53
Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

  • Upload
    others

  • View
    7

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

Jörg Schieb

Schieb-Wissen

Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

Page 2: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

2

Inhalt

DSGVO – das müssen Sie wissen 6

Ein neues Konzept 7 Was kommt als Nächstes? 9 Empfindliche Strafen 10 Für wen gilt die DSGVO? 12

Verarbeiten Sie personenbezogene Daten von EU-Bürgern? 12 Sind Sie gewerblich tätig? 12 Hat Ihr Unternehmen weniger als 250 Mitarbeiter? 13

Welche Rechte haben Sie? 14

1. Das Recht auf Information (Artikel 13 und 14, DSGVO) 14 Welche Informationen müssen bei Erfassung Ihrer Daten angegeben werden? 14 Wann sollten Sie diese Informationen erhalten? 16 Wie werden Ihnen diese Informationen zur Verfügung gestellt? 16 Was passiert, wenn der Inhaber der Datenverarbeitung beabsichtigt, Ihre personenbezogenen Daten zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, zu verarbeiten? 16 Gibt es Umstände, unter denen diese Anforderungen nicht gelten?16

Wenn Ihre personenbezogenen Daten nicht von Ihnen selbst stammen … 17

Wann sollten Sie diese Informationen erhalten? 17 Gibt es Umstände, unter denen diese Anforderungen nicht gelten?17

2. Das Recht auf Zugang zu Informationen (Artikel 15, DSGVO) 18 Kann der Inhaber der Datenverarbeitung eine Gebühr für die Bereitstellung einer Kopie der Informationen erheben? 20 Was passiert, wenn Sie den Zugangsantrag elektronisch stellen?20

3. Das Recht auf Berichtigung (Artikel 16 und 19, DSGVO) 20 4. Das Recht auf Löschung (Artikel 17 und 19, DSGVO) 21

Was passiert, wenn der Verantwortliche Ihre Daten veröffentlicht und zur Löschung verpflichtet ist? 22

Page 3: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

3

Gibt es Umstände, unter denen das Recht auf Vergessen nicht gilt? 23

5. Das Recht auf Datenübertragbarkeit (Artikel 20, DSGVO) 24 Wann entsteht das Recht auf Datenübertragbarkeit? 24 Wenn dieses Recht gilt, wie müssen die Verantwortlichen Daten bereitstellen und übermitteln? 24

6. Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten (Artikel 21, DSGVO) 25

Wann haben Sie ein Einspruchsrecht? 25 Wie lehnen Sie die Verarbeitung ab? 26 Welche Pflichten haben die Verantwortlichen in Bezug auf dieses Recht? 26

7. Das Recht auf Beschränkung (Artikel 18, DSGVO) 26 Wie gilt dieses Recht? 27 Welche Pflichten hat der Inhaber der Datenverarbeitung? 27

8. Automatisierte Entscheidungsfindung, einschließlich Profiling (Artikel 22, DSGVO) 28

Wann ist die automatisierte Verarbeitung personenbezogener Daten zulässig? 28

Angelegenheiten, die für alle oben genannten Rechte gelten (Artikel 12, DSGVO) 29

Beschränkungen bei der Ausübung von Rechten: 29

Wie werden die Informationen bereitgestellt? 30 Welche Fristen gelten für Rechte-Anträge? 31 Was sind die Kosten? 31

Wichtige Begriffe 33

Persönliche / personenbezogene Daten 33 Verarbeitung 34 Datenverantwortlicher 34 Auftragsverarbeiter 34 Einwilligung 35 Profilerstellung 35

Page 4: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

4

Besondere Kategorien personenbezogener Daten 36

Tipps und Tricks 37

Facebook-Daten downloaden 37 Datei anfordern 37 Archiv auswerten 39

Unerwünschte Google-Ergebnisse der eigenen Person löschen 44 Suchaktivitäten vom Google-Server löschen 45 YouTube-Videos korrekt einbetten 46 Mehr Datenschutz beim Chatten 47 Genau hinsehen beim Registrieren im Web 48 Windows 10 und der Datenschutz 49

Page 5: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

5

Liebe Leserin, lieber Leser,

für den bestmöglichen Schutz der eigenen Daten setzen wir Deutsche uns ja schon immer ein. Jetzt gibt es ein neues Datenschutz-Recht – nicht nur für den deutschsprachigen Raum, sondern gleich für die gesamte Europäische Union.

Bei der Entwicklung der Prinzipien, die in dieser sogenannten Datenschutz-Grundverordnung (DSGVO) genannt werden, hat die Europäische Kommission vor allem auf den Online-Handel geachtet. Denn dieser macht immerhin einen großen Teil des heutigen Geschäftslebens aus.

• Doch welche Vorteile bietet die DSGVO Ihnen als Kunden?

• Welche Pflichten gelten ab 25. Mai 2018 für Unternehmen?

• Und wer ist überhaupt von dieser tiefgreifenden Änderung betroffen?

• Wie lassen sich die Rechte im Rahmen der Datenschutz-Grundverordnung in der Praxis durchsetzen?

Wichtige Fragen – in diesem eBook liefern wir Antworten. Viel Spaß beim Lesen und Ausprobieren wünscht

Page 6: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

6

DSGVO – das müssen Sie wissen

Der Weg zur Datenschutz-Grundverordnung der Europäischen Union war eine Aufholjagd – eine Anpassung der Rechtsvorschriften, um auf die Veränderungen im technologischen Umfeld zu reagieren.

Schweden war das erste Land der Welt, das am 11. Mai 1973 ein nationales Datenschutzgesetz erließ. So wollte man dort den Bedenken der Öffentlichkeit hinsichtlich der zunehmenden Verwendung von Computern zur Verarbeitung und Speicherung personenbezogener Daten Rechnung tragen. Mehr als 20 Jahre später, 1995, war das Internet das Reich der frühen Anwender, die Usenet-Newsgroups in Cyber-Cafés hochluden.

• Facebook oder Twitter? Fehlanzeige.

• E-Mail? Ja, schon.

• Webseiten? Noch alles in den Kinderschuhen.

• Verschlüsselung und Sicherheit? Weit gefehlt.

In diesem Umfeld wurde am 24. Oktober 1995 die Richtlinie 95/46/EG verabschiedet. Die so genannte „Datenschutzrichtlinie der Europäischen Union“ (EU) konzentrierte sich auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr.

Page 7: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

7

Die Microsoft-Website von 1994

Diese Richtlinie von 1995 wurde 1998 umgesetzt. Artikel 29 dieser Richtlinie legt die Zusammensetzung und den Zweck der 1996 eingesetzten Artikel-29-Arbeitsgruppe (WP29) fest.

Ein neues Konzept Schließlich gab die EU im Jahr 2009 eine öffentliche Umfrage in Auftrag, um den aktuellen Stand zum Thema Datenschutz zu erkunden.

Page 8: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

8

Im Juni 2011 veröffentlichte der Europäische Datenschutzbeauftragte dann eine Stellungnahme, die als „ein umfassendes Konzept für den Schutz personenbezogener Daten in der Europäischen Union“ gedacht war, und im Januar 2012 wurde die völlig neue Datenschutz-Grundverordnung (DSGVO) vorgestellt. Diese neuen Regeln sollen die Online-Datenschutzrechte für Einzelpersonen stärken, aber auch dem Ziel dienen, die digitale Wirtschaft in Europa anzukurbeln.

Das Papier von 2011

Im März 2014 wurde dann im Europa-Parlament über die Einführung der Datenschutz-Grundverordnung abgestimmt. Mit einer klaren Mehrheit von 621 Ja-Stimmen war dann klar: Die DSGVO kommt.

Die zuständige Kommission stellte dann im Februar 2016 einen Aktionsplan zur Umsetzung der neuen Datenschutzrichtlinie vor, wonach die Verordnung am 24. Mai 2016 in Kraft trat – durchsetzbar ist sie damit 2 Jahre später, also ab dem 25. Mai 2018. 20 Jahre hat es gedauert, bis die EU ein modernes Datenschutzrecht bekam.

Page 9: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

9

Was kommt als Nächstes? Die DSGVO wird ab dem 25. Mai 2018 umgesetzt. Die WP29-Kommission wird durch das European Data Protection Board ersetzt. Dieses unabhängige Gremium, dem alle europäischen Datenschutzbehörden angehören, wird sich dafür einsetzen, dass die Anwendung der DSGVO in der gesamten EU einheitlich erfolgt.

Andere Verordnungen werden eine Aktualisierung im Einklang mit der DSGVO erfordern, wie die Datenschutzrichtlinie und die Verordnung 45/2001, die für EU-Einrichtungen gilt, wenn sie personenbezogene Daten verarbeiten. Die Mitgliedstaaten haben das Recht, besondere Regeln oder Ausnahmen für die Meinungs- und Informationsfreiheit oder im Rahmen des Arbeitsrechts oder der Erhaltung der wissenschaftlichen oder historischen Forschung vorzusehen.

Page 10: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

10

Empfindliche Strafen Die DSGVO ist eine weitreichende und vielschichtige Regelung. Einige der wichtigsten Änderungen sind die Einführung von Geldbußen von bis zu 20 Mio. € oder 4 % des Unternehmensumsatzes und die Einführung einiger neuer Rechte für den Einzelnen. Dies beinhaltet das Recht auf Datenübertragbarkeit (um Ihre persönlichen Daten von einem Unternehmen in einer Form zu erhalten, die leicht mit einer anderen geteilt werden kann), das Recht, dass keine Profile erstellt werden, es sei denn, dies ist gesetzlich oder vertraglich erforderlich, und das Recht, dass Unternehmen Ihre persönlichen Daten auf Antrag löschen („Recht auf Vergessen werden“).

Die Zustimmung ist im Rahmen der DSGVO von zentraler Bedeutung.

Die Zustimmung ist im Rahmen der DSGVO von zentraler Bedeutung. Sie muss freiwillig gegeben, informiert, eindeutig und – bei sensiblen Daten – ausdrücklich sein, und Einzelpersonen können ihre Einwilligung jederzeit widerrufen.

Organisationen, die personenbezogene Daten verarbeiten, müssen Maßnahmen ergreifen, um sicherzustellen, dass die Daten standardmäßig geschützt sind. Hierbei werden die erforderlichen technischen und organisatorischen Maßnahmen getroffen und schon durch das Konzept geschützt. Das heißt, dass die Privatsphäre und der Datenschutz in das Design und die Architektur von Systemen und Technologien integriert sind. Unternehmen außerhalb der EU müssen zudem auch einen Vertreter

Page 11: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

11

in der EU benennen, um Daten über ihre Bürger erfassen zu dürfen. Im Falle eines Verstoßes müssen Organisationen ihre Datenschutzbehörde innerhalb von 72 Stunden informieren, es sei denn, dass der Verstoß kein Risiko für Einzelpersonen darstellt.

Schließlich wird die DSGVO auch dazu führen, dass bei Bedarf Datenschutzbeauftragte in Organisationen ernannt werden (z. B. Organisationen des öffentlichen Sektors und solche, die regelmäßig und systematisch personenbezogene oder sensible Daten in großem Umfang überwachen). Wir werden wahrscheinlich auch die Einführung von Prüfzeichen von Datenschutzbehörden bei denjenigen Organisationen sehen, die diese Einstufung vornehmen, was das Vertrauen der Verbraucher mit einer Zusicherung des Schutzes stärkt.

DSGVO

Einwilligung

Strafen

Rechte

Sicherheit

Page 12: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

12

Für wen gilt die DSGVO? Die Verordnung hat einen enormen Umfang und vereinheitlicht die Datenschutz-Vorschriften in der gesamten EU. Die Tragweite der DSGVO hat dazu geführt, dass viele Unternehmen davon ausgehen, sie gelte nur für Unternehmen, die große Mengen personenbezogener Daten verarbeiten. Abhängig von einer Handvoll Faktoren, unabhängig von der Größe eines Unternehmens, kann es jedoch den Anforderungen der Verordnung unterliegen. Hier sind einige Fragen, um festzustellen, ob Sie die DSGVO als Unternehmen beachten müssen:

Verarbeiten Sie personenbezogene Daten von EU-Bürgern? Wenn ja, dann gilt die DSGVO wahrscheinlich für Sie.

Egal, ob Sie in einem EU-Staat ansässig sind oder nicht - wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet, speichert oder übermittelt, dann sind Sie mit großer Wahrscheinlichkeit dazu verpflichtet, sich an die Datenschutz-Grundverordnung zu halten.

Sind Sie gewerblich tätig? Es gibt einen Vorbehalt, dass die DSGVO nicht für Personen gilt, die personenbezogene Daten ausschließlich im Rahmen ihrer persönlichen oder häuslichen Tätigkeit verarbeiten. Das bedeutet, dass Sie nicht unter die Verordnung fallen, wenn Sie persönliche Kontaktdaten auf Ihrem Computer speichern oder wenn Sie Überwachungskameras in Ihrem Haus haben, um Eindringlinge abzuschrecken.

Um in den Zuständigkeitsbereich der DSGVO zu fallen, muss die Verarbeitung von Daten Teil eines „Unternehmens“ sein. Artikel 4 Absatz 18 der Verordnung definiert dies als jede juristische Person, die eine wirtschaftliche Tätigkeit ausübt. Sie müssen darauf achten, dass Sie

Wichtig

Page 13: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

13

Geschäfte, die von zu Hause aus getätigt werden, nicht mit Haushaltsaktivitäten verwechseln.

Hat Ihr Unternehmen weniger als 250 Mitarbeiter? Die DSGVO erwartet weitgehend, dass alle kleinen und mittleren Unternehmen (KMU) die Verordnung vollständig einhalten, sieht jedoch einige Ausnahmen für Organisationen mit weniger als 250 Beschäftigten vor.

Die Verordnung erkennt an, dass viele KMU ein geringeres Risiko für die Privatsphäre der betroffenen Personen darstellen als größere Organisationen. In Artikel 30 der Verordnung heißt es beispielsweise, dass Organisationen mit weniger als 250 Beschäftigten nicht verpflichtet sind, Aufzeichnungen über die Verarbeitungstätigkeiten unter ihrer Verantwortung zu führen, es sei denn, die von ihr vorgenommene Verarbeitung ist geeignet, die Rechte und Freiheiten der betroffenen Personen zu gefährden, die Verarbeitung ist nicht gelegentlich, oder die Verarbeitung umfasst besondere Kategorien von Daten oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

Page 14: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

14

Welche Rechte haben Sie?

Die Datenschutz-Grundverordnung räumt den Nutzern jede Menge Rechte ein. Um diese allerdings wahrnehmen zu können, müssen Sie sie zunächst einmal überhaupt kennen. Nachfolgend erläutern wir diese Rechte für Nutzer daher im Detail.

