Nach § 19 BlnDSG hat jede Stelle, die „automatisierte Verarbeitungen“ (=IT-Verfahren, in denen personenbezogenen Daten verarbeitet werden) betreibt, bestimmte Angaben zu diesen Verfahren schriftlich festzuhalten, die sog. Dateibeschreibungen*.
Diese gesetzliche Verpflichtung (!!) zur Erstellung trifft die jeweilige Stelle, welche das Verfahren verantwortlich einsetzt oder betreibt. Wer das jeweils ist, hängt vom Verfahren ab. Es kann (muss aber nicht) das Rechenzentrum sein, aber auch die jeweilige Abteilung, Institut, Forschungseinrichtung, Lehrstuhl…
Soweit der rechtliche Rahmen datenschutzrechtlicher Fragestellungen klar ist, geht es regelmäßig darum, die Rahmenbedingungen durch technische und organisatorische Maßnahmen sicherzustellen. Hierzu werden in verschiedenen Datenschutzgesetzen verschiedene Ansätze verfolgt. …weiterlesen »
Nur wenig bemerkt sind im Rahmen der Novellierung des Berlin Datenschutzgesetzes verschiedene Neuerungen in das Berliner Landesdatenschutzgesetz eingeflossen.
Eine Regelung ist der neu geschaffene § 18a BlnDSG, der eine Informationspflicht bei Datenlecks vorsieht. Nachgebildet ist er dem § 42a BDSG, welcher seinerzeit als Reaktion auf größere Datenskandale mit offen zugänglichen Konto- und Telefondaten ins Bundesdatenschutzgesetz aufgenommen worden war. …weiterlesen »
Will man, z.B. im Rahmen einer Forschungsumfrage, personenbezogene Daten erheben, darf dies nur mit ausreichender Rechtsgrundlage geschehen. Denn Verarbeitung personenbezogener Daten ist nur zulässig, soweit das Datenschutzgesetz, eine andere Rechtsvorschrift sie erlaubt oder der/die Betroffene eingewilligt hat. In der Praxis ist die Einwilligung das häufgste Instrument zur Datenerhebung.
Mit einer kurzen Frage: „Willst Du?“ ist es hier jedoch nicht getan. Vielmehr stellt der Gesetzgeber eine ganze Reihe expliziter Voraussetzungen auf, um eine wirksame Einwilligung anzunehmen (§ 6 Abs. 3-5 BlnDSG). Der Haken: Ist die Einwilligung nicht gesetzeskonform, kann sie unwirksam sein. …weiterlesen »