Datenschutzunterrichtung

Name und Anschrift des Verantwortlichen

Chaotikum e.V.
z.Hd. Lukas Ruge
Mengstraße 3
23552
Lübeck
Germany

Allgemeines zur Datenverarbeitung

Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Dienste und unserer Leistungen als Verein erforderlich ist.

Die Verarbeitung personenbezogener Daten erfolgt nur nach Einwilligung. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage, dies ist z.B. die Speicherung der Mitgliedsdaten im Rahmen des Mitgliedsverzeichnisses. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verein unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Vereines oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

Auftragsverarbeitung

Zur Bereitstellung einiger der im weiteren aufgeführten Dienste greifen wir auf externe Dienstleister zurück. Verträge zur Auftragsverarbeitung liegen vor und sind unterzeichnet.

Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir als Verein unterliegen, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unseren Internetseiten

oder darunter liegenden Subdomains, erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Folgende Daten werden hierbei erhoben:

Auf der Website der Night Of Open Knowledge (nook-luebeck.de bzw nook-lübeck.de) sind zudem Daten über Menschen abrufbar, welche Präsentationen oder Workshops auf der Veranstaltung gegeben haben.

Einbindung von Diensten Dritter

Betterplace

Auf diesen Webseites haben wir iFrames (z.B. integriertes Spendenformular, Projekt-Widget, Overlay-Spendenbutton) der gut.org gAG, Schlesische Straße 26, 10977 Berlin (Betreiberin der Online-Spendenplattform betterplace.org, nachfolgend “betterplace.org” genannt) eingebunden. In diesen iFrames nutzt betterplace.org Dienste Dritter. Einzelheiten zu den im Zusammenhang mit den Diensten erfolgenden Datenverarbeitungen können in der Datenschutzerklärung von betterplace.org nachlesen. Die Rechtsgrundlage für die Einbindung der iFrames ist Art. 6 Abs. 1 lit. f DSGVO. In der Optimierung der Nutzerfreundlichkeit der Webseite und der Ermöglichung einer nutzerfreundlichen Verknüpfung unserer Webseite mit der Online-Spendenplattform von betterplace.org liegt unser berechtigtes Interesse.

Twitter

Um Informationen, welche wir auf der Social Media Plattform “Twitter” verbreiten auch auf diesem Webangebit zur Verfügung zu stellen, binden wir Inhalte der Plattform Twitter (Twitter; 1355 Market St #900, San Francisco, CA 94103, United States) ein. Um zu vermeiden, dass Daten unserer Besuchenden bei twitter gespeichert werden, haben wir einen “do not track” header eingebunden.

Youtube

Um Informationen, welche wir auf der Videoplattform “Youtube” veröffentlichen auch auch auf diesem Webangebit zur Verfügung zu stellen, binden wir Inhalte der Plattform Youtube (Google; 1600 Amphitheater Parkway, Mountain View, CA 94043, USA) ein. Wir nutzen hier die “Datensparsame” Lösung welche Daten erst beim betrachten eines Videos an Youtube übermittelt.

media.ccc.de

Um Informationen, welche wir auf der Videoplattform “media.ccc.de” veröffentlichen auch auch auf diesem Webangebit zur Verfügung zu stellen, binden wir Inhalte der Plattform media.ccc.de (Chaos Computer Club e. V.; Zeiseweg 9 D-22765 Hamburg, Germany) ein.

Dienste des Chaotikums

Wir bieten Menschen die Option sich einen LDAP Account zu erstellen, der es ihnen ermöglicht folgende Dienste zu nutzen:

Im LDAP hinterlegte personenbezogene Daten können von diesen Diensten gespeichert und ggf anderen Nutzer:innen angezeigt werden.

Zudem betreiben wir folgende Dienste, die nicht an das LDAP angebunden sind und in welchen Nutzer:innen eigene Accounts anlegen können

Vollständig ohne Accounts arbeiten folgende Dienste

Für Freifunk Lübeck wird ein DNS-Server betrieben.

Umfang der Verarbeitung personenbezogener Daten

Verarbeitet werden im LDAP-Konto:

Als Identityprovider wird Keycloak genutzt, welches eine Kopie der Daten aus dem LDAP speichert. Zudem speichert Keycloak laut Dokumentation Informationen über zugreifende Systeme, wie z.B. IP, Browserart und Betriebsystem.

Verarbeitet werden im Dienst sediment.chaotikum.org:

E-Mail Adresse und Telefonummer sind lediglich für User mit Admin-Rechten sichtbar.

Verarbeitet werden im Dienst pretix.chaotikum.org

Daten im Pretix können sechs Wochen nach Ablauf der Veranstaltung pseudonymisiert werden.

Verarbeitet werden im Big Blue Button:

Im Big Blue Button ist die Aufzeichnung von Videokonferenzen in bestimmten Räumen möglich. Eine detaillierte Handreichung zum Datenschutz im Big Blue Button des Chaotikum e.V. findet sich unter http://wiki.chaotikum.org/infrastruktur:container:bbb:datenschutz

Verarbeitet werden im gitlab

Das gitlab kann, abgesehen von öffentlichen Zugriffen auf öffentliche repositireies, wie z.B. die Funktion clone, ausschließlich über ein Chaotikum LDAP-Account genutzt werden. Für die in öffentlichen Repositories oder über gitlab-pages verfügbaren Informationen sind die Nutzer:innen welche sie bereitstellen selbst verantowrtlich.

Die Versionsverwaltung git (wir nutzen die Software gitlab) zeichnet auf den Server übertragene Commits auf, die die Nutzer:innen vornehmen. Dies ist für die grundlegende Funktion einer Versionsverwaltung notwendig. So werden alle Aktivitäten an einem Repository in dessen Versionsgeschichte gespeichert. Hier wird insbesondere der ein vom Nutzer festgelegter Display-Name und die E-Mail-Adresse des Benutzers wie auch der Zeitpunkt des Zugriffs gespeichert. Eine Löschung oder Anonymisierung dieser Daten findet nicht statt. Bei der Beteiligung an GitLab-Projekten die öffentlich sind, werden diese Informationen allgemein zugänglich im Projekt gespeichert und dargestellt.

Diese Daten können vom Benutzer selbst gelöscht werden. Die Versionsgeschichte wird eines Repositories mit der Löschung des Repositories gelöscht.

Ebenfalls werden Daten, je nach Sichtbarkeit des Projekts, im sogenanten “Activity Stream” von gitlab angezeigt.

Verarbeitet werden im mlmmj

Für Mailinglisten ist es Notwendig, dass die E-Mail-Adresse der Personen auf der Liste gespeichert werden.

Alle vom Chaotikum verwaleten Listen und Domains finden sich unter https://wiki.chaotikum.org/hackspace:infrastruktur:mailinglisten Es findet keine Archivierung statt.

Verarbeitet werden im listmonk Für Newsletter werden E-Mail Adresse und ein selbst angebenener Name benötigt.

Listmonk erlaubt das detaillierte Tracking von Aktionen der empfangenden Person, wir nutzen dieses Feature nicht.

Daten (ehemaliger) Mitglieder und Spender:innen

Zur Erfüllung der vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO) (dies din z.B.Mitgliederverzeichniss, Einladung zur Mitgliederversammlung, Ausstellung von Spendenbescheiden, Kostenerstattungen…) erfassen wir die Daten von Mitgliedern, ehemaligen Migliedern, Personen die eine Mitgliedschaft beantragt haben und Personen die ihre Daten übermittelt haben, um eine Spendenbescheinigung zu erhalten und Personen, welche Rückerstattungsanträge gestellt haben. Zugang zu diesen Daten haben ausschließlich der Vorstand und die Kassenprüfer:innen.

Die Daten werden ein Jahr nach dem Abschluss des Jahres in welchem sie benötigt wurden gelöscht.

Die erfassten personenbezogenen Daten sind:

Kopien von Spendenbescheiden sowie Rückersttungsanträge und Rechnungen werden für 10 Jahre aufbewahrt. Sie werden nach Vollendung des 10 Jahres nach dem Jahr ihres anfallens gelöscht/vernichtet (10+1 Jahre).

Verwendung von Cookies

Beschreibung und Umfang der Datenverarbeitung

Einige Dienste die wir bereitstellen verwenden Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

Einige Dienste setzen Cookies ein, um unsere Website nutzerfreundlicher zu gestalten. Einige Elemente einiger Dienste erfordern es, dass der aufrufende Browser auch nach einem Seitenwechsel identifiziert werden kann.

In den Cookies werden dabei Log-In-Informationen und Spracheinstellungen gespeichert und übermittelt. Insbesondere wenn das Single-Sign-On Feature des Chaotikum-Accounts genutzt wird.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Cookies ist Art. 6 Abs. 1 lit. f DSGVO.

Zweck der Datenverarbeitung

Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Websites für die Nutzer:innen zu vereinfachen. Einige Funktionen unserer Internetseite können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wiedererkannt wird.

Für folgende Anwendungen benötigen wir Cookies:

In diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der personenbezogenen Daten nach Art. 6 Abs. 1 lit. f DSGVO.

Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf dem Rechner der Nutzer:innen gespeichert und von diesem an unserer Seite übermittelt. Daher habet ihr als Nutzer:innen auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können ihr die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich genutzt werden.

Rechte der betroffenen Person

Werden personenbezogene Daten von dir verarbeitet, bist du Betroffener oder Betroffene i.S.d. DSGVO und es stehen dir folgende Rechte gegenüber dem Verantwortlichen zu:

Auskunftsrecht

Du kannst von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die dich betreffen, von uns als Verantwortlichem verarbeitet werden.

Liegt eine solche Verarbeitung vor, kannst du von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;

(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;

(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die dich betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;

(4) die geplante Dauer der Speicherung der dich betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;

(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der dich betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;

(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Dir steht das Recht zu, Auskunft darüber zu verlangen, ob die dich betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang kannst du verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Recht auf Berichtigung

Du hast ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die dich betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen kannst du die Einschränkung der Verarbeitung der dich betreffenden personenbezogenen Daten verlangen:

(1) wenn du die Richtigkeit der dich betreffenden personenbezogenen für eine Dauer bestreitest, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

(2) die Verarbeitung unrechtmäßig ist und du die Löschung der personenbezogenen Daten ablehnst und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangst;

(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, du diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder

(4) wenn du Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hast und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber deinen Gründen überwiegen.

Wurde die Verarbeitung der dich betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit deiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wirst du von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

Recht auf Löschung

Löschungspflicht

Du kannst von dem Verantwortlichen verlangen, dass die dich betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

(1) Die dich betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

(2) Du widerrufst dein Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

(3) Du legst gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder du legst gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.

(4) Die dich betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(5) Die Löschung der dich betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

(6) Die dich betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Information an Dritte

Hat der Verantwortliche die dich betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass du als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hast.

Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;

(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Unterrichtung

Hast du das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die dich betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Dir steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit

Du hast das Recht, die dich betreffenden personenbezogenen Daten, die du dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hast du das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und

(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts hast du ferner das Recht, zu erwirken, dass die dich betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Widerspruchsrecht

Du hast das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der dich betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die dich betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deinem Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Du hast die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – dein Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Du hast das Recht, deine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Du hast das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung

(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen dir und dem Verantwortlichen erforderlich ist,

(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung deiner Rechte und Freiheiten sowie deiner berechtigten Interessen enthalten oder

(3) mit deiner ausdrücklichen Einwilligung erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie deiner berechtigten Interessen getroffen wurden.

Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn du der Ansicht bist, dass die Verarbeitung der dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.