Home / Aktuelles & Termine / it.sec blog

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die Herkunft der Daten,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bei anderen Quellen beschafft, treffen Informationspflichten gemäß Art. 14 Abs. 1 und 2 DSGVO:

Sofern eine Beschaffung personenbezogener Daten der betroffenen Person bei anderen Quellen erfolgt, wird die betroffene Person informiert über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • Kategorien personenbezogener Daten,
  • die Herkunft der Daten,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,

Die Informationen müssen der betroffenen Person zugehen

  • bei der erstmaligen Kommunikation mit der betroffenen Person.
  • zum Zeitpunkt der ersten Offenlegung gegenüber einem Empfänger.
  • zum Zeitpunkt der ersten werblichen Ansprache.
  • spätestens jedoch innerhalb eines Monats nach Datenerhebung.

Die Informationspflicht kann entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

In Teil III wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Es ist unmittelbarer Ausfluss des informationellen Selbstbestimmungsrechts, dass die betroffene Person stets weiß, wer welche personenbezogenen Daten wann über sie erhebt. Personenbezogene Daten der betroffenen Person dürfen somit nicht ohne ihr Wissen erhoben werden. Die erstmalige Erhebung und damit einhergehende Verarbeitung ihrer personenbezogenen Daten oder eine Weiterverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck darf nicht ohne Kenntnis der betroffenen Person erfolgen.

Auch nach der DSGVO bestehen Informationspflichten, wenn personenbezogene Daten einer betroffenen Person

  • direkt bei der betroffenen Person erhoben werden, Art. 13 DSGVO.
  • bei anderen Quellen beschafft werden, Art. 14 DSGVO.
  • zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet werden, Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person direkt bei dieser erhebt, treffen Informationspflichten gemäß Art. 13 Abs. 1 und 2 DSGVO zum Zeitpunkt der Erhebung:

Die betroffene Person muss vom Verantwortlichen informiert werden über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • eine etwaige bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht gemäß Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

In Teil II wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person bei anderen Quellen beschafft.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstimmung Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Personen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 Custom Audience Cyber Cyber-Attacken Cyberkriminalität Cyberkriminelle Cybersicherheit c`t Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechtseingriffen Grundsatz der Zweckbindung H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Höchstvermietungsdauer Home Office Home-Office Homeoffice Immobilienmakler Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Kommunikation Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Missbrauch von Kundendaten Mitarbeiter Mitbestimmung Mitbewerber Mitglieder Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikogruppen Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schulung schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Urteil US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorsicht Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webcast Webseite Webseiten Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Weltanschauung Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zeiterfassung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30