Datenschutzkonzept Bergbauinformationssystem-Rheinland-Pfalz (BIS-RLP)
-
Datenschutzkonzept Bergbauinformationssystem-Rheinland-Pfalz (BIS-RLP)
I. Einleitung
Dieses Datenschutzkonzept beruht auf den in Art. 5 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im weiteren Dokument DSGVO) in der aktuell geltenden Fassung genannten Grundsätzen:
- Transparenzgebot (z. B. wie werden die Daten erhoben),
- Zweckbindung (z. B. zu welchem Zweck werden die Daten erhoben),
- Datenminimierung (z. B. Reduzierung auf das notwendige Maß),
- Richtigkeit (z. B. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein),
- Speicherbegrenzung (Speicherung gestattet Identifizierung der Person nur so lange als erforderlich),
- Integrität (z. B. Schutz vor Verfälschung von Programmen oder Datenmanipulation,
- der Vertraulichkeit (z. B. Schutz vor unbefugter Kenntnisnahme von Daten).
Der Verantwortliche
- gewährleistet die Einhaltung der o.g. Grundsätze (Art. 5-11 DSGVO) und
- wahrt insbesondere die Rechte der Betroffenen aus Art. 12-23 DSGVO und
- meldet Datenschutzverletzungen im Sinne des Art. 33, 34 DSGVO unverzüglich.
II. Sachlicher und räumlicher Bereich der Verarbeitungstätigkeit BIS-RLP
Das Programm BIS-RLP dient der elektronischen Weiterverarbeitung von
- Anträgen, Anzeigen, Erklärungen etc. von Nutzern (Unternehmen, Private) über BergPass an die Bergbauverwaltung des Landes Rheinland-Pfalz,
- Bescheiden, Hinweisen etc. von der Bergbauverwaltung Rheinland-Pfalz an die Nutzer (Unternehmen, Private),
- generell der Kommunikation zwischen diesen.
Es werden personenbezogene Daten von juristischen und natürlichen Personen ganz oder teilweise automatisiert verarbeitet. Die verarbeitende Behörde hat ihren Sitz in der Emy-Roeder-Str. 5, 55129 Mainz.
III. Datenschutzbeauftragter und Verantwortlicher für den Datenschutz
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze (insbesondere des Landesdatenschutzgesetzes Rheinland-Pfalz - LDSG) sowie sonstiger datenschutzrechtlicher Bestimmungen (jeweils in der aktuell geltenden Fassung) ist das:
Landesamt für Geologie und Bergbau Rheinland-Pfalz (LGB)
Emy-Roeder-Str. 5
55129 Mainz
Deutschland
Tel.: +49 (0) 6131-92 54-0
E-MailDen Datenschutzbeauftragten des LGB erreichen Sie unter:
Emy-Roeder-Straße 5
55129 Mainz
Deutschland
E-Mail
Tel.: +49 (0) 6131-92 54 -102IV. Sicherheitskonzept für die Datenverarbeitung in BIS-RLP
Die kontinuierliche Verbesserung des Datenschutzkonzeptes gewährleistet der Verantwortliche (das LGB) durch die folgend genannten Maßnahmen.
1. Weiterbildung und Sensibilisierung des Personals und der Dienstleister
Die Mitarbeiter/innen des LGB werden, soweit sie BIS-RLP nutzen, bzgl. der den Bereich BIS-RLP betreffenden Anforderungen aus dem Datenschutzrecht bei Änderungen der Rechtsgrundlage oder der herrschenden Rechtsinterpretation geschult bzw. informiert.
Zudem werden sie unabhängig von vorgenannten Anlässen sensibilisiert.
Die Mitarbeiter/innen des LGB verpflichten sich zur Einhaltung des Datenschutzes. Ein Beispiel für eine Verpflichtung auf Einhaltung der DSGVO der Mitarbeiter/innen befindet sich im Anhang.
2, Vereinbarungen zur Sicherstellung einer Überwachung bei Auftragsverarbeitern
Eine Auftragsdatenverarbeitung findet derzeit nicht statt bzw. ist nicht geplant. Wenn es hier eine Veränderung gibt erfolgt eine Anpassung.
3. Beschreibung der technisch-organisatorischen Maßnahmen (TOM)
Das LGB hat im Rahmen der Zugangskontrolle/ Zugriffskontrolle Maßnahmen getroffen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Dazu zählen unter anderem:
- Zugangskontrolle/Authentifizierung
- Authentifizierungsverfahren für das leistungserbringende BIS System BIS-RLP
- Zuordnung von Rechten für das BIS System BIS-RLP
- Zugriffskontrolle
- Erstellen eines Berechtigungskonzeptes
- Anzahl der Administratoren wird auf das notwendigste Maß reduziert
- Protokollieren von Zugriffen auf Anwendungen (insbesondere bei der Eingabe, Änderung und Löschung von Daten)
- Verschlüsselung von Datensätzen, sodass nur das BIS-System BIS-RLP die Datensätze entschlüsseln können
- Verwaltung der Rechte durch Systemadministrator
- Ordnungsgemäße Vernichtung von Datenträgern
- Richtlinien für Passwörter
- Schutz der Anwendung
- Einsatz einer Web Application Firewall (WAV)
- Einsatz einer Firewall
- Durchführung von Penetrationstests (geplant)
- Weitestgehender Verzicht auf Standardfunktionen zur Behandlung der Anforderungen (Requests) an die Anwendung
- Umsetzung von spezifischen Funktionen zur Behandlung der Requests mit entsprechender Parametervalidierung
- Auftragsdatenverarbeitungsmaßnahmen
- Abschluss der Auftragsdatenvereinbarung mit einer Firma findet derzeit nicht statt und ist auch nicht geplant
4. Fortschreibung des Datenschutzkonzeptes
Der Verantwortliche schreibt das Datenschutzkonzept regelmäßig fort. Dafür prüft er, ob aufgetretene Probleme bei der Umsetzung des geltenden Konzeptes oder eine geänderte Normenlage oder eine geänderte herrschende Rechtsauffassung eine Anpassung erforderlich machen.
V. Datenverarbeitung und Datenverarbeitungszweck im BIS-RLP
1. Grundsätzliches
Wir erheben und verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung und Nutzung der Anwendung BIS-RLP erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers (durch klicken der Taste Einreichen). Eine Ausnahme gibt es in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Näheres finden Sie unter 2.Personenbezogene Daten sind alle Daten, die auf Sie und andere natürliche Personen (Menschen) persönlich beziehbar sind, z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
2. Übermittlung der Anwendung BergPass und Bereitstellung der Anwendung BIS-RLP
Bei den von den Nutzern eingegeben und von der Anwendung BIS-RLP abgeholten Informationen aus dem BergPass, erheben wir personenbezogene Daten, die der Browser der Nutzer an unseren Server übergeben hat, um den Nutzern die Anwendung zur Verfügung zu stellen und die Stabilität und Sicherheit zu gewährleisten:
- Die IP-Adresse des Internet-Service-Providers
- Datum und Uhrzeit des Zugriffs
- Refferer (Verweiser)
- User Agent
- Request
Rechtsgrundlage ist Art. 6 Abs. 1 S.1 lit. f) DSGVO.
Die Speicherung der IP-Adresse durch das System BIS-RLP ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.
Bei der Nutzung dieser Anwendung zur Datenübermittlung erheben wir personenbezogene Daten nur, wenn die Nutzer uns diese im Rahmen ihrer Nutzung freiwillig mitteilen. Zu diesen Daten gehören:
- genutzter Anmeldedienst (das ist Elster- Mein Unternehmenskonto oder bundID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
- Daten die Sie für Ihr Anliegen (Antrag, Anzeige, Meldung…) mitteilen
In diesem Fall werden die vom LBEG über BergPass übermittelten personenbezogenen Daten vom LBEG gespeichert, um das Anliegen bearbeiten und antworten zu können. Es erfolgt der Abruf durch BIS-RLP für die Bergbauverwaltung Rheinland-Pfalz. Eine Weitergabe an Dritte erfolgt nicht.
Rechtsgrundlage ist Art. 6 Abs.1 lit. a) DSGVO.
Die darüberhinausgehende Verarbeitung der personenbezogenen Daten dient zur Bearbeitung des Anliegens und ggf. zur Kontaktaufnahme der Bergbauverwaltung bei den Nutzern. Sofern eine Eingabe von Daten möglich und / oder verpflichtend ist, werden diese durch Eingabe und Absendung des entsprechenden Formulars beim LGB gespeichert.
Rechtsgrundlage ist Art. 6 Abs.1 S. 1 lit. a) DSGVO i.V.m. § 3 BDSG, § 3 LDSG, Art. 6 Abs. 1 lit. c) und e) DSGVO.
Die Verarbeitung der Daten dient dazu, das Anliegen bzw. die Meldungen bzw. die Anträge zu bearbeiten.
Die Einwilligung zur Speicherung personenbezogener Daten können Nutzer jederzeit widerrufen.
Wenn sie widerrufen, kann es gleichwohl erforderlich sein, dass das LGB bis dahin aufgenommene personenbezogene Daten speichert und ggf. auf andere Weise verarbeitet, weil die Voraussetzungen von Art. 6 Abs. 1 lit. c) oder e) vorliegen:
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Unter Umständen kann dann auch eine Verarbeitung für andere als die ursprünglichen Verarbeitungszwecke rechtmäßig sein. Es gilt Art. 6 Abs. 4 DSGVO:
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbe-zogener Daten gemäß Art. 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Sofern keiner der vorgenannten Fälle vorliegt, würden die Daten umgehend gelöscht. In einem solchen Fall kann die Angelegenheit nicht fortgeführt werden.
Den Widerruf ihrer Einwilligung können die Nutzer per Post oder per Mail an o.g. Verantwortlichen (das LGB) und / oder den Datenschutzbeauftragten (jeweils unter III. aufgeführt) schicken.
3. Cookies
Zusätzlich zu den zuvor genannten Daten werden bei Nutzung von BIS-RLP keine Cookies auf den Nutzerrechnern gespeichert.
4. Einsatz von anderen Anwendungen etc.
Diese Anwendung nutzt die Anwendung:
Folgende Daten werden dabei von uns gespeichert:
- genutzter Anmeldedienst (Elster- Mein Unternehmenskonto oder bundID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
Rechtsgrundlage ist Art. 6 Abs.1 S. 1 lit. a) DSGVO.
VI. Rechte der Betroffenen
Werden personenbezogene Daten verarbeitet, sind deren „Träger“ Betroffene i.S.d. DSGVO und der übrigen Datenschutzregelungen. Es stehen ihnen die folgend genannten und auch in der Datenschutzerklärung dargelegten Rechte gem. Art. 15 ff DSGVO gegenüber dem Verantwortlichen zu:
1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, vom LGB verarbeitet werden.
Ist dies der Fall, so haben sie das Recht auf Auskunft über diese personenbezogenen Daten und folgende Informationen:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, die Rechtsgrundlage der Verarbeitung und ggf. die mit der Verarbeitung nach Art. 6 Abs. 1 lit. f) vom LGB verfolgten berechtigten Interessen;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen, eines Widerspruchsrechts gegen diese Verarbeitung, das Recht auf Datenübertragbarkeit und das Recht uf Widerruf ihrer Einwilligung zur Datenverarbeitung (welche die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt);
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein können sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten für einen anderen Zweck als den Erhebungszweck weiterzuverarbeiten als (dabei ist der Zweck vor dieser Weiterverarbeitung mitzuteilen).
Diese Rechte entfallen, sofern die Betroffenen bereits über die Informationen verfügen.
2. Recht auf Berichtigung
Die Betroffenen haben ein Recht auf Berichtigung und / oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können sie die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:
- wenn sie die Richtigkeit der sie betreffenden personenbezogenen Daten bestreiten, und zwar für eine Dauer die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber ihren Gründen überwiegen.
Wurde die Verarbeitung der betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der Betroffenen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden die Betroffenen von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
4. Recht auf Widerspruch
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
5. Recht auf Löschung
5.1. Pflicht zur Löschung
BIS-RLP erlaubt grundsätzlich die dauerhafte Speicherung der Daten der Betroffenen (diese können daher eingegebene Daten für eine spätere Kommunikation verwenden).
Sie können von dem Verantwortlichen verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
- die Betroffenen widerrufen ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
- die Betroffenen legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein;
- die sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet;
- die Löschung der sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
- Die sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
5.2. Information an Dritte
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17
Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die Betroffenen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.5.3. Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und i) sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Das LGB kann insbesondere bei einem Löschungsbegehren folgende Daten speichern, um Einbruchs-versuche in das System bzw. Missbrauch des Systems BIS-RLP aufzuklären und zu verfolgen:
- Daten des Nutzerbrowsers an unseren Server: IP Adresse des Internet-Service-Providers, Datum und Uhrzeit des Zugriffs, Refferer (Verweiser), User Agent Request sowie Angabe der Anmeldung, E-Mailadresse, Nutzername.
In diesen Fällen erfolgt die Löschung der Daten:
- nach 6 Monaten, sofern für die straf- oder zivilrechtliche Verfolgung keine weitere Speicherung nötig ist oder
- nach Abschluss aller Verfahren, die zur straf- oder zivilrechtlichen Verfolgung und Durchsetzung der aufgrund einer Verletzung des Systems entstandenen Ansprüche erforderlichen sind.
