Wie, warum und von wem werden Ihre persönlichen Daten verarbeitet?
Unternehmen oder Verwaltungen müssen Ihnen diese Informationen in einer klaren und einfachen Sprache zum Zeitpunkt der Erhebung Ihrer Daten oder spätestens innerhalb eines Monats mitteilen.
Dieses Recht ist in bestimmten Fällen begrenzt (z.B. öffentliche Sicherheit oder Verfolgung von Straftaten).
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten zur Folge hat, muss der Verantwortliche Sie so bald wie möglich informieren, damit Sie die erforderlichen Vorkehrungen treffen können.
Welche Informationen müssen Ihnen mitgeteilt werden?
Werden personenbezogene Daten bei Ihnen erhoben, so teilt der Verantwortliche Ihnen Folgendes mit:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Werden personenbezogene Daten nicht bei Ihnen erhoben, so teilt der Verantwortliche Ihnen zusätzlich die Kategorien personenbezogener Daten, die verarbeitet werden, mit.
Zusätzlich zu diesen Informationen stellt der Verantwortliche Ihnen folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Schließlich müssen Ihnen bestimmte Informationen im Falle einer Verletzung des Schutzes personenbezogener Daten mitgeteilt werden.
Wer muss Ihnen diese Informationen mitteilen?
Der für die Verarbeitung Verantwortliche muss Ihnen diese Informationen zur Verfügung stellen.
Im Sinne der Verordnung bezeichnet dieser Ausdruck "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".
Die gleiche Informationspflicht obliegt dem Verarbeiter, der Ihre Daten verarbeitet und an Dritte weitergeben will.
Wie sollen diese Informationen an Sie übermittelt werden?
Die Informationen, die Sie erhalten, müssen leicht zugänglich, leicht verständlich und einfach formuliert sein.
Die Informationen werden schriftlich oder auf anderem Wege, gegebenenfalls auch auf elektronischem Wege, übermittelt.
Wann sollten Sie informiert werden?
Wenn die Daten direkt von Ihnen erhoben wurden, müssen Ihnen diese Informationen zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden.
Bei der indirekten Erhebung, d.h. wenn die Daten nicht direkt von Ihnen erhoben wurden, müssen Ihnen diese Informationen zur Verfügung gestellt werden:
- unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
- falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
- falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
In welchen Fällen findet das Recht auf Information keine Anwendung?
Das Recht auf Information findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt.
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, findet das Recht auf Information keine Anwendung, wenn und soweit:
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
- die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
- die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Sonderfall: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ("data breach")
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten zur Folge, so muss der Verantwortliche Sie unverzüglich von der Verletzung benachrichtigen.
Die Benachrichtigung beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d der DSGVO genannten Informationen und Maßnahmen.
Die Benachrichtigung ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
- der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.