Verordnung (EU) 2016/679 – Datenschutz Grundverordnung (DSGVO)

Vorweg muss ich sagen, dass die DSGVO nichts grundlegend Neues ist. Es wurden ein paar Bezeichnungen geändert und das Datenverarbeitsungsregister (DVR) wurde in die Unternehmen ausgelagert. Sicherlicht gibt es Spezialfälle die schon als Neuerung durchgehen würden, diese betreffen aber die wenigsten Unternehmen.

Hier will ich nur auf die Mindestanforderungen eingehen, damit man nicht die vollen Strafen ausfasst, denn eines wurde in vielen Vorträgen bereits erwähnt – eine 100% konforme Umsetzung ist fast nicht möglich.

Die Datenschutzbehörde ist kein Schreckgespenst. Man kann sich mit den Anliegen und Fragen immer an diese wenden, nur ist sie momentan ziemlich eingespannt. Trotzdem muss man sich an diese wenden, wenn man ein hohes Risiko bei der Datenschutzfolgeabschätzung herausbekommen hat.

Dieser Artikel basiert auf dem original Gesetzestext, da viele Personen oft zu viel in Aussagen von Dritten hineininterpretieren. Der Gesetzestext besteht aus immerhin 88 Seiten – da kann man unterwegs schon mal die Konzentration verlieren.

Links:
Gesetzestext: http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679
WKO: https://www.wko.at/datenschutz

KAPITEL I – Allgemeine Bestimmungen

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 1 – Gegenstand und Ziele
  • Artikel 2 – Sachlicher Anwendungsbereich
  • Artikel 3 – Räumlicher Anwendungsbereich
  • Artikel 4 – Begriffsbestimmungen

Das DSGVO zielt auf jede Organisation (also auch Vereine!) die personenbezogene Daten von betroffenen Personen verarbeitet. Räumlich geht es um jede Person die in der EU ist. Wenn du nur amerikanische Daten hast, ist es für dich nicht anzuwenden. Ich geh aber davon aus, dass du dann Angestellt hast und du allein deswegen personenbezogene Daten deiner Mitarbeiter hast.

Interessant sind hier folgende Begriffsbestimmungen:

Personenbezogene Daten:
Alles was eine Person identifiziert. Name, Anschrift, Kontaktdaten, Geburtsdatum, SVNr. Dabei ist egal ob es direkt oder indirekt verarbeitet wird.
Sensible Daten:
Wenn es mehr als nur um eine Identifizierung geht, sind es sensible Daten. Biometrische- und Gesundheitsdaten, Meinungen, Gesinnungen, Vorlieben, Ethik usw.
Verarbeitung
ist alles. Lesen, schreiben, kopieren, öffnen, durcharbeiten oder einfach nur ablegen. Das heißt, es gilt auch für Sachen wie Dropbox und du musst sorge tragen, dass Dropbox dem DSGVO Standard entspricht, oder alles verschlüsselt ist.
Profiling
Ableiten von Aspekten wie Gesundheit, Arbeitsleistung, Vorlieben oder sonstiges anhand der gewonnen Daten.
Pseudonymisierung
Ist etwas heikel. Wenn du alle Daten welche die Person identifiziert wo anders ablegst als die restlichen Daten, dann ist es pseudonymisiert. Das hilft dir aber im Endeffekt nichts. Das mindert nur die Risiken während der Folgeabschätzung.
Anonymisierung
Das hilft schon mehr, denn dann gibt es keine identifizierenden Daten!
Verantwortlicher
Das bist du!
Auftragsverarbeiter
Das ist der, der Daten für dich verarbeitet. Das kann auch dein Entwickler sein, oder dein Hoster vom Webshop. Und Apple oder Google wenn du Kontaktdaten auf deinem Handy nicht in deinem eigenen Exchange speicherst.
Empfänger
Empfänger ist man erst, wenn die Daten für dich bestimmt sind. Das ist also nicht der Auftragsverarbeiter.

KAPITEL II – Grundsätze

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 5 – Grundsätze für die Verarbeitung personenbezogener Daten
  • Artikel 6 – Rechtmäßigkeit der Verarbeitung
  • Artikel 7 – Bedingungen für die Einwilligung
  • Artikel 8 – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Artikel 9 – Verarbeitung besonderer Kategorien personenbezogener Daten
  • Artikel 10 – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Artikel 11 – Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Grundsätzlich darfst du Daten nur verarbeiten, wenn es gesetzlich vorgeschrieben (Artikel 6 c) ist, wenn du nur dadurch das Leben der betroffenen Person schützt (Artikel 6 d – Gesundheitsbetriebe) oder wenn du eine Einwilligung (Artikel 6 a) hast – ODER und das ist relevant, wenn das berechtigte Interesse der Verarbeitung (Artikel 6 f) den Schutz der Daten übersteigt. Damit wurde Direktwerbung wieder ermöglicht! Aber mehr ist das dann auch wieder nicht 😛
Denn du hättest zwar laut TKG jedem einen Brief schreiben dürfen, aber laut DSGVO dann nicht mehr.

Für Gesundheitsbetriebe wie Pflegeeinrichtungen ist daher keine Einwilligung nötig, da bei falscher Medikamenten- oder Nahrungsgabe die lebenswichtigen Interessen der betroffenen Person erheblich gestört sein könnten. Hier handelt es sich aber immer um sensible Daten die besonderen Schutz brauchen. Daher müssen Mitarbeiter geschult werden, ähnlich wie der Auftragsverarbeiter einen Vertrag haben (siehe Artikel 28) der klar regelt wozu man die Daten verarbeitet und die Mitarbeiter müssen im Umgang mit Datensicherung, Verschlüsselung usw. geschult werden. Es hilft nichts, wenn die am Server verschlüsselten Daten, offen auf dem Desktop abgelegt werden.

Wie holst du jetzt, wenn du das überhaupt braucht, die Einwilligung rechtmäßig ein?

  1. Du brauchst einen Nachweis, dass die Person zugestimmt hat. Also, Kopie des Bestätigungsmails beim Newsletter, ein Hackerl in einem Online-Formular, eine Unterschrift oder Ähnliches.
  2. Wenn verschiedene Verarbeitungen möglich sind, dann müssen allen extra zugestimmt werden und nichts darf implizit sein. Also Newsletter darf nicht automatisch bei einer Bestellung angehakt sein.
  3. Ein klarer Hinweis auf die Widerrufsmöglichkeiten
  4. Es war wirklich freiwillig (deckt sich ein wenig mit 2)

Laut Artikel 9 Absatz 2e darf man sensible Daten einer Person verarbeiten, wenn diese öffentlich gemacht wurden. Das heißt, wenn jemand öffentlich auf Facebook postet, dass er JW Mitglied ist und die WK super findet, dann kann ich das für mich nutzen und verarbeiten.

KAPITEL III – Rechte der betroffenen Person

Folgende Punkte werden in diesem Kapitel behandelt:

  • Abschnitt 1 – Transparenz und Modalitäten
    • Artikel 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  • Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
    • Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
    • Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
    • Artikel 15 – Auskunftsrecht der betroffenen Person
  • Abschnitt 3 – Berichtigung und Löschung
    • Artikel 16 – Recht auf Berichtigung
    • Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)
    • Artikel 18 – Recht auf Einschränkung der Verarbeitung
    • Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
    • Artikel 20 – Recht auf Datenübertragbarkeit
  • Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
    • Artikel 21 – Widerspruchsrecht
    • Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
  • Abschnitt 5 – Beschränkungen
    • Artikel 23 – Beschränkungen

Hier hat sich nicht viel getan. Jede Person hat immer noch das Recht auf Auskunft, Richtigstellung, Löschung und Widerspruch. Jetzt kann man aber auch noch Beschränkungen festlegen. Und auch neu ist die Datenübertragbarkeit. Jeder der bei dir Daten bunkert, muss dies auch als Export zur Verfügung gestellt bekommen können.

Wenn du Daten erhebst musst du Artikel 13 (unter Berücksichtigung von Artikel 6 und 7) beachten. Beim Erheben von zum Beispiel Newsletter Kontaktdaten, musst du dem potentiellen Kunden erklären, wofür die Daten sind, wer die Daten bekommt, wo die Daten hingehen und dass du ein “berechtigtes Interesse” hast.

Zum Beispiel: Hiermit willigst du ein, dass deine Kontaktdaten nur für die Zustellung des Newsletters rund um SEO, Webentwicklung und Datenschutz genutzt werden dürfen. Damit wollen wir sicherstellen, dass du über aktuelle Entwicklungen bei der Firma DI Alexander Herzog bescheid weißt und rechtzeitig Schritte einleiten kannst. Wir speichern die Daten ausschließlich bei uns und geben diese keinem weiter. Du kannst natürlich jederzeit im Sinne der DSGVO Artikel 7 wiederrufen in dem du im Newsletter auf “abmelden” klickst oder uns anderwertig in Kenntnis setzt.

Es gibt noch ganz wilde andere Ansatzpunkte in dem die Verantwortlichen zum Beispiel Mailchimp nehmen. Das ist ein Internationaler Newsletter-Anbieter. Wenn die Daten also ins Ausland gehen, muss dies auch noch extra festgehalten werden.

Zum Beispiel: Wir nutzen Mailchimp um den Newsletter zu versenden. Du stimmst also auch zu, dass wir deine Kontaktdaten an diese Organisation im Sinne der DSGVO Artikel 13 Absatz f weitergeben. Diese Firma entspricht dem Angemessenheitsbeschluss und deine Daten sind daher sicher.

Weil das schon wieder recht viel Text ist, der da zu bestätigen ist, rate ich von sowas ab und schlage Newslettertools wie das WordPress Plugin MailPoet und den eigenen SMTP Server vor.

KAPITEL IV – Verantwortlicher und Auftragsverarbeiter

Folgende Punkte werden in diesem Kapitel behandelt:

  • Abschnitt 1 – Allgemeine Pflichten
    • Artikel 24 – Verantwortung des für die Verarbeitung Verantwortlichen
    • Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
    • Artikel 26 – Gemeinsam für die Verarbeitung Verantwortliche
    • Artikel 27 – Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
    • Artikel 28 – Auftragsverarbeiter
    • Artikel 29 – Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
    • Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten
    • Artikel 31 – Zusammenarbeit mit der Aufsichtsbehörde
  • Abschnitt 2 – Sicherheit personenbezogener Daten
    • Artikel 32 – Sicherheit der Verarbeitung
    • Artikel 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
    • Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
  • Abschnitt 3 – Datenschutz-Folgenabschätzung und vorherige Konsultation
    • Artikel 35 – Datenschutz-Folgenabschätzung
    • Artikel 36 – Vorherige Konsultation
  • Abschnitt 4 – Datenschutzbeauftragter
    • Artikel 37 – Benennung eines Datenschutzbeauftragten
    • Artikel 38 – Stellung des Datenschutzbeauftragten
    • Artikel 39 – Aufgaben des Datenschutzbeauftragten
  • Abschnitt 5 – Verhaltensregeln und Zertifizierung
    • Artikel 40 – Verhaltensregeln
    • Artikel 41 – Überwachung der genehmigten Verhaltensregeln
    • Artikel 42 – Zertifizierung
    • Artikel 43 – Zertifizierungsstellen

Ganz klar ist, dass der Verantwortliche nicht mit den Daten hausieren geht. Rechtmäßig erhobene Daten sind zweckgebunden. Die meisten Unternehmen speichern ohnehin nur Rechnungs und Kontaktdaten. Eventuell ein paar “sensible” Hinweise der Kontaktperson im CRM.

Artikel 25 – Hier geht es darum, dass du Daten nicht blank auf einem ungeschützten PC liegen hast. Natürlich ist es immer möglich, dass jemand einen PC oder ein Onlinekonto hackt. Daher sollte man immer Backups haben, diese sind aber idealerweise zu verschlüssel, damit ein Einbrecher mit einer gestohlenen Festplatte nichts anfangen kann. Denn nur ein Passwort beim PC Login ist nicht wirklich ausreichend. Das heißt aber auch, dass es unter Berücksichtigung der Daten (sensibel oder nicht) auch ok ist, wenn man die Rechnungs- oder Kontaktdaten auch in einer entsprechenden Cloud Lösung ablegen kann – denn diese sind immer zumindest passwortgeschützt. Der zweite Punkt, die Datenminimierung, bedeutet, dass man für Rechnungsdaten nicht noch den Namen des Hundes miterfasst. Es sollten so wenig Daten wie nur irgendwie möglich erhoben und verarbeitet werden.

Artikel 28 – Auftragsverarbeiter. Jeder wird einen haben. Irgendwo muss ja der Webshop gehostet sein oder du hast eine Webseite mit Kontaktformular. Ich denk mir aber, dass die Telekom oder andere Hoster etwas standardmäßig in deren Verträge reinschreiben werden. Dass sie keinen Zugriff auf die Daten am Server haben usw. – mit denen brauchst du also wahrscheinlich keinen Auftragsverarbeitungsvertrag.

Auf jeden Fall gibt es eine tolle Vorlage bei der WK unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

Bitte genau festhalten, warum der Auftragsverarbeiter Zugriff auf die Daten bekommt. Wie gesagt, meistens wird es einen Entwickler geben, der sich einen Geschäftsfall im Webshop ansieht oder der Steuerberater bekommt alle Rechnungen geschickt (die von oder an Private oder eine EPU gehen).

Für jeden Mitarbeiter empfehle ich Folgendes auszufüllen: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verpflichtungserklaerung-datengeheimnis.html
Wie gesagt, von den Großen wird es sicher irgendwo Standard-Texte zum Runterladen geben, wenn der 28. Mai kommt. Aber auch kleine Firmen sollten für ihre Standardarbeiten fertige Texte bereitstellen. Das kann auch direkt in einen bestehenden oder neuen Vertrag eingearbeitet werden.

Artikel 30Verzeichnis von Verarbeitungstätigkeiten. Auch Datenverarbeitungsverzeichnis genannt. Hierzu gibt es Vorlagen von der WKO. https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html
Mir ist dieses Dokument in den meisten Fällen aber zu klobig, da oft keine sensiblen Daten verarbeitet werden die mehr Dokumentation erfordern. Da kann eine Excel Liste auch reichen.
Oben schreibt man einfach die Kontaktdaten des Betriebes und des Datenschutzbeauftragten hin und dann eine Tabelle mit den Anwendungen die man hat.

Zum Beispiel:

Zweck der Verarbeitung Betroffene Daten Empfänger Drittländer Fristen Datensicher-
heitsmaß-
nahmen
Rechnungs-
legung
Kunden Rechnungs-
anschrift, Leistungen
Kunde selbst,
Steuerberater
USA, Google Cloud Storage Drive Löschung nach 7 Jahren Passwort-
geschützt,
2 Faktor Authentisierug, Cloud
Newsletter Kunden, Interessenten Kontaktdaten Löschung nach Rücktritt Passwort-
geschützt,
VM-Server in DE
Ticketsystem Kunden Kontaktdaten Löschung bei Beendigung der Kunden- beziehung Passwort-
geschützt,2 Faktor Authentisierug,
VM-Server in DE
Rechnungs-
legung Webshop
Kunden Rechungs-
anschrift
Kunde, Steuerberater Konten nach 7 Jahren Inaktivität gelöscht Passwort-
geschützt,
VM-Server in DE
Adressbuch (berechtigtes Interesse) Kunden,

Lieferanten

Kontaktdaten USA, Google, Contacts Löschung bei Beendigung der Kunden- beziehung Passwort-
geschützt,
2 Faktor Authentisierug, Cloud

Wenn du noch als Auftragsverarbeiter agierst, musst du für jeden Kunden noch ein Verzeichnis führen. Das ist aber mehr oder minder Copy-Paste. Hier schreibst du die eigenen Kontakdaten und die Kontaktdaten des Verantwortlichen (deines Kunden) und eventuell des Datenschutzbeauftragten in den Header.

Diese Liste ist aber einfacher. Du musst nur die Kategorien von Verarbeitungen aufschreiben sowie die technischen Maßnahme und ob es in ein Drittland kommt.
Ist man also Entwickler oder Server-Administrator so könnte das so aussehen:

Kategorie von Verarbeitungen technisch und organisatorische Datensicherheitsmaßnahmen Drittland
Serverupdates, Nachstellen von Geschätsprozessen, Fehlerbehebung der eingesetztn Software. Schutz durch RSA-Key Authentifizeriung am Server. IP Restriktion Ticketdaten werden auf US, Amazon Server gespeichert. Diese können in einzelfällen Namen von Shop-Kunden beinhalten.

Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern usw. trifft quasi niemanden, denn jeder verarbeitet regelmäßig Rechnungsdaten. Wenn man nur an Unternehmen Rechnungen stellt, dann dürfen diese Daten aber keine Kontaktporsonen enthalten und keine EPU sein. Dann müsste man das nicht machen – darum rate ich dir, die Liste einmal zu schreiben und fertig.

Artikel 32 – Sicherheit der Verarbeitung ist eigentlich mehr für das Unternehmen selbst als für die Datenschutzbehörde da. Hier geht es darum, ein Backup zu haben, Daten geschützt abzulegen und angemessene Pseudonymisierung und Verschlüsselung einzusetzen und diese Vorgänge auch ab und zu zu prüfen. Sprich ein Backup rückzusichern. Oder geglaubt verschlüsselte Daten zu prüfen.

Artikel 37-39 – Datenschutzbeauftragter. Den brauchst du, sobald du sensible Daten hast oder Profiling mit Entscheidungen verknüpfst. Er ist nicht Verantwortlich und zahlt auch nicht die Strafe, ist aber jemand, der über alle Datenschutz-Vorgänge bescheid wissen sollte. Außerdem sollte er wissen, worum es geht und schon mal mit so etwas zu tun gehabt haben und beratend zur Seite stehen. Ich würde ihm nicht im Weg stehen, auch wenn er ungemütlich ist, denn wenn die Vorschläge des Datenschutzbeauftragten nicht eingehalten werden, könnten die relativ hohen Strafen schlagend werden. Er muss keine Zertifizierung haben!

KAPITEL V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

Diese Kapitel ist für jeden der etwas in der Cloud betreibt oder diverse Services nutzt wichtig!

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 44 – Allgemeine Grundsätze der Datenübermittlung
  • Artikel 45 – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
  • Artikel 46 – Datenübermittlung vorbehaltlich geeigneter Garantien
  • Artikel 47 – Verbindliche interne Datenschutzvorschriften
  • Artikel 48 – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
  • Artikel 49 – Ausnahmen für bestimmte Fälle
  • Artikel 50 – Internationale Zusammenarbeit zum Schutz personenbezogener Daten

In Artikel 45 wird geht es darum, an welches Nicht-EU-Land und welche Organisationen Daten übermittelt werden dürfen.
Prinzipiell gibt es in die USA (andere Länder wird den Durchschnittsunternehmer kaum betreffen) ein Privacy Shield. Das heißt, in die USA darf man, wenn das Unternehmen dies einhält, Daten schicken. Dank Trump steht das aber auf etwas wackeligen Beinen. Trotzdem, Unternehmen wie Microsoft, Google, Apple und Amazon sind natürlich gerüstet. Dort kannst du entsprechende Verträge bekommen. Zumindest bei Google Apps hab ich meinen Vertrag runterladen können.

KAPITEL VI – Unabhängige Aufsichtsbehörden

Viel Blabla. Für den normalsterblichen Unternehmer uninteressant. Außer du hast vor, gegen das Gesetz zu verstoßen.

Folgende Punkte werden in diesem Kapitel behandelt:

  • Abschnitt 1 – Unabhängigkeit
    • Artikel 51 – Aufsichtsbehörde
    • Artikel 52 – Unabhängigkeit
    • Artikel 53 – Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
    • Artikel 54 – Errichtung der Aufsichtsbehörde
  • Abschnitt 2 – Zuständigkeit, Aufgaben und Befugnisse
    • Artikel 55 – Zuständigkeit
    • Artikel 56 – Zuständigkeit der federführenden Aufsichtsbehörde
    • Artikel 57 – Aufgaben
    • Artikel 58 – Befugnisse
    • Artikel 59 – Tätigkeitsbericht

 

KAPITEL VII – Zusammenarbeit und Kohärenz

Hier geht es mehr um “Wer ist wo für was verantwortlich”. Ist also für den Produktiveinsatz eher uninteressant.

Folgende Punkte werden in diesem Kapitel behandelt:

  • Abschnitt 1 – Zusammenarbeit
    • Artikel 60 – Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
    • Artikel 61 – Gegenseitige Amtshilfe
    • Artikel 62 – Gemeinsame Maßnahmen der Aufsichtsbehörden
  • Abschnitt 2 – Kohärenz
    • Artikel 63 – Kohärenzverfahren
    • Artikel 64 – Stellungnahme Ausschusses
    • Artikel 65 – Streitbeilegung durch den Ausschuss
    • Artikel 66 – Dringlichkeitsverfahren
    • Artikel 67 – Informationsaustausch
  • Abschnitt 3 – Europäischer Datenschutzausschuss
    • Artikel 68 – Europäischer Datenschutzausschuss
    • Artikel 69 – Unabhängigkeit
    • Artikel 70 – Aufgaben des Ausschusses
    • Artikel 71 – Berichterstattung
    • Artikel 72 – Verfahrensweise
    • Artikel 73 – Vorsitz
    • Artikel 74 – Aufgaben des Vorsitzes
    • Artikel 75 – Sekretariat
    • Artikel 76 – Vertraulichkeit

KAPITEL VIII – Rechtsbehelfe, Haftung und Sanktionen

Wenn das Kapitel für dich relevant wird, dann hast du schon ein Problem!

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde
  • Artikel 78 – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
  • Artikel 79 – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
  • Artikel 80 – Vertretung von betroffenen Personen
  • Artikel 81 – Aussetzung des Verfahrens
  • Artikel 82 – Haftung und Recht auf Schadenersatz
  • Artikel 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen
  • Artikel 84 – Sanktionen

KAPITEL IX – Vorschriften für besondere Verarbeitungssituationen

Dieses Kapitel ist für die meisten nicht relevant.

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 85 – Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
  • Artikel 86 – Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
  • Artikel 87 – Verarbeitung der nationalen Kennziffer
  • Artikel 88 – Datenverarbeitung im Beschäftigungskontext
  • Artikel 89 – Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
  • Artikel 90 – Geheimhaltungspflichten
  • Artikel 91 – Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

KAPITEL X – Delegierte Rechtsakte und Durchführungsrechtsakte

Dieses Kapitel ist für die meisten nicht sofort relevant.

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 92 – Ausübung der Befugnisübertragung
  • Artikel 93 – Ausschussverfahren

KAPITEL XI – Schlussbestimmungen

Dieses Kapitel ist für die meisten nicht sofort relevant – enthält es ja doch nur viel blabla.

Folgende Punkte werden in diesem Kapitel behandelt:

  • Artikel 94 – Aufhebung der Richtlinie 95/46/EG
  • Artikel 95 – Verhältnis zur Richtlinie 2002/58/EG
  • Artikel 96 – Verhältnis zu bereits geschlossenen Übereinkünften
  • Artikel 97 – Berichte der Kommission
  • Artikel 98 – Überprüfung anderer Rechtsakte der Union zum Datenschutz
  • Artikel 99 – Inkrafttreten und Anwendung

 

So fertig! Wenn du noch Erklärungsbedarf hast, melde dich!

%d Bloggern gefällt das: