Daten und Aktivismus: Unterschied zwischen den Versionen

Aus Fridays for Future Wiki
Zur Navigation springen Zur Suche springen
 
(69 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Hinweis auf Baustelle:''' Dieser Abschnitt und der folgende Abschnitt in dieser Woche bis Sonntag, den 12.12.2021, 24.00 Uhr mehrmals, auch spontan, überarbeitet und ergänzt werden. Zur Vermeidung von Bearbeitungskonflikten, bitte ich von einer Bearbeitung abzusehen. Danke für euer Verständnis. :)
+
'''Hinweis auf Baustelle:''' Diese Seite und alle ihre Abschnitte werden in dieser Woche bis zu dem 30.01.2022, 24.00 Uhr mehrmals, auch spontan, überarbeitet und ergänzt werden. Zur Vermeidung von Bearbeitungskonflikten, bitte ich von einer Bearbeitung abzusehen. Danke für euer Verständnis. :)
  
  
Zeile 18: Zeile 18:
 
== Was ist die DSGVO? ==
 
== Was ist die DSGVO? ==
  
Die Verordnung (EU) 2016/679 (auch Datenschutzgrundverordnung, Datenschutz-Grundverordnung genannt oder kurz DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union zum Datenschutz und zur Privatsphäre aller Personen in der Europäischen Union. Das Ziel dieser Verordnung besteht darin, das Datenschutzrecht in den verschiedenen Mitgliedsstaaten einheitlich zu gestalten und ein Mindestmaß an Datenschutz zu gewährleisten. Die DSGVO gilt als Verordnung unmittelbar und abschließend. Ausnahmen bestehen nur in dem Rahmen, den sie bestimmt.  
+
Die Verordnung (EU) 2016/679 (auch Datenschutzgrundverordnung, Datenschutz-Grundverordnung genannt oder kurz DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union zum Datenschutz und zur Privatsphäre aller Personen in der Europäischen Union. Das Ziel dieser Verordnung besteht darin, das Datenschutzrecht in den verschiedenen Mitgliedsstaaten einheitlich zu gestalten und europaweit ein einheitliches Niveau an Datenschutz zu gewährleisten. Verordnungen gelten von sich aus direkt, ohne dass es eines Umsetzungsaktes in das nationale Recht bedarf. Die DSGVO gilt damit als Verordnung unmittelbar und abschließend. Ausnahmen bestehen nur in dem Rahmen, den sie selbst bestimmt.  
 +
 
 +
Eine wichtige Neuerung der DSGVO sind die hohen Bußgelder. Diese sind ihr scharfes Schwert. Bei Verstößen gegen die DSGVO können die Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes verhängen. Aus diesem Grund konnte man um die Zeit des Inkraft-Treten der DSGVO das Thema Datenschutz plötzlich überall sehen und hören - zum Beispiel Cookiebannern auf Websites. Die europäischen Behörden greifen gegen die Verstöße inzwischen richtig durch und gehen auch gegen große und bekannte Unternehmen außerhalb der EU vor. So wurde in Irland November 2021 nach dem Durchgreifen des Europäischen Datenschutzausschusses gegen WhatsApp eine Geldbuße von 225 Millionen Euro verhängt.<ref>Siehe den Artikel im [https://www.derstandard.de/story/2000131093396/dsgvo-verstoss-whatsapp-will-die-rekordstrafe-von-225-millionen-euro Standard vom 11.09.2021]</ref>
 +
 
 +
===Wo gilt die DSGVO?===
 +
 
 +
Die DSGVO gilt weltweit. Sie gilt, wenn eine Person aus der Europäischen Union Daten verarbeitet, auch wenn dies im EU-Ausland geschieht.<ref>Ar3. 2 Abs. 1 DSGVO, abrufbar unter [https://dsgvo-gesetz.de/art-3-dsgvo/ hier]</ref> Spiegelbildlich dazu sind Personen in der Europäischen Union durch die DSGVO vor der Datenverarbeitung, die im Zusammenhang mit der Erbringung von Waren oder Dienstleistungen steht oder der Beobachtung eines Verhaltens einer Person in der Europäischen Union dient, geschützt, auch wenn diese im EU-Ausland erfolgt.
 +
 
 +
===Warum gilt die DSGVO für Fridays for Futures?===
 +
 
 +
Der sachliche Anwendungsbereich ist sehr weit. Erfasst ist jede Art der Verarbeitung personebezogener Daten (nachfolgend: Daten genannt). Das ist im Grunde alles, was mit Daten zu tun hat.<ref>Zu diesem Begriff kommen wir sogleich im unteren Abschnitt.</ref>
 +
 
 +
Ausnahmen bestehen nur
 +
 
 +
* für '''ausschließlich''' persönliche oder familäre Tätigkeiten sowie
 +
* für Tätigkeiten in den Bereichen des "Staatshandelns" in der Europäischen Union, der Strafverfolgung oder Gefahrenabwehr durch den Staat (Polizei) und der Außen- und Sicherheitspolitik.
 +
 
 +
Die Ausnahmen sind sehr eng.
 +
 
 +
Somit gilt die DSGVO im Zweifel auch für Vereine und Organisansationen. Bei einem Verein, oder einer Organisation ist der Zweck der Datenverarbeitung nicht auf nur eine Person oder Familie beschränkt, sondern geht darüber hinaus. Damit ist die Ausschließlichkeit der Datenverarbeitung, welche der private Zweck der Datenverarbeitung
 +
Dies gilt auch dann, wenn die Grenzen zwischen privat und Organisation verschwimmen. Damit gilt die DSGVO auch für Fridays for Future.
 +
 
 +
==Was sind wichtige Begriffe der DSGVO?==
 +
 
 +
Die wohl wichtigsten Begriff der DSGVO sind die Begriffe "Daten", "Datenverarbeitung", "betroffene Person", "verantwortliche Person", "Auftragsverarbeiter:in" und "Dritte".
 +
 
 +
Sehen wir uns diese Begriffe einmal genauer an: 
 +
 
 +
===Daten===
 +
Daten sind -vereinfacht gesagt- alle Informationen, die einem Menschen in irgendeiner Weise so zugeordnet werden können, dass klar ist, auf wen sich diese Information bezieht. Beispiele sind: Der Name, die Telefonnummer, eine E-Mailadresse, die IP-Adresse, die Einstellungen eines Browsers. Auch Ton-, Bild-, und Videaufnahmen können Daten i.S.d. DSGVO enthalten.
 +
 
 +
Die DSGVO teilt Daten nach ihrer Schutzwürdigkeit in Kategorien ein. Daten, die besonders schutzwürdig sind, dürfen nur unter sehr strengen Bedingungen verarbeitet werden. Ein Beispiel sind Gesundheitsdaten wie z.B. die Impfstatus-Abfrage.
 +
 
 +
{| class="wikitable"
 +
|-
 +
! Kategorie !! Beispiele !! Definition oder wichtige Regelung
 +
|-
 +
|style="background:#00ff00" | "Einfache Kategorie" || Name, Telefonnummer, IP-Adresse || Art. 4 Nr. 1 DSGVO
 +
|-
 +
|style="background:#ff0000" | Besondere Kategorien von Daten || Politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten || Art. 9 DSGVO
 +
|-
 +
| style="background:#ff0000" |  Daten über strafrechtliche Verurteilungen || Gerichtsurteil, Abfrage einer Vorstrafe || Art. 10 DSGVO
 +
|-
 +
|}
 
    
 
    
  
Sie schafft neue Anforderungen für Organisationen mit Sitz in der EU sowie für Organisationen außerhalb der EU, wenn sie Waren oder Dienstleistungen für EU-"Betroffene" anbieten oder das Verhalten von "betroffenen Personen" überwachen. Es ist wichtig zu beachten, dass das Vereinigte Königreich auch nach dem Brexit unter die DSGVO einbezogen wird.
+
Bei Bild- und Videoaufnahmen (z.B. bei Demobildern) sind neben der DSGVO die §§ 22, 23 KUrhG zu beachten.
 +
 
 +
===Datenverarbeitung===
 +
Datenverarbeitung ist alles, was man mit Daten machen kann. Beispiele sind das Erheben, das Sammeln, das Ordnen, das Lesen, das Auswerten, das Aufbewahren, das Speichern, das Bearbeiten, das Verändern, das Kopieren, das Weitergeben an eine andere Person, das Löschen oder Zerstören. Auch das Durchführung einer TK stellt eine Dateverarbeitung dar.
 +
 
 +
Verantwortlich ist jede Person, die über den Zweck und die Mittel der Datenverarbeitung enscheidet. Der Zweck ergibt sich aus der Antwort auf die Frage nach dem "Warum" einer  Datenverarbeitung oder Handlung, welche Daten betrifft oder sich auf diese auswirkt. Die Mittel ergeben sich aus der Antwort auf die Frage nach dem "Wie" einer Datenverarbeitung und welche Handlungen dafür vorgenommen oder welche Gegenstände dafür eingesetzt werden.
 +
 
 +
===Betroffene Person===
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
 
 +
===Verantwortliche Person, Auftragsverarbeiter:in und Dritte===
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
 
 +
==Was sind die Grundsätze der Datenverarbeitung?==
 +
 
 +
Grundsätze der Datenverarbeitung sind:
 +
 
 +
* Rechtmäßigkeit;
 +
* Verarbeitung nach Treu und Glauben;
 +
* Transparenz;
 +
* Zweckbindung;
 +
* Datenminimierung;
 +
* Richtigkeit;
 +
* Integrität und Vertraulichkeit;
 +
* Speicherbegrenzung;
 +
* Rechenschaftspflicht.
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
==Rechte und Pflichten nach der DSGVO==
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
 
 +
===Rechte der betroffenen Person===
 +
 
 +
Eine von der Datenverarbeitung betroffene Person hat die in der Tabelle aufgeführten Rechte.
 +
 
 +
{| class="wikitable"
 +
|-
 +
! Recht !! Regelungsort in der DSGVO
 +
|-
 +
|
 +
* Auskunft
 +
||  [https://dejure.org/gesetze/DSGVO/15.html Art. 15]
 +
|-
 +
|
 +
* Berichtigung 
 +
|| [https://dejure.org/gesetze/DSGVO/16.html Art. 16]
 +
|-
 +
|
 +
* Löschung
 +
|| [https://dejure.org/gesetze/DSGVO/17.html Art. 17]
 +
|-
 +
|
 +
* Einschränkung der Verarbeitung
 +
||[https://dejure.org/gesetze/DSGVO/18.html Art. 18]
 +
|-
 +
|
 +
* Datenübertragbarkeit 
 +
|| [https://dejure.org/gesetze/DSGVO/20.html Art. 20]
 +
|-
 +
|
 +
* ggf. Widerspruchsprecht
 +
||[https://dejure.org/gesetze/DSGVO/21.html Art. 21]
 +
|-
 +
|
 +
* Recht, nicht automatischer Enscheidungsfindung  unterworfen zu werden
 +
||[https://dejure.org/gesetze/DSGVO/22.html Art. 22]
 +
|-
 +
|
 +
* Beschwerde bei der Aufsichtsbehörde
 +
 
 +
|| [https://dejure.org/gesetze/DSGVO/77.html Art. 77]
 +
|-
 +
|
 +
* Jederzeitiges Widerrufsrecht einer in die Datenverarbeitung erteilten Einwilligung
 +
|| [https://dejure.org/gesetze/DSGVO/77.html Art. 7]
 +
|}
 +
 
 +
===Pflichten der verantwortlichen Personen===
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
 
 +
 
 +
==Mustervorlagen==
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
 
 +
==Verhalten bei Datenpannen==
 +
 
 +
Dieser Abschnitt wird in Kürze ergänzt werden.
 +
 
 +
== Straftaten und Ordnungswidrigkeiten==
 +
 
 +
Verstöße gegen das Datenschutzrecht können strafbar und ordnungswidrig sein.
 +
 
 +
Für uns wichtig sind Strafvorschriften und Bußgeldvorschriften des europäischen Rechts, des Bundesrechts und des einschlägigen Landesrechts. Hinzu können weitere einschlägige Spezialgesetze kommen.
 +
 
 +
===Europäisches Recht===
 +
 
 +
Auf europäischer Ebene ist die DSGVO die wichtigste datenschutzrechtliche Rechtsnorm. Diese sieht in Art. [https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32016R0679:DE:HTML#d1e6235-1-1 83 Abs. 4, Abs. 5 und Abs. 6] für Verstöße sehr hohe Bußgelder vor. Die Höhe der Bußgelder kann für jeden Verstoß bis zu 4% unseres jährlichen Umsatzes betragen oder bis zu 20 Millionen Euro, je nachdem welcher Betrag höher ist. Der Umsatz wird am Vorjahresumsatz gemessen. Die DSGVO unterscheidet hierbei die Höhe der Bußgelder nach der Art der Verstöße und ordnet sie in zwei Gruppen ein:
 +
 
 +
{| class="wikitable"
 +
|-
 +
! Höhe des Bußgelds !! Fallgruppe
 +
|-
 +
| Verstöße, bei denen ein Bußgeld bis 4% des Jahresumsatzes oder bis zu 20 Millionen Euro verhängt werden kann|| Verletzung der Grundsätze der Datenverarbeitung (Verarbeitung von Daten ohne Berechtigung, insbesondere ohne Einwilligung), Verletzung der Betroffenenrechte, Verletzung der Vorschriften über die Datenschutzfolgenabschätzung, rechtswidrige Übermittlung von Daten in Drittländer (z.B. USA, China)), Verletzung der Melde- und Benachrichtigungspflichten im Fall einer Datenpanne, Nichtbeachtung der Anweisungen der Aufsichtsbehörde
 +
|-
 +
| Verstöße, bei denen ein Bußgeld bis 2% des Jahresumsatzes oder bis zu 10 Millionen Euro verhängt werden kann || sonstige Pflichtverletzungen der verantwortlichen Person oder einer Auftragsverarbeiter:in, insbesondere Nichtabschluss eines Auftragsverarbeitungsvertrags, keine Verzeichnisse der Verarbveitungstätigkeiten, Verletzung des Kerns von Privacy by Design-Konzepten, kein Nachweis der rechtmäßigen Verarbeitung 
 +
|}
 +
 
 +
===Bundesrecht===
 +
 
 +
Das Bundesrecht sieht für Datenschutzvertstöße Strafvorschriften und Ordnungswidrigkeiten vor. Wir sehen in der Tabelle eine Übersicht über die Vorschriften des Bundesrechts, die für uns wichtig sein könnten. Die Tabelle listet die verbotenen Handlungen als Fallgruppen auf. Über den Link gelangt kann man die jeweiligen Vorschriften in der offiziellen Gesetzessammlung im Internet aufrufen und lesen. Wir prägen uns diese Verbote ein und werden diese nicht begehen, da wir uns ansonsten strafbar machen oder ordnungswidrig handeln könnten. 
 +
Wie möchten rechtmäßig handeln. 
 +
 
 +
{| class="wikitable"
 +
|-
 +
! Vorschrift !! Fallgruppe
 +
|-
 +
! I. Strafgesetzbuch
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__201.html § 201 StGB] || Aufnahme von Gesprächen (Worten)
 +
 
 +
Gebrauchen oder Weitergabe einer solchen Aufnahme an Dritte
 +
 
 +
Abhören von Gesprächen mit Abhörgeräten
 +
 
 +
Veröffentlichung des Wortlauts oder des wesentlichen Inhalts des aufgenommenen Wortes oder Gesprächs
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__201a.html § 201a StGB] || Bildaufnahmen in Wohnungen oder vor Einblicken geschützten Räumen
 +
 
 +
und Bildaufnahmen, welche das Persönlichkeitsrecht einer Person beeinträchtigen
 +
 
 +
Zudem: Weitergabe von Bildaufnahmen, welche dem Ansehen einer Person schaden
 +
 
 +
Zudem Bildaufnahmen, welche eine Person unter 18 Jahren  nicht angezogen zeigen.
 +
 
 +
In diesem Zusammenhang könnten weitere Straftaten, insbesondere Pornografie, Übergriffe einschlägig sein. 
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__202.html § 202 StGB] || Verletzung des Briefgeheimnisses
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__202a.html § 202a ff. StGB] || unbefugtes Erlangen und Verwenden von Daten (elektronische Informationen)
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__203.html § 203 StGB]  || Verletzung der Schweigepflicht von Berufs- und Amtsträgern
 +
|-
 +
| [https://www.gesetze-im-internet.de/stgb/__204.html § 204 StGB]  || Verwertung von Betriebs- und Geschäftsgeheimnissen (in Bezug auf § 203 StGB)
  
Die DSGVO gilt auch für Organisationen der Zivilgesellschaft (CSOs) und sogar für Aktivistengruppen, die Daten verarbeiten oder Informationen (wie E-Mails und Kontakte) über ihre Unterstützer sammeln. Deshalb ist es wichtig, mehr über die DSGVO-Anforderungen zu erfahren: nicht nur, weil es ein Schritt in Richtung einer besseren Nutzung und Speicherung von Daten ist, sondern auch, um rechtliche Komplikationen zu vermeiden, die sich auf die Arbeit auswirken könnten, die Sie tun.
+
|-
 +
! II. Geschäftsgeheimnisgesetz
 +
 +
|-
 +
| [https://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html § 23 GeschGehG] || Verrat und Nutzung von Geschäftsgeheimnissen
  
"Organisationen können mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes belegt werden, wenn sie die DSGVO oder 20 Mio. EUR verletzen. Dies ist die Höchststrafe, die für schwerste Verstöße verhängt werden kann, z. B. nicht mit ausreichender Zustimmung des Kunden zur Verarbeitung von Daten oder Verletzung des Kerns von Privacy by Design-Konzepten. Es gibt einen gestaffelten Ansatz für Geldbußen, z. B. kann ein Unternehmen mit einer Geldbuße von 2 % belegt werden, wenn es seine Aufzeichnungen nicht in Ordnung hat (Artikel 28), ohne die Überwachungsbehörde und die betroffene Person über einen Verstoß oder die Nichtdurchführung einer Folgenabschätzung zu benachrichtigen. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Auftragsverarbeiter gelten – was bedeutet, dass "Clouds" nicht von der Durchsetzung der DSGVO ausgenommen sind." (EU-DSGVO)
+
|-
 +
! III. Bundesdatenschutzgesetz
 +
 +
|-
 +
| [https://www.gesetze-im-internet.de/bdsg_2018/__42.html § 42 Abs. 1 BDSG] || Weitergabe oder Zugänglichmachen von Daten vieler Personen
 +
|-
 +
| [https://www.gesetze-im-internet.de/bdsg_2018/__42.html § 42 Abs. 2 Nr. 1 BDSG] || Verarbeitung von Daten ohne Berechtigung 
 +
|-
 +
| [https://www.gesetze-im-internet.de/bdsg_2018/__42.html § 42 Abs. 2 Nr. 2 BDSG] || Erlangen von Daten aufgrund falscher Angaben (Erschleichen)
 +
|-
 +
! IV. Kunsturhebergesetz
 +
|-
 +
| [https://www.gesetze-im-internet.de/kunsturhg/BJNR000070907.html § 33 KUrhG] || Verbreitung oder Zur-Schau-Stellung (Veröffentlichung) von Bildern von Personen ohne Einwilligung der abgebildeten Person oder Erlaubnis gem. §§ 22, 23 KUrhG
 +
|-
 +
|}
  
 
== Was sind "personenbezogene Daten" nach der DSGVO? ==
 
== Was sind "personenbezogene Daten" nach der DSGVO? ==

Aktuelle Version vom 19. Februar 2023, 00:38 Uhr

Hinweis auf Baustelle: Diese Seite und alle ihre Abschnitte werden in dieser Woche bis zu dem 30.01.2022, 24.00 Uhr mehrmals, auch spontan, überarbeitet und ergänzt werden. Zur Vermeidung von Bearbeitungskonflikten, bitte ich von einer Bearbeitung abzusehen. Danke für euer Verständnis. :)


Einführung in Daten und Aktivismus

Die Zwänge und Repressionen, denen zivilgesellschaftliche Organisationen (NGOs), Basisgruppen, Aktivisten und betroffene Einzelpersonen ausgesetzt sind ist weltweit besorgniserregend. Es geht nicht mehr nur um Länder in denen Diktaturen oder totalitären Regime herrschen; sondern vielmehr erstreckt sich nun auch auf westliche Länder, die als stabile Demokratien gelten.[1]

Organisationen der Zivilgesellschaft, Basisgruppen und politisch engagierte Personen stehen an vorderster Front bei der Verteidigung grundlegender Menschenrechte und Freiheiten wie Meinungs- und Versammlungsfreiheit; Mächtige zur Rechenschaft zu ziehen, das Bewusstsein zu schärfen und die Partizipation zu fördern, sich für Rechte einzusetzen; und wirkt sich auf den Wandel aus – all dies ist für eine freie und demokratische Gesellschaft von grundlegender Bedeutung. Darüber hinaus ist dieser Raum ein wichtiger Katalysator für eine breitere politische Beteiligung der Bürger, indem er die Menschen über ihre Rechte und Pflichten als Teilnehmer am demokratischen Prozess aufklären kann; Einbeziehung der Öffentlichkeit durch Mobilisierung und Kampagnen; und Unterstützung der Noten traditionell marginalisierter Gemeinschaften durch Bereitstellung von Instrumenten und Zugang zu politischer Partizipation, wenn sie verweigert wird. Wenn der Raum für solche Arbeiten angegriffen, eingeschränkt oder geschrumpft wird, dann gerät er auf die Bürgerbeteiligung im Allgemeinen zurück.

"Die Zivilgesellschaft ist mit einem nie dagewesenen Ausmaß an Einschränkungen konfrontiert. Auf der ganzen Welt wird es immer gefährlicher, die Macht in Frage zu stellen, und dies birgt die Gefahr von Repressalien. Der CIVICUS Monitor stellt fest, dass nur drei Prozent der Weltbevölkerung in Ländern leben, in denen der bürgerliche Raum völlig offen ist. Es zeichnet sich ein konsistentes Muster von Angriffen auf Organisationen der Zivilgesellschaft (NGOs) und Aktivisten ab, die sich für die Verteidigung der Menschenrechte und Grundfreiheiten durch repressive Staatsapparate, extremistische Gruppen und kriminelle Kräfte im Zusammenhang mit dem Großkapital einsetzen. Während einige der schlimmsten Bedingungen für die Grundrechte der Zivilgesellschaft auf Vereinigung, friedliche Versammlung und Meinungsäußerung in Afrika und Asien erlebt werden, gibt es in jeder globalen Region Länder, in denen die Zivilgesellschaft unterdrückt wird. Der zivile Raum wird in 106 Ländern, mehr als die Hälfte aller Mitglieder der Vereinten Nationen (UN), stark eingeschränkt. Das bedeutet, dass die Beschränkung des bürgerlichen Raums eher zur Norm als zur Ausnahme geworden ist. Es sollte jetzt als globaler Notfall betrachtet werden." Quelle: CIVICUS

Eine weitere Bedeutung erlangen Datenschutz und Datensicherheit durch die DSGVO (hierzu unten). Diese ist auch für Aktivismus wichtig.

DSGVO-Checkliste für Organisationen der Zivilgesellschaft in letzter Minute

Dies ist als Leitfaden gedacht und ist keine Rechtsberatung.

Was ist die DSGVO?

Die Verordnung (EU) 2016/679 (auch Datenschutzgrundverordnung, Datenschutz-Grundverordnung genannt oder kurz DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union zum Datenschutz und zur Privatsphäre aller Personen in der Europäischen Union. Das Ziel dieser Verordnung besteht darin, das Datenschutzrecht in den verschiedenen Mitgliedsstaaten einheitlich zu gestalten und europaweit ein einheitliches Niveau an Datenschutz zu gewährleisten. Verordnungen gelten von sich aus direkt, ohne dass es eines Umsetzungsaktes in das nationale Recht bedarf. Die DSGVO gilt damit als Verordnung unmittelbar und abschließend. Ausnahmen bestehen nur in dem Rahmen, den sie selbst bestimmt.

Eine wichtige Neuerung der DSGVO sind die hohen Bußgelder. Diese sind ihr scharfes Schwert. Bei Verstößen gegen die DSGVO können die Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes verhängen. Aus diesem Grund konnte man um die Zeit des Inkraft-Treten der DSGVO das Thema Datenschutz plötzlich überall sehen und hören - zum Beispiel Cookiebannern auf Websites. Die europäischen Behörden greifen gegen die Verstöße inzwischen richtig durch und gehen auch gegen große und bekannte Unternehmen außerhalb der EU vor. So wurde in Irland November 2021 nach dem Durchgreifen des Europäischen Datenschutzausschusses gegen WhatsApp eine Geldbuße von 225 Millionen Euro verhängt.[2]

Wo gilt die DSGVO?

Die DSGVO gilt weltweit. Sie gilt, wenn eine Person aus der Europäischen Union Daten verarbeitet, auch wenn dies im EU-Ausland geschieht.[3] Spiegelbildlich dazu sind Personen in der Europäischen Union durch die DSGVO vor der Datenverarbeitung, die im Zusammenhang mit der Erbringung von Waren oder Dienstleistungen steht oder der Beobachtung eines Verhaltens einer Person in der Europäischen Union dient, geschützt, auch wenn diese im EU-Ausland erfolgt.

Warum gilt die DSGVO für Fridays for Futures?

Der sachliche Anwendungsbereich ist sehr weit. Erfasst ist jede Art der Verarbeitung personebezogener Daten (nachfolgend: Daten genannt). Das ist im Grunde alles, was mit Daten zu tun hat.[4]

Ausnahmen bestehen nur

  • für ausschließlich persönliche oder familäre Tätigkeiten sowie
  • für Tätigkeiten in den Bereichen des "Staatshandelns" in der Europäischen Union, der Strafverfolgung oder Gefahrenabwehr durch den Staat (Polizei) und der Außen- und Sicherheitspolitik.

Die Ausnahmen sind sehr eng.

Somit gilt die DSGVO im Zweifel auch für Vereine und Organisansationen. Bei einem Verein, oder einer Organisation ist der Zweck der Datenverarbeitung nicht auf nur eine Person oder Familie beschränkt, sondern geht darüber hinaus. Damit ist die Ausschließlichkeit der Datenverarbeitung, welche der private Zweck der Datenverarbeitung Dies gilt auch dann, wenn die Grenzen zwischen privat und Organisation verschwimmen. Damit gilt die DSGVO auch für Fridays for Future.

Was sind wichtige Begriffe der DSGVO?

Die wohl wichtigsten Begriff der DSGVO sind die Begriffe "Daten", "Datenverarbeitung", "betroffene Person", "verantwortliche Person", "Auftragsverarbeiter:in" und "Dritte".

Sehen wir uns diese Begriffe einmal genauer an:

Daten

Daten sind -vereinfacht gesagt- alle Informationen, die einem Menschen in irgendeiner Weise so zugeordnet werden können, dass klar ist, auf wen sich diese Information bezieht. Beispiele sind: Der Name, die Telefonnummer, eine E-Mailadresse, die IP-Adresse, die Einstellungen eines Browsers. Auch Ton-, Bild-, und Videaufnahmen können Daten i.S.d. DSGVO enthalten.

Die DSGVO teilt Daten nach ihrer Schutzwürdigkeit in Kategorien ein. Daten, die besonders schutzwürdig sind, dürfen nur unter sehr strengen Bedingungen verarbeitet werden. Ein Beispiel sind Gesundheitsdaten wie z.B. die Impfstatus-Abfrage.

Kategorie Beispiele Definition oder wichtige Regelung
"Einfache Kategorie" Name, Telefonnummer, IP-Adresse Art. 4 Nr. 1 DSGVO
Besondere Kategorien von Daten Politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten Art. 9 DSGVO
Daten über strafrechtliche Verurteilungen Gerichtsurteil, Abfrage einer Vorstrafe Art. 10 DSGVO


Bei Bild- und Videoaufnahmen (z.B. bei Demobildern) sind neben der DSGVO die §§ 22, 23 KUrhG zu beachten.

Datenverarbeitung

Datenverarbeitung ist alles, was man mit Daten machen kann. Beispiele sind das Erheben, das Sammeln, das Ordnen, das Lesen, das Auswerten, das Aufbewahren, das Speichern, das Bearbeiten, das Verändern, das Kopieren, das Weitergeben an eine andere Person, das Löschen oder Zerstören. Auch das Durchführung einer TK stellt eine Dateverarbeitung dar.

Verantwortlich ist jede Person, die über den Zweck und die Mittel der Datenverarbeitung enscheidet. Der Zweck ergibt sich aus der Antwort auf die Frage nach dem "Warum" einer Datenverarbeitung oder Handlung, welche Daten betrifft oder sich auf diese auswirkt. Die Mittel ergeben sich aus der Antwort auf die Frage nach dem "Wie" einer Datenverarbeitung und welche Handlungen dafür vorgenommen oder welche Gegenstände dafür eingesetzt werden.

Betroffene Person

Dieser Abschnitt wird in Kürze ergänzt werden.


Verantwortliche Person, Auftragsverarbeiter:in und Dritte

Dieser Abschnitt wird in Kürze ergänzt werden.


Was sind die Grundsätze der Datenverarbeitung?

Grundsätze der Datenverarbeitung sind:

  • Rechtmäßigkeit;
  • Verarbeitung nach Treu und Glauben;
  • Transparenz;
  • Zweckbindung;
  • Datenminimierung;
  • Richtigkeit;
  • Integrität und Vertraulichkeit;
  • Speicherbegrenzung;
  • Rechenschaftspflicht.

Dieser Abschnitt wird in Kürze ergänzt werden.

Rechte und Pflichten nach der DSGVO

Dieser Abschnitt wird in Kürze ergänzt werden.


Rechte der betroffenen Person

Eine von der Datenverarbeitung betroffene Person hat die in der Tabelle aufgeführten Rechte.

Recht Regelungsort in der DSGVO
  • Auskunft
Art. 15
  • Berichtigung
Art. 16
  • Löschung
Art. 17
  • Einschränkung der Verarbeitung
Art. 18
  • Datenübertragbarkeit
Art. 20
  • ggf. Widerspruchsprecht
Art. 21
  • Recht, nicht automatischer Enscheidungsfindung unterworfen zu werden
Art. 22
  • Beschwerde bei der Aufsichtsbehörde
Art. 77
  • Jederzeitiges Widerrufsrecht einer in die Datenverarbeitung erteilten Einwilligung
Art. 7

Pflichten der verantwortlichen Personen

Dieser Abschnitt wird in Kürze ergänzt werden.


Mustervorlagen

Dieser Abschnitt wird in Kürze ergänzt werden.


Verhalten bei Datenpannen

Dieser Abschnitt wird in Kürze ergänzt werden.

Straftaten und Ordnungswidrigkeiten

Verstöße gegen das Datenschutzrecht können strafbar und ordnungswidrig sein.

Für uns wichtig sind Strafvorschriften und Bußgeldvorschriften des europäischen Rechts, des Bundesrechts und des einschlägigen Landesrechts. Hinzu können weitere einschlägige Spezialgesetze kommen.

Europäisches Recht

Auf europäischer Ebene ist die DSGVO die wichtigste datenschutzrechtliche Rechtsnorm. Diese sieht in Art. 83 Abs. 4, Abs. 5 und Abs. 6 für Verstöße sehr hohe Bußgelder vor. Die Höhe der Bußgelder kann für jeden Verstoß bis zu 4% unseres jährlichen Umsatzes betragen oder bis zu 20 Millionen Euro, je nachdem welcher Betrag höher ist. Der Umsatz wird am Vorjahresumsatz gemessen. Die DSGVO unterscheidet hierbei die Höhe der Bußgelder nach der Art der Verstöße und ordnet sie in zwei Gruppen ein:

Höhe des Bußgelds Fallgruppe
Verstöße, bei denen ein Bußgeld bis 4% des Jahresumsatzes oder bis zu 20 Millionen Euro verhängt werden kann Verletzung der Grundsätze der Datenverarbeitung (Verarbeitung von Daten ohne Berechtigung, insbesondere ohne Einwilligung), Verletzung der Betroffenenrechte, Verletzung der Vorschriften über die Datenschutzfolgenabschätzung, rechtswidrige Übermittlung von Daten in Drittländer (z.B. USA, China)), Verletzung der Melde- und Benachrichtigungspflichten im Fall einer Datenpanne, Nichtbeachtung der Anweisungen der Aufsichtsbehörde
Verstöße, bei denen ein Bußgeld bis 2% des Jahresumsatzes oder bis zu 10 Millionen Euro verhängt werden kann sonstige Pflichtverletzungen der verantwortlichen Person oder einer Auftragsverarbeiter:in, insbesondere Nichtabschluss eines Auftragsverarbeitungsvertrags, keine Verzeichnisse der Verarbveitungstätigkeiten, Verletzung des Kerns von Privacy by Design-Konzepten, kein Nachweis der rechtmäßigen Verarbeitung

Bundesrecht

Das Bundesrecht sieht für Datenschutzvertstöße Strafvorschriften und Ordnungswidrigkeiten vor. Wir sehen in der Tabelle eine Übersicht über die Vorschriften des Bundesrechts, die für uns wichtig sein könnten. Die Tabelle listet die verbotenen Handlungen als Fallgruppen auf. Über den Link gelangt kann man die jeweiligen Vorschriften in der offiziellen Gesetzessammlung im Internet aufrufen und lesen. Wir prägen uns diese Verbote ein und werden diese nicht begehen, da wir uns ansonsten strafbar machen oder ordnungswidrig handeln könnten. Wie möchten rechtmäßig handeln.

Vorschrift Fallgruppe
I. Strafgesetzbuch
§ 201 StGB Aufnahme von Gesprächen (Worten)

Gebrauchen oder Weitergabe einer solchen Aufnahme an Dritte

Abhören von Gesprächen mit Abhörgeräten

Veröffentlichung des Wortlauts oder des wesentlichen Inhalts des aufgenommenen Wortes oder Gesprächs

§ 201a StGB Bildaufnahmen in Wohnungen oder vor Einblicken geschützten Räumen

und Bildaufnahmen, welche das Persönlichkeitsrecht einer Person beeinträchtigen

Zudem: Weitergabe von Bildaufnahmen, welche dem Ansehen einer Person schaden

Zudem Bildaufnahmen, welche eine Person unter 18 Jahren nicht angezogen zeigen.

In diesem Zusammenhang könnten weitere Straftaten, insbesondere Pornografie, Übergriffe einschlägig sein.

§ 202 StGB Verletzung des Briefgeheimnisses
§ 202a ff. StGB unbefugtes Erlangen und Verwenden von Daten (elektronische Informationen)
§ 203 StGB Verletzung der Schweigepflicht von Berufs- und Amtsträgern
§ 204 StGB Verwertung von Betriebs- und Geschäftsgeheimnissen (in Bezug auf § 203 StGB)
II. Geschäftsgeheimnisgesetz
§ 23 GeschGehG Verrat und Nutzung von Geschäftsgeheimnissen
III. Bundesdatenschutzgesetz
§ 42 Abs. 1 BDSG Weitergabe oder Zugänglichmachen von Daten vieler Personen
§ 42 Abs. 2 Nr. 1 BDSG Verarbeitung von Daten ohne Berechtigung
§ 42 Abs. 2 Nr. 2 BDSG Erlangen von Daten aufgrund falscher Angaben (Erschleichen)
IV. Kunsturhebergesetz
§ 33 KUrhG Verbreitung oder Zur-Schau-Stellung (Veröffentlichung) von Bildern von Personen ohne Einwilligung der abgebildeten Person oder Erlaubnis gem. §§ 22, 23 KUrhG

Was sind "personenbezogene Daten" nach der DSGVO?

In der Definition der DSGVO (Artikel 4, Seite 111) handelt es sich bei personenbezogenen Daten um "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (im Folgenden: betroffene Person); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind."

Dazu gehören Namen, Post- oder E-Mail-Adressen, Telefonnummern und digitale Informationen wie IP-Adressen. Auch Bilder oder Videoaufnahmen können Daten im Sinne der DSGVO sein.

Erfasst und verarbeitet Ihre Organisation oder Gruppe personenbezogene Daten? Viele Organisationen erheben personenbezogene Daten in Form von Kontaktdatenbanken von privaten Spendern, Veranstaltungsteilnehmern oder Teilnehmern an Konferenzen und Workshops und sogar Bewerbern. Dies wird hauptsächlich um der Öffentlichkeitsarbeit, des Fundraisings und des Netzwerkaufbaus willen aufbewahrt; Dennoch ist sie nach der DSGVO als Verarbeitung personenbezogener Daten geregelt, so dass von zivilgesellschaftlichen Organisationen und Basisgruppen erwartet wird, dass sie sich an die Vorschriften halten, um rechtliche und finanzielle Folgen zu vermeiden.

Quellen

  1. https://ourdataourselves.tacticaltech.org/posts/20_intro_activism/
  2. Siehe den Artikel im Standard vom 11.09.2021
  3. Ar3. 2 Abs. 1 DSGVO, abrufbar unter hier
  4. Zu diesem Begriff kommen wir sogleich im unteren Abschnitt.