- Informationen
- KI Chat
Zusammenfassung Datenschutzrecht HS21
Datenschutzrecht (90WM5-1)
Universität Zürich
Kommentare
Ähnliche Studylists
WettbewerbsrechtText Vorschau
Zusammenfassung Datenschutzrecht
Rechtsgrundlagen – International
UN Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien OECD Privacy Guidelines Europarat Art. 8 EMRK
Rechtsgrundlagen – EU
AEUV Art. 16 AEUV GRCh Art. 8 GRCh DSGVO
Rechtsgrundlagen – CH
BV Art. 14 BV ZGB Art. 28 ff. ZGB DSG Datenschutzgesetz VDSG Verordnung zum DSG
Massgebend für die Vorlesung ist das revidierte DSG, in Bezug auf die VDSG wird sowohl auf die noch geltende Fassung als auch auf den Vorentwurf verwiesen.
Informationelle Selbstbestimmung
Mit den Daten darf nichts gemacht werden, was negativ für die Betroffenen sein kann. Ist ein Grundrecht mit sehr starken Einschränkungen. Unter anderem durch Art. 36 BV; der Staat kann sich mit gesetzlicher Grundlage und einem bedingten öffentlichen Interesse per Gesetz über dieses Grundrecht stellen.
DSG DSGVO Zweck – Art. 1 DSG Zweck der DSG ist der Schutz der Persönlichkeit (Art. 28 ff. ZGB) und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 13 Abs. 2 BV).
Gegenstand und Ziele (Art. 1 DSGVO) Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Schutz des freien Verkehrs personenbezogener Daten in der Union. Geltungsbereich (Art. 2 und 3 DSG)
- Bearbeitung von Daten natürlicher Personen
- Bearbeitung durch Private und Bund esorgane
- Jede Bearbeitung wird erfasst
- Im Privaten: Schutz vor Missbrauch
Sachlicher Anwendungsbereich – Art. 2 DSGVO - Verarbeitung von Daten natürlicher Personen - Verarbeitung: Ganz und teilweise automatisiert, Nicht automatisiert; nur, wenn personenbezogene Daten in einem Dateisystem gespeichert sind oder werden sollen - Nicht: Informationelle Selbstbestimmung Räumlicher Anwendungsbereich – Art. 3 Abs. 1
- Auswirkungsprinzip
Räumlicher Anwendungsbereich – Art. 3 DSGVO - Sitz- oder Niederlassungsprinzip - Marktortprinzip: Personendaten von Personen, die sich in der EU befinden - Völkerrechtliche Anwendbarkeit - Brussles Effect; hat faktisch internationale Bedeutung
DSG DSGVO
Personendaten - Art. 5 lit. a DSG - Informationen über bestimmte/bestimmbare Person - Bestimmbarkeit nach relativem Ansatz : Interessen & technische Möglichkeiten zu berücksichtigen
Personenbezogene Daten - Art. 4 Abs. 1 DSGVO - Informationen über bestimmte/bestimmbare Person - Bestimmbarkeit nach relativem Ansatz : Interessen & technische Möglichkeiten zu berücksichtigen - Nationalität, Sexualität, Kreditwürdigkeit Betroffene Person
- Art. 5 lit. b DSG
- Natürliche Person auf die sich Daten beziehen Bearbeiten
- Art. 5 lit. d DSG
- Jeder Umgang mit Personendaten, unabhängig von den angewandten Mittel und Verfahren
- Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten
Verarbeiten - Art. 4 Abs. 1 DSGVO - Jeder Umgang mit Personendaten, unabhängig von den angewandten Mittel und Verfahren - Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten Profiling
- Art. 5 lit. f DSG
- Jeder Art der automatisierten Bearbeitung von Personendaten, wenn Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten
Profiling mit hohem Risiko - Art. 5 lit. g DSG - Profiling, dass ein hohes Risiko für Persönlichkeit oder Grundrechte mit sich bringt, durch: - Verknüpfung von Daten, die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt - Bedarf immer der Einwilligung
Grundsätze der Datenverarbeitung
