Die Verarbeitung personenbezogener Daten ist jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten von Einzelpersonen durchgeführt wird. Dies umfasst die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.

Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.

Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
• systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen:

• Verhalten Sie sich rechtskonform
   

Die Einhaltung der DSGVO wird von den nationalen Datenschutzaufsichtsbehörden überwacht. Datenschutzaufsichtsbehörden können Ermittlungen durchführen und gegebenenfalls Sanktionen verhängen. Ihnen stehen eine Reihe von Instrumenten zur Verfügung, darunter Geldbußen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist, Verweise und vorübergehende oder dauerhafte Verarbeitungsverbote.

Die Kontaktdaten aller Datenschutzaufsichtsbehörden des EWR finden Sie auf der Website des EDSA: Mitglieder

Weitere Informationen:

• Datenschutzbehörden & Sie

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
• sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
• die Sicherheit der Verarbeitung gewährleistet;
• keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
• den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
• den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
• auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
• dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
• Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Der erste Schritt zur Installation einer Kameraüberwachung besteht darin, den Zweck oder die Zwecke dafür zu identifizieren. Die Zwecke der Installation einer Kameraüberwachung können variiert werden, wie etwa die Gewährleistung der Sicherheit der Räumlichkeiten, die Unterstützung bei der Verhütung und Aufdeckung von Diebstahl und anderen Straftaten oder der Schutz des Lebens und der Gesundheit der Mitarbeiter aufgrund der Art der Arbeit.
Wie bei jeder Verarbeitung personenbezogener Daten muss die Erfassung von Personen eine Rechtsgrundlage gemäß der DSGVO haben. Die Einwilligung kann eine Rechtsgrundlage für eine solche Datenverarbeitung sein. Dies wird jedoch in den meisten Fällen nicht für die Nutzung von Kameraüberwachung gelten, da es schwierig sein wird, die frei erteilte Zustimmung aller einzuholen, die wahrscheinlich aufgezeichnet werden. Die häufigste Rechtsgrundlage für diese Art der Verarbeitung personenbezogener Daten ist das berechtigte Interesse. Wenn die Verarbeitung auf einem berechtigten Interesse beruht, müssen Sie einen Abwägungstest durchführen, um festzustellen, ob Ihre berechtigten Interessen die Rechte der Person überwiegen.
Sie müssen die Personen darüber informieren, dass sie aufgezeichnet werden. Dies kann erreicht werden, indem leicht lesbare Schilder an prominenten Stellen platziert werden. Darüber hinaus sollte an allen Eingängen ein Schild angebracht werden, das den Zweck des Kameraüberwachungssystems sowie die Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen anzeigt.
Personen, deren Bilder von einem Kameraüberwachungssystem aufgenommen werden, sollten folgende Informationen erhalten:

• die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Zwecke der Verarbeitung;
• Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.);
• die Kontaktdaten des Datenschutzbeauftragten, DSB (wenn ein Datenschutzbeauftragter vorliegt);
• die Empfänger oder Kategorien von Empfängern der Daten;
• die Sicherheitsvorkehrungen für die Kameraüberwachungsaufnahmen;
• die Aufbewahrungsfrist für die Kameraüberwachungsaufnahmen;
• das Bestehen von Rechten des Einzelnen nach der DSGVO und das Recht auf Beschwerde bei der nationalen Datenschutzaufsichtsbehörde.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
• Wahrung der Rechte des Einzelnen
  
   

Im Rahmen der DSGVO gibt es grundsätzlich zwei Möglichkeiten, personenbezogene Daten an ein Land außerhalb des EWR oder an eine internationale Organisation zu übermitteln. Übertragungen können auf der Grundlage eines Angemessenheitsbeschlusses oder, in Ermangelung einer solchen Entscheidung, auf der Grundlage geeigneter Garantien, einschließlich durchsetzbarer Rechte und Rechtsbehelfe für Einzelpersonen, erfolgen.

Weitere Informationen:

• Internationale Transfers

1. Stellen Sie sicher, dass die von Ihnen erhaltenen Daten rechtmäßig erhoben wurden und dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden.
2. Für den Fall, dass ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet, stellen Sie sicher, dass Sie einen Vertrag über die Auftragsverarbeitung haben, der die Verarbeitungsvorgänge und die Mittel zur Verarbeitung personenbezogener Daten beschreibt.

Und natürlich müssen Sie alle Pflichten als der für die Verarbeitung Verantwortliche einhalten.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Die Veröffentlichung der Namen der Gewinner eines Gewinnspiels auf Ihrer Website könnte als berechtigtes Interesse angesehen werden, wenn Sie dies durch eine Abwägungsprüfung nachweisen können, um festzustellen, ob Ihre berechtigten Interessen das Recht des Einzelnen überwiegen.

Eine bewährte Praxis wäre die Einrichtung eines internen Verfahrens, in dem die Regeln für die Veröffentlichung personenbezogener Daten der Gewinner erläutert werden.

Darüber hinaus sollte die Verarbeitung personenbezogener Daten für diese Zwecke Teil der Datenschutzerklärung des Wettbewerbs sein, damit die Teilnehmer im Voraus darüber informiert werden, wie ihre Daten verarbeitet werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Nein, Sie müssen nicht zertifiziert sein, um ein DSB zu werden.

DSBs müssen jedoch nachweisen können, dass sie über die erforderlichen Qualifikationen verfügen, die nach der DSGVO erforderlich sind, wie z. B. Expertenwissen über Datenschutzgesetze und -praktiken.

Weitere Informationen:

• Datenschutzbeauftragter