Frequently Asked Questions

Die DSGVO unterscheidet zwischen zwei Hauptrollen: die des Datenverantwortlichen und des Datenverarbeiters. Diese Unterscheidung ist entscheidend, da der Verantwortliche mehr Verantwortung trägt und mehr Pflichten erfüllen muss als der Auftragsverarbeiter.
Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein, z. B.: ein KMU, eine Behörde, ein Unternehmen, eine Organisation, eine staatliche Einrichtung, eine Vereinigung usw.
Ein Verantwortlicher bestimmt die Zwecke und Mittel eines Verarbeitungsvorgangs. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Verarbeitungsvorgangs. Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen. Die Verarbeitung durch Auftragsverarbeiter muss durch einen Vertrag mit dem für die Verarbeitung Verantwortlichen oder durch einen anderen Rechtsakt geregelt werden.

Beispiele für Datenverantwortliche:

• Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, um einen Verkauf abzuschließen;
• Finanzinstitute, die personenbezogene Daten ihrer Kunden verarbeiten;
• Vereinigungen, die die Daten ihrer Mitglieder verarbeiten;
• Schulen oder Universitäten, die personenbezogene Daten von Schülern und Lehrkräften verarbeiten;
• Krankenhäuser, die personenbezogene Daten ihrer Patienten verarbeiten;
• Behörden, die personenbezogene Daten von Bürgern verarbeiten.

Beispiele für Datenverarbeiter:

• ein KMU stellt einen Buchhaltungsdienst ein, um seine Bücher und Aufzeichnungen zu führen, das KMU ist ein Datenverantwortlicher und der Buchhaltungsdienst ein Datenverarbeiter;
• ein Lohnabrechnungsunternehmen verarbeitet personenbezogene Daten für ein KMU. Die Lohnabrechnungsgesellschaft fungiert als Auftragsverarbeiter, wenn sie die personenbezogenen Daten ausschließlich im Auftrag des KMU verarbeitet. Das KMU bestimmt die Zwecke und Mittel der Datenverarbeitung und ist daher für die Datenverarbeitung verantwortlich.
• ein KMU beauftragt ein Marketingunternehmen, E-Mail-Adressen über Websites Dritter zu sammeln.  Das Marketingunternehmen tut dies gemäß den ausdrücklichen Anweisungen des KMU und für die ausschließlichen Zwecke des KMU. Das Marketingunternehmen fungiert als Verarbeiter für diese Sammlung.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter

Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:

• die Gesundheit einer Person;
• die sexuelle Orientierung eines Individuums;
• die rassische oder ethnische Herkunft einer Person;
• die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
• biometrische und genetische Daten einer Person.

Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.

Weitere Informationen:

• Datenschutzgrundlagen

The DPO can be an existing employee with sufficient knowledge of GDPR (if the professional tasks of the employee are compatible with those of the DPO and this does not lead to conflicts of interest) or an external person. The DPO should be able to carry out tasks independently and should be able to report directly to the highest management.

More information:

• Data Protection Officer

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.

Beispiele für personenbezogene Daten sind:

• Vor- und Nachname;
• eine Wohnadresse;
• eine E-Mail-Adresse;
• eine ID-Kartennummer;
• Standortdaten;
• eine IP-Adresse (Internet Protocol),
• eine Cookie-ID;
• Bankkonten;
• Steuerberichte;
• biometrische Daten (wie Fingerabdruck);
• eine Sozialversicherungsnummer;
• Nummer des Reisepasses;
• Testergebnisse;
• Noten in der Schule;
• Browser History;
• Foto des Individuums;
• Fahrzeugkennzeichen usw.
   

Weitere Informationen:

• Datenschutzgrundlagen

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Stellen Sie sicher, dass die von Ihnen erhaltenen Daten rechtmäßig erhoben wurden und dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden.
2. Für den Fall, dass ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet, stellen Sie sicher, dass Sie einen Vertrag über die Auftragsverarbeitung haben, der die Verarbeitungsvorgänge und die Mittel zur Verarbeitung personenbezogener Daten beschreibt.

Und natürlich müssen Sie alle Pflichten als der für die Verarbeitung Verantwortliche einhalten.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Die erforderlichen Sicherheitsmaßnahmen können je nach Art der von Ihnen verarbeiteten personenbezogenen Daten und den damit verbundenen Risiken für Einzelpersonen unterschiedlich sein. In jedem Fall gibt es einige Mindestmaßnahmen, die Sie ergreifen sollten:

• sicherer Zugang zu den Räumlichkeiten;
• regelmäßig aktualisierte Antivirensoftware verwenden;
• wählen Sie sorgfältig Ihre Passwörter aus;
• sorgen Sie dafür, dass sich die Benutzer authentifizieren, bevor Sie die Computereinrichtungen nutzen;
• haben Sie eine Datensicherungs- und Abrufrichtlinie im Falle eines Vorfalls.

Darüber hinaus sind einige grundlegende Maßnahmen wie das Sperren ihres Bildschirms, während sie abwesend sind, und das Zuschließen des Büros am Ende des Tages immer geeignete Sicherheitsmaßnahmen…

Weitere Informationen:

• Sichere personenbezogene Daten

Die Veröffentlichung der Namen der Gewinner eines Gewinnspiels auf Ihrer Website könnte als berechtigtes Interesse angesehen werden, wenn Sie dies durch eine Abwägungsprüfung nachweisen können, um festzustellen, ob Ihre berechtigten Interessen das Recht des Einzelnen überwiegen.

Eine bewährte Praxis wäre die Einrichtung eines internen Verfahrens, in dem die Regeln für die Veröffentlichung personenbezogener Daten der Gewinner erläutert werden.

Darüber hinaus sollte die Verarbeitung personenbezogener Daten für diese Zwecke Teil der Datenschutzerklärung des Wettbewerbs sein, damit die Teilnehmer im Voraus darüber informiert werden, wie ihre Daten verarbeitet werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Der EDSA bietet Bürgern oder privaten/öffentlichen Organisationen keine maßgeschneiderte Rechtsberatung zur Anwendung des Datenschutzrechts in bestimmten Fällen. 

Die Hauptaufgabe des EDSA besteht darin, allgemeine Leitlinien und Stellungnahmen abzugeben. Alle angenommenen Leitlinien und Stellungnahmen können hier eingesehen werden: Leitlinien, Empfehlungen, bewährte Verfahren und Stellungnahmen. Wir empfehlen auch, den Datenschutzleitfaden für kleine Unternehmen zu lesen. Dieser Leitfaden wird Ihnen helfen, wichtige Datenschutzkonzepte, die Rechte von Personen gemäß der DSGVO, Compliance-Anforderungen, Sicherheitsmaßnahmen und den Umgang mit Datenschutzverletzungen zu verstehen.

Weitere Informationen zur Rolle des EDSA und zur Anwendung der DSGVO finden Sie auch hier: Frequently Asked Questions.

Wir laden Sie auch ein, die Websites der Datenschutzbehörde in Ihrem Land zu konsultieren. Die Links zu den Websites unserer Mitglieder finden Sie hier: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Ja, das können Sie. Aber die DSGVO verpflichtet Unternehmen, die personenbezogene Daten teilen. Ihre Organisation muss Einzelpersonen darüber informieren, dass Sie ihre Daten an Dritte weitergeben. Sie müssen sie auch über Ihre Zwecke, Sicherheit, Zugang und die geltenden Aufbewahrungsmaßnahmen informieren.

Zum gleichen Thema:

• Was sind personenbezogene Daten?