1. Das Recht auf Information (Artikel 13 und 14, DSGVO) Sie müssen wissen, was Sache ist – das ist der Kern des Rechts auf Information. Im Detail heißt dies Folgendes:

Welche Informationen müssen bei Erfassung Ihrer Daten angegeben werden? Wenn die personenbezogenen Daten von Ihnen erhoben werden, muss der für die Verarbeitung Verantwortliche Ihnen die folgenden Informationen zur Verfügung stellen:

1. Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen (und gegebenenfalls seines Vertreters);

2. Kontaktdaten des Datenschutzbeauftragten (Verantwortlicher für Datenschutzfragen innerhalb der Organisation);

3. Zweck(e) der Verarbeitung und rechtliche Grundlage der Verarbeitung;

4. Wenn die Verarbeitung auf den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten beruht, sind die berechtigten Interessen diejenigen des Verantwortlichen;

5. Jeden anderen Empfänger der persönlichen Daten;

Page 15: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

15

6. Gegebenenfalls Angaben zu geplanten Verlegungen in ein Drittland (Nicht-EU-Mitgliedstaat) oder eine internationale Organisation sowie Angaben zu Angemessenheitsentscheidungen und Garantien;

7. Die Aufbewahrungsfrist (wie lange eine Organisation Daten aufbewahrt) oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung der Aufbewahrungsfrist;

8. Eine Aufklärung, dass Sie folgende Rechte überhaupt haben:

• Zugangsrecht

• Recht auf Nachbesserung

• Recht auf Löschung

• Recht zur Einschränkung der Verarbeitung

• Recht auf Datenübertragbarkeit

• Widerspruchsrecht -

9. und dass Sie diese bei der verantwortlichen Stelle anfordern können.

10. Wenn die Verarbeitung auf einer Einwilligung beruht, das Recht, die Einwilligung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor ihrem Widerruf zu beeinträchtigen;

11. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;

12. Ob die Bereitstellung personenbezogener Daten eine gesetzliche oder vertragliche Anforderung ist, die für den Abschluss eines Vertrages notwendig ist, eine Verpflichtung und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten;

13. Die Existenz von automatisierten Entscheidungsprozessen, die auf die Daten angewendet werden, einschließlich der Erstellung von

Page 16: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

16

Profilen, sowie aussagekräftige Informationen darüber, wie Entscheidungen getroffen werden, die Bedeutung und die Folgen der Verarbeitung.

Wann sollten Sie diese Informationen erhalten? Zum Zeitpunkt der Erfassung Ihrer persönlichen Daten.

Wie werden Ihnen diese Informationen zur Verfügung gestellt? Das besprechen wir weiter hinten in diesem Buch.

Was passiert, wenn der Inhaber der Datenverarbeitung beabsichtigt, Ihre personenbezogenen Daten zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, zu verarbeiten? Wenn der für die Verarbeitung Verantwortliche beabsichtigt, Ihre personenbezogenen Daten zu einem anderen Zweck zu verarbeiten als dem, zu dem die Daten ursprünglich erhoben wurden:

Der Verantwortliche muss Ihnen vor der weiteren Verarbeitung alle weiteren relevanten Informationen gemäß den obigen Punkten zur Verfügung stellen.

Gibt es Umstände, unter denen diese Anforderungen nicht gelten? Die oben genannten Anforderungen gelten nicht:

• In Fällen, in denen Sie bereits über die oben genannten Informationen verfügen.

Page 17: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

17

Wenn Ihre personenbezogenen Daten nicht von Ihnen selbst stammen … Wenn die personenbezogenen Daten nicht von Ihnen erhoben wurden, muss der für die Verarbeitung Verantwortliche Ihnen diese Daten zur Verfügung stellen:

• Die Informationen unter der obigen Aufzählung;

• Informationen über die Art der persönlichen Daten, die man über Sie gespeichert hat;

• Informationen darüber, wie das Unternehmen die personenbezogenen Daten erhalten haben und ob sie aus öffentlich zugänglichen Quellen stammen.

Wann sollten Sie diese Informationen erhalten? • Innerhalb einer angemessenen Frist nach Erhalt der Daten,

spätestens jedoch innerhalb eines Monats;

• Wenn die Daten zur Kommunikation mit Ihnen verwendet werden, spätestens bei der ersten Kommunikation;

• Wenn erwartet wird, dass Ihre persönlichen Daten an einen anderen Empfänger weitergegeben werden, wenn Ihre persönlichen Daten zum ersten Mal weitergegeben werden.

Gibt es Umstände, unter denen diese Anforderungen nicht gelten? Die oben genannten Anforderungen gelten nicht:

• Wo Sie bereits über die oben genannten Informationen verfügen;

• wenn die Bereitstellung solcher Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde;

Page 18: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

18

• wenn die Einholung der Informationen oder die Offenlegung eine rechtliche Verpflichtung ist und

• wenn die personenbezogenen Daten aufgrund einer gesetzlich geregelten Schweigepflicht vertraulich bleiben müssen.

Dieses Recht wird in der Regel durch eine „Datenschutzerklärung“ erfüllt.

2. Das Recht auf Zugang zu Informationen (Artikel 15, DSGVO) Sie haben das Recht, Folgendes vom Inhaber der Datenverarbeitung zu erhalten:

1. Bestätigung, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden;

2. Wo personenbezogene Daten, die Sie betreffen, verarbeitet werden, eine Kopie Ihrer personenbezogenen Daten;

Soweit personenbezogene Daten, die Sie betreffen, verarbeitet werden, sind weitere Informationen wie folgt:

1. Zweck(e) der Verarbeitung;

2. Kategorien von personenbezogenen Daten;

3. Jeder Empfänger der personenbezogenen Daten, an den die personenbezogenen Daten weitergegeben wurden oder werden, insbesondere Empfänger in Drittländern oder internationalen Organisationen und Informationen über geeignete Schutzmaßnahmen;

4. Die Verweildauer oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung der Verweildauer;

Page 19: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

19

5. Die Existenz der folgenden Rechte -

i. Recht auf Nachbesserung

ii. Recht auf Löschung

iii. Recht auf Einschränkung der Verarbeitung

iv. Einspruchsrecht -

und diese vom Datenverarbeiter anzufordern.

6. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;

Die Webseite des Bundesbeauftragten für Datenschutz finden Sie unter https://www.bfdi.bund.de/DE/Home/home_node.html.

7. Wenn keine personenbezogenen Daten von der betroffenen Person erhoben werden, sind alle verfügbaren Informationen über ihre Herkunft anzugeben;

8. Die Existenz einer automatisierten Entscheidungsfindung, einschließlich der Erstellung von Profilen und aussagekräftigen Informationen über die Art und Weise, wie Entscheidungen getroffen werden, die Bedeutung und die Folgen der Verarbeitung.

Info

Page 20: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

20

Das Recht auf die oben genannten Informationen darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

Kann der Inhaber der Datenverarbeitung eine Gebühr für die Bereitstellung einer Kopie der Informationen erheben? Nein, der Inhaber der Datenverarbeitung muss eine Kopie der Informationen zur Verfügung stellen:

• Kostenlos;

• Werden jedoch weitere Kopien von der betroffenen Person angefordert, kann der für die Verarbeitung Verantwortliche eine angemessene Gebühr erheben.