6. Recht auf Unterrichtung
Haben die Betroffenen das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen diese Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Den Betroffenen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
7. Recht auf Datenübertragbarkeit
Die Betroffenen haben das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b) DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben sie ferner das Recht, zu erwirken, dass die sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
8. Recht auf Beschwerde bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
Als Aufsichtsbehörde kommt insbesondere in Betracht:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz
Prof. Dr. Dieter Kugelmann
Hintere Bleiche 34
55116 Mainz9. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
VII. Datenschutz-Folgeabschätzung
Grundsätzlich ist eine Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der Regelbeispiele des Art. 35 Abs. 3 DSGVO vorliegt. Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, da sowohl aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da keine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt und da keine umfangreiche Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten erfolgt (insbesondere sind Eignungsnachweise, Führungszeugnisse, ärztliche Atteste nicht via BIS-RLP zu übermitteln). Ferner erfolgt auch keine Videoüberwachung öffentlich zugänglicher Bereiche.
e. Meldung von Datenschutzvorfällen
Im Falle eines potentiellen Verstoßes gegen die Maßgaben zur Datensicherheit („Datenschutzvorfall“) unterliegt das LGB Untersuchungs-, Informations- und Schadensminderungspflichten. Ein Datenschutzvorfall ist dann eine Datenschutzverletzung, wenn eine Verletzung der Datensicherheit vorliegt, die unrechtmäßig zur Löschung, Änderung, unbefugten Offenlegung oder Nutzung personenbezogener Daten führt. Soweit daraus aller Voraussicht nach ein Risiko für die Rechte und Freiheiten natürlicher Personen entsteht, müssen entsprechende Ereignisse möglichst innerhalb von 72 Stunden nachdem das LGB Kenntnis über die Verletzung erlangt hat, der zuständigen Aufsichtsbehörde mitgeteilt werden.
Zusätzlich müssen die Betroffenen im Falle einer Datenschutzverletzung mit voraussichtlich hohem Risiko für ihre Rechte und Freiheiten über diese Datenschutzverletzung benachrichtigt werden. Wurde ein Datenschutzvorfall im Verantwortungsbereich des LBEG festgestellt oder vermutet, ist jede/r Mitarbeiter/in verpflichtet, diese unverzüglich zu melden. Jede Datenschutzverletzung muss dokumentiert werden, und die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
IX. Datenschutzerklärung
Die Datenschutzerklärung von BIS-RLP ist unter Impressum bzw. Datenschutz einsehbar.
-
Datenschutzerklärung nach DSGVO
I. a. Name und Anschrift des Verantwortlichen und des Datenschutzbeauftragten für den Teil BIS-RLP
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist das:
Landesamt für Geologie und Bergbau Rheinland-Pfalz (LGB)
Emy-Roeder-Straße 5
55129 Mainz
Deutschland
Tel.: +49 (0) 6131-92 54-0
E-MailDen Datenschutzbeauftragten des LGB erreichen Sie unter:
Emy-Roeder-Straße 5
55129 Mainz
Deutschland
E-Mail
Tel.: +49 (0) 6131-92 54-102I.b. Name und Anschrift der Verantwortlichen und der Datenschutzbeauftragten für den Teil BergPass
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen für das BergPass System:
Niedersachsen
Landesamt für Bergbau, Energie und Geologie (LBEG)
Stilleweg 2
30655 Hannover
Deutschland
Tel.: +49 (0) 511-643-0
E-MailDen Datenschutzbeauftragten des LBEG erreichen Sie unter:
Stilleweg 2
30655 Hannover
Deutschland
E-Mail
Tel.: +49 (0) 5323-9612-213II. Datenverarbeitung (Struktur) in BergPass und BIS-RLP
Das Programm BergPass und die Anwendung BIS-RLP dienen der elektronischen Verarbeitung von Anträgen, Anzeigen, Meldungen, Auskünften und Erklärungen von und durch die Bergbauverwaltung und der Kommunikation zwischen der Bergbauverwaltung und den Antragstellern, Anzeigenden etc.
Dem Programm BergPass schließt sich unmittelbar der Verarbeitungsteil BIS-RLP an.
BergPass ermöglicht die Eingabe von Daten durch die Nutzer (Sie). Die Anwendung BIS-RLP ruft diese Daten von BergPass ab. In der Anwendung BIS-RLP erfolgt die Verarbeitung der eingegebenen Daten zum Zwecke der Erledigung der Anfragen / Anträge / Informationen etc. der Nutzer durch die Bergbauverwaltung. Die Ergebnisse können dann von der Anwendung BIS-RLP unmittelbar an BergPass übergeben und dann den Nutzern (Ihnen) über BergPass zugänglich gemacht werden.
Der Teil BergPass wird vom Landesamt für Bergbau, Energie und Geologie (LBEG) entwickelt und betrieben. Dieses ist Verantwortlicher i.S. der DSGVO für die Datenverarbeitung in BergPass.
Die in BergPass zur Bearbeitung eingegeben Daten werden den Bergbauverwaltungen der zuständigen Bergbauverwaltung des Landes Rheinland-Pfalz zur Verfügung gestellt.
Die Bergbauverwaltung Rheinland-Pfalz bearbeitet die Daten der Nutzer in der Anwendung BIS-RLP (siehe Ia). Diese Anwendung betreibt sie in eigener Verantwortung. Die zuständige Bergbauverwaltung, der der Nutzer die Daten über BergPass einstellt, ist daher der Verantwortliche für die Verarbeitung der personenbezogenen Daten in BergPass (siehe I.b).
Die Abholung der Daten aus der Zuständigkeit des LBEG (für BergPass) in die Zuständigkeit des LGB für die anschließende Anwendung BIS-RLP erfolgt nach der Freigabe durch den Nutzer (Klicken des Feldes Einreichen) ohne weitere Möglichkeit einer Freigabebestätigung (oder Verhinderung) durch den Nutzer.
Sie finden folgend die Darstellung der Datenverarbeitung betreffend personenbezogene Daten und Ihrer Rechte (IIa. Verarbeitung personenbezogener Daten in BergPass und Verarbeitung personenbezogener Daten in BIS-RLP für das Land Rheinland-Pfalz.
IIa. Verarbeitung personenbezogener Daten in BergPass Verarbeitung personenbezogener Daten in BIS-RLP durch das Landesamt für Geologie und Bergbau Rheinland-Pfalz
1. Grundsätzliches
Wir erheben und verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung und Nutzung der Anwendung BIS-RLP erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers (durch klicken der Taste Einreichen). Eine Ausnahme gibt es in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Näheres finden Sie unter 2.
Personenbezogene Daten sind alle Daten, die auf Sie und andere natürliche Personen (Menschen) persönlich beziehbar sind, z.B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
2. Bereitstellung der Anwendung BIS-RLP
Bei der bloßen informatorischen Nutzung der Anwendung, also wenn Sie an uns keine Informationen übermitteln, erheben wir nur personenbezogene Daten, die Ihr Browser an unseren Server übermittelt, um Ihnen die Anwendung zur Verfügung zu stellen und die Stabilität und Sicherheit zu gewährleisten:
- Die IP-Adresse des Internet-Service-Providers
- Datum und Uhrzeit des Zugriffs
- efferer (Verweiser)
- User Agent
- Request
Rechtsgrundlage ist Art. 6 Abs. 1 S.1 lit. f DSGVO.
Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.
Bei der Nutzung dieser Anwendung zur Datenübermittlung erheben wir personenbezogene Daten nur, wenn Sie uns diese im Rahmen Ihrer Nutzung freiwillig mitteilen. Zu diesen Daten gehören:
- E-Mail-Adresse
- Anzeigename (ggf. Unternehmensname)
- Daten die Sie für Ihr Anliegen (Antrag, Anzeige, Meldung…) mitteilen
In diesem Fall werden die an uns übermittelten personenbezogenen Daten von uns gespeichert, um Ihr Anliegen bearbeiten und Ihnen antworten zu können. Es erfolgt die Abholung durch BIS-RLP für die Bergbauverwaltung des Landes Rheinland-Pfalz. Eine Weitergabe an Dritte erfolgt nicht.
Rechtsgrundlage ist Art. 6 Abs.1 lit. a) DSGVO.
Die darüberhinausgehende Verarbeitung der personenbezogenen Daten dient zur Bearbeitung Ihres Anliegens und ggf. zur Kontaktaufnahme unsererseits bei Ihnen. Sofern eine Eingabe von Daten möglich und / oder verpflichtend ist, werden diese durch Ihre Eingabe und Absendung des entsprechenden Formulars bei uns gespeichert.
Rechtsgrundlage ist Art. 6 Abs.1 S. 1 lit. a) DSGVO i.V.m. § 3 BDSG, Art. 6 Abs. 1 lit. c) und e) DSGVO.
Die Verarbeitung der Daten dient dazu, Ihr Anliegen bzw. ihre Meldungen bzw. Anträge zu bearbeiten.
Ihre Einwilligung zur Speicherung personenbezogener Daten können Sie jederzeit widerrufen.
Wenn Sie widerrufen, kann es gleichwohl erforderlich sein, dass das LBEG bzw. das LGB Ihre bis dahin aufgenommenen personenbezogenen Daten speichert und ggf. auf andere Weise verarbeitet, weil die Voraussetzungen von Art. 6 Abs. 1 lit. c) oder e) vorliegen:
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Unter Umständen kann dann auch eine Verarbeitung für andere als die ursprünglichen Verarbeitungszwecke rechtmäßig sein. Es gilt § 6 Abs. 4 DSGVO:
- Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Sofern keiner der vorgenannten Fälle vorliegt, würden Ihre Daten umgehend gelöscht. In einem solchen Fall kann die Angelegenheit nicht fortgeführt werden.
Ihren Widerruf können Sie per Post oder per Mail an die unter I. Name und Anschrift des Verantwortlichen an uns schicken.
3. Cookies
Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Anwendung keine Cookies auf Ihrem Rechner gespeichert.
4. Einsatz von anderen Anwendungen, Einschaltung von Auftragsdatenverarbeitern etc.
Die Anwendung BIS-RLP erfolgt autonom ohne Eischaltung eines Auftragsdatenverarbeiters.
5. Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt.
Die Daten zum Zwecke der Datenverarbeitung werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die Sitzung beendet ist.
Zweck der Speicherung der Antragsdaten / Anzeigedaten / Verfahrensdaten ist zunächst das zu beantragende / das beantragte / das auszulösende / das ausgelöste Verwaltungsverfahren. Die Daten werden auch für mögliche Folgeverfahren (z.B. Verlängerungsanträge) gespeichert. Der Betroffene kann hier aber löschen / die Löschung verlangen.
Die für die Feststellung, Aufklärung und Ahndung eines Einbruchsversuches in das System erforderlichen Daten werden (ggf. trotz Löschung / erklärten Verlangens einer Löschung bis zur Feststellung, Aufklärung, Ahndung des Einbruchsversuches in das System aufbewahrt.
Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft.
Die durch die Anwendungen Identity Provider (IDP) / Anmeldedienst (Elster-Mein Unternehmenskonto oder bundID) übermittelten Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
III. Rechte des Betroffenen
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gem. Art. 15 ff DSGVO gegenüber dem Verantwortlichen zu:
1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten und folgende Informationen:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:
- wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
4. Recht auf Widerspruch
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
5. Recht auf Löschung
5.1. Pflicht zur Löschung
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, nicht (mehr) erforderlich.
- Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Zweck der Speicherung der Antragsdaten / Anzeigedaten / Verfahrensdaten ist zunächst das zu beantragende / das beantragte / das auszulösende / das ausgelöste Verwaltungsverfahren. Die Daten werden auch für mögliche Folgeverfahren (z.B. Verlängerungsanträge) gespeichert. Sie können hier aber löschen / die Löschung verlangen.
Die für eine Feststellung, Aufklärung und Ahndung eines Einbruchsversuches in das System erforderlichen Daten werden (ggf. trotz Löschung / erklärten Verlangens einer Löschung bis zur Feststellung, Aufklärung, Ahndung des Einbruchsversuches in das System aufbewahrt.
5.2. Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
5.3. Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und i) sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
6. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
7. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b) DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
8. Recht auf Beschwerde bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
9. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
-
Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) im Rahmen von Bergbauinformationssystem Rheinland-Pfalz (BIS-RLP)
Sehr geehrte Damen und Herren,
Sie werden belehrt, dass es nicht erlaubt ist, personenbezogene Daten unbefugt oder unrechtmäßig zu verarbeiten. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine Einwilligung bzw. eine gesetzliche Regelung vorliegt, die eine Verarbeitung erlaubt oder eine Verarbeitung dieser Daten vorschreibt. Selbiges gilt auch für die automatisierte Verarbeitung von Daten, wie es bei BIS-RLP vorwiegend der Fall ist.
Die maßgebenden Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten befinden sich in Art. 5 Abs. 1 DSGVO und haben folgenden Inhalt:
Personenbezogene Daten müssen:
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Art. 89 Abs. 1 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Sie werden auch darüber belehrt, dass auch die übrigen Vorgaben der DSGVO, insbesondere die aus
Art. 6-11 DSGVO, einzuhalten sind.
Im Übrigen weisen wir Sie darauf hin, dass es Mitarbeitern nur gestattet ist, personenbezogene Daten in dem Umfang und in der Weise zu verarbeiten, wie es zur Erfüllung der Ihnen übertragenen Aufgaben erforderlich ist.
Wir belehren Sie darüber, dass ein Verstoß gegen die Datenschutzregeln eine Ordnungswidrigkeit oder ggf. eine Straftat sein kann. Wir verweisen auf den hier abgedruckten Paragraphen 72 sowie den Verweis auf die Paragraphen 24 und 25 des LDSG.
§ 72 Ordnungswidrigkeiten und Strafbestimmungen Landesdatenschutzgesetz (LDSG)z
Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach § 26 Abs. 1 Satz 1 finden die §§ 24 und 25 entsprechende Anwendung.
§ 24 Ordnungswidrigkeiten Landesdatenschutzgesetz (LDSG)
(1) Ordnungswidrig handelt, wer entgegen den Bestimmungen der Datenschutz-Grundverordnung, dieses Gesetzes oder einer anderen Rechtsvorschrift über den Schutz personenbezogener Daten, personenbezogene Daten, die nicht offenkundig sind,
1.
erhebt, speichert, unbefugt verwendet, verändert, übermittelt, weitergibt, zum Abruf bereithält, den Personenbezug herstellt oder löscht oder
2.
abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst.
Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Gegen öffentliche Stellen werden keine Geldbußen verhängt. Dies gilt nicht für öffentliche Stellen nach § 2 Abs. 4, soweit die Verarbeitung im Rahmen einer Tätigkeit erfolgt, hinsichtlich derer die öffentliche Stelle mit anderen Verarbeitern im Wettbewerb steht.§ 25 Strafbestimmung Landesdatenschutzgesetz (LDSG)
(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine der in § 24 Abs. 1 genannten Handlungen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt.
(3) Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.Ein Verstoß kann daneben auch eine Verletzung arbeitsvertraglicher bzw. dienstrechtlicher Pflichten oder Geheimhaltungspflichten darstellen. Insoweit drohen Ihnen arbeits- oder dienstrechtliche Konsequenzen (z.B. Abmahnung oder Kündigung).
Darüber hinaus können aus einem schuldhaften Verstoß gegen die o.g. Pflichten haftungsrechtliche / amtshaftungsrechtliche Schadenersatzansprüche folgen (z.B. aus den folgend abgedruckten § 823 BGB und § 71 LDSG). Damit droht eine Schadensersatzpflicht für Sie und / oder für die Behörde oder das Land Rheinland-Pfalz. Schadensersatzansprüche gegen die Behörde oder das Land Rheinland-Pfalz können wiederum ggf. zu Ersatzansprüchen gegenüber Ihnen führen.
823 Schadensersatzpflicht Bürgerliches Gesetzbuch (BGB)
(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.§ 48 Pflicht zum Schadensersatz Beamtenstatusgesetz (BeamtStG)
Beamtinnen und Beamte, die vorsätzlich oder grob fahrlässig die ihnen obliegenden Pflichten verletzen, haben dem Dienstherrn, dessen Aufgaben sie wahrgenommen haben, den daraus entstehenden Schaden zu ersetzen. Haben mehrere Beamtinnen oder Beamte gemeinsam den Schaden verursacht, haften sie als Gesamtschuldner.§ 71 Schadensersatz Landesdatenschutzgesetz (LDSG)
(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welcher von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.
(4) Mehrere Ersatzpflichtige haften gesamtschuldnerisch.
(5) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.
(6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
(7) Die Geltendmachung weitergehender Schadensersatzansprüche aufgrund anderer Rechtsvorschriften bleibt unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.Die sich aus dem geschlossenen Dienstvertrag oder der gesondert geschlossenen Vereinbarung ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt und bleibt unabhängig hiervon bestehen.
Die hiesige Verpflichtung besteht auch über die Beendigung der Tätigkeit im Rahmen von BIS-RLP hinaus.
Mit meiner Unterschrift bestätige ich die Einhaltung dieser Verpflichtung. Die einschlägigen strafbewehrten Vorschriften habe ich zur Kenntnis genommen. Ein Exemplar der Verpflichtung habe ich erhalten.
______________________________________ ______________________________________________
Ort, Datum Unterschrift des/der Verpflichtete/n Unterschrift der verantwortlichen Datenschutzbeauftragten
Datenschutzkonzept Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz (Anzeige-GeolDG RLP)
-
Datenschutzkonzept „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ (Anzeige-GeolDG RLP)
I. Einleitung
Dieses Datenschutzkonzept beruht auf den in Art. 5 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im weiteren Dokument DSGVO) in der aktuell geltenden Fassung genannten Grundsätzen:
- Transparenzgebot (z. B. wie werden die Daten erhoben),
- Zweckbindung (z. B. zu welchem Zweck werden die Daten erhoben),
- Datenminimierung (z. B. Reduzierung auf das notwendige Maß),
- Richtigkeit (z. B. sachlich richtig und soweit erforderlich auf dem neuesten Stand),
- Speicherbegrenzung (Speicherung gestattet Identifizierung der Person nur so lange wie erforderlich),
- Integrität (z. B. Schutz vor Verfälschung von Programmen oder Datenmanipulation),
- Vertraulichkeit (z. B. Schutz vor unbefugter Kenntnisnahme von Daten).
Der Verantwortliche
- gewährleistet die Einhaltung der o. g. Grundsätze (Art. 5-11 DSGVO),
- wahrt insbesondere die Rechte der Betroffenen aus Art. 12-23 DSGVO und
- meldet Datenschutzverletzungen im Sinne des Art. 33, 34 DSGVO unverzüglich.
II. Sachlicher und räumlicher Bereich der Verarbeitungstätigkeit Anzeige-GeolDG RLP
Die „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ (Anzeige-GeolDG RLP) dient
- der elektronischen Anzeige von Bohrungen und geologischen Untersuchungen sowie der Übermittlung von Untersuchungsergebnissen nach dem Geologiedatengesetz1 durch juristische und natürliche Personen an das Landesamt für Geologie und Bergbau Rheinland-Pfalz sowie der Kommunikation zwischen diesen.
- Es werden personenbezogene Daten ganz oder teilweise automatisiert verarbeitet. Die verarbeitende Behörde hat ihren Sitz in der Emy-Roeder-Str. 5, 55129 Mainz.
III. Datenschutzbeauftragter und Verantwortlicher für den Datenschutz
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze (insbesondere des Landesdatenschutzgesetzes Rheinland-Pfalz - LDSG) sowie sonstiger datenschutzrechtlicher Bestimmungen (jeweils in der aktuell geltenden Fassung) ist das:
Landesamt für Geologie und Bergbau Rheinland-Pfalz (LGB)
Emy-Roeder-Str. 5
55129 Mainz
Deutschland
Tel.: +49 6131 9254 0
E-Mail
Datenschutzbeauftragter des LGB ist:
Emy-Roeder-Straße 5
55129 Mainz
Deutschland
Tel.: +49 6131 9254 338
E-MailIV. Sicherheitskonzept für die Datenverarbeitung in der Anzeige-GeolDG RLP
Die kontinuierliche Verbesserung des Datenschutzkonzeptes gewährleistet der Verantwortliche durch die folgend genannten Maßnahmen.
1. Weiterbildung und Sensibilisierung der Mitarbeitenden und der Dienstleister
Die Mitarbeiter/innen des LGB werden, soweit sie die „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ nutzen, bezüglich der entsprechenden Anforderungen aus dem Datenschutzrecht sowie bei Änderungen der Rechtsgrundlage oder der herrschenden Rechtsinterpretation geschult bzw. informiert.
Zudem werden sie unabhängig von vorgenannten Anlässen sensibilisiert und zur Einhaltung des Datenschutzes verpflichtet.
2. Vereinbarungen zur Sicherstellung einer Überwachung bei Auftragsverarbeitenden
Der für uns tätige Auftragsverarbeitungsdienstleister wird mittels Auftragsverarbeitungsvereinbarung zur Einhaltung der o. g. Datenschutzregelungen verpflichtet und entsprechend des geschlossenen Auftragsverarbeitungsvertrages überwacht.
Der Datenschutzbeauftragte des LGB prüft- das Verzeichnis der Verarbeitungstätigkeiten,
- das Risiko für Betroffene (Risikoanalyse) sowie
- technische und organisatorische Maßnahmen auf Aktualität, Notwendigkeit und Angemessenheit.
Sollte es trotz umfassender Vorkehrungen zu einem sicherheitsrelevanten Vorfall kommen, so werden nach dessen Identifizierung Maßnahmen zu dessen Behebung ergriffen. Die Behebung von Sicherheitsvorfällen wird ausführlich dokumentiert.
Das Referat EDV des LGB gewährt ständige Aktualität im Hinblick auf die genutzte Software und führt regelmäßig Softwareupdates durch. Die Anwendung Anzeige-GeolDG RLP wird vom LGB betreut und auf dem aktuellsten Stand gehalten.
3. Beschreibung der technisch-organisatorischen Maßnahmen (TOM)
Das LGB hat im Rahmen der Zugangskontrolle / Zugriffskontrolle Maßnahmen getroffen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Dazu zählen unter anderem:
- Zugangskontrolle/Authentifizierung
- Authentifizierungsverfahren via BundID und Elster – Mein Unternehmenskonto (Identity Provider) für die Nutzer der Anzeige-GeolDG RLP
- Authentifizierungsverfahren (Login) und Zuordnung von Rechten für die Administratoren und Administratorinnen der Anzeige-GeolDG RLP
- Zugriffskontrolle
- Erstellen eines Berechtigungskonzeptes
- Anzahl der Administratoren und Administratorinnen wird auf das notwendigste Maß reduziert
- Protokollieren von Zugriffen auf Anwendungen (insbesondere bei der Eingabe, Änderung und Löschung von Daten)
- Verschlüsselung von Datensätzen, sodass nur die „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ die Datensätze entschlüsseln kann
- Verwaltung der Rechte durch Systemadministrator
- Ordnungsgemäße Vernichtung von Datenträgern
- Richtlinien für Passwörter
- Schutz der Anwendung
- Einsatz einer Web Application Firewall (WAV)
- Einsatz einer Firewall
- Durchführung von Penetrationstests (geplant)
- Weitestgehender Verzicht auf Standardfunktionen zur Behandlung der Anforderungen (Requests) an die Anwendung
- Umsetzung von spezifischen Funktionen zur Behandlung der Requests mit entsprechender Parametervalidierung
- Auftragsverarbeitungsmaßnahmen
- Abschluss der Auftragsverarbeitungsvereinbarung mit der Firma in medias res Gesellschaft für Informationstechnologie mbH (IMR; www.webgis.de) zur Einhaltung der erforderlichen Sicherheitsmaßnahmen
- Kontrolle der Einhaltung der vereinbarten Sicherheitsmaßnahmen
4.Fortschreibung des Datenschutzkonzeptes
Der Verantwortliche schreibt das Datenschutzkonzept regelmäßig fort. Dafür prüft er, ob aufgetretene Probleme bei der Umsetzung des geltenden Konzeptes, eine geänderte Normenlage oder eine geänderte herrschende Rechtsauffassung eine Anpassung erforderlich machen.
V. Datenverarbeitung und Datenverarbeitungszweck
- Grundsätzliches
Das LGB erhebt und verarbeitet personenbezogene Daten von Nutzern grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webseite sowie der Inhalte und Leistungen der Anwendung Anzeige-GeolDG RLP erforderlich ist. Die Verarbeitung personenbezogener Daten der Nutzer erfolgt regelmäßig nur nach Einwilligung der Nutzer (durch klicken der Taste „Absenden“). Eine Ausnahme gibt es in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Näheres wird unter 2. ausgeführt.
Personenbezogene Daten sind alle Informationen, die auf die Nutzer oder andere natürliche Personen persönlich beziehbar sind, wie z. B. Name, Adresse, E-Mail-Adresse sowie Daten über die Nutzung der Webseite. - Datenerhebung und Datenverarbeitung der Anzeige-GeolDG RLP
- Beim Aufruf der Anwendung Anzeige-GeolDG RLP werden personenbezogene Daten erhoben, die technisch notwendig sind, um die Webseite zur Verfügung zu stellen sowie die Stabilität und Sicherheit der Anwendung zu gewährleisten.
Zu diesen Daten gehören: Rechtsgrundlage ist Art. 6 Abs. 1 S.1 lit. f) DSGVO.
Die Daten werden vorübergehend in Logfiles gespeichert und drei Monate nach Ende des Zugriffs automatisch gelöscht. Ohne eine Verarbeitung der Daten kann die Webseite ggf. nicht bzw. nur eingeschränkt dargestellt werden.- IP-Adresse des Internet-Service-Providers
- Datum und Uhrzeit des Zugriffs
- Refferer (Verweiser)
- User Agent
- Request
- Cookies
- Bei der Nutzung der Anwendung Anzeige-GeolDG RLP zur Anzeige und Übermittlung der Untersuchungsergebnisse werden die personenbezogenen Daten der Nutzer sowie die in den Eingabemasken eingegebenen Daten durch Absenden der Anzeige beim LGB gespeichert.
Zu diesen Daten gehören: Rechtsgrundlage ist Art. 6 Abs.1 S. 1 lit. a) DSGVO i.V.m. § 3 BDSG, § 3 LDSG, Art. 6 Abs. 1 lit. c) und e) DSGVO sowie §§ 8, 9 und 10 GeolDG.
Die Verarbeitung der Daten erfolgt ausschließlich zum Zweck der Bearbeitung des Anliegens bzw. der Anzeige entsprechend GeolDG.- verwendeter Anmeldedienst (Elster – Mein Unternehmenskonto oder Bund-ID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
- Name und Anschrift des Auftraggebenden sowie ggf. der beratenden Firma
- Daten die gemäß Geologiedatengesetz (GeolDG) für das Anliegen (Anzeige, Meldung…) mitgeteilt werden
- IP-Adresse zum Zeitpunkt des Absendens
- Bei Kontaktaufnahme über das Kontaktformular der Anzeige-GeolDG RLP werden die darin eingegebenen Daten beim LGB gespeichert.
Erfasst werden folgende Daten:- Name
- E-Mail-Adresse
- Betreff
- Ihre Nachricht
- Ihre IP-Adresse zum Zeitpunkt des Absendens
Die übermittelten Daten werden ausschließlich zur Bearbeitung des Anliegens und zur Kommunikation gespeichert. Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte.
Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.
Die Einwilligung zur Speicherung personenbezogener Daten können Nutzer jederzeit widerrufen. Erfolgt ein Widerruf, kann es gleichwohl erforderlich sein, dass das LGB bis dahin aufgenommene personenbezogene Daten speichert und ggf. auf andere Weise verarbeitet, weil die Voraussetzungen von Art. 6 Abs. 1 lit. c) oder e) DSGVO vorliegen:- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Art. 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Den Widerruf der Einwilligung können die Nutzer per Post oder per E-Mail an o. g. Verantwortlichen und / oder den Datenschutzbeauftragten (aufgeführt unter III.) schicken.
- Beim Aufruf der Anwendung Anzeige-GeolDG RLP werden personenbezogene Daten erhoben, die technisch notwendig sind, um die Webseite zur Verfügung zu stellen sowie die Stabilität und Sicherheit der Anwendung zu gewährleisten.
- Cookies
Die Anzeige-GeolDG RLP verwendet Cookies. Dabei handelt es sich um Textdateien, die bei Aufruf der Webseite im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Cookies enthalten eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Durch den Einsatz von Cookies erhöht sich die Benutzerfreundlichkeit und Sicherheit der Webseite.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Durch eine Änderung der Einstellungen im Internetbrowser kann die Übertragung von Cookies deaktiviert oder eingeschränkt werden. Werden Cookies für die Webseite deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite vollumfänglich genutzt werden. - Einsatz von anderen Anwendungen
Die Anzeige-GeolDG RLP nutzt die Anwendung:- Identity Provider (IDP) / Anmeldedienst (Elster – Mein Unternehmenskonto oder BundID) zur Authentifizierung der Nutzer.
- verwendeter Anmeldedienst (Elster – Mein Unternehmenskonto oder BundID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
VI. Rechte der Betroffenen
Werden personenbezogene Daten verarbeitet, sind deren „Träger“ Betroffene i.S.d. DSGVO und der übrigen Datenschutzregelungen. Es stehen ihnen die folgend genannten und auch in der Datenschutzerklärung dargelegten Rechte gem. Art. 15 ff DSGVO gegenüber dem Verantwortlichen zu:
- Recht auf Auskunft
Die Betroffenen können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die sie betreffen, vom LGB verarbeitet werden.
Ist dies der Fall, so haben sie das Recht auf Auskunft über diese personenbezogenen Daten und folgende Informationen:- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, die Rechtsgrundlage der Verarbeitung und ggf. die mit der Verarbeitung nach Art. 6 Abs. 1 lit. f) vom LGB verfolgten berechtigten Interessen;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen, eines Widerspruchsrechts gegen diese Verarbeitung, das Recht auf Datenübertragbarkeit und das Recht auf Widerruf ihrer Einwilligung zur Datenverarbeitung (welche die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt);
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. In diesem Zusammenhang können sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten für einen anderen Zweck als den Erhebungszweck weiterzuverarbeiten (dabei ist der Zweck vor dieser Weiterverarbeitung mitzuteilen).
Diese Rechte entfallen, sofern die Betroffenen bereits über die Informationen verfügen.
- Recht auf Berichtigung
Die Betroffenen haben ein Recht auf Berichtigung und / oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen. - Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können die Betroffenen die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen:- wenn sie die Richtigkeit der sie betreffenden personenbezogenen Daten bestreiten, und zwar für eine Dauer die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber ihren Gründen überwiegen.
Wurde die Einschränkung der Verarbeitung nach den o. g. Voraussetzungen eingeschränkt, werden die Betroffenen von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird. - Recht auf Widerspruch
Die Betroffenen haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die Betroffenen haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – ein Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden. - Recht auf Löschung
- Pflicht zur Löschung
Die Anzeige-GeolDG RLP erlaubt grundsätzlich die dauerhafte Speicherung der Daten der Betroffenen.
Diese können von dem Verantwortlichen verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:- die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
- die Betroffenen widerrufen ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
- die Betroffenen legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein;
- ie sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet;
- die Löschung der sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
- die sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
- Information an Dritte
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die Betroffenen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben. - Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist:- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und i) sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Das LGB kann insbesondere bei einem Löschungsbegehren folgende Daten speichern, um Einbruchsversuche in das System bzw. Missbrauch des Systems Anzeige-GeolDG RLP aufzuklären und zu verfolgen:
- Daten des Nutzerbrowsers an den Server des LGB: IP Adresse des Internet-Service-Providers, Datum und Uhrzeit des Zugriffs, Refferer (Verweiser), User Agent Request sowie Angabe der Anmeldung, E-Mailadresse, Nutzername.
- In diesen Fällen erfolgt die Löschung der Daten:
- nach drei Monaten, sofern für die straf- oder zivilrechtliche Verfolgung keine weitere Speicherung nötig ist oder
- nach Abschluss aller Verfahren, die zur straf- oder zivilrechtlichen Verfolgung und Durchsetzung der aufgrund einer Verletzung des Systems entstandenen Ansprüche erforderlich sind.
- Pflicht zur Löschung
- Recht auf Unterrichtung
Haben die Betroffenen das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen diese Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Den Betroffenen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden. - Recht auf Datenübertragbarkeit
Die Betroffenen haben das Recht, die sie betreffenden personenbezogenen Daten, welche sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern- die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b) DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben die Betroffenen das Recht, zu erwirken, dass die sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Recht auf Beschwerde bei der Aufsichtsbehörde
Recht auf Beschwerde bei der Aufsichtsbehörde Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht den Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
Als Aufsichtsbehörde kommt insbesondere in Betracht:
Landesbeauftragter für Datenschutz und Informationsfreiheit (LfDI) Rheinland-Pfalz
Prof. Dr. Dieter Kugelmann
Hintere Bleiche 34
55116 Mainz - Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Betroffene haben das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
VII. Datenschutz-Folgeabschätzung
Grundsätzlich ist eine Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der Regelbeispiele des Art. 35 Abs. 3 DSGVO vorliegt. Eine Datenschutz-Folgenabschätzung muss nicht durchgeführt werden, wenn sowohl aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da keine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt und wenn keine umfangreiche Verarbeitung sensibler Daten oder personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten erfolgt.
VIII. Meldung von Datenschutzvorfällen
Im Falle eines potentiellen Verstoßes gegen die Maßgaben zur Datensicherheit (Datenschutzvorfall) unterliegt das LGB Untersuchungs-, Informations- und Schadensminderungspflichten. Ein Datenschutzvorfall ist dann eine Datenschutzverletzung, wenn eine Verletzung der Datensicherheit vorliegt, die unrechtmäßig zur Löschung, Änderung, unbefugten Offenlegung oder Nutzung personenbezogener Daten führt. Soweit daraus aller Voraussicht nach ein Risiko für die Rechte und Freiheiten natürlicher Personen entsteht, müssen entsprechende Ereignisse möglichst innerhalb von 72 Stunden nachdem das LGB Kenntnis über die Verletzung erlangt hat, der zuständigen Aufsichtsbehörde mitgeteilt werden.
Zusätzlich müssen die Betroffenen im Falle einer Datenschutzverletzung mit voraussichtlich hohem Risiko für ihre Rechte und Freiheiten über diese Datenschutzverletzung benachrichtigt werden. Wurde ein Datenschutzvorfall im Verantwortungsbereich des LGB festgestellt oder vermutet, ist jede/r Mitarbeiter/in verpflichtet, diese unverzüglich zu melden. Jede Datenschutzverletzung muss dokumentiert werden. Die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
IX. Datenschutzerklärung
Die Datenschutzerklärung der Anzeige-GeolDG RLP ist hier einsehbar.
-
Datenschutzerklärung „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ (Anzeige-GeolDG RLP)
I. Einleitung
Die Datenschutzerklärung gilt für die „Anzeige geologischer Untersuchungen und Bohrungen Rheinland-Pfalz“ des Landesamtes für Geologie und Bergbau Rheinland-Pfalz (Anzeige-GeolDG RLP).
Sie erläutert, wie personenbezogene Informationen durch das Landesamt für Geologie und Bergbau Rheinland-Pfalz (LGB) gem. Art. 13 der Europäischen Datenschutz-Grundverordnung (DSGVO)1 verarbeitet werden und ergänzt die allgemeine Datenschutzerklärung des LGB.Verweise auf gesetzliche Vorschriften beziehen sich auf die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) und das rheinland-pfälzische Landesdatenschutzgesetz (LDSG) in der jeweils aktuellen Fassung.
II. Verantwortlichkeit
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist das:
Landesamt für Geologie und Bergbau Rheinland-Pfalz (LGB)Emy-Roeder-Straße 5
55129 Mainz
E-Mail
Tel.: +49 6131 9254 0Den Datenschutzbeauftragten des LGB erreichen Sie unter:
Emy-Roeder-Straße 5
55129 Mainz
E-Mail
Tel.: +49 6131 9254 338III. Technischer Betrieb und Einsatz von anderen Anwendungen
- Die Anzeige-GeolDG RLP wird von der Firma in medias res Gesellschaft für Informationstechnologie mbH (IMR; www.webgis.de) als technischem Dienstleister im Auftrag und nach den Vorgaben des LGB weiterentwickelt. Zwischen dem Verantwortlichen und IMR besteht eine Auftragsverarbeitungsvereinbarung.
- Die Anzeige-GeolDG RLP nutzt die Anwendung Identity Provider (IDP) / Anmeldedienst (Elster – Mein Unternehmenskonto sowie BundID) zur Authentifizierung der Nutzer.
- Folgende Daten werden dabei vom LGB gespeichert:
- verwendeter Anmeldedienst (Elster – Mein Unternehmenskonto oder BundID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
- Rechtsgrundlage ist Art. 6 Abs.1 S. 1 lit. a) DSGVO.
IV. Verarbeitung personenbezogener Daten
Die Anzeige-GeolDG RLP dient der elektronischen Anzeige geologischer Untersuchungen und Bohrungen gemäß Geologiedatengesetz (GeolDG) beim Landesamt für Geologie und Bergbau Rheinland-Pfalz sowie der Übermittlung von Untersuchungsergebnissen.
Die Speicherung der Daten erfolgt beim LGB.1. Grundsätzliches
Wir erheben und verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webseite sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers (durch klicken der Taste „Absenden“). Eine Ausnahme gibt es in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Näheres finden Sie unter 2.
Personenbezogene Daten sind alle Informationen, die auf Sie oder andere natürliche Personen persönlich beziehbar sind, wie z. B. Name, Adresse, E-Mail-Adresse sowie Daten über die Nutzung der Webseite.2 Datenerhebung und Datenverarbeitung
- Beim Aufruf der Anzeige-GeolDG RLP werden personenbezogene Daten erhoben, die technisch notwendig sind, um die Webseite zur Verfügung zu stellen sowie die Stabilität und Sicherheit der Anwendung zu gewährleisten.
Zu diesen Daten gehören: Rechtsgrundlage ist Art. 6 Abs. 1 S.1 lit. f) DSGVO.
Die Daten werden vorübergehend in Logfiles gespeichert und drei Monate nach Ende des Zugriffs automatisch gelöscht. Ohne eine Verarbeitung der Daten kann die Webseite ggf. nicht bzw. nur eingeschränkt dargestellt werden.- IP-Adresse des Internet-Service-Providers
- Datum und Uhrzeit des Zugriffs
- Refferer (Verweiser)
- User Agent
- Request
- Cookies
- Bei der Nutzung der Anzeige-GeolDG RLP zur Anzeige und Übermittlung der Untersuchungsergebnisse werden die für die Authentifizierung notwendigen personenbezogenen Daten des Nutzers sowie die in den Eingabemasken eingegebenen Daten durch Absenden der Anzeige beim LGB gespeichert.
Zu diesen Daten gehören:- verwendeter Anmeldedienst (Elster – Mein Unternehmenskonto oder Bund-ID)
- ID im genutzten Anmeldedienst
- E-Mail-Adresse
- ggf. die Postfach-ID des Anmeldedienstes
- Anzeigename (ggf. Unternehmensname)
- Name, Anschrift und ggf. E-Mail-Adresse des Auftraggebenden sowie ggf. der beratenden Firma
- Daten die Sie gemäß Geologiedatengesetz (GeolDG) für Ihr Anliegen (Anzeige, Meldung…) mitteilen
- Ihre IP-Adresse zum Zeitpunkt des Absendens
Die Verarbeitung der Daten erfolgt ausschließlich zum Zweck der Bearbeitung Ihres Anliegens bzw. Ihrer Anzeige entsprechend GeolDG - Bei Kontaktaufnahme über das Kontaktformular der Anzeige-GeolDG RLP werden die darin eingegebenen Daten beim LGB gespeichert.
Erfasst werden folgende Daten:- Name
- E-Mail-Adresse
- Betreff
- Ihre Nachricht
- Ihre IP-Adresse zum Zeitpunkt des Absendens
Die übermittelten Daten werden ausschließlich zur Bearbeitung Ihres Anliegens und zur Kommunikation gespeichert. Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte.
Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.
Ihre Einwilligung zur Speicherung personenbezogener Daten können Sie jederzeit widerrufen.
Wenn Sie widerrufen, kann es gleichwohl erforderlich sein, dass das LGB Ihre bis dahin aufgenommenen personenbezogenen Daten speichert und ggf. auf andere Weise verarbeitet, weil die Voraussetzungen von Art. 6 Abs. 1 lit. c) oder e) DSGVO vorliegen:- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Ihren Widerruf können Sie per Post oder per E-Mail an die unter I. Name und Anschrift des Verantwortlichen aufgeführten Personen schicken.
3. Cookies
Die Anzeige-GeolDG RLP verwendet Cookies. Dabei handelt es sich um Textdateien, die bei Aufruf der Webseite im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Cookies enthalten eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. Durch den Einsatz von Cookies erhöht sich die Benutzerfreundlichkeit und Sicherheit der Webseite.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Werden Cookies für die Webseite deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite vollumfänglich genutzt werden.
4. Speicherdauer
Sofern in den einzelnen Abschnitten nicht abweichend bestimmt, werden die personenbezogenen Daten der betroffenen Person gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt bzw. Sie Ihre Einwilligung zur Speicherung widerrufen.
Die Daten zum Zwecke der Datenverarbeitung werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Die durch die Anwendungen Identity Provider (IDP) / Anmeldedienst (Elster – Mein Unternehmenskonto oder BundID) sowie die Anzeige-GeolDG RLP übermittelten Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.
Die für die Feststellung, Aufklärung und Ahndung eines Einbruchsversuches in das System erforderlichen Daten werden, ggf. trotz Löschung / erklärten Verlangens einer Löschung, bis zur Feststellung, Aufklärung und Ahndung des Einbruchsversuches im System, aufbewahrt.
V. Rechte des Betroffenen
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gem. Art. 15 ff DSGVO gegenüber dem Verantwortlichen zu:
1. Recht auf Auskunft
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten und folgende Informationen:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
- wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
- wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
4. Recht auf Widerspruch
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.5. Recht auf Löschung
- Pflicht zur Löschung
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:- Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, nicht (mehr) erforderlich.
- Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
- Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die Betroffenen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben. - Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h) und i) sowie Art. 9 Abs. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
6. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b) DSGVO beruht und
- die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
8. Recht auf Beschwerde bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
9. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), kurz.: DSGVO (zurück )