Beruflich Dokumente
Kultur Dokumente
- Sie gilt fü r jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung
personenbezogener Daten, die in einem Dateisystem enthalten sind oder enthalten sein sollen.
a)Verarbeitungen, die gemä ß Artikel 2 Absatz 2 vom Anwendungsbereich derDatenschutz-Grundverordnung ausgenommen sind (gilt nicht fü r
die Verarbeitung personenbezogener Daten):
o (a)im Rahmen einer Tä tigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. In diesem Fall unterliegt sie den spezifischen
Rechtsvorschriften und darü ber hinaus den Bestimmungen der SR und dieser LO. Die durchgefü hrten Behandlungen sind in dieser
Situation:
Im Rahmen des LO ü ber das allgemeine Wahlregime
ANWENDUN Im Bereich der Strafvollzugsanstalten
GSBEREICH Diejenigen, die aus dem Zivil-, Eigentums- und Handelsregister stammen.
DER TITEL I o (b)von den Mitgliedstaaten, wenn sie Tä tigkeiten ausü ben, die in den Anwendungsbereich von Titel V Kapitel 2 des EU-Vertrags fallen;
bis IX und
o (c)von einer natü rlichen Person in Ausü bung einer ausschließlich persönlichen oder häuslichen Tätigkeit ausgeübt werden;
der Artikel NICHT
o (d)von den zustä ndigen Behö rden zum Zwecke der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der
89 bis 94 ANWENDBAR
Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor und der Abwehr von Gefahren fü r die ö ffentliche
Sicherheit.
Art. 2
unbeschadet der Absä tze 3 und 4 des vorliegenden Artikels.
(b)die Verarbeitung von Daten ü ber verstorbene Personen, unbeschadet des Artikels 3.
(c)Verarbeitung gemä ß den Vorschriften ü ber den Schutz von Verschlusssachen.
Anmerkung: Die Verarbeitung durch die Justizorgane sowie die Verarbeitung im Rahmen der Verwaltung des Justizamts werden geregelt:
Durch die Verordnung (EU) 216/679
Dieses LO
Unbeschadet der auf sie anwendbaren Bestimmungen der LO der Judikative
Personen, die mit dem Verstorbenen familiä r oder faktisch verwandt sind, sowie deren Erben, AUSSER wenn der Verstorbene dies
DAS RECHT AUF
ausdrü cklich untersagt hat oder wenn es gesetzlich festgelegt ist. Dieses Verbot berü hrt nicht das Recht der Erben, Zugang zu den
DATEN VON ZUGANG,
Vermö gensdaten des Verstorbenen zu erhalten.
VERSTORBE BERICHTIGUNG
Die Personen oder Einrichtungen, die der Verstorbene ausdrü cklich zu diesem Zweck bestimmt hat. Durch kö niglichen Erlass:
NEN ODER
Anforderungen und Bedingungen fü r die Anerkennung der Gü ltigkeit und der Gü ltigkeit dieser Mandate oder Anweisungen und
Art. 3 LÖSCHUNG
gegebenenfalls ihre Registrierung.
MINOREN Diese Befugnisse kö nnen auch von ihren gesetzlichen Vertretern oder im Rahmen ihrer Befugnisse von der Staatsanwaltschaft ausgeü bt
1
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
werden, die von Amts wegen oder auf Antrag jeder betroffenen natü rlichen oder juristischen Person tä tig werden kann.
MENSCHEN MIT Fü r diejenigen, die fü r Minderjä hrige angezeigt sind.
BEHINDERUNG oder von den fü r die Ausü bung von Unterstü tzungsfunktionen benannten Personen, wenn diese Befugnisse in den Anwendungsbereich der
EN Unterstü tzungsmaßnahmen fallen
Sie unterliegen dieser Pflicht auch dann, wenn die Beziehung zwischen der betroffenen Person und dem fü r die Verarbeitung Verantwortlichen oder
VERSCHWIEGENHEI dem Auftragsverarbeiter beendet ist:
TSPFLICHT o Der Controller
Art. 5 o Datenverarbeiter
o Sowie alle Personen, die in irgendeiner Phase des Projekts beteiligt sind.
Es handelt sich um die freie, spezifische, informierte und unmissverstä ndliche Zustimmung zur Verarbeitung der ihn betreffenden personenbezogenen
ZUSTIMMUNG DER
Daten, die entweder durch eine Erklä rung oder durch eine eindeutige positive Handlung zum Ausdruck gebracht wird.
BETROFFENEN
Wenn sie fü r mehrere Zwecke bestimmt ist, muss ausdrü cklich und unmissverstä ndlich angegeben werden, dass sie fü r alle Zwecke gewä hrt wird.
PERSON
Die Erfü llung des Vertrags darf nicht von der Einwilligung der betroffenen Person in die Verarbeitung personenbezogener Daten zu Zwecken abhä ngig
Art. 6
gemacht werden, die nicht mit der Aufrechterhaltung, Durchfü hrung oder Kontrolle des Vertragsverhä ltnisses zusammenhä ngen.
Wenn der Minderjä hrige ä lter als 14 Jahre ist, es sei denn, das Gesetz verlangt die Mitwirkung der Inhaber der elterlichen Gewalt oder der
ZUSTIMMUNG VON
Vormundschaft fü r den Abschluss der Handlung oder des Rechtsgeschä fts, in deren Rahmen die Zustimmung zur Verarbeitung eingeholt wird.
MINDERJÄHRIGEN
Bei Personen unter 14 Jahren: Die Einwilligung ist nur dann rechtmä ßig, wenn die Zustimmung des Inhabers der elterlichen Sorge oder des Vormunds
Art.7
vorliegt, wobei der Umfang von diesen bestimmt wird.
Verarbeitung von Zur Einhaltung einer GESETZLICHEN VORSCHRIFT, die auch besondere Bedingungen fü r die Verarbeitung vorsehen kann, wie etwa zusä tzliche
Daten aufgrund Sicherheitsmaßnahmen oder andere Maßnahmen gemä ß der Verordnung (EU) 2016/769:
einer gesetzlichen o Pseudonymisierung und Verschlü sselung von personenbezogenen Daten;
Verpflichtung, eines o die Fä higkeit, die kontinuierliche Vertraulichkeit, Integritä t, Verfü gbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu
öffentlichen gewä hrleisten;
Interesses oder der o die Fä higkeit, die Verfü gbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls
2
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
schnell wiederherzustellen;
o ein Verfahren zur regelmä ßigen Ü berprü fung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen
Maßnahmen zur Gewä hrleistung der Sicherheit der Verarbeitung.
Ausübung
Fü r die Erfü llung einer Aufgabe, die im ö ffentlichen Interesse oder in Ausü bung ö ffentlicher Befugnisse gemä ß der SR durchgefü hrt wird, wenn sie sich
öffentlicher Gewalt
aus einer Zustä ndigkeit ergibt, die durch eine Verordnung mit Gesetzesrang zugewiesen wurde.
Art. 8
Die bloße Einwilligung der betroffenen Person reicht nicht aus, um das Verbot der Verarbeitung von Daten aufzuheben, deren Hauptzweck
BESONDERE darin besteht, die Weltanschauung, die Gewerkschaftszugehörigkeit, die Religion, die sexuelle Ausrichtung, die Weltanschauung und die
KATEGORIEN VON rassische oder ethnische Herkunft der betroffenen Person zu ermitteln, AUSSER, wenn dies nach Art. 9.2 SR:
DATEN a) die betroffene Person hat ausdrücklich in die Verarbeitung dieser personenbezogenen Daten für einen oder mehrere der genannten Zwecke
Art. 9 eingewilligt, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten sieht vor, dass das vorgenannte Verbot von der betroffenen Person
nicht aufgehoben werden kann;
b) die Verarbeitung ist zur Erfüllung von Pflichten und zur Ausübung bestimmter Rechte des für die Verarbeitung Verantwortlichen oder der
betroffenen Person auf dem Gebiet des Arbeitsrechts, der sozialen Sicherheit und des Sozialschutzes erforderlich, soweit dies durch das Unionsrecht
der Mitgliedstaaten oder durch einen nach dem Recht der Mitgliedstaaten geschlossenen Tarifvertrag zulässig ist, der angemessene Garantien für
die Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht;
c) die Verarbeitung ist erforderlich , um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen , wenn
die betroffene Person rechtlich oder tatsächlich nicht in der Lage ist, ihre Einwilligung zu geben;
d) die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeiten und mit angemessenen Garantien durch eine Stiftung, einen Verein oder eine
andere Einrichtung ohne Erwerbszweck, deren Zweck politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Natur ist, sofern sich die
Verarbeitung ausschließlich auf derzeitige oder ehemalige Mitglieder dieser Einrichtungen oder auf Personen bezieht, die im Zusammenhang mit
deren Zwecken in regelmäßigem Kontakt mit ihnen stehen, und sofern die personenbezogenen Daten nicht zu deren Zwecken an sie weitergegeben
werden.Die Verarbeitung erfolgt durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung mit politischer, weltanschaulicher,
religiöser oder gewerkschaftlicher Zielsetzung, sofern sich die Verarbeitung ausschließlich auf derzeitige oder ehemalige Mitglieder solcher
Einrichtungen oder auf Personen bezieht, die im Zusammenhang mit deren Zwecken in regelmäßigem Kontakt mit ihnen stehen, und sofern die
personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen außerhalb dieser Einrichtungen weitergegeben werden;
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offenkundig öffentlich gemacht hat;
f) die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder wenn die Gerichte in ihrer
Funktion als Richter tätig werden;
g) die Verarbeitung ist aus Gründen eines wesentlichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten
erforderlich, die in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen wahren und
geeignete und spezifische Maßnahmen zum Schutz der Interessen und Grundrechte der betroffenen Person vorsehen müssen;
h) die Verarbeitung ist für die Zwecke der Vorsorge oder der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit, der medizinischen Diagnostik, der
gesundheitlichen oder sozialen Betreuung oder Behandlung oder der Verwaltung von Systemen und Diensten des Gesundheits- und Sozialwesens
auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten oder im Rahmen eines Vertrags mit einem Angehörigen der
Gesundheitsberufe erforderlich , wenn die Verarbeitung durch einen Berufsangehörigen erfolgt, der der Schweigepflicht unterliegt(c) die
Behandlung ist erforderlich für die Zwecke der Präventivmedizin oder der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers,
der medizinischen Diagnostik, der gesundheitlichen oder sozialen Betreuung oder Behandlung oder der Verwaltung von Systemen und Diensten der
3
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
Gesundheitsfürsorge und der Sozialfürsorge auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten oder im Rahmen eines
Vertrags mit Angehörigen der Gesundheitsberufe, wenn die Verarbeitung durch Berufsangehörige erfolgt, die dem Berufsgeheimnis unterliegen.
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich , etwa zum Schutz vor
schwerwiegenden grenzüberschreitenden Gesundheitsbedrohungen oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der
Gesundheitsversorgung und bei Arzneimitteln oder Medizinprodukten, und zwar auf der Grundlage von Rechtsvorschriften der Union oder der
Mitgliedstaaten, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person, insbesondere das
Berufsgeheimnis, vorsehen.Rechtsvorschriften der Mitgliedstaaten, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und
Freiheiten der betroffenen Person, insbesondere das Berufsgeheimnis, vorsehen,
j) die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische
Zwecke gemäß Artikel 89 Absatz 1 auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich, wobei die Verarbeitung in
einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen wahren und geeignete und spezifische
Maßnahmen zum Schutz der Interessen und Grundrechte der betroffenen Person vorsehen muss.Die Verarbeitung muss in einem angemessenen
Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen achten und geeignete und spezifische Maßnahmen zum
Schutz der Interessen und Grundrechte der betroffenen Person vorsehen.
ANMERKUNG: Die Behandlungen nach Art. 9.2. des NoE, die auf spanischem Recht beruhen, müssen durch eine Verordnung mit Gesetzesrang geregelt
werden, die zusätzliche Sicherheits- und Vertraulichkeitsanforderungen festlegen kann. Diese Vorschrift kann sich auf die Verarbeitung von Daten im
Bereich GESUNDHEIT beziehen, wenn dies für die Verwaltung ö ffentlicher und privater Gesundheitssysteme und -dienste oder fü r die Erfü llung eines
Versicherungsvertrags, an dem die betroffene Person beteiligt ist, erforderlich ist.
Sie darf nur unter behö rdlicher Aufsicht durchgefü hrt werden, es sei denn, sie dient anderen Zwecken als der Verhü tung, Ermittlung, Feststellung oder
Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen.
VERARBEITUNG Das vollstä ndige Register der Daten ü ber strafrechtliche Verurteilungen und Straftaten sowie ü ber Verfahren und damit zusammenhä ngende Vorsichts-
VON DATEN MIT und Sicherheitsmaßnahmen:
STRAFRECHTLICHE a) Sie kann nach den Vorschriften des Systems der Verwaltungsunterlagen zur Unterstü tzung der Rechtspflege durchgefü hrt werden.
M HINTERGRUND b) Sie darf nur unter behö rdlicher Aufsicht durchgefü hrt werden.
Art. 10 Abgesehen von den in den vorhergehenden Abschnitten genannten Fä llen ist die Verarbeitung dieser Art von Daten nur dann mö glich, wenn sie von
ABOGADOS Y PROCURADORES Y PROCURADORES durchgefü hrt wird und den Zweck hat, die von den Kunden fü r die Ausü bung ihrer Funktionen zur
Verfü gung gestellten Informationen zu sammeln.
4
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
GRUNDLEGENDE INFORMATIONEN:
a) Identität der verantwortlichen Person und ihres Vertreters, falls vorhanden.
b) Der Zweck der Verarbeitung
c) Die Mö glichkeit, die in den Artikeln 15 bis 22 der Datenschutz-Grundverordnung genannten Rechte auszuü ben: Recht auf
Person
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und automatisierte
erhoben
Einzelentscheidungen, einschließlich Profiling (im letztgenannten Fall enthalten die Basisinformationen diesen Umstand,
werden
wobei die betroffene Person ü ber das Recht informiert wird, gegen die Annahme automatisierter Einzelentscheidungen, die
Rechtswirkungen erzeugen, Widerspruch einzulegen).Im letztgenannten Fall enthalten die Basisinformationen diesen
Umstand, wonach die betroffene Person ü ber das Recht informiert wird, gegen automatisierte Einzelentscheidungen, die fü r
sie Rechtswirkungen entfalten oder sie in ä hnlicher Weise erheblich beeinträ chtigen, Widerspruch einzulegen.
Wenn die Die verantwortliche Partei kann der Informationspflicht nachkommen und darü ber hinaus MUSS die GRUNDINFORMATIONEN
Daten nicht enthalten:
direkt bei der Die Kategorien der verarbeiteten Daten.
betroffenen Die Quellen, aus denen die Daten stammen.
Person Sobald sie erhalten werden.
erhoben Ferner sind eine E-Mail-Adresse und andere Mö glichkeiten des einfachen und unmittelbaren Zugangs zu den ü brigen Informationen
werden anzugeben.
Art. 14 SR:
(1) Wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, so stellt der für die Verarbeitung Verantwortliche
der betroffenen Person folgende Informationen zur Verfügung
(a) die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters;
(b) die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden;
(c) die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
(d) die Kategorien der betroffenen personenbezogenen Daten;
(e) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, soweit zutreffend;
(f) gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, personenbezogene Daten an einen Empfänger in einem Drittland oder
eine internationale Organisation zu übermitteln, und das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission(f)
gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, personenbezogene Daten an einen Empfänger in einem Drittland oder an
eine internationale Organisation zu übermitteln, sowie das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission
oder - im Falle von Übermittlungen nach Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz 2 - den Hinweis auf angemessene oder
geeignete Garantien sowie die Möglichkeit, eine Kopie davon zu erhalten, oder die Tatsache, dass sie gegeben wurden.
(2)Zusätzlich zu den in Absatz 1 genannten Informationen stellt der für die Verarbeitung Verantwortliche der betroffenen Person die
folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Datenverarbeitung in Bezug auf die
betroffene Person zu gewährleisten:
(a) den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung
dieses Zeitraums;
(b) wenn die Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe f erfolgt, die berechtigten Interessen des für die Verarbeitung
Verantwortlichen oder eines Dritten
5
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
(c) das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen Auskunft über die die betroffene Person betreffenden
personenbezogenen Daten, deren Berichtigung oder Löschung oder die Einschränkung ihrer Verarbeitung zu verlangen und der Verarbeitung zu
widersprechen, sowie das Recht auf Datenübertragbarkeit;
(d) im Falle der Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a das Bestehen des Rechts,
die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor dem Widerruf
berührt wird;
(e) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(f) die Quelle, aus der die personenbezogenen Daten stammen, und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen;
(g) das Vorhandensein automatisierter Entscheidungen, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen
Fällen - aussagekräftige Informationen über die zugrunde liegende Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen
Verarbeitung für die betroffene Person.
(3) Der für die Verarbeitung Verantwortliche stellt die in den Absätzen 1 und 2 genannten Informationen zur Verfügung:
(a)innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter
Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden
(b) wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt
der ersten Kommunikation mit der betroffenen Person, oder
(c) wenn sie an einen anderen Empfänger weitergegeben werden sollen, spätestens zum Zeitpunkt der ersten Weitergabe der personenbezogenen
Daten.
(4) Beabsichtigt der für die Verarbeitung Verantwortliche, die personenbezogenen Daten für einen anderen Zweck als den, für den sie erhoben
wurden, weiterzuverarbeiten, so unterrichtet er die betroffene Person vor einer solchen Weiterverarbeitung über diesen anderen Zweck sowie
über alle anderen in Absatz 2 genannten relevanten Informationen.
(5) Die Bestimmungen der Absätze 1 bis 4 gelten nicht, wenn und soweit
(a) die betroffene Person bereits über die Informationen verfügt;
(b) die Übermittlung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßig hohen Aufwand erfordert, insbesondere für
im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke(b) die
Übermittlung dieser Informationen unmöglich ist oder einen unverhältnismäßig hohen Aufwand erfordert, insbesondere bei der Verarbeitung für
im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke,
vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien, oder soweit die in Absatz 1 des vorliegenden Artikels genannte
Verpflichtung die Verwirklichung der Zwecke dieser Verarbeitung unmöglich machen oder ernsthaft behindern könnte. In solchen Fällen ergreift
der für die Verarbeitung Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen
Person, unter anderem durch die Veröffentlichung der Informationen.
(c) die Erhebung oder Weitergabe ist in dem für den für die Verarbeitung Verantwortlichen geltenden Recht der Union oder der Mitgliedstaaten,
das geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht, ausdrücklich vorgesehen, oder
(d) wenn personenbezogene Daten aufgrund einer im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehenen Verpflichtung zur Wahrung
des Berufsgeheimnisses, einschließlich einer gesetzlichen Geheimhaltungspflicht, vertraulich behandelt werden müssen.
RECHTSAUSÜBUNG ALLGEMEINE Die in den Artikeln 15 bis 22 der DV anerkannten Rechte können unmittelbar oder über einen gesetzlichen oder
6
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
Artikel 12.5. Bei offensichtlich unbegründeten oder übermäßigen Ersuchen, insbesondere aufgrund ihres wiederholten Charakters, kann der
für die Verarbeitung Verantwortliche:
(a) eine angemessene Gebühr erheben, die sich nach den Verwaltungskosten richtet, die durch die Bereitstellung der Informationen oder
Mitteilungen oder die Durchführung der beantragten Maßnahme entstehen, oder
(b) die Er ledigung des Ersuchens ablehnen.
Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass das Ersuchen offensichtlich unbegründet oder unverhältnismäßig ist.
Artikel 15.3. Der für die Verarbeitung Verantwortliche stellt eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung.
Der für die Verarbeitung Verantwortliche kann für alle weiteren von der betroffenen Person angeforderten Kopien eine angemessene Gebühr auf
der Grundlage der Verwaltungskosten erheben. Stellt die betroffene Person den Antrag auf elektronischem Wege, so sind die Informationen in
einem gängigen elektronischen Format bereitzustellen, sofern die betroffene Person nichts anderes verlangt.
7
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
(e)das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung oder
den Widerspruch gegen die Verarbeitung personenbezogener Daten der betroffenen Person zu verlangen;
(f)das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(g)falls die personenbezogenen Daten nicht von der betroffenen Person stammen, alle verfügbaren Informationen über ihre Herkunft;
(h)das Vorhandensein automatisierter Entscheidungen, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige
Informationen über die zugrunde liegende Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die
geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der für die Verarbeitung Verantwortliche stellt eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung. Der für die Verarbeitung
Verantwortliche kann für alle weiteren von der betroffenen Person angeforderten Kopien eine angemessene Gebühr auf der Grundlage der Verwaltungskosten
erheben. Stellt die betroffene Person den Antrag auf elektronischem Wege, so sind die Informationen in einem gängigen elektronischen Format bereitzustellen,
sofern die betroffene Person nichts anderes verlangt.
Das in Absatz 3 genannte Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
Verarbeitet der fü r die Verarbeitung Verantwortliche eine große Menge von Daten ü ber die betroffene Person und gibt die betroffene Person nicht an,
um welche Daten es sich handelt, so kann der fü r die Verarbeitung Verantwortliche die betroffene Person vor der Erteilung der Auskunft bitten,
anzugeben, welche Daten verarbeitet werden.
Sie gilt als erteilt, wenn der fü r die Verarbeitung Verantwortliche der betroffenen Person ein System fü r den direkten und sicheren Fernzugriff auf die
personenbezogenen Daten zur Verfü gung stellt, das einen stä ndigen Zugang zu allen personenbezogenen Daten gewä hrleistet. Die Mitteilung, wie man
Zugang erhä lt, reicht aus, um den Antrag als bewilligt zu betrachten. Die betroffene Person kann jedoch grundlegende Informationen anfordern, die
nicht im Fernzugriffssystem enthalten sind.
Die mehrmalige Ausü bung dieses Rechts innerhalb eines Zeitraums von sechs Monaten gilt als WIEDERHOLEND. In solchen Fä llen kann eine
Gebü hr erhoben oder die Bearbeitung des Antrags abgelehnt werden.
Der Antrag gilt als AUSSERGEWÖHNLICH, wenn die betreffende Person ein anderes als das angebotene Mittel wä hlt, das unverhältnismäßig hohe
Kosten verursacht. Etwaige Mehrkosten sind von der betreffenden Person zu tragen. In diesem Fall kann nur das, was ohne unnö tige Verzö gerung
geschieht, gegen die verantwortliche Person durchgesetzt werden.
Die betroffene Person muss angeben, auf welche Daten sie sich bezieht und welche Berichtigung sie wü nscht.
RECHT AUF
Erforderlichenfalls sind ihr Belege fü r die Unrichtigkeit oder Unvollstä ndigkeit der Daten beizufü gen.
BERICHTIGUNG
Artikel 16 der DB: ohne unnötige Verzögerung. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, unvollständige
Art. 14
personenbezogene Daten zu ergänzen, auch durch eine zusätzliche Erklärung.
RECHT AUF Sie wird nach Maßgabe des Artikels ausgeübt. 17 der SR:
ENTFERNUNG (1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich
("Recht auf gelöscht werden, und der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden
Vergessenwerden") Umstände vorliegt:
Art. 15 (a)die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
(b) die betroffene Person die Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützt, widerruft
und die Einwilligung nicht auf einen anderen Rechtsgrund gestützt wird;
(c)die betroffene Person Widerspruch gegen die Verarbeitung gemäß :
8
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
Artikel 21 Absatz 1: Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der
sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 erfolgt, Widerspruch einzulegen.
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern
nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt. Außer in den Fällen, in denen die Verarbeitung durch
öffentliche Stellen in Ausübung ihrer Aufgaben erfolgt
einschließlich Profiling auf der Grundlage dieser Bestimmungen.
Der für die Verarbeitung Verantwortliche stellt die Verarbeitung der Daten ein, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen,
die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder sie dienen der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen.
Artikel 21 Absatz 2: Erfolgt die Verarbeitung für Zwecke der Direktwerbung, so hat die betroffene Person das Recht, jederzeit Widerspruch einzulegen; dies
gilt auch für das Profiling. In solchen Fä llen kann der fü r die Verarbeitung Verantwortliche die Identifizierungsdaten der betroffenen Person aufbewahren, die
erforderlich sind, um eine kü nftige Verarbeitung zu Direktmarketingzwecken zu verhindern..
(d)die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
(e)die personenbezogenen Daten gelöscht werden müssen , um einer rechtlichen Verpflichtung nach dem für den für die Verarbeitung Verantwortlichen geltenden
Unionsrecht oder dem Recht der Mitgliedstaaten nachzukommen;
(f)die personenbezogenen Daten wurden im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben (die
Verarbeitung personenbezogener Daten eines Kindes gilt als rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind jünger als 16 Jahre, so ist sie nur
dann rechtmäßig, wenn die Zustimmung vom Inhaber der elterlichen Sorge oder der Vormundschaft für das Kind erteilt oder genehmigt wurde, und auch nur
insoweit, als sie erteilt oder genehmigt wurde. Die Mitgliedstaaten können gesetzlich ein niedrigeres Alter für diese Zwecke vorsehen, sofern es nicht unter 13 Jahren
liegt. WICHTIG!
2.Sindpersonenbezogene Daten öffentlich gemacht worden und ist der für die Verarbeitung Verantwortliche gemäß Absatz 1 verpflichtet, diese Daten zu
löschen, so trifft der für die Verarbeitung Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene
Maßnahmen, einschließlich technischer Maßnahmen, um die für die Verarbeitung Verantwortlichen, die die personenbezogenen Daten verarbeiten, von dem Antrag
der betroffenen Person auf Löschung aller Links zu diesen personenbezogenen Daten oder aller Kopien oder Replikationen dieser Daten in Kenntnis zu setzen.
angemessene Maßnahmen, einschließlich technischer Maßnahmen, zu ergreifen, um die für die Verarbeitung Verantwortlichen, die die personenbezogenen Daten
verarbeiten, über den Antrag der betroffenen Person auf Löschung von Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten
zu unterrichten.
(3) Die Absätze 1 und 2 finden KEINE Anwendung, wenn eine Behandlung erforderlich ist :
a) das Recht auf freie Meinungsäußerung und Informationsfreiheitauszuüben ;
(b)zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung von Daten aufgrund des für den für die Verarbeitung Verantwortlichen geltenden
Unionsrechts oder des Rechts der Mitgliedstaaten vorschreibt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
(c)aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h) und i) und Absatz 3;
(d)zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß
Artikel 89 Absatz 1, sofern das in Absatz 1 genannte Recht die Verwirklichung der Zwecke dieser Verarbeitung unmöglich machen oder ernsthaft behindern würde,
oder
9
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
(1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Einschränkung der Verarbeitung von Daten zu verlangen,
wenn eine der folgenden Bedingungen erfüllt ist:
(a)die betroffene Person die Richtigkeit der personenbezogenen Daten innerhalb einer Frist bestreitet, die es dem für die Verarbeitung Verantwortlichen ermöglicht,
die Richtigkeit der personenbezogenen Daten zu überprüfen;
(b)die Verarbeitung unrechtmäßig ist und die betroffene Person der Löschung der personenbezogenen Daten widerspricht und stattdessen die Einschränkung ihrer
Verwendung verlangt;
(c) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie jedoch für
die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
RECHT AUF (d)die betroffene Person hat gemäß Artikel 21 Absatz 1Widerspruch gegen die Verarbeitung eingelegt, und es wird geprüft, ob die berechtigten Gründe des für die
EINSCHRÄNKUNG Verarbeitung Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
DER
VERARBEITUNG 2. (2) Wurde die Verarbeitung personenbezogener Daten gemäß Absatz 1 eingeschränkt, so dürfen diese Daten - abgesehen von ihrer Speicherung - nur
Art. 16 mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte
einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines bestimmten
Mitgliedstaats verarbeitet werden.(2) Wurden personenbezogene Daten gemäß Absatz 1 verarbeitet, so dürfen diese Daten, mit Ausnahme ihrer
Speicherung, nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines
bestimmten Mitgliedstaats verarbeitet werden.
(3) Jede betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem für die Verarbeitung Verantwortlichen
unterrichtet, bevor die Einschränkung aufgehoben wird.
Die Tatsache, dass die Verarbeitung eingeschränkt ist, sollte in den Informationssystemen des für die Verarbeitung Verantwortlichen deutlich
angegeben werden.
RECHT AUF Sie wird nach Maßgabe des Artikels ausgeübt. 20 der SR:
ÜBERTRAGBARKEIT
Art. 17 (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten , die sie einem für die Verarbeitung Verantwortlichen bereitgestellt
hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie an einen anderen für die Verarbeitung Verantwortlichen zu
übermitteln, ohne dass der für die Verarbeitung Verantwortliche, dem sie die Daten bereitgestellt hat, sie daran hindern darf, sofern:
(a)die Verarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags erfolgt
(b)die Verarbeitung erfolgt mit Hilfe automatisierter Verfahren.
(2)In Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, personenbezogene Daten direkt von dem für die Verarbeitung
Verantwortlichen an den für die Verarbeitung Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.
(3) Die Ausübung des in Absatz 1 des vorliegenden Artikels genannten Rechts erfolgt unbeschadet des Artikels 17. Dieses Recht gilt nicht für die Verarbeitung, die für
die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung
10
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
WIDERSPRUCHSREC Sie wird gemä ß den Artikeln 21 und 22 der DB ausgeü bt.
HT
Art. 18 Artikel 21 Recht auf Widerspruch
(1) Die betroffene Person hat das Recht, aus Grü nden, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten, einschließlich des auf diese Bestimmungen gestü tzten Profilings, Widerspruch einzulegen. Der fü r die Verarbeitung Verantwortliche
verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwü rdige Grü nde fü r die Verarbeitung nachweisen, die die
Interessen, Rechte und Freiheiten der betroffenen Person ü berwiegen, oder die Verarbeitung dient der Geltendmachung, Ausü bung oder Verteidigung von
Rechtsansprü chen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die
Verarbeitung sie betreffender personenbezogener Daten einzulegen; dies gilt auch fü r das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung fü r Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr fü r diese Zwecke
verarbeitet.
(4) Spä testens bei der ersten Mitteilung an die betroffene Person wird diese ausdrü cklich auf das in den Absä tzen 1 und 2 genannte Recht hingewiesen und klar
und getrennt von allen anderen Informationen dargestellt.
(5) Im Rahmen der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person abweichend von der Richtlinie 2002/58/EG ihr
Widerspruchsrecht mit Hilfe automatisierter Verfahren unter Anwendung technischer Spezifikationen ausü ben.
6.Werdenpersonenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemä ß Artikel 89 Absatz 1
verarbeitet, so hat die betroffene Person das Recht, aus Grü nden, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung sie betreffender
personenbezogener Daten Widerspruch einzulegen, es sei denn, die Verarbeitung ist fü r die Wahrnehmung einer Aufgabe erforderlich, die im ö ffentlichen
Interesse liegt.
Artikel 22 Automatisierte Einzelentscheidungen, einschließlich Profiling
(1) Jede betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung
unterworfen zu werden, die ihr gegenü ber rechtliche Wirkung entfaltet oder sie in ä hnlicher Weise erheblich beeinträ chtigt.
Absatz 1 findetkeine Anwendung, wenn die Entscheidung:
(a)fü r den Abschluss oder die Erfü llung eines Vertrags zwischen der betroffenen Person und einem fü r die Verarbeitung Verantwortlichen erforderlich
ist;
11
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
(b)nach dem fü r den fü r die Verarbeitung Verantwortlichen geltenden Unionsrecht oder dem Recht der Mitgliedstaaten, das auch geeignete
Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht, zulä ssig ist, oder
(c)auf der ausdrü cklichen Zustimmung der betroffenen Person beruht.
(3) In den in Absatz 2 Buchstaben a und c genannten Fä llen trifft der fü r die Verarbeitung Verantwortliche angemessene Maßnahmen, um die Rechte und
Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens
des fü r die Verarbeitung Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehö rt.
(4) Die in Absatz 2 genannten Entscheidungen dü rfen sich nicht auf die in Artikel 9 Absatz 1 genannten besonderen Kategorien personenbezogener Daten
stü tzen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und es wurden geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten
sowie der berechtigten Interessen der betroffenen Person getroffen.
12
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
vorliegt.
(f)die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder damit
zusammenhä ngenden Sicherheitsmaßnahmen außerhalb der zulä ssigen Fä lle.
g)Die Verarbeitung personenbezogener Daten im Zusammenhang mit Ordnungswidrigkeiten und Sanktionen außerhalb der zulä ssigen Fä lle.
h)die Unterlassung der Pflicht, die betroffene Person ü ber die Verarbeitung ihrer personenbezogenen Daten zu informieren
(i)Verstoß gegen die Geheimhaltungspflicht.
j)Die Aufforderung zur Zahlung einer Gebü hr außerhalb der festgelegten Fä lle.
(k)Behinderung oder Behinderung oder wiederholte Nichtausü bung von Rechten.
(l)die internationale Ü bermittlung personenbezogener Daten an einen Empfä nger in einem Drittland oder an eine internationale Organisation,
Jahresumsatzes im wenn keine Garantien, Anforderungen oder Ausnahmen gelten
vorangegangenen (m)die Nichteinhaltung von Entscheidungen der Datenschutzbehö rde
Geschä ftsjahr, je n)Nichteinhaltung der in Artikel 32 dieses Organgesetzes festgelegten Verpflichtung zur Sperrung von Daten, wenn diese Verpflichtung
nachdem, welcher durchsetzbar ist.
Betrag hö her ist
(ñ)dem Personal der zustä ndigen Datenschutzbehö rde keinen Zugang zu personenbezogenen Daten, Informationen, Rä umlichkeiten,
Apt.5 - SEHR
SERIÖS Ausrü stungen und Verarbeitungsmitteln zu gewä hren, die die Datenschutzbehö rde fü r die Ausü bung ihrer Untersuchungsbefugnisse benö tigt.
o)Widerstand oder Behinderung bei der Ausü bung der Kontrollfunktion durch die zustä ndige Datenschutzbehö rde.
(p)die absichtliche Umkehrung eines Anonymisierungsverfahrens, um die Re-Identifizierung der Betroffenen zu ermö glichen.
SCHWERE Die Pflichten Einwilligung von Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft. Art. 8
VERSTÖSSE - DIE der Behandlung, die keine Identifizierung mehr erfordert. Art. 11
VERJÄHRUNGSFRI verantwortlic Datenschutz durch Design und durch Voreinstellungen. Art. 25
ST BETRÄGT 2 hen Person Aufgaben des Datenschutzbeauftragten: Art. 39
JAHRE. und der o Informieren und beraten Sie den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter und die
Art. 73 verantwortlic betroffenen Mitarbeiter.
hen Person in o Überwachung der Einhaltung der Bestimmungen dieser Sonderempfehlung und anderer EU-Datenschutzvorschriften
VERWALTUNGSBU Bezug auf die o Beratung bei der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
SSEN IN
HÖ CHSTGRÖ SSEN o Mit der Aufsichtsbehörde zusammenarbeiten.
VON 10.000.000 o als Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung zu fungieren, einschließlich der Konsultation
EUR oder, im Falle der Aufsichtsbehörde durch den für die Verarbeitung Verantwortlichen vor der Durchführung, wenn eine
eines Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn keine
Unternehmens, in Abhilfemaßnahmen getroffen werden.
Hö he von maximal Zur Zertifizierung. Art.42
2% des gesamten o Die Teilnahme ist freiwillig und erfolgt in einem transparenten Verfahren.
Jahresumsatzes des o Sie wird ausgestellt von:
vorangegangenen Durch Zertifizierungsstellen. Art. 43. Sie werden akkreditiert durch:
Geschä ftsjahres, je - Die Aufsichtsbehörde
nachdem, welcher - Oder die nationale Akkreditierungsstelle
13
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
14
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
(m)Verstoß eines Auftragsverarbeiters bei der Festlegung der Zwecke und Mittel der Verarbeitung.
(n) dasFehlen eines Registers der Verarbeitungstä tigkeiten.
ñ )Das Versä umnis, der Datenschutzbehö rde das Verzeichnis der Verarbeitungstä tigkeiten auf Anfrage zur Verfü gung zu stellen.
(o)Versä umnis, mit den Aufsichtsbehö rden bei der Erfü llung ihrer Aufgaben zusammenzuarbeiten.
p)Die Verarbeitung personenbezogener Daten ohne vorherige Prü fung der in Artikel 28 dieses Organgesetzes genannten Elemente.
(q)Verletzung der Pflicht des Auftragsverarbeiters, den fü r die Verarbeitung Verantwortlichen ü ber Sicherheitsverletzungen zu unterrichten, von
denen der Auftragsverarbeiter Kenntnis erhä lt.
(r)Unterlassung der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehö rde.
(s)Unterlassung der Benachrichtigung der betroffenen Person ü ber eine Verletzung der Datensicherheit, wenn der fü r die Verarbeitung
Verantwortliche von der Datenschutzbehö rde dazu aufgefordert wurde
(t) dieVerarbeitung personenbezogener Daten, ohne eine Bewertung der Auswirkungen der Verarbeitungsvorgä nge auf den Schutz
personenbezogener Daten durchgefü hrt zu haben.
(u)Verarbeitung personenbezogener Daten ohne vorherige Konsultation der Datenschutzbehö rde in Fä llen, in denen eine solche Konsultation
erforderlich ist.
v)Nichteinhaltung der Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn eine solche Benennung erforderlich ist.
(w) diewirksame Beteiligung des Datenschutzbeauftragten an allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten nicht zu
ermö glichen, ihn nicht zu unterstü tzen und ihn nicht bei der Erfü llung seiner Aufgaben zu behindern.
x)Die Verwendung eines Datenschutzsiegels oder einer Zertifizierung, das/die nicht von einer ordnungsgemä ß akkreditierten Zertifizierungsstelle
vergeben wurde oder dessen/deren Gü ltigkeitsdauer abgelaufen ist.
y)Erlangung der Akkreditierung als Zertifizierungsstelle durch Vorlage unrichtiger Informationen ü ber die Erfü llung der Anforderungen.
z)Die Ausü bung von Funktionen, die Zertifizierungsstellen vorbehalten sind, ohne ordnungsgemä ß akkreditiert worden zu sein.
aa)Die Nichteinhaltung der Grundsä tze und Pflichten durch eine Zertifizierungsstelle.
ab)Die Wahrnehmung von Aufgaben, die Kontrollstellen fü r Verhaltenskodizes vorbehalten sind, ohne zuvor von der zustä ndigen Datenschutzbehö rde
akkreditiert worden zu sein.
(ac)Versä umnis der akkreditierten Aufsichtsstellen, im Falle eines Verstoßes gegen den Verhaltenskodex geeignete Maßnahmen zu ergreifen
GERINGFÜGIGE
VERSTÖSSE Die übrigen Verstöße rein formaler Art gegen die in Artikel 3 Absätze 4 und 5 genannten Artikel sind als Verstöße gegen die Bestimmungen des
SIND NACH EINEM vorliegenden Artikels zu betrachten. 83 der DB und insbesondere die folgenden Punkte:
JAHR VERJÄHRT
a)Nichtvorlage aller erforderlichen Informationen.
Art. 74 b) das Erfordernis der Zahlung einer Gebü hr fü r die Erteilung der erforderlichen Informationen an die betroffene Person oder fü r die Beantwortung von
Anträ gen der betroffenen Personen auf Ausü bung ihrer Rechte, sofern dies nach Artikel 12 Absatz 5 zulä ssig ist, wenn der Betrag der Gebü hr die Kosten fü r
die Erteilung der Informationen oder die Durchfü hrung der beantragten Maßnahme ü bersteigt.
c)Nichtbeantwortung von Anfragen zur Ausü bung der in denArtikeln 15 bis22 der Verordnung (EU) 2016/679 festgelegten Rechte, sofern nicht die
Bestimmungen von Artikel 72.1.k) dieses Organgesetzes gelten.
d) Nichtausü bung des Rechts auf Auskunft, Berichtigung, Lö schung, Einschrä nkung der Verarbeitung oder Datenü bertragbarkeit bei Verarbeitungen, bei
denen die Identifizierung der betroffenen Person nicht erforderlich ist, wenn die betroffene Person zur Ausü bung dieser Rechte zusä tzliche Angaben gemacht
hat, die ihre Identifizierung ermö glichen, es sei denn, Artikel 73 c) dieses Organgesetzes findet Anwendung.d) Nichteinhaltung des Rechts auf Auskunft,
15
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
Berichtigung, Lö schung, Einschrä nkung der Verarbeitung oder Ü bertragbarkeit von Daten bei Verarbeitungen, bei denen die Identifizierung der betroffenen
Person nicht erforderlich ist, wenn die betroffene Person zur Ausü bung dieser Rechte zusä tzliche Angaben gemacht hat, die ihre Identifizierung ermö glichen,
es sei denn, die Bestimmungen von Artikel 73 c) dieses Organgesetzes sind anwendbar.
(e)Nichteinhaltung der Meldepflicht in Bezug auf die Berichtigung oder Lö schung personenbezogener Daten oder die erforderliche Einschrä nkung der
Verarbeitung.
f)Nichteinhaltung der Verpflichtung, der betroffenen Person auf Verlangen mitzuteilen, an welche Empfä nger die berichtigten, gelö schten oder in ihrer
Verarbeitung eingeschrä nkten personenbezogenen Daten ü bermittelt wurden.
g)Nichteinhaltung der Verpflichtung zur Lö schung von Daten ü ber eine verstorbene Person, wenn dies erforderlich ist.
h)die fehlende Formalisierung der Vereinbarung zwischen den gemeinsam fü r die Verarbeitung Verantwortlichen, in der die jeweiligen Pflichten, Aufgaben
und Zustä ndigkeiten in Bezug auf die Verarbeitung personenbezogener Daten und ihre Beziehungen zu den betroffenen Personen festgelegt sind, oder die
Ungenauigkeit der Festlegung dieser Pflichten.
i)Versä umnis, den betroffenen Personen die wesentlichen Aspekte der zwischen den gemeinsam fü r die Verarbeitung Verantwortlichen getroffenen
Vereinbarung zur Verfü gung zu stellen.
