4e BDSG a.F. Kommentar: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen

4e BDSG a.F. Kommentar (Quelltext anzeigen)

Version vom 27. Mai 2018, 19:02 Uhr

83 Bytes hinzugefügt ,  27. Mai 2018
K
Teclador verschob die Seite 4e BDSG Kommentar nach 4e BDSG a.F. Kommentar: Anpassung alte Fassung
(Die Seite wurde neu angelegt: „{{komm_header|P=4e}} {{komm_abstext|P=4e|T= Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: # Name oder F…“)
 
K (Teclador verschob die Seite 4e BDSG Kommentar nach 4e BDSG a.F. Kommentar: Anpassung alte Fassung)
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{komm_header|P=4e}}
{{DISPLAYTITLE:BDSG a.F. Kommentare und Erläuterungen}}{{komm_header|P=4e}}
{{komm_abstext|P=4e|T=
{{komm_abstext|P=4e|T=
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
Zeile 30: Zeile 30:
# Zweckbestimmungen der [[erheben|Datenerhebung]], -[[verarbeiten|verarbeitung]] oder -[[nutzen|nutzung]] gem. Nr.&nbsp;4 beinhalten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen ({{bdsgl|28|1|2}}). Die regelmäßig wesentlichen Auswirkungen des Verarbeitungszwecks und die daran angepasste Verwendung der Daten durch das [[automatisiertes Verfahren|automatisierte Verfahren]] bedingt eine konkrete Nennung des Zwecks. Bei der Angabe kann also nicht auf eine allgemeine Form, einen Geschäftszweck oder Unternehmensgegenstand (laut Satzung, Gesellschaftsvertrag u.ä.) abgestellt werden. Vielmehr ist nach den {{bdsg|28}} bis {{bdsgl|30}} die Zweckbestimmung der eigentlichen Datenverarbeitung zu benennen (vgl. auch {{bdsgl|4|3|1}}).<br/><br/>
# Zweckbestimmungen der [[erheben|Datenerhebung]], -[[verarbeiten|verarbeitung]] oder -[[nutzen|nutzung]] gem. Nr.&nbsp;4 beinhalten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen ({{bdsgl|28|1|2}}). Die regelmäßig wesentlichen Auswirkungen des Verarbeitungszwecks und die daran angepasste Verwendung der Daten durch das [[automatisiertes Verfahren|automatisierte Verfahren]] bedingt eine konkrete Nennung des Zwecks. Bei der Angabe kann also nicht auf eine allgemeine Form, einen Geschäftszweck oder Unternehmensgegenstand (laut Satzung, Gesellschaftsvertrag u.ä.) abgestellt werden. Vielmehr ist nach den {{bdsg|28}} bis {{bdsgl|30}} die Zweckbestimmung der eigentlichen Datenverarbeitung zu benennen (vgl. auch {{bdsgl|4|3|1}}).<br/><br/>
# Die Angabe der Personengruppen und der diesbezüglichen Daten oder Datenkategorien gem. Nr.&nbsp;5 müssen in Bezug auf die Rechtmäßigkeit des Verfahrens aussagekräftig sein. Die Kategorisierung der Personengruppen in der allgemeinen Form „Vertragspartner“ oder „Kunden“ genügt regelmäßig nicht, denn je nach Zweckbestimmung der Datenverarbeitung richtet sich auch die Bestimmung der betroffenen Personengruppen. Werden beispielsweise in einem automatisierten Verfahren zur Bonitätsbewertung als Personengruppe „Kunden“ angegeben, fielen unter diese Gruppe z.B. auch Sparbuchinhaber - betroffene Kunden sind jedoch Darlehensnehmer. Hingegen genügt die Nennung von „Mitarbeitern“ und „Lieferanten“ für das Verfahren der [[Videoüberwachung]] im Anlieferungsbereich. In diesem Fall müssen nicht einzelne Lieferanten(gruppen) genannt werden; eine Unterscheidung von Mitarbeitern durch Personengruppen wie „Lagermitarbeiter“ und „Verwaltungsmitarbeiter“ kann erfolgen, sollte aber auf ihre Zweckmäßigkeit geprüft werden.<br/>Es ist also die vom Verfahren tatsächlich betroffene Personengruppe anzugeben, welche aus der Zweckbestimmung ersichtlich wird. Betrifft die Verarbeitung mehrere Personengruppen, ist die Angabe aller erforderlich.<br/><br/>Daten oder Datenkategorien umfasst die Beschreibung der verwendeten personenbezogenen Daten - die Art der Daten. Insbesondere ist hier auf die hinreichende Nennung besonderer personenbezogener Daten ({{bdsgl|3|9}}) zu achten, da deren Verarbeitung regelmäßig einer [[Einwilligung]] bedarf und diese sich auf die meldepflichtigen Angaben beziehen muss.<br/>Bei mehreren Personengruppen ist der Bezug zu den verwendeten Daten oder Datenkategorien zu kennzeichnen.<br/><br/>
# Die Angabe der Personengruppen und der diesbezüglichen Daten oder Datenkategorien gem. Nr.&nbsp;5 müssen in Bezug auf die Rechtmäßigkeit des Verfahrens aussagekräftig sein. Die Kategorisierung der Personengruppen in der allgemeinen Form „Vertragspartner“ oder „Kunden“ genügt regelmäßig nicht, denn je nach Zweckbestimmung der Datenverarbeitung richtet sich auch die Bestimmung der betroffenen Personengruppen. Werden beispielsweise in einem automatisierten Verfahren zur Bonitätsbewertung als Personengruppe „Kunden“ angegeben, fielen unter diese Gruppe z.B. auch Sparbuchinhaber - betroffene Kunden sind jedoch Darlehensnehmer. Hingegen genügt die Nennung von „Mitarbeitern“ und „Lieferanten“ für das Verfahren der [[Videoüberwachung]] im Anlieferungsbereich. In diesem Fall müssen nicht einzelne Lieferanten(gruppen) genannt werden; eine Unterscheidung von Mitarbeitern durch Personengruppen wie „Lagermitarbeiter“ und „Verwaltungsmitarbeiter“ kann erfolgen, sollte aber auf ihre Zweckmäßigkeit geprüft werden.<br/>Es ist also die vom Verfahren tatsächlich betroffene Personengruppe anzugeben, welche aus der Zweckbestimmung ersichtlich wird. Betrifft die Verarbeitung mehrere Personengruppen, ist die Angabe aller erforderlich.<br/><br/>Daten oder Datenkategorien umfasst die Beschreibung der verwendeten personenbezogenen Daten - die Art der Daten. Insbesondere ist hier auf die hinreichende Nennung besonderer personenbezogener Daten ({{bdsgl|3|9}}) zu achten, da deren Verarbeitung regelmäßig einer [[Einwilligung]] bedarf und diese sich auf die meldepflichtigen Angaben beziehen muss.<br/>Bei mehreren Personengruppen ist der Bezug zu den verwendeten Daten oder Datenkategorien zu kennzeichnen.<br/><br/>
# Nr. 6 erfordert die Nennung von Empfängern oder Kategorien von Empfängern, denen die Daten mitgeteilt werden. Nach {{bdsg|3|8}} ist Empfänger jede Person oder Stelle, die personenbezogene Daten erhält. Dem weit gefassten Begriff entsprechen andere verantwortliche Stellen, Zweigniederlassungen, Auftragnehmer nach {{bdsgl|11}}, [[Dritte]] oder auch Stellen, die online auf die Daten zugreifen. Bei einem der verantwortlichen Stelle selbst zugehörigen Empfänger, empfiehlt sich zusätzlich die Bezeichnung seiner Funktion (z.B. Buchhaltung). Die Unterscheidung zwischen konkreten und Kategorien von Empfängern ergibt sich aus deren Anzahl - ist die Menge konkreter Empfänger gering, so sind auch die einzelnen Angaben in Betracht zu ziehen. Ebenso ist die zeitliche (täglich, wöchentlich, zu wiederholten Terminen) bzw. anlassbezogene (Versicherungsfall, Kundenum- und anfragen) Regelmäßigkeit der Übermittlungen hierbei zu berücksichtigen. Einmalig geplante oder zukünftige Übermittlung, die z.B. vor der Inbetriebnahme in das Verfahrensverzeichnis aufgenommen werden, sind anzugeben.
# Nr. 6 erfordert die Nennung von Empfängern oder Kategorien von Empfängern, denen die Daten mitgeteilt werden. Nach {{bdsg|3|8}} ist Empfänger jede Person oder Stelle, die personenbezogene Daten erhält. Dem weit gefassten Begriff entsprechen andere verantwortliche Stellen, Zweigniederlassungen, Auftragnehmer nach {{bdsgl|11}}, [[Dritte]] oder auch Stellen, die online auf die Daten zugreifen. Bei einem der verantwortlichen Stelle selbst zugehörigen Empfänger, empfiehlt sich zusätzlich die Bezeichnung seiner Funktion (z.B. Buchhaltung). Die Unterscheidung zwischen konkreten und Kategorien von Empfängern ergibt sich aus deren Anzahl - ist die Menge konkreter Empfänger gering, so sind auch die einzelnen Angaben in Betracht zu ziehen. Ebenso ist die zeitliche (täglich, wöchentlich, zu wiederholten Terminen) bzw. anlassbezogene (Versicherungsfall, Kundenum- und anfragen) Regelmäßigkeit der Übermittlungen hierbei zu berücksichtigen. Einmalig geplante oder zukünftige Übermittlung, die z.B. vor der Inbetriebnahme in das Verfahrensverzeichnis aufgenommen werden, sind anzugeben.