Allgemeine Bestimmungen Gegenstand und Ziele Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Sachlicher Anwendungsbereich Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Räumlicher Anwendungsbereich Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.   Verantwortung des für die Verarbeitung Verantwortlichen Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: Ddie Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. Personenbezogene Daten können auf Wunsch gelöscht werden, erstellte Rechnungen unterliegen der gesetzlichen Aufbewahrungsfrist von 10 Jahren und werden dann gelöscht. Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.   Auskunftsrecht der betroffenen Person Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: Erhoben werden die Daten zur Person, sowie die des Fahrzeuges, als Grundlage der ordnungsgemäßen Rechnungslegung. Die Belege werden 10 Jahre aufbewahrt und dann gelöscht.   Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. 2Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.   Recht auf Löschung ("Recht auf Vergessenwerden") Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 DSGVO Absatz 1 Buchstabe a oder Artikel 9 DSGVO Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.   Recht auf Datenübertragbarkeit Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Die Verarbeitung auf einer Einwilligung gemäß Artikel 6 DSGVO Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO Die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 DSGVO unberührt. 2Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen   Erfüllung der Informationspflicht gemäß Art 14 Datenschutzgrundverordnung (DSGVO) [1] Der Schutz der individuellen Privatsphäre bei der Verarbeitung personenbezogener Daten ist für uns ein wichtiges Anliegen, das wir bei unseren Geschäftsprozessen mit hoher Aufmerksamkeit berücksichtigen. Daher informieren wir Sie nachstehend über die Verarbeitung Ihrer personenbezogenen Daten und die Ihnen zustehenden datenschutzrechtlichen Ansprüche und Rechte.   I.            Name und Kontaktdaten des Verantwortlichen Für die Datenverarbeitung verantwortlich ist: Autoservice Bernd Broßmann Am Agnesfeld 5                                  07907 Schleiz      Tel:         03663-421930 Mail:       autoservice-bernd-brossmann@t-online.de   II.            Datenkategorien und Datenherkunft Wir verarbeiten von Ihnen folgende Kategorien personenbezogener Daten: z.B. Name, Adresse, Kontaktdaten, Geburtstag und -ort, Staatsangehörigkeit Ihre personenbezogenen Daten stammen von/aus: persönlichen Angaben oder Fahrzeugpapieren III.          Zweckbindung und Rechtsgrundlage Die Verarbeitung der von Ihnen angegebenen personenbezogenen Daten dient der Kontaktaufnahme mit Ihnen z.B. aus Gründen der Werbung. Hierin liegt auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten. Die Rechtsgrundlage für die Verarbeitung der Daten ist Artikel 6 Abs 1 lit f DSGVO.   IV.          Empfänger oder Kategorien von Empfängern Innerhalb des Autoservice Broßmann erhalten diejenigen Stellen bzw. Mitarbeiterinnen und Mitarbeiter Ihre Daten, die diese zur Wahrung berechtigter Interessen und/oder etwaiger gesetzlicher Pflichten benötigen.   V.            Speicherdauer Ihre personenbezogenen Daten werden von uns nur so lange aufbewahrt, wie dies vernünftigerweise von uns als nötig erachtet wird, um die unter Abschnitt IV. genannten Zwecke zu erreichen und wie dies nach anwendbarem Recht zulässig ist (Artikel 5 Absatz 1 lit. e DSGVO). Wir speichern Ihre personenbezogenen Daten, solange gesetzliche Aufbewahrungspflichten bestehen oder Verjährungsfristen potentieller Rechtsansprüche noch nicht abgelaufen sind.   V.            Ihre Rechte Sie haben das Recht auf Auskunft gemäß Artikel 15 DSGVO, das Recht auf Berichtigung gemäß Artikel 16 DSGVO, das Recht auf Löschung gemäß Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO sowie das Recht auf Widerspruch gemäß Artikel 21 DSGVO. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an eine der unter Abschnitt I und II genannten Kontaktdaten. Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich darüber hinaus bei einer Aufsichtsbehörde beschweren.           Einwilligungserklärung des Kunden gegenüber einem Kfz-Betrieb Datenschutzhinweis gemäß Artikel 13 Datenschutzgrundverordnung (DS-GVO) und Einwilligungserklärung des Kunden zu Werbezwecken   Unser Unternehmen nimmt den Schutz der Kundendaten ernst und möchte, dass sich jeder Kunde beim Besuch unserer Geschäftsräume wohl fühlt. Der Schutz der individuellen Privatsphäre bei der Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen, das wir bei unseren Geschäftsprozessen mit hoher Aufmerksamkeit berücksichtigen. A.            Datenverarbeitung zur Vertragsabwicklung   Die Verarbeitung der von Ihnen angegebenen personenbezogenen Daten in Verbindung mit den technischen Daten Ihres Fahrzeugs durch uns (oder einen von uns beauftragten Dienstleister), ist  zur ordnungsgemäßen Abwicklung des zugrunde liegenden Vertragsverhältnisses (Probefahrt, Kaufvertrag, Finanzierungsinstitute, Versicherungen, Mietwagenfirmen )und soweit wir zu deren Erhebung gesetzlich verpflichtet sind, z.B. zur Einhaltung von Vorhaltefristen gegenüber dem Finanzamt, erforderlich. Sie beruht auf Art. 6 Abs. 1b und c) DSGVO. Die Daten werden gelöscht, sobald sie für die vorgenannten Zwecke nicht mehr erforderlich sind. Eine darüber hinausgehende, unter Abschnitt B. beschriebene Verarbeitung Ihrer personenbezogenen Daten erfolgt nur mit Ihrer Einwilligung (freiwillig).   B.            Einwilligung in die Datenverarbeitung zu Werbezwecken gemäß Artikel 6 Abs. 1 a DSGVO [  ]           Ja, ich bin damit einverstanden, dass das Autohaus (ggf. unter Einschaltung eines beauftragten  Dienstleisters ), meine personenbezogenen Daten   in Verbindung mit den technischen Daten meines Fahrzeugs zum Zwecke der Werbung (z.B. Kundeninformation und -betreuung, Einladungen zu Produktvorstellungen, Mitteilung über technische Neuerungen zu meinem Fahrzeug, Reifenwechsel, HU/AU Fälligkeit, Befragung meiner Zufriedenheit mit den Leistungen der Autowerkstatt), bis auf Widerruf verwendet.     Datenschutzhinweise gemäß Artikel 13 DSGVO auf Webseiten Der Schutz der individuellen Privatsphäre bei der Verarbeitung personenbezogener Daten ist für uns ein wichtiges Anliegen, das wir bei unseren Geschäftsprozessen mit hoher Aufmerksamkeit berücksichtigen. Daher informieren wir Sie nachstehend über die Verarbeitung Ihrer personenbezogenen Daten und die Ihnen zustehenden datenschutzrechtlichen Ansprüche und Rechte.   I.            Name und Kontaktdaten des Verantwortlichen Für die Datenverarbeitung verantwortlich ist: AutoserviceBernd Broßmann Am Agnesfeld 5 07907 Schleiz Tel:         03663-421930 Mail:       autoservice-bernd-brossmann@t-online.de   II.            Allgemeines zur Datenverarbeitung 1. Zweck der Verarbeitung von personenbezogenen Daten Soweit Sie uns personenbezogene Daten zur Verfügung gestellt haben, verwenden wir diese ausschließlich zum Zweck der technischen Administration unserer Webseiten und zur Erfüllung Ihrer Wünsche und Anforderungen, also in der Regel zur Beantwortung Ihrer Anfrage. 2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung von Ihnen einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei Sie sind, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen Ihre Interessen, Grundrechte und Grundfreiheiten das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung. 3. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten Innerhalb des Autoservice Broßmann erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung Ihrer Wünsche und Anforderungen benötigen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Eine Weitergabe oder sonstige Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragsabwicklung erforderlich ist. So kann es beispielsweise erforderlich sein, dass wir bei Bestellungen von Produkten Ihre Anschrift und Bestelldaten an unsere Lieferanten weitergeben; dies zu Abrechnungszwecken erforderlich ist; Sie zuvor eingewilligt haben. 4. Speicherdauer Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir unterliegen, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.   III.            Konkrete Datenverarbeitungen (soweit zutreffend) 1. Bereitstellung der Webseite und Erstellung von Logfiles a) Beschreibung und Umfang der Datenverarbeitung Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben: Informationen über den Browsertyp und die verwendete Version Das Betriebssystem des Nutzers Die IP-Adresse des Nutzers Datum und Uhrzeit des Zugriffs Websites, von denen das System des Nutzers auf unsere Internetseite gelangt Websites, die vom System des Nutzers über unsere Website aufgerufen werden Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt. b) Rechtsgrundlage für die Datenverarbeitung Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. c) Zweck der Datenverarbeitung Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO. d) Dauer der Speicherung Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles werden diese nach spätestens 7 Tagen gelöscht. Eine längere Speicherung durch unseren Domain Hoster 1blu kann nicht ausgeschlossen werden. Hiervon distanziert sich Autoservice Broßmann, da uns eine Einsichtname nicht möglich ist und nur auf richterlichen Beschluss eingefordert werden kann. e) Widerspruchs- und Beseitigungsmöglichkeit Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.   2. Kontaktformular und E-Mail-Kontakt a) Beschreibung und Umfang der Datenverarbeitung Auf unserer Internetseite ist kein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann. Würde ein Nutzer bei Verfügbarkeit diese Möglichkeit zur Kontaktaufnahme wahrnehmen, so würden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert werden. Diese Daten wären: Kontaktformular: E-Mail Adresse Ihre Nachricht, optional Ihr Name Rückrufbitte Telefonnummer E-Mail Adresse Ihr Name Ihre Nachricht Im Zeitpunkt der Absendung der Nachricht würden zudem folgende Daten gespeichert werden: Die IP-Adresse des Nutzers Datum und Uhrzeit der Registrierung Für die Verarbeitung der Daten würde im Rahmen des Absendevorgangs Ihre Einwilligung eingeholt und auf diese Datenschutzerklärung verwiesen werden. Alternativ ist eine Kontaktaufnahme über die bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert. Es verfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet. b) Rechtsgrundlage für die Datenverarbeitung Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Artikel 6 Abs. 1 lit. a DSGVO. Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. c) Zweck der Datenverarbeitung Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten. Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen. d) Dauer der Speicherung Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von 7 Tages gelöscht. e) Widerspruchs- und Beseitigungsmöglichkeit Sie habenjederzeit die Möglichkeit, Ihre Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nehmen Sie per E-Mail Kontakt mit uns auf, so können Sie der Speicherung Ihrer personenbezogenen Daten jederzeit widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht.   IV.            Ihre Rechte Sie haben das Recht auf Auskunft gemäß Artikel 15 DSGVO, das Recht auf Berichtigung gemäß Artikel 16 DSGVO, das Recht auf Löschung gemäß Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO sowie das Recht auf Widerspruch gemäß Artikel 21 DSGVO. Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Datenverarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an eine der unter Abschnitt I und II genannten Kontaktdaten. Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich darüber hinaus bei einer Aufsichtsbehörde beschweren.   V.          Gibt es für Sie eine Pflicht zur Bereitstellung von personenbezogenen Daten? Sie müssen diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung unserer Geschäftsbeziehung erforderlich sind und die wir für die Abwicklung des jeweiligen Auftrages benötigen. Sofern Sie uns Daten nicht zur Verfügung stellen, müssen wir den Abschluss eines Vertrages oder die Ausführung des Auftrages in der Regel ablehnen oder können einen bestehenden Vertrag nicht mehr durchführen und müssen diesen folglich beenden. Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen 1Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Art. 32 DSGVO Sicherheit der Verarbeitung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. Art. 79 DSGVO Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. 1Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. 2Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. Art. 80 DSGVO Vertretung von betroffenen Personen Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 DSGVO genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 DSGVO in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 DSGVO zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 DSGVO aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind. Art. 82 DSGVO Haftung und Recht auf Schadenersatz Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 2Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 DSGVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.