European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

What should I do in case of a data breach?

A personal data breach is a security breach leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

  • If the data breach poses a risk to the individuals concerned, you must report it to the relevant data protection authority within 72 hours.
  • If the breach is likely to result in a high risk to individuals, you will also need to communicate that breach to the individuals concerned without undue delay.

In any case, for all breaches – even those that are not notified to a DPA - you must record at least the basic details of the breach, the assessment thereof, its effects, and the steps taken in response.

More information:

Wie kann ich die Datenschutzrechte von Einzelpersonen respektieren?

Die DSGVO sieht spezifische Rechte für Einzelpersonen vor, die respektiert werden müssen. Sie können dies tun durch:

  • Information der Personen, deren Daten Sie verarbeiten über Ihre Verarbeitungsvorgänge und die Verarbeitungszwecke bei der Erhebung ihrer Daten, beispielsweise über eine Datenschutzerklärung auf Ihrer Website;
  • Beantwortung von Anträgen von Einzelpersonen auf Ausübung ihrer Rechte wie Zugang, Berichtigung, Widerspruch, Löschung oder Portabilitätsersuchen.

Organisationen, die in Bezug auf ihre Verwendung personenbezogener Daten transparent sind und die Rechte von Einzelpersonen respektieren, sind seltener Ziel von Beschwerden.

Weitere Informationen:

Möchten Sie die Rechte betroffener Personen (Löschung, Berichtigung, Zugang) auf im Schengener Informationssystem (SIS) gespeicherte personenbezogene Daten ausüben?

Der innerhalb des EDSA bestehende Ausschuss für die Koordinierungsaufsicht (CSC) koordiniert die Überwachung der Verarbeitung personenbezogener Daten im Schengener Informationssystem (SIS). Die einschlägigen EU-Rechtsvorschriften sind die Verordnung (EU) 2018/1862 (insbesondere Artikel 71) und die Verordnung (EU) 2018/1861 (insbesondere Artikel 57).

Für personenbezogene Daten, die im SIS enthalten sind, haben Sie ein Recht auf Zugang, Berichtigung und Löschung. Zu diesen Rechten gehören:

  • das Recht zu erfahren, ob Sie betreffende Informationen im SIS verarbeitet werden;
  • das Recht auf Zugang zu diesen Daten;
  • das Recht auf Berichtigung unrichtiger Daten oder Löschung, wenn diese Daten unrechtmäßig gespeichert wurden; und
  • Das Recht, bei Gerichten, Ihrer Datenschutzbehörde und/oder zuständigen Behörden tätig zu werden, um Sie betreffende Daten zu berichtigen oder zu löschen oder eine Entschädigung zu erhalten.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an Ihre zuständige nationale Behörde in dem Schengen-Land Ihrer Wahl. Weitere Informationen über die zuständigen nationalen Behörden und die Datenschutzbehörde in den einzelnen Schengen-Ländern finden Sie im „Leitfadenfür die Ausübung der Rechte betroffener Personen“, der auf unserer Website abrufbar ist. Dort finden Sie auch Musterbriefe, die Sie bei der Ausübung Ihrer Rechte unterstützen. 

Bitte beachten Sie, dass der EDSA nicht für die Bearbeitung einzelner Beschwerden oder Ersuchen zuständig ist. Außerdem hat der EDSA keinen Zugang zum Inhalt dieser Informationssysteme und Datenbanken.

Weitere Informationen zur Ausübung Ihrer Rechte finden Sie auf unserer Website https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_de.

Wie kann ich mit der Arbeit des EDSA Schritt halten?

Der EDSA veröffentlicht regelmäßig Pressemitteilungen, Nachrichten, Blogs und andere Inhalte auf der EDSA-Website und seinen Social-Media-Kanälen (Twitter: @EU_EDPB; LinkedIn: Europäischer Datenschutzausschuss), um die Datenschutzgemeinschaft und die Öffentlichkeit über ihre Arbeit auf dem neuesten Stand zu halten.

Die EDPB-Website verfügt außerdem über zwei RSS-Feeds, die Sie für automatische Updates zu EDPB- Nachrichten und den neuesten Veröffentlichungen des EDSA abonnieren können.

Was ist die DSGVO?

Mit der DSGVO oder der Datenschutz-Grundverordnung wird ein harmonisiertes Regelwerk geschaffen, das für die Verarbeitung personenbezogener Daten durch im Europäischen Wirtschaftsraum (EWR) ansässige Organisationen (öffentlich oder privat, unabhängig von ihrer Größe) oder für Einzelpersonen in der EU gilt. Das Hauptziel der DSGVO besteht darin, sicherzustellen, dass personenbezogene Daten überall im EWR denselben hohen Schutzstandard genießen, die Rechtssicherheit sowohl für Einzelpersonen als auch für Organisationen, die Daten verarbeiten, erhöhen und ein hohes Maß an Schutz für Einzelpersonen bieten.

Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Gilt die DSGVO auch für Papieraufzeichnungen?

Ja, die DSGVO gilt, wenn die personenbezogenen Daten in einem Ablagesystem enthalten sind oder sein sollen. Dies bedeutet, dass die DSGVO auch für Papieraufzeichnungen gilt und nicht nur für die automatisierte Verarbeitung personenbezogener Daten.

Weitere Informationen:

Was ist Gemeinsame Verantwortlichkeit?

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

  • Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

Weitere Informationen:

Ich organisiere im Rahmen meiner geschäftlichen Aktivitäten eine Veranstaltung, kann ich Fotos und Videos von der Veranstaltung und den Teilnehmern machen?

Ja, aber um dies zu tun, müssen Sie zunächst die Rechtsgrundlage für die Verarbeitung dieser Art von personenbezogenen Daten festlegen. Zum Beispiel könnte die Verarbeitung als berechtigtes Interesse für Ihre Organisation angesehen werden. Bei der Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses ist es immer notwendig, einen Abwägungstest durchzuführen, um festzustellen, ob Ihre berechtigten Interessen die Rechte des Einzelnen überwiegen, insbesondere, wenn Kinder beteiligt sind.

Eine weitere mögliche Rechtsgrundlage für eine solche Verarbeitung könnte die Einwilligung sein. Auf jeden Fall sollten Einzelpersonen immer im Voraus darüber informiert werden, dass die Veranstaltung fotografiert oder gefilmt wird.

Weitere Informationen:

Wenn ich Lebensläufe von Bewerbern für zukünftige Einstellungsverfahren speichern möchte, muss ich dann um die Zustimmung der Bewerber bitten?

Die Zustimmung könnte in der Tat eine gültige Rechtsgrundlage für die Speicherung der Lebensläufe der Bewerber sein. Eine weitere mögliche Rechtsgrundlage könnte ein berechtigtes Interesse sein. In diesem Fall müssten Sie einen Abwägungstest durchführen, um nachzuweisen, dass die berechtigten Interessen Ihrer Organisation die Rechte der Antragsteller überwiegen.

Auf jeden Fall müssen Sie die Kandidaten darüber informieren, dass Sie ihre Daten speichern möchten und zu welchen Zwecken.

Weitere Informationen:

Schreiben Sie über ein Nicht-EU-Land, das anerkanntermaßen ein angemessenes Datenschutzniveau bietet (Angemessenheitsbeschlüsse)?

Die Europäische Kommission kann entscheiden, ob ein Land außerhalb Europas (oder eine internationale Organisation) ein „angemessenes“ Datenschutzniveau bietet, das den Datenverkehr zwischen Europa und diesem Land erleichtert. 

Der EDSA ist dafür zuständig, vor dem Beschluss der Europäischen Kommission Stellungnahmen zu den Entwürfen von Angemessenheitsbeschlüssen abzugeben. Die Stellungnahmen sind für die Europäische Kommission nicht bindend, aber in der Regel nützlich für die anderen Organisationen, die in diesem Rahmen konsultiert werden, wie die EU-Mitgliedstaaten.

Darüber hinaus ist die Europäische Kommission für die Überwachung von Entwicklungen in außereuropäischen Ländern zuständig, die sich auf Angemessenheitsentscheidungen auswirken könnten. Einige Angemessenheitsbeschlüsse sehen eine besondere Ordnungsmäßigkeit für die Überprüfung des Beschlusses vor und können sich auf die Möglichkeit für Vertreter des EDSA beziehen, an dem von der Europäischen Kommission organisierten Überprüfungsverfahren teilzunehmen.

Bitte beachten Sie auch, dass die Europäischen Datenschutzbehörden Personen in Bezug auf Datenübermittlungen im Rahmen eines Angemessenheitsbeschlusses schützen können (eine Liste davon finden Sie auf unserer Website: https://edpb.europa.eu/about-edpb/our-members).

Wenn Sie der Ansicht sind, dass ein bestehender Angemessenheitsbeschluss nicht mit Ihren Grundrechten auf Privatsphäre und Datenschutz im Einklang steht, können Sie eine Beschwerde bei Ihrer Datenschutzbehörde einreichen, die diese Einwände bei einem nationalen Gericht einreichen kann, das möglicherweise verpflichtet ist, den Gerichtshof um Vorabentscheidung zu ersuchen (siehe Artikel 58 Absatz 5 DSGVO und Urteil des EuGH in der Rechtssache C-362/14).

Weitere Informationen finden Sie unter: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Kann ich personenbezogene Daten nur verarbeiten, wenn ich die Einwilligung der Person habe?

Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine Rechtsgrundlage dafür besteht. Neben der unentgeltlichen, spezifischen, informierten und eindeutigen Einwilligung können andere Rechtsgrundlagen für die Verarbeitung genutzt werden.
Mit anderen Worten, eine Einwilligung ist erforderlich, wenn keine der anderen Rechtsgrundlagen zutrifft.
 

Weitere Informationen:

Muss ich zertifiziert sein, um Datenschutzbeauftragter (DSB) zu werden?

Nein, Sie müssen nicht zertifiziert sein, um ein DSB zu werden.

DSBs müssen jedoch nachweisen können, dass sie über die erforderlichen Qualifikationen verfügen, die nach der DSGVO erforderlich sind, wie z. B. Expertenwissen über Datenschutzgesetze und -praktiken.

Weitere Informationen:

Was ist eine Datenschutz-Folgenabschätzung und wann ist diese obligatorisch?

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

  • die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
  • eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
  • systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen:

What are the legal basics for processing under the GDPR?

Data controllers can only process personal data in one of the following circumstances:

  • with the consent of the individuals concerned;
  • where processing is necessary for the performance of a contract (a contract between your organisation and an individual);
  • to meet a legal obligation under EU or national legislation;
  • where processing is necessary for the performance of a task carried out in the public interest under EU or national legislation;
  • to protect the vital interests of an individual;
  • for your organisation’s legitimate interests - except where they are overridden by the rights and freedoms of individuals.

In addition, the GDPR establishes additional conditions for the processing of sensitive data.

More information:

Müssen Datenverarbeiter auch die DSGVO einhalten?

Ja, Datenverarbeiter (d. h. Einzelpersonen oder Stellen, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeiten), haben Verpflichtungen gemäß der DSGVO. Es gibt jedoch einige Unterschiede zwischen den Verantwortlichkeiten für die Datenverantwortlichen und Auftragsverarbeiter.

Die Auftragsverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Auftragsverarbeitervertrag festgelegt sind, in dem die Verarbeitungsvorgänge und -mittel zur Verarbeitung personenbezogener Daten aufgeführt sind. Zum Beispiel muss der Auftragsverarbeiter die Verarbeitungsvorgänge mit den entsprechenden technischen und organisatorischen Maßnahmen durchführen, die vom für die Verarbeitung Verantwortlichen angeordnet wurden. Dabei unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der DSGVO.

Weitere Informationen:

Was sollte in einem Auftragsverarbeitervertrag enthalten sein?

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

  • die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
  • sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
  • die Sicherheit der Verarbeitung gewährleistet;
  • keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
  • den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
  • den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
  • auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
  • dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
  • Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

Weitere Informationen:

Kann ich personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln?

Im Rahmen der DSGVO gibt es grundsätzlich zwei Möglichkeiten, personenbezogene Daten an ein Land außerhalb des EWR oder an eine internationale Organisation zu übermitteln. Übertragungen können auf der Grundlage eines Angemessenheitsbeschlusses oder, in Ermangelung einer solchen Entscheidung, auf der Grundlage geeigneter Garantien, einschließlich durchsetzbarer Rechte und Rechtsbehelfe für Einzelpersonen, erfolgen.

Weitere Informationen:

Ist der Datenschutzbeauftragte (DSB) für die Einhaltung der DSGVO verantwortlich?

Der Datenschutzbeauftragte kann nicht für die Nichteinhaltung der DSGVO verantwortlich gemacht werden. Die Einhaltung der DSGVO liegt in der Verantwortung der Organisation, die den DSB bestellt hat.

Weitere Informationen: