Schweigepflicht § 203 StGB
Schweigepflichtentbindungserklärung

---

---

---

Wann liegt eine rechtmäßige Verarbeitung von Daten vor?
Bedingungen zur Rechtmäßigkeit einer Verarbeitung (Art. 6 Abs. 1 DSGVO)
	Einwilligung Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7–8 DSGVO und konkreter Einwilligung Allgemeine Einwilligung Art. 6 Abs. 1 lit. a DSGVO Einwilligung für besondere Kategorien Art. 9 Abs. 2 lit. a DSGVO Besonderheiten der Einwilligung durch Kinder und Jugendliche: Einwilligung in Bezug auf Dienste der Informationsgesellschaft (Art. 8 DSGVO), Einwilligung durch Kinder und Jugendliche muss für sie verständlich sein, ErwGr 42 S. 3 DSGVO
	Vertrag Art. 6 Abs. 1 lit. b DSGVO i.V.m. wirksam abgeschlossener Vereinbarung zwischen Parteien Vertragliche Basis Art. 6 Abs. 1 lit. b DSGVO Kinder unter 7 Jahren können keine Verträge abschließen § 104 Nr. 1, § 105 Abs. 1 BGB Kinder und Jugendliche von 7 bis 17 Jahren können alleine keine nachteiligen Verträge abschließen §§ 107 BGB
	Rechtliche Verpflichtung Art. 6 Abs. 1 lit. c DSGVO i.V.m. konkret benannter gesetzlicher Regelung
	Berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO Lebenswichtige Interessen Art. 6 Abs. 1 lit. d DSGVO und konkret benanntes Interesse, z.B. akute Rettung des Lebens
	Öffentliches Interesse oder öffentliche Gewalt Art. 6 Abs. 1 lit. e DSGVO und z.B. staatliche Beleihung
	Berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO und konkret benanntes Interesse sowie Abwägung der Interessen

---

Betroffenenrechte
	# Recht auf Auskunft Art. 15 DSGVO – Berufsgeheimnisträger § 203 StGB	1. Bestätigung, ob Daten von der Person verarbeitet werden; ggf. Negativauskunft (Art. 15 Abs. 1 Hs. 1 DSGVO) 2. Information wie die Daten verarbeitet werden, ähnlich Datenschutzerklärung (Art. 15 Abs. 1 Hs. 2, Abs. 2 DSGVO) 3. Kostenlose Kopie aller über die Person vorliegenden Daten, ohne Daten anderer Personen (Art. 15 Abs. 3 DSGVO)
	# Recht auf Löschung/Vergessenwerden Art 17 DSGVO (Verpflichtung zur Löschung nur in definierten Fällen, besser aus eigener Initiative löschen, Dokumentation für Rechenschaftspflicht darf nicht Löschziel konterkarieren, wenn löschen dann richtig löschen) der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.	Aufbewahrungsfristen Gestaltung eines Löschkonzepts Wie erfolgt die Löschung, differenziert nach Datengruppe: Dateien löschen, Systemfunktionalität, Akten-/Datenträgervernichtung, … Wie wird eine Löschung protokolliert? Wo, wie lange werden die Nachweise aufbewahrt?
	# Recht auf Einschränkung der Verarbeitung Art 18 DSGVO (exotisch), (nur für definierte Konfliktfälle bis zur Klärung, Umsetzung durch Separierung oder Kennzeichnung, Ankündigung der Aufhebung der Einschränkung)
	# Recht auf Berichtigung Art 16 DSGVO (Grundsatz der Richtigkeit, Richtigkeit zum Zeitpunkt der Erhebung: keine rückwirkenden Änderungen, subjektive Einschätzungen immer wahr, keine objektiven Tatsachen nicht korrigierbar)
	# Recht auf Datenübertragbarkeit Art. 20 DSGVO (soziale Netzwerke, lebensfremd), (nur Daten, die vom Betroffenen aktiv übermittelt wurden, im Unterschied zur Auskunft, nur Daten, die auf Grundlage von Einwilligung oder Vertrag verarbeitete werden, nur Daten aus automatisierten Verarbeitungen, also digital vorliegende Informationen)
	# Widerspruchsrecht Art. 21 DSGVO (bei berechtigtem Interesse, z.B. Bilddaten löschen), (nur bei bestimmten Rechtsgrundlagen: 1. Berechtigtes Interesse, 2. Öffentlichen Interesse/Gewalt, nicht verwechseln mit Widerruf einer Einwilligung)
	# Automatisierte Entscheidungen im Einzelfall Art. 22 DSGVO (Abwehrrecht, z.B. Bewerberverfahren vollautomatisiert), (Abwehrrecht gegen ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung, technisch unterstützende Entscheidungen durch Menschen sind erlaubt)
weitere Rechte:
	# Transparenz Art. 12-14 DSGVO Grundsatz der Transparenz, präzise, verständlich, leicht zugänglich, Erhebung der Daten bei Betroffenen selbst, Erhebung der Daten nicht bei Betroffenen
	# Widerruf einer Einwilligung Art. 7 Abs 3 DSGVO
	# Beschwerde bei der Aufsichtsbehörde Art 77 Abs 1 DSGVO
	# Wirksamer gerichtlicher Rechtsbehelf (Klagemöglichkeit) Art. 79 Abs 1 DSGVO
	# Anspruch auf Schadenersatz Art 82 Abs. 1 DSGVO

---

Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO
Welche Daten werden wie erhoben und verarbeitet?

Inhalte eines Verzeichnisses für Verarbeitungstätigkeiten

Verantwortlicher und Datenschutzbeauftragter
# Verantwortlicher* gemäß Art. 4 Nr. 7 DSGVO: Organisation, nicht Geschäftsleitung, Vorstand o.ä.
# Mit-Verantwortlicher für Verarbeitungen in gemeinsamer Verantwortung (Art. 26 DSGVO)
# Datenschutzbeauftragte/r* gemäß Art. 37–39 DSGVO i.V.m. § 38 BDSG, intern (Mitarbeiter/in) / extern (Dienstleister)
Zwecke der Verarbeitung
# Zwecke in kurzer und präziser Beschreibung; Stichworte; inhaltlich Gestaltungsraum
# Zweckbindung durch Art. 5 Abs. 1 lit. b DSGVO, daher Zwecke gleich anfangs sorgfältig wählen
# Zweckänderung gemäß Art. 6 Abs. 4 DSGVO nach sorgfältiger Abwägung ggf. möglich

Kategorien betroffener Personen
# Kategorien betroffener Personen sind Gruppen von Betroffenen mit gleichen oder ähnlichen Verarbeitungen, z.B. Beschäftigte, Klienten, Website-Besucher, Teilnehmer von Veranstaltungen usw. (inhaltlich Gestaltungsraum)
# Adressaten der Datenschutzerklärungen Einteilung der Betroffenen empfehlenswert, die die Transparenzpflichten aus Art. 12–14 DSGVO berücksichtigt: Gruppen von Personen, die gleich angesprochen werden müssen oder sollen

Kategorien personenbezogener Daten
# Kategorien personenbezogener Daten: Kategorien sind Gruppen von Datenfeldern, nicht einzelne Datenfelder. Beispiel: Nicht „Vorname, Name usw.“, sondern Kategorie „Identifikation“. Nicht „Telefonnummer, E-Mail-Adresse usw.“, sondern stattdessen „Kontaktdaten“. Kategorien sind flexibler als Datenfelder.

Empfänger von Daten
# Kategorien von Empfängern sind Gruppen von Empfängern, nicht einzeln benannte Empfänger: – interne Stellen (Bereiche, Abteilungen) – Auftragsverarbeiter (Art. 28 DSGVO)
– Dritte gemäß Art. 4 Nr. 10 DSGVO
# Auftragsverarbeiter Privilegierte Datenübermittlung, weil sie in der Sphäre des Verantwortlichen bleibt, daher keine Rechtsgrundlage erforderlich
# Dritte: Datenübermittlung an andere Organisation auf Basis einer geeigneten Rechtsgrundlage

Datenübermittlungen in Drittländer
# Drittländer sind alle Staaten außerhalb der EU und des EWR (Island, Lichtenstein, Norwegen)# Angemessenheitsbeschluss (Art. 45) oder geeignete Garantien (Art. 46–48 DSGVO) Keine Verpflichtung zur Dokumentation je Verarbeitung, aber empfehlenswert# Garantien bei Ausnahmetatbestand (Art. 49 DSGVO) Sehr seltene Ausnahme für Einzelfälle mit einer begrenzten Zahl von Betroffenen

Aufbewahrungsfristen
# Aufbewahrungsfristen sollten so konkret wie möglich bestimmt werden, um auf dieser Basis ein Löschkonzept umsetzen zu können
# Begründung der Frist: Keine Verpflichtung zur Dokumentation, aber empfehlenswert, um Beweggründe für Festlegung nachvollziehen zu können
# Verweis zu Verarbeitung für Löschung oder Vernichtung: Nicht verpflichtend, aber empfehlenswert: Wie werden die Daten gelöscht?

Technische und organisatorische Maßnahmen
# Technische und organisatorische Maßnahmen können immer beschrieben werden; ggf. Verweis auf eigene Dokumentation

---

Technische und organisatorische Maßnahmen Art. 31 Abs. 1 DSGVO

Sicherheit der Verarbeitung Art. 32 Abs. 1 DSGVO

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]

Zentrale Datenablage
# in Zentrale
# in externer Cloud
# Dezentrale Server und Verbindungen

Aktuelle und neue Risiken
# Ausgehende E-Mails
# Verlorene Unterlagen und Endgeräte
# Eingehende E-Mails
# Gefährliche Handy-Apps
# Ausnutzung technischer Schwachstellen
# Integrierte generative Künstliche Intelligenz
# Soziale Medien
# Auskünfte an Angehörige und andere Dritte

Praktische Maßnahmen

• Telefonate
  Organisatorische Maßnahmen:
  • Information und Schulung: Sensibilisierung der hauptamtlich Beschäftigten und ehrenamtlich Engagierten, abhängig vom Tätigkeitsbereich
  • Dienstanweisung zur Wahrung der Vertraulichkeit, auch im größeren Kontext, z.B. auch Aktenführung und E-Mail-Versand betreffend
  Technische Maßnahmen
  • Räumliche Gestaltung: Räumlichkeiten für Beratung ohne Möglichkeit des Mithörens
  • Headsets für leisere Telefonate, Hilfsmittel für Beschäftigte mit Gehörbeeinträchtigung

• E-Mail
  Organisatorische Maßnahmen
  • Information und Schulung: Sensibilisierung der hauptamtlich Beschäftigten und ehrenamtlich Engagierten z.B. bzgl. E-Mails mit offenen Verteilern und automatischer Vervollständigung des Empfängers
  • Dienstanweisung oder Betriebsvereinbarung mit Verbot der privaten Nutzung
  Technische Maßnahmen
  • Ende-zu-Ende-Verschlüsselung für besondere Kategorien personenbezogener Daten: Zertifikate (z.B. S/MIME, OpenPGP), verschlüsselte PDF- oder ZIP-Dateien, geteilte Cloud-Speicher für Austausch, Bürger- und Organisationenpostfach (eBO)

• Aktenablage
  Organisatorische Maßnahmen
  • Dienstanweisung wie Akten mit zu schützenden Daten aufbewahrt werden, z.B. Clean Desk Policy
  • Ausgegebene Schlüssel für Räumlichkeiten personenbezogen ausgeben und dokumentieren
  • Registratur
  Technische Maßnahmen
  • Abschließbare Aktenschränke, Rollcontainer usw.
  • Arbeitserleichternde Ordner, Hängeregistermappen usw., je nach Tätigkeitsbereich und Prozessen
  • Hilfreiche Kennzeichnung, z.B. Farbsysteme für Inhalte und Jahreszahlen für Archivierung

• Aktenvernichtung
  Organisatorische Maßnahmen
  • Sensibilisierung des Personals
  • Dienstanweisung, was wie zu vernichten ist
  • Beauftragung eines zuverlässigen Dienstleisters
  • Geheimhaltungsstufen definieren und Unterlagen entsprechend klassifizieren
  Technische Maßnahmen
  • Beschaffung geeigneter Aktenvernichter (Empfehlung: P-4 oder P-5 / Partikelschnitt)
  • Aufstellung von verschlossenen Sammeltonnen, Schlüssel zur evtl. Rettung von Unterlagen
  
• Datenablage
  Organisatorische Maßnahmen
  • Dienstanweisung, dass relevante Dateien nicht lokal auf dem Endgerät (z.B. Laptop) gespeichert werden dürfen, sondern auf zentralen, gesicherten „Laufwerken“ (auf Servern, in Cloud), wo sie auch anderen zugänglich sind
  • Vertrauen schaffen, dass die zentrale Ablage von Arbeitsergebnissen nicht zur Arbeitsüberwachung verwendet wird
  Technische Maßnahmen
  • Regelmäßige Datensicherung der Ablagen (Backup)
  • Wiederherstellung (Recovery) testen
  
• Cyber-Kriminalität
  Organisatorische Maßnahmen
  • Information der Beschäftigten über Gefahren und Erkennungsmerkmalen von gefährlichen E-Mails
  • Einschränkung der Rechte auf Endgeräten
  Technische Maßnahmen
  • Installation von Endpoint Protection Software, z.B. Virenscanner, Blockierung potenziell gefährlicher Software und Websites
  • Datensicherung zur Wiederherstellung der Datenbestände nach Ransomware-Attacke
  • Regelmäßige Aktualisierung aller Software-Systeme, um Sicherheitslücken zu schließen
  Phishing erkennen

---

Mögliche Gliederung der Dokumentation

Struktur aus BDSG Anlage zu § 9 S. 1 BDSG a.F.

1. Zutrittskontrolle: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren
2. Zugangskontrolle: Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
3. Zugriffskontrolle: Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
4. Weitergabekontrolle: Gewährleisten, dass Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
5. Eingabekontrolle: Gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
6. Auftragskontrolle: Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
7. Verfügbarkeitskontrolle: Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind
8. Trennungskontrolle: Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Struktur aus SVK

Neue Standardvertragsklauseln, Anlage II

1. Pseudonymisierung und Verschlüsselung
2. Fortdauernde Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
3. Sicherstellung der Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
5. Identifizierung und Autorisierung der Nutzer
6. Schutz der Daten während der Übermittlung
7. Schutz der Daten während der Speicherung
8. Physischen Sicherheit von Orten, an denen Daten verarbeitet werden
9. Protokollierung von Ereignissen
10. Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
11. Interne Governance und Verwaltung der IT und der IT-Sicherheit
12. Zertifizierung/Qualitätssicherung von Prozessen und Produkten
13. Datenminimierung
14. Datenqualität
15. Begrenzte Vorratsdatenspeicherung
16. Gewährleistung der Rechenschaftspflicht
17. Ermöglichung der Datenübertragbarkeit und Gewährleistung der Löschung

---

Konkrete, nachzuweisende Verpflichtungen des Verantwortlichen

1. Zuordnung der Verantwortlichkeit: Genau wer ist der Verantwortliche?
2. Datenschutzbeauftragte/r: Gibt es eine Bestellpflicht, und wenn ja, wer wurde wann bestellt und gemeldet?
3. Verzeichnis der Verarbeitungstätigkeiten: Welche Daten werden wie erhoben und verarbeitet?
4. Weisungen: Welche Richtlinien, Dienstanweisungen usw. gibt es?
5. Schulung der Beschäftigten: Wie ist das Schulungskonzept? Wann wurden welche Schulungen durchgeführt?
6. Betroffenenrechte: Welche Prozesse gibt es, z.B. um Auskunft zu erteilen? Wer hat wann welche Rechte ausübt?
7. Beschwerden: Welche Beschwerden gab es, und wie wurde mit ihnen umgegangen?
8. Datenpannen: Welche Datenpannen gab es, wann wurde sie gemeldet und wann und wie die Betroffenen informiert?
9. Datenschutzerklärungen: Welche gibt es? Decken sie vollständig alle Kategorien Betroffener und alle Verarbeitungen ab?
10.Datenschutz-Folgeabschätzungen: Warum erforderlich (oder ggf. auch nicht), wann und wie durchgeführt, wie war das Ergebnis?
11.Technische und organisatorische Maßnahmen: Mit welchen konkreten Maßnahmen werden Daten geschützt?
12.Auftragsverarbeitungen: Welche Auftragsverarbeiter gibt es, welche Vereinbarungen wurden mit ihnen abgeschlossen?
13.Gemeinsame Verantwortung: Gibt es Fälle gemeinsamer Verantwortung mit Dritten? Wenn ja, welche Vereinbarung wurde abgeschlossen?
14.Drittstaaten: Werden Daten in Staaten außerhalb EU/EWR übermittelt? Wenn ja, auf welcher Rechtsgrundlage? Welche Garantien gibt es?

---

Datenschutzbeauftragter

Gesetzliche Aufgaben eines Datenschutzbeauftragten

# Beratung Art. 39 Abs. 1 lit. a DSGVO
– Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen (Art. 38 Abs. 1 DSGVO)
– erforderlichen Ressourcen, und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen
–  Ansprechpartner für die Leitung der Organisation und aller Beschäftigten in Fragen des Datenschutzes
# Unterrichtung
– Zurverfügungstellung von Informationen, Schulung (externen Dienstleister, Lernplattform)
# Überwachung
– kontrolliert, ob datenschutzrechtliche Vorgabe eingehalten werden, meldet Defizite an die zuständigen Stellen, keine Sicherungspflichten
# Datenschutz-Folgeabschätzung:
– Beratung und Überwachung
– Anlaufstelle für die Aufsichtsbehörde
# Aufsichtsbehörde
– Auskunftsperson für die Aufsichtsbehörde
– keine Pflicht des DSB zu Meldungen
# Benennung
– Stellenbeschreibung
– Benennung sollte schriftlich erfolgen und nicht befristet sein
– Kündigungsschutz
– Berufsgeheimnisträger

---

Datenschutzerklärungen

Sowohl Datenschutzerklärungen gemäß Art. 13 DSGVO (Datenerhebung bei Betroffenen selbst) und Art. 14 DSGVO (Datenerhebung nicht bei Betroffenen) müssen diese Informationen enthalten (Art. 13 Abs. 1–2 und Art. 14 Abs. 1–2 DSGVO):
• Verantwortlicher (Organisation, nicht Geschäftsführung)
• Kontaktdaten Datenschutzbeauftragter
• Zwecke der Verarbeitung
• Rechtsgrundlagen für Verarbeitungen, ggf. berechtigtes Interesse (bei entsprechender Rechtsgrundlage)
• ggf. Datenübermittlungen an Dritte
• ggf. Datenübermittlungen in Drittländer
• Dauer der Verarbeitung (Aufbewahrungsfristen)
• Betroffenenrechte
• ggf. Recht auf Widerruf von Einwilligungen (nur wenn entsprechende Rechtsgrundlage verwendet)
• Recht auf Beschwerde bei einer Aufsichtsbehörde
• Automatisierte Entscheidungsfindung inkl. Profiling

---

Beschäftigtendatenschutz

• Einsichtnahme in Personalakte
• Übermittlung von Personaldaten an öffentliche Stellen
• Betriebsrat
• Betriebliches Eingliederungsmanagement (BEM)
• Betroffenenrechte im Beschäftigungsverhältnis
• Recht auf Auskunft Art. 15 DSGVO
• Einsicht in die Personalakten § 83 BetrVG – vgl. § 26 Abs. 2 SprAuG für leitende Angestellte und ggf. tarifvertragliche Regelungen
• Recht auf Löschung Art. 17 DSGVO
• Recht auf Berichtigung Art. 16 DSGVO

---

Umgang mit Vorfällen