FAQ – Häu­fig an uns gestell­te Fra­gen zum Daten­schutz aus Betroffenensicht

Sie haben das Recht, von einem Unter­neh­men, einer Insti­tu­ti­on, einem Ver­ein oder einer Behör­de jeder­zeit Aus­kunft dar­über zu ver­lan­gen, wel­che Daten dort über Sie gespei­chert wer­den und wie die­se ver­ar­bei­tet wer­den. Dazu müs­sen Sie eine schrift­li­che Anfra­ge per Post oder E‑Mail schi­cken, in der Sie sich ein­deu­tig iden­ti­fi­zie­ren. Inner­halb eines Monats muss Ihnen dann eine Kopie Ihrer Daten sowie wei­te­re Infor­ma­tio­nen über die Zwe­cke, die Rechts­grund­la­gen und die Emp­fän­ger der Daten­ver­ar­bei­tung zur Ver­fü­gung gestellt wer­den. Die Daten müs­sen Ihnen dabei in einem all­ge­mein les­ba­ren For­mat, z.B. als PDF-Datei, über­ge­ben werden.

Wenn Sie fest­stel­len, dass Ihre per­so­nen­be­zo­ge­nen Daten falsch oder unvoll­stän­dig sind, haben Sie das Recht, von dem Unter­neh­men oder der Orga­ni­sa­ti­on, die Ihre Daten ver­ar­bei­tet, eine Berich­ti­gung zu ver­lan­gen. Das Unter­neh­men oder die Orga­ni­sa­ti­on muss dies unver­züg­lich (grund­sätz­lich inner­halb eines Monats) tun oder schrift­lich begrün­den, war­um dem Antrag nicht ent­spro­chen wer­den kann. Wenn Sie Ihre Daten über eine vor­aus­ge­füll­te Steu­er­erklä­rung erhal­ten haben, müs­sen Sie sich an den Daten­über­mitt­ler wen­den, um die Daten zu kor­ri­gie­ren. Das kann z. B. Ihr Arbeit­ge­ber, Ihre Kran­ken­kas­se oder Ihre Ver­si­che­rung sein. Die Ände­run­gen müs­sen dem Finanz­amt anschlie­ßend mit­ge­teilt werden.

Wenn Sie Ihre per­so­nen­be­zo­ge­nen Daten bei einem Ver­ant­wort­li­chen löschen oder ein­schrän­ken las­sen möch­ten, haben Sie nach der Daten­schutz­grund­ver­ord­nung (DSGVO) ver­schie­de­ne Rech­te. Ein Ver­ant­wort­li­cher ist eine Per­son oder Stel­le, die über die Zwe­cke und Mit­tel der Ver­ar­bei­tung Ihrer Daten ent­schei­det. Sie kön­nen zum Beispiel:

• eine Löschung Ihrer Daten ver­lan­gen, wenn die­se nicht mehr für den Zweck benö­tigt wer­den, für den sie erho­ben wur­den, oder wenn Sie Ihre Ein­wil­li­gung wider­ru­fen haben.
• eine Ein­schrän­kung der Ver­ar­bei­tung Ihrer Daten ver­lan­gen, wenn Sie die Rich­tig­keit der Daten bestrei­ten, oder wenn Sie Wider­spruch gegen die Ver­ar­bei­tung ein­ge­legt haben.
• eine Aus­kunft über die zu Ihrer Per­son gespei­cher­ten Daten ver­lan­gen, um zu prü­fen, ob die­se kor­rekt und recht­mä­ßig ver­ar­bei­tet werden.

Um Ihre Rech­te gel­tend zu machen, kön­nen Sie sich an den Ver­ant­wort­li­chen wen­den, der Ihre Daten ver­ar­bei­tet. Die­ser muss Ihnen inner­halb eines Monats ant­wor­ten und Ihnen mit­tei­len, wel­che Maß­nah­men er ergrif­fen hat oder war­um er Ihrem Anlie­gen nicht nach­kom­men kann.

Wenn Sie der Ver­ar­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten zuge­stimmt haben, kön­nen Sie Ihre Ein­wil­li­gung jeder­zeit wider­ru­fen. Die­ses Recht schreibt Ihnen Arti­kel 7 Absatz 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO) zu. Der Wider­ruf bringt daten­schutz­recht­li­che Fol­gen mit sich, eine davon ist die Unter­bin­dung der Daten­ver­ar­bei­tung. Um Ihre Ein­wil­li­gung zu wider­ru­fen, müs­sen Sie uns dies schrift­lich mit­tei­len. Sie kön­nen dafür den fol­gen­den Mus­ter­text verwenden:

Absen­der: (Ihr Name und Ihre Anschrift)

An: (Name und Anschrift des Unter­neh­mens / Anbieters)

Datum

Betreff: Wider­ruf der Ein­wil­li­gung und Löschung per­so­nen­be­zo­ge­ner Daten, Art. 7 Abs. 3 S. 1, Art. 17 Abs. 1 b) DSGVO

Kun­den-Nr.: (falls Ihnen eine bekannt ist, bit­te hier ein­tra­gen; sonst löschen)

E‑Mail-Adres­se: (falls dem Unter­neh­men Ihre E‑Mail-Adres­se bekannt ist, bit­te hier ein­tra­gen; sonst löschen)

Sehr geehr­te Damen und Herren,

hier­mit wider­ru­fe ich mei­ne Ein­wil­li­gung in die Ver­ar­bei­tung mei­ner per­so­nen­be­zo­ge­nen Daten. Außer­dem for­de­re ich Sie auf, mei­ne bei Ihnen gespei­cher­ten per­so­nen­be­zo­ge­nen Daten unver­züg­lich zu löschen. Falls Sie mei­ne per­so­nen­be­zo­ge­nen Daten wei­te­ren Emp­fän­gern offen­ge­legt haben, ver­lan­ge ich außer­dem, dass Sie die Emp­fän­ger über die Löschung mei­ner per­so­nen­be­zo­ge­nen Daten informieren.

Ich bit­te um unver­züg­li­che Bestä­ti­gung, dass mei­ne per­so­nen­be­zo­ge­nen Daten bei Ihnen gelöscht wur­den sowie, dass Sie die wei­te­ren Emp­fän­ger durch Zusen­dung einer Kopie über mein Löschungs­ver­lan­gen infor­miert haben.

Soll­ten Sie mei­nem Löschungs­er­su­chen nicht nach­kom­men, for­de­re ich Sie auf, Ihre Ent­schei­dung mir gegen­über unter Anga­be der gesetz­li­chen Grund­la­ge unver­züg­lich zu begrün­den. In die­sem Fall sind die ent­spre­chen­den Daten umge­hend zu sperren.

Mit freund­li­chen Grüßen

(Unter­schrift)

Wenn Sie der Ansicht sind, dass Ihre Daten­schutz­rech­te ver­letzt wur­den, haben Sie das Recht, eine Beschwer­de bei der zustän­di­gen Daten­schutz­be­hör­de ein­zu­rei­chen. Die zustän­di­ge Behör­de ist die­je­ni­ge, die im Bun­des­land sitzt, in dem das Unter­neh­men oder die Orga­ni­sa­ti­on, das/​die Ihre Daten ver­ar­bei­tet, sei­nen oder ihren Sitz hat. Sie kön­nen die Beschwer­de per Post oder E‑Mail ein­rei­chen und müs­sen dabei fol­gen­de Anga­ben machen:

• Ihren Namen und Ihre Kontaktdaten
• Den Namen und die Kon­takt­da­ten der ver­ant­wort­li­chen Stel­le oder des Auf­trags­ver­ar­bei­ters, gegen die oder den Sie sich beschweren
• Eine Beschrei­bung der Ver­let­zung Ihrer Daten­schutz­rech­te, die Sie gel­tend machen
• Die Rechts­grund­la­ge, auf die Sie sich beru­fen (z.B. DSGVO, BDSG, TMG)
• Den Sach­ver­halt und die Grün­de für Ihre Beschwerde
• Ihren Wunsch oder Ihr Anlie­gen (z.B. Unter­las­sung, Berich­ti­gung, Löschung, Schadensersatz)

Die Daten­schutz­be­hör­de wird dann Ihre Beschwer­de prü­fen und Sie über den Stand und das Ergeb­nis informieren.

Wenn Sie Ihre per­so­nen­be­zo­ge­nen Daten von einem Anbie­ter zu einem ande­ren über­tra­gen las­sen möch­ten, haben Sie unter bestimm­ten Vor­aus­set­zun­gen das Recht auf Daten­über­trag­bar­keit nach der DSGVO.

Die­ses Recht gilt, wenn die Ver­ar­bei­tung Ihrer Daten auf Ihrer Ein­wil­li­gung oder auf einem Ver­trag beruht und die Ver­ar­bei­tung mit­hil­fe auto­ma­ti­sier­ter Ver­fah­ren erfolgt. Sie kön­nen dann ver­lan­gen, dass der Anbie­ter Ihnen Ihre Daten in einem struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat zur Ver­fü­gung stellt oder direkt an einen ande­ren Anbie­ter über­mit­telt, soweit dies tech­nisch mach­bar ist. Der Anbie­ter darf die Daten­über­tra­gung nicht behin­dern oder verzögern.

Das Recht auf Daten­über­trag­bar­keit gilt nicht für Daten, die für die Wahr­neh­mung einer öffent­li­chen Auf­ga­be oder im öffent­li­chen Inter­es­se ver­ar­bei­tet wer­den. Außer­dem darf die Daten­über­tra­gung die Rech­te und Frei­hei­ten ande­rer Per­so­nen nicht beeinträchtigen.

Wenn Sie Ihre Daten über­tra­gen las­sen möch­ten, soll­ten Sie sich an den Anbie­ter wen­den, der Ihre Daten ver­ar­bei­tet, und ihn um die Daten­über­tra­gung bit­ten. Der Anbie­ter muss Ihnen inner­halb eines Monats ant­wor­ten und Ihnen mit­tei­len, ob er Ihrer Anfra­ge nach­kommt oder nicht. Wenn er Ihrer Anfra­ge nicht nach­kommt, muss er Ihnen die Grün­de dafür nen­nen und Ihnen das Recht auf Beschwer­de bei einer Auf­sichts­be­hör­de oder auf gericht­li­chen Rechts­schutz ein­räu­men. Die Daten­über­tra­gung ist in der Regel kos­ten­los, es sei denn, Ihre Anfra­ge ist offen­sicht­lich unbe­grün­det oder exzessiv.

Die Daten­über­mitt­lung ins Aus­land kann mit Risi­ken für den Schutz Ihrer per­so­nen­be­zo­ge­nen Daten ver­bun­den sein. Denn nicht alle Län­der außer­halb der Euro­päi­schen Uni­on (EU) und des Euro­päi­schen Wirt­schafts­raums (EWR) bie­ten ein ver­gleich­ba­res Daten­schutz­ni­veau wie die EU. Wenn Ihre Daten in ein soge­nann­tes Dritt­land über­mit­telt wer­den, kön­nen sie dort mög­li­cher­wei­se von Behör­den oder ande­ren Stel­len ein­ge­se­hen oder ver­ar­bei­tet wer­den, ohne dass Sie davon erfah­ren oder sich dage­gen weh­ren kön­nen. Außer­dem kann es schwie­ri­ger sein, Ihre Rech­te als betrof­fe­ne Per­son gel­tend zu machen oder Scha­dens­er­satz zu erhal­ten, wenn Ihre Daten miss­braucht werden.

Daten­miss­brauch oder ‑dieb­stahl bedeu­tet, dass Ihre per­sön­li­chen oder geschäft­li­chen Daten ohne Ihre Zustim­mung von ande­ren genutzt oder wei­ter­ge­ge­ben wer­den. Dies kann zu finan­zi­el­len Schä­den, Iden­ti­täts­dieb­stahl oder ande­ren Nach­tei­len für Sie füh­ren. Um sich vor Daten­miss­brauch oder ‑dieb­stahl zu schüt­zen, soll­ten Sie fol­gen­de Maß­nah­men ergreifen:

• Sei­en Sie vor­sich­tig bei der Wei­ter­ga­be von Daten im Inter­net oder bei Gewinn­spie­len, Rabatt­kar­ten oder Infor­ma­ti­ons­ver­an­stal­tun­gen. Lesen Sie immer die Daten­schutz­er­klä­rung und wider­spre­chen Sie gege­be­nen­falls der Nut­zung Ihrer Daten für Wer­be­zwe­cke oder die Wei­ter­ga­be an Drit­te. Zum Bei­spiel kön­nen Sie bei Online-Bestel­lun­gen oder Anmel­dun­gen ein Häk­chen set­zen oder ent­fer­nen, um Ihre Ein­wil­li­gung zu geben oder zu verweigern.
• Nut­zen Sie ein aktu­el­les Anti­vi­ren­pro­gramm und eine Fire­wall auf Ihrem Com­pu­ter, Smart­phone oder Tablet, um sich vor Viren, Tro­ja­nern oder Hackern zu schüt­zen. Aktua­li­sie­ren Sie regel­mä­ßig Ihre Soft­ware und Betriebs­sys­te­me, um Sicher­heits­lü­cken zu schließen.
• Ver­wen­den Sie star­ke und unter­schied­li­che Pass­wör­ter für Ihre Online-Kon­ten und ändern Sie die­se regel­mä­ßig. Nut­zen Sie nach Mög­lich­keit die Zwei-Fak­tor-Authen­ti­fi­zie­rung für zusätz­li­che Sicher­heit. Ver­mei­den Sie es, Ihre Pass­wör­ter auf­zu­schrei­ben oder zu spei­chern, und nut­zen Sie einen Pass­wort­ma­na­ger, um sie sicher zu verwalten.
• Sei­en Sie skep­tisch bei E‑Mails, Anru­fen oder Nach­rich­ten von unbe­kann­ten Absen­dern, die Sie nach per­sön­li­chen Daten fra­gen oder Ihnen Links oder Anhän­ge schi­cken. Dies kön­nen Phis­hing-Ver­su­che sein, um an Ihre Daten zu gelan­gen. Öff­nen Sie kei­ne ver­däch­ti­gen Links oder Anhän­ge und geben Sie kei­ne sen­si­blen Daten preis. Über­prü­fen Sie immer die Absen­der­adres­se und die URL der Web­sei­te, bevor Sie etwas anklicken.
• Über­prü­fen Sie regel­mä­ßig Ihre Kon­to­aus­zü­ge und Ihre Schufa-Aus­kunft auf ver­däch­ti­ge Akti­vi­tä­ten. Mel­den Sie sich sofort bei Ihrem Kre­dit­in­sti­tut oder der Poli­zei, wenn Sie einen Daten­miss­brauch oder ‑dieb­stahl fest­stel­len. Sper­ren Sie gege­be­nen­falls Ihre Kre­dit­kar­ten oder Online-Zugän­ge und ändern Sie Ihre Passwörter.

Coo­kies sind klei­ne Daten­sät­ze, die von Web­sei­ten auf Ihrem Gerät gespei­chert wer­den, um Sie wie­der­zu­er­ken­nen oder Ihre Ein­stel­lun­gen zu spei­chern. Coo­kies kön­nen nütz­lich sein, aber auch Ihr Surf­ver­hal­ten ana­ly­sie­ren und Ihre Pri­vat­sphä­re beeinträchtigen.

Es gibt ver­schie­de­ne Arten von Coo­kies, die unter­schied­li­che Zwe­cke haben.

• Ses­si­on-Coo­kies wer­den nur für die Dau­er einer Sit­zung auf einer Web­sei­te ver­wen­det, zum Bei­spiel um Ihren Waren­korb oder Ihre Anmel­de­da­ten zu spei­chern. Die­se Coo­kies wer­den auto­ma­tisch gelöscht, wenn Sie den Brow­ser schließen.
• Track­ing-Coo­kies hin­ge­gen blei­ben län­ger auf Ihrem Gerät und ver­fol­gen Ihr Surf­ver­hal­ten über meh­re­re Web­sei­ten hin­weg. Die­se Coo­kies wer­den oft von Wer­be­un­ter­neh­men genutzt, um Ihnen per­so­na­li­sier­te Wer­bung anzu­zei­gen oder Ihr Nut­zer­pro­fil zu erstellen.

Sie kön­nen Coo­kies in Ihrem Brow­ser kon­trol­lie­ren und ver­wal­ten, indem Sie die ent­spre­chen­den Ein­stel­lun­gen auf­ru­fen. Dort kön­nen Sie Coo­kies löschen, blo­ckie­ren oder zulas­sen, je nach Ihren Wün­schen. Die genau­en Schrit­te hän­gen von Ihrem Brow­ser ab. Sie soll­ten regel­mä­ßig Ihre Coo­kies über­prü­fen und nur die­je­ni­gen akzep­tie­ren, die für die Funk­ti­on der Web­sei­ten not­wen­dig sind.

Pro­fil­ing ist eine Form der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, bei der bestimm­te per­sön­li­che Aspek­te einer natür­li­chen Per­son bewer­tet wer­den, um zum Bei­spiel ihre Arbeits­leis­tung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben oder Inter­es­sen, Zuver­läs­sig­keit oder Ver­hal­ten zu ana­ly­sie­ren oder vor­her­zu­sa­gen. Pro­fil­ing kann recht­li­che Wir­kun­gen für die betrof­fe­ne Per­son ent­fal­ten oder sie in ähn­li­cher Wei­se erheb­lich beein­träch­ti­gen. Zum Bei­spiel kann Pro­fil­ing dazu füh­ren, dass eine Per­son einen Online-Kre­dit­an­trag oder eine Online-Bewer­bung abge­lehnt bekommt, ohne dass ein Mensch eingreift.

Pro­fil­ing unter­liegt den Vor­schrif­ten der Daten­schutz-Grund­ver­ord­nung (DSGVO), die den Schutz der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gewähr­leis­tet. Die betrof­fe­ne Per­son hat das Recht, kei­ner aus­schließ­lich auf Pro­fil­ing beru­hen­den Ent­schei­dung unter­wor­fen zu wer­den, es sei denn, dies ist nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten aus­drück­lich zuläs­sig, für den Abschluss oder die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und einem Ver­ant­wort­li­chen erfor­der­lich oder die betrof­fe­ne Per­son hat ihre aus­drück­li­che Ein­wil­li­gung hier­zu erteilt. In jedem Fall muss eine sol­che Ent­schei­dung mit ange­mes­se­nen Garan­tien ver­bun­den sein, wie zum Bei­spiel dem Recht auf mensch­li­ches Ein­grei­fen, dem Recht auf Dar­le­gung des eige­nen Stand­punkts, dem Recht auf Erläu­te­rung der Ent­schei­dung und dem Recht auf Anfech­tung der Entscheidung.

Pro­fil­ing kann sich auf die betrof­fe­ne Per­son aus­wir­ken, indem es ihre Mög­lich­kei­ten ein­schränkt, bestimm­te Dienst­leis­tun­gen oder Pro­duk­te zu erhal­ten, ihre Chan­cen auf dem Arbeits­markt ver­rin­gert, ihre Pri­vat­sphä­re ver­letzt oder ihre per­sön­li­chen Daten für uner­wünsch­te Zwe­cke ver­wen­det. Die betrof­fe­ne Per­son hat daher das Recht, über das Pro­fil­ing infor­miert zu wer­den, die Logik dahin­ter zu ver­ste­hen und die Fol­gen für sie zu ken­nen. Die betrof­fe­ne Per­son hat auch das Recht auf Zugang zu ihren per­so­nen­be­zo­ge­nen Daten, die für das Pro­fil­ing ver­wen­det wer­den, das Recht auf Berich­ti­gung oder Löschung die­ser Daten und das Recht auf Wider­spruch gegen das Profiling.