DSG DSGVO Rechtmässigkeit - Private: keine Verletzung einer in der CH geltenden Norm - Bundesorgane: i.d. gesetzliche Grundlage erforderlich, Ausnahme: - Art. 34 Abs. 4, Art. 36 Abs. 2 und 4, Art. 39 DSG
Rechtmässigkeit - Tragweite nicht restlos geklärt - Enges Verständnis: Verbot mit Erlaubnisvorbehalt - Weiter Verständnis: Verletzung irgendeiner Norm in der DSGVO ausreichend - H.: enges Verständnis Treu und Glauben
- Generalklausel
- Grundlage für Grundsatz der Erkennbarkeit , soweit er sich nicht schon aus Grundsatz der Zweckbindung ergibt
Treu und Glauben - Ist als EU-Norm autonom auszulegen - Auffangtatbestand: Anwendbarkeit ohne Verstoss gege ein konkretes gesetzliches Verbot umstritten
Verhältnismässigkeit - Eignung: Datenbearbeitung zur Erreichung des Zwecks geeignet - Erforderlichkeit: Datenbearbeitung mildestes Mittel (Datenminimierung, Speicherbegrenzung; Art. 6 Abs. 4) - Verhältnismässigkeit i.e.: Abwägung zwischen Zweck und Eingriff in Persönlichkeits- bzw. Grundrechte - Zumutbarkeit
Datenminimierung - Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt werden
Erkennbarkeit / Transparenz Eröffnet Möglichkeit zur datenschutzrechtlichen Überprüfung (retrospektiv). Ermöglicht der betroffenen Person, die Tragweite einer Datenverarbeitung abzuschätzen und basieren darauf in eine Datenverarbeitung einzuwilligen bzw. diese zu verhindern (prospektiv) Erkennbarkeit - Beschaffung und Zweck der Datenbearbeitung muss erkennbar sein - Einzelfallbeurteilung - Erkennbarkeit ist sicherzustellen durch Informationspflicht (Art. 19 DSG) - Informationspflicht entfällt bei Bundesorganen bei gesetzlicher Grundlage (Art. 20 Abs. 1 lit. b)
Transparenz - In einer für die betroffene Person nachvollziehbaren Weise verarbeiten (retro- und prospektiv)
Zweckbindung - Schutz der betroffenen Person vor Bearbeitung bereits erhobener Daten für weiter Zwecke - Datenbearbeitung: o Nur für bestimmten und für betroffene Person erkennbaren Zweck (Primärzweck) o Nur so, dass es mit diesem Zweck vereinbar ist (= weiter Zwecke) - Modifikation des Zwecks führt zu neuer Datenbearbeitung - Zweckbindung gilt auch für Auftragsbearbeiter - Anforderung an Zweck o Festgelegt (formal): vor Datenerhebung o Bestimmt / eindeutig (materiell) o Bei DSGVO: legitim = rechtmässig - Vorratsdatenbeschaffung unzulässig - Zweckbindung problematisch für Big Data Unternehmen
DSG DSGVO
Richtigkeit der Daten - Personendaten müssen sachlich korrekt und unverfälscht sein (Datenqualität) - Pflicht o Verifizierung der Richtigkeit der bearbeiteten Daten o Massnahmen treffen, um unrichtige und unvollständige Daten zu berichtigen, zu löschen oder zu vernichten - Richtigkeit: wenn eine Tatsache mit Bezug auf die betroffene Person und im Hinblick auf den Verwendungszweck sachgerecht wiedergegeben wird - Massnahmen müssen dem Risiko angemessen sein - Bedeutung recht stark zu relativieren: heute Grösse des Datensatzes relevant nicht einzelner individueller Datenpunkt
Datensicherheit - Massnahmen gegen unbefugtes Bearbeiten - Drei Aspekte: o Vertraulichkeit o Verfügbarkeit o Datenintegrität (Richtigkeit)
Integrität und Vertraulichkeit - Massnahmen gegen unbefugtes pder unrechtmässiges Verarbeiten - Massnahmen gegen unbeabsichtigten Verlust, Zerstörung, Schädigung
Datenschutz durch Technik und datenschutzfreundlich Voreinstellung (Art. 7 DSG/Art. 25 DSGVO) - Privacy by Design und Privacy by Default (Haken in Box auf höchster Schutzstufe für betroffene Person) - Datenschutz ist technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden - Technische und organisatorische Massnahmen müssen Stand der Technik, Art und Umfang der Datenbearbeitung und Risiken für Persönlichkeit und Grundrechte angemessen sein
- Gleichzeitiges Abstellen auf andere Rechtsgrundlage heikel o Je nach dem unzulässigen widersprüchlichen Verhalten o Einwilligung suggeriert, dass betroffene Person Wahlfreiheit hat
Rechtfertigung durch überwiegende Interessen (DSG)
- Schwammiger Begriff
- Verhältnismässigkeit i.e. geprüft
- Google Street View BGer-Fall zum Thema o Sinnvolles Angebot, das viele Leute nutzen o Rechtmässig auch wenn nicht alle Datenbearbeitungsgrundsätze eingehalten werden können
- Prüfung : Trauen sich auf gute Argumente zu verlassen, es gibt kein vorgegebenes Schema, gute Begründung wichtig
- Katalog in Gesetz o Vertragsabschluss o Wirtschaftlicher Wettbewerb o Prüfung Kreditwürdigkeit o Vorbereitung einer Veröffentlichung in Medien o Bearbeitung zu nicht personenbezogenen Zwecken (Forschung, Planung, Statistik) § Art. 22 DSG § Einschränkungen: Anonymisierung der Daten, Ergebnisse werden so veröffentlich, dass die betroffene Person nicht identifiziert werden kann § Problematik des relativen Ansatzes : Daten können für verschiedene Personen entweder Personendaten sein oder auch nicht o Personen des öffentlichen Lebens § Öffentliches Interesse an Information
Rechtfertigung durch Gesetz (DSG)
Zentral für Tätigkeiten der Bundesbehörden. Gesetzesgrundlage für die Tätigkeit (formell und materiell genügend Bestimmt als Vorgabe) kann aber auch für Private relevant sein, so zum Beispiel für
Krankenkassen. Gesetz muss genügend bestimmt sein, die Gesetzesgrundlage ist nicht ausreichend,
wenn das Gesetz die Bearbeitung nur im Grundsatz vorsieht.
Erfüllung Vertrag oder Vornahme vorvertraglicher Massnahmen (DSGVO)
- Bearbeitung erforderlich für die Erfüllung des Vertragszwecks o Nützlichkeit nicht ausreichend
- Verarbeitung erforderlich für vorvertragliche Massnahme o Nützlichkeit nicht ausreichend o Initiative muss von der betroffenen Person ausgehen (Vorvertragliche Situation)
- CH Gesetz weniger streng (Fall: Kreditwürdigkeit abklären)
Rechtliche Verpflichtung (DSGVO)
- Verarbeitung erforderlich für rechtliche Verpflichtung aufgrund von Recht der EU oder eines MS
- Rechtsgrundlage: o Hinreichend klar o Präzise o Vorhersehbar
- Anforderung an Rechtsgrundlage in Art. 6 Abs. 2 DSGVO
Wahrung lebenswichtiger Interessen (DSGVO)
- Schutz des Lebens und der körperlichen Unversehrtheit
- Nachrangig gegenüber anderen Rechtsgrundlagen o Nur wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann
Erfüllung öffentlicher Aufgabe (DSGVO)
- Voraussetzungen: o Erforderlich o Öffentliches Interesse
Wahrung berechtigter Interessen (DSGVO)
Generalnorm nach Spezialtatbeständen
- Voraussetzungen: o Berechtigtes Interesse o Erforderlichkeit der Verarbeitung für die Wahrung des berechtigten Interesses o Interessenabwägung: Kein überwiegendes Interesse der betroffenen Person gegenüber Interessen des Verantwortlichen (nur gleich)
- Vage Formulierung problematisch = kein Raum für Konkretisierung durch nationales Recht
- Nur anwendbar unter Privaten
- Beispiel: Werbung, Betrugsprävention, Compliance
DSGVO: Zwang zu bewussterem Umgang mit Daten
und betroffener Person steht und ihrem Begehren stattgegeben wird; oder
- Betroffene Person ausdrücklich in ADM eingewilligt hat
Anreize den Entscheid so gut als möglich zu fällen sind gesetzt nach Thouvenin. Die Ausrichtung der Entscheidung kann sowohl analog als auch elektronisch bei Maschinen bestimmt werden mit internen Vorgaben.
DSG DSGVO Verzeichnis der Bearbeitungstätigkeiten - Verantwortliche und Auftragsbearbeiter führen je ein Verzeichnis ihrer Datenbearbeitung - Detaillierte Regelung des Mindestinhalts im Gesetz - Erleichterungen für KMU
Art. 12 Abs. 2 und 3 DSG; Art. 30 Abs. 1 und 2 DSGVO Datenschutz-Folgeabschätzung - Unternehmen machen sich Gedanken zu den Folgen von hoch Riskanten Datenverarbeitungsvorgängen - Ziel: Risikominimierung (nicht vollständige Risikovermeidung - Hohes Risiko ergibt sich aus Art, Umfang, Umständen und Zweck der Bearbeitung
Besteht ein hohes Risiko muss die Aufsichtsbehörde kontaktiert werden Meldungen von Verletzungen der Datensicherheit (Data Breach Notification) - Schnelle Meldung von Verletzungen der Datensicherheit - Unter Umständen auch die betroffene Person zu informieren - Auftragsbearbeiter trifft Meldepflicht gegenüber dem Verantwortlichen - Meldung der Verletzung an Aufsichtsbehörde
Bsp.: Lecks, Hackerangriffe, physische Einbrüche, Verlust Laptop
Problematik: Unternehmen merken erst nach langer Zeit, dass sie gehackt wurden Meldung an Aufsichtsbehörde - Keine Meldepflicht bei hohem Risiko - So rasch wie möglich - Inhalt: o Art der Verletzung o Folgen der Verletzung o Eingriffe/vorgesehene Massnahmen
Meldung der Aufsichtsbehörde - Keine Meldepflicht bei einem Risiko - 72h (Kennen oder kennen müssen) - Inhalt o Art der Verletzung o Folgen der Verletzung o Massnahmen
Datenschutzberater - Private Verantwortliche können freiwillig Datenschutzberater ernennen - Bundesorgane müssen Ernennen - Aufgaben: o Schulung und Beratung o Anlaufstelle für betroffene Personen o Mitwirkung bei der Anwendung des DSG - Anforderungen o Grundsätzlich keine o Art. 23 Abs. 4 DSG
Datenschutzbeauftragter - Verantwortliche und Auftragsverarbeiter müssen zwingend einen Datenschutzbeauftragten ernennen, wenn: o Behörden o Erhöhtes Risiko - Ansonsten freiwillig o Keine unmittelbaren rechtlichen Vorteile oder Erleichterungen - Aufgaben: o Analog CH - Anforderungen o Berufliche Qualifikation und Fachwissen
DSG DSGVO
Verhaltenskodizes - Stellungnahme des EDÖB grundsätzlich rechtlich unverbindlich - Gem. Botschaft kann davon ausgegangen werden, dass bei Einhaltung eines genehmigten Verhaltenskodex keine Verwaltungsmassnahmen ergriffen werden - Schafft gewisses Mass an Rechtssicherheit - Vorteile sind beschränkt: Verzicht auf DFA möglich unter bestimmten Voraussetzungen (Art. 22 Abs. 5 DSG)
Verhaltensregeln - Genehmigung von Verhaltensregeln durch Aufsichtsbehörde hat keine Erlaubniswirkung - Schafft gewisses Mass an Rechtssicherheit
Zertifizierung
Beschränkte datenschutzrechtliche Überprüfung durch neutrale Dritte, Freiwillig
Gegenstand der Zertifizierung: - Systeme - Produkte - Dienstleistungen Antragsberechtigte - Verantwortliche - Auftragsbearbeiter - Hersteller von Datenbearbeitungssystemen und - programmen Zuständigkeit - Akkreditierung unabhängige Zertifizierungsstelle
Beschränkte Wirkung
- Entbindung von Pflicht zu Datenschutzfolgenabschätzung
- Verantwortung bleibt ansonsten voll bestehen
- EDÖB behält alle Aufgaben und Befugnisse
