DSGVO Wiki - Informationsrecht und Co.

Mario Köhler - Donnerstag, 8.3.2018

Informationsrecht, Recht auf Vergessenwerden, Auskunftsrecht, Grundsätze der Datenverarbeitung, Rechtmäßigkeit der Datenverarbeitung, usw. Diese Begriffe und die zugehörigen Gesetzesartikel sind im Kontext der Datenschutz Grundverordnung (DSGVO) ständig zu hören. Doch was versteckt sich hinter diesen Begriffen beziehungsweise was bedeuten die entsprechenden Gesetzesartikel konkret? Wir haben für Sie die wichtigsten Begriffe und Gesetzesartikel in unserem DSGVO Wiki gesammelt und erklären was sich dahinter versteckt.

DSGVO WIKI Informationsrecht

INFORMATIONSRECHT – ART. 13 UND 14 DSGVO

Laut Art.13, 14 DSGVO gilt bei der Verarbeitung personenbezogener eine strenge Informationspflicht gegenüber den davon Betroffenen, online wird diese durch eine Datenschutzerklärung gewahrt. Noch vor der Erhebung muss der User über sämtliche Aspekte der ihn betreffenden Datenverarbeitung informiert werden. Die verpflichtenden Angaben der Datenschutzerklärung gliedern sich dabei wie folgt:

  • Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen (bei Verarbeitung nach Art. 6 DSGVO
  • Empfänger bzw. Kategorien von Empfängern
  • Übermittlung in Drittländer oder an internationale Organisationen
  • Dauer der Speicherung
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
  • Bestehen eines Rechts auf Widerspruch der Einwilligung
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, damit der Vertragsabschluss zustande kommt und Aufklärung über mögliche Folgen bei Nichtbereitstellung
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Information über eine mögliche Zweckänderung der personenbezogenen Datenverarbeitung

AUSKUNFTSRECHT – ART. 15 DSGVO

User, deren Daten verarbeitet werden verfügen über ein umfassendes Recht auf Information. Nach Art. 15 DSGVO fallen die folgenden Angaben unter das Auskunftsrecht:

  • Die Zwecke der Datenverarbeitung
  • Die verschiedenen Kategorien der Daten
  • Die Empfänger oder Kategorien von Empfängern
  • Die Dauer der Speicherung
  • Das Recht auf Berichtigung, Löschung und Widerspruch
  • Das Recht auf Beschwerde bei einer Aufsichtsbehörde
  • Die Herkunft der Daten, falls diese nicht beim User selbst erhoben wurden
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen

Sämtliche über ihn erhobene Daten sind als Kopie, üblicherweise per Email, an den User weiterzugeben.

RECHT AUF VERGESSENWERDEN – ART. 17 DSGVO

Personenbezogene Daten müssen nach Art. 17 DSGVO gelöscht werden,

  • wenn die Speicherung der Daten nicht mehr notwendig ist
  • wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • wenn die Daten unrechtmäßig verarbeitet wurden
  • wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Personenbezogene Daten müssen dann nicht gelöscht werden,

  • wenn das Recht auf freie Meinungsäußerung bzw. auf die Informationsfreiheit überwiegt
  • wenn die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • wenn das öffentliche Interesse im Sinne der öffentlichen Gesundheit überwiegt
  • wenn Archivzwecke oder wissenschaftliche und historische Forschungszwecke entgegenstehen
  • wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Achten Sie bei der Erstellung Ihrer Datenschutzerklärung darauf, dass die Löschfristen für die von Ihnen erfassten personenbezogenen Daten angegeben werden. Auf diese Weise vermeiden Sie mögliche Rechtsunsicherheiten im Zweifelsfall. Falls Ihre IT-Abteilung noch keine Prozesse zur Löschung personenbezogener Daten entwickelt hat, besteht nun dringender Handlungsbedarf.

Die Frist zur Umsetzung der DSGVO läuft im Mai 2018 ab. Bis zu diesem Zeitpunkt haben Sie die Gelegenheit Ihre Datenschutzerklärung an die neuen Bedingungen anzupassen. Darin sollte auch eine klare Regelung zum Umgang mit den Daten inaktiver Kunden enthalten sein.

Mehr zum Thema personenbezogene Daten finden Sie auch in unserem Blog:

GRUNDSÄTZE DER DATENVERARBEITUNG – ART. 5 ABS. 2 DSGVO

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden, dabei gilt der Grundsatz von Treu und Glauben. Der Prozess der Datenverarbeitung muss für die davon betroffene Person nachvollziehbar sein.

Zweckbindung:

Die Zwecke der Datenverarbeitung müssen in der Datenschutzerklärung eindeutig festgelegt werden und legitimer Natur sein. Eine über diese Zwecke hinausgehende Verarbeitung der personenbezogenen Daten ist nicht gestattet.

Datenminimierung:

Das Ausmaß der erhobenen Daten, sowie der Umfang deren Verarbeitung muss im klaren Verhältnis zu den zuvor festgelegten Zwecken stehen. Zielvorgabe ist dabei die Minimierung der Datenerhebung auf das für den Zweck nötige Mindestmaß.

Richtigkeit:

Personenbezogene Daten müssen immer auf dem aktuellsten Stand und sachlich richtig sein, damit sie zweckdienlich verarbeitet werden dürfen. Liegen falsche Daten vor, sind unverzüglich alle notwendigen Maßnahmen zu deren Korrektur bzw. zu deren Löschung zu ergreifen.

Speicherbegrenzung:

Personenbezogene Daten dürfen nur für die Dauer der Erfüllung der zuvor festgelegten Zwecke verarbeitet werden. Eine darüberhinausgehende Speicherung oder Verarbeitung ist nicht gestattet.

Integrität und Vertraulichkeit:

Bei der Verarbeitung von personenbezogenen Daten sind alle geeigneten technischen und organisatorischen Maßnahmen zu treffen, deren Sicherheit zu gewährleisten.

Rechenschaftspflicht:

Für die Einhaltung der genannten Grundsätze ist der Verarbeiter verantwortlich. Dieser muss den Verarbeitungsprozess auch sorgfältig dokumentieren, um dessen Korrektheit jederzeit nachweisen zu können

RECHTMÄßIGKEIT DER DATENVERARBEITUNG –ART. 6 DSGVO

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Einwilligung des Betroffenen
  • Datenverarbeitung zur Erfüllung eines Vertrags mit dem Betroffenen, einschließlich vorvertraglicher Maßnahmen
  • Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung
  • Datenverarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person Datenverarbeitung im Rahmen der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
  • Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

DATENSICHERHEIT – ART. 32 DSGVO

Der Aspekt der Datensicherheit gewinnt mit Inkrafttreten der DSGVO an Bedeutung, nach Art. 32 DSGVO muss jedes Unternehmen ein angemessenes Datenschutzniveau gewährleisten. Welchen Grad dieser Schutz erreichen muss hängt vor allem von den individuellen Risiken im Unternehmen ab. Sowohl der Verantwortliche als auch der der Auftragsdatenverarbeiter sind dazu verpflichtet, sämtliche technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit der erhobenen personenbezogenen Daten zu wahren. Dazu zählen unter anderem:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Ein effektives Monitoring der angewandten technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung. Dieses Verfahren überprüft und bewertet die Wirksamkeit der getroffenen Maßnahmen.

Die bisherigen Meldepflichten im Fall von Datenpannen waren, nach BDSG noch recht kulant und betrafen nur vergleichsweise wenige Ausnahmefälle. Meldepflicht bestand bisher hauptsächlich bei Fehlern im Umgang mit besonders sensiblen Daten und unter der Annahme dadurch bedingter schwerwiegender Beeinträchtigungen für den Betroffenen. Von der Meldepflicht waren also bis dato nur wenige Unternehmen direkt betroffen.


Art. 33 und 34 DS-GVO verschärft die Meldepflichten nun deutlich. So muss eine Meldung an die Aufsichtsbehörde bei jeder Datenpanne erfolgen, es sei denn, es ergibt sich voraussichtlich kein Risiko für den Betroffenen. Die Meldung muss binnen 72 Stunden erfolgen. Die von der Datenpanne Betroffenen müssen allerdings in der Regel nur dann benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

DSGVO konform agieren? Kein Problem!

Sie wollen wissen, wie Sie die Anforderungen der DSGVO einhalten können? Oder warum Inbound Marketing ein Ansatz ist, der die Grundsätze der DSGVO im Kern verankert hat? Dann nutzen Sie die Chance und buchen Sie sich direkt hier ein unverbindliches Beratungsgespräch, in dem wir Ihre Fragen und Herausforderungen besprechen und diskutieren.

Beratungsgespräch vereinbaren

Kategorien: Inbound Marketing

Mario Köhler

Mario Köhler

Mario Köhler ist Spezialist für Content Marketing bei TRIALTA, eine der ersten Inbound-Marketing-Agenturen in Deutschland.

vorherhiger Beitrag

Die 7 größten Irrtümer der Datenschutz Grundverordnung (DSGVO)

nächster Beitrag

Content Recycling: 7 Tipps für einen nachhaltigen Effekt

Letzte Beiträge

Blog Update

Jeder Blog bequem in Ihrem Postfach! Sie entscheiden in welcher Frequenz Sie Updates erhalten.

100% Privacy. No Spam.