Häufig gestellte Fragen
Was ist Gemeinsame Verantwortlichkeit?
Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.
Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.
- Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.
Weitere Informationen:
Welche Informationen sollte ich mit Einzelpersonen kommunizieren/mit anderen teilen?
Die DSGVO gibt Einzelpersonen die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Um dies zu erreichen, ist Transparenz der Schlüssel. Dies bedeutet, dass Sie Personen informieren müssen, deren Daten Sie über Ihre Verarbeitungsvorgänge und die Zwecke verarbeiten. Mit anderen Worten, Sie müssen erklären, wer ihre Daten verarbeitet, aber auch wie und warum. Nur wenn die Verwendung personenbezogener Daten für die Beteiligten „transparent“ ist, können sie mögliche Risiken einschätzen und Entscheidungen über ihre personenbezogenen Daten treffen.
Gemäß der DSGVO sind Sie verpflichtet, die folgenden Informationen mit Einzelpersonen zu teilen:
- die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
- die Zwecke der Verarbeitung;
- Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.)
- die Kontaktdaten des für die Verarbeitung Verantwortlichen;
- die Kontaktdaten des DSB (wenn es einen DSB gibt);
- die Empfänger oder Kategorien von Empfängern der Daten;
- Informationen darüber, ob die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (falls zutreffend: das Bestehen oder Nichtvorliegen einer Angemessenheitsentscheidung oder Bezugnahme auf die geeigneten Garantien und wie diese Informationen den betroffenen Personen zur Verfügung gestellt werden können;
- die Kategorien der verarbeiteten personenbezogenen Daten, wenn die Daten nicht von der Person bezogen werden.
Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:
- die Aufbewahrungsfrist oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums;
- das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Übertragbarkeit personenbezogener Daten
- das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;
- wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist: das Recht, die Einwilligung jederzeit zu widerrufen;
- im Falle einer automatisierten Entscheidungsfindung relevante Informationen über die zugrundeliegende Logik und die beabsichtigten Folgen der Verarbeitung für die betroffene Person;
- die Quelle der personenbezogenen Daten (wenn Sie sie nicht direkt von der betroffenen Person erhalten haben;
- ob die Person verpflichtet ist, die personenbezogenen Daten (gesetzlich oder vertraglich oder vertraglich) zur Verfügung zu stellen, und welche Folgen die Verweigerung der Daten hat.
Weitere Informationen:
Wenn ich Lebensläufe von Bewerbern für zukünftige Einstellungsverfahren speichern möchte, muss ich dann um die Zustimmung der Bewerber bitten?
Die Zustimmung könnte in der Tat eine gültige Rechtsgrundlage für die Speicherung der Lebensläufe der Bewerber sein. Eine weitere mögliche Rechtsgrundlage könnte ein berechtigtes Interesse sein. In diesem Fall müssten Sie einen Abwägungstest durchführen, um nachzuweisen, dass die berechtigten Interessen Ihrer Organisation die Rechte der Antragsteller überwiegen.
Auf jeden Fall müssen Sie die Kandidaten darüber informieren, dass Sie ihre Daten speichern möchten und zu welchen Zwecken.
Weitere Informationen:
What are the legal basics for processing under the GDPR?
Data controllers can only process personal data in one of the following circumstances:
- with the consent of the individuals concerned;
- where processing is necessary for the performance of a contract (a contract between your organisation and an individual);
- to meet a legal obligation under EU or national legislation;
- where processing is necessary for the performance of a task carried out in the public interest under EU or national legislation;
- to protect the vital interests of an individual;
- for your organisation’s legitimate interests - except where they are overridden by the rights and freedoms of individuals.
In addition, the GDPR establishes additional conditions for the processing of sensitive data.
More information:
Als Datenverantwortlicher habe ich personenbezogene Daten von Dritten erhoben, was muss ich tun, um mich rechtskonform zu verhalten?
- Stellen Sie sicher, dass die von Ihnen erhaltenen Daten rechtmäßig erhoben wurden und dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden.
- Für den Fall, dass ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet, stellen Sie sicher, dass Sie einen Vertrag über die Auftragsverarbeitung haben, der die Verarbeitungsvorgänge und die Mittel zur Verarbeitung personenbezogener Daten beschreibt.
Und natürlich müssen Sie alle Pflichten als der für die Verarbeitung Verantwortliche einhalten.
Weitere Informationen:
Gilt die DSGVO auch für Papieraufzeichnungen?
Ja, die DSGVO gilt, wenn die personenbezogenen Daten in einem Ablagesystem enthalten sind oder sein sollen. Dies bedeutet, dass die DSGVO auch für Papieraufzeichnungen gilt und nicht nur für die automatisierte Verarbeitung personenbezogener Daten.
Weitere Informationen:
Ist der Datenschutzbeauftragte (DSB) für die Einhaltung der DSGVO verantwortlich?
Der Datenschutzbeauftragte kann nicht für die Nichteinhaltung der DSGVO verantwortlich gemacht werden. Die Einhaltung der DSGVO liegt in der Verantwortung der Organisation, die den DSB bestellt hat.
Weitere Informationen:
Kann ich die Namen der Gewinner eines Wettbewerbs auf der Website meiner Organisation veröffentlichen?
Die Veröffentlichung der Namen der Gewinner eines Gewinnspiels auf Ihrer Website könnte als berechtigtes Interesse angesehen werden, wenn Sie dies durch eine Abwägungsprüfung nachweisen können, um festzustellen, ob Ihre berechtigten Interessen das Recht des Einzelnen überwiegen.
Eine bewährte Praxis wäre die Einrichtung eines internen Verfahrens, in dem die Regeln für die Veröffentlichung personenbezogener Daten der Gewinner erläutert werden.
Darüber hinaus sollte die Verarbeitung personenbezogener Daten für diese Zwecke Teil der Datenschutzerklärung des Wettbewerbs sein, damit die Teilnehmer im Voraus darüber informiert werden, wie ihre Daten verarbeitet werden.
Weitere Informationen:
Kann ich Telefongespräche mit Kunden aufnehmen, um die Servicequalität zu verbessern, und benötige ich hierfür eine Einwilligung?
Ja, Ihre Kunden müssen bei einem Telefonat über die Zwecke der Aufzeichnung, die Empfänger der Aufzeichnungen, ihr Widerspruchsrecht und ihr Recht auf Zugang zu den Aufzeichnungen informiert werden.
Weitere Informationen:
Müssen Datenverarbeiter auch die DSGVO einhalten?
Ja, Datenverarbeiter (d. h. Einzelpersonen oder Stellen, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeiten), haben Verpflichtungen gemäß der DSGVO. Es gibt jedoch einige Unterschiede zwischen den Verantwortlichkeiten für die Datenverantwortlichen und Auftragsverarbeiter.
Die Auftragsverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Auftragsverarbeitervertrag festgelegt sind, in dem die Verarbeitungsvorgänge und -mittel zur Verarbeitung personenbezogener Daten aufgeführt sind. Zum Beispiel muss der Auftragsverarbeiter die Verarbeitungsvorgänge mit den entsprechenden technischen und organisatorischen Maßnahmen durchführen, die vom für die Verarbeitung Verantwortlichen angeordnet wurden. Dabei unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der DSGVO.
Weitere Informationen: