1. Rechte betroffener Personen
Betroffene Personen haben nach Art. 15 DSGVO das Recht auf Auskunft darüber, ob und welche personenbezogenen Daten verarbeitet werden, für welche Zwecke dies geschieht, an welche Empfänger die Daten übermittelt werden, wie lange sie gespeichert werden und welche Herkunft, Drittlandbezüge oder Entscheidungslogiken gegebenenfalls vorliegen.
Nach Art. 16 DSGVO besteht das Recht auf Berichtigung unrichtiger Daten und auf Vervollständigung unvollständiger Angaben. Unter den Voraussetzungen des Art. 17 DSGVO kann Löschung verlangt werden; gesetzliche Aufbewahrungspflichten, berechtigte Nachweisinteressen oder überwiegende Rechtsgründe können einer sofortigen Löschung entgegenstehen.
Nach Art. 18 DSGVO kann unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangt werden. Nach Art. 20 DSGVO kann bei Vorliegen der gesetzlichen Voraussetzungen die Herausgabe bereitgestellter Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangt werden. Soweit eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, kann aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, Widerspruch eingelegt werden.
2. Widerruf von Einwilligungen
Freiwillig erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Der Widerruf freiwilliger Einwilligungen darf nicht dazu führen, dass vertraglich notwendige Basisfunktionen ohne rechtliche Grundlage weiter eingeschränkt werden; vielmehr ist jeweils zu unterscheiden, ob eine Verarbeitung optional oder zur Vertragserfüllung erforderlich war.
3. Beschwerderecht und Kontaktwege
Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Österreich ist dies die Datenschutzbehörde; in Deutschland kommen je nach Sitz oder Verarbeitungskontext die zuständigen Landesaufsichtsbehörden oder im Bundesbereich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Betracht; in Italien der Garante per la protezione dei dati personali; in der Schweiz der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
Datenschutzanfragen können an kinovo@kinovo.at gerichtet werden. Für den Live-Betrieb ist ein internes Bearbeitungsmodell mit Zuständigkeiten, Identitätsprüfung, Fristenkontrolle, Dokumentation und Antwortvorlagen einzurichten.
4. Interne Governance
Für eine rechtssichere operative Umsetzung empfiehlt sich insbesondere ein Verzeichnis von Verarbeitungstätigkeiten, eine Rechtsgrundlagen- und Datenmatrix, ein Rollen- und Berechtigungskonzept, ein Lösch- und Archivierungskonzept, ein Einwilligungsnachweiskonzept, ein Verfahren zur Bearbeitung von Betroffenenrechten und — für sensible Module — eine Datenschutz-Folgenabschätzung.