DSGVO und Betroffenenrechte

Questions and Answers

Flashcards

Recht auf Löschung

Das Recht auf Löschung ermöglicht es Betroffenen, unter bestimmten Voraussetzungen ihre personenbezogenen Daten von einem Verantwortlichen löschen zu lassen.

Accountability

Die „Accountability“ gemäß DSGVO bedeutet, dass der Verantwortliche für die Einhaltung der datenschutzrechtlichen Vorgaben selbst verantwortlich ist und eine Rechenschaft über seine Verarbeitungstätigkeiten ablegen kann.

Betroffenenrechte

Die DSGVO nennt verschiedene Betroffenenrechte, die es Personen ermöglichen, ihre personenbezogenen Daten zu kontrollieren. Zu diesen Rechten gehören bspw. das Auskunftsrecht, das Recht auf Berichtigung und das Recht auf Löschung.

Auskunftsrecht

Das Auskunftsrecht ermöglicht es der betroffenen Person, Informationen über die Verarbeitung ihrer Daten zu erhalten, wie z.B. die Verarbeitungszwecke, die Dauer der Speicherung und die Herkunft der Daten.

Google als Verantwortlicher

Google als Betreiber einer Suchmaschine ist in diesem Fall der Verantwortliche für die Verarbeitung personenbezogener Daten.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Namen, Adressen, Geburtsdaten, aber auch andere Informationen, die die Identifizierung einer Person ermöglichen.

Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit ermöglicht es der betroffenen Person, ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.

Personenbezogene Daten

Personenbezogene Daten sind Informationen, die sich auf eine Person beziehen, wie z.B. Geburtstag, Name und KFZ-Kennzeichen.

Besondere Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten gelten als besonders schützenswerte Daten. Zu diesen Daten zählen politische Meinungen, religiöse Überzeugungen und sexuelle Orientierung, da sie sensible Informationen über die Persönlichkeit eines Menschen beinhalten.

EuroPriSe Gütesiegel

Das Datenschutz-Gütesiegel "EuroPriSe" dient dazu, Kunden zu signalisieren, dass ein Unternehmen die Vorgaben des europäischen Datenschutzes einhält. Es zeigt an, dass das Unternehmen sich professionell mit dem Thema Datenschutz auseinandersetzt.

Federführende Aufsichtsbehörde

Die federführende Aufsichtsbehörde ist die Behörde, die im Falle einer grenzüberschreitenden Verarbeitungstätigkeit die Hauptverantwortung übernimmt. Sie koordiniert die betroffenen Aufsichtsbehörden und stellt sicher, dass die Datenschutzvorgaben in allen beteiligten Ländern eingehalten werden.

Recht auf Berichtigung

Das Recht auf Berichtigung ermöglicht es der betroffenen Person, unrichtige personenbezogene Daten, die sie betreffen, zu korrigieren. Zudem kann sie die Vervollständigung von unvollständigen Daten durch ergänzende Erklärungen verlangen.

Data Breach Notification Duty

Die „Data Breach Notification Duty“ verpflichtet Unternehmen, die Aufsichtsbehörde und betroffene Personen unverzüglich über einen Datenmissbrauch zu informieren. Dies ist wichtig, um die Betroffenen schnell über mögliche Risiken zu informieren und um schnelle Maßnahmen zu ergreifen.

Data Breach

Im Falle eines Data Breaches muss der Verantwortliche die Aufsichtsbehörde informieren und die betroffenen Personen benachrichtigen. So werden die Personen über die Sicherheitsverletzung informiert und können entsprechende Maßnahmen zum Schutz ihrer Daten ergreifen.

Arten von Data Breaches

Es gibt verschiedene Arten von Datenbreaches, die jeweils unterschiedliche Folgen haben können. Ein Confidentiality Breach bezeichnet einen Verstoß gegen die Vertraulichkeit von Daten, ein Availability Breach bedeutet, dass die Daten nicht mehr verfügbar sind und ein Integrity Breach liegt vor, wenn die Daten verfälscht oder manipuliert wurden.

Meldung an Aufsichtsbehörde

Die Meldung an eine Aufsichtsbehörde muss unverzüglich, bzw. innerhalb von 72 Stunden, nach Bekanntwerden eines Data-Breaches erfolgen.

Profiling

Profiling ist die automatisierte Verarbeitung personenbezogener Daten, um ein Persönlichkeitsprofil zu erstellen. Dies kann z.B. dazu verwendet werden, um die Vorlieben von Kunden zu analysieren und personalisierte Werbung zu schalten.

Bewertungskriterien für Geldbußen

Die Höhe einer Geldbuße bei Verstößen gegen die DSGVO richtet sich nach der Art, Schwere und Dauer des Verstoßes. Weiters werden die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes berücksichtigt. Je schwerwiegender der Verstoß ist, desto höher ist die Geldbuße.

Einwilligung

Eine Einwilligung muss freiwillig, informiert und unmissverständlich sein. Sie darf nicht erzwungen werden und der Betroffene muss über die Verarbeitungszwecke und -modalitäten aufgeklärt sein.

IP (Intellectual Property)

IP (Intellectual Property) bezeichnet geistiges Eigentum, das durch geschützte Rechte wie Patente, Marken und Urheberrechte geschützt wird. Es umfasst Erfindungen, literarische und künstlerische Werke sowie andere geistige Schöpfungen.

Ubiquität des geistigen Eigentums

Ubiquität des geistigen Eigentums steht für die Tatsache, dass geistiges Eigentum nicht an einen Ort gebunden ist und somit schwer gegen Missbrauch zu schützen ist. Sobald eine Idee in die Öffentlichkeit dringt, ist es schwierig, sie wieder „einzufangen“.

Arten von Marken

Es gibt verschiedene Arten von Marken. Wortmarken sind Wörter oder Buchstabenkombinationen, die als Markenzeichen registriert werden können (z.B. Nike). Wortbildmarken verbinden Wörter und Bilder zu einem Markenzeichen (z.B. Apple-Logo).

Ansprüche bei Domain-Verletzung

Bei rechtsverletzender Domainverwendung können verschiedene Ansprüche geltend gemacht werden, darunter der Unterlassungsanspruch, der Anspruch auf Schadensersatz und der Löschungsanspruch. Der Unterlassungsanspruch verhindert die weitere Nutzung der Domain, der Schadensersatzanspruch fordert die Ersatzleistung für den eingegangenen Schaden und der Löschungsanspruch verlangt die Löschung der rechtsverletzenden Domain.

Prioritätenprinzip bei Domains

Bei der Domain-Vergabe kommt das Prioritätenprinzip zur Anwendung, das besagt, dass die erste Person, die sich eine Domain sichert, ein Recht auf diese Domain hat. So werden sich Domain-Streitigkeiten minimieren.

Datenschutzfolgenabschätzung (DSFA)

Die Datenschutzfolgenabschätzung (DSFA) ist ein Verfahren, das die Folgen für den Schutz personenbezogener Daten bei hohem Risiko für persönliche Rechte und Freiheiten abschätzt. Die DSFA ist obligatorisch für Verarbeitungen, welche wahrscheinlich ein hohes Risiko mit sich bringen.

DSFA - Erforderliche Fälle

Eine Datenschutzfolgenabschätzung (DSFA) ist insbesondere erforderlich bei Profiling, umfangreicher Verarbeitung besonderer Kategorien von Daten und weiträumiger Überwachung öffentlich zugänglicher Bereiche.

Recht auf Vergessenwerden/Löschung

Das Recht auf Vergessenwerden/Löschung ermöglicht es betroffenen Personen, ihre personenbezogenen Daten unter bestimmten Voraussetzungen zu löschen. Dies kann z.B. der Fall sein, wenn die Daten nicht mehr für den ursprünglichen Zweck benötigt werden oder wenn die Verarbeitung rechtswidrig ist.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat verschiedene Aufgaben, die er im Rahmen der DSGVO erfüllt. Er unterstützt den Verantwortlichen bei der Datenschutzfolgenabschätzung, arbeitet mit der Aufsichtsbehörde zusammen und ist Ansprechpartner für Betroffene bei Fragen zum Datenschutz.

Geltendmachung des Auskunftsrechts

Das Auskunftsrecht kann geltend gemacht werden, sofern der Verantwortliche nicht bereits kurze Zeit vorher Auskunft erteilt hat. So wird die exzessive Ausübung des Rechtes verhindert und der Datenschutz gewahrt.

Instrumente zum Schutz des geistigen Eigentums

Instrumente zum Schutz des geistigen Eigentums sind Marken, Patente, Schutzzertifikate, Urheberrecht und Geschmacksmuster. Diese Rechte dienen dazu, Innovationen und Kreativität zu schützen und den Erschaffern von Werke die Anerkennung und den wirtschaftlichen Nutzen zu ermöglichen.

Prüfungsschritte bei AGB-Kontrolle

Bei der AGB- Kontrolle wird geprüft, ob die Allgemeinen Geschäftsbedingungen (AGB) rechtmäßig und gerecht sind. Es werden verschiedene Prüfungsschritte durchgeführt, darunter die Hinweiskontrolle, Geltungskontrolle, Inhaltskontrolle und Einbeziehungskontrolle.

Rechtsgeschäft

Ein Rechtsgeschäft kann durch eine Willenserklärung geschlossen werden. Diese ist eine äußere Kundgebung des Willens, die auf die Herbeiführung einer Rechtsfolge zielt. Es muss klar und eindeutig sein, welche Rechtsfolge mit der Willenserklärung erreicht werden soll. Die Willenserklärung kann in verschiedenen Formen erfolgen, z.B. mündlich, schriftlich oder durch ein konkludentes Verhalten.

Vertragsbestimmungen

Um eine vertragskonforme Erfüllung abzusichern, können verschiedene Vertragsbestimmungen vereinbart werden. Dazu gehören z.B. Konventionalstrafen, Angeld und spezifische Pflichten des Vertragspartners.

Arten von Firmen

Eine Personenfirma ist eine Firma, die unter dem Namen einer Person betrieben wird. Eine gemischte Firma ist eine Firma, die unter dem Namen einer Person und zusätzlich einem anderen Namen, z.B. einer Firmenbezeichnung, betrieben wird. Eine Fantasiefirma ist eine Firma, die unter einem Namen betrieben wird, der keine Beziehung zu den Gesellschaftern hat. Eine Sachfirma ist eine Firma, die unter dem Namen eines Gegenstandes, z.B. einer Marke oder eines Produkts, betrieben wird.

Innen- und Außenverhältnis

Das Innenverhältnis regelt die Beziehungen der Gesellschafter untereinander in einer Gesellschaft. Das Außenverhältnis regelt die Beziehungen der Gesellschafter gegenüber Dritten.

Öffnungsklausel

Eine Öffnungsklausel ermöglicht es einem Mitgliedstaat, national gesetzliche Regelungen zu schaffen, die über die Vorgaben der DSGVO hinausgehen. Dies sorgt für Flexibilität in der Anwendung der DSGVO und berücksichtigt die verschiedenen Bedürfnisse der Mitgliedstaaten.

Haftung bei DSGVO-Verstößen

Mehrere Verantwortliche und mehrere Auftragsverarbeiter haften für den gesamten Schaden und können sich untereinander regressieren. Dies bedeutet, dass sie sich den Schaden untereinander aufteilen können, wenn sie alle zum Schaden beigetragen haben. Der Verantwortliche hat jedoch die Hauptverantwortung und kann nur in besonderen Fällen von der Haftung befreit werden.

Provider-Haftung

Provider haften für rechtswidrige Inhalte, wenn sie von der rechtswidrigen Tätigkeit Kenntnis haben oder hätten müssen. Sie haben eine besondere Prüfpflicht für Inhalte, die von Nutzern auf ihren Servern gespeichert und veröffentlicht werden.

Strafe bis zu 10 Mio. Euro

Eine Strafe bis zu 10 Mio Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens wird verhängt, wenn wesentliche Verstöße gegen die DSGVO vorliegen. Dies erfordert jedoch einen schwerwiegenden Verstoß, der sich auf die Grundsätze des Datenschutzes bezieht.

IT-Recht

Wichtige Informationen bezüglich IT-Recht finden sich im ECG (Elektrokommunikationsgesetz), im UGB (Unternehmensgesetzbuch) und TKG (Telekommunikationsgesetz). Diese Gesetze regeln diverse rechtliche Aspekte im Zusammenhang mit der Nutzung und Anwendung von IT-Systemen und -Diensten.

Study Notes

Rechtsprechung aus dem "Google-Urteil"

• Spanien unterliegt nicht den europäischen Datenschutzregeln.
• Recht auf Löschung von Daten.
• Suchmaschinenlinks stellen keine personenbezogenen Daten dar.
• Recht auf Widerspruch.

Accountability in der DSGVO

• Selbstverantwortung/Rechenschaftspflicht des Verantwortlichen.
• Nicht die Anzeige der Datenschutzbehörde durch die betroffene Person.
• Selbstverantwortung/Rechenschaftspflicht des Betroffenen.

Betroffenenrechte in der DSGVO

• Recht auf Auskunft.
• Recht auf Berichtigung.
• Recht auf Löschung.
• Recht auf Einschränkung der Verarbeitung.
• Recht auf Widerspruch.
• Recht auf Datenübertragbarkeit.
• Recht auf Unterlassung einer Verarbeitung, die durch den Betroffenen nicht wünscht.
• Recht auf richterliches Gehör, keine Folter.

Auskunftsrecht der betroffenen Person

• Verarbeitungszwecke.
• Dauer der Speicherung.
• Herkunft der personenbezogenen Daten.
• Firmenstruktur des Verantwortlichen.

Google als Suchmaschinenbetreiber

• Verantwortlicher für die Verarbeitung der Daten.
• Auftragsverarbeiter, nicht Datenschutzbeauftragter oder Betroffener.

Personenbezogene Daten

• Informationen über identifizierte oder identifizierbare natürliche Personen
• Beispiel: Gutscheine ohne Bezug auf Kunden, Wertkarten, die nur über einen Kassenbon aufgeladen werden.
• Nicht: Grundstücke von Firmen, Plagiate.

Datenübertragbarkeit

• Betroffene Person kann ihre Daten einem anderen Verantwortlichen übermitteln.
• Der Verantwortliche hat das Recht, Daten eines Betroffenen an ein anderes Unternehmen zu übermitteln.
• Auflistung von Personenbezogenen Daten (Geburtstag, Name, KFZ-Kennzeichen etc.)

Kategorien personenbezogener Daten

• Politische Meinungen,
• Religiöse Überzeugungen
• Sexuelle Orientierung.
• Gehaltsinformationen.

Datenschutzgütesiegel

• EuroDataSe.

Zweck des Gütesiegels

• Kunden wissen, dass das Unternehmen die Einhaltung des EU-Datenschutzes sicherstellt.

Aufsichtsbehörde

• Federführende Behörde für grenzüberschreitende Verarbeitungstätigkeiten.
• Koordinierung betroffener Aufsichtsbehörden.
• Durchsetzung der DSGVO.
• Kontrolle der DSFA.

Verantwortliche, Auftragsverarbeiter und Betroffene

• Fallkonstellation: Unternehmen X lagert Lohnverrechnung bei Unternehmen Y aus. Mitarbeiter Z ist Betroffener.
• Fallbeispiel: Unternehmen X (Verantwortlicher), Unternehmen Y (Auftragsverarbeiter), Mitarbeiter Z (Betroffener).
• Auflistung von Verantwortlichen, Auftragsverarbeitern und Betroffenen.

Recht auf Berichtigung

• Unrichtige oder unvollständige personenbezogene Daten können berichtigt werden.
• Vervollständigung unvollständiger Daten durch ergänzende Erklärungen.
• Löschung personenbezogener Daten.

Data Breach Notification Duty

• Meldepflicht bei Datenmissbrauch.
• Verstoß gegen die DSGVO.

Data Breaches

• verschiedene Arten von Datenmissbrauch
• Auflistung verschiedener Arten von Verstößen.

Meldung an eine Aufsichtsbehörde

• Meldung von Data Breaches an die Aufsichtsbehörde.
• Benachrichtigung der betroffenen Person.
• Benachrichtigung des Auftraggebers.

Bewertungskriterien bei Verstößen gegen die DSGVO

• Persönlicher Bezug der Betroffenen zum Verantwortlichen.
• Art, Schwere und Dauer des Verstoßes.
• Vorsätzlichkeit oder Fahrlässigkeit.
• Hauptsitz des Verantwortlichen.

Einwilligung

• Freiwillig, in Kenntnis der Sachlage, jederzeit von den Eltern eingeholt werden.

Intellectual Property (IP)

• Geistige Schöpfung: Erfindungen, literarische und künstlerische Werke.
• Plagiate sind keine IP

Geistiges Eigentum

• Monopolrecht des Erfinders.
• Schutzdauer des Schutzzertifikats.
• Schutzbereich geht über geographische Grenzen hinaus.

Domainverwendung

• Unterlassungsanspruch.
• Anspruch auf Schadensersatz.
• Veröffentlichung der strittigen Domain.
• Löschungsanspruch

Domain-Vergabeprinzip

• Subsidaritätsprinzip
• Prioritätenprinzip
• Verhältnismäßigkeitsprinzip
• Angemessenheitsprinzip

Datenschutzfolgenabschätzung (DSFA)

• Abschätzung der Folgen für den Schutz personenbezogener Daten bei hohem Risiko.
• Risikobetrachtung für persönliche Rechte und Freiheiten.
• Obligatorisch für Verarbeitungen, die ein hohes Risiko mit sich bringen.
• Zwingend für jede Aufsichtsbehörde für die Abschätzung von Rechtsfolgen.

Recht auf Vergessenwerden

• Ermöglicht betroffenen Personen, ihre personenbezogenen Daten unter bestimmten Voraussetzungen zu löschen.
• Nicht willkürlich, durch Mitgliedstaaten.

Datenschutzbeauftragter

• Hilfestellung bei der Datenschutzfolgenabschätzung.
• Zusammenarbeit mit der Aufsichtsbehörde.
• Kontrolle der Arbeit der Aufsichtsbehörden.
• Führung von Verzeichnissen.

Geltendmachung des Auskunftsrechts

• Muss in jedem Fall entsprochen werden.
• Muss nachgekommen werden, wenn die Identität der Person nachgewiesen wird.
• Muss dem Arbeitgeber der betroffenen Person.
• Nicht bei exzessiver Ausübung entsprochen werden.

Instrumente zum Schutz des geistigen Eigentums

• Marken, Patente, Schutzzertifikate.
• Urheberrecht, Geschmacksmuster, Good-Will

AGB-Kontrolle

• Hinweiskontrolle.
• Geltungskontrolle.

Innen- und Außenverhältnis

• Innenverhältnis: Beziehungen der Gesellschafter untereinander.
• Außenverhältnis: Beziehungen der Gesellschafter gegenüber Dritten.

Öffnungsklausel

• Möglichkeit für den Verantwortlichen, bei Verstößen eine Meldung abzugeben
• Entscheidungskompetenz für die Datenschutzbehörden.
• nationale Regelungen, erlässt die DSFA.

Provider-Haftung

• Haftung für rechtswidrige Inhalte.
• Kenntnis von rechtswidriger Tätigkeit.
• Prüfungspflicht, ob Tätigkeit rechtmäßig ist.
• Allgemeine Prüfungspflichten.

Strafen bis EUR 10 Mio.

• Datenschutzbeauftragter wurde nicht konsultiert.
• Eine DSFA wurde nicht erstellt.
• Verarbeitungsverzeichnis wurde nicht erstellt.
• Grundsätze für die Verarbeitung personenbezogener Daten.

IT-Recht

• ECG, FAGG, UGB, TKG, AGBG. Informationssammlung über das IT-Recht.

Description

Dieses Quiz beschäftigt sich mit den Rechten der betroffenen Personen gemäß der Datenschutz-Grundverordnung (DSGVO). Es behandelt Themen wie das Recht auf Auskunft, Löschung und Widerspruch sowie die Verantwortung der Verantwortlichen. Testen Sie Ihr Wissen über die wichtigsten Aspekte der DSGVO und deren Anwendung auf Google und Suchmaschinen.