- Marketing-Wirkung der Zertifizierung
Zertifizierung
Beschränkte datenschutzrechtliche Überprüfung durch neutrale Dritte, Freiwillig
Gegenstand der Zertifizierung: - Verarbeitungsvorgänge - Geeignete Garantien für int. Datentransfers Antragsberechtigte - Verantwortliche - Auftragsbearbeiter Zuständigkeit - Aufsichtsbehörde - Akkreditierung unabhängige Zertifizierungsstelle
Stark beschränkte Wirkung
- Verantwortung bleibt voll bestehen
- Aufsichtsbehörde behält alle Aufgaben und Befugnisse
- In Praxis allerdings gewisse faktische Bindung: Zertifizierungen durch andere Aufsichtsbehörden werden nur zurückhaltend überprüft
- Hilfreich für Nachweis der Erfüllung gewisser Pflichten
- Marketing-Wirkung der Zertifizierung
DSG DSGVO
Ausnahme für Medien - Datenschutzrechtliches Medienprivileg - Zweck: Ausgleich zwischen Medienfreiheit, Meinungs- und Informationsfreiheit und Recht auf informationelle Selbstbestimmung - Bearbeitung von Personendaten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums - Medienschaffende können Auskunft zudem verweigern, einschränken oder aufschieben, wenn Personendaten ausschliesslich als persönliches Arbeitsinstrument dienen - Auskunftsprivileg geht nicht bis in ‘Köpfe’ der Verantwortlichen, nur schriftlich/elektronisch
Ausnahme für Medien
Auskunft nur vor Ort: Frage; muss die Einschränkung begründet werden?
Datenherausgabe
DSG DSGVO
Voraussetzungen (kumulativ) - Daten werden automatisiert bearbeitet - Daten werden mit Einwilligung der betroffenen Person oder unmittelbarem Zusammenhang oder Abwicklung eines Vertrags zwischen Verantwortlichen und betroffenen Personen bearbeitet
Voraussetzungen (kumulativ) - Verarbeitung erfolgt mit Hilfe automatisierter Verfahren - Verarbeitung beruht auf Einwilligung oder Vertrag zwischen Verantwortlichem und betroffener Person
Gegenstand - Vollständige Kopie der Daten, welche die betroffene Person dem Verantwortlichen bekanntgegeben hat
Gegenstand - Personendaten der betroffenen Person, die sie dem Verantwortlichen bereitgestellt hat Form
- Gängiges elektronische Format
Form - Strukturiertes, gängiges und maschinenlesbares Format
Datenübertragung / Datenübertragbarkeit («Datenportabilität»)
- Wettbewerbsrechtlicher Hintergrund
- Ziel: Vermeidung von lock-in-Effekten
DSG DSGVO Datenübertragung Voraussetzungen: - Voraussetzungen des Rechts auf Herausgabe erfüllt - Kein übermässiger Aufwand auf Seiten des Verantwortlichen
Grundsätzliches kostenlos Übertragung kann aus gleichen Gründen wie beim Auskunftsrecht verweigert, eingeschränkt oder aufgeschoben werden
Datenübertragbarkeit Voraussetzungen - Voraussetzungen des Rechts auf Herausgabe erfüllt - Technisch machbar
Grundsätzlich kostenlos
Ausnahme: - Gleich wie bei Recht auf Herausgabe
Berichtigung
- Unrichtige Daten führen zu unrichtigen Schlussfolgerungen und Entscheidungen
- Richtigkeit der Daten deshalb zentral
- Betroffene Personen haben Anspruch auf Berichtigung falscher Personendaten und Ergänzung unvollständiger Daten
DSG DSGVO Ausnahme: - Gesetz verbietet Änderung - Bearbeitung zur Archivzwecken im öffentlichen Interesse (Interessenabwägung) - Persönlichkeitsverletzung (Art. 32 Anspruch auf Berichtigung)
Ausnahmen: - Offenkundig unbegründete oder exzessive Anträge (Art. 12 Abs. 5 lit. b DSGVO) - Ausnahmen gem. (Art. 23 DSGVO) - Mitgliedstaaten können durch nationales Recht Ausnahmen gestützt auf Art. 85 Abs. 2 DSGVO vorsehen
Löschung
- Grössere Relevanz in der Praxis als Berichtigung
DSG DSGVO
Voraussetzung: - Widerrechtliche Persönlichkeitsverletzung - Rechtfertigung möglich; z. überwiegendes Interesse an Meinungs- und Informationsfreiheit bei Bibliotheken
Voraussetzungen (alternativ) - Nicht mehr notwendig für Verarbeitungszwecke - Widerruf der Einwilligung - Widerspruch - Unrechtmässige Verarbeitung - Löschung erforderlich zur Erfüllung einer rechtlichen Verpflichtung - Personenbezogene Daten von Kindern Alle Aspekte könnten auch im CH Recht mit in die Erwägung einfliessen (Thouvenin)
Ausnahmen - Langer Katalog von Ausnahmen - Siehe Folien S. 84 - Ausnahmen gem. Art. 23 DSGVO (Bedarf wohl Gesetzesgrundlage im nationalen Recht)
Internationale Datenübermittlung
Problem: Daten können in Länder, die nicht von der DSGVO geschützt sind, übermittelt werden. Dies ergibt Probleme für den Schutz der Betroffenen.
Angemessenheit des Datenschutzniveaus
- Beurteilung, ob die Gesetzgebung eines bestimmten Drittstaats einen angemessenen Schutz der Personendaten gewährleistet
DSG DSGVO
Zuständigkeit: Bundesrat
Staatenliste verfügbar über Website EDÖB
Zuständigkeit: Kommission
Angemessenheitsbeurteilung nach Art. 45 DSGVO
Staatenliste verfügbar auf Website Kommission
Politischer Entscheid; Könnte im Rahmen der schwierigen Beziehungen von EU-CH zu einem Entzug des Status für die CH führen
Geeignete Garantien
DSG DSGVO - Standarddatenschutzklauseln (Umfassender detaillierter Katalog) - Binding Corporate Rules - Vertragliche Garantien - Völkerrechtlicher Vertrag
- Standarddatenschutzklauseln (Umfassender detaillierter Katalog)
- Binding Corporate Rules
- Vertragliche Garantien
- Zertifizierung des Verarbeitungsvorgangs
- Verwaltungsvereinbarungen
- Rechtlich bindende und durchsetzbare Dokumente zwischen Behörden und öffentlichen Stellen
Ausnahmetatbestände
- Wenn keine der geeigneten Garantien greift, kann ein Ausnahmetatbestand relevant sein
DSG – Art. 17 DSGVO – Art. 49 - Einwilligung im Einzelfall - Unmittelbarer Zusammenhang mit Vertragsschluss - Unerlässlich für Wahrung des öffentlichen Interesses - Erforderlich zum Schutz des Lebens/der körperlichen Integrität des Betroffenen - Daten durch Betroffenen selbst allg. zugänglich gemacht und Bearbeitung nicht ausdrücklich untersagt
- Einwilligung im Einzelfall
- Erforderlich für Erfüllung Vertrag mit betroffener Person
- Erforderlich für Erfüllung Vertrag mit Drittem im Interesse der betroffenen Person
- Notwendig aus wichtigen Gründen des öffentlichen Interesses
- Erforderlich zur Geltendmachung, Ausübung, oder Verteidigung von Rechtsansprüchen
- Erforderlich zum Schutz lebenswichtiger Interesse
- Übermittlung aus einem öffentlichen Register
Datenbearbeitung durch Bundesorgane DSG
DSG enthält in Art. 33 – 42 spezifische Regelungen für Datenbearbeitung durch Bundesorgane
DSGVO macht keine Differenzierung
Bundesbehörden i. des DSG (Art. 5 lit. i DSG)
Legalitätsprinzip: setzt gesetzliche Grundlage voraus (Art. 34 DSG) o Gesetz im formellen Sinn § Besonders schützenswerte Personendaten und Profiling § Falls schwerer Grundrechtseingriff möglich o Gesetz im materiellen Sinn § Bearbeitung für in Gesetz im formellen Sinn enthaltene Aufgabe unentbehrlich § Keine besonderen Risiken für Grundrechte o Ausnahme: Keine gesetzliche Grundlage nötig bei Bewilligung durch Bundesrat, Einwilligung, allgemein zugänglichen Personendaten und bei Rettungsmassnahmen
Bekanntgabe von Personendaten durch Bundesorgane braucht gesetzliche Grundlage
Aufsicht: EDÖB
Stellung und Aufgaben
Zwei zentrale Aufgabe: - Aufsichtsfunktion über Datenbearbeitung durch Bund - Überprüfung von Datenbearbeitung von Privaten (auf Antrag oder von Amtes wegen)
Untersuchung gegen Bundesorgane oder privaten Person (Art. 49 f. DSG) - auf Antrag oder von Amtes wegen - bei genügenden Anzeichen eines Verstosses gegen Datenschutzvorschriften - Verzicht auf Untersuchung möglich, wenn Verstoss von geringfügiger Bedeutung - Mitwirkungspflicht von Bundesorganen und privaten Personen; bei fehlender Mitwirkung kann EDÖB Zugang zu Unterlagen, Räumlichkeiten, Anlagen, Personendaten (etc.) anordnen
Verwaltungsmassnahmen (Art. 51 DSG) - Erlass von Verfügungen: Anpassen, Unterbrechen oder Unterlassen von Datenbearbeitungen; Löschen oder Vernichten von Personendaten - Aufschieben oder Untersagen der Bekanntgabe ins Ausland - Bei Kooperation kann EDÖB sich auf Verwarnung beschränken
Führen des Registers mit Bearbeitungstätigkeiten der Bundesorgane (Art. 56 DSG) Berichterstattung an Bundesversammlung und Bundesrat; Bericht wird veröffentlicht (Art. 57 DSG)
Weitere Aufgaben (Art. 58 DSG) - Information, Schulung und Beratung von Bundesorganen und privaten Personen - Unterstützung kantonaler Organe und Zusammenarbeit mit ausländischen Stellen - Sensibilisierung der Bevölkerung für Datenschutz - Stellungnahme zu Erlassentwürfen und Massnahmen des Bundes - Erfüllen der Aufgaben nach Öffentlichkeitsgesetz (BGÖ)
Aufsicht: Aufsichtsbehörde DSGVO
Organisation, Stellung und Zuständigkeit
Organisation obliegt den MS (vgl. Art. 51–54 DSGVO) - Eine oder mehrere Aufsichtsbehörden pro Mitgliedstaat möglich (Strategische Wahl des Sitzes durch Unternehmen) - Unabhängigkeit zwingend
«One-Stop-Shop-Prinzip» - Grundsatz: Zuständig ist Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung (Art. 56 Abs. 1 DSGVO) - vgl. allerdings EuGH vom 15. Juni 2021 – «Facebook Ireland», C-645/ - Forum Shopping Problematik
Idee: Einheitliche Praxis
Aufgaben und Befugnisse (Art. 57 – 58 DSGVO)
- Kontrolle der Einhaltung der DSGVO
- Behandlung von Beschwerden
- Zusammenarbeit und Koordination mit anderen Aufsichtsbehörden
- Beratung, Sensibilisierung und Aufklärung
- Verhängen von Bussen
- Erlassen von Anordnungen (z. Berichtigung oder Löschung von personenbezogenen Daten)
Zusammenfassung Datenschutzrecht HS21
Kurs: Datenschutzrecht (90WM5-1)
Universität: Universität Zürich
- Entdecke mehr von: