Datenschutzrichtlinie (DSGVO)
Informationspflichten und Betroffenenrechte
Darüber hinaus müssen die Informationspflichten und Betroffenenrechte erfüllt werden.
Die Informationspflichten unterscheiden sich, je nachdem ob man die Daten bei den betroffenen Personen selbst erhoben hat oder nicht. Im Fall der Massage-Praxis haben wir es im Regelfall mit ersterem Fall zu tun. Das bedeutet, dass nachfolgende Informationen schon zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden müssen (es sei denn, die betroffene Person verfügt schon über die erforderlichen Informationen):
- die Namen und Kontaktdaten des Verantwortlichen (gegebenenfalls auch seiner Vertreter und/oder des Datenschutzbeauftragten),
- die Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
- gegebenenfalls die Empfänger der Daten,
- die Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
- die Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
- die Möglichkeit des Widerrufs der Einwilligung,
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, sowie
- die Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist; ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
Die Betroffenenrechte sind jene Rechte, die die von der Datenverarbeitung betroffene Person gegenüber dem Verantwortlichen hat, um sich z.B. gegen unrichtige Datensätze zu wehren oder aber zu verlangen, dass erhobene Daten gelöscht werden, und müssen präzise, transparent, verständlich und leicht zugänglich (schriftlich, elektronisch oder auch in einer anderen Form) vermittelt werden:
- Informationspflicht (der betroffenen Person),
- Auskunftsrecht,
- Recht auf Berichtigung,
- Recht auf Löschung („Recht auf Vergessenwerden“),
- Recht auf Einschränkung der Verarbeitung,
- Recht auf Datenübertragbarkeit und
- Widerspruchsrecht.
Von wesentlicher Bedeutung ist die klare Information, an wen sich eine betroffene Person für die Ausübung der Betroffenenrechte wenden kann und angefragte Informationen müssen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage zur Verfügung gestellt werden. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.
- Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen.
- Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B. wenn die Anfrage häufig wiederholt wird) einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.
In beiden Fällen liegt die „Beweislast“ beim Verantwortlichen.
Datensicherheitsmaßnahmen
Erforderliche Datensicherheitsmaßnahmen sind:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien),
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen),
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme), und
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).
Neben der Wahl geeigneter technischer und organisatorischer Maßnahmen („privacy by design“) sind geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist („privacy by default“).