Jede Organisation, unabhängig von ihrer Größe oder Branche, die im Europäischen Wirtschaftsraum (EWR) ansässig ist oder Produkte oder Dienstleistungen für Einzelpersonen im EWR anbietet, verarbeitet personenbezogene Daten, unabhängig davon, ob sie automatisiert mit der DSGVO übereinstimmen müssen. Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO. 

Beispiele für Verarbeitungsvorgänge sind die Erhebung, Aufzeichnung, Organisation, Nutzung, Änderung, Speicherung, Offenlegung, Änderung und Löschung personenbezogener Daten von Personen.

Dennoch wird die Anwendung der DSGVO nach Art, Kontext, Zwecken und Risiken der durchgeführten Verarbeitungsvorgänge moduliert. Für KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, können die Verpflichtungen weniger streng sein als für ein großes Unternehmen.

Weitere Informationen:

• Datenschutzgrundlagen
   

Ja, das können Sie. Aber die DSGVO verpflichtet Unternehmen, die personenbezogene Daten teilen. Ihre Organisation muss Einzelpersonen darüber informieren, dass Sie ihre Daten an Dritte weitergeben. Sie müssen sie auch über Ihre Zwecke, Sicherheit, Zugang und die geltenden Aufbewahrungsmaßnahmen informieren.

Zum gleichen Thema:

• Was sind personenbezogene Daten?
   

Zu den Aufgaben des DSB gehören unter anderem:

• die Organisation und ihre Mitarbeiter über die Einhaltung des Datenschutzes zu informieren und zu beraten;
• Überwachung der Einhaltung des Datenschutzes;
• Beratung zu Anträgen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA);
• als Kontaktstelle für die Datenschutzbehörde zu fungieren und mit dieser Datenschutzbehörde zusammenzuarbeiten;
• als Anlaufstelle für Einzelpersonen zu fungieren.

Darüber hinaus wird die Anwesenheit des DSB generell empfohlen, wenn Entscheidungen mit datenschutzrechtlichen Auswirkungen getroffen werden. Der Datenschutzbeauftragte sollte auch unverzüglich konsultiert werden, sobald eine Datenschutzverletzung oder ein anderer Vorfall aufgetreten ist.

Weitere Informationen:

• Datenschutzbeauftragter
   

Die Benennung eines DSB ist in den folgenden drei Fällen obligatorisch:

• Wenn die Organisation eine Behörde ist;
• wenn die Kerntätigkeiten der Organisation in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang bestehen, z. B. Geolokalisierung über eine mobile Anwendung oder Überwachung von Einkaufszentren und öffentlichen Räumen durch Kameraüberwachung;
• wenn die Kerntätigkeit der Organisation in der groß angelegten Verarbeitung sensibler Daten oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten besteht.

Sie können jederzeit einen DSB auf freiwilliger Basis ernennen, auch wenn dies gesetzlich nicht erforderlich ist. Bitte beachten Sie, dass Sie in diesem Fall alle Bestimmungen der DSGVO bezüglich der Aufgaben und Position des Datenschutzbeauftragten einhalten müssen.
 

Weitere Informationen:

• Datenschutzbeauftragter
   

Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.

Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.

Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Cookies sind kleine Dateien, die auf einem Gerät gespeichert werden, wie einem Computer, einem mobilen Gerät oder einem anderen Gerät, das Informationen speichern kann. Cookies dienen einer Reihe wichtiger Funktionen, darunter das Wiedererkennen von Benutzern und deren vorherigen Interaktionen mit einer Website. Sie können verwendet werden, um Artikel in einem Online-Warenkorb zu verfolgen oder Informationen zu verfolgen, wenn Details in ein Online-Antragsformular eingefügt werden.

Authentifizierungs-Cookies sind auch wichtig, um Benutzer zu identifizieren, wenn sie sich bei Bankdiensten und anderen Online-Diensten anmelden. Die in Cookies gespeicherten Informationen können personenbezogene Daten wie eine IP-Adresse, einen Benutzernamen, eine eindeutige Kennung oder eine E-Mail-Adresse umfassen.
 

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
• sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
• die Sicherheit der Verarbeitung gewährleistet;
• keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
• den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
• den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
• auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
• dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
• Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Im Rahmen der DSGVO gibt es grundsätzlich zwei Möglichkeiten, personenbezogene Daten an ein Land außerhalb des EWR oder an eine internationale Organisation zu übermitteln. Übertragungen können auf der Grundlage eines Angemessenheitsbeschlusses oder, in Ermangelung einer solchen Entscheidung, auf der Grundlage geeigneter Garantien, einschließlich durchsetzbarer Rechte und Rechtsbehelfe für Einzelpersonen, erfolgen.

Weitere Informationen:

• Internationale Transfers

Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine Rechtsgrundlage dafür besteht. Neben der unentgeltlichen, spezifischen, informierten und eindeutigen Einwilligung können andere Rechtsgrundlagen für die Verarbeitung genutzt werden.
Mit anderen Worten, eine Einwilligung ist erforderlich, wenn keine der anderen Rechtsgrundlagen zutrifft.
 

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Die DSGVO gibt Einzelpersonen die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Um dies zu erreichen, ist Transparenz der Schlüssel. Dies bedeutet, dass Sie Personen informieren müssen, deren Daten Sie über Ihre Verarbeitungsvorgänge und die Zwecke verarbeiten. Mit anderen Worten, Sie müssen erklären, wer ihre Daten verarbeitet, aber auch wie und warum. Nur wenn die Verwendung personenbezogener Daten für die Beteiligten „transparent“ ist, können sie mögliche Risiken einschätzen und Entscheidungen über ihre personenbezogenen Daten treffen.
Gemäß der DSGVO sind Sie verpflichtet, die folgenden Informationen mit Einzelpersonen zu teilen:

• die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Zwecke der Verarbeitung;
• Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.)
• die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Kontaktdaten des DSB (wenn es einen DSB gibt);
• die Empfänger oder Kategorien von Empfängern der Daten;
• Informationen darüber, ob die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (falls zutreffend: das Bestehen oder Nichtvorliegen einer Angemessenheitsentscheidung oder Bezugnahme auf die geeigneten Garantien und wie diese Informationen den betroffenen Personen zur Verfügung gestellt werden können;
• die Kategorien der verarbeiteten personenbezogenen Daten, wenn die Daten nicht von der Person bezogen werden.

Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:

• die Aufbewahrungsfrist oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums;
• das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Übertragbarkeit personenbezogener Daten
• das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;
• wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist: das Recht, die Einwilligung jederzeit zu widerrufen;
• im Falle einer automatisierten Entscheidungsfindung relevante Informationen über die zugrundeliegende Logik und die beabsichtigten Folgen der Verarbeitung für die betroffene Person;
• die Quelle der personenbezogenen Daten (wenn Sie sie nicht direkt von der betroffenen Person erhalten haben;
• ob die Person verpflichtet ist, die personenbezogenen Daten (gesetzlich oder vertraglich oder vertraglich) zur Verfügung zu stellen, und welche Folgen die Verweigerung der Daten hat.
   

Weitere Informationen:

• Wahrung der Rechte des Einzelnen