(j)Nichteinhaltung der Verpflichtung des Auftragsverarbeiters, den fü r die Verarbeitung Verantwortlichen auf der Grundlage einer von diesem erhaltenen
Anweisung ü ber einen mö glichen Verstoß zu informieren.
k)Nichteinhaltung der Bestimmungen des Vertrags oder Rechtsakts, der die Verarbeitung regelt, oder der Anweisungen des fü r die Verarbeitung
Verantwortlichen durch den Auftragsverarbeiter, es sei denn, er ist gesetzlich dazu verpflichtet oder es ist erforderlich, um einen Verstoß gegen die
Datenschutzvorschriften zu verhindern, und der fü r die Verarbeitung Verantwortliche oder der Auftragsverarbeiter wurde darü ber informiert.
l)Ein Register der Verarbeitungstä tigkeiten, das nicht alle erforderlichen Informationen enthä lt.
(m)unvollstä ndige, verspä tete oder fehlerhafte Meldung von Informationen im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten
an die Datenschutzbehö rde.
(n)Versä umnis, eine Sicherheitsverletzung zu dokumentieren.
ñ )Nichteinhaltung der Pflicht zur Benachrichtigung der betroffenen Person ü ber eine Verletzung der Datensicherheit, die ein hohes Risiko fü r die Rechte und
Freiheiten der betroffenen Personen mit sich bringt.
o)Ü bermittlung unrichtiger Informationen an die Datenschutzbehö rde in Fä llen, in denen der fü r die Verarbeitung Verantwortliche verpflichtet ist, eine
vorherige Anfrage zu stellen.
(p)Nichtverö ffentlichung der Kontaktdaten des Datenschutzbeauftragten oder Nichtmitteilung dieser Daten an die Datenschutzbehö rde, wenn seine
Bestellung erforderlich ist.
(q)Versä umnis der Zertifizierungsstellen, die Datenschutzbehö rde ü ber die Erteilung, die Erneuerung oder den Entzug einer Zertifizierung zu informieren.
(r)Unterlassung der Unterrichtung der Datenschutzbehö rden durch die akkreditierten Kontrollstellen eines Verhaltenskodexes ü ber die Maßnahmen, die im
Falle eines Verstoßes gegen den Kodex zu ergreifen sind.
UNTERBRECHUN
G DER
VERJÄHRUNGSFRI - Durch die Einleitung des Sanktionsverfahrens mit Wissen des Betroffenen, wobei die Frist neu beginnt, wenn das Sanktionsverfahren aus Grü nden, die nicht
ST FÜR DEN dem Beschuldigten zuzuschreiben sind, mehr als sechs Monate lang stillgestanden hat.
VERSTOSS.
Art. 75
GRADUIERUNGSK Art. 83.2 der SR. Bei der Entscheidung über die Verhängung eines Bußgeldes und dessen Höhe in jedem Einzelfall ist dies gebührend zu berücksichtigen:
RITERIEN (a)die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der
Art. 76 betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens;
16
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
17
L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN
Wenn eine der oben genannten Personen einen der Verstö ße begeht, erlä sst die zustä ndige Datenschutzbehö rde eine Entscheidung, in der sie mit einer
Verwarnung geahndet wird und in der die Maßnahmen festgelegt werden, die zu ergreifen sind, damit das Verhalten eingestellt oder die Auswirkungen
des Verstoßes korrigiert werden.
Die Entscheidung wird der Kommission mitgeteilt:
o An die fü r die Verarbeitung verantwortliche Person
o dem Gremium, dem er/sie hierarchisch unterstellt ist, je nach Sachlage
Auftragsverarbeit o und gegebenenfalls die Betroffenen, die den Status einer interessierten Partei haben.
ern geltende Unbeschadet der vorstehenden Ausfü hrungen wird die Datenschutzbehö rde auch die Einleitung eines Disziplinarverfahrens vorschlagen, wenn
Regelung ausreichende Beweise dafü r vorliegen. Dieses Verfahren und die damit verbundenen Sanktionen werden im Einklang mit der einschlä gigen Disziplinar-
Art. 77 oder Sanktionsregelung angewandt.
Wenn die Verstö ße den BEHÖ RDEN UND VERWALTUNGSLEITERN zuzurechnen sind und das Vorhandensein von technischen Berichten oder
Behandlungsempfehlungen, die nicht ordnungsgemä ß behandelt wurden, nachgewiesen wird, enthä lt der Beschluss, in dem die Sanktion angegeben wird,
eineWenn die Verstö ße den BEHÖ RDEN UND VERWALTUNGSLEITERN zuzurechnen sind und das Vorhandensein von technischen Berichten oder
Behandlungsempfehlungen nicht ordnungsgemä ß anerkannt wurde, enthä lt der Beschluss, in dem die Sanktion angegeben wird, eine WARNUNG mit dem
Namen des VERANTWORTLICHEN und der Anweisung zur Verö ffentlichung im entsprechenden BOE- oder AUTONOMEN BULLETIN.
Die Beschlü sse ü ber die in den vorangegangenen Abschnitten genannten Maßnahmen und Aktionen mü ssen der Datenschutzbehö rde mitgeteilt werden.
Der OMBUDSMAN des OMBUDSMAN oder gegebenenfalls die entsprechenden Einrichtungen der autonomen Regionen werden ü ber die durchgefü hrten
Maßnahmen und die Beschlü sse unterrichtet.
Handelt es sich bei der Datenschutzbehö rde um die AEPD, so verö ffentlicht diese die Entscheidungen auf ihrer WEBSITE mit der gebotenen Trennung und
unter ausdrü cklicher Angabe der Identitä t des fü r die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, der gegen die Entscheidung
verstoßen hat.
Wenn die Zustä ndigkeit bei einer AUTONOMEN BEHÖ RDE liegt: Die Werbung erfolgt nach deren spezifischen Vorschriften.
18