Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a)   den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b)   die Zwecke der Verarbeitung;

c)   eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d)   die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e)   gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f)   wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g)   wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(2)   Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a)   den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b)   die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

c)   gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

d)   wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3)   Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

 

(4)   Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

 

(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

 

Artikel 27 – Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

(2)   Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für

a)   eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder

b)   Behörden oder öffentliche Stellen.

(3)   Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

 

(4)   Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

 

(5)   Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.

 

Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

 

(2)   Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

 

(3)   Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

 

Artikel 23 – Beschränkungen

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a)   die nationale Sicherheit;

b)   die Landesverteidigung;

c)   die öffentliche Sicherheit;

d)   die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e)   den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f)   den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g)   die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

h)   Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i)   den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j)   die Durchsetzung zivilrechtlicher Ansprüche.

(2)   Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

a)   die Zwecke der Verarbeitung oder die Verarbeitungskategorien,

b)   die Kategorien personenbezogener Daten,

c)   den Umfang der vorgenommenen Beschränkungen,

d)   die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;

e)   die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,

f)   die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,

g)   die Risiken für die Rechte und Freiheiten der betroffenen Personen und

h)   das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.

Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2)   Absatz 1 gilt nicht, wenn die Entscheidung

a)   für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b)   aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c)   mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3)   In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

 

(4)   Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

 

Artikel 21 – Widerspruchsrecht

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

(2)   Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

 

(3)   Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

 

(4)   Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.

 

(5)   Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.

 

(6)   Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

 

Frohe Weihnachten und einen guten Rutsch ins Jahr 2025!

Ein Rückblick auf die Datenschutzthemen des Jahres 2024

Das Jahr 2024 neigt sich dem Ende zu, und es ist die perfekte Gelegenheit, innezuhalten, zurückzublicken und uns auf das kommende Jahr vorzubereiten. In diesen festlichen Tagen, in denen wir für ein paar entspannte Momente zusammenkommen, lohnt es sich, auch einen Blick auf die sich stetig entwickelte Landschaft des Datenschutzes zu werfen. Insbesondere die Themen rund um die DSGVO haben in diesem Jahr viel Aufmerksamkeit erregt.

Schadensersatz bei DSGVO-Verstößen

Ein zentrales Thema in diesem Jahr war der Schadensersatz bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Immer mehr Betroffene haben sich entschieden, ihre Rechte durchzusetzen und Schadensersatzansprüche geltend zu machen. Die Gerichte müssen zunehmend klären, unter welchen Bedingungen eine Entschädigung gerechtfertigt ist. Diese Entwicklungen haben nicht nur die Verantwortlichen in Unternehmen in Alarmbereitschaft versetzt, sondern auch das Bewusstsein der Verbraucher für ihre Datenrechte geschärft. In vielen Fällen zeigt sich, dass Unternehmen gut beraten sind, ihre Datenschutzstrategien zu überprüfen und gegebenenfalls zu verbessern, um künftig teuren Klagen und Schäden vorzubeugen.

DSGVO Evaluation 2024

Im kommenden Jahr wird eine umfassende Evaluierung der DSGVO erwartet. Nach nunmehr sechs Jahren seit Inkrafttreten dieser wegweisenden Verordnung ist es an der Zeit zu bewerten, wie wirksam die DSGVO in der Praxis ist und ob sie die gewünschten Schutzziele erreicht. Experten und Juristen werden sich damit beschäftigen, wie die Verordnung angepasst und optimiert werden kann, um den aktuellen Herausforderungen in der digitalen Welt gerecht zu werden. Diese Evaluation ist nicht nur für Regulierungsbehörden von Interesse, sondern auch für Unternehmen und Verbraucher, die auf Veränderungen im rechtlichen Rahmen vorbereitet sein müssen.

KI-Datenschutz

Ein weiteres wichtiges Thema sind die Datenschutzaspekte im Kontext der Künstlichen Intelligenz (KI). Da KI-Technologien immer mehr in unseren Alltag integriert werden, stehen Datenschutz und ethische Fragen im Zusammenhang mit deren Einsatz im Mittelpunkt der Diskussion. Insbesondere der Umgang mit Daten, die zur Schulung von KI-Systemen verwendet werden, rückt in den Fokus. Unternehmen sind gefordert, sicherzustellen, dass sie die Daten ihrer Nutzer verantwortungsvoll und im Einklang mit der DSGVO behandeln. Auch die rechtlichen Rahmenbedingungen für KI sind noch in der Entwicklung, was ein spannendes, aber auch herausforderndes Thema für 2025 darstellt.

Fazit

Während wir das Jahr 2024 hinter uns lassen und uns auf 2025 freuen, ist es wichtig, diese Themen im Auge zu behalten. Datenschutz bleibt ein zentrales Anliegen in unserer zunehmend digitalisierten Welt. Lassen Sie uns die Lehren aus diesem Jahr mitnehmen, um in Zukunft verantwortungsvoller und nachhaltiger mit Daten umzugehen.
Wir wünschen Ihnen und Ihren Lieben eine besinnliche Weihnachtszeit und einen erfolgreichen Start ins neue Jahr! Möge 2024 für uns alle ein Jahr des Wachstums, der Zusammenarbeit und des respektvollen Umgangs mit unseren Daten sein.

Die Welt braucht Frieden!

Wie jedes Jahr, verzichten wir auf Weihnachtsgeschenke für unsere Kunden und setzen das Geld für einen Guten Zweck ein.

Unser diesjährige Spende geht an den Weltfriedensdienst e.V. in Berlin.

Frohe Weihnachten und einen guten Rutsch!

Ihr Oliver Krause

Artikel 20 – Recht auf Datenübertragbarkeit

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

(1)   Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a)   die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und

b)   die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2)   Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

 

(3)   Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

 

(4)   Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

 

Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

EU-DSGVO Datenschutzgrundverordnung Gesetzestext

Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.