1 / 151

Recht und Organisation des Datenschutzes

Recht und Organisation des Datenschutzes. Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: wkruth@t-online.de Danke. Modulstruktur. 1 Zielsetzungen des Datenschutzes, Begriffsbestimmungen 2 Rechtsvorschriften des Datenschutzes

erma
Download Presentation

Recht und Organisation des Datenschutzes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Recht und Organisationdes Datenschutzes W. Kruth / Recht und Organisation des Datenschutzes

  2. Verbesserungsvorschläge werden gerne angenommen: Mail-Adresse: wkruth@t-online.de Danke. W. Kruth / Recht und Organisation des Datenschutzes

  3. Modulstruktur • 1 Zielsetzungen des Datenschutzes, Begriffsbestimmungen • 2 Rechtsvorschriften des Datenschutzes • 3 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten • 4 Zulässigkeit der Datenerhebung, Verarbeitung und -nutzung W. Kruth / Recht und Organisation des Datenschutzes

  4. Modulstruktur • 5 Auftragsdatenverarbeitung • 6 Rechte des Betroffenen • 7 Besonderer Datenschutz • 8 Bereichsspezifischer Datenschutz • 9 Datenschutz beim Einsatz neuer Technologien • 10 Interner Datenschutzbeauftragter W. Kruth / Recht und Organisation des Datenschutzes

  5. Recht und Organisation des Datenschutzes Modul 1 Zielsetzungen des Datenschutzes Begriffsbestimmungen W. Kruth / Recht und Organisation des Datenschutzes

  6. Zielsetzungen des Datenschutzes • Zweck und Ziel des Datenschutzes ist es, die Persönlichkeitsrechte des Einzelnen vor Beeinträchtigungen durch öffentliche und nicht-öffentliche Stellen zu schützen. • Jeder Mensch soll über Angaben, die seine Identität und sein persönliches Umfeld einschliesslich seiner Arbeitsverhältnisse beschreiben, frei bestimmen können, soweit er nicht aufgrund einer Rechtsvorschrift öffentlichen oder nicht-öffentlichen Stellen gegenüber zur Bekanntgabe verpflichtet werden kann bzw. verpflichtet ist (Informationelles Selbstbestimmungsrecht). W. Kruth / Recht und Organisation des Datenschutzes

  7. Zielsetzungen des Datenschutzes • Die Landesverfassung NRW hat den personenbezogenen Datenschutz in Art. 4 als ein Grundrecht auf Datenschutz definiert: „Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur im überwiegendem Interesse der Allgemeinheit aufgrund eines Gesetzes zulässig.“ W. Kruth / Recht und Organisation des Datenschutzes

  8. Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (1) • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. • Die Einzelangaben müssen sich entweder direkt auf eine bestimmte oder bestimmbare Person beziehen oder geeignet sein, einen Bezug zu ihr herzustellen. • Persönliche Verhältnisse sind Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung. Auch Werturteile können Angaben über persönliche Verhältnisse sein. • Sachliche Verhältnisse werden beschrieben durch Angaben über einen auf den Betroffenen beziehbaren Sachverhalt. W. Kruth / Recht und Organisation des Datenschutzes

  9. Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (2) • Personenbezogene Daten weisen in Abhängigkeit vom Inhalt und den Möglichkeiten des Veränderns ibs. bei automatisierter Datenverarbeitung eine unterschiedliche Empfindlichkeit auf, die für den Schutzwert der Daten im Hinblick auf die Gefahr einer missbräuchlichen Nutzung von Bedeutung auf. • Die Empfindlichkeit der Daten stellt zunächst auf das einzelne Datum ab, da innerhalb eines Geschäftsfalles Daten mit unterschiedlicher Sensivität gespeichert und verarbeitet werden können. W. Kruth / Recht und Organisation des Datenschutzes

  10. Begriffsbestimmungen des Datenschutzes Personenbezogene Daten (3) • Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten unterliegen besonderen Beschränkungen bei der Erhebung, Verarbeitung oder Nutzung. W. Kruth / Recht und Organisation des Datenschutzes

  11. Begriffsbestimmungen des Datenschutzes Betroffener • Der Betroffene ist derjenige, dessen Schutz das Gesetz zum Ziel hat und dem Rechte aus dem Gesetz - ggfls. unabdingbar - eingeräumt sind. • Die verantwortliche Stelle muss in verschiedenen Disziplinen der Datenverarbeitung die Rechte des Betroffenen in eine Güterabwägung zu den berechtigten Eigeninteressen oder den Interessen Dritter stellen. W. Kruth / Recht und Organisation des Datenschutzes

  12. Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (1) • Verantwortliche Stelle für den Datenschutz ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (erweiterte Definition der ehem. „speichernden Stelle“). • Verantwortliche Stelle im i.S. der öffentlichen Behördenorganisation ist zunächst die Organisationseinheit in einer bestimmten Behörde, die die Daten für ihre Zwecke erhebt, speichert, verarbeitet, übermittelt. W. Kruth / Recht und Organisation des Datenschutzes

  13. Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (2) • Im weiteren Sinne ist verantwortliche Stelle auch die Behörde oder die juristische Person, der die bezogene Stelle angehört, einschließlich aller Untergliederungen. • Der Datenfluss innerhalb einer Behörde zwischen Organisationseinheiten ist keine Übermittlung i.S. des Gesetzes. Dies gilt auch für die Zusammenarbeit von Behörden zur Bearbeitung eines Geschäftsfalles im sog. Fachstrang zwischen Ministerien und nachgeordneten Stellen. W. Kruth / Recht und Organisation des Datenschutzes

  14. Begriffsbestimmungen des Datenschutzes Verantwortliche Stelle (3) • Die Personalvertretung ist Bestandteil der verantwortlichen Stelle i.S. der Behörde oder juristischen Person. • Die verantwortliche Stelle trägt die volle und uneingeschränkte Verantwortlichkeit für die Zulässigkeit und Rechtmäßigkeit der von ihr vorgenommen oder in ihrem Auftrag durchgeführten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen in automatisierten und nicht-automatisierten Verfahren. W. Kruth / Recht und Organisation des Datenschutzes

  15. Begriffsbestimmungen des Datenschutzes Empfänger • Empfänger ist jede Person oder Stelle, die Daten erhält. W. Kruth / Recht und Organisation des Datenschutzes

  16. Begriffsbestimmungen des Datenschutzes Dritter • Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der EU personenbezogene Daten im Auftrag erheben, verarbeiten oder speichern. W. Kruth / Recht und Organisation des Datenschutzes

  17. Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (1) • Automatisierte Verarbeitung ist dann gegeben, wenn die Erhebung, Verarbeitung oder Nutzung von Daten unter Einsatz von Informationstechnik (eines gesteuerten technischen Verfahrens) erfolgt. • Die automatisierte Verarbeitung muss für jede Phase der technikunterstützten Informationsverarbeitung gegenüber nicht-automatisierter Datenverarbeitung im Hinblick auf den Dateibegriff und die Definition der Sicherheitsziele abgegrenzt werden. W. Kruth / Recht und Organisation des Datenschutzes

  18. Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (2) • Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. • Diese Regelung gilt nicht bei Vertragsverhältnissen oder ähnlichen Rechtsgeschäften oder wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen garantiert wird. W. Kruth / Recht und Organisation des Datenschutzes

  19. Begriffsbestimmungen des Datenschutzes Automatisierte Verarbeitung (3) • Wird von der betroffenen Person ein besonderes schutzwürdiges Interesse schriftlich geltend gemacht, darf die Verarbeitung ihrer Daten nur erfolgen, wenn das Interesse der datenverarbeitenden Stelle überwiegt. Die betroffene Person ist über das Ergebnis zu informieren. W. Kruth / Recht und Organisation des Datenschutzes

  20. Begriffsbestimmungen des Datenschutzes Akte • Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist. W. Kruth / Recht und Organisation des Datenschutzes

  21. Begriffsbestimmungen des Datenschutzes Datenvermeidung und Datensparsamkeit • Gestaltung und Auswahl von Informationstechnik haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. • Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. W. Kruth / Recht und Organisation des Datenschutzes

  22. Begriffsbestimmungen des Datenschutzes Zweckbindungsprinzip • Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies für die Erfüllung der definierten Aufgaben unabdingbar ist. • Eine Verarbeitung oder Nutzung von Daten, die im Rahmen der automatisierten Verarbeitung in Kontrolldateien gespeichert werden oder im Rahmen von Maßnahmen zur Verbesserung der Organisation oder zur Kontrolle des Datenschutzes anfallen für andere Zwecke ist unzulässig. W. Kruth / Recht und Organisation des Datenschutzes

  23. Begriffsbestimmungen des Datenschutzes Verbunddateien (1) • Die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. • Innerhalb einer öffentlichen Stelle bedarf eine derartige Einrichtung der Zustellung des Dienststellenleiters. W. Kruth / Recht und Organisation des Datenschutzes

  24. Begriffsbestimmungen des Datenschutzes Verbunddateien (2) • Erfolgt die Einrichtung für mehrere Stellen, müssen diese die Datenart, die Aufgaben der beteiligten Stellen, Zweck und Umfang der jeweiligen Befugnis und die Gesamtverantwortlichkeit bestimmen. • Der Landesbeauftragte für den Datenschutz ist vorab zu informieren. W. Kruth / Recht und Organisation des Datenschutzes

  25. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Erheben • Erheben ist das Beschaffen von Daten über den Betroffenen. • Die Art der Erhebung ist unerheblich. Sie muss jedoch zielorientiert erfolgen. Der Betroffene ist über den Umfang der Erhebung und ggfls. die weitere Speicherung usw. zu informieren, soweit dies durch das Datenschutzrecht bestimmt ist. • Ein Erheben ist dann nicht gegeben, wenn die Daten aus vorliegenden Unterlagen zusammengestellt werden. W. Kruth / Recht und Organisation des Datenschutzes

  26. Begriffsbestimmungen des Datenschutzes Verarbeitung und Nutzung • Verarbeiten ist ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. • Nutzen ist ´jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. W. Kruth / Recht und Organisation des Datenschutzes

  27. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Speichern • Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke der weiteren Verarbeitung oder Nutzung. • Datenträger ist jedes Medium, das zur Aufnahme personenbezogener Daten geeignet ist. • Erfassen ist als Dateneingabe unter Vornahme von Plausibilitätsprüfung zur Gewährleistung der Integrität und Konsistenz der Daten zu verstehen. W. Kruth / Recht und Organisation des Datenschutzes

  28. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Verändern • Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten. • Verändern umfasst jegliche Transformation und Verknüpfung von Daten . • Soweit durch das Verändern von Daten diese ihren bisherigen Kontext verlieren oder ein neues Informationsbild mit geänderter Qualität geschaffen wird, muss das Ergebnis im Hinblick auf die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung ggfls. neu bewertet werden. W. Kruth / Recht und Organisation des Datenschutzes

  29. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Übermitteln • Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, dass • die Daten an den Dritten weitergegeben werden oder • der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. • Übermitteln von Daten liegt auch dann vor, wenn nicht einzelne Daten, sondern Datenbestände weitergegeben werden. W. Kruth / Recht und Organisation des Datenschutzes

  30. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Sperren • Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. W. Kruth / Recht und Organisation des Datenschutzes

  31. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Löschen • Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. • Die Wirksamkeit des Löschens wird durch die anwendbaren Möglichkeiten der Wiedergewinnung mit allgemein oder speziell verfügbaren Methoden und Techniken bestimmt. • Sind die zu löschenden Daten auch in Bestandssicherungen enthalten, gilt das Löschen als erfüllt, wenn die Sicherungsbestände überschrieben oder in anderer Weise dem Zugriff entzogen werden. W. Kruth / Recht und Organisation des Datenschutzes

  32. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Anonymisieren • Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig grossen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. • Eine Reanonymisierung muss ausgeschlossen werden können. Maßgebend ist dabei, ob die Reanonymisierung durch die verantwortliche Stelle möglich ist. W. Kruth / Recht und Organisation des Datenschutzes

  33. Begriffsbestimmungen des Datenschutzes Funktionsbegriff Pseudonymisieren • Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. • Das Pseudonymisieren von Daten für statistische Zwecke ist nicht zulässig. Zielaspekt ist die Verwendung von verfremdeten Daten für Testzwecke und Präsentationen, die ohne Bezug zur Realwelt nicht operabel sind. W. Kruth / Recht und Organisation des Datenschutzes

  34. Recht und Organisation des Datenschutzes Modul 2 Rechtsvorschriften des Datenschutzes W. Kruth / Recht und Organisation des Datenschutzes

  35. Rechtsvorschriften des Datenschutzes Anwendungsbereich (1) • Das Landesdatenschutzgesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen. W. Kruth / Recht und Organisation des Datenschutzes

  36. Rechtsvorschriften des Datenschutzes Anwendungsbereich (2) • Für wirtschaftliche Unternehmen der Gemeinden und Gemeindeverbände ohne eigene Rechtspersönlichkeit, für öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, sowie für die der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, finden die Vorschriften über die Rechtsgrundlagen der Datenverarbeitung Anwendung. W. Kruth / Recht und Organisation des Datenschutzes

  37. Rechtsvorschriften des Datenschutzes Anwendungsbereich (3) • Für den Landtag, die Gerichte und die Behörden der Staatsanwaltschaft gilt, soweit diese Verwaltungsaufgaben wahrnehmen, das LDSG eingeschränkt (Rechtsgrundlagen der Datenverarbeitung). W. Kruth / Recht und Organisation des Datenschutzes

  38. Rechtsvorschriften des Datenschutzes Lex specialis vor lex generalis • Soweit besondere Rechtsvorschriften des Bundes oder Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, haben sie als lex specialis Anwendungsvorrang. BDSG und LDSG haben den Charakter eines Auffanggesetzes. • Bei konkurrierenden bereichsspezifischen Rechtsvorschriften gilt der Grundsatz „Bundesrecht bricht Landesrecht“. W. Kruth / Recht und Organisation des Datenschutzes

  39. Rechtsvorschriften des Datenschutzes LDSG im Verhältnis zum Verwaltungsverfahrensgesetz • Für das Verhältnis zum LDSG enthält das Verwaltungsverfahrensrecht Regelungen, dass die Normadressaten des LDSG - auch im Verwaltungsverfahren - den vorrangigen Bestimmungen des LDSG unterworfen sind, soweit sie bei der Sachverhaltsermittlung personenbezogene Daten verarbeiten oder nutzen. W. Kruth / Recht und Organisation des Datenschutzes

  40. Rechtsvorschriften des Datenschutzes Datenübermittlung im grenzüberschreitenden Datenverkehr • Für die Datenübermittlung im grenzüberschreitenden Datenverkehr finden die Rechtsvorschriften der EU Anwendung. Grundsätzlich gilt für alle Mitglieder der EU, die durch innerstaatliches Recht die Grundsätze und Leitlinien der EU, ibs. die Konvention 108 für den personenbezogenen Datenschutz ratifiziert haben oder gesetzliche Bestimmungen erlassen haben, die im Einklang mit dieser Konvention stehen, der Grundsatz, dass dem grenzüberschreitenden Datenverkehr keine Beschränkungen auferlegt werden sollten. W. Kruth / Recht und Organisation des Datenschutzes

  41. Recht und Organisation des Datenschutzes Modul 3 Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten W. Kruth / Recht und Organisation des Datenschutzes

  42. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (1) • Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. • Personenbezogene Daten sind beim Betroffenen mit seiner Kenntnis zu erheben, er ist über den Verwendungszweck aufzuklären. • Erforderlich ist die Erhebung, wenn ihre Kenntnis zur Erreichung des angestrebten Zweckes objektiv geeignet und im Verhältnis zum angestrebten Zweck auch notwendig ist. W. Kruth / Recht und Organisation des Datenschutzes

  43. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erheben (2) • Die Verpflichtung zur Datenerhebung beim Betroffenen kann jedoch nicht lückenlos durchgeführt werden. Die Beschaffung von anderen Stellen ohne Kenntnis ist unter bestimmten Voraussetzungen zulässig, nämlich dann, wenn die Daten bereits bei anderen Stellen innerhalb der gleichen Behörde vorliegen. Dabei ist auch das Zweckbindungsprinzip zu beachten. W. Kruth / Recht und Organisation des Datenschutzes

  44. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (1) • Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zu rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. • Die Weitverarbeitung von Daten zu anderen Zwecken ist u.a. nur zulässig, wenn • dies durch Rechtsvorschriften bestimmt ist, • der Betroffene eingewilligt hat, • sie aus allgemein zugänglichen Quellen entnommen werden können. W. Kruth / Recht und Organisation des Datenschutzes

  45. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Zweckbindung bei Speicherung, Veränderung, Nutzung (2) • Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. W. Kruth / Recht und Organisation des Datenschutzes

  46. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (1) • Die Übermittlung an öffentliche Stellen ist zulässig, wenn dies zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist. • Die Übermittlung ist auch dann zulässig, wenn eine Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf. W. Kruth / Recht und Organisation des Datenschutzes

  47. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (2) • Können die zu übermittelnden Daten nicht von anderen Informationen, mit denen sie verbunden sind, ohne vertretbaren Aufwand getrennt werden, so ist die Übermittlung auch dieser Daten zulässig, soweit berechtigte Belange des Betroffenen nicht entgegenstehen; eine Nutzung dieser Daten durch den Empfänger ist nicht zulässig. W. Kruth / Recht und Organisation des Datenschutzes

  48. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Datenübermittlung im öffentlichen Bereich (3) • Die Verantwortung für die Übermittlung trägt die übermittelnde Stelle. Sie prüft das Übermittlungsersuchen des Empfängers. • Erfolgt die Übermittlung in automatisierten Abrufverfahren, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger. • Für die Weitverarbeitung der Daten beim Empfänger gilt das Zweckbindungsprinzip. W. Kruth / Recht und Organisation des Datenschutzes

  49. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmässige Datenübermittlung (1) • Die Einrichtung automatisierter Abrufverfahren ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist. • Die am Abrufverfahren beteiligten Stellen haben alle erforderlichen Maßnahmen für die Gewährleistung der IT-Sicherheitsziele im Abrufverfahren zu treffen. • Automatisierte Abrufverfahren für Stellen ausserhalb des öffentlichen Bereichs sind nicht zulässig. W. Kruth / Recht und Organisation des Datenschutzes

  50. Rechtsgrundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Automatisierte Abrufverfahren und regelmäßige Datenübermittlung (2) • Den Verfahren zur automatisierten Direktabfrage personenbezogener Daten kommt besondere Bedeutung zu, weil die abrufende Stelle je nach Einrichtung eines solchen Anschlusses über den gesamten Umfang oder wesentliche Teile des Bestandes verfügen kann. • Den automatisierten Abrufverfahren sind Verfahren zur regelmäßigen Datenübermittlung gleichgestellt. W. Kruth / Recht und Organisation des Datenschutzes

More Related