Nach Artikel 3 (12) der Verordnung (EU) 2018/1725 ist ein Auftragsverarbeiter “eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet”. Der wichtigste Punkt hier ist, dass der Auftragsverarbeiter nur “im Auftrag” der verantwortlichen Stelle tätig wird und folglich nur nach den Anweisungen der verantwortlichen Stelle handelt. Zum Beispiel verarbeitet ein Sicherheitsdienstleister, der die Zugangskontrolle für ein Gebäude eines EU-Organs regelt, personenbezogene…
Read MoreBerichtigungsrecht
Das Berichtigungsrecht ist das Recht, von dem für die Verarbeitung Verantwortlichen die unverzügliche Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen (Artikel 18 der Verordnung (EU) 2018/1725 ). Das Berichtigungsrecht bildet eine wichtige Ergänzung zum Auskunftsrecht und ist wichtig dafür, ein hohes Datenqualitätsniveau aufrechtzuerhalten. Zur Ausübung des Berichtigungsrechts muss sich die betroffene Person üblicherweise in schriftlicher Form an den für die Verarbeitung Verantwortlichen wenden. Ein Beispiel zur Veranschaulichung: Wenn sich Ihre…
Read MoreBeschwerde
Nach Artikel 63 Absatz 1 der Verordnung (EU) 2018/1725 „hat jede betroffene Person das Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“. Artikel 68 der Verordnung sieht außerdem vor: „Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, auch ohne den Dienstweg einzuhalten.“ Wer der Ansicht ist, dass ein…
Read MoreDatenminimierung
Der Grundsatz der „Datenminimierung“ bedeutet, dass ein für die Verarbeitung Verantwortlicher die Erhebung personenbezogener Daten auf die Informationen beschränken sollte, die von direkter Relevanz und für die Erfüllung eines spezifischen Zwecks erforderlich sind. Außerdem sollten die Daten nur so lange aufbewahrt werden, wie es für die Erfüllung dieses Zwecks erforderlich ist. Anders ausgedrückt, sollten die für die Verarbeitung Verantwortlichen nur die personenbezogenen Daten erheben, die sie benötigen, und diese nur…
Read MoreDatenschutz-Folgenabschätzung (DSFA)
Der Verantwortliche führt eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durch, wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Bewertung muss vor der Verarbeitung erfolgen und insbesondere bei Verwendung neuer Technologien die Art, den Umfang, den Kontext und den Zweck der Verarbeitung berücksichtigen. Gemäß Artikel 39 der Verordnung 2018/1725 kann bei einer Einzelbewertung…
Read MoreDritter
Gemäß Artikel 3 Buchstabe 14 der Verordnung (EG) Nr. 2018/1725 bezeichnet der Begriff „Dritter“ eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“. Im Kontext der Organe und Einrichtungen der EU kann ein Dritter eine Behörde oder eine private Partei sein, die die personenbezogenen Daten eines…
Read MoreRechenschaftspflicht
Die Rechenschaftspflicht (accountability) ist ein Grundsatz, der sicherstellen soll, dass die für die Verarbeitung Verantwortlichen im allgemeinen in der Lage sind, die Einhaltung datenschutzrechtlicher Grundsätze in der Praxis zu garantieren und nachzuweisen. Die Rechenschaftspflicht erfordert, dass die für die Verarbeitung Verantwortlichen geeignete interne Mechanismen und Kontrollsysteme etablieren, die die Einhaltung sicherstellen und den Nachweis – wie z.B. Prüfberichte – erbringen, um die Einhaltung an externen Stakeholdern einschließlich Aufsichtsbehörden zu demonstrieren.
Read MoreRecht auf Einschränkung der Verarbeitung
Bei einer Einschränkung der Verarbeitung werden Daten durch den Verantwortlichen zu einem bestimmten Zeitpunkt und für eine bestimmte Dauer „eingefroren“. Der Zugang zu den gesperrten Daten ist ausschließlich auf Personen mit den erforderlichen Befugnissen beschränkt. Gemäß Artikel 20 der Verordnung (EU) 2018/1725 hat die betroffene Person das Recht, bei dem Verantwortlichen eine Einschränkung der Verarbeitung zu erwirken, wenn eine der folgenden Voraussetzungen gegeben ist: ihre Richtigkeit wird von der betroffenen Person bestritten und es…
Read MoreRecht auf Information
Jeder hat das Recht, zu wissen, dass seine personenbezogenen Daten verarbeitet werden und für welchen Zweck. Das Recht auf Information ist wichtig, da es die Basis für die Ausübung anderer Rechte ist. Das Recht auf Information bezieht sich auf die Informationen, die eine betroffene Person zu erhalten hat, unabhängig davon, ob die Daten bei der betroffenen Person erhoben wurden oder nicht. Die Informationspflicht umfasst die Identität des für die Verarbeitung…
Read MoreSicherheit der Verarbeitung
Gemäß Artikel 33 der Verordnung (EU) N° 2018/1725 hat der für die Verarbeitung Verantwortliche technische und organisatorische Maßnahmen zu treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Ein Beispiel für eine solche Maßnahme in Artikel 33 könnte gegebenenfalls die Pseudonymisierung und die Verschlüsselung von Daten sein.
Read More