GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
1) Die Anforderungen bzgl. Datenschutz-Folgenabschätzung sind Anforderungen aus der europäischen Datenschutz-Grundverordnung. Diese gilt in ganz Europa, insbesondere in Deutschland, überall gleichermaßen. Wie kann es dann sein, dass die Anforderungen bzgl. der Erbringung einer DSFAinnerhalb Deutschlands nicht einheitlich sind? Insbesodnere für den nicht-öffentlichen Bereich, für den doch einheitliches Bundesrecht gilt?
2) Die Unterscheidung zwischen nicht-öffentlichen un d öffentlichen bereich, der in einigen bundesländern vorgenommen wurde, ist seitens der DS-GVO nicht nachvollziehbar. Die DS-GVO unterschiedet nicht zwischen öffenmtlichen und nicht-äffentlichen Verantwortlichen.
3) Art. 35 Abs. 4 DS-GVO verlangt, dass die Aufsichtsbehörden eine "Liste der Verarbeitungsvorgängen" erstellen und diese veröffentlichen. Es wurden jedoch nur Listen mit Kriterien veröffentlicht, nicht jedoch eine Liste von Verarbeitungsvorgängen.
Nr. | Verarbeitung | DSK | Baden-Württemberg | Berlin | Brandenburg | Bremen | Hamburg | Hessen | Mecklenburg-Vorpommern | Niedersachsen | NRW | Rheinland-Pfalz | Saarland | Sachsen | Sachsen-Anhalt | Schleswig-Holstein | Thüringen | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
2 | Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
3 | Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
4 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten entgegen Art. 48 DSGVO zu exportieren oder offenzulegen | x | x | x | x | x | x | |||||||||||
5 | Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||
Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden. | x | |||||||||||||||||
6 | Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen | x | x | x | x | |||||||||||||
Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen | x | x | x | x | x | x | x | x | x | x | x | x | x | |||||
7 | Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||
8 | Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
9 | Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||
Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | |||||||||||||||||
10 | Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
11 | Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
12 | Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
13 | Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | |
14 | Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | ||
15 | Anonymisierung von besonderen personenbezogenen Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | x | x | x | x | x | x | x | x | x | x | |||||||
Umfangreiche Anonymisierung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | x | |||||||||||||||||
16 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. | x | x | x | x | x | x | x | x | x | x | x | ||||||
Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. | x | x | x | |||||||||||||||
17 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen | x | x | x | x | x | x | x | x | x | x | x | x | |||||
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen. | x | x | x | |||||||||||||||
18 | Umfangreiche Datenerhebung bei Beschäftigten mit dem Ziel oder zumindest der Möglichkeit der Verhaltens- und Leistungskontrolle im Arbeitsverhältnis | x | x | |||||||||||||||
19 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist durch zentrale Internetdienste | x | ||||||||||||||||
20 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine Übertragung der Daten mittels digitaler Fernkommunikationsmittel erfolgt | x |
Nr. | Mindestens zwei der folgenden Merkmale |
---|---|
1 | Die Verarbeitung umfasst eine Bewertung oder Einstufung der Betroffenen, darunter das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen. |
2 | Die Verarbeitung umfasst eine automatisierte Entscheidungsfindung mit einer Wirkung, die zwar nicht alleine die Grundlage für Entscheidungen mit Rechtswirkung oder ähnlichen bedeutsamen Auswirkungen für die Betroffenen darstellen, aber einen wesentlichen Beitrag zu solchen Entscheidungen liefern. |
3 | Die Verarbeitung hat die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift auf beispielsweise über Netzwerke erfasste Daten oder auf eine systematische Überwachung auch nicht öffentlich zugänglicher Bereiche (Artikel 35 Absatz 3 Buchstabe c) zurück. |
4 | Bei der Verarbeitung werden vertrauliche oder höchst persönliche Informationen verarbeitet, insbesondere aus den folgenden Kategorien:
|
5 | Es handelt sich um eine Datenverarbeitung in großem Umfang, wobei mindestens einer der folgenden Schwellwerte überschritten ist:
|
6 | Im Rahmen der Verarbeitung werden Datensätze aus zwei oder mehreren Verarbeitungen zusammengeführt und/oder abgeglichen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, und zwar in einer Weise, die über die vernünftigen Erwartungen der Betroffenen hinausgehen. |
7 | Bei der Verarbeitung werden Daten zu schutzbedürftigen Betroffenen verarbeitet. Dies umfasst die folgenden Gruppen:
|
8 | Bei der Verarbeitung werden neue Technologien oder organisatorische Lösungen in einer Art und Weise eingesetzt, die dem gegenwärtigen Stand der Technik voraus ist und deswegen die Abschätzung der Auswirkungen auf die Betroffenen und die Gesellschaft erschwert. |
9 | Die Verarbeitung an sich hindert die Betroffenen an der Ausübung eines Rechts, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags |
Nr. | Verarbeitung | Brandenburg | Hamburg | Niedersachsen | NRW | Rheinland-Pfalz | Thüringen |
---|---|---|---|---|---|---|---|
1 | Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Rahmen der Kinder- und Jugendhilfe insbesondere der Beratung und Beantragung von Hilfen zur Erziehung, Eingliederungshilfe für seelisch behinderte Kinder und Jugendliche und Unterstüt-zung bei der Ausübung der Personensorge und des Umgangsrechts, Förderung von Kindern in Kindertagesbetreuung, Hilfe für Junge Volljährig sowie bei der Beratung und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts. | x | x | x | x | ||
2 | Umfangreiche Erhebung von Verarbeitung von personenbezogenen Daten für die Aufgaben der Jobcenter insbesondere die Leistungsgewährung zur Sicherung des Lebensunterhalts, Leistungen der Unterkunft und Heizung. Leistungsrecht und die Vermittlung in Arbeit inkl. Eingliederungsleistungen und auch kommunale Leistungen wie Suchtberatung oder Schuldnerberatung. | x | x | x | x | ||
3 | Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Zuge der Beantragung von Sozialhilfe, insbesondere als Grundsicherung im Alter oder bei voller Erwerbsminderung und bei Hilfen zur Gesundheit, bei Eingliederungshilfen für behinderte Menschen, Hilfe zur Pflege, Hilfe zur Überwindung besonderer sozialer Schwierigkeiten und die Hilfe in anderen Lebenslagen. | x | x | x | x | ||
4 | Verarbeitung der Meldedaten, Melderegister und Spiegelregister von Kommunen und bei landesweiten Verfahren. | x | x | x | x | ||
5 | Verfahren zur Führung von Personenstandsregistern von Kommunen und bei landesweiten Verfahren. | x | x | x | x | ||
6 | Verarbeitung von Personalausweis- und Passanträgen sowie der jeweiligen Register bei Kommunen und bei landesweiten Verfahren. | x | x | x | x | ||
7 | Umfangreiche Verarbeitung personenbezogener Daten im Rahmen der amtlichen Statistik, deren Erhebung, Speicherung und Verarbeitung, insbesondere der Anonymisierungsprozesse sowie deren Anonymisierung und statistische Aufbereitung vor/für die Übermittlung der Informationen an Dritte. | x | x | x | x | ||
8 | Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt | x | x | x | x | ||
9 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO und von anderen Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, soweit sie
|
x | x | ||||
10 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO und von anderen Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten entgegen Art. 48 DSGVO zu exportieren oder offenzulegen | x | x | ||||
11 | Datenverarbeitung der Personenstands- und Melderegister sowie anderer Stellen, die Daten aus diesen Registern in großem Umfang, Meldedaten mit Sperrvermerken gemäß § 51 Abs. 1 und 5 Bundesmeldegesetz oder Personenstandsdaten gemäß § 63 Personenstandsgesetz verarbeiten | x | x | ||||
12 | Umfangreiche Verarbeitung von Daten über Kinder | x | x | ||||
13 | Umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen | x | x | x | x | ||
14 | Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | x | x | x | ||
15 | Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | x | x | |||
16 | Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen | x | x | x | |||
17 | Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen | x | x | x | |||
18 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten dazu verwendet werden, die Leistungsfähigkeit von Beschäftigten zu bestimmen | x | x | ||||
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Betroffenen zu bestimmen. | x | ||||||
19 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine innovative Nutzung von digitalen Fernkommunikationsmitteln erfolgt. | x | |||||
20 | Der Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen | x | x | x | x | ||
21 | Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche | x | x | x | |||
22 | Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus verschiedenen Erfassungssystemen in großem Umfang zentral zusammengeführt werden. | x | |||||
23 | Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum und nachfolgende zentralisierte Verarbeitung der resultierenden Angaben | x | x | x | x | ||
24 | Umfangreiche Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, soweit diese Erhebung für die Betroffenen nicht erkennbar ist | x | x | x | |||
25 | Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die betroffenen Personen nicht erkennen können | x | |||||
26 | Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen | x | x | x | x | ||
27 | Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen | x | |||||
28 | Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die betroffenen Personen ergeben, oder diese in andere Weise erheblich beeinträchtigen | x | |||||
29 | Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der betroffenen Personen | x | x | ||||
30 | Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
|
x | |||||
31 | Anonymisierung von besonderen personenbezogenen Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | x | |||||
Umfangreiche Anonymisierung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | x | ||||||
32 | Verarbeitung von personenbezogenen Schülerdaten durch Lernplattformen, bei denen die Verarbeitung durch einen zentralen Auftragsverarbeiter erfolgt. | x | |||||
33 | Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen | x | |||||
34 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. | x | |||||
35 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen | x | |||||
36 | Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist durch zentrale Internetdienste | x |
Verarbeitung | Typische Einsatzfelder | Beispiele |
---|---|---|
Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt | 1) Betrieb eines Insolvenzverzeichnisses 2) Sozialleistungsträger 3) Große Anwaltssozietät |
1) Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an. 3) Eine große Rechtsanwaltskanzlei, die schwerpunktmäßig familienrechtliche Mandate betreut. |
Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen | 1) Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste 2) Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren 3) Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä. 4) Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes |
1) Ein Unternehmen bietet einen Car-Sharing-Dienst oder andere Mobilitätsdienstleistungen an und verarbeitet hierfür insbesondere umfangreich Positions- und Abrechnungsdaten. 2) Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren. 3,4) Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können. |
Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
|
1) Fraud-Prevention-Systeme 2) Scoring durch Auskunfteien, Banken oder Versicherungen |
1) Zur Prävention von Betrugsfällen verarbeitet der Betreiber eines Online-Shops umfassende Datenmengen. Das Ergebnis der Prüfung ist ein Risikowert, der darüber ent-scheidet, ob einem Käufer der Rechnungskauf als Zahlungsart angeboten wird oder nicht. 2) Eine Auskunftei führt ein Scoring im Hinblick auf die Vertrauenswürdigkeit von Personen durch. Eine Bank führt Scoring durch, um das Ausfallrisiko der Rückzahlungen von Personen zu bestimmen. Eine Versicherung führt ein Scoring durch, um das Risiko einer Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten der Person zur Bestimmung der Höhe einer Versicherungspolice zu bestimmen. |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten entgegen Art. 48 DSGVO zu exportieren oder offenzulegen | 1) Einsatz von Dienstleistern mit Sitz außerhalb der EU durch pädagogische Einrichtungen 2) Einsatz von Dienstleistern mit Sitz außerhalb der EU durch medizinische Leistungserbringer |
1) Datenverarbeitung von personenbezogenen Schülerdaten gemäß Art. 9 Abs.1 DS-GVO in einer öffentlichen Cloud (z. B. in einem digitalen Klassenbuch – Dokumentation von Fehlzeiten, Entschuldigungen oder anderen Dokumentationen). |
Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche | 1) Fahrzeugdatenverarbeitung – Umgebungssensoren 2) Fahrzeugdatenverarbeitung – Umgebungssensoren (nicht Rückfahrkameras ohne Aufzeichnung) |
1,2) Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren. |
Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden. | 1) Fahrzeugdatenverarbeitung – Umgebungssensoren | 1) Ein Unternehmen erhebt personenbezogene Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren. |
Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen | ||
Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen | 1) Betrieb von Bewertungsportalen 2) Inkassodienstleistungen – Forderungsmanagement 3) Inkassodienstleistungen – Factoring |
1) Ein Online-Portal bietet Nutzern die Möglichkeit an, Leistungen von Selbstständigen öffentlich feingranular zu bewerten. Online-Bewertungsportal bspw. für Ärzte, Selbstständige oder Lehrer. 2) Ein Unternehmen verarbeitet für seine Kunden in großem Umfang personenbezogene Daten von Schuldnern, insbesondere Vertragsdaten, Rechnungsdaten und Daten über Vermögensverhältnisse von Schuldnern zur Geltendmachung von Forderungen. Ggf. werden Daten an Auskunfteien übermittelt. 3) Ein Unternehmen lässt sich in großem Umfang Forderungen übertragen um diese auf eigenes Risiko geltend zu machen. Es verbarbeitet hierfür insbesondere Vertragsdaten, Rechnungsdaten, Scoringdaten und Informationen über Vermögensver-hältnisse von Schuldnern. Ggf. werden Daten an Auskunfteien übermittelt. |
Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen | 1) Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen 2) Geolokalisierung von Beschäftigten |
1) Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen. 2) Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst. |
Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen | 1) Betrieb von Dating- und Kontaktportalen 2) Betrieb von großen sozialen Netzwerken |
1) Ein Webportal erstellt Profile der Nutzer um möglichst passende Kontaktvorschläge zu generieren. 1) Ein Dating Portal erstellt Profile der Nutzer um möglichst passende Kontaktvorschläge zu generieren. |
Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
|
1) Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden | 1) Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kunden, analysiert Daten über das Kaufverhalten der Kunden und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die zur Steigerung des Umsatzes eingesetzt werden können. |
Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
|
1) Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden. 2) Tätigkeit von Auskunfteien |
1) Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kunden, analysiert Daten über das Kaufverhalten der Kunden und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die zur Steigerung des Umsatzes eingesetzt werden können. |
Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen | 1) Telefongespräch-Auswertung mittels Algorithmen 2) Kundensupport mittels künstlicher Intelligenz |
1) Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus. 2) Ein Unternehmen setzt ein System ein, welches mit Kunden durch Konversation interagiert und für deren Beratung personenbezogene Daten durch eine künstliche Intelligenz verarbeitet./td> |
Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum | 1) Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä. 2) Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes |
1) Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können. |
Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen | 1) Telefongespräch-Auswertung mittels Algorithmen | 1) Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus. |
Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können | 1) Einsatz von RFID/NFC durch Apps oder Karten 2) Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten. |
1) Eine Bank setzt die NFC-Technologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern. 2) Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der An-bieter umfassende Kundenprofile. |
Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen | 1) Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten. | 1) Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile |
Anonymisierung von besonderen personenbezogenen Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | 1) Anonymisierung von besonderen Arten personenbezogener Daten nach Artikel 9 | 1) Umfangreiche besondere personenbezogene Daten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben. |
Umfangreiche Anonymisierung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen | 1) Forschung mit medizinischen Daten | 1) Umfangreiche besondere personenbezogene Daten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben. |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. | 1) Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten | 1) Ein Arzt nutzt ein Webportal oder bietet eine App an, um Patienten detailliert und systematisch zu behandeln. 1) Ein Hausarzt bietet eine Telefonsprechstunde über ein Webportal oder eine App an. |
Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. | 1) Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten | 1) Ein Arzt nutzt ein Webportal oder setzt eine App an, um mit Patienten mittels Videotelefonie zu kommunizieren und Gesundheitsdaten durch Sensoren beim Patienten (z.B. Blutzucker, Sauerstoffmaske,…) detailliert und systematisch zu erheben und zu verarbeiten. |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen | 1) Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind | 1) Ein Unternehmen bietet einen Dienst an, mit dem Daten aus Fitnessarmbändern zur Verbesserung des Trainings verarbeitet werden. |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen. | 1) Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind | 1) Ein Unternehmen bietet einen Dienst an, mit dem Daten aus Fitnessarmbändern zur Verbesserung des Trainings verarbeitet werden. |
Umfangreiche Datenerhebung bei Beschäftigten mit dem Ziel oder zumindest der Möglichkeit der Verhaltens- und Leistungskontrolle im Arbeitsverhältnis | 1) Spurverfolgung zur Erstellung eines Bewegungsprofils eines Beschäftigten 2) Systematische Auswertung des Verhaltens der Beschäftigten anhand von Monitoring und Loggin-Daten |
1) GPS-Ortung im Firmenfahrzeug ermöglicht die sekundengenaue Standortermittlung 2) Kontrolle der Internetnutzung der Beschäftigten, Verhaltens- und Leistungskontrolle |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist durch zentrale Internetdienste | 1) Zentrale Datenverarbeitung in Krankenhauskonzernen, oder durch verschiedene Forschungseinrichtungen | 1) Krankenhausinformationssysteme mit Patientendaten in der %quot;Cloud%quot; 1) Nicht anonymisierte Forschungsdatenbanken in der %quot;Cloud%quot; |
Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO - auch wenn sie nicht als "umfangreich" im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine Übertragung der Daten mittels digitaler Fernkommunikationsmittel erfolgt | Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten | Ein Hausarzt bietet eine Telefonsprechstunde über ein Webportal oder eine App an |