Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte

Ähnliche Dokumente
X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

KURZBEWERTUNG DER EUROPÄISCHEN DATENSCHUTZVERORDNUNG

Datenschutzvereinbarung

Gründe für ein Verfahrensverzeichnis

Datenschutz und Informationsfreiheit in Berlin. Ratgeber zum Datenschutz 6

Anlage zur Auftragsdatenverarbeitung

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Secorvo. Partner und Unterstützer

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Datenschutz im Spendenwesen

Öffentliches Verfahrensverzeichnis

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Von Stefan Lang und Ralf Wondratschek

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Verordnung über den Schutz von Personendaten (Kantonale Datenschutzverordnung)

Datenschutz ist Persönlichkeitsschutz

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Das Facebook Urteil des EuGH EuGH, Ut. v , Rs. C-352/14 (Schrems)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung über den Datenschutz bei der geschäftsmäßigen Erbringung von Postdiensten (Postdienste-Datenschutzverordnung PDSV) Vom 2.

der crossinx GmbH Hanauer Landstrasse 291A Frankfurt/M. nachstehend Unternehmen genannt DS001 DS-Richtlinie Datenschutz-Richtlinie

Rechtssicherheit in der Benutzung von Archiven

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Datenschutz im Web viel mehr als nur lästige Pflicht

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Rechte der Kunden. 1 Auskunftsrechte der Kunden

12a HmbDSG - Unterrichtung bei der Erhebung

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

8. Adressenhandel und Werbung

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG)

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Verbraucherdatenschutz Welche Datenschutzrechte habe ich als Kunde und Verbraucher?

Amtsblatt Nr. L 288 vom 18/10/1991 S Finnische Sonderausgabe: Kapitel 5 Band 5 S Schwedische Sonderausgabe: Kapitel 5 Band 5 S.

Allgemeine Geschäftsbedingungen für den Online-Shop

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

Datenschutz- und Vertraulichkeitsvereinbarung

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Datenschutz-Vereinbarung

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Ihre personenbezogenen Daten und die EU-Verwaltung: Welche Rechte haben Sie?

Öffentliches Verfahrensverzeichnis

Schutz der Sozialdaten

Hinweise zum Erstellen eines Verfahrensverzeichnisses

HEUKING KÜHN LÜER WOJTEK Datenschutz Europa Was kommt auf die Schweiz zu?

IMI datenschutzgerecht nutzen!

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Allgemeine Nutzungsbedingungen. für das Video Portal WERDER.TV. Stand: August Anwendungsbereich und Vertragsinhalt

Datenschutzkodex Legislativdekret vom 30. Juni 2003

Vereinbarung Auftrag gemäß 11 BDSG

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

DATENSCHUTZERKLÄRUNG

Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

BLF Logifood./. EDV-Plattform, Az. 90/15 Nutzungsbedingungen KIS und Mediathek. Nutzungsbedingungen. I. Vertragsgegenstand, Änderungen

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Versicherungsvermittlung/-beratung Mitteilungsverfahren für die Aufnahme einer Tätigkeit im Rahmen der Dienst- oder Niederlassungsfreiheit

DIGITALE PRIVATSPHAERE

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Datenschutz-Unterweisung

2. Vertretungsberechtigte Geschäftsführer der K.I.T. Group GmbH: Willy E. Kausch Jocelyne Mülli

BDSG: Änderungen zum (Scoring)

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

Psychotherapie: Anerkennung ausländischer Berufs- bzw. Studienqualifikationen

3 HmbDSG - Datenverarbeitung im Auftrag

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Datenschutzerklärung moove

Telekommunikation Ihre Datenschutzrechte im Überblick

Der betriebliche Datenschutzbeauftragte

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

II. Zweckbestimmung der Datenerhebung, -verarbeitung oder nutzung

BAYERISCHER JUDO-VERBAND E.V.

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

Meine Daten. Mein Recht

Datenschutzerklärung. Datum: Version: 1.1. Datum: Version: 1.1

Datenschutzerklärung der Vinosent GbR

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein. Erhöhung des Datenschutzniveaus zugunsten der Verbraucher. Projektnummer: 04HS052

Transkript:

Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte Vorbemerkungen Die EU-Datenschutz-Grundverordnung (DS-GVO) stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DS-GVO enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DS-GVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten. Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls in der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten. Transparenzvorgaben Art. 12 DS-GVO Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen werden schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt; ausnahmsweise auch mündlich, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person nachgewiesen wurde. Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen z. B. eine Auskunft erteilen (Art. 12 Abs. 3) oder davon absehen. Wird der Verantwortliche aber nicht tätig (Art. 12 Abs. 4), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (Art. 12 Abs. 3), in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen, aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5).

Art. 13 DS-GVO Informationspflicht bei Datenerhebung beim Betroffenen Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. Direkterhebung meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1) die betroffene Person umfassend über die Verarbeitung informieren und Folgendes mitzuteilen: Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, Kontaktdaten des Datenschutzbeauftragten, Zwecke der Verarbeitung und Rechtsgrundlage, wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen, ggf. Empfänger oder Kategorien von Empfängern, Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission, Dauer der Datenspeicherung, Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit, Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a), Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde, Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22). Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten, als zu dem für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen. Über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 (Prüfung, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 überhaupt zulässig ist). Ausnahmen: Nach Art. 13 Abs. 4 entfällt die Information bei Direkterhebung, wenn und soweit die betroffene Person bereits über die Information verfügt. Weitere geringfügige Ausnahmen hierzu enthält auch 32 des neuen BDSG-neu, welches am 25. Mai 2018 in Kraft tritt. Hier hat der Gesetzgeber von den Öffnungsklauseln Gebrauch gemacht und weitere Eingrenzungen aufgenommen. Art. 14 DS-GVO Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt Erfolgt die Datenerhebung nicht beim Betroffenen, sind die Informationspflichten weitgehend parallel zu Art. 13 Abs. 1 und 2 geregelt. Abweichungen sind folgende: Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden, zum Beispiel Kundendaten, Mitarbeiterdaten. Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen. Außerdem muss nicht über die Pflicht zur Bereitstellung der Daten informiert werden, also ob es sich um eine freiwillige Angabe handelt oder nicht. Des Weiteren gibt es im Unterschied zu Art. 13 detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5, wenn die Informationspflicht entfällt. 2

Auch hier sind weitere Ausnahmen in den 29, 33 des BDSG-neu zu finden. Auch zur Videoüberwachung gibt es in 4 Abs. 2 des BDSG-neu Ausnahmen. Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere ein Nachweis über die Mitteilung der Informationen geführt werden kann. Art. 15 DS-GVO Auskunftsrecht Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über: Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden, Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer, soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer, Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung, über das Beschwerderecht bei der Aufsichtsbehörde, über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden, soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, wenn Übermittlung an Drittländer/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46 Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund Nr. 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG-neu Erleichterungen bzw. Modifizierungen vor ( 29, 30, 34). Art. 16 DS-GVO Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie unrichtig sind. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten auch mittels einer ergänzenden Erklärung zu verlangen. Art. 17 DS-GVO Recht auf Löschung, Recht auf Vergessenwerden Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich gelöscht werden, wenn folgende Gründe vorliegen (Art. 17 Abs. 1): Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, 3

die betroffene Person widerruft ihre Einwilligung (Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a), und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung, die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen, berechtigten Gründe für die weitere Verarbeitung vor, die personenbezogenen Daten wurden unrechtmäßig verarbeitet, die Löschung der personenbezogenen Daten ist aufgrund eines spezielleren Gesetzes erforderlich, d. h. zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, die personenbezogenen Daten wurden in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben. Hier geht es um die Idee des digitalen Radiergummis, wobei dies nicht nur für den Online- Bereich gilt. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1), muss er nach Art. 17 Abs. 2 unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Ein Verantwortlicher muss also andere Verantwortliche darüber informieren, dass der Betroffenen die Löschung etwa aller Links oder Kopien verlangt. Ausnahmen (Art. 17 Abs. 3): Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist: Ausübung des Rechts auf freie Meinungsäußerung und Information, Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungspflichten), die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert oder zur Wahrung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die den Verantwortlichen übertragen wurde, Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, im öffentliche Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Weitere Ausnahmen etwa für in Papierform gespeicherte Daten sieht 35 BDSG-neu vor. Art. 18 DS-GVO Recht auf Einschränkung der Verarbeitung Unter Einschränkung der Verarbeitung sind nach den Erwägungsgründen Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden. Die betroffene Person hat das Recht, von dem Verantwortlichen diese Einschränkung der Verarbeitung zu verlangen, wenn die nachfolgend aufgezählten Voraussetzungen vorliegen: Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen, die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen eine Einschränkung der Verarbeitung, der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, 4

die betroffene Person hat Widerspruch gegen eine auf berechtigte Interessen des Verantwortlichen gestützte Verarbeitung eingelegt, und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten mit Ausnahme ihrer Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3). Ausnahmen finden sich im BDSG-neu ( 35). Art. 20 DS-GVO Recht auf Datenübertragbarkeit Eine betroffene Person, die einem Verantwortlichen sie betreffende personenbezogene Daten bereitgestellt hat, hat das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist die betroffene Person berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln. Dies gilt allerdings nur, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mit Hilfe automatisierter Verfahren erfolgt. Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist. Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden. Art. 21 DS-GVO Recht auf Widerspruch Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch für ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6). Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennter Form hingewiesen werden. 5

36 BDSG-neu schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen ein, bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein. Art. 22 DS-GVO Automatisierte Entscheidung im Einzelfall Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei hat die betroffene Person insbesondere das Recht auf Eingreifen einer Person aufseiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auch auf Anfechtung der Entscheidung. Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung de Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. Geringfügige Ausnahmen finden sich in 37 BDSG-neu. Ansprechpartnerinnen: Andrea Grimme Tel.: 0395 5597-308 Fax: 0395 5597-512 Mail: andrea.grimme@neubrandenburg.ihk.de Heide Klopp Tel.: 0395 5597-205 Fax: 0395 5597-512 Mail: heide.klopp@neubrandenburg.ihk.de Stand: August 2017 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback