Häufig gestellte Fragen
Wer ist Datenverantwortlicher und wer ist Datenverarbeiter?
Die DSGVO unterscheidet zwischen zwei Hauptrollen: die des Datenverantwortlichen und des Datenverarbeiters. Diese Unterscheidung ist entscheidend, da der Verantwortliche mehr Verantwortung trägt und mehr Pflichten erfüllen muss als der Auftragsverarbeiter.
Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein, z. B.: ein KMU, eine Behörde, ein Unternehmen, eine Organisation, eine staatliche Einrichtung, eine Vereinigung usw.
Ein Verantwortlicher bestimmt die Zwecke und Mittel eines Verarbeitungsvorgangs. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Verarbeitungsvorgangs. Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen. Die Verarbeitung durch Auftragsverarbeiter muss durch einen Vertrag mit dem für die Verarbeitung Verantwortlichen oder durch einen anderen Rechtsakt geregelt werden.
Beispiele für Datenverantwortliche:
- Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, um einen Verkauf abzuschließen;
- Finanzinstitute, die personenbezogene Daten ihrer Kunden verarbeiten;
- Vereinigungen, die die Daten ihrer Mitglieder verarbeiten;
- Schulen oder Universitäten, die personenbezogene Daten von Schülern und Lehrkräften verarbeiten;
- Krankenhäuser, die personenbezogene Daten ihrer Patienten verarbeiten;
- Behörden, die personenbezogene Daten von Bürgern verarbeiten.
Beispiele für Datenverarbeiter:
- ein KMU stellt einen Buchhaltungsdienst ein, um seine Bücher und Aufzeichnungen zu führen, das KMU ist ein Datenverantwortlicher und der Buchhaltungsdienst ein Datenverarbeiter;
- ein Lohnabrechnungsunternehmen verarbeitet personenbezogene Daten für ein KMU. Die Lohnabrechnungsgesellschaft fungiert als Auftragsverarbeiter, wenn sie die personenbezogenen Daten ausschließlich im Auftrag des KMU verarbeitet. Das KMU bestimmt die Zwecke und Mittel der Datenverarbeitung und ist daher für die Datenverarbeitung verantwortlich.
- ein KMU beauftragt ein Marketingunternehmen, E-Mail-Adressen über Websites Dritter zu sammeln. Das Marketingunternehmen tut dies gemäß den ausdrücklichen Anweisungen des KMU und für die ausschließlichen Zwecke des KMU. Das Marketingunternehmen fungiert als Verarbeiter für diese Sammlung.
Weitere Informationen:
Muss ich meine Aufzeichnungen über die Verarbeitung öffentlich machen?
Nein, es ist nicht notwendig, Ihre Aufzeichnungen über die Verarbeitung öffentlich zu machen. Sie müssen jedoch in der Lage sein, der Datenschutzaufsichtsbehörde den Datensatz auf Anfrage zur Verfügung zu stellen.
Weitere Informationen:
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.
Beispiele für personenbezogene Daten sind:
- Vor- und Nachname;
- eine Wohnadresse;
- eine E-Mail-Adresse;
- eine ID-Kartennummer;
- Standortdaten;
- eine IP-Adresse (Internet Protocol),
- eine Cookie-ID;
- Bankkonten;
- Steuerberichte;
- biometrische Daten (wie Fingerabdruck);
- eine Sozialversicherungsnummer;
- Nummer des Reisepasses;
- Testergebnisse;
- Noten in der Schule;
- Browser History;
- Foto des Individuums;
- Fahrzeugkennzeichen usw.
Weitere Informationen:
Was ist die DSGVO?
Mit der DSGVO oder der Datenschutz-Grundverordnung wird ein harmonisiertes Regelwerk geschaffen, das für die Verarbeitung personenbezogener Daten durch im Europäischen Wirtschaftsraum (EWR) ansässige Organisationen (öffentlich oder privat, unabhängig von ihrer Größe) oder für Einzelpersonen in der EU gilt. Das Hauptziel der DSGVO besteht darin, sicherzustellen, dass personenbezogene Daten überall im EWR denselben hohen Schutzstandard genießen, die Rechtssicherheit sowohl für Einzelpersonen als auch für Organisationen, die Daten verarbeiten, erhöhen und ein hohes Maß an Schutz für Einzelpersonen bieten.
Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018.
Wie kann ich mit der Arbeit des EDSA Schritt halten?
Der EDSA veröffentlicht regelmäßig Pressemitteilungen, Nachrichten, Blogs und andere Inhalte auf der EDSA-Website und seinen Social-Media-Kanälen (Twitter: @EU_EDPB; LinkedIn: Europäischer Datenschutzausschuss), um die Datenschutzgemeinschaft und die Öffentlichkeit über ihre Arbeit auf dem neuesten Stand zu halten.
Die EDPB-Website verfügt außerdem über zwei RSS-Feeds, die Sie für automatische Updates zu EDPB- Nachrichten und den neuesten Veröffentlichungen des EDSA abonnieren können.
Benötige ich eine Aufzeichnung der Verarbeitung?
Im Allgemeinen sollte jede Organisation Aufzeichnungen über ihre Verarbeitungstätigkeiten führen. Dies ist eine Bestandsaufnahme aller Verarbeitungsvorgänge und kann Ihnen helfen, korrekte Annahmen Ihrer Verantwortlichkeiten im Rahmen der DSGVO und mögliche Risiken zu treffen.
Jeder dieser Verarbeitungsvorgänge muss im Datensatz mit folgenden Angaben beschrieben werden:
- Zweck der Verarbeitung (z. B. Kundenbindung);
- die Kategorien der verarbeiteten Daten (z. B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
- wer Zugriff auf die Daten hat (die Empfänger – z. B.: die für die Rekrutierung zuständige Abteilung, den IT-Dienst, das Management, die Dienstleister, die Partner...);
- gegebenenfalls Informationen über die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR),
- soweit möglich, die Speicherdauer (der Zeitraum, für den die Daten aus betrieblicher Sicht und aus Archivierungssicht nützlich sind).
- wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.
Die Aufzeichnung der Verarbeitungstätigkeiten fällt in die Verantwortung des Managers Ihrer Organisation.
Dieser Datensatz muss der Datenschutzaufsichtsbehörde des EWR-Landes, in dem Sie tätig sind, auf Anfrage zur Verfügung stehen.
Es ist nicht erforderlich, dass Organisationen, die weniger als 250 Personen beschäftigen, nur gelegentliche Tätigkeiten in ihren Aufzeichnungen angeben (z. B. Daten, die für einmalige Veranstaltungen wie die Eröffnung eines Shops verarbeitet werden).
Weitere Informationen:
Kann ich eine Liste der personenbezogenen Daten von Einzelpersonen an meine Geschäftspartner (Dritte) weitergeben?
Ja, das können Sie. Aber die DSGVO verpflichtet Unternehmen, die personenbezogene Daten teilen. Ihre Organisation muss Einzelpersonen darüber informieren, dass Sie ihre Daten an Dritte weitergeben. Sie müssen sie auch über Ihre Zwecke, Sicherheit, Zugang und die geltenden Aufbewahrungsmaßnahmen informieren.
Zum gleichen Thema:
Was ist der Unterschied zwischen pseudonymisierten und anonymisierten Daten?
Die Pseudonymisierung besteht darin, personenbezogene Daten so umzuwandeln, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht dem Einzelnen zugeordnet werden. In der Praxis kann dies bedeuten, dass personenbezogene Daten (Name, Vorname, persönliche Nummer, Telefonnummer usw.) in einem Datensatz durch indirekt identifizierte Daten (Alias, fortlaufende Nummer usw.) ersetzt werden. Pseudonymisierte Daten sind nach wie vor personenbezogene Daten und unterliegen der DSGVO.
Anonymisierte Daten sind Daten, die so anonymisiert wurden, dass die Person auf irgendeine Weise nicht oder nicht mehr identifizierbar ist, die vernünftigerweise wahrscheinlich verwendet wird. Bei ordnungsgemäßer Umsetzung der Anonymisierung gilt die DSGVO nicht mehr für die anonymisierten Daten.
Weitere Informationen:
Was sind sensible Daten?
Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:
- die Gesundheit einer Person;
- die sexuelle Orientierung eines Individuums;
- die rassische oder ethnische Herkunft einer Person;
- die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
- biometrische und genetische Daten einer Person.
Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.
Weitere Informationen:
Benötige ich eine Einwilligung, um Cookies auf der Website meiner Organisation zu verwenden?
Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.
Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.
Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.
Weitere Informationen: