Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:

• die Gesundheit einer Person;
• die sexuelle Orientierung eines Individuums;
• die rassische oder ethnische Herkunft einer Person;
• die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
• biometrische und genetische Daten einer Person.

Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.

Weitere Informationen:

• Datenschutzgrundlagen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.

Beispiele für personenbezogene Daten sind:

• Vor- und Nachname;
• eine Wohnadresse;
• eine E-Mail-Adresse;
• eine ID-Kartennummer;
• Standortdaten;
• eine IP-Adresse (Internet Protocol),
• eine Cookie-ID;
• Bankkonten;
• Steuerberichte;
• biometrische Daten (wie Fingerabdruck);
• eine Sozialversicherungsnummer;
• Nummer des Reisepasses;
• Testergebnisse;
• Noten in der Schule;
• Browser History;
• Foto des Individuums;
• Fahrzeugkennzeichen usw.
   

Weitere Informationen:

• Datenschutzgrundlagen

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

• Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
• systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen:

• Verhalten Sie sich rechtskonform
   

Die DSGVO gibt Einzelpersonen die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Um dies zu erreichen, ist Transparenz der Schlüssel. Dies bedeutet, dass Sie Personen informieren müssen, deren Daten Sie über Ihre Verarbeitungsvorgänge und die Zwecke verarbeiten. Mit anderen Worten, Sie müssen erklären, wer ihre Daten verarbeitet, aber auch wie und warum. Nur wenn die Verwendung personenbezogener Daten für die Beteiligten „transparent“ ist, können sie mögliche Risiken einschätzen und Entscheidungen über ihre personenbezogenen Daten treffen.
Gemäß der DSGVO sind Sie verpflichtet, die folgenden Informationen mit Einzelpersonen zu teilen:

• die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Zwecke der Verarbeitung;
• Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.)
• die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Kontaktdaten des DSB (wenn es einen DSB gibt);
• die Empfänger oder Kategorien von Empfängern der Daten;
• Informationen darüber, ob die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (falls zutreffend: das Bestehen oder Nichtvorliegen einer Angemessenheitsentscheidung oder Bezugnahme auf die geeigneten Garantien und wie diese Informationen den betroffenen Personen zur Verfügung gestellt werden können;
• die Kategorien der verarbeiteten personenbezogenen Daten, wenn die Daten nicht von der Person bezogen werden.

Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:

• die Aufbewahrungsfrist oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums;
• das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Übertragbarkeit personenbezogener Daten
• das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;
• wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist: das Recht, die Einwilligung jederzeit zu widerrufen;
• im Falle einer automatisierten Entscheidungsfindung relevante Informationen über die zugrundeliegende Logik und die beabsichtigten Folgen der Verarbeitung für die betroffene Person;
• die Quelle der personenbezogenen Daten (wenn Sie sie nicht direkt von der betroffenen Person erhalten haben;
• ob die Person verpflichtet ist, die personenbezogenen Daten (gesetzlich oder vertraglich oder vertraglich) zur Verfügung zu stellen, und welche Folgen die Verweigerung der Daten hat.
   

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die Verarbeitung personenbezogener Daten ist jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten von Einzelpersonen durchgeführt wird. Dies umfasst die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

DSBs können andere Aufgaben innerhalb der Organisation erfüllen, dies darf jedoch nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB keine Position haben kann, in der er die Zwecke und Mittel der Verarbeitungstätigkeiten bestimmt. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.

Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:

• dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
• den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen darf.

Weitere Informationen:

• Datenschutzbeauftragter
   

Ein gültiger Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist nach der DSGVO verpflichtend. Gegen eine Zuwiderhandlung kann eine Geldbuße von bis zu 10 Mio. EUR oder bis zu 2 % des Gesamtjahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Wert höher ist.

Die dänischen und slowenischen Datenschutzbehörden sowie die Europäische Kommission haben Mustervereinbarungen entwickelt.
 

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Zu den Aufgaben des DSB gehören unter anderem:

• die Organisation und ihre Mitarbeiter über die Einhaltung des Datenschutzes zu informieren und zu beraten;
• Überwachung der Einhaltung des Datenschutzes;
• Beratung zu Anträgen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA);
• als Kontaktstelle für die Datenschutzbehörde zu fungieren und mit dieser Datenschutzbehörde zusammenzuarbeiten;
• als Anlaufstelle für Einzelpersonen zu fungieren.

Darüber hinaus wird die Anwesenheit des DSB generell empfohlen, wenn Entscheidungen mit datenschutzrechtlichen Auswirkungen getroffen werden. Der Datenschutzbeauftragte sollte auch unverzüglich konsultiert werden, sobald eine Datenschutzverletzung oder ein anderer Vorfall aufgetreten ist.

Weitere Informationen:

• Datenschutzbeauftragter
   

Die Einhaltung der DSGVO wird von den nationalen Datenschutzaufsichtsbehörden überwacht. Datenschutzaufsichtsbehörden können Ermittlungen durchführen und gegebenenfalls Sanktionen verhängen. Ihnen stehen eine Reihe von Instrumenten zur Verfügung, darunter Geldbußen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist, Verweise und vorübergehende oder dauerhafte Verarbeitungsverbote.

Die Kontaktdaten aller Datenschutzaufsichtsbehörden des EWR finden Sie auf der Website des EDSA: Mitglieder

Weitere Informationen:

• Datenschutzbehörden & Sie