Home / Aktuelles & Termine / it.sec blog

Am Ende des Jahres werden immer die beliebtesten Passwörter der Deutschen im Internet bekannt gegeben.

 

Diese werden jährlich von IT-Sicherheitsexperten des Hasso-Plattner-Instituts in Potsdam ermittelt. Insgesamt wurden für diese Studie ca. 1 Milliarde Nutzerkonten analysiert und ausgewertet, die aus 31 veröffentlichten Datenlecks in unterschiedlichen Bereichen stammen und im Internet frei verfügbar sind. Dabei konnte herausgefunden werden, dass 20 % der Nutzer ein identisches Passwort für verschiedene Accounts benutzen und bei 27 % der Nutzer lag eine sehr hohe Ähnlichkeit in der Zeichenfolge vor. Die Passwörter werden von Nutzern also sehr häufig nur geringfügig abgeändert.

 

Im Jahr 2016 schaffte es das Wort „hallo“ auf den ersten Platz der Liste!! Auf Platz zwei landete wiederholt das Passwort „passwort“. Auf den dritten Platz schafft es „hallo123“. Überraschend ist das Wort „schalke04“ auf dem 4. Platz. „passwort1“ schmückt Platz 5 und „qwertz“ Platz sechs gefolgt von „arschloch“, „schatz“, „hallo1“ und „ficken“. Achtung, der bisherige Passwortsieger der vergangenen Jahre „123456“ nimmt weiterhin einen weltweiten Spitzenplatz ein. Im hier vorliegenden Ranking wurden jedoch keine bloßen Zahlenkombinationen berücksichtigt.

 

Auch wenn man die Passwörter auf den ersten Blick erst einmal lustig finden mag, sicher sind diese auf keinen Fall. Und doch benutzt sie fast jeder für den ein oder anderen Account. Es wäre zu begrüßen, wenn man als User zur Verwendung von Mindestlängen und Sonderzeichen gezwungen werden würde.

 

Für ein sicheres Passwort, dass man sich leicht merken kann, kann eine sogenannte Passwortkarte herangezogen werden. Diese finden Sie frei zugänglich im Internet, einfach ausdrucken und lediglich zwei Koordinaten merken.

 

Dr. Bettina Kraft

 

Beraterin für Datenschutz

 

Justiziarin

 

Profiling wird in Art. 4 Nr. 4 DSGVO wie folgt definiert: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten genutzt werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, anhand von Algorithmen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Rechtmäßigkeit der damit verbundenen Datenverarbeitung bestimmt sich nach Art. 6 Abs. 1 DSGVO.

Der betroffenen Person steht aber ein Widerspruchsrecht gegen das Profiling, also gegen die systematische und umfassende Bewertung der über sie erfassten Daten und Werte, gemäß Art. 21 DSGVO zu.

Die betroffenen Personen müssen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO über das Bestehen eines Profiling sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informiert und auf ihr Widerspruchsrecht gemäß Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO, Art. 21 Abs. 4 DSGVO hingewiesen werden.

Sofern das Profiling zu einer automatisierten Einzelentscheidung führt, richtet sich diese Datenverarbeitung darüber hinaus nach Art. 22 DSGVO.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffenen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein.

Eine solche automatisierte Einzelentscheidung lässt Art. 22 Abs. 2 DSGVO nämlich nur in den folgenden drei Ausnahmefällen zu:

  • Die automatisierte Einzelentscheidung ist für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, erforderlich (Art. 22 Abs. 2 lit. a) DSGVO).
  • Die automatisierte Einzelentscheidung beruht auf Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 22 Abs. 2 lit. b) DSGVO).
  • Die automatisierte Einzelentscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person (Art. 22 Abs. 2 lit. c) DSGVO).

Eine automatisierte Einzelentscheidung, basierend auf besonderen Kategorien personenbezogener Daten und Werte, darf darüber hinaus gemäß Art. 22 Abs. 4 DSGVO nur stattfinden

  • mit Einwilligung der betroffenen Person gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. a) DSGVO oder
  • auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. g) DSGVO.

Eine automatisierte Einzelentscheidung, basierend auf personenbezogenen Daten und Werten minderjähriger betroffenen Personen, sollte nach Erwägungsgrund 71 Abs. 1 S. 5 DSGVO nicht erfolgen.

Auch über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO informiert werden und, sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht, über ihr Widerrufsrecht gemäß Art. 13 Abs. 2 lit. c) DSGVO, Art. 14 Abs. 2 lit. d) DSGVO, Art. 7 Abs. 3 S. 3 DSGVO in Kenntnis gesetzt werden. Der betroffenen Person muss zudem ein Einspruchsrecht gegen die Analyseergebnisse der automatisierten Einzelentscheidung eingeräumt werden gemäß Art. 22 Abs. 3 DSGVO.

Des Weiteren muss der Verantwortliche zusätzliche technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreifen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung enthält keine Detailregelungen für Werbung mehr.

 

Mit der DSGVO fallen alle detaillierten Regelungen des BDSG für die Verarbeitung personenbezogener Daten für werbliche Zwecke weg.

 

Die rechtliche Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, neben einer Einwilligung, die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Eine tragende Rolle spielt hier Erwägungsgrund 47, der ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

 

Bei der dann folgenden Interessenabwägung sind aber auch die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO zu berücksichtigen. Und es darf kein Widerspruch der betroffenen Person vorliegen. Im Rahmen der Interessenabwägung wird man aber wohl bei der Nutzung der Kontaktdaten von Verbrauchern für Telefon- und Fax-Werbung dazu kommen, das diese weiterhin nur mit einer vorherigen ausdrücklichen Einwilligung erlaubt ist. Des Weiteren ist eine Nutzung für E-Mail- und SMS-Werbung ohne Einwilligung nur im Fall der Eigenwerbung bei Bestandskunden unter den Maßgaben von § 7 Abs. 3 UWG zulässig.

 

Ohne Einwilligung kann aber keine werbliche Nutzung besonderer Datenkategorien aus Art. 9 DSGVO erfolgen. Art 6 Abs. 1 lit. f DSGVO stellt für solche Daten keine zulässige Rechtsgrundlage dar. Die DSGVO enthält keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung.

 

Bereits erteilte rechtswirksame Einwilligungen in die Nutzung oder Übermittlung personen-bezogener Daten (z. B. für werbliche Zwecke) gelten fort, sofern sie der Art nach den Bedingungen der Datenschutzgrundverordnung entsprechen, Erwägungsgrund (171 S. 3).

 

Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DSGVO wieder. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in größtmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist.

 

Fazit:

 

Für die Zulässigkeit von Werbung wird in Zukunft fast ausschließlich die nach Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung Anwendung finden.

Dr. Bettina Kraft

Beraterin für Datenschutz

Volljuristin

Verarbeiten zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control") gilt Art. 26 Datenschutzgrundverordnung (DSGVO).

Beispiele:

  • Reisebüro, Hotelkette und Fluggesellschaft betreiben gemeinsam eine Internet-Plattform, über die sie die Daten erheben und verarbeiten.
  • Unternehmen, die derselben Unternehmensgruppe angehören, betreiben eine gemeinsame Webseite

Die Übermittlung z.B. von Beschäftigtendaten durch den Arbeitgeber an das Finanzamt wäre dagegen von Art. 26 DSGVO nicht erfasst, da das Finanzamt und der Arbeitgeber die Zwecke und Mittel der Datenverarbeitung schon gar nicht gemeinsam festlegen oder die Datenverarbeitung arbeitsteilig vornehmen dürfen und somit zwei separate Verantwortliche sind ("separate controllers").

Gemäß Art. 26 Abs. 1 und 2 DSGVO müssen die gemeinsam Verantwortlichen dann in einer Vereinbarung die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Das Wesentliche der Vereinbarung ist den betroffenen Personen zur Verfügung zu stellen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Wie schon im letzten Blog-Eintrag beschrieben, sieht die Datenschutzgrundverordnung (DSGVO) vor, dass Zertifizierungen als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen können. Unter welchen Bedingungen solche Zertifizierungen "amtlich" anerkannt sind, ist ebenfalls dort beschrieben.

Hier möchten wir ein führendes Zertifizierungsverfahren kurz vorstellen, das "ADCERT Privacy Siegel".

Das ADCERT Siegel deckt die Anforderungen der EU-DSGVO vollständig ab, ist aber so ausgelegt, dass auch internationale oder multiregulatorische Anforderungen, bzw. Spezialfälle im Rahmen eines Datenschutz-Managementsystems (DMS oder PMS) adressiert werden können.

Das ADCERT Verfahren ist nicht nur an die allseits bekannte ISO/IEC 27001 "angelehnt". Es fügt sich als derzeit einziges Siegel über die offizielle Schnittstelle für sektorspezifische Erweiterungen (ISO/IEC 27009) vollständig in die ISO/IEC 27001 ein, bzw. bildet die ISO/IEC 27001 Requirements vollständig ab.

Operativ kann das ADCERT Verfahren für sich alleine, als reines Datenschutz-Management-System (DMS) angelegt werden, es kann ebenso in ein bestehendes ISO/IEC 27001 ISMS eingebunden, oder später dahingehend erweitert werden. Insbesondere die Überlappung vieler technischer und organisatorischer Aspekte lässt sich so effizient darstellen und Redundanzen bei der Verwaltung vermeiden.

Auch wenn keine Zertifizierung angestrebt wird, ist es empfehlenswert die Methodologie dennoch anzuwenden

Die Herangehensweise oft schon durch Kenntnisse bei der ISO/IEC 27001 vertraut. Der Ansatz darf als zukunftssichere Investition gesehen werden, da eine kommende Normierung mindestens sehr nahe am ADCERT Verfahren liegen wird. Die Erfinder des Siegels sind in den entsprechenden Normierungsgremien der DIN vertreten und haben im Prinzip den aktuell in den Anfängen stehenden Normierungsbestrebungen zum Datenschutz vorgegriffen. Ebenfalls eingeflossen sind Erfahrungen aus von den Machern durchgeführten Europrise Zertifizierungen, welche halfen an vielen Stellen deutlich verbesserte Transparenz und Planbarkeit zu schaffen:

  • Anerkanntes Verfahrensprinzip
  • Trennung von Beratung und Audit
  • Vergleichbarkeit der Siegelqualität durch Minimierung des Einflusses von "individuellen Auditorenansichten"
  • Planbarkeit der Kosten für Audits
  • Über Requirement-Analyse für alle Rechts- und sonstigen Anforderungsräume geeignet, auch International.
  • Bestimmung der Risiken über eine Privacy Impact Analyse (PIM)
  • Maßnahmen müssen angemessen sein (keine simplen Ja/Nein Checklisten)
  • Nachhaltigkeit der Maßnahmen durch ein Managementsystem gewährleistet, kein bloßer Schnappschuss

Bei Fragen, wenden Sie sich bitte gerne an uns oder direkt an die ADCERT GmbH in Berlin.

Holger Heimann, Geschäftsführer it.sec

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass im Rahmen der Beurteilung eines Verantwortlichen oder Auftragsverarbeiters Zertifizierungen herangezogen werden können, die als Nachweis zur Einhaltung einer Reihe von Vorgaben (z.B. Art. 25 DSGVO) dienen.

Solche Zertifizierungen können also eine dahingehende Indizwirkung entfalten und eigene Überprüfungsaufwendungen mindern helfen. Art. 42 und Art. 43 DSGVO regeln, welche Anforderungen und Möglichkeiten für solche Datenschutz-Zertifizierungen bestehen.

Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den folgenden Zertifizierungsstellen ausgestellt werden:

  • Aufsichtsbehörden
  • Akkreditierte Zertifizierungsstellen

Die Zertifizierungsstelle, die die Zertifizierung vornimmt bzw. das Zertifikat ausstellt, muss gemäß Art. 43 Abs. 1 lit. a) und b) DSGVO von einer der folgenden Akkreditierungsstellen akkreditiert worden sein:

  • Zuständige Aufsichtsbehörde
  • Anerkannte Akkreditierungsstelle i.S.v. Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung (z.B. Deutsche Akkreditierungsstelle GmbH)

Art. 4 Abs. 1 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung schreibt vor, dass jeder EU-Mitgliedstaat eine einzige Akkreditierungsstelle zu benennen hat, die Zertifizierungsstellen akkreditiert. Seit dem 01.01.2015 können nur noch diejenigen Zertifizierungsstellen gültige Zertifikate ausstellen, auf die selbst eine Akkreditierungsurkunde der von den EU-Mitgliedstaaten benannten Akkreditierungsstellen für den betreffenden Akkreditierungsbereich ausgestellt wurde, gemäß Art. 39 der EU-Verordnung 765/2008 über die Vorschriften für die Akkreditierung.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:

  • Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
  • Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
  • Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
  • Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
  • Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
  • Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
  • Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
  • Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
  • Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
  • Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Unternehmen, die personenbezogene Daten verarbeiten, sind unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet. Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Es dürfen folglich nur solche Personen bestellen werden, die in der Lage sind, diese Aufgabe frei von sachfremden Zwängen auszuüben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun in einem solchen Fall eine Geldbuße gegen das Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen in der Regel diese Voraussetzungen. Das BDSG stellt es Unternehmen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird oder aber durch einen Mitarbeiter erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Genau ein solcher Fall lag dem BayLDA nun zur Bearbeitung vor.

In diesem Fall war der interne Datenschutzbeauftragte des Unternehmens gleichzeitig IT-Manager im Unternehmen. Hierin sah der BayLDA einen Interessenskonflikt. Diese Doppelfunktion geht damit einher, dass der Datenschutzbeauftragte sich selbst in seiner Funktion als IT-Manager kontrolliere müsse. Als IT-Manager habe er im Unternehmen aber maßgebliche operative Verantwortung für sämtliche Datenverarbeitungsprozesse. Eine Selbstprüfung ist nicht möglich, so dass es im Ernstfall zu einem wirtschaftlichen Interessenskonflikt führen kann.

Durch die Verhängung eines Bußgeldes durch das BayLDA wird noch einmal deutlich, wie wichtig die tatsächliche Unabhängigkeit des internen Datenschutzbeauftragten ist. Kann keine geeignete Person im Unternehmen gefunden werden, sollte auf einen externen Datenschutzbeauftragten zurückgegriffen werden.

Auch hat das BayLDA wieder einmal aufgezeigt, dass ein Verstoß gegen den Datenschutz kein Kavaliersdelikt ist und durchaus auch mit Bußgeldern geahndet werden kann. Diese Bußgelder werden sich mit der Datenschutzgrundverordnung ab Mai 2018 drastisch erhöhen. Stellen Sie am besten bereits heute sicher, dass Sie in Ihrem Unternehmen datenschutzkonform aufgestellt sind.

Dr. Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Widerspruchsrecht der betroffenen Person:

Die betroffene Person hat gemäß Art. 21 Abs. 1 DSGVO das Recht,

  • der weiteren Verarbeitung ihrer personenbezogenen Daten oder einem Profiling
  • auf Grundlage von Art. 6 Abs. 1 lit. f) oder e) DSGVO

jederzeit zu widersprechen, sofern sich hierfür

  • aus der besonderen persönlichen Situation der betroffenen Person schutzwürdige Interessen am Ausschluss der Datenverarbeitung oder des Profilings ergeben und
  • der Verantwortliche keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung oder das Profiling nachweisen kann.

Ebenso hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung ihrer Daten oder dem Profiling zum Zwecke der Direktwerbung zu widersprechen.

Der Verantwortliche muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das ihr zustehende Widerspruchsrecht hinweisen gemäß Art. 21 Abs. 4, Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO.

Widerrufsrecht der betroffenen Person:

Der betroffenen Person steht gemäß Art. 7 Abs. 3 S. 1 DSGVO ein Widerrufsrecht mit Wirkung für die Zukunft gemäß Art. 7 Abs. 3 S. 2 DSGVO zu aufgrund ihrer freiwillig im Rahmen einer Einwilligung i.S.v. gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 a) DSGVO abgegebenen personenbezogenen Daten.

Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht vor Abgabe ihrer Einwilligung in Kenntnis setzen gemäß Art. 7 Abs. 3 S. 3, Art. 13 Abs. 2 lit. c), Art. 14 Abs. 2 lit. d) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die Herkunft der Daten,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31