet werden (Kriterium: Anzahl der Betroffenen, Menge der Daten etc.) Zusammenführen/Kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener Einsatz neuer Technologien oder biometrischer Verfahren Datentransfer in Länder außerhalb der EU/EWR Nein (ggf. Ja) Die Datenverarbeitung hindert Betroffene an der Ausübung ihrer Rechte (z.B. Recht auf freie Entfaltung der Persönlichkeit)
Datenschutzanforderungen an technische IT-Anwendungen Mögliche Verwendungszwecke Einloggen der Person ermöglichen (Berechtigungskonzept) Berechtigungen der Person einschränken (Berechtigungskonzept) Dokumentation von Genehmigung von technischen Informationen wie Stücklisten oder Zeichnungen (z.B. Workflow) Protokollierung, welche Person welche Aktivitäten wann durchgeführt hat (Beweislast nach § 1 (4) Produkthaftungsgesetz) Ggf. weitere? Rechtsgrundlagen Arbeitsvertrag (oder Werkvertrag bei externen Mitarbeitern) Art. 6 (1) lit.b) EU-DS-GVO Beschäftigungsverhältnis § 26 BDSG Berechtigtes Interesse Art. 6 (1) lit.f EU-DS-GVO: Dokumentation der Beweislast nach § 1 (4) Produkthaftungsgesetz (siehe Backup)
Datenschutzanforderungen an technische IT-Anwendungen Auskunftsrecht (Art. 15 EU-DS-GVO) In den Anwendungen muss ermittelt werden können, für welchen Zeitraum personenbezogene Daten (pbD) einer betroffenen Person gespeichert wurden Recht auf Berichtigung (Art. 16 EU-DS-GVO) Keine eigene Benutzerverwaltung: Keine Anforderung, da alle pbD aus dem Active Directory automatisch kopiert werden und auch nur dort korrigiert werden können Eigene Benutzerverwaltung: Benutzerdaten müssen durch Administratoren auf Anforderung korrigiert werden können Recht auf Löschung (Art. 17 EU-DS-GVO) Nach Wegfall der Archivierungspflichten (z.B. aufgrund Wegfall der Produkthaftung) müssen die pbD gelöscht werden können Alternativ können auch die pbD anonymisiert werden (z.B. Ersetzen aller personenbezogenen Daten (alle Daten, die eine Person noch identifizierbar machen) durch eine Zahl – jedenfalls mindestens Ersetzen des Namens und des IT-User) Ein „Löschkonzept“ ist zu implementieren (entweder Löschung nach x Jahren oder automatische Anonymisierung)
Datenschutzanforderungen an technische IT-Anwendungen Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DS-GVO) Keine Anforderung, da nicht relevant Mitteilungspflicht (Art. 19 EU-DS-GVO) Datenübertragbarkeit (Art. 20 EU-DS-GVO) Widerspruchsrecht (Art. 21 EU-DS-GVO) Automatisierte Entscheidungen (Art 22. EU-DS-GVO) Keine Anforderungen, da nicht relevant Achtung, je nach Konstellation ist zu berücksichtigen: Bei Änderungen der Anwendungen mit datenschutzrechtlicher Relevanz (z.B. Verlagerung des Speicherortes in ein Drittland) ist eine erneute Bewertung durchzuführen Der IT-Dienstleister hat durch geeignete Verträge und technische Maßnahmen sicherzustellen, dass weitere Subdienstleister die personenbezogenen Daten datenschutzkonform verarbeiten, ggf. sind Auftragsverarbeitungsverträge abzuschließen
Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt Die Videoüberwachung öffentlich zugänglicher Räume ist gemäß § 4 BDSG (neu) unter folgenden Voraussetzungen zulässig: Zweck: entweder Wahrnehmung des Hausrechts oder Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke Berechtigtes Interesse kann grundsätzlich jedes rechtliche, wirtschaftliche oder ideelle Interesse sein. Anerkannt sind insb. die Zwecke, die auch vom Hausrecht umfasst sind: Präventive Zwecke: Verhinderung von Rechtsverstößen wie Diebstählen, Unterschlagungen oder Sachbeschädigungen. Repressive Zwecke: Beweissicherung zur Aufklärung von Straftaten oder Durchsetzung zivilrechtlicher Schadensersatzansprüche
Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt Die Videoüberwachung öffentlich zugänglicher Räume ist gemäß § 4 BDSG (neu) unter folgenden Voraussetzungen zulässig: Die Videoüberwachung ist zur Erreichung des Zwecks erforderlich Es bestehen keine Anhaltspunkte, dass schutzwürdige Interessen der Betroffenen überwiegen. Dazu muss eine Interessenabwägung durchgeführt werden: Darstellung der Eingriffe in die Rechte der Betroffenen, Eingriffsintensität, Ausweichmöglichkeiten Umfang der Gefährdung/Beeinträchtigung für das Unternehmen oder eines Dritten Begründung, warum die Interessen des Unternehmens/Dritten überwiegen
Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt Datenschutz-Folgenabschätzung Angaben nach Art. 35 (7) EU-DS-GVO Definition des überwachten Bereiches, inkl. Ausgrauen/Schwenkbereiche Zugriffsrechte-Konzept: Festlegung, wer berechtigt ist, die Videos anzuschauen/auszuwerten Weitergabe der Daten an öffentliche Stellen (z.B. Polizei) Abhängig vom Zweck: Maßnahmen zur Vermeidung von Personenbezug Löschkonzept Mitbestimmungsrechte Betriebsrat Technische und Organisatorische Maßnahmen zum Schutz der Daten und Aufzeichnungsgeräte Vorgaben zur Umsetzung der Hinweispflicht
Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt Erfüllung der Hinweispflicht als Merkblatt oder Tafel am Werkstor Verantwortlicher Rechtsgrundlage Zweck der Videoüberwachung Beschreibung der Standorte der Videokameras (oder Karte) Angaben zur Löschung der Aufzeichnung Aussage zur Weitergabe der Daten Hinweis auf das Recht, Auskunft zu erhalten mit Kontaktdaten (z.B. Datenschutzbeauftragter oder Werkschutz) Hinweis auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde mit Kontaktdaten
Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt Hinweisschilder an den Grenzen des Überwachungsbereiches Musterfirma GmbH Kontakt: Tel. 07123/123456 Glücksstraße 1, 77777 Freudenstadt
Backup
Produkthaftungsgesetz § 1 Haftung (1) Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen. Im Falle der Sachbeschädigung gilt dies nur, wenn eine andere Sache als das fehlerhafte Produkt beschädigt wird und diese andere Sache ihrer Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und hierzu von dem Geschädigten hauptsächlich verwendet worden ist. (2) Die Ersatzpflicht des Herstellers ist ausgeschlossen, wenn 1. er das Produkt nicht in den Verkehr gebracht hat, 2. nach den Umständen davon auszugehen ist, dass das Produkt den Fehler, der den Schaden verursacht hat, noch nicht hatte, als der Hersteller es in den Verkehr brachte, 3. er das Produkt weder für den Verkauf oder eine andere Form des Vertriebs mit wirtschaftlichem Zweck hergestellt noch im Rahmen seiner beruflichen Tätigkeit hergestellt oder vertrieben hat, 4. der Fehler darauf beruht, dass das Produkt in dem Zeitpunkt, in dem der Hersteller es in den Verkehr brachte, dazu zwingenden Rechtsvorschriften entsprochen hat, oder 5. der Fehler nach dem Stand der Wissenschaft und Technik in dem Zeitpunkt, in dem der Hersteller das Produkt in den Verkehr brachte, nicht erkannt werden konnte. (3) Die Ersatzpflicht des Herstellers eines Teilprodukts ist ferner ausgeschlossen, wenn der Fehler durch die Konstruktion des Produkts, in welches das Teilprodukt eingearbeitet wurde, oder durch die Anleitungen des Herstellers des Produkts verursacht worden ist. Satz 1 ist auf den Hersteller eines Grundstoffs entsprechend anzuwenden. (4) Für den Fehler, den Schaden und den ursächlichen Zusammenhang zwischen Fehler und Schaden trägt der Geschädigte die Beweislast. Ist streitig, ob die Ersatzpflicht gemäß Absatz 2 oder 3 ausgeschlossen ist, so trägt der Hersteller die Beweislast.