INHALTSVERZEICHNI

EINFÜHRUNG

I. KAPITEL - BEZEICHNUNG DES DATENVERANTWORTLICHEN

II. KAPITEL - BEZEICHNUNG DER DATENVERARBEITER
1. Postdienstleistungen, Zustellung, Paketversand

III. KAPITEL - SICHERSTELLUNG DER RECHTMÄSSIGKEIT DER DATENVERARBEITUNG
2. Datenverarbeitung auf Grundlage der Einwilligung der betroffenen Person
3. Datenverarbeitung auf Grundlage der Erfüllung einer rechtlichen Verpflichtung
4. Unterstützung der Rechte der betroffenen Person

IV. KAPITEL - DATENVERARBEITUNG VON BESUCHERN AUF DER WEBSITE DES UNTERNEHMENS - INFORMATION ÜBER DIE VERWENDUNG VON COOKIE

V. KAPITEL - INFORMATION ÜBER DIE RECHTE DER BETROFFENEN PERSON 

---

EINFÜHRUNG 

Die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: Verordnung) schreibt vor, dass der Verantwortliche geeignete Maßnahmen trifft, um der betroffenen Person alle Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen, und dass der Verantwortliche die Ausübung der Rechte der betroffenen Person erleichtert.

Die Verpflichtung zur vorherigen Information der betroffenen Person ist auch im Gesetz CXII aus dem Jahr 2011 über das Recht auf informationelle Selbstbestimmung und über die Informationsfreiheit festgelegt.

Mit der nachstehenden Information kommen wir dieser gesetzlichen Verpflichtung nach.

Die Information ist auf der Website der Gesellschaft zu veröffentlichen oder der betroffenen Person auf Anfrage zuzusenden.

---

I. KAPITEL
BEZEICHNUNG DES DATENVERANTWORTLICHEN
 

Herausgeber dieser Information und gleichzeitig Verantwortlicher für die:
Firmenname: SECURUS HUNGARY Zrt.
Sitz: 1134 Budapest, Váci út 47/b.
Betriebsstätte: 5100 Jászberény, Nagykátai út 35
Firmenregisternummer: Cg.01-10-048354
Steuernummer: 24961514-2-41
Vertreter: Eszter Szatmári
Telefonnummer: +36 57 411-844
Fax: +36 57 412-996
E-Mail-Adresse: securus@securus.hu
Website: www.securus.hu

---

II. KAPITEL
BEZEICHNUNG DER AUFTRAGSVERARBEITER
 

Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; (Artikel 4 Absatz 8 der Verordnung).

Für die Inanspruchnahme eines Auftragsverarbeiters ist keine vorherige Einwilligung der betroffenen Person erforderlich, jedoch ist eine entsprechende Information notwendig. Dementsprechend erteilen wir folgende Information:

1. Postdienstleistungen, Zustellung, Paketversand

Diese Auftragsverarbeiter erhalten von unserer Gesellschaft die für die Zustellung der bestellten Produkte erforderlichen personenbezogenen Daten (Name, Adresse, Telefonnummer der betroffenen Person) und verwenden diese zur Auslieferung des Produkts.

Diese Dienstleister:

Firmenname: Magyar Posta Zrt.
Sitz: 1138 Budapest, Dunavirág utca 2-6.
Firmenregisternummer: 01-10-042463
Steuernummer: 10901232-2-44

Kurierdienste:

1.
Firmenname: Agrogalgaker Kft.
Sitz: 2193 Galgahévíz, Fő út 178.
Firmenregisternummer: 13-09-172015
Steuernummer: 12228832-2-13

2.
Firmenname: TNT Express Hungary Kft.
Sitz: 1185 Budapest II, Logistikzentrum – Bürogebäude, BUD Internationaler Flughafen Gebäude 283
Firmenregisternummer: 01-09-068137
Steuernummer: 10376166-2-44

3.
Firmenname: Express One Hungary Kft.
Sitz: 1239 Budapest, Európa utca 12.
Firmenregisternummer: 01-09-980899
Steuernummer: 13947109-2-43

---

III. KAPITEL
SICHERSTELLUNG DER RECHTMÄSSIGKEIT DER DATENVERARBEITUNG
  

1. Datenverarbeitung auf Grundlage der Einwilligung der betroffenen Person

(1) Beabsichtigt die Gesellschaft eine auf Einwilligung beruhende Datenverarbeitung durchzuführen, ist die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten mit dem Inhalt und der Information gemäß dem im Datenschutzregelwerk festgelegten Datenanforderungsformular einzuholen.

(2) Als Einwilligung gilt auch, wenn die betroffene Person beim Besuch der Internetseite der Gesellschaft ein entsprechendes Kästchen ankreuzt, bei der Inanspruchnahme von Diensten der Informationsgesellschaft entsprechende technische Einstellungen vornimmt oder durch jede andere Erklärung oder Handlung in dem jeweiligen Zusammenhang eindeutig ihr Einverständnis mit der vorgesehenen Verarbeitung ihrer personenbezogenen Daten zum Ausdruck bringt. Schweigen, bereits angekreuzte Kästchen oder Untätigkeit gelten daher nicht als Einwilligung.

(3) Die Einwilligung erstreckt sich auf sämtliche Verarbeitungsvorgänge, die zu demselben Zweck oder denselben Zwecken erfolgen. Dient die Datenverarbeitung mehreren Zwecken gleichzeitig, so ist die Einwilligung für alle Zwecke der Datenverarbeitung zu erteilen.

(4) Erteilt die betroffene Person ihre Einwilligung im Rahmen einer schriftlichen Erklärung, die sich auch auf andere Angelegenheiten bezieht – z. B. auf den Abschluss eines Kauf- oder Dienstleistungsvertrags –, so ist das Ersuchen um Einwilligung in einer von diesen anderen Angelegenheiten klar unterscheidbaren Weise darzustellen, in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache. Jeder Teil einer solchen Erklärung, der gegen die Verordnung verstößt, ist nicht verbindlich.

(5) Die Gesellschaft darf den Abschluss oder die Erfüllung eines Vertrages nicht von der Einwilligung zur Verarbeitung solcher personenbezogenen Daten abhängig machen, die für die Vertragserfüllung nicht erforderlich sind.

(6) Der Widerruf der Einwilligung muss ebenso einfach möglich sein wie deren Erteilung.

(7) Wurden personenbezogene Daten mit Einwilligung der betroffenen Person erhoben, so kann der Verantwortliche die erhobenen Daten – sofern keine abweichende gesetzliche Regelung besteht – zum Zweck der Erfüllung einer ihn treffenden rechtlichen Verpflichtung auch ohne eine gesonderte Einwilligung sowie auch nach dem Widerruf der Einwilligung der betroffenen Person weiterverarbeiten.

2. Datenverarbeitung auf Grundlage der Erfüllung einer rechtlichen Verpflichtung

(1) Im Falle einer auf einer rechtlichen Verpflichtung beruhenden Datenverarbeitung richten sich der Umfang der verarbeitbaren Daten, der Zweck der Datenverarbeitung, die Dauer der Datenspeicherung sowie die Empfänger nach den Bestimmungen der zugrunde liegenden Rechtsvorschriften.

(2) Die Datenverarbeitung auf Grundlage der Erfüllung einer rechtlichen Verpflichtung erfolgt unabhängig von der Einwilligung der betroffenen Person, da die Datenverarbeitung durch Rechtsvorschriften festgelegt ist. In diesem Fall ist der betroffenen Person vor Beginn der Datenverarbeitung mitzuteilen, dass die Datenverarbeitung verpflichtend ist. Darüber hinaus ist die betroffene Person vor Beginn der Datenverarbeitung eindeutig und umfassend über alle Tatsachen im Zusammenhang mit der Verarbeitung ihrer Daten zu informieren, insbesondere über den Zweck und die Rechtsgrundlage der Datenverarbeitung, die zur Datenverarbeitung und Datenverarbeitung berechtigte Person, die Dauer der Datenverarbeitung sowie darüber, wenn der Verantwortliche die personenbezogenen Daten der betroffenen Person aufgrund einer ihn treffenden rechtlichen Verpflichtung verarbeitet, und darüber, wer Kenntnis von den Daten erlangen kann. Die Information muss sich auch auf die Rechte der betroffenen Person im Zusammenhang mit der Datenverarbeitung sowie auf die Möglichkeiten des Rechtsbehelfs erstrecken. Im Falle einer verpflichtenden Datenverarbeitung kann die Information auch durch die Veröffentlichung eines Hinweises auf die entsprechenden gesetzlichen Bestimmungen erfolgen, die die vorgenannten Informationen enthalten.

3. Unterstützung der Rechte der betroffenen Person

Die Gesellschaft ist im Rahmen sämtlicher Datenverarbeitungsvorgänge verpflichtet, die Ausübung der Rechte der betroffenen Person zu gewährleisten.

---

IV. KAPITEL
DATENVERARBEITUNG VON BESUCHERN AUF DER WEBSITE DER GESELLSCHAFT – INFORMATION ÜBER DIE VERWENDUNG VON COOKIES
 

1. Der Besucher der Website ist auf der Website über die Verwendung von Cookies zu informieren, und hierfür ist – mit Ausnahme der technisch unbedingt erforderlichen Sitzungs-Cookies (Session-Cookies) – seine Einwilligung einzuholen.

2. Allgemeine Information über Cookies

2.1. Ein Cookie ist eine Information (auf Englisch: Cookie), die von der besuchten Website an den Browser des Besuchers gesendet wird (in Form eines Variablenname-Wert-Paares), damit dieser sie speichert und später dieselbe Website deren Inhalt wieder laden kann. Ein Cookie kann eine Gültigkeitsdauer haben, es kann bis zum Schließen des Browsers gültig sein oder auch unbegrenzt gespeichert werden. Bei späteren HTTP(S)-Anfragen sendet der Browser diese Daten ebenfalls an den Server zurück. Dadurch können Daten auf dem Gerät des Nutzers verändert werden.

2.2. Der Zweck von Cookies besteht darin, dass es aufgrund der Natur von Webdiensten erforderlich ist, einen Nutzer zu kennzeichnen (z. B. ob er sich auf der Website angemeldet hat) und ihn entsprechend weiter zu verwalten. Das Risiko besteht darin, dass sich der Nutzer dessen nicht in jedem Fall bewusst ist und dass der Betreiber der Website oder ein anderer Dienstleister, dessen Inhalte in die Website eingebunden sind (z. B. Facebook, Google Analytics), den Nutzer verfolgen kann. Dadurch kann ein Profil über den Nutzer erstellt werden; in diesem Fall kann der Inhalt des Cookies als personenbezogenes Datum betrachtet werden.

2.3. Arten von Cookies:

2.3.1. Technisch unbedingt erforderliche Sitzungs-Cookies (Session-Cookies): Ohne diese würde die Website funktional nicht ordnungsgemäß funktionieren. Sie sind erforderlich zur Identifizierung des Nutzers, z. B. zur Verwaltung, ob er sich angemeldet hat, was er in den Warenkorb gelegt hat usw. In der Regel wird dabei eine Session-ID gespeichert, während die übrigen Daten auf dem Server gespeichert werden, was sicherer ist. Es bestehen auch sicherheitsrelevante Aspekte: Wenn der Wert des Session-Cookies nicht korrekt generiert wird, besteht das Risiko eines sogenannten Session-Hijacking-Angriffs, weshalb es unbedingt erforderlich ist, dass diese Werte ordnungsgemäß generiert werden. In anderer Terminologie werden alle Cookies, die beim Beenden des Browsers gelöscht werden, als Session-Cookies bezeichnet (eine Session entspricht der Nutzung eines Browsers vom Start bis zum Beenden).

2.3.2. Funktionale Cookies: So werden üblicherweise Cookies bezeichnet, die sich die Auswahl des Nutzers merken, z. B. in welcher Form der Nutzer die Website sehen möchte. Diese Art von Cookies enthält im Wesentlichen Einstellungsdaten, die im Cookie gespeichert werden.

2.3.3. Leistungs-Cookies: Obwohl sie nur bedingt mit „Leistung“ zu tun haben, werden so gewöhnlich Cookies bezeichnet, die Informationen über das Verhalten des Nutzers auf der besuchten Website sammeln, über die auf der Seite verbrachte Zeit sowie über Klicks. Dabei handelt es sich in der Regel um Anwendungen von Drittanbietern (z. B. Google Analytics, AdWords oder Yandex.ru Cookies). Diese Cookies können zur Erstellung von Nutzerprofilen verwendet werden.

Über die Cookies von Google Analytics können Sie sich hier informieren:

https://support.google.com/analytics/topic/14089939?hl=hu&ref_topic=14090456
Über die Cookies von Google AdWords können Sie sich hier informieren:
https://ads.google.com/intl/hu_hu/start/overview-ha/

2.4. Die Annahme bzw. Aktivierung von Cookies ist nicht verpflichtend. Sie können die Einstellungen Ihres Browsers so ändern, dass alle Cookies abgelehnt werden oder dass angezeigt wird, wenn ein Cookie gesendet wird. Die meisten Browser akzeptieren Cookies standardmäßig automatisch, diese Einstellungen können jedoch in der Regel so geändert werden, dass die automatische Annahme verhindert wird und bei jedem Cookie die Möglichkeit zur Auswahl angeboten wird.

Über die Cookie-Einstellungen der beliebtesten Browser können Sie sich unter den folgenden Links informieren.

• Google Chrome
• Firefox
• Microsoft Edge
• Safari

Dennoch weisen wir darauf hin, dass bestimmte Funktionen oder Dienste der Website ohne Cookies möglicherweise nicht ordnungsgemäß funktionieren.

3. Information über die auf der Website der Gesellschaft verwendeten Cookies und die während des Besuchs entstehenden Daten

3.1. Umfang der während des Besuchs verarbeiteten Daten:
Unsere Website kann während der Nutzung der Website die folgenden Daten über den Besucher bzw. das von ihm zum Surfen verwendete Gerät erfassen und verarbeiten:

• die vom Besucher verwendete IP-Adresse,
• der Typ des Browsers,
• Merkmale des Betriebssystems des zum Surfen verwendeten Geräts (eingestellte Sprache),
• Zeitpunkt des Besuchs,
• die besuchte (Unter-)Seite, Funktion oder Dienstleistung,
• Klicks.

Diese Daten werden maximal 90 Tage gespeichert und können in erster Linie zur Untersuchung von Sicherheitsvorfällen verwendet werden.

3.2. Auf der Website verwendete Cookies

3.2.1. Technisch unbedingt erforderliche Sitzungs-Cookies (Session-Cookies)

Zweck der Datenverarbeitung: Sicherstellung der ordnungsgemäßen Funktion der Website. Diese Cookies sind erforderlich, damit die Besucher die Website reibungslos und vollständig nutzen können, einschließlich der über die Website verfügbaren Dienste, insbesondere um die vom Besucher auf den jeweiligen Seiten durchgeführten Aktionen zu speichern oder um den angemeldeten Benutzer während eines Besuchs zu identifizieren. Die Speicherdauer dieser Cookies bezieht sich ausschließlich auf den aktuellen Besuch des Besuchers; nach Ende der Sitzung bzw. beim Schließen des Browsers werden diese Cookies automatisch vom Computer gelöscht.

Rechtsgrundlage der Datenverarbeitung: § 13/A Abs. 3 des Gesetzes 2001. CVIII über elektronische Handelsdienste sowie bestimmte Fragen der Dienste der Informationsgesellschaft (Elkertv.), wonach der Anbieter personenbezogene Daten verarbeiten darf, die für die Bereitstellung der Dienstleistung technisch unbedingt erforderlich sind. Der Anbieter muss bei gleichen sonstigen Bedingungen die eingesetzten Mittel bei der Erbringung von Diensten der Informationsgesellschaft so auswählen und betreiben, dass personenbezogene Daten nur dann verarbeitet werden, wenn dies für die Bereitstellung der Dienstleistung und die Erreichung der in diesem Gesetz festgelegten weiteren Zwecke unbedingt erforderlich ist – jedoch nur im erforderlichen Umfang und für die erforderliche Dauer.

3.2.2. Funktionale Cookies:

Diese speichern die Auswahl des Nutzers, z. B. in welcher Form der Nutzer die Website anzeigen möchte. Diese Art von Cookies enthält im Wesentlichen im Cookie gespeicherte Einstellungsdaten.
Rechtsgrundlage der Datenverarbeitung: Einwilligung des Besuchers.
Zweck der Datenverarbeitung: Steigerung der Effizienz der Dienstleistung, Verbesserung der Benutzererfahrung und komfortablere Nutzung der Website.
Diese Daten befinden sich hauptsächlich auf dem Gerät des Nutzers; die Website hat nur Zugriff darauf und kann den Besucher anhand dieser Daten erkennen.

3.2.3. Leistungs-Cookies:

Sie sammeln Informationen über das Verhalten des Nutzers auf der besuchten Website, über die verbrachte Zeit sowie über Klicks. Dabei handelt es sich in der Regel um Anwendungen von Drittanbietern (z. B. Google Analytics, AdWords).

Rechtsgrundlage der Datenverarbeitung: Einwilligung der betroffenen Person.
Zweck der Datenverarbeitung: Analyse der Website, Versand von Werbeangeboten.

---

V. KAPITEL

INFORMATION ÜBER DIE RECHTE DER BETROFFENEN PERSON
 

I. Rechte der betroffenen Person – kurz zusammengefasst:

1. Transparente Information, Kommunikation und Unterstützung bei der Ausübung der Rechte der betroffenen Person
2. Recht auf vorherige Information – wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden
3. Information der betroffenen Person und Bereitstellung von Informationen, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben wurden
4. Recht auf Zugang der betroffenen Person
5. Recht auf Berichtigung
6. Recht auf Löschung („Recht auf Vergessenwerden“)
7. Recht auf Einschränkung der Verarbeitung
8. Mitteilungspflicht im Zusammenhang mit Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten
9. Recht auf Datenübertragbarkeit
10. Widerspruchsrecht
11. Automatisierte Einzelentscheidungen, einschließlich Profiling
12. Einschränkungen
13. Information der betroffenen Person über Datenschutzverletzungen
14. Recht auf Beschwerde bei der Aufsichtsbehörde (Recht auf behördliche Abhilfe)
15. Recht auf wirksamen gerichtlichen Rechtsschutz gegenüber der Aufsichtsbehörde
16. Recht auf wirksamen gerichtlichen Rechtsschutz gegenüber dem Verantwortlichen oder Auftragsverarbeiter

II. Rechte der betroffenen Person – im Detail:

1. Transparente Information, Kommunikation und Unterstützung bei der Ausübung der Rechte der betroffenen Person

1.1. Der Verantwortliche muss der betroffenen Person alle Informationen und jede Mitteilung über die Verarbeitung personenbezogener Daten in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form sowie klar und verständlich bereitstellen, insbesondere bei Informationen, die sich an Kinder richten. Die Informationen müssen schriftlich oder auf andere Weise – gegebenenfalls auch elektronisch – übermittelt werden. Auf Wunsch der betroffenen Person kann die Information auch mündlich erfolgen, vorausgesetzt, die Identität der betroffenen Person wurde auf andere Weise nachgewiesen.

1.2. Der Verantwortliche muss die Ausübung der Rechte der betroffenen Person unterstützen.

1.3. Der Verantwortliche informiert die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags über die Maßnahmen, die infolge des Antrags zur Ausübung der Rechte der betroffenen Person getroffen wurden. Diese Frist kann unter den im Datenschutz-Grundverordnung (DSGVO) festgelegten Bedingungen um weitere zwei Monate verlängert werden, über die die betroffene Person informiert werden muss.

1.4. Wird auf den Antrag der betroffenen Person keine Maßnahme ergriffen, informiert der Verantwortliche die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags über die Gründe für das Unterbleiben der Maßnahme und darüber, dass die betroffene Person bei einer Aufsichtsbehörde Beschwerde einlegen und gerichtliche Rechtsmittel einlegen kann.

1.5. Der Verantwortliche stellt die Informationen und Mitteilungen über die Rechte der betroffenen Person sowie die ergriffenen Maßnahmen unentgeltlich zur Verfügung; in den im DSGVO genannten Fällen kann jedoch eine Gebühr erhoben werden.

Die detaillierten Regelungen sind in Artikel 12 der DSGVO zu finden.

2. Recht auf vorherige Information – wenn personenbezogene Daten bei der betroffenen Person erhoben werden

2.1. Die betroffene Person hat das Recht, vor Beginn der Datenverarbeitung über die damit verbundenen Tatsachen und Informationen informiert zu werden. In diesem Zusammenhang ist die betroffene Person insbesondere über Folgendes zu informieren:

a) die Identität und Kontaktdaten des Verantwortlichen und seines Vertreters,
b) die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden),
c) den Zweck der beabsichtigten Verarbeitung personenbezogener Daten sowie die Rechtsgrundlage der Verarbeitung,
d) im Falle einer Datenverarbeitung zur Wahrung berechtigter Interessen über die berechtigten Interessen des Verantwortlichen oder eines Dritten,
e) die Empfänger der personenbezogenen Daten – an die die Daten weitergegeben werden – bzw. die Kategorien von Empfängern, sofern vorhanden,
f) gegebenenfalls darüber, dass der Verantwortliche beabsichtigt, personenbezogene Daten in ein Drittland oder an eine internationale Organisation zu übermitteln.

2.2. Um eine faire und transparente Datenverarbeitung zu gewährleisten, muss der Verantwortliche die betroffene Person über folgende zusätzliche Informationen informieren:

a) die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer,
b) das Recht der betroffenen Person, vom Verantwortlichen Zugang zu den sie betreffenden personenbezogenen Daten zu verlangen, diese zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, sowie das Recht, der Verarbeitung solcher personenbezogenen Daten zu widersprechen, einschließlich des Rechts auf Datenübertragbarkeit,
c) im Falle einer auf Einwilligung beruhenden Verarbeitung, das Recht, die Einwilligung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der auf Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung zu berühren,
d) das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen,
e) darüber, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist oder eine Voraussetzung für den Abschluss eines Vertrags darstellt, sowie die Verpflichtung der betroffenen Person, die Daten bereitzustellen, und die möglichen Folgen der Nichterbringung der Daten,
f) das Bestehen automatisierter Entscheidungsfindungen, einschließlich Profiling, sowie zumindest in diesen Fällen verständliche Informationen über die verwendete Logik und die Bedeutung und voraussichtlichen Auswirkungen dieser Verarbeitung für die betroffene Person.

2.3. Beabsichtigt der Verantwortliche, personenbezogene Daten für einen anderen als den ursprünglichen Erhebungszweck weiterzuverarbeiten, muss er die betroffene Person vor dieser Weiterverarbeitung über den abweichenden Zweck und alle relevanten zusätzlichen Informationen informieren.

Die detaillierten Regelungen zum Recht auf vorherige Information sind in Artikel 13 der Datenschutz-Grundverordnung (DSGVO) enthalten.

3. Information der betroffenen Person und bereitzustellende Informationen, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden

3.1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, muss der Verantwortliche die betroffene Person spätestens einen Monat nach Erlangung der personenbezogenen Daten informieren; wenn die personenbezogenen Daten zur Kontaktaufnahme mit der betroffenen Person verwendet werden, mindestens bei der ersten Kontaktaufnahme; oder, falls die Daten voraussichtlich an andere Empfänger weitergegeben werden, spätestens bei der erstmaligen Weitergabe der personenbezogenen Daten, über die in Punkt 2 genannten Tatsachen und Informationen sowie über die Kategorien der personenbezogenen Daten, die Herkunft der personenbezogenen Daten und gegebenenfalls darüber, ob die Daten aus öffentlich zugänglichen Quellen stammen.

3.2. Für weitere Regelungen gelten die Bestimmungen von Punkt 2 (Recht auf vorherige Information).

Die detaillierten Regelungen zu dieser Information sind in Artikel 14 der DSGVO enthalten.

4. Recht auf Auskunft der betroffenen Person

4.1. Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Ist eine solche Verarbeitung im Gange, hat die betroffene Person das Recht, Zugang zu den personenbezogenen Daten und den damit verbundenen Informationen gemäß den Punkten 2–3 zu erhalten (Art. 15 DSGVO).

4.2. Erfolgt eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, hat die betroffene Person das Recht, über die Übermittlung und die entsprechenden Garantien gemäß Art. 46 DSGVO informiert zu werden.

4.3. Der Verantwortliche muss der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen. Für weitere angeforderte Kopien kann der Verantwortliche eine angemessene Gebühr auf Grundlage der Verwaltungskosten erheben.

Die detaillierten Regelungen zum Recht auf Auskunft sind in Art. 15 DSGVO enthalten.

5. Recht auf Berichtigung

5.1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Berichtigung unrichtiger personenbezogener Daten, die sie betreffen, zu verlangen.

5.2. Unter Berücksichtigung des Zwecks der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Diese Regelungen sind in Art. 16 DSGVO festgelegt.

6. Recht auf Löschung („Recht auf Vergessenwerden”)

6.1. Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Verantwortliche ist verpflichtet, die personenbezogenen Daten der betroffenen Person unverzüglich zu löschen, wenn:

a) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
b) die betroffene Person die Einwilligung, die die Grundlage der Datenverarbeitung bildet, widerruft und keine andere Rechtsgrundlage für die Verarbeitung besteht;
c) die betroffene Person der Verarbeitung widerspricht und keine vorrangige berechtigte Grundlage für die Verarbeitung besteht;
d) die personenbezogenen Daten unrechtmäßig verarbeitet wurden;
e) die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung gemäß dem für den Verantwortlichen geltenden Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist;
f) die personenbezogenen Daten im Zusammenhang mit dem Angebot von informationsgesellschaftlichen Diensten direkt an ein Kind erhoben wurden.

6.2. Das Recht auf Löschung kann nicht ausgeübt werden, wenn die Verarbeitung erforderlich ist für:

a) die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit;
b) die Erfüllung einer rechtlichen Verpflichtung gemäß dem für den Verantwortlichen geltenden Unionsrecht oder dem Recht der Mitgliedstaaten bzw. für die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) Zwecke des öffentlichen Gesundheitswesens im öffentlichen Interesse;
d) Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, soweit das Recht auf Löschung wahrscheinlich unmöglich machen oder ernsthaft gefährden würde; oder
e) die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Die detaillierten Regelungen zum Recht auf Löschung sind in Art. 17 DSGVO festgelegt.

7. Recht auf Einschränkung der Verarbeitung

7.1. Im Falle einer Einschränkung der Verarbeitung dürfen solche personenbezogenen Daten, abgesehen von der Speicherung, nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus wichtigem öffentlichen Interesse der Union oder eines Mitgliedstaats verarbeitet werden.

7.2. Die betroffene Person hat das Recht, vom Verantwortlichen auf Antrag die Verarbeitung einzuschränken, wenn einer der folgenden Fälle zutrifft:

a) die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten; die Einschränkung gilt für die Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung ablehnt, stattdessen jedoch die Einschränkung der Nutzung verlangt;

c) der Verantwortliche benötigt die personenbezogenen Daten für die Verarbeitung nicht mehr, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; oder

d) die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat; in diesem Fall gilt die Einschränkung für die Dauer, bis festgestellt ist, ob die berechtigten Gründe des Verantwortlichen Vorrang vor den berechtigten Gründen der betroffenen Person haben.

7.3. Die betroffene Person ist im Voraus über die Aufhebung der Einschränkung der Verarbeitung zu informieren.

Die einschlägigen Vorschriften sind in Art. 18 DSGVO festgelegt.

8. Informationspflicht im Zusammenhang mit Berichtigung, Löschung oder Einschränkung der Verarbeitung

Der Verantwortliche informiert alle Empfänger über jede Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten, an die die Daten übermittelt wurden, es sei denn, dies erweist sich als unmöglich oder erfordert einen unverhältnismäßigen Aufwand. Auf Anfrage der betroffenen Person informiert der Verantwortliche über diese Empfänger.

Diese Vorschriften sind in Art. 19 DSGVO festgelegt.

11. Automatisierte Entscheidungen in Einzelfällen, einschließlich Profiling

11.1. Die betroffene Person hat das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruht und die rechtliche Wirkung gegenüber ihr entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

11.2. Dieses Recht findet keine Anwendung, wenn die Entscheidung:

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist;

b) durch Unions- oder Mitgliedstaatliches Recht, das auch geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person vorsieht, zulässig ist; oder

c) auf einer ausdrücklichen Einwilligung der betroffenen Person beruht.

11.3. In den unter a) und c) genannten Fällen hat der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person zu treffen, einschließlich des Rechts, dass die betroffene Person eine menschliche Intervention durch den Verantwortlichen verlangen, ihre Sichtweise darlegen und Widerspruch gegen die Entscheidung einlegen kann.

Die weiteren Vorschriften sind in Art. 22 DSGVO enthalten.

12. Einschränkungen

Unions- oder Mitgliedstaatliches Recht, das auf den Verantwortlichen oder Auftragsverarbeiter Anwendung findet, kann den Anwendungsbereich von Rechten und Pflichten (Art. 12–22, 34, 5 DSGVO) einschränken, sofern die Einschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten respektiert.

Die Voraussetzungen für diese Einschränkung sind in Art. 23 DSGVO geregelt.

13. Information der betroffenen Person über eine Datenschutzverletzung

13.1. Kommt es voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen infolge einer Datenschutzverletzung, hat der Verantwortliche die betroffene Person unverzüglich über die Datenschutzverletzung zu informieren. Diese Information muss die Art der Datenschutzverletzung klar und verständlich erläutern und mindestens Folgendes enthalten:

a) Name und Kontaktdaten des Datenschutzbeauftragten oder sonstiger Ansprechpartner;

b) voraussichtliche Folgen der Datenschutzverletzung;

c) von dem Verantwortlichen getroffene oder geplante Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung nachteiliger Folgen.

13.2. Eine Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a) Der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen getroffen, die auf die von der Datenschutzverletzung betroffenen Daten angewendet wurden, insbesondere solche Maßnahmen (wie Verschlüsselung), die die personenbezogenen Daten für Unbefugte unverständlich machen;

b) Der Verantwortliche hat nach der Datenschutzverletzung weitere Maßnahmen ergriffen, die sicherstellen, dass das für die Rechte und Freiheiten der betroffenen Person bestehende hohe Risiko voraussichtlich nicht eintritt;

c) Die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern. In diesem Fall ist die betroffene Person öffentlich oder durch eine ähnliche Maßnahme, die eine ebenso wirksame Information gewährleistet, zu informieren.

Die weiteren Vorschriften sind in Art. 34 DSGVO enthalten.

14. Recht auf Beschwerde bei einer Aufsichtsbehörde (Behördlicher Rechtsbehelf)

Die betroffene Person hat das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen – insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes –, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die Verordnung verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, hat die betroffene Person über den Stand des Verfahrens und dessen Ergebnis, einschließlich des Rechts der betroffenen Person auf gerichtliche Rechtsbehelfe, zu informieren.

Die Vorschriften hierzu sind in Art. 77 DSGVO geregelt.

15. Recht auf wirksamen gerichtlichen Rechtsbehelf gegenüber der Aufsichtsbehörde

15.1. Unbeschadet anderer Verwaltungs- oder außergerichtlicher Rechtsbehelfe hat jede natürliche oder juristische Person das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine rechtsverbindliche Entscheidung der Aufsichtsbehörde, die sie betrifft.

15.2. Unbeschadet anderer Verwaltungs- oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht auf wirksamen gerichtlichen Rechtsbehelf, wenn die zuständige Aufsichtsbehörde die Beschwerde nicht bearbeitet oder innerhalb von drei Monaten keine Informationen über den Stand oder das Ergebnis der eingereichten Beschwerde übermittelt.

15.3. Das Verfahren gegen die Aufsichtsbehörde ist vor dem Gericht des Mitgliedstaats einzuleiten, in dem die Aufsichtsbehörde ihren Sitz hat.

15.4. Wird gegen eine Entscheidung der Aufsichtsbehörde, zu der im Rahmen des Einheitlichkeitsmechanismus zuvor eine Stellungnahme oder Entscheidung des Ausschusses abgegeben wurde, ein Verfahren eingeleitet, hat die Aufsichtsbehörde diese Stellungnahme oder Entscheidung dem Gericht zu übermitteln.

Die Vorschriften hierzu sind in Art. 78 DSGVO enthalten.

16. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen oder Auftragsverarbeiter

16.1. Unbeschadet der verfügbaren Verwaltungs- oder außergerichtlichen Rechtsbehelfe – einschließlich des Rechts auf Beschwerde bei der Aufsichtsbehörde – hat jede betroffene Person das Recht auf wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass ihre Rechte gemäß dieser Verordnung infolge der nicht ordnungsgemäßen Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen oder Auftragsverarbeiter verletzt wurden.

16.2. Das Verfahren gegen den Verantwortlichen oder Auftragsverarbeiter ist vor dem Gericht des Mitgliedstaats einzuleiten, in dem der Verantwortliche oder Auftragsverarbeiter tätig ist. Dieses Verfahren kann auch vor dem Gericht des Mitgliedstaats eröffnet werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, es sei denn, der Verantwortliche oder Auftragsverarbeiter handelt als öffentlich-rechtliche Behörde eines Mitgliedstaats.

Die Vorschriften hierzu sind in Art. 79 DSGVO enthalten.

Ausgestellt in Jászberény, am 24. Mai 2018.