Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Die Benennung eines DSB ist in den folgenden drei Fällen obligatorisch:

• Wenn die Organisation eine Behörde ist;
• wenn die Kerntätigkeiten der Organisation in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang bestehen, z. B. Geolokalisierung über eine mobile Anwendung oder Überwachung von Einkaufszentren und öffentlichen Räumen durch Kameraüberwachung;
• wenn die Kerntätigkeit der Organisation in der groß angelegten Verarbeitung sensibler Daten oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten besteht.

Sie können jederzeit einen DSB auf freiwilliger Basis ernennen, auch wenn dies gesetzlich nicht erforderlich ist. Bitte beachten Sie, dass Sie in diesem Fall alle Bestimmungen der DSGVO bezüglich der Aufgaben und Position des Datenschutzbeauftragten einhalten müssen.
 

Weitere Informationen:

• Datenschutzbeauftragter
   

Nein, es ist nicht notwendig, Ihre Aufzeichnungen über die Verarbeitung öffentlich zu machen. Sie müssen jedoch in der Lage sein, der Datenschutzaufsichtsbehörde den Datensatz auf Anfrage zur Verfügung zu stellen.

Weitere Informationen:

• Verhalten Sie sich rechtskonform
   

Fordern Sie den EDSA auf, eine Organisation zu untersuchen und Maßnahmen gegen sie zu ergreifen, die Ihrer Ansicht nach gegen EU-Rechtsvorschriften verstößt, auch durch spezifische Technologien wie KI, soziale Medien oder Nachrichtendienste?

Im Rahmen der Datenschutzbestimmungen können Sie eine Beschwerde bei Ihrer Datenschutzbehörde (DSB) einreichen (eine Liste davon finden Sie auf unserer Website: https://edpb.europa.eu/about-edpb/our-members). Die Durchsetzung der Datenschutzvorschriften obliegt den Datenschutzbehörden. Sie können sich beispielsweise an die Datenschutzbehörde wenden, in der Sie leben oder arbeiten oder in der der mutmaßliche Verstoß stattgefunden hat.

Eine weitere Alternative besteht darin, sich an die nationalen Gerichte zu wenden, in denen Sie leben oder in denen der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter niedergelassen ist. 

Wenn die DSGVO in Ihrer Situation gilt, Sie aber nicht in Europa ansässig sind, können Sie sich immer noch bei einer Datenschutzbehörde in Europa beschweren und / oder vor Gericht gehen.

Der EDSA ist weder für die Bearbeitung spezifischer individueller Anfragen oder Beschwerden noch für die Erbringung individueller Beratungsdienste zuständig. Der EDSA ist keine supranationale Stelle, die Beschwerden untersuchen kann.

Wenn Sie sich darüber beschweren möchten, wie ein Organ, eine Agentur oder eine Einrichtung der EU Ihre personenbezogenen Daten verwendet, können Sie eine Beschwerde beim Europäischen Datenschutzbeauftragten einreichen (Kontaktdaten finden Sie auf unserer Website: https://edpb.europa.eu/about-edpb/our-members).

Bitte beachten Sie, dass wir Ihre Nachricht nicht an die nationalen Datenschutzbehörden oder den EDSB weiterleiten. Daher sollten Sie sie direkt kontaktieren.

Please note that we do not forward your message to the national DPAs or to the EDPS. Therefore, you should contact them directly.

Damit die Zustimmung als gültig gilt, muss sie sein:

• frei gegeben werden;
• spezifisch;
• informiert; und
• eindeutig sein.

Dies bedeutet, dass Einzelpersonen eine wirklich freie Wahl haben müssen, ob sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden sind oder nicht; Sie benötigen ausreichende Informationen, damit sie verstehen können, welche Daten zu welchem Zweck verarbeitet werden und wie dies geschieht; Sie benötigen auch eine ausreichende Granularität bei Einwilligungsanfragen.
Darüber hinaus sollte es eine eindeutige bejahende Handlung des Einzelnen geben (ohne vorab angekreuzte Kästchen und getrennt von den geltenden Allgemeinen Geschäftsbedingungen).
Darüber hinaus müssen Einzelpersonen in der Lage sein, ihre Einwilligung (ohne negative Folgen) frei zu widerrufen, wenn sie später ihre Meinung ändern.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

• wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
• wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Jede Organisation, unabhängig von ihrer Größe oder Branche, die im Europäischen Wirtschaftsraum (EWR) ansässig ist oder Produkte oder Dienstleistungen für Einzelpersonen im EWR anbietet, verarbeitet personenbezogene Daten, unabhängig davon, ob sie automatisiert mit der DSGVO übereinstimmen müssen. Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO. 