Was passiert, wenn Sie den Zugangsantrag elektronisch stellen? Die Informationen müssen in elektronischer Form zur Verfügung gestellt werden, sofern Sie nichts anderes verlangen.

3. Das Recht auf Berichtigung (Artikel 16 und 19, DSGVO) • Wenn Ihre persönlichen Daten unrichtig sind, haben Sie das Recht,

die Daten unverzüglich durch den für die Verarbeitung Verantwortlichen berichtigen zu lassen.

Page 21: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

21

• Wenn Ihre persönlichen Daten unvollständig sind, haben Sie das Recht auf Ergänzung der Daten, auch durch ergänzende Informationen.

4. Das Recht auf Löschung (Artikel 17 und 19, DSGVO) Dies wird auch als das „Recht, vergessen zu werden“ bezeichnet.

Sie haben das Recht auf unverzügliche Löschung Ihrer Daten durch den Inhaber, wenn einer der folgenden Gründe vorliegt:

1. wenn Ihre personenbezogenen Daten für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind;

2. Wenn Sie Ihre Einwilligung zur Verarbeitung widerrufen und es keine andere gesetzliche Grundlage für die Verarbeitung der Daten gibt;

3. Wenn Sie Einwände gegen die Verarbeitung haben und keine zwingenden Gründe für die Fortsetzung der Verarbeitung vorliegen (siehe Punkt 6 unten).

4. Wo Sie der Verarbeitung widersprechen und Ihre persönlichen Daten für Direktmarketingzwecke verarbeitet werden (siehe Punkt 6 unten);

5. Wo Ihre persönlichen Daten unrechtmäßig verarbeitet wurden;

6. Wo Ihre persönlichen Daten gelöscht werden müssen, um einer gesetzlichen Verpflichtung nachzukommen;

Page 22: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

22

7. Wenn Ihre persönlichen Daten im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft für ein Kind gesammelt wurden.

Was passiert, wenn der Verantwortliche Ihre Daten veröffentlicht und zur Löschung verpflichtet ist? Wenn der für die Verarbeitung Verantwortliche Ihre personenbezogenen Daten veröffentlicht hat und aufgrund eines der oben genannten Gründe verpflichtet ist, die Daten zu löschen:

• Der für die Verarbeitung Verantwortliche muss jede Berichtigung oder Löschung Ihrer personenbezogenen Daten jedem Empfänger mitteilen, dem die personenbezogenen Daten mitgeteilt wurden, es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden.

Page 23: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

23

• Wenn Sie Informationen über die Empfänger Ihrer persönlichen Daten anfordern, muss der Inhaber der Datenverarbeitung Sie über die Empfänger informieren.

• Der Inhaber der Datenverarbeitung unternimmt angemessene Schritte, um andere Inhaber, die Ihre personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie die Löschung von Links oder Kopien Ihrer Daten durch sie beantragt haben.

• Vernünftige Schritte sind die Berücksichtigung der verfügbaren Technologie und der Kosten für die Umsetzung einschließlich technischer Maßnahmen.

Gibt es Umstände, unter denen das Recht auf Vergessen nicht gilt? Ja, das Recht, vergessen zu werden, gilt nicht, wenn eine Bearbeitung erforderlich ist:

• Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit;

• die Erfüllung einer gesetzlichen Verpflichtung, die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt ausgeführt wird;

• Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (siehe Artikel 9 Absatz 2 Buchstaben h) & i) und Artikel 9 Absatz 3 BIPR)

• Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;

• Begründung, Ausübung oder Abwehr von Rechtsansprüchen.

Page 24: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

24

5. Das Recht auf Datenübertragbarkeit (Artikel 20, DSGVO)

Unter Umständen haben Sie das Recht, Ihre personenbezogenen Daten von einem Verantwortlichen in einem Format zu erhalten, das die Wiederverwendung Ihrer Daten in einem anderen Zusammenhang erleichtert, und diese Daten ungehindert an einen anderen für die Verarbeitung Verantwortlichen Ihrer Wahl zu übermitteln. Dies wird als Recht auf Datenübertragbarkeit bezeichnet.

Wann entsteht das Recht auf Datenübertragbarkeit? Dieses Recht gilt nur, wenn die Verarbeitung personenbezogener Daten (vom Betroffenen) automatisiert erfolgt und Sie der Verarbeitung zugestimmt haben oder wenn die Verarbeitung auf der Grundlage eines Vertrages zwischen Ihnen und dem für die Verarbeitung Verantwortlichen erfolgt.

Dieses Recht gilt nur, soweit es die Rechte und Freiheiten anderer nicht berührt.

Wenn dieses Recht gilt, wie müssen die Verantwortlichen Daten bereitstellen und übermitteln? Wo dieses Recht gilt, müssen die für die Verarbeitung Verantwortlichen personenbezogene Daten in strukturierter, gebräuchlicher und maschinenlesbarer Form zur Verfügung stellen und übermitteln. Daten sind strukturiert und maschinenlesbar, wenn sie von einem Computer leicht verarbeitet werden können.

Page 25: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

25

Im Rahmen dieses Rechts können Sie einen Rechtsinhaber auffordern, Ihre Daten an einen anderen Rechtsinhaber zu übermitteln, sofern dies technisch möglich ist.

6. Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten (Artikel 21, DSGVO)

Wann haben Sie ein Einspruchsrecht? Sie haben das Recht, bestimmten Arten der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, wenn diese Verarbeitung im Zusammenhang mit Aufgaben im öffentlichen Interesse oder unter behördlicher Aufsicht oder im berechtigten Interesse anderer erfolgt.

Sie haben ein stärkeres Recht, der Verarbeitung Ihrer persönlichen Daten zu widersprechen, wenn sich die Verarbeitung auf Direktmarketing bezieht. Wenn ein Inhaber der Datenverarbeitung Ihre personenbezogenen Daten zum Zwecke der Direktwerbung an Sie verwendet oder Sie für Direktmarketingzwecke profiliert, können Sie jederzeit widersprechen, und der Inhaber der Datenverarbeitung muss die Verarbeitung einstellen, sobald er Ihren Widerspruch erhält.

Sie können auch der Verarbeitung Ihrer personenbezogenen Daten zu Forschungszwecken widersprechen, es sei denn, die Verarbeitung ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich.

Page 26: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

26

Wie lehnen Sie die Verarbeitung ab? Um der Verarbeitung zu widersprechen, müssen Sie sich mit dem Inhaber der Datenverarbeitung in Verbindung setzen und die Gründe für Ihren Widerspruch angeben. Diese Gründe müssen sich auf Ihre spezielle Situation beziehen. Wenn Sie einen gültigen Widerspruch erhoben haben, muss der Inhaber der Datenverarbeitung die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, der Inhaber der Datenverarbeitung kann zwingende legitime Gründe für die weitere Verarbeitung Ihrer Daten angeben. Die für die Verarbeitung Verantwortlichen können Ihre personenbezogenen Daten auch dann rechtmäßig weiterverarbeiten, wenn dies für bestimmte Arten von Rechtsansprüchen erforderlich ist.

Welche Pflichten haben die Verantwortlichen in Bezug auf dieses Recht? Wenn das Widerspruchsrecht besteht, sind die für die Verarbeitung Verantwortlichen verpflichtet, Sie bei der ersten Kommunikation mit Ihnen darüber zu informieren. Wenn die Verarbeitung online erfolgt, müssen die für die Verarbeitung Verantwortlichen eine Online-Methode anbieten.

7. Das Recht auf Beschränkung (Artikel 18, DSGVO) Sie haben ein Recht auf Einschränkung der Verarbeitung Ihrer persönlichen Daten durch einen Rechtsinhaber. Soweit die Verarbeitung Ihrer Daten eingeschränkt ist, können sie vom Inhaber gespeichert werden, die meisten anderen Verarbeitungsvorgänge, wie z. B. die Löschung, bedürfen jedoch Ihrer Zustimmung.

Page 27: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

27

Wie gilt dieses Recht? Dieses Recht gilt in vierfacher Hinsicht:

• Die ersten beiden Arten von Beschränkungen der Verarbeitung gelten, wenn Sie der Verarbeitung Ihrer Daten gemäß Artikel 21 widersprochen haben oder wenn Sie die Richtigkeit Ihrer Daten angefochten haben. In diesen Fällen gilt die Einschränkung, bis der für die Verarbeitung Verantwortliche die Richtigkeit der Daten oder das Ergebnis Ihres Widerspruchs festgestellt hat.

• Der dritte Fall, in dem Sie eine Einschränkung beantragen können, betrifft die rechtswidrige Verarbeitung. Wenn Sie in diesen Fällen nicht möchten, dass der Inhaber der Datenverarbeitung Ihre Daten löscht, können Sie stattdessen eine Einschränkung der personenbezogenen Daten beantragen.

• Die vierte Art der Einschränkung gilt, wenn Sie Daten für einen Rechtsanspruch benötigen. In diesem Fall können Sie eine Einschränkung auch dann beantragen, wenn der Datenverantwortliche die Daten nicht mehr benötigt.

Welche Pflichten hat der Inhaber der Datenverarbeitung? Wenn Sie eine Einschränkung der Verarbeitung Ihrer Daten erhalten haben, muss der Inhaber der Datenverarbeitung Sie darüber informieren, bevor er die Einschränkung aufhebt.

Page 28: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

28

8. Automatisierte Entscheidungsfindung, einschließlich Profiling (Artikel 22, DSGVO) Sie haben das Recht, sich nicht einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung beruht. Die Verarbeitung ist „automatisiert“, wenn sie ohne menschlichen Eingriff erfolgt und wenn sie rechtliche Auswirkungen hat oder Sie erheblich beeinträchtigt.

Die automatisierte Verarbeitung beinhaltet die Erstellung von Profilen.

Wann ist die automatisierte Verarbeitung personenbezogener Daten zulässig? Eine automatisierte Verarbeitung ist nur mit Ihrer ausdrücklichen Zustimmung zulässig, wenn dies für die Erfüllung eines Vertrags erforderlich ist oder wenn dies nach dem Recht der Union oder eines Mitgliedstaates zulässig ist. Wenn eine dieser Ausnahmen gilt, müssen geeignete Maßnahmen getroffen werden, um Ihre Rechte, Freiheiten und

Page 29: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

29

berechtigten Interessen zu schützen. Dies kann das Recht auf menschliches Eingreifen seitens des Kontrolleurs, das Recht, Ihren Standpunkt darzulegen und das Recht, die Entscheidung anzufechten, einschließen.

Bezieht sich die automatisierte Verarbeitung auf die besonderen Kategorien personenbezogener Daten (siehe Glossar), so ist sie nur zulässig, wenn Sie der Verarbeitung ausdrücklich zugestimmt haben oder wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Angelegenheiten, die für alle oben genannten Rechte gelten (Artikel 12, DSGVO)

Beschränkungen bei der Ausübung von Rechten: Die DSGVO (Artikel 23) erlaubt alle in diesem Dokument aufgeführten Rechte -

1. Das Recht auf Information;

2. Das Recht auf Zugang;

3. Das Recht auf Berichtigung;

4. Das Recht auf Löschung;

5. Das Recht, die Verarbeitung einzuschränken;

6. Das Recht auf Datenübertragbarkeit;

7. Das Recht, Einspruch zu erheben;

8. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung -

Page 30: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

30

unter bestimmten Umständen, z. B. bei der Verhütung und Aufdeckung von Straftaten, durch nationales Recht eingeschränkt werden.

Wie werden die Informationen bereitgestellt? Wenn Sie von Ihren Rechten gemäß der Datenschutz-Grundverordnung Gebrauch machen, müssen die Ihnen zur Verfügung gestellten Informationen sein:

• In prägnanter, transparenter, verständlicher und leicht zugänglicher Form, in klarer und verständlicher Sprache, insbesondere für alle an ein Kind gerichteten Informationen.

• Die Informationen müssen schriftlich oder auf andere Weise, gegebenenfalls auch auf elektronischem Wege, zur Verfügung gestellt werden.

• Wenn die betroffene Person den Antrag in elektronischer Form stellt, müssen die Informationen, soweit möglich, auf elektronischem Wege übermittelt werden, sofern Sie nichts anderes verlangen.

• Auf Ihren Wunsch hin können die Informationen mündlich erteilt werden, sofern Ihre Identität auf andere Weise nachgewiesen wird.

• Außer in den Fällen, in denen Ihre Rechte eingeschränkt sind, kann sich ein für die Verarbeitung Verantwortlicher nicht weigern, Ihrem Antrag auf Ausübung Ihrer Rechte nachzukommen, es sei denn, der für die Verarbeitung Verantwortliche weist nach, dass er nicht in der Lage ist, Sie zu identifizieren.

Wenn ein für die Verarbeitung Verantwortlicher begründete Zweifel an Ihrer Identität hat, kann er die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung Ihrer Identität erforderlich sind. Das gilt nur in Bezug auf das Recht auf Zugang, Berichtigung, Löschung,

Page 31: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

31

Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungsfindung und Profilerstellung.

Welche Fristen gelten für Rechte-Anträge? Wenn ein Antrag auf Ausübung Ihrer Rechte gestellt wird, muss ein Inhaber der Datenverarbeitung dies tun:

Informationen über die getroffenen Maßnahmen ohne unangemessene Verzögerung zur Verfügung stellen, in jedem Fall innerhalb von 1 Monat nach Eingang der Anfrage.

Die Frist von einem Monat kann erforderlichenfalls um zwei weitere Monate verlängert werden, wobei der Komplexität und der Anzahl der Anträge Rechnung zu tragen ist.

In diesem Fall teilt Ihnen der für die Verarbeitung Verantwortliche innerhalb eines Monats nach Erhalt des Antrags die Gründe für die Verzögerung mit.

Wenn der für die Verarbeitung Verantwortliche nicht unverzüglich auf Ihre Anfrage reagiert, muss er Sie spätestens innerhalb eines Monats nach Eingang Ihrer Anfrage, darüber informieren:

• Die Gründe für das Nichttätigwerden;

• Die Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde einzureichen und einen Rechtsbehelf einzulegen.

Was sind die Kosten? Ihre Anfragen werden kostenlos bearbeitet.

Werden Anträge einer betroffenen Person jedoch als "offensichtlich unbegründet oder übertrieben" betrachtet (z.B. wenn eine Person

Page 32: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

32

weiterhin unnötige Wiederholungsanträge stellt oder die mit der Identifizierung einer Person aus einer Datensammlung verbundenen Probleme zu groß sind), kann der für die Verarbeitung Verantwortliche dies tun:

1. eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen/die Durchführung der angeforderten Maßnahmen zu erheben; oder

2. sich weigern, Ihrer Bitte nachzukommen.

In Fällen, in denen dies als Grund für die Ablehnung eines Zugangsantrags oder die Erhebung einer Gebühr verwendet wird, obliegt es der Organisation zu beweisen, warum sie den Antrag für offensichtlich unbegründet oder übertrieben hält.

Page 33: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

33

Wichtige Begriffe

Die folgenden Begriffe, die in diesem Leitfaden verwendet werden, haben folgende Besonderheiten rechtliche Bedeutungen im Rahmen der DSGVO. Um Ihre Rechte vollständig zu verstehen, lesen Sie bitte das folgende Glossar der wichtigsten Begriffe.

Persönliche / personenbezogene Daten Der Begriff „personenbezogene Daten“ bezeichnet alle Informationen über eine lebende Person, die identifiziert oder identifizierbar sind (eine solche Person wird als „Betroffener“ bezeichnet).

Eine Person ist identifizierbar, wenn sie direkt oder indirekt über einen „Identifikator“ identifiziert werden kann. In der DSGVO gibt es Beispiele für Identifikatoren, einschließlich Namen, Ausweisnummern und Standortdaten. Eine Person kann auch durch Bezugnahme auf die Faktoren identifiziert werden, die spezifisch für ihre Identität sind, wie z. B. physische, genetische oder kulturelle Faktoren.

Page 34: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

34

Verarbeitung Der Begriff „Verarbeitung“ bezieht sich auf jeden Vorgang oder jede Menge von Vorgängen, die mit personenbezogenen Daten durchgeführt werden. Die Verarbeitung umfasst das Speichern, Erfassen, Wiederauffinden, Nutzen, Löschen und Vernichten von persönlichen Daten und kann automatisierte oder manuelle Operationen beinhalten.

Datenverantwortlicher Ein „Datenverantwortlicher“ bezieht sich auf eine Person, ein Unternehmen oder eine andere Stelle, die den Zweck und die Art der Datenverarbeitung bestimmt sowie die Mittel zur Verarbeitung personenbezogener Daten.

Auftragsverarbeiter Bezeichnet eine Person, ein Unternehmen oder eine andere Stelle, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.

Page 35: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

35

Einwilligung Einige Arten der Verarbeitung erfolgen auf der Grundlage Ihrer Einwilligung. Laut der DSGVO muss die Zustimmung zur Verarbeitung frei, spezifisch und informiert sein. Sie können nicht gezwungen werden, Ihre Einwilligung zu geben, Sie müssen sehen können, zu welchem Zweck Ihre Daten verwendet werden, und Sie sollten Ihre Zustimmung als klare positive Handlung angeben (z. B. durch Ankreuzen eines Kästchens).

Die Einwilligung ist nicht die einzige gesetzliche Grundlage, auf der Ihre personenbezogenen Daten verarbeitet werden können. Artikel 6 der DSGVO enthält eine vollständige Liste der rechtmäßigen Zwecke für die Verarbeitung personenbezogener Daten.

Profilerstellung Profiling ist jede Art der automatisierten Verarbeitung von personenbezogenen Daten, die eine Analyse oder Vorhersage Ihres Verhaltens, Ihrer Gewohnheiten oder Interessen beinhaltet.

Page 36: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

36

Besondere Kategorien personenbezogener Daten Bestimmte Arten von sensiblen personenbezogenen Daten unterliegen einem zusätzlichen Schutz durch die DSGVO. Diese sind unter Artikel 9 der DSGVO als „besondere Kategorien“ personenbezogener Daten aufgeführt. Die besonderen Kategorien sind:

• personenbezogene Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren,

• sowie genetische Daten,

• biometrische Daten, die zum Zwecke der eindeutigen Identifizierung einer natürlichen Person verarbeitet werden,

• Daten über die Gesundheit und

• Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.

Die Verarbeitung dieser besonderen Kategorien ist verboten, außer in den in Artikel 9 genannten Fällen.

Page 37: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

37

Tipps und Tricks

Facebook-Daten downloaden Facebook speichert so ziemlich alles, was man anklickt, eingibt oder hochlädt. Aber während das soziale Netzwerk es ziemlich einfach macht, alles, was es über Sie weiß, herunterzuladen, bietet es keinen Ratgeber, wie man diese Daten analysieren oder herausfinden kann, was sie bedeuten.

Datei anfordern An erster Stelle steht das Anfordern der Datei mit den Nutzerdaten. Hier die nötigen Schritte dazu:

1. Zunächst die Facebook-Einstellungen aufrufen.

2. Hier links zum Bereich DEINE FACEBOOK-INFORMATIONEN wechseln.

3. Hier folgt bei der Überschrift DEINE INFORMATIONEN HERUNTERLADEN ein Klick auf den Link ANSEHEN.

Page 38: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

38

4. Im Anschluss auf der angezeigten Seite den gewünschten Zeitraum auswählen. Wir empfehlen: Stellen Sie den Wert auf MEINE GESAMTEN DATEN ein.

5. Dahinter lässt sich auch das Format für die Daten auswählen. Wer die Daten offline durchsuchen will – dazu wird ein Browser verwendet –, entscheidet sich hierfür das standardmäßig vor ausgewählte HTML-Format. Weiterverarbeiten lassen sich die Daten allerdings besser im sogenannten JSON-Format.

6. Schließlich wird noch festgelegt, ob Fotos und Videos in hoher oder nur in durchschnittlicher Auflösung in das Archiv integriert werden sollen.

7. Zum Schluss auf den Button DATEI ERSTELLEN klicken.

Daraufhin beginnt Facebook hinter den Kulissen mit der Zusammenstellung des Archivs. Da dies einige Zeit dauern kann, sendet das soziale Netzwerk gleich zwei E-Mail-Benachrichtigungen an Sie: Die erste trifft sofort ein, sobald die Datei erstellt wird; die zweite E-Mail wird abgesendet, sobald die fertige Datei zum Herunterladen bereitsteht.

Tipp

Page 39: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

39

Je nachdem, wie viele Inhalte man als Nutzer auf Facebook gepostet hat – dazu zählen neben den Beiträgen auch Fotos, Videos, „Gefällt mir“-Angaben und weitere Inhalte –, kann die Erstellung des Datei-Archivs mit sämtlichen Daten einige Zeit in Anspruch nehmen.

Sobald die Datei für den Download auf der Facebook-Plattform bereitsteht, lässt sich auf den eigenen lokalen Computer herunterladen. Beim Entpacken entsteht dabei ein Ordner mit dem Namen des Facebook-Nutzers.

Archiv auswerten Innerhalb dieses entpackten Ordners mit sämtlichen Facebook-Daten ist am interessantesten zunächst die Datei index.htm. Wird diese per Doppelklick in den Browser geladen, erscheint eine Übersicht, die so ähnlich aussieht wie ein abgespecktes Facebook-Profil.

Dabei erscheinen verschiedene Menüeinträge, die zu den unterschiedlichen Arten von Inhalten führen, die in dem Archiv enthalten sind:

Profil Im Abschnitt PROFIL ist dabei sogar zu erkennen, wann genau man sich Facebook registriert hat, mit welchen Kontaktdaten man dort angemeldet ist sowie für welche Arbeitgeber man gearbeitet und an welchen Schulen man studiert hat.

Page 40: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

40

Fotos Wechseln Sie jetzt zum Bereich FOTOS, erscheinen sämtliche Bilder, die Sie jemals auf die Webseite hochgeladen haben, und zwar samt den zugehörigen Metadaten – dazu zählt etwa die IP-Adresse, von der aus jedes Foto geladen wurde.

Weiter unten findet sich in diesem Bereich auch ein Link zu den Daten über die Gesichtserkennung, die Facebook für jeden einzelnen Nutzer speichert, der in die Erfassung der Gesichtsdaten eingewilligt hat. Hier ist unter anderem angegeben, wie viele Fotos Facebook für das Training der Gesichtserkennung aus dem Profil nutzt.

Videos Im Bereich für Videos erscheinen schließlich sämtliche Videoclips, die man seit seiner Registrierung für Facebook hochgeladen und/oder bei Freunden oder anderen in der Chronik gepostet hat.

Facebook speichert übrigens auch Videos, die man zwar aufgezeichnet hat, aber nie für einen Beitrag verwendet hat.

Info

Page 41: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

41

Freunde Auf der Registerkarte für Freunde finden Sie jeden einzelnen Ihrer Facebook-Freunde mitsamt dem Datum, an dem ihr eure Freundschaftsanfrage bestätigt habt. Hat man die Freundschaft zu einer Person gekündigt und später erneut eingerichtet, erscheint diese Person entsprechend auch zweimal in der Liste. Zudem führt Facebook auf der Seite für Freunde auch alle Freundschaftsanfragen auf, die Sie manuell abgelehnt haben.

Ganz unten auf der Seite erscheint eine Einordnung von Facebook, die angibt, zu welchem sozialen Umfeld Sie höchstwahrscheinlich gehören.

Anzeigen Ebenfalls ein interessanter Bereich der eigenen Facebook-Daten – und für das soziale Netzwerk im Sinne der Werbeeinnahmen sogar der wichtigste – ist der Bereich für Anzeigen. Auf dieser Seite zeigt Facebook eine Liste sämtlicher Anzeigenkategorien, die mit dem eigenen Facebook-Account verknüpft sind.

Facebook sammelt für diese Liste also die Interessen des jeweiligen Nutzers genauso wie verschiedene demographische Merkmale. Diese Kategorien von Werbeanzeigen lassen sich von Facebook-Partnern ansprechen, um gezielt Werbung zu präsentieren.

Weiter unten auf der gleichen Seite führt Facebook ebenfalls Buch darüber, auf welche Anzeigen man bereits geklickt hat.

Tipp

Page 42: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

42

Anstupser Auf dieser Seite sollte eigentlich eine Liste sämtlicher Anstupser erscheinen, die man bereits von Freunden auf Facebook erhalten hat. Manche Nutzer berichten allerdings darüber, dass Facebook nur einige dieser Pokes überwacht, während viele andere davon einfach nicht mit aufgeführt werden.

Die letzte Rubrik innerhalb des Facebook Datenarchivs sind schließlich die Anwendungen, mit denen man sich bei Facebook angemeldet hat. Diese Anbieter verfügen über mehr oder weniger persönliche Daten von Ihnen – hier lohnt sich unbedingt ein Blick in die Liste, damit man vor bösen Überraschungen geschützt sein kann.

Page 43: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

43

Anruf- und SMS-Listen Wer ein Android-Gerät verwendet, hat Facebook oder Facebook Lite möglicherweise schon vor Jahren die Erlaubnis erteilt, auf den eigenen Anruf- und SMS-Verlauf zuzugreifen. Die dies funktioniert genauer gesagt bis zur Android-Version 4.1, bei der Google die Berechtigungen für Apps standardmäßig verändert hat.

Nachrichten und Fotos Neben der index.htm-Datei, die wir jetzt im Einzelnen betrachtet haben, enthält das Facebook-Daten Archiv noch weitere Dateien. Meistens handelt es sich um Informationen, aus denen sich der Index zusammensetzt. Darüber hinaus gibt es aber auch weitere Daten, die nicht direkt im Index erscheinen.

Wer zum Beispiel auf der Suche nach sämtlichen Dateien und Bildern ist, die er über Facebook Messenger an andere Personen gesendet hat, findet diese im Ordner messages, <Person>, files. Dementsprechend liegen Fotos im Unterordner photos.

Ist diese Auflistung anscheinend unvollständig, liegt es meist daran, dass Sie zwischendurch bereits einige Facebook-Nachrichten gelöscht haben. Die zugehörigen Nachrichten mit ihren Anlagen erscheinen dann auch nicht mehr im Datenarchiv.

Tipp

Page 44: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

44

Unerwünschte Google-Ergebnisse der eigenen Person löschen Wenn man bei Google nach Ihnen sucht, erscheinen auch Resultate, die nicht stimmen und Sie in ein falsches Licht rücken? Das muss nicht sein. Denn laut der Datenschutz-Grundverordnung haben Sie ein Recht darauf, dass Inhalte gelöscht werden, die Ihre Privatsphäre verletzen.

Dazu hat der Suchmaschinen-Betreiber Google ein Formular aufgesetzt. Google selbst weiß:

„Aus Datenschutzgründen haben Sie eventuell das Recht, bestimmte zu Ihnen gehörige personenbezogene Daten löschen zu lassen.“

Auch Sie können unpassende Such-Ergebnisse löschen lassen. Dazu brauchen Sie den genauen Link, sowie ein Dokument, mit dem Sie beweisen können, dass Sie wirklich die Person sind, für die Sie sich ausgeben (etwa eine aktuelle an Sie adressierte Rechnung).

Mit diesen Daten besuchen Sie dann die Seite https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&hl=de&rd=1&pli=1 auf und tragen die Informationen in die zugehörigen Felder ein. Google bearbeitet Ihren Antrag daraufhin und meldet sich bei weiteren Rückfragen bei Ihnen.

Page 45: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

45

Suchaktivitäten vom Google-Server löschen Dass Google eine „Datenkrake“ ist, ist kein wirkliches Geheimnis. Wer viele der Google-Dienste und Produkte wie Play Music, YouTube, Maps, Bilder oder die ganz normale Google-Suche nutzt, sollte sich darüber bewusst sein, dass Online-Aktivitäten auf diesen Plattformen ihre Spuren auf den Servern von Google hinterlassen.

Wer bestimmte Einträge aus seinem Aktivitätsverlauf löschen will, kann dies über die Seite myactivity.google.com erreichen.

Unter dieser praktischen Webadresse wird der Verlauf des aktuellen Tages je nach Google-Dienst aufgeführt. Über einen Klick auf die drei Punkte lässt sich dieser Verlauf komplett löschen. Außerdem lassen sich in der oberen Suchleiste bestimme Einträge suchen, die zeitlich zurückliegen.

Hier kann nach einem bestimmten Datum oder einem Google-Produkt gefiltert werden, um die Suche einzuschränken. Auch Sprachbefehle, die beispielsweise über Google Assistant oder Google Home registriert werden, können so zurückgesetzt und gelöscht werden. Wem es also

Web

Page 46: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

46

nicht ganz geheuer ist, dass die Sprachassistenten die eigene Sprache ständig analysieren, kann auch diese Daten löschen.

YouTube-Videos korrekt einbetten Wer ein Video von YouTube in die eigene Webseite integriert, gibt damit gleichzeitig Infos über die eigenen Besucher an den Video-Webdienst weiter. Im Sinne der neuen EU-weiten Datenschutz-Verordnung ist das nicht. Gut, dass YouTube auch eine konforme Lösung hat.

Kommen Besucher auf die Webseite mit dem eingebetteten YouTube-Video, überträgt der Browser automatisch Infos über den Nutzer an YouTube – und das schon, bevor das Video überhaupt zum Abspielen angetippt wird. Ist die Person dort eingeloggt, weiß YouTube genau, auf welchen Seiten im Internet man unterwegs ist.

Page 47: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

47

Wer Videos aus der YouTube-Plattform so in die eigene Webseite integrieren möchte, dass die Compliance mit der EU-Richtlinie zum Datenschutz, gewahrt bleibt, nutzt einen Trick:

1. Auf der Video-Seite auf TEILEN, EINBETTEN tippen.

2. Jetzt den ERWEITERTEN DATENSCHUTZ aktivieren.

3. Nun kann der Code kopiert und in der eigenen Webseite verwendet werden.

Mehr Datenschutz beim Chatten Hat der Empfänger meine Nachricht gelesen? Und warum antwortet er oder sie dann nicht? Solche Fragen stellen sich viele, die über das Smartphone per Chat kommunizieren. Wem mehr Wert auf Privatsphäre legt, der schaltet die Gelesen-Funktion einfach ab.

Bei WhatsApp ist anhand von zwei kleinen, blauen Häkchen zu erkennen, ob die andere Person eine Nachricht gesehen hat oder noch nicht. Auch der Facebook Messenger hat eine ähnliche Funktion – hier erscheint das Profilbild des Empfängers bei der Nachricht, sobald sie gelesen wurde.

WhatsApp hat einen Schalter in den Optionen, mit dem sich die Gelesen-Funktion abstellen lässt. In Zeiten der DSGVO ist dies sicher eine Überlegung wert.

1. Zunächst die WhatsApp-Einstellungen öffnen.

2. Dann zum Bereich ACCOUNT, DATENSCHUTZ navigieren.

Page 48: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

48

3. Hier lassen sich die Lesebestätigungen per Tipp auf den entsprechenden Schalter deaktivieren. Das funktioniert sowohl in der Android-Version als auch am iPhone.

Soll die Gelesen-Funktion nicht ganz fehlen, können empfangene Nachrichten auch in den gesammelten Mitteilungen des mobilen Systems gelesen werden. Dann wird (noch) keine Bestätigung an den Absender verschickt.

Genau hinsehen beim Registrieren im Web Der Schutz von persönlichen Daten im Internet ist vielen sehr wichtig, besonders in Deutschland. Deswegen sollte jeder daran interessiert sein, zu erfahren, was ein Unternehmen mit den privaten Daten seiner Nutzer und Kunden tut. Der Schlüssel zum Informieren sind Datenschutzerklärungen.

Bevor man sich auf ein vermeintlich gutes Angebot einlässt, etwa für einen kostenlosen Download, für den „nur“ eine Gratis-Registrierung mit Name und eMail-Adresse erforderlich ist, sollte man deswegen unbedingt einen Blick in die Datenschutzerklärung des Anbieters werfen. Meist findet sich ein entsprechender Link im Kopfbereich oder ganz unten auf der Webseite.

Tipp

Page 49: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

49

Die Datenschutzrichtlinie von Twitter

Leider sind viele Datenschutzerklärungen in einem solchen Amtsdeutsch verfasst, das außer Juristen keiner so richtig durchblickt. Da können Firmen nachbessern: Wer ehrlich mit seinen Nutzern ist, für den sollte eine leicht verständliche, einfache und gut strukturierte Datenschutzerklärung Pflicht sein.

Windows 10 und der Datenschutz Wird ein Programm von vielen Anwendern genutzt, ist die Frage nach dem Datenschutz eine der wichtigsten. Das gilt insbesondere für ein Betriebssystem, denn als solches arbeitet man ja schließlich jeden Tag damit, und außerdem hat das System Zugriff auf sämtliche Daten des Nutzers – darunter sicher auch jede Menge Informationen, die privat sind und auch bleiben sollen.

Windows 10 wurde im Hinblick auf „zwei einfache“ Datenschutz-Prinzipien entwickelt:

Page 50: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

50

1. Das System sammelt Informationen, sodass es besser funktioniert.

2. Der Nutzer soll die Kontrolle darüber behalten, um festzulegen, welche Informationen gesammelt werden.

Hier eine Übersicht über die wichtigsten Daten, die Windows 10 bei jedem Nutzer sammelt:

• Eine anonyme Geräte-ID,

• der Typ des Geräts, sowie

• Absturz-Daten, anhand derer Microsoft die Verlässlichkeit und Leistung von Programmen verbessert.

Außerdem sammelt Windows 10 des Weiteren auch die aktuelle Position des Nutzers, das Schreibverhalten, welche Programme und Dateien per SmartScreen-Filter geprüft werden, und es wird eine Werbe-ID an Microsoft übertragen, die der Erkennung des Nutzers durch Apps dient.

Aber auch gegen diese Schnüffel-Funktionen ist ein Kraut gewachsen. Einfach diesen Schritten folgen:

1. Als Erstes wird auf START, EINSTELLUNGEN geklickt.

2. Hier zum Bereich DATENSCHUTZ navigieren.

3. Auf der rechten Seite finden sich jetzt alle erwähnten Punkte, und hier lassen sie sich bequem per Mausklick ausschalten.

Page 51: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

51

Wer sich zudem auf der linken Seite durch die einzelnen Unterpunkte klickt, findet für jede Art der privaten Daten Schalter, mit denen sich die Erfassung abschalten lässt.

Falls gewünscht, kann der Nutzer hier sogar einzelnen Windows-10-Apps den Zugriff auf bestimmte Daten verbieten, etwa die Kamera oder das Mikrofon. So haben wirklich nur die Apps Zugriff, die ihn unbedingt brauchen.

Tipp

Page 52: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis

52

Schieb-Wissen ist eine Reihe exklusiver Reports für Abonnenten. Ich möchte Sie bitten, die Tipps, Tricks und Hintergrund-Texte vertraulich zu behandeln und insbesondere, diese nicht weiterzugeben.

Mehr Infos über den Schieb-Report: www.schieb-report.de

Wichtiger Hinweis: Sollten Sie Abonnent sein und den Report abbestellen wollen (was ich nicht hoffe), so rufen Sie bitte den Abo-Bereich des gewählten Zahlungsdienstes auf (also zum Beispiel www.digistore24.com). Sie haben bei der Registrierung eine Bestätigung erhalten, die den passenden Link enthält. Eine Kündigung ist selbstverständlich jederzeit und ohne Nennen von irgendwelchen Gründen möglich – aber eben nur hier.

Cover: Image via www.vpnsrus.com Realisiert durch: Ann + J.M.

Dieses eBook ist urheberrechtlich geschütztes Eigentum. Die unerlaubte Verbreitung, auch auszugsweise, wird überwacht und bei Zuwiderhandlung straf- und zivilrechtlich verfolgt.

Impressum: Jörg Schieb Humboldtstr. 10 40667 Meerbusch www.schieb-report.de

Realisiert durch: Ann + J.M. Marken sind Eigentum ihrer jeweiligen Eigentümer. Trotz sorgfältiger Prüfung kann keine Haftung über die in diesem eBook vermittelten Informationen übernommen werden. Die Überprüfung der einzelnen Informationen obliegt jedem einzelnen Leser.

Page 53: Schieb-Wissen: Meine Rechte im Datenschutz · Jörg Schieb Schieb-Wissen Meine Rechte im Datenschutz Die Datenschutz-Grundverordnung in der Praxis