<br/><br/>
# Die in Nr. 7 verlangten Regelfristen für die [[löschen|Löschung]] der Daten finden keine Erwähnung in der EU-Richtlinie - sie wurden wortgetreu aus §&nbsp;18&nbsp;Abs.&nbsp;2&nbsp;Nr.&nbsp;6 des BDSG 90 (''„§&nbsp;18 Durchführung des Datenschutzes in der Bundesverwaltung“'') übernommen. Gemeint sind hier die tatsächlichen Fristen zur Löschung der Daten (z.B. bei abgeschlossenen Verarbeitungen), um die Einhaltung gesetzlicher oder auch vertraglich geregelter Löschungsfristen zu prüfen. Eine auf {{bdsgl|35|2}} bezogene Regelfrist genügt demnach nicht.<br/><br/>
# Die in Nr. 7 verlangten Regelfristen für die [[löschen|Löschung]] der Daten finden keine Erwähnung in der EU-Richtlinie - sie wurden wortgetreu aus §&nbsp;18&nbsp;Abs.&nbsp;2&nbsp;Nr.&nbsp;6 des BDSG 90 (''„§&nbsp;18 Durchführung des Datenschutzes in der Bundesverwaltung“'') übernommen. Gemeint sind hier die tatsächlichen Fristen zur Löschung der Daten (z.B. bei abgeschlossenen Verarbeitungen), um die Einhaltung gesetzlicher oder auch vertraglich geregelter Löschungsfristen zu prüfen. Eine auf {{bdsgl|35|2}} bezogene Regelfrist genügt demnach nicht.<br/><br/>
# Gemäß Nr. 8 sind geplante Datenübermittlung in Drittstaaten aufzunehmen. Dies dient vornehmlich der Prüfung der [[Zulässigkeit|Zulässigkeitsvoraussetzungen]] (z.B. angemessenes Datenschutzniveau) durch die Aufsichtsbehörde nach den §§&nbsp;4b und 4c. Auch hier ist die Meldung einer einzigen Übermittlung in Drittstaaten erforderlich. Nach {{bdsg|3|8}} betrifft dies Stellen außerhalb der Europäischen Union und der Vertragsstaaten des EWR (vgl. [[4b_BDSG_Kommentar|Kommentar&nbsp;§&nbsp;4b]] und {{komm|4c|1}}).<br/><br/>Notwendig ist die Angabe der Übermittlungszwecke, betroffenen Daten oder Datenkategorien und die Namen der Drittstaaten. Sollten vor der Inbetriebnahme oder bei der Einführung des Verfahrens keine Übermittlungen in Drittstaaten geplant sein, diese aber im Nachhinein erfolgen, ist das als erhebliche Änderung des Verfahrens anzusehen und nachzumelden.<br/><br/>
# Gemäß Nr. 8 sind geplante Datenübermittlung in Drittstaaten aufzunehmen. Dies dient vornehmlich der Prüfung der [[Zulässigkeit|Zulässigkeitsvoraussetzungen]] (z.B. angemessenes Datenschutzniveau) durch die Aufsichtsbehörde nach den §§&nbsp;4b und 4c. Auch hier ist die Meldung einer einzigen Übermittlung in Drittstaaten erforderlich. Nach {{bdsg|3|8}} betrifft dies Stellen außerhalb der Europäischen Union und der Vertragsstaaten des EWR (vgl. [[4b_BDSG_Kommentar|Kommentar&nbsp;§&nbsp;4b]] und {{komm|4c|1}}).<br/><br/>Notwendig ist die Angabe der Übermittlungszwecke, betroffenen Daten oder Datenkategorien und die Namen der Drittstaaten. Sollten vor der Inbetriebnahme oder bei der Einführung des Verfahrens keine Übermittlungen in Drittstaaten geplant sein, diese aber im Nachhinein erfolgen, ist das als erhebliche Änderung des Verfahrens anzusehen und nachzumelden.<br/><br/>
Zeile 60: Zeile 60:
{{komm_nav|P=4e}}
{{komm_nav|P=4e}}
{{komm_footer|P=4e}}
{{komm_footer|P=4e}}
{{BfDI-Content}}
Teclador
Bürokraten, Oversighter
2.817

Bearbeitungen

Abgerufen von „https://datenschutz-wiki.de/Spezial:Mobiler_Unterschied/693...4784

Navigationsmenü