| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
| datenschutzerklaerung-beispiel [2021/11/06 19:29] – Martin Neldner | datenschutzerklaerung-beispiel [2021/11/19 11:29] – Admin |
|---|
| <WRAP center round alert 60%> **Der folgende Text ist ein <fs x-large>Entwurf</fs> und noch nicht als Artikel Bestandteil dieses Wiki!** </WRAP> | |
| |
| Ein **Beispiel für eine Datenschutzerklärung** auf Basis einer Datenerhebung mittels Umfrage zu Forschungszwecken. Zu grundsätzlichen Aussagen zu Datenschutzerklärungen siehe [[:Datenschutzerklärung]]. | Ein **Beispiel für eine Datenschutzerklärung** auf Basis einer Datenerhebung mittels Umfrage zu Forschungszwecken. Zu grundsätzlichen Aussagen zu Datenschutzerklärungen siehe [[:Datenschutzerklärung]]. |
| |
| | Erläuterung zu den Spalten: |
| | * laufende Nummer ist einfach ein Hilfsmittel zur Orientierung beim Lesen und bei der Erstellung der Tabelle ohne inhaltliche Bedeutung. |
| | * Text ist der Text der Datenschutzerklärung in Frage-Antwort-Form. |
| | * Rechtsgrundlage benennt die Fundstelle in der DSGVO, der die Angabe regelt. |
| | * Erläuterung gibt Hinweise, wie die Frage zu verstehen ist und auf was in der Antwort eingegangen werden muss. |
| | * Art. 13 oder Art. 14 markiert die Fragen, die nur bei Datenschutzerklärungen nach Art. 13 (Erhebung der Daten bei der betroffenen Person) oder nach Art. 14 (Erhebung der Daten nicht bei der betroffenen Person) relevant sind. Im jeweils anderen Fall ist die Angabe nicht nötig und zum Teil auch nicht möglich. |
| | * Art. 13/14 Abs. 2 markiert die Fragen, die "nur" nach Abs. 2 von Artikel 13 und Artikel 14 erforderlich sind und auf die auch verzichtet werden kann, wenn dadurch Transparenz und Fairness nicht gefährdet werden. |
| | |
| | \\ |
| ^lfd. Nr.^Text^Zugrundeliegende Regelung der DSGVO^Erläuterung^Art. 13 oder Art. 14^Art. 13/14 Abs. 2?^ | ^lfd. Nr.^Text^Zugrundeliegende Regelung der DSGVO^Erläuterung^Art. 13 oder Art. 14^Art. 13/14 Abs. 2?^ |
| |1| Welche Daten werden erhoben? (Kategorien personenbezogener Daten)|Erforderlich nach [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] Abs. 1 lit. d DSGVO|Dem Wortlaut der Artikel 13 und 14 DSGVO nach eigentlich nur erforderlich, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden - also im Fall des Art. 14, während Art. 13 die erhobenen Daten nicht erwähnt. Die Ratio hinter der Regelung dürfte sein, dass die betroffene Person weiß, welche Daten erhoben werden, wenn sie bei ihr erhoben werden. Uneigentlich empfiehlt es sich dennoch auch im Fall des Art. 13, anzugeben, welche Daten erhoben werden. Dafür spricht zum einen der Grundsatz der [[:Transparente Information|Transparenten Information]] des [[https://dejure.org/gesetze/DSGVO/12.html|Artikel 12]]. Beispielsweise kann das einige Unzufriedenheit verhindern, wenn am Ende einer Befragung plötzlich Daten erhoben werden, die die Betroffene Person gar nicht preisgeben möchte. Aber auch ganz praktisch lässt sich in einer Datenschutzerklärung leichter erläutern, was mit den personenbezogenen Daten geschieht, wenn am Anfang geklärt wird, um was es sich dabei im konkreten Fall handelt.]]| 14 | | | |1| Welche Daten werden verarbeitet? (Kategorien personenbezogener Daten)|Erforderlich nach [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] Abs. 1 lit. d DSGVO|Dem Wortlaut der Artikel 13 und 14 DSGVO nach eigentlich nur erforderlich, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden - also im Fall des Art. 14, während Art. 13 die erhobenen Daten nicht erwähnt. Die Ratio hinter der Regelung dürfte sein, dass die betroffene Person weiß, welche Daten erhoben werden, wenn sie bei ihr erhoben werden. Uneigentlich empfiehlt es sich dennoch auch im Fall des Art. 13, anzugeben, welche Daten erhoben werden. Dafür spricht zum einen der Grundsatz der [[:Transparente Information|Transparenten Information]] des [[https://dejure.org/gesetze/DSGVO/12.html|Artikel 12]]. Beispielsweise kann das einige Unzufriedenheit verhindern, wenn am Ende einer Befragung plötzlich Daten erhoben werden, die die Betroffene Person gar nicht preisgeben möchte. Aber auch ganz praktisch lässt sich in einer Datenschutzerklärung leichter erläutern, was mit den personenbezogenen Daten geschieht, wenn am Anfang geklärt wird, um was es sich dabei im konkreten Fall handelt.]]| 14 | | |
| | | Im Wesentlichen werden an personenbezogenen Daten die notwendigen Verbindungsdaten (insbesondere IP-Adresse) erhoben, um an der Umfrage teilnehmen zu können. \\ \\ Die Angaben, die bei einer Teilnahme an der Umfrage erhoben werden, sind in der Regel nach dem Beenden und Absenden des Fragebogens KEINE personenbezogenen Daten mehr, da die Erhebung so erfolgt, dass ein Rückschluss auf die teilnehmende Person nicht möglich ist (Anonymisierung). | | | | | | | | Im Wesentlichen werden an personenbezogenen Daten die notwendigen Verbindungsdaten (insbesondere IP-Adresse) erhoben, um an der Umfrage teilnehmen zu können. \\ \\ Die Angaben, die bei einer Teilnahme an der Umfrage erhoben werden, sind in der Regel nach dem Beenden und Absenden des Fragebogens KEINE personenbezogenen Daten mehr, da die Erhebung so erfolgt, dass ein Rückschluss auf die teilnehmende Person nicht möglich ist (Anonymisierung). | | | | | |
| |2| Woher stammen die Daten? | Art. 14 Abs. 2 lit. f DSGVO | Nur relevant, wenn die Daten **nicht** bei der betroffenen Person erhoben werden.| 14 | x | | |2| Woher stammen die Daten? | Art. 14 Abs. 2 lit. f DSGVO | Nur relevant, wenn die Daten **nicht** bei der betroffenen Person erhoben werden.| 14 | x | |
| |7| Wie lange werden die Daten gespeichert?| Art. 13 Abs. 2 lit. a und Art. 14 Abs. 2 lit. a | Aufbewahrungsfrist und Löschfrist sind zwei Seiten der selben Medaille. Die Bedeutung dieses Punktes nimmt stetig zu. Es muss also geklärt werden, wie lange daten aufbewahrt werden und wenn diese Frist abgelaufen ist, muss in aller Regel gelöscht werden. Das muss auch organisatorisch-technisch abgesichert werden. | beides | x | | |7| Wie lange werden die Daten gespeichert?| Art. 13 Abs. 2 lit. a und Art. 14 Abs. 2 lit. a | Aufbewahrungsfrist und Löschfrist sind zwei Seiten der selben Medaille. Die Bedeutung dieses Punktes nimmt stetig zu. Es muss also geklärt werden, wie lange daten aufbewahrt werden und wenn diese Frist abgelaufen ist, muss in aller Regel gelöscht werden. Das muss auch organisatorisch-technisch abgesichert werden. | beides | x | |
| | | Die Verbindungsdaten werden für maximal 7 Tage gespeichert.| | | | | | | Die Verbindungsdaten werden für maximal 7 Tage gespeichert.| | | | |
| |8| Findet eine automatisierte Entscheidungsfindung oder Profiling statt?| Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g | Falls durch die Verarbeitung automatisiert Entscheidungen mit Rechtswirkungen getroffen werden oder ein [[:Profiling]] stattfindet, muss darüber detailliert informiert werden - und natürlich muss dann [[https://dejure.org/gesetze/DSGVO/22.html|Art. 22]] DSGVO beachtet werden. Andererseits sollte bei Verarbeitungen, wo beides völlig abwegig ist, hinterfragt werden, ob auf den Punkt komplett verzichtet, da es (nur) eine Angabe nach Art. 13 bzw. 14 Abs. 2 ist.| beides | x | | |8| Werden besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet? | Art. 13 Abs. 2 lit. c, Art. 14 Abs. 2 lit. d | Wenn besondere Kategorien personenbezogener Daten verarbeitet werden, ist höchste Vorsicht geboten, dass die strengen Vorgaben des [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] DSGVO beachtet werden.| beides | x | |
| | | | Nein. Es werden keine personenbezogenen Daten verarbeitet, aus denen "rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen". Es werden auch keine "genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person" verarbeitet.| | | | | |
| | |9| Findet eine automatisierte Entscheidungsfindung oder Profiling statt?| Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g | Falls durch die Verarbeitung automatisiert Entscheidungen mit Rechtswirkungen getroffen werden oder ein [[:Profiling]] stattfindet, muss darüber detailliert informiert werden - und natürlich muss dann [[https://dejure.org/gesetze/DSGVO/22.html|Art. 22]] DSGVO beachtet werden. Andererseits sollte bei Verarbeitungen, wo beides völlig abwegig ist, hinterfragt werden, ob auf den Punkt komplett verzichtet, da es (nur) eine Angabe nach Art. 13 bzw. 14 Abs. 2 ist.| beides | x | |
| | | Nein. Es erfolgen weder automatisierte Entscheidungsfindung noch Profiling.| | | | | | | | Nein. Es erfolgen weder automatisierte Entscheidungsfindung noch Profiling.| | | | | |
| |9| Welche Rechte habe ich im Allgemeinen?| Art. 13 Abs. 2 lit. b und d, Art. 14 Abs. 2 lit. c und e | Ein Sammelsurium von Belehrungen, die notwendig sind, obwohl jeder, der sich für Datenschutz interessiert, davon mittlerweile Kenntnis haben müsste. Zudem können die [[:Betroffenenrechte]] oft nicht bzw. nicht sinnvoll ausgeübt werden, weil entweder die Voraussetzungen nicht vorliegen oder die Rechte in Lehre laufen. Letzteres gilt vor allem für das [[Recht auf Datenübertragbarkeit]], [[https://dejure.org/gesetze/DSGVO/20.html| Art. 20]] DSGVO. \\ \\ Über das [[:Recht zur Beschwerde bei einer Aufsichtsbehörde]] auch die zuständige Aufsichtsbehörde anzugeben, ist eine Frage der Transparenz und Fairness (Art. 12 DSGVO). | beides | x | | |10| Welche Rechte habe ich im Allgemeinen?| Art. 13 Abs. 2 lit. b und d, Art. 14 Abs. 2 lit. c und e | Ein Sammelsurium von Belehrungen, die notwendig sind, obwohl jeder, der sich für Datenschutz interessiert, davon mittlerweile Kenntnis haben müsste. Zudem können die [[:Betroffenenrechte]] oft nicht bzw. nicht sinnvoll ausgeübt werden, weil entweder die Voraussetzungen nicht vorliegen oder die Rechte in Lehre laufen. Letzteres gilt vor allem für das [[Recht auf Datenübertragbarkeit]], [[https://dejure.org/gesetze/DSGVO/20.html| Art. 20]] DSGVO. \\ \\ Über das [[:Recht zur Beschwerde bei einer Aufsichtsbehörde]] auch die zuständige Aufsichtsbehörde anzugeben, ist eine Frage der Transparenz und Fairness (Art. 12 DSGVO). | beides | x | |
| | | Als betroffene Person haben Sie nach der DS-GVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten, soweit deren jeweilige gesetzliche Voraussetzungen vorliegen: Das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), das Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO). \\ \\ Wenden Sie sich zur Ausübung aller Ihrer zuvor genannten Rechte bitte an den datenschutz@tu-ilmenau.de oder postalisch an den Datenschutzbeauftragten (Anschrift s.o.). \\ \\ Sie haben zudem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist. \\ Die für den Verantwortlichen zuständige Aufsichtsbehörde ist: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Häßlerstr. 8, 99096 Erfurt, https://www.tlfdi.de/tlfdi/kontakt/| | | | | | | Als betroffene Person haben Sie nach der DS-GVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten, soweit deren jeweilige gesetzliche Voraussetzungen vorliegen: Das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), das Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO). \\ \\ Wenden Sie sich zur Ausübung aller Ihrer zuvor genannten Rechte bitte an den datenschutz@tu-ilmenau.de oder postalisch an den Datenschutzbeauftragten (Anschrift s.o.). \\ \\ Sie haben zudem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist. \\ Die für den Verantwortlichen zuständige Aufsichtsbehörde ist: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Häßlerstr. 8, 99096 Erfurt, https://www.tlfdi.de/tlfdi/kontakt/| | | | |
| |10| Kann die Angabe von Daten verweigert werden? Welche Folgen hat das? | Art. 13 Abs. 2 lit. c | | 13 | x | | |11| Kann die Angabe von Daten verweigert werden? Welche Folgen hat das? | Art. 13 Abs. 2 lit. c | | 13 | x | |
| | | Niemand ist verpflichtet an der Umfrage teilzunehmen, so dass die Angabe von Daten verweigert werden kann. Die einzige Folge ist, dass damit keine Teilnahme an der Umfrage möglich ist.| | | | | | | | Niemand ist verpflichtet an der Umfrage teilzunehmen, so dass die Angabe von Daten verweigert werden kann. Die einzige Folge ist, dass damit keine Teilnahme an der Umfrage möglich ist.| | | | | |
| |
| {{tag>Entwurf}} | {{tag> Artikel Datenschutzerklärung}} |
| |
| |
