Home / Aktuelles & Termine / it.sec blog

In Art. 15 bis 22 der Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen geregelt, die jede betroffene Person gegenüber dem Verantwortlichen, der ihre personenbezogenen Daten verarbeitet, per Antrag geltend machen kann:

  • Recht auf Auskunft über die beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten, die die betroffene Person betreffen, gemäß Art. 16 DSGVO.
  • Recht auf Löschung der beim Verantwortlichen verarbeiteten personenbezogenen Daten in den Fällen des Art. 17 Abs. 1 lit. a) bis f) DSGVO.
  • Recht auf Einschränkung / Sperrung der beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 18 Abs. 1 DSGVO.
  • Recht auf Datenübertragbarkeit, d.h. die betroffene Person kann, sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, verlangen, dass der Verantwortliche die bei ihm verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format der betroffenen Person selbst oder einem von der betroffenen Person bestimmten Dritten übermittelt.
  • Recht, der weiteren Datenverarbeitung beim Verantwortlichen zu widersprechen gemäß Art. 21 DSGVO.
  • Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, gemäß Art. 22 Abs. 1 DSGVO bzw. Einspruchsrecht gegen eine erfolgte automatisierte Einzelentscheidung gemäß Art. 22 Abs. 3 i.V.m. Art. 22 Abs. 2 lit. a) oder c) DSGVO.

Die Informationen über die ergriffenen Maßnahmen auf den Antrag der betroffenen Person hin, sind der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person zur Verfügung zu stellen. Sofern es erforderlich ist, die Frist aufgrund der Komplexität und Anzahl von Anträgen um 2 Monate zu verlängern, unterrichtet der Verantwortliche die betroffene Person spätestens einen Monat nach Eingang des Antrags über die Fristverlängerung sowie die Gründe für die Verzögerung.

Wird der Verantwortliche auf Antrag der betroffenen Person nicht tätig, unterrichtet er die betroffene Person ohne Verzögerung, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person über die Gründe hierfür. Insbesondere unterrichtet der Verantwortliche die betroffene Person, wenn er in den Fällen des Art. 11 Abs. 2 DSGVO nicht in der Lage ist, die betroffene Person im System zu identifizieren, dies glaubhaft darlegt und daher ihrem Antrag nicht nachkommen kann.

Im Fall einer Pflicht zur Berichtigung, Löschung oder Einschränkung der Daten, informiert der Verantwortliche die Empfänger der personenbezogenen Daten gemäß Art. 19 DSGVO, damit diese etwaige bei ihnen vorhandene Kopien oder Replikationen dieser personenbezogenen Daten ebenfalls berichtigen, löschen oder einschränken.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Profiling wird in Art. 4 Nr. 4 DSGVO wie folgt definiert: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten genutzt werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, anhand von Algorithmen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Rechtmäßigkeit der damit verbundenen Datenverarbeitung bestimmt sich nach Art. 6 Abs. 1 DSGVO.

Der betroffenen Person steht aber ein Widerspruchsrecht gegen das Profiling, also gegen die systematische und umfassende Bewertung der über sie erfassten Daten und Werte, gemäß Art. 21 DSGVO zu.

Die betroffenen Personen müssen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO über das Bestehen eines Profiling sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informiert und auf ihr Widerspruchsrecht gemäß Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO, Art. 21 Abs. 4 DSGVO hingewiesen werden.

Sofern das Profiling zu einer automatisierten Einzelentscheidung führt, richtet sich diese Datenverarbeitung darüber hinaus nach Art. 22 DSGVO.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffenen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein.

Eine solche automatisierte Einzelentscheidung lässt Art. 22 Abs. 2 DSGVO nämlich nur in den folgenden drei Ausnahmefällen zu:

  • Die automatisierte Einzelentscheidung ist für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, erforderlich (Art. 22 Abs. 2 lit. a) DSGVO).
  • Die automatisierte Einzelentscheidung beruht auf Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 22 Abs. 2 lit. b) DSGVO).
  • Die automatisierte Einzelentscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person (Art. 22 Abs. 2 lit. c) DSGVO).

Eine automatisierte Einzelentscheidung, basierend auf besonderen Kategorien personenbezogener Daten und Werte, darf darüber hinaus gemäß Art. 22 Abs. 4 DSGVO nur stattfinden

  • mit Einwilligung der betroffenen Person gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. a) DSGVO oder
  • auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. g) DSGVO.

Eine automatisierte Einzelentscheidung, basierend auf personenbezogenen Daten und Werten minderjähriger betroffenen Personen, sollte nach Erwägungsgrund 71 Abs. 1 S. 5 DSGVO nicht erfolgen.

Auch über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO informiert werden und, sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht, über ihr Widerrufsrecht gemäß Art. 13 Abs. 2 lit. c) DSGVO, Art. 14 Abs. 2 lit. d) DSGVO, Art. 7 Abs. 3 S. 3 DSGVO in Kenntnis gesetzt werden. Der betroffenen Person muss zudem ein Einspruchsrecht gegen die Analyseergebnisse der automatisierten Einzelentscheidung eingeräumt werden gemäß Art. 22 Abs. 3 DSGVO.

Des Weiteren muss der Verantwortliche zusätzliche technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreifen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Immobilienmakler Informationspflichten Informationssicherheit IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31