Betreff (Seite)
WAS BIETET DIESE WEBSITE?
Diese Website wurde von der Föderalregierung mit dem Ziel eingerichtet, die BürgerInnen über die Verarbeitung personenbezogener Daten durch die föderalen Behörden zu informieren.
Sie wurde nach Maßgabe der Grundsätze der Europäischen Datenschutz-Grundverordnung (DSGVO) und insbesondere des Transparenzprinzips (Art. 12 DSGVO) entwickelt. Die Informationen auf dieser Website stammen aus den Verzeichnissen der Verarbeitungstätigkeiten, die die einzelnen öffentlichen Institutionen als Verantwortliche gemäß Artikel 30 DSGVO zu führen verpflichtet sind.
Diese Website informiert über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Kategorien von betroffenen Personen und die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden.
SMARTNATION – WAS VERBIRGT SICH DAHINTER?
Die Strategie #SmartNation zielt auf die umfassende Entfaltung des Einzelnen und der Gesellschaft ab, wobei der Entwicklung und dem Potenzial der neuen Technologien besondere Aufmerksamkeit gewidmet wird.
Beispiele sind: künstliche Intelligenz (in den Bereichen Gesundheit, Energie, Mobilität etc.), Blockchain (registergestützte Rückverfolgung sämtlicher Prozesse bis zur Quelle) oder auch Quantencomputer (und die Vervielfachung der Rechengeschwindigkeit von Maschinen).
Was ist die Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung (DSGVO) legt die Regeln für die Verarbeitung Ihrer personenbezogenen Daten durch einen entsprechenden Verantwortlichen dar. Im Englischen ist sie unter dem Kürzel GDPR für „General Data Protection Regulation“ bekannt.
Diese EU-Gesetzgebung wurde am 14. April 2016 verabschiedet und ist seit dem 25. Mai 2018 in Kraft. Ziel der DSGVO ist es, alle EU-BürgerInnen vor Verletzungen ihrer Privatsphäre und ihrer persönlichen Daten zu schützen.
Die DSGVO stärkt die Rechte der BürgerInnen hinsichtlich der Verwendung ihrer personenbezogenen Daten:
https://ec.europa.eu/info/law/law-topic/data-protection_de
EUR-Lex - 32016R0679 - DE - EUR-Lex (europa.eu)
DIE DSGVO UND DIE FÖDERALEN ÖFFENTLICHEN INSTITUTIONEN
Um den Bürgern einen qualitativ hochwertigen öffentlichen Dienst zu bieten, verarbeiten die föderalen öffentlichen Institutionen eine hohe Anzahl personenbezogener Daten.
Diese Verarbeitungen unterliegen den gesetzlichen Vorschriften in Belgien und der EU und haben in der Regel eine gesetzliche Grundlage.
Mit dem Besuch dieser Website erhalten die Bürger die Möglichkeit, sich näher über die Verarbeitung personenbezogener Daten in föderalen öffentlichen Institutionen zu informieren. Auf Wunsch werden Besucher an die zuständige Stelle oder Person verwiesen, die ihre Fragen beantworten kann.
WELCHE PFLICHTEN ERGEBEN SICH AUS DER DSGVO?
Als für die Verarbeitung Verantwortliche sind die föderalen Einrichtungen verpflichtet, Daten ausschließlich im Einklang mit der DSGVO zu verarbeiten. Zu ihren zentralen Pflichten zählt es zum Beispiel:
- festzulegen, welche Kategorien personenbezogener Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden;
- die Ausübung der Rechte der Bürger bezüglich der verarbeiteten Daten zu erleichtern;
- sich zu vergewissern, dass angemessene Vorkehrungen zum Schutz der verarbeiteten personenbezogenen Daten getroffen wurden;
- einen klaren Prozess für die Identifizierung und Meldung von Datenschutzverletzungen innerhalb der in der DSGVO festgelegten Fristen einzurichten;
- mit allen Dritten, die im Auftrag der föderalen öffentlichen Institutionen personenbezogene Daten verarbeiten, eine Datenverarbeitungsvereinbarung abzuschließen;
- die Bürger mittels einer Datenschutzerklärung klar und verständlich darüber zu informieren, wie ihre Daten verarbeitet werden und was unternommen wurde, um die Anforderungen der DSGVO zu erfüllen;
- ein Verzeichnis der Verarbeitungstätigkeiten auf dem neuesten Stand zu halten und
- einen Datenschutzbeauftragten (auf Englisch „DPO“) zu ernennen.
Zum Zeitpunkt der Datenerhebung muss der Verantwortliche die betroffene Person insbesondere über folgende Punkte informieren:
- das Auskunftsrecht der betroffenen Person
- das Recht auf Berichtigung
- das Recht auf Datenübertragbarkeit
- das Widerspruchsrecht
- das Recht auf Löschung („Recht auf Vergessenwerden“)
- das Recht auf Einschränkung der Verarbeitung.
Zum Zeitpunkt der Datenerhebung muss der Verantwortliche die betroffene Person insbesondere über folgende Punkte informieren:
- die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke der Verarbeitung und die Rechtsgrundlage,
- die Empfänger oder Kategorien von Empfängern,
- die Speicherdauer und
- das Bestehen von Rechten und die Mittel zu ihrer Ausübung.
Darüber hinaus hat die betroffene Person auch Anspruch auf eine von ihr zu beantragende Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
Die Ausübung dieser Rechte ist für die betroffene Person unentgeltlich, sofern in der DSGVO nichts Gegenteiliges festgelegt ist.
Die betroffene Person kann die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten oder gegebenenfalls deren Vervollständigung verlangen.
Die betroffene Person kann verlangen, dass ihr die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren und -erstellten Format zwecks Übermittlung an einen anderen Verantwortlichen bereitgestellt werden.
Betroffene Personen haben kein generelles Widerspruchsrecht bezüglich der Verarbeitung personenbezogener Daten. Sie können jedoch folgenden Verarbeitungstätigkeiten widersprechen:
- Verarbeitung für Zwecke der Direktwerbung
- Verarbeitung für Archivzwecke, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke
Anmerkung: Ist die Verarbeitung durch eine öffentliche Einrichtung mit der Erfüllung einer rechtlichen Verpflichtung im Zusammenhang mit öffentlichen Aufgaben verbunden, so werden die Ausübung des Widerspruchsrechts und die persönlichen Rechte oder Interessen der betroffenen Person gegen das öffentliche Interesse abgewogen, und es wird geprüft, ob es zwingende rechtmäßige Gründe für die Verarbeitung gibt, die Vorrang vor diesen haben.
Es bedeutet, dass eine betroffene Person von einem für die Verarbeitung Verantwortlichen die Löschung personenbezogener Daten verlangen kann, sofern die Verarbeitung die Anforderungen der DSGVO verfehlt. Dies kann zum Beispiel unter folgenden Umständen der Fall sein:
- falls die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
- falls eine Person eine frühere Einwilligung widerruft und es keine Rechtsgrundlage für die Verarbeitung mehr gibt
- falls eine Person Widerspruch gegen die Grundlage einlegt, auf der ein Verantwortlicher die Daten verarbeitet
- falls die Daten auf sonstige Weise unrechtmäßig verarbeitet werden.
Dieses Recht ermöglicht es einer betroffenen Person, den Schutz ihrer Daten vor einer weiteren Verarbeitung in dem Fall zu verlangen, dass die Verarbeitung angefochten wird. Eine solche Anfechtung kann erfolgen, falls die Person die Richtigkeit der Daten bestreitet, falls sie der Meinung ist, dass die Daten unrechtmäßig erhoben wurden, falls der Verantwortliche die Daten nicht mehr benötigt oder falls er der Verarbeitung widersprochen hat. Eine Einschränkung bedeutet, dass der für die Verarbeitung Verantwortliche die Daten lediglich speichern und nur in dem Fall weiterverarbeiten darf, dass die Person ihre Einwilligung erteilt oder dass die Verarbeitung notwendig ist, etwa aus wichtigen Gründen des öffentlichen Interesses.
WAS IST EINE DATENVERARBEITUNGSVEREINBARUNG?
Es handelt sich hierbei um eine Vereinbarung bezüglich der Datenverarbeitung, die als Grundlage der Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter dient. Sie beschreibt, welche personenbezogenen Daten der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeiten darf und zu welchen Zwecken dies erfolgen muss. Ferner legt sie die technischen und organisatorischen Maßnahmen dar, die der Auftragsverarbeiter ergreifen muss, um sicherzustellen, dass seine Verarbeitungstätigkeiten den Anforderungen der DSGVO genügen und dass die Rechte der betroffenen Personen angemessen geschützt werden.
WELCHER UNTERSCHIED BESTEHT ZWISCHEN EINEM VERANTWORTLICHEN UND EINEM AUFTRAGSVERARBEITER?
Der für die Verarbeitung Verantwortliche ist der Rechtsträger, der den mit der Verarbeitung personenbezogener Daten verfolgten Zweck sowie die hierfür eingesetzten Mittel festlegt. Beim Auftragsverarbeiter handelt es sich um den Rechtsträger, der die personenbezogenen Daten im Auftrag des Verantwortlichen und gemäß den Anweisungen und in dem Umfang verarbeitet, die zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart wurden. Aus Gründen der Lesbarkeit werden die Informationen bezüglich des Auftragsverarbeiters auf dieser Seite nicht angezeigt.
GIBT ES FÄLLE, IN DENEN „DRITTE“ EINGESETZT WERDEN?
Ja – zum Beispiel, um Daten zu speichern und zu schützen. Für diese Dienstleistungen wird eine Vereinbarung mit den jeweiligen Unterauftragsverarbeitern (den „Dritten“) geschlossen, um sicherzustellen, dass sie die personenbezogenen Daten mindestens mit demselben Schutzniveau wie der Auftragsverarbeiter verarbeiten. .
WAS IST EIN DATENSCHUTZBEAUFTRAGTER?
Dem Datenschutzbeauftragten (Data Protection Officer, DPO) kommt bei der Datenschutzstrategie eine zentrale Rolle zu. Er unterstützt den Verantwortlichen oder den Auftragsverarbeiter im Hinblick auf die Verarbeitung personenbezogener Daten.
Jede öffentliche Stelle muss einen Datenschutzbeauftragten ernennen, der für das ordnungsgemäße Datenverarbeitungsmanagement und die Überprüfung dieses Managements im Hinblick auf die DSGVO verantwortlich ist. Er ist der Ansprechpartner bei allen diesbezüglichen Fragen, sowohl für die betroffenen Personen als auch für die Aufsichtsbehörde.
WIE SCHÜTZEN WIR DIE VERARBEITETEN PERSONENBEZOGENEN DATEN?
Die föderalen Einrichtungen treffen technische und organisatorische Maßnahmen, um sicherzustellen, dass alle verarbeiteten personenbezogenen Daten angemessen geschützt werden.
WAS IST EINE VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN?
Jede Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
WIE WIRD DIE ORGANISATION IM FALL EINER DATENVERLETZUNG VERFAHREN?
Eine interne Richtlinie gegen Verletzungen des Schutzes personenbezogener Daten ermöglicht es, im Fall einer solchen Verletzung angemessen zu reagieren. Folgende Maßnahmen sind vorgesehen (Zusammenfassung):
- Identifizierung der Quelle der Datenschutzverletzung
- Eindämmung der Verletzung und Ergreifung aller notwendigen Maßnahmen, um die Daten zu schützen
- gegebenenfalls die unverzügliche Verständigung des (Mit-)Verantwortlichen für die Datenverarbeitung und/oder anderer von der Verletzung betroffener Parteien, sobald diese erkannt wurde
- Beurteilung, in welchen Fällen Maßnahmen ergriffen werden müssen, um eine ähnliche Datenschutzverletzung in der Zukunft zu verhindern.
Es obliegt dem für die Verarbeitung Verantwortlichen, die Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu unterrichten. Eine Benachrichtigung ist nicht erforderlich, sofern die Verletzung wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Der Verantwortliche hat zudem die Pflicht, die betroffenen Personen zu benachrichtigen, auf die sich die Datenschutzverletzung auswirkt. Diese Benachrichtigung ist nicht erforderlich, sofern die Verletzung wahrscheinlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt oder sofern zum Zeitpunkt des Vorfalls ein angemessener technischer und organisatorischer Schutz bestand.
WIE LANGE DÜRFEN PERSONENBEZOGENE DATEN GESPEICHERT WERDEN?
Die DSGVO legt keine bestimmte Dauer für die Aufbewahrung personenbezogener Daten fest, schreibt jedoch vor, dass personenbezogene Daten nicht länger aufbewahrt werden dürfen, als für die Zwecke, für die sie verarbeitet werden, erforderlich.
Die Länge des Zeitraums hängt konkret von der Art der personenbezogenen Daten und dem jeweiligen Verarbeitungszweck ab.
Es gibt auch Ausnahmen, die es erlauben, bestimmte personenbezogene Daten länger zu speichern, wenn das Gesetz festlegt, dass dies notwendig ist (etwa zu Archivierungszwecken).
WAS PASSIERT, WENN DATEN IN LÄNDER AUSSERHALB DES EUROPÄISCHEN WIRTSCHAFTSRAUMS (EWR) ÜBERMITTELT WERDEN?
Die DSGVO verlangt von den Organisationen, dass sie sicherstellen, dass der Datenempfänger dasselbe Schutzniveau wie Verarbeiter innerhalb des EWR genießt, falls Daten in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Verantwortliche, die personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln möchten, müssen von Fall zu Fall prüfen, ob der Rechtsrahmen des Ziellandes ein wirksames und angemessenes Datenschutzniveau bietet, das im Wesentlichen dem der Europäischen Union gleichwertig ist.