European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

What is a privacy statement?

Organisations must, in the case of direct collection of personal data from the individuals concerned, provide information about the processing operations in a concise and transparent way, using understandable, easily accessible and clear and plain language. This can be done in writing (e.g. on the reverse side of a tender) or by electronic means (e.g. on a website). If the person concerned so requests, you may also provide this information orally, but you must be able to prove this afterwards.

Even when the data was collected indirectly, i.e. if you do not directly collect the personal data from an individual yourself, but for example via a third party, you must provide the same detailed information to individuals

Wie antworte ich auf einen Löschantrag?

Einzelpersonen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und in diesem Fall ist der Verantwortliche verpflichtet, die personenbezogenen Daten zu löschen. Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist und mehr Zeit benötigt wird, um dem Antrag nachzukommen, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Es ist wichtig zu beachten, dass das Recht auf Löschung nicht absolut ist. Sie gilt nicht, wenn die betreffenden Daten erforderlich sind für:

  • die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit (z. B. für journalistische Zwecke);
  • die Erfüllung einer gesetzlichen Verpflichtung, die die Verarbeitung personenbezogener Daten erfordert (z. B. Verarbeitung von Aufzeichnungen über die Arbeitszeit der Arbeitnehmer);
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit
  • Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;
  • oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Weitere Informationen:

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Kann ich Telefongespräche mit Kunden aufnehmen, um die Servicequalität zu verbessern, und benötige ich hierfür eine Einwilligung?

Ja, Ihre Kunden müssen bei einem Telefonat über die Zwecke der Aufzeichnung, die Empfänger der Aufzeichnungen, ihr Widerspruchsrecht und ihr Recht auf Zugang zu den Aufzeichnungen informiert werden.

Weitere Informationen:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Was bedeutet die Verarbeitung personenbezogener Daten?

Die Verarbeitung personenbezogener Daten ist jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten von Einzelpersonen durchgeführt wird. Dies umfasst die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

Ist es möglich, sensible Daten zu verarbeiten?

Nein, die Verarbeitung sensibler Daten ist grundsätzlich verboten, außer unter ganz bestimmten Umständen:

  • Die Person hat ihre ausdrückliche Einwilligung gegeben, dass ihre sensiblen Daten verarbeitet werden.
  • Die Verarbeitung sensibler Daten ist erforderlich, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen nachkommen kann, insbesondere im Zusammenhang mit Beschäftigung, sozialer Sicherheit und sozialem Schutz. Beispielsweise muss der für die Verarbeitung Verantwortliche möglicherweise sensible Daten einer Person verarbeiten, um feststellen zu können, ob sie Anspruch auf bestimmte Sozialleistungen oder Gehaltszulagen haben.
  • Die Verarbeitung sensibler Daten ist notwendig, um die lebenswichtigen Interessen einer Person zu schützen, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen. Wenn beispielsweise eine Person aufgrund eines Unfalls bewusstlos bleibt und eine sofortige medizinische Versorgung erfordert, müssen ihre Gesundheitsdaten möglicherweise für die angemessene medizinische Versorgung verarbeitet werden.
  • Die Verarbeitung sensibler Daten erfolgt im Rahmen der legitimen Aktivitäten einer Stiftung, Vereinigung oder einer anderen gemeinnützigen Organisation mit einem politischen, philosophischen, religiösen oder gewerkschaftlichen Ziel und nur zur Verarbeitung der personenbezogenen Daten ihrer Mitglieder, ehemaligen Mitglieder oder Personen, die regelmäßig mit ihnen in Kontakt stehen.
  • Die sensiblen Daten wurden offensichtlich von Einzelpersonen öffentlich gemacht.
  • Die Verarbeitung sensibler Daten ist im Rahmen von Gerichtsverfahren erforderlich.
  • Die Verarbeitung sensibler Daten ist für Angelegenheiten von erheblichem öffentlichen Interesse erforderlich.
  • Die Verarbeitung sensibler Daten ist im Rahmen der Präventiv- oder Arbeitsmedizin erforderlich. Zum Beispiel kann die Bewertung der sensiblen Daten einer Person, wie ihre medizinischen Daten, erforderlich sein, um ihre Arbeitsfähigkeit als Mitarbeiter zu bestimmen.
  • Die Verarbeitung sensibler Daten ist für Fragen der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten von Einzelpersonen erforderlich sein, um eine hohe Qualität der Gesundheitsversorgung und eine hohe Qualität von Medizinprodukten zu gewährleisten oder ernste Gesundheitsbedrohungen wie Viren zu bekämpfen.
  • Die Verarbeitung sensibler Daten ist für Angelegenheiten der Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten erforderlich sein, um genaue Statistiken über die Situation eines Landes in einem bestimmten Bereich bereitzustellen. 

Weitere Informationen:

Was kann ich tun, wenn der Datenverarbeiter keinen Auftragsverarbeitervertrag unterzeichnen möchte?

Ein gültiger Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist nach der DSGVO verpflichtend. Gegen eine Zuwiderhandlung kann eine Geldbuße von bis zu 10 Mio. EUR oder bis zu 2 % des Gesamtjahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Wert höher ist.

Die dänischen und slowenischen Datenschutzbehörden sowie die Europäische Kommission haben Mustervereinbarungen entwickelt.
 

Weitere Informationen:

Was soll ich tun, wenn jemand fragt, wie ich seine Daten verarbeite?

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

Wie viel Zeit habe ich, um auf eine Datenzugangs-Anfrage zu antworten?

Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag zu komplex ist und mehr Zeit für die Beantwortung benötigt wird, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Sie müssen dies kostenlos tun.

Weitere Informationen:

Fordern Sie den EDSA auf, Leitlinien zu einem bestimmten Thema herauszugeben?

Wir nehmen Ihren Vorschlag an den EDSA zur Kenntnis, diese Angelegenheit für künftige Leitlinien zu prüfen. Sie können die Themen, die derzeit im Arbeitsprogramm des EDSA enthalten sind, auf unserer Website einsehen: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programm_de.

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Zum Kontaktformular

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Benötige ich eine Einwilligung, um Cookies auf der Website meiner Organisation zu verwenden?

Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.

Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.

Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.

Weitere Informationen:

Was ist der Unterschied zwischen pseudonymisierten und anonymisierten Daten?

Die Pseudonymisierung besteht darin, personenbezogene Daten so umzuwandeln, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht dem Einzelnen zugeordnet werden. In der Praxis kann dies bedeuten, dass personenbezogene Daten (Name, Vorname, persönliche Nummer, Telefonnummer usw.) in einem Datensatz durch indirekt identifizierte Daten (Alias, fortlaufende Nummer usw.) ersetzt werden. Pseudonymisierte Daten sind nach wie vor personenbezogene Daten und unterliegen der DSGVO.

Anonymisierte Daten sind Daten, die so anonymisiert wurden, dass die Person auf irgendeine Weise nicht oder nicht mehr identifizierbar ist, die vernünftigerweise wahrscheinlich verwendet wird. Bei ordnungsgemäßer Umsetzung der Anonymisierung gilt die DSGVO nicht mehr für die anonymisierten Daten.

Weitere Informationen: