Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
wiki:user:martin_neldner:8._dfn-konferenz_datenschutz [2019/12/05 15:16] – [Abgrenzung zwischen Auftragsverarbeitung, Joint Controllership und Übermittlung an einen Alleinverantwortlichen] Adminwiki:user:martin_neldner:8._dfn-konferenz_datenschutz [2022/11/30 15:42] (aktuell) – [8. DFN Konferenz "Datenschutz"] Admin
Zeile 1: Zeile 1:
 ====== 8. DFN Konferenz "Datenschutz" ====== ====== 8. DFN Konferenz "Datenschutz" ======
 +[[https://www.dfn-cert.de/veranstaltungen/vortrage-vergangener-workshops/DFN-KonferenzDatenschutz2019.html|8. DFN-Konferenz Datenschutz]], 05. und 06. Dezember 2019
 ===== Keynote: Die Daten der anderen - Forschung unter der DSGVO ===== ===== Keynote: Die Daten der anderen - Forschung unter der DSGVO =====
 +
 +(Dr. Stefan Brink)
 +
 ==== Allgemeines ==== ==== Allgemeines ====
 +
   * DSGVO sehr abstrakte, allgemeingehaltene Regelung   * DSGVO sehr abstrakte, allgemeingehaltene Regelung
   * Ausgleich widerstreitender Interessen im Wege der praktischen Konkordanz, auch Menschenwürde, Meinungsfreiheit etc.   * Ausgleich widerstreitender Interessen im Wege der praktischen Konkordanz, auch Menschenwürde, Meinungsfreiheit etc.
Zeile 11: Zeile 15:
   * zur Forschung: Vorwurf "Datenschutz ein Forschungshemmnis"-ist falsch   * zur Forschung: Vorwurf "Datenschutz ein Forschungshemmnis"-ist falsch
   * hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV   * hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV
-  * Was ist Forschung:  +  * Was ist Forschung: 
-    * EuGH hat Forschung bisher Begriff nicht definiert,  +      * EuGH hat Forschung bisher Begriff nicht definiert, 
-    * BVerfG: "geistige Tätigkeit mit dem Ziele in methodischer, systematischer und nachvollziehbarer Weise neue Erkenntnisse zu gewinnen" ... durch öffentliche und(!) private Stelle --> eher zu eng gefasste Definition+      * BVerfG: "geistige Tätigkeit mit dem Ziele in methodischer, systematischer und nachvollziehbarer Weise neue Erkenntnisse zu gewinnen" … durch öffentliche und(!) private Stelle > eher zu eng gefasste Definition
   * Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten   * Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten
  
-Forschungsinteresse vs. Schutz personenbezogener Daten --> Ausgleich im Wege der praktischen Konkordanz+Forschungsinteresse vs. Schutz personenbezogener Daten > Ausgleich im Wege der praktischen Konkordanz
  
-Schutz der pers. Daten +Schutz der pers. Daten Art. 7 GRCh, Art. 8 GRCh
-Art. 7 GRCh, Art. 8 GRCh+
  
 ==== Typische Schritte der Verarbeitung personenbezogener Daten ==== ==== Typische Schritte der Verarbeitung personenbezogener Daten ====
 +
   * Beschaffung der Daten durch Direkterhebung, zweckändernde Verw, ggf. zweckändernde Übermittlung durch Dritte (z.B. aus Registern)   * Beschaffung der Daten durch Direkterhebung, zweckändernde Verw, ggf. zweckändernde Übermittlung durch Dritte (z.B. aus Registern)
   * Vorhalten und Nutzung der Daten   * Vorhalten und Nutzung der Daten
Zeile 31: Zeile 35:
  
 Weiter Forschungsbegriff der DSGVO Weiter Forschungsbegriff der DSGVO
-  * EG 159: Die Verarbeitung pbez Daten zu wissenschaftlichen Forschungszwecken ... + 
-  * EG 26 keine Anwendung auf anonymisierte Daten;  +  * EG 159: Die Verarbeitung pbez Daten zu wissenschaftlichen Forschungszwecken  
-    * möglichst ist zu anonymisieren;  +  * EG 26 keine Anwendung auf anonymisierte Daten; 
-    * Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) --> Zugriff des Datenschutzes bleibt erhalten  +      * möglichst ist zu anonymisieren; 
-    * Selten echte Anonymisierung, weil: +      * Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) > Zugriff des Datenschutzes bleibt erhalten 
-      * Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig)+      * Selten echte Anonymisierung, weil: 
 +        * Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig)
   * Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich   * Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich
   * Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; Personenbezug im Sinne der DSGVO bleibt damit erhalten   * Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; Personenbezug im Sinne der DSGVO bleibt damit erhalten
  
 Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund
 +
   * Einwilligung setzt voraus   * Einwilligung setzt voraus
-    * ausreichende Information zu Mittel und Zweck (Problem beim Zweck: Der Forscher forscht ja gerade erst an diesen Informationen) +      * ausreichende Information zu Mittel und Zweck (Problem beim Zweck: Der Forscher forscht ja gerade erst an diesen Informationen) 
-    * eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen +      * eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen 
-    * Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich) +      * Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich) 
-    * Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren +      * Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren 
-    * ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten+      * ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten
   * Probleme der Einwilligung   * Probleme der Einwilligung
-    * Einwilligung ist widerruflich (Art. 7 III DSGVO) Kann nachträgliche Überprüfbarkeit der Forschungsergebnisse beeinträchtigen (aber ggf. Art. 17 Abs. 3 lit. d DSGVO) +      * Einwilligung ist widerruflich (Art. 7 III DSGVO) Kann nachträgliche Überprüfbarkeit der Forschungsergebnisse beeinträchtigen (aber ggf. Art. 17 Abs. 3 lit. d DSGVO) 
-    * UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen +      * UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen 
-    * Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement +      * Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement 
-    * Einwilligung ist jeweils von allen Betroffenen einzuholen +      * Einwilligung ist jeweils von allen Betroffenen einzuholen 
-    * Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen --> seit DSGVO definitiv ausgeschlossen; Einwilligung im Arbeitsverhältnis im Regelfall unwirksam +      * Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen > seit DSGVO definitiv ausgeschlossen; Einwilligung im Arbeitsverhältnis im Regelfall unwirksam 
-    * Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden) +      * Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden) 
-    * Schlussfolgerung: Einwilligung für Forschung problematisch+      * Schlussfolgerung: Einwilligung für Forschung problematisch
  
   * DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit   * DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit
-    * Einschränkung der Zweckbindung Art. 5 Abs. 1 lit. b DSGVO +      * Einschränkung der Zweckbindung Art. 5 Abs. 1 lit. b DSGVO 
-    * Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO +      * Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO 
-    * Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j +      * Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j 
-    * Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b +      * Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b 
-    * Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d  +      * Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d 
-    * Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ??? +      * Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ??? 
-    * nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe ...+      * nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe 
  
-  * generelle Privilegierung Art. 89 Abs. 1 unterliegt aber  +  * generelle Privilegierung Art. 89 Abs. 1 unterliegt aber 
-    * geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll??+      * geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll??
-      * Sicherstellung von TOM,  +        * Sicherstellung von TOM, 
-      * Grundsatz der Datenminimierung +        * Grundsatz der Datenminimierung 
-      * Pseudonymisierung+        * Pseudonymisierung
  
 Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz
  
-Fragen+==== Fragen ====
-zweckändernde Nutzung von Studierendendaten? Art. 6 Abs. 4 "schwer verständliche" Regelung: Jede Unklarheit geht zu Lasten der Betroffenen. Grundsätzlich großer Spielraum für eine solche Nutzung aber Möglichkeit zur Abwehr durch die einzelne Betroffene Person. Aufsichtsbehörden konzentrieren sich auf die klaren Fälle, Eingreifen in Grauzonen schwierig bis unmöglich+
  
-Alternativen sollten für Freiwilligkeit aufgezeigt werden aber müssen nicht ausnahmslos sein; "Friss oder StirbProblem der PrivatautonomieSpaltung der DPA, Süddeutschland akzeptiert eher Entscheidung der Betroffenen, Norddeutschland eher nicht+  * zweckändernde Nutzung von Studierendendaten? Art. 6 Abs. 4 "schwer verständlicheRegelungJede Unklarheit geht zu Lasten der Betroffenen. Grundsätzlich großer Spielraum für eine solche Nutzung aber Möglichkeit zur Abwehr durch die einzelne Betroffene Person. Aufsichtsbehörden konzentrieren sich auf die klaren FälleEingreifen in Grauzonen schwierig bis unmöglich
  
-PseudonymisierungWer bekommt die Zuordnungstabelle? Berechtigungskonzept - Wer braucht die Tabelle berechtigterweise? (digitale Tresore??)+  * Alternativen sollten für Freiwilligkeit aufgezeigt werden aber müssen nicht ausnahmslos sein; "Friss oder Stirb" Problem der PrivatautonomieSpaltung der DPA, Süddeutschland akzeptiert eher Entscheidung der Betroffenen, Norddeutschland eher nicht
  
-Wer ist der VerantwortlicheArt. 4 Nr. 7 wer Mittel und Zwecke festlegt, idR der Projektleiter(??), gemeinsame Wahrnehmung der Verantwortung (Art. 26) möglich; Problem: "Art. 26 ist keine Hilfe sondern eine zusätzliche Last"; Verständigung über datenschutzrechtliche Verantwortlichkeit möglich und sinnvoll+  * Pseudonymisierung: Wer bekommt die Zuordnungstabelle? Berechtigungskonzept - Wer braucht die Tabelle berechtigterweise? (digitale Tresore??)
  
-Dokumentation bei Forschungsprojekten nötig und sinnvoll (auch VVT)+  * Wer ist der Verantwortliche? Art. 4 Nr. 7 wer Mittel und Zwecke festlegt, idR der Projektleiter(??), gemeinsame Wahrnehmung der Verantwortung (Art. 26) möglich; Problem: "Art. 26 ist keine Hilfe sondern eine zusätzliche Last"; Verständigung über datenschutzrechtliche Verantwortlichkeit möglich und sinnvoll
  
-Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness und Transparenz sind besonders zu beachten+  * Dokumentation bei Forschungsprojekten nötig und sinnvoll (auch VVT)
  
-Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein.+  * Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness und Transparenz sind besonders zu beachten 
 + 
 +  * Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein.
  
 ===== Abgrenzung zwischen Auftragsverarbeitung, Joint Controllership und Übermittlung an einen Alleinverantwortlichen ===== ===== Abgrenzung zwischen Auftragsverarbeitung, Joint Controllership und Übermittlung an einen Alleinverantwortlichen =====
 +
 +(Dr. Jens Eckhardt)
  
 ==== 1. Unterschiede und Differenzierung ==== ==== 1. Unterschiede und Differenzierung ====
 +
 +=== Rollen der DSGVO ===
 +
 +  * Verantwortlicher (Art. 4 Nr. 7 DSGVO)
 +      * getrennte Verantwortlichkeit ("allein")
 +      * gemeinsame Verantwortlichkeit (Joint Controllership) ("gemeinsam")
 +  * Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
 +  * Betroffene Person (Art. 4 Nr. 1 DSGVO)
 +
 +=== Joint Controllership ===
 +
 +  * konstitutiv: gemeinsame Entscheidung über Zweck und Mittel
 +  * nicht erforderlich: gleichmäßige Verteilung
 +  * Rechtsgrundlage für die Verarbeitung
 +      * nicht(!): Art. 26 DSGVO (aber dennoch umstritten)
 +      * Rechtsgrundlagen wie bei jeder anderen Offenlegung
 +        * "Herausforderung" Art. 9 / § 203 StGB
 +  * Rechtsfolgen
 +      * Ausgestaltung nach Maßgabe des Art. 26 DSGVO
 +        * Vereinbarung über die Joint Controllership
 +        * Mitteilung der wesentlichen Inhalte an betroffene Personen
 +      * grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis (aber im Hinblick auf Fashion-ID nur bedingt??)
 +      * zivilrechtliche Auswirkungen: GbR? (gemeinsamer Zweck gem. § 703 BGB? - nicht ohne weiteres aber möglich!!!)
 +
 +=== Verantwortlicher bei Auftragsverbeitung ===
 +
 +  * konstitutiv: Vereinbarung nach Maßgabe des Art. 28 DSGVO
 +      * Auftraggeber: Festlegung von Zweck und Mittel
 +      * Vereinbarung nach Maßgabe des Art. 28 DSGVO
 +      * Weisungsgebundenheit des Auftragnehmers
 +        * DSK (Kurzpapier 13): bzgl. Zweck und Mittel, nicht unbedingt bzgl technisch-organisatorischer Fragen
 +      * "Exzess" des Auftragnehmers: Verantwortlichkeit des AN (Art. 28 Abs. 10)
 +  * Rechtsgrundlage für die Offenlegung personenbez. Daten
 +      * Artt. 28, 29 (umstritten
 +      * Argumentationsansatz (ua): keine Offenlegung wegen Weisungsgebundenheit
 +      * andernfalls: "Herausforderung" durch art. 9 DSGVO
 +  * Rechtsfolgen
 +      * grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis mit Exkulpationsmöglichkeit für Auftragsverarbeiter (!!)
 +
 +=== Maßstab der Einordnung ===
 +
 +  * Art. 4 Nr. 7 DSGVO, EG ??
 +  * EuGH-Rechtsprechung: Konkretisierung (anhand DS-RL 95/46/EG): Facebook-Fanpage, Zeugen Jehovas, Fashion ID
 +  * Konkretisierung in Fashion ID
 +      * Entscheidung in Bezug auf Mittel
 +        * Verursachungsbeitrag genügt aber durch Vorhersehbarkeit keine dt. Kausalität sondern eher Adäquanztheorie
 +        * Entscheidung über Zweck
 +          * Eigeninteresse an Verarbeitung über reine Vergütung hinaus –> Abgrenzung zur Auftragsverarbeitung
 +        * Anknüpfungspunkt für diese Bewertung: Verarbeitungsvorgang
 +          * Unterscheidung nach Verarbeitungsschritten und -phasen (Erheben, Übermitteln, Nutzen, Löschen)
 +            * Anerkennung von vor- und nachgelagerten Verarbeitungen ohne Joint Controlling
 +          * zB Erhebung und "Übermittlung" vs. Verarbeitung durch Facebook
 +        * Keine Veraussetzung: "Zugang" aller zu den personenbezogenen DAten
 +        * nicht erforderlich: gleiche Entscheidungsmacht/Gleichrangigkeit
 +        * Art. 29-Gruppe WP 169 vom 16.2.2010: insoweit überholt
  
  
  
 ==== 2. Anforderungen ==== ==== 2. Anforderungen ====
 +
 +Auftragsverarbeitung
 +  * Voraussetzung: Weisungsgebundenheit
 +  * Voraussetzung: Vereinbarung
 +  * Auswahl an Themen
 +    * Beurteilungen der Anforderungen nach Art. 32 DSGVO
 +    * Kontrollrecht vor Ort
 +    * Einbindung von IT-Dienstleistern = weitere Auftragsverarbeitung mit Genehmigungspflicht
 +    * Vorgabe Vertragsinhalt aus AG-AN-Verhältnis für AN-UAN-Verhältnis
 +    * Haftungs- und Freistellungsregelungen
 +    * Konsequenzen einer nicht ausreichenden Gestaltung
 +  * Unterschiedliche Auslegung durch Aufsichtsbehörden (Stichwort: Steuerberater)
 +  * Sonderthema: Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO
 +  * Muster des LDA Bayern
 +
 +Joint Controllership
 +  * Vereinbarung nach Maßgabe des Art. 26 DSGVO
 +     * Beschreibung des Ist-Zustands
 +     * Keine Möglichkeit zur Modifikation oder Abbedingung des gesetzlichen Pflichten
 +     * Themen
 +       * Rechte der betroffenen Person gegen jeden Verantwortlichen (Art. 26 Abs. 3)
 +         * Bedeutung im Lichte der EuGH-Entscheidung "Fashion ID"
 +         * Zurverfügungstellen des wesentlichen Inhalts
 +         * Wie? Was ist das?
 +       * Unterschiedliche Auslegung durch Aufsichtsbehörden
 +       * Checkliste des Bitkom für eine Vereinbarung zur Controllership
 +     * Muster des LfDI BW einer Vereinbarung und der Information der betroffenen Person
  
 ==== 3. (gemeinsame) Haftung (und Bestrafung) ==== ==== 3. (gemeinsame) Haftung (und Bestrafung) ====
 +
 +| |Haftung Art. 82|Sanktion Art 83|
 +|Verantwortlicher|vollumfänglich für sein Tun/Unterlassen, Art. 82 Abs. 1|vollumfänglich.|
 +|Alleinverantwortlicher an Alleinverantwortlicher|jeder vollumfänglich für sein Tun/Unterlassen|jeder vollumfänglich…|
 +|JC|gesamtschuldnerische Haftung mit Exkulpationsmgl. und Innenregress; Art. 82 Abs. 4, 3, 5|jeder als Verantwortlicher soweit er mitscheidet|
 +|AV|gesamtschuldnerische Haftung mit Exkulpationsmgl. und Innenregress; Art. 82 Abs. 4, 3, 5|als Verantwortlicher oder als Auftragsverarbeiter|
 +
 +  * Behördliches Vorgehen: Auswahlermessen bei Adressaten und Maßnahmen bei JC aber Verhältnismäßigkei und Effektivität, Druck mittelbar ausüben ist zulässig. BVerfG, Urt. v. 11.9.2019 ULD ./. WAK-Facebook-Fanpage, Pressemitteilung des ULD vom 5.12.2019
 +
 +\\
 +
  

Zuletzt angesehen:

Drucken/exportieren
QR-Code
QR-Code 8. DFN Konferenz "Datenschutz" (erstellt für aktuelle Seite)