Die DSGVO

Site: Soteria H2020 awareness training
Course: E-Training für persönliches Datenmanagement und Datenschutz
Book: Die DSGVO
Printed by: Guest user
Date: Thursday, 5 December 2024, 11:18 PM

1. Rechte der Betroffenen (Nutzer:innen)

Die Datenschutz-Grundverordnung (DSGVO) ist eine Datenschutzgesetzgebung, die in der Europäischen Union (EU) gilt und den Schutz personenbezogener Daten regelt. Die DSGVO gewährt den Betroffenen verschiedene Rechte, um die Kontrolle über ihre persönlichen Informationen zu behalten. Hier ist eine Zusammenfassung dieser Rechte:

  1. Recht auf Information: Die DSGVO legt fest, dass Betroffene das Recht haben, klare und verständliche Informationen darüber zu erhalten, wie ihre personenbezogenen Daten verarbeitet werden.

  2. Recht auf Zugang: Personen haben das Recht, eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und wenn dies der Fall ist, Zugang zu diesen Daten zu verlangen. Die Unternehmen müssen eine Kopie der Daten zur Verfügung stellen, die sie über eine Person gespeichert haben.

  3. Recht auf Berichtigung: Wenn personenbezogene Daten unrichtig oder unvollständig sind, haben die Betroffenen das Recht, eine Berichtigung dieser Daten zu verlangen. Dies beinhaltet auch das Recht, fehlende Informationen zu ergänzen.

  4. Recht auf Löschung ("Recht auf Vergessenwerden"): Unter bestimmten Umständen können Betroffene das Recht haben, die Löschung ihrer personenbezogenen Daten zu verlangen. Dies ist beispielsweise der Fall, wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder wenn die Verarbeitung unrechtmäßig erfolgt.

  5. Recht auf Einschränkung der Verarbeitung: Betroffene haben in bestimmten Fällen das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken. Wenn die Verarbeitung eingeschränkt ist, dürfen die Daten nur noch in begrenztem Umfang gespeichert und verarbeitet werden.

  6. Recht auf Datenübertragbarkeit: Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den ursprünglichen Verantwortlichen zu übermitteln.

  7. Recht auf Widerspruch: Wenn personenbezogene Daten auf Grundlage eines berechtigten Interesses verarbeitet werden, können Betroffene unter bestimmten Umständen Widerspruch gegen diese Verarbeitung einlegen. Es liegt dann in der Verantwortung des Unternehmens, nachzuweisen, dass zwingende berechtigte Gründe für die Verarbeitung vorliegen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

  8. Recht auf nicht ausschließlich automatisierte Entscheidungen einschließlich Profiling: Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies schließt das Recht ein, Informationen über die Logik der automatisierten Entscheidungsfindung und deren Tragweite zu erhalten.



2. Pflichten von Verantwortlichen / Auftagsverarbeitern

Gemäß der Datenschutz-Grundverordnung (DSGVO) haben sowohl Verantwortliche als auch Auftragsverarbeiter bestimmte Pflichten in Bezug auf den Schutz personenbezogener Daten. Hier sind einige wichtige Pflichten, die von beiden Parteien erfüllt werden müssen:

Pflichten der Verantwortlichen:

  1. Transparente Informationspflicht: Verantwortliche müssen Betroffene über die Verarbeitung ihrer personenbezogenen Daten informieren. Diese Informationen müssen klar, präzise und leicht verständlich sein.

  2. Rechtmäßigkeit der Verarbeitung: Verantwortliche dürfen personenbezogene Daten nur auf rechtmäßige Weise verarbeiten. Dazu gehören das Vorliegen einer rechtlichen Grundlage (z. B. Einwilligung der betroffenen Person oder Vertragserfüllung) und die Einhaltung der Grundsätze der Datenverarbeitung.

  3. Zweckbindung: Verantwortliche dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erfassen und verarbeiten. Eine weitere Verarbeitung für unvereinbare Zwecke ist nur in bestimmten Ausnahmefällen zulässig.

  4. Datensparsamkeit: Verantwortliche sollten nur diejenigen personenbezogenen Daten erheben, die für den jeweiligen Verarbeitungszweck erforderlich sind. Es sollten keine übermäßigen oder unnötigen Daten erhoben werden.

  5. Richtigkeit der Daten: Verantwortliche sind verpflichtet, sicherzustellen, dass die personenbezogenen Daten korrekt und auf dem neuesten Stand sind. Unrichtige Daten müssen berichtigt oder gelöscht werden.

  6. Speicherbegrenzung: Verantwortliche sollten personenbezogene Daten nur so lange speichern, wie es für den Zweck der Verarbeitung erforderlich ist. Die Dauer der Datenspeicherung sollte klar definiert sein.

  7. Datensicherheit: Verantwortliche müssen angemessene technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

Pflichten der Auftragsverarbeiter:

  1. Auftragsverarbeitungsvertrag: Auftragsverarbeiter müssen mit dem Verantwortlichen einen schriftlichen Vertrag abschließen, der die datenschutzrechtlichen Anforderungen gemäß DSGVO festlegt.

  2. Datenverarbeitung im Auftrag: Auftragsverarbeiter dürfen personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen verarbeiten und dürfen sie nicht für eigene Zwecke nutzen oder an Dritte weitergeben, es sei denn, dies ist rechtlich erforderlich.

  3. Datensicherheit: Auftragsverarbeiter müssen angemessene technische und organisatorische Maßnahmen treffen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

  4. Unterstützung des Verantwortlichen: Auftragsverarbeiter müssen den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Pflichten unterstützen, beispielsweise bei der Umsetzung von Betroffenenrechten oder bei der Durchführung von Datenschutz-Folgenabschätzungen.

3. Weiterführende Erklärungen

In diesem Kapitel gibt es weiterführende Erklärungen zu bestimmten Themen.
Bitte wählen Sie aus dem Inhaltsverzeichnis auf der rechten Seite.

3.1. Begriffsbestimmungen

Im Sinne der DSGVO bezeichnet der Ausdruck:

  1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
  2. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
  3. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
  4. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  5. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
  6. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  7. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
  8. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
  9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
  10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
  11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
  12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
  13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
  14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
  15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

3.2. Grundsätze für die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen

  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Der Verantwortliche ist für die Einhaltung verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

3.3. Rechtmäßigkeit der Verarbeitung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.