Beispiele für Verarbeitungsvorgänge sind die Erhebung, Aufzeichnung, Organisation, Nutzung, Änderung, Speicherung, Offenlegung, Änderung und Löschung personenbezogener Daten von Personen.

Dennoch wird die Anwendung der DSGVO nach Art, Kontext, Zwecken und Risiken der durchgeführten Verarbeitungsvorgänge moduliert. Für KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, können die Verpflichtungen weniger streng sein als für ein großes Unternehmen.

Weitere Informationen:

• Datenschutzgrundlagen
   

Zu den Aufgaben des DSB gehören unter anderem:

• die Organisation und ihre Mitarbeiter über die Einhaltung des Datenschutzes zu informieren und zu beraten;
• Überwachung der Einhaltung des Datenschutzes;
• Beratung zu Anträgen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA);
• als Kontaktstelle für die Datenschutzbehörde zu fungieren und mit dieser Datenschutzbehörde zusammenzuarbeiten;
• als Anlaufstelle für Einzelpersonen zu fungieren.

Darüber hinaus wird die Anwesenheit des DSB generell empfohlen, wenn Entscheidungen mit datenschutzrechtlichen Auswirkungen getroffen werden. Der Datenschutzbeauftragte sollte auch unverzüglich konsultiert werden, sobald eine Datenschutzverletzung oder ein anderer Vorfall aufgetreten ist.

Weitere Informationen:

• Datenschutzbeauftragter
   

Die DSGVO erlegt allen Organisationen, die personenbezogene Daten verarbeiten, Verpflichtungen auf, unabhängig davon, ob sie für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter sind.
Insbesondere sollten Sie:

• sich fragen, ob der Zweck, für den personenbezogene Daten erhoben werden können, gerechtfertigt ist, und Sie nur personenbezogene Daten erheben, die für den/die vorgesehenen Zweck(e) erforderlich sind;
• die personenbezogenen Daten der Personen auf dem neuesten Stand halten und die Daten löschen, wenn dies nicht mehr erforderlich ist;
• die Rechte des Einzelnen respektieren, indem sie diese darüber informieren, wie und warum ihre Daten verarbeitet werden, und dass sie ihre Rechte ausüben können;
• Sie prüfen, ob Sie über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Wenn Sie beabsichtigen, sich auf die Einwilligung von Einzelpersonen zu verlassen, bitten Sie um ihre Einwilligung, bevor Sie ihre personenbezogenen Daten verarbeiten;
• Sie sicherstellen, dass die personenbezogenen Daten von Einzelpersonen auf sichere Weise behandelt werden;
• Sie eine Aufzeichnung der Verarbeitungsvorgänge führen.

Die Datenverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Vertrag über die Verarbeitung Verantwortlicher festgelegt sind, und sie dürfen die Daten nicht anders als gemäß den Anweisungen des Verantwortlichen verarbeiten.

Weitere Informationen:

• Verhalten Sie sich rechtskonform
• Verantwortlicher oder Auftragsverarbeiter
• Datenschutzgrundlagen

• Jede Verarbeitung personenbezogener Daten muss rechtmäßig, fair und transparent sein.
• Personenbezogene Daten werden nur zu bestimmten, expliziten und legitimen Zwecken erhoben. Die Verarbeitung der Daten einer Person muss streng auf den ursprünglich festgelegten Zweck beschränkt sein und daher nicht für nachfolgende oder andere Zwecke verarbeitet werden, die mit den ursprünglichen Zwecken unvereinbar sind.
• Verarbeitung personenbezogener Daten müssen im Hinblick auf den vorgesehenen Zweck erforderlich und verhältnismäßig sein.
• Alle von Ihnen verarbeiteten personenbezogenen Daten müssen korrekt sein und auf dem neuesten Stand gehalten werden. Ungenaue personenbezogene Daten müssen berichtigt oder gelöscht werden.
• Die Speicherung der personenbezogenen Daten von Einzelpersonen muss zeitlich begrenzt sein, und zwar im Hinblick auf den Zweck, zu dem diese Daten erhoben und verarbeitet wurden. Als solche müssen personenbezogene Daten von Einzelpersonen gelöscht oder anonymisiert werden, sobald diese Daten nicht mehr erforderlich sind.
• Die Verarbeitung der personenbezogenen Daten muss auf sichere Weise erfolgen. In diesem Sinne müssen robuste Cybersicherheitsmaßnahmen eingerichtet werden, um sicherzustellen, dass die Daten von Einzelpersonen angemessen geschützt werden.

Schließlich ist der Controller rechenschaftspflichtig. Dies bedeutet, dass sie für die Einhaltung der oben genannten Grundsätze verantwortlich sind und in der Lage sein müssen, dies nachzuweisen.

Weitere Informationen:

• Datenschutzgrundlagen
   

Sie können personenbezogene Daten nicht für immer speichern.
Personenbezogene Daten dürfen in der Regel nur so lange gespeichert werden, wie dies angesichts der Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

In einigen Fällen kann die Speicherdauer durch spezifische Gesetze bestimmt werden, zum Beispiel legen Arbeitsvorschriften eine Speicherdauer für Gehaltsabrechnungslisten fest.

Organisationen sollten Richtlinien zur Speicherung einführen, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden. Personenbezogene Daten von Personen müssen gelöscht oder anonymisiert werden, sobald diese Daten für den Zweck, für den sie verarbeitet wurden, nicht mehr erforderlich sind. 

Weitere Informationen:

• Datenschutzgrundlagen

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Der EDSA ist nicht befugt, die Tätigkeiten der Datenschutzbehörden auf Antrag von Einzelpersonen zu überwachen.

Bitte beachten Sie, dass die Zuständigkeit für die Herausgabe allgemeiner Leitlinien nicht als ein Mechanismus verstanden werden kann, mit dem der EDSA die Aufsicht darüber ausüben kann, wie Datenschutzbehörden mit Ihrem individuellen Fall umgehen. 

Wenn Sie der Ansicht sind, dass gegen die DSGVO verstoßen wurde, und Sie mit der Antwort der Datenschutzbehörde nicht zufrieden sind, besteht die verbleibende Lösung darin, dass Sie ein Gerichtsverfahren einleiten.

Im Allgemeinen sollte jede Organisation Aufzeichnungen über ihre Verarbeitungstätigkeiten führen. Dies ist eine Bestandsaufnahme aller Verarbeitungsvorgänge und kann Ihnen helfen, korrekte Annahmen Ihrer Verantwortlichkeiten im Rahmen der DSGVO und mögliche Risiken zu treffen.
Jeder dieser Verarbeitungsvorgänge muss im Datensatz mit folgenden Angaben beschrieben werden:

• Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z. B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• wer Zugriff auf die Daten hat (die Empfänger – z. B.: die für die Rekrutierung zuständige Abteilung, den IT-Dienst, das Management, die Dienstleister, die Partner...);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR),
• soweit möglich, die Speicherdauer (der Zeitraum, für den die Daten aus betrieblicher Sicht und aus Archivierungssicht nützlich sind).
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Die Aufzeichnung der Verarbeitungstätigkeiten fällt in die Verantwortung des Managers Ihrer Organisation.
Dieser Datensatz muss der Datenschutzaufsichtsbehörde des EWR-Landes, in dem Sie tätig sind, auf Anfrage zur Verfügung stehen.
Es ist nicht erforderlich, dass Organisationen, die weniger als 250 Personen beschäftigen, nur gelegentliche Tätigkeiten in ihren Aufzeichnungen angeben (z. B. Daten, die für einmalige Veranstaltungen wie die Eröffnung eines Shops verarbeitet werden).
 

Weitere Informationen:

• Verhalten Sie sich rechtskonform

DSBs können andere Aufgaben innerhalb der Organisation erfüllen, dies darf jedoch nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB keine Position haben kann, in der er die Zwecke und Mittel der Verarbeitungstätigkeiten bestimmt. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.

Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:

• dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
• den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen darf.

Weitere Informationen:

• Datenschutzbeauftragter