doc02363720190624134753
Dieses Dokument ist Teil der Anfrage „Antrag nach dem IFG/UIG/VIG“
Geschäftszeichen : 510-2081.2/11-
1500
Verteiler : alle Beschäftigten des
VO
Jobcenter - Sächsische Schweiz-Osterzgebirge
Organisationsanweisung Datenschutz
01/2013
Inhalt
I) Allgemeines
( 1) Rechtliche Grundlagen
2) Zweck
3) Geltungsbereich
4) Begriffsbestimmungen
1) Zuständigkeiten
1) Grundsatz
2) Dezentrale Datenschutzfunktion
- 3) Zentrale Datenschutzfunktion (behördliche Datenschutzbeauftragte)
II) Umgang mit personenbezogenen Daten
1) Datenübermittlung
2) Datenweitergabe innerhalb des JC SOE
3) Datenübermittlung an Dritte
4) Rechte des/der Betroffenen
5) Informationspflichten
6) Umgang mit Datenschutzverstößen
\ 7) Auftragsdatenverarbeitung
8) Verzeichnis der Verarbeitungstätigkeiten
9) Datenschutz-Folgenabschätzung
IV) Inkrafttreten
Anlage 1: Begriffsbestimmungen
Anlage 2: Datenschutz-Folgenabschätzung
Anlage 3: Befugnisse zur Auskunftserteilung/Übermittlung von Sozialdaten
Anlage 4: Merkblatt Informationspflichten
OA Datenschutz — 0172018 l. Allgemeines 1.1 Rechtliche Grundlagen Grundlagen dieser OA sind: - die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 EG (Dalep: schutzgrundverordnung-DSGVO), - das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Rechtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Um- setzungsgesetz EU - DSAnp-EU) vom 30.06.2017 - BGBl. Teil I, Nr. 44, Bl. 20R97 ff., - ergänzende allgemeine (SGB | und X) sowie bereichsspezifische Datenschutzvorschrif- ten des Bundes in der jeweils geltenden Fassung. 1.2 Zweck Zweck dieser OA ist es, die Einhaltung der Grundsätze der Verarbeitung personenbezogener Da- ten nach Art. 5 DSGVO zu sichern und damit die rechtmäßige Verarbeitung personenbezogener Daten/Sozialdaten einschließlich der Datensicherheit durch das JC SOE zu gewährleisten. 1.3 Geltungsbereich Diese OA gilt für alle Bereiche und deren Beschäftigte im JC.SOE, die personenbezogene Da- ten/Sozialdaten selbst oder durch Einschaltung Dritter verarbeiten. 1.4 Begriffsbestimmungen Für die in dieser OA verwendeten Begriffe gelten die Definitionen, die in den zugrunde liegenden rechtlichen Vorschriften ($ 1) verankert sind. Wesentliche Definitionen sind in der Anlage 1 aufge- führt. Il. Zuständigkeiten und Verantwortlichkeiten 11.1 Grundsatz Die Führungskräfte und die Beschäftigten sind für die Einhaltung der jeweils anzuwendenden Vor- schriften über den Daterischutz zuständig und verantwortlich, soweit sie personenbezogene Da- ten/Sozialdaten verarbeiten. Dazu gehören insbesondere
OA Datenschutz — 01/2018 - die Erhebung dieser Daten, - das Anlegen, Verwalten, Führen, Nutzen und Vernichten bzw. Löschen von Akten bzw. Dateien, die personenbezogene Daten/Sozialdaten enthalten, - das Versenden von personenbezogenen Daten/Sozialdaten bzw. Akten oder deren Tei- len, die solche Daten enthalten, - die Bekanntgabe von personenbezogenen Daten/Sozialdaten durch Weitergabe an Dritte, durch die Gewährung von Einsicht oder durch das Bereitstellen zum Abruf. II.2 Dezentrale Datenschutzfunktion (Führungskräfte und Vertreter) (1) In seiner Zuständigkeit und Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen überträgt der Geschäftsführer des JC SOE den Führungskräften und bei Abwe- senheit deren Vertretern die Aufgabe, die Einhaltung dieser Bestimmungen innerhalb des jeweili- gen Verantwortungsbereiches zu sichern. Gleichzeitig stehen sie als Ansprechpartner der behörd- lichen Datenschutzbeauftragten zur Verfügung. (2) In dezentraler Verantwortung liegen u.a. folgende Aufgaben: - Erstellung der Meldung zum Verzeichnis der im Verantwortungsbereich geplanten bzw. vorgenommenen Verarbeitungstätigkeiten, - Vornahme der Datenschutz-Folgenabschätzung, - Unterstützung und rechtzeitige Information der behördlichen Datenschutzbeauftragten in allen Datenschutzbelangen, - die unverzügliche Meldung von Datenschutzpannen entsprechend der GF-Verfügung, - Stellungnahmen zu Anfragen der behördlichen Datenschutzbeauftragten - Entscheidung über die Zulässigkeit von Datenübermittlungen an Dritte im Rahmen der übertragenen Befugnisse. 11.3 Zentrale Datenschutzfunktion (behördliche Datenschutzbeauftragte) (1) Der Geschäftsführer hat nach dem BDSG sowohl die behördliche Datenschutzbeauftragte als auch deren Vertreterin bestellt, eine erneute Benennung nach Art. 37 DSGVO ist daher nicht er- forderlich. In Ausübung dieser Funktion ist sowohl die behördliche Datenschutzbeauftragte als auch deren Vertreterin dem Geschäftsführer unmittelbar unterstellt und in dieser Funktion weisunggsfrei. (2) Die behördliche Datenschutzbeauftragte ist zuständig für die Beantwortung aller Fragen, die den Datenschutz betreffen.
OA Datenschutz — 01/2018 Sie hat gem. Art. 39 DSGVO insbesondere folgende Aufgaben und Befugnisse: - Unterrichtung und Beratung des Geschäftsführers hinsichtlich der Pflichten nach der DSGVO und sonstiger Datenschutzvorschriften, - Unterrichtung, Beratung und Unterstützung der Beschäftigten einschließlich der Perso- nalvertretung in allen Fragen des Datenschutzes, - Unmittelbare Ansprechperson aller Beschäftigten in Angelegenheiten des Beschäftigten- datenschutzes, - Unmittelbare Ansprechpartnerin der Kundinnen/Kunden des JC SOE zu allen Fragen, die mit der Verarbeitung personenbezogener Daten/Sozialdaten und mit der Wahrneh- mung der Rechte im Zusammenhang stehen, dazu ist sie auch in allen KRM- Angelegenheiten zu beteiligen, - Zusammenarbeit mit der Bundesbeauftragten für den Datenschutz und die Informations- freiheit (BfDI), - Beratung der Führungskräfte und deren Vertreter im Zusammenhang mit der Daten- schutz-Folgenabschätzung und Überwachung ihrer Durchführung gem. Art. 35 DSGVO, - Mitwirkung bei allen Fragen und Projekten mit datenschutzrelevanten Komponenten, ins- besondere bei der Erarbeitung interner Regelungen Formularen mit denen personenbe- zogene Daten/Sozialdaten verarbeitet werden, - Unterstützung bei der Formulierung von Verträgen, deren Gegenstand die Verarbeitung personenbezogener Daten/Sozialdaten ist, - Überwachung der Einhaltung der Vorgaben zum Datenschutz (Stichproben und anlass- bezogene Überprüfung), insbesondere auf der Grundlage des bestehenden Prüfkatalo- ges zum Datenschutz, - Teilnahme an internen Arbeitskreisen und Vertretung des JC SOE in externen Arbeits- kreisen und Gremien mit datenschutzrechtlichem Bezug, - Entwicklung von Schulungskonzepten und Durchführung von Schulungen der Beschäf- tigten zu datenschutzrechtlichen Themen, ggf. in Zusammenarbeit mit anderen Stellen. (3) Der behördlichen Datenschutzbeauftragten ist zur Durchführung ihrer Aufgaben Einsicht in alle Räume, Akten und Dateien zu gewähren. (4) Stellt die behördliche Datenschutzbeauftragte Verstöße gegen Vorgaben zum Datenschutz fest, kann sie diese beanstanden und die betroffene Führungskraft bzw. betroffene Beschäftigte zu einer Stellungnahme auffordern. Mit der Beanstandung können Empfehlungen zur Beseiti- gung der Mängel und zur Verbesserung des Datenschutzes verbunden werden. (5) Die behördliche Datenschutzbeauftragte ist bei allen Anlässen, soweit sie die Verarbeitung personenbezogener Daten/Sozialdaten betreffen, von der zuständigen Führungskraft bzw. deren Vertreter unaufgefordert, rechtzeitig und umfassend zu informieren.
OA Datenschutz — 01/2018 Ill. Umgang mit personenbezogenen Daten/Sozialdaten 11.1 Datenverarbeitung (1) Verarbeitung umfasst gem. Art. 4 Nummer 2 DSGVO u.a. das Erheben, das Erfassen, die Or- ganisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten/Sozialdaten. (2) Die Verarbeitung personenbezogener Daten/Sozialdaten ist nur zulässig, wenn eine Rechts- vorschrift sie erlaubt oder die betroffene Person eingewilligt hat. (3) Es dürfen nur die personenbezogenen Daten/Sozialdaten verarbeitet werden, die für die rechtmäßige Erfüllung der Aufgaben erforderlich sind. Erforderlich im Sinne von Art. 6 der DSGVO ist eine Datenverarbeitung dann, wenn ohne die Verarbeitung die Erreichung des Zwecks (Erfüllung der rechtlichen Aufgabe) nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte. Unzulässig sind die Erhebung und Speicherung von Daten „auf Vorrat“. Die Vorschriften über das Verwaltungsverfahren (SGB X) im Hinblick auf das Verbot der Mitwirkung nach $ 16 SGB X aber auch im Hinblick auf das Vorliegen von Gründen, welche die Besorgnis der Befangenheit rechtfertigt ($ 17 SGB X), sind durch jede/jeden Beschäftigten zu beachten. Auch eine Nutzung der personenbezogenen Daten/Sozi- aldaten durch bloße „Einsichtnahme“ darf nur dann erfolgen, wenn dies zur rechtmäßigen Erfül- lung der Aufgaben erforderlich ist. ' (4) Die Verarbeitung personenbezogener Daten/Sozialdaten unterliegt der Zweckbindung (Art. 5 Abs. 1 DSGVO), d. h. personenbezogene Daten/Sozialdaten dürfen nur zu dem Zwecke verar- beitet werden, für den sie erhoben worden sind. Sie dürfen nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden. Ausnahmen bedürfen einer gesetzlichen Grundlage oder der Einwilligung der betroffenen Person. (5) Die Weitergabe (intern und extern) personenbezogener Daten/Sozialdaten per unverschlüs- selter E-Mail ist für alle Beschäftigten des JC SOE untersagt. Sofern der Empfänger keine ver- schlüsselten Nachrichten/E-Mails empfangen kann, sind Brief und oder im Ausnahmefall FAX-. Versand zu nutzen. 11.2 Datenübermittlung Vor einer Übermittlung personenbezogener Daten/Sozialdaten an Dritte ist immer deren Zuläs- sigkeit zu prüfen. Bei besonders schutzwürdigen personenbezogenen Daten/Sozialdaten sind
OA Datenschutz — 01/2018 die rechtlichen Einschränkungen nach Art. 9 DSGVO, $ 22 DSAnp-EU, 76 SGB X und ggf. wei- terer bereichsspezifischer Regelungen zu beachten. Bei Ersuchen von nicht-öffentlichen Stellen müssen die Voraussetzungen nach $ 78 Abs. 15.2 SGB X gegenüber dem JC SOE nachgewiesen werden, sofern eine Datenübermittlung an die ersuchende Stelle erfolgen soll und diese aufgrund einer Rechtsvorschrift oder Einwilligungser- klärung erfolgen darf. Die Befugnisse für die Bekanntgabe von Sozialdaten überträgt der Geschäftsführer für alle Über- mittlungen nach dem Sozialgesetzbuch entsprechend den Regelungen in der Anlage 3. 1Il.3 Datenweitergabe innerhalb des Jobcenters Für die Weitergabe (Übermittlung) von personenbezogenen Daten/Sozialdaten innerhalb des JC SOE gelten die übermittlungsrechtlichen Vorschriften gleichermaßen. 11.4 Rechte des/der Betroffenen (1) Dem/der Betroffenen ist auf Antrag eine Bestätigung darüber zu erteilen, ob ihn/sie betreffende personenbezogene Daten/Sozialdaten verarbeitet werden. Es besteht ein Recht auf Auskunft u.a. über die zu seiner/ihrer Person gespeicherten Daten, den Zweck der Verarbeitung, die Herkunft der Daten und die Empfänger von Übermittlungen sowie, falls möglich, die geplante Dauer der Speicherung (Art. 15 Abs. 1 DSGVO i. V. m. $ 83 SGB X). Der/die Betroffene ist auf sein/ihr Be- schwerderecht bei der Aussichtsbehörde hinzuweisen. Auskünfte an Betroffene nach Art. 15 Abs. 1 DSGVO i. V. m. $ 83 SGB X erteilt grundsätzlich die Datenschutzbeauftragte oder deren Vertreterin. (2) Personenbezogene Daten/Sozialdaten sind nach Art. 16 DSGVO i. V. m. 8 84 SGB X zu be- richtigen, wenn sie unrichtig sind. Nach Art. 17 DSGVO i. V. m. $ 84 SGB X sind personenbezo- gene Daten/Sozialdaten unverzüglich zu löschen, wenn diese für die Zwecke, für die sie erhoben worden sind, nicht mehr erforderlich sind, wenn sie unrechtmäßig verarbeitet wurden, wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder die betroffene Person ihre Einwilligung widerrufen hat. Das Recht auf Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO gegenüber einer öffentlichen Stelle besteht nach $ 84 Abs. 5 SGB X nicht, soweit eine Rechtsvorschrift zur Verarbeitung der Sozialdaten verpflichtet. 11.5 Informationspflichten (1) Für natürliche Personen soll Transparenz dahingehend bestehen, dass eigene, sie betreffende. personenbezogene Daten/Sozialdaten erhoben, verwendet, weitergegeben oder anderweitig ver- arbeitet werden und in welchem Umfang dies jetzt oder künftig erfolgt.
OA Datenschutz — 01/2018 (2) Das JC SOE hat deshalb den betroffenen Personen alle Informationen zur Verfügung zu stel- len, die Art, Zweck und Umfang der Verarbeitungstätigkeit beschreiben. Es wird unterschieden, ob die Daten direkt bei dem/der Betroffenen (Art. 13 DSGVO i. V. m. $ 82 SGB X)oder bei einem Dritten (Art. 14.DSGVO i. V.m. 8 82a SGB X) erhoben werden. Die Art. 13 und 14 enthalten jeweils einen Katalog an Informationspflichten. Die Aufzählungen sind abschließend. Spezialgesetzliche Beschränkungen der Informationspflichten sind zu beachten. Bei jeder Antragstellung ist das Merkblatt zu den Informationspflichten nach Art. 13 und 14 DSGVO auszuhändigen. Danach ist jeweils einmal im Bewilligungszeitraum das Merkblatt zu versenden. Die Aushändigung und der Versand sind in der eAkte zu dokumentieren. (3) Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten/Sozialdaten leicht zugänglich und verständlich so- . wie in klarer und einfacher Sprache abgefasst sind (Art. 12, Abs. 7 DSGVO). 111.6 Umgang mit Datenschutzverstößen (1) Kommt es zur Verletzung des Schutzes personenbezogener Daten/Sozialdaten (Datenschutz- verstoß), bestehen Meldepflichten nach Maßgabe der Art. 33, 34 DSGVO und 8 83a SGB X. Sofern auf Grund eines Datenschutzverstoßes ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist der Verstoß unverzüglich und möglichst binnen72 Stunden nach Bekannt- werden der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu melden (Art. 33 DSGVO). Sofern das Risiko hoch ist, muss außerdem der Betroffene unverzüglich benachrichtigt werden (Art. 34 DSGVO). Ergänzend zu den Meldepflichten nach Art. 33 und 34 DSGVO ist die Verletzung des Schutzes von Sozialdaten auch der Rechtsaufsichtsbehörde (BMAS) zu melden (8 83a SGB X). (2) Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn ihnen Diskriminie- rung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aushebung der Pseudony- misierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche gesundheitliche, wirtschaftliche oder gesellschaftliche Nachteile drohen. (3) Das Verfahren im JC SOE ist mit der GF-Verfügung vom 03. Mai 2018 geregelt, es ist zwingend einzuhalten.
OA Datenschutz — 01/2018 111.7 Auftragsdatenverarbeitung Verarbeitet das JC SOE personenbezogene Daten/Sozialdaten nicht selbst, dürfen Aufträge nur erteilt werden, wenn der Auftragsverarbeiter Garantien dafür bietet, personenbezogene Daten/So- zialdaten nur im Einklang mit der DSGVO und den ergänzenden nationalen Bestimmungen zu verarbeiten. Die Datenverarbeitung im Auftrag ist — sofern sie auf die Verarbeitung von Sozialdaten gerichtet ist - nur zulässig, wenn vor Erteilung des Auftrages dies der Rechtsaufsichtsbehörde nach $ 80 Abs. 1 SGB X angezeigt wurde. Die dort enthaltenen Angaben sind in der Anzeige zwingend auf- zuführen. Wird die vorherige Anzeige der Rechtsaufsichtsbehörde nicht mitgeteilt, ist die Auf- tragsverarbeitung nach $ 80 Abs. 12 SGB X rechtswidrig. Eine vorherige Beteiligung der behördlichen Datenschutzbeauftragten ist hier erforderlich. Der Ver- trag bedarf der Schriftform. Dies kann auch ein elektronisches Format sein. Notwendige Regelun- gen zur Einhaltung des Datenschutzes durch die Auftragnehmer sind in die Verträge aufzuneh- men. Die bisherige Funktionsübertragung an Maßnahmeträger im Zusammenhang mit Arbeitsmarkt- dienstleistungen (AMDL) ist mit der Änderung des SGB X zum 25. Mai 2018 nicht mehr normiert. Nach der abschließenden Klärung dieser Rechtsfrage durch die Rechtsaufsichtsbehörde ergeht hierzu eine gesonderte Weisung. 111.8 Verzeichnis der Verarbeitungstätigkeiten (1) Sämtliche Tätigkeiten, mit denen personenbezogene Daten/Sozialdaten verarbeitet. werden, sind in einem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO i. V. m. $ 70 DSAn- pUG-EU zu führen. Auf Anfrage ist das Verzeichnis der Aufsichtsbehörde von der behördlichen Datenschutzbeauftragten zur Verfügung zu stellen. (2) Die Meldung zu diesem Verzeichnis hat entsprechend der jeweils aktuellen GF-Verfügung zu erfolgen. 111.9 Datenschutz-Folgenabschätzung (1) Vor einer geplanten Verarbeitung personenbezogener Daten/Sozialdaten mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen nimmt die zuständige Führungskraft bzw. der zu- ständige Bereich eine Datenschutz-Folgenabschätzung vor. Die Entscheidung, dass eine Daten- schutz-Folgenabschätzung nicht durchzuführen ist, ist zu dokumentieren und der behördlichen Da- tenschutzbeauftragten vorzulegen. Verarbeitungen, die in der — noch zu veröffentlichenden - Po- sitivliste der Aufsichtsbehörden aufgeführt werden, sind immer einer Datenschutz-Folgenabschät- zung zu unterziehen. Dies trifft auch für die Verarbeitung von Sozialdaten zu.
OA Datenschutz — 01/2018 (2) Im Rahmen der Datenschutz-Folgenabschätzung sind Risiken einzuschätzen, die durch die Verarbeitung für die Rechte und Freiheiten des Betroffenen entstehen können. Bei der Durchfüh- rung einer Datenschutz-Folgenabschätzung kann die behördliche Datenschutzbeauftragte bera- tend mitwirken. u (3) Näheres zum Inhalt der Datenschutz-Folgenabschätzung ergibt sich aus Anlage 3. Ein Muster wurde mit der GF-Verfügung zur Meldung zum Verzeichnis der Verarbeitungstätigkeiten veröffent- licht. IV. Inkrafttreten Diese Organisationsanweisung tritt am 25. Mai 2018 in Kraft. Gleichzeitig tritt die bisherige Orga- nisationsanweisung zum Datenschutz außer Kraft "Geschäftsführer
OA Datenschutz — 01/2018 Anlage 1 zur Organisationsanweisung über den Datenschutz Ausgewählte Begriffsbestimmungen zu $ 4 der OA „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifi- zierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu eine Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, geneti- schen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identi- fiziert werden kann. „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vor- gang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Ver- änderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Ein- schränkung, das Löschen oder die Vernichtung personenbezogener Daten. „Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. „Dateisystem“ ist jede strukturierte, automatisiert oder nicht-automatisiert geführte Sammlung personenbezogener Daten, die nach bestimmten (d.h. mindestens zwei) Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografi- schen Gesichtspunkten geführt wird. „Verantwortlicher“ ist die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder an- dere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. „Einwilligung“ ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissver- ständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeuti- gen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. „Aufsichtsbehörde“ ist die oder der Bundesbeauftragte/r für Datenschutz und Informationsfrei- heit (BfDI). 10
