Jede Organisation, unabhängig von ihrer Größe oder Branche, die im Europäischen Wirtschaftsraum (EWR) ansässig ist oder Produkte oder Dienstleistungen für Einzelpersonen im EWR anbietet, verarbeitet personenbezogene Daten, unabhängig davon, ob sie automatisiert mit der DSGVO übereinstimmen müssen. Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO. 

Beispiele für Verarbeitungsvorgänge sind die Erhebung, Aufzeichnung, Organisation, Nutzung, Änderung, Speicherung, Offenlegung, Änderung und Löschung personenbezogener Daten von Personen.

Dennoch wird die Anwendung der DSGVO nach Art, Kontext, Zwecken und Risiken der durchgeführten Verarbeitungsvorgänge moduliert. Für KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, können die Verpflichtungen weniger streng sein als für ein großes Unternehmen.

Weitere Informationen:

• Datenschutzgrundlagen
   

DSBs können andere Aufgaben innerhalb der Organisation erfüllen, dies darf jedoch nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB keine Position haben kann, in der er die Zwecke und Mittel der Verarbeitungstätigkeiten bestimmt. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.

Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:

• dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
• den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen darf.

Weitere Informationen:

• Datenschutzbeauftragter
   

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen
   

Die DSGVO gibt Einzelpersonen die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Um dies zu erreichen, ist Transparenz der Schlüssel. Dies bedeutet, dass Sie Personen informieren müssen, deren Daten Sie über Ihre Verarbeitungsvorgänge und die Zwecke verarbeiten. Mit anderen Worten, Sie müssen erklären, wer ihre Daten verarbeitet, aber auch wie und warum. Nur wenn die Verwendung personenbezogener Daten für die Beteiligten „transparent“ ist, können sie mögliche Risiken einschätzen und Entscheidungen über ihre personenbezogenen Daten treffen.
Gemäß der DSGVO sind Sie verpflichtet, die folgenden Informationen mit Einzelpersonen zu teilen:

• die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Zwecke der Verarbeitung;
• Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.)
• die Kontaktdaten des für die Verarbeitung Verantwortlichen;
• die Kontaktdaten des DSB (wenn es einen DSB gibt);
• die Empfänger oder Kategorien von Empfängern der Daten;
• Informationen darüber, ob die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (falls zutreffend: das Bestehen oder Nichtvorliegen einer Angemessenheitsentscheidung oder Bezugnahme auf die geeigneten Garantien und wie diese Informationen den betroffenen Personen zur Verfügung gestellt werden können;
• die Kategorien der verarbeiteten personenbezogenen Daten, wenn die Daten nicht von der Person bezogen werden.

Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:

• die Aufbewahrungsfrist oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums;
• das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Übertragbarkeit personenbezogener Daten
• das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;
• wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist: das Recht, die Einwilligung jederzeit zu widerrufen;
• im Falle einer automatisierten Entscheidungsfindung relevante Informationen über die zugrundeliegende Logik und die beabsichtigten Folgen der Verarbeitung für die betroffene Person;
• die Quelle der personenbezogenen Daten (wenn Sie sie nicht direkt von der betroffenen Person erhalten haben;
• ob die Person verpflichtet ist, die personenbezogenen Daten (gesetzlich oder vertraglich oder vertraglich) zur Verfügung zu stellen, und welche Folgen die Verweigerung der Daten hat.
   

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die Zustimmung könnte in der Tat eine gültige Rechtsgrundlage für die Speicherung der Lebensläufe der Bewerber sein. Eine weitere mögliche Rechtsgrundlage könnte ein berechtigtes Interesse sein. In diesem Fall müssten Sie einen Abwägungstest durchführen, um nachzuweisen, dass die berechtigten Interessen Ihrer Organisation die Rechte der Antragsteller überwiegen.

Auf jeden Fall müssen Sie die Kandidaten darüber informieren, dass Sie ihre Daten speichern möchten und zu welchen Zwecken.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

A personal data breach is a security breach leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

• If the data breach poses a risk to the individuals concerned, you must report it to the relevant data protection authority within 72 hours.
• If the breach is likely to result in a high risk to individuals, you will also need to communicate that breach to the individuals concerned without undue delay.

In any case, for all breaches – even those that are not notified to a DPA - you must record at least the basic details of the breach, the assessment thereof, its effects, and the steps taken in response.

More information:

• Data breaches

The DPO can be an existing employee with sufficient knowledge of GDPR (if the professional tasks of the employee are compatible with those of the DPO and this does not lead to conflicts of interest) or an external person. The DPO should be able to carry out tasks independently and should be able to report directly to the highest management.

More information:

• Data Protection Officer

Einzelpersonen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und in diesem Fall ist der Verantwortliche verpflichtet, die personenbezogenen Daten zu löschen. Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist und mehr Zeit benötigt wird, um dem Antrag nachzukommen, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Es ist wichtig zu beachten, dass das Recht auf Löschung nicht absolut ist. Sie gilt nicht, wenn die betreffenden Daten erforderlich sind für:

• die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit (z. B. für journalistische Zwecke);
• die Erfüllung einer gesetzlichen Verpflichtung, die die Verarbeitung personenbezogener Daten erfordert (z. B. Verarbeitung von Aufzeichnungen über die Arbeitszeit der Arbeitnehmer);
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit
• Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;
• oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die DSGVO sieht spezifische Rechte für Einzelpersonen vor, die respektiert werden müssen. Sie können dies tun durch:

• Information der Personen, deren Daten Sie verarbeiten über Ihre Verarbeitungsvorgänge und die Verarbeitungszwecke bei der Erhebung ihrer Daten, beispielsweise über eine Datenschutzerklärung auf Ihrer Website;
• Beantwortung von Anträgen von Einzelpersonen auf Ausübung ihrer Rechte wie Zugang, Berichtigung, Widerspruch, Löschung oder Portabilitätsersuchen.

Organisationen, die in Bezug auf ihre Verwendung personenbezogener Daten transparent sind und die Rechte von Einzelpersonen respektieren, sind seltener Ziel von Beschwerden.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Damit die Zustimmung als gültig gilt, muss sie sein:

• frei gegeben werden;
• spezifisch;
• informiert; und
• eindeutig sein.

Dies bedeutet, dass Einzelpersonen eine wirklich freie Wahl haben müssen, ob sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden sind oder nicht; Sie benötigen ausreichende Informationen, damit sie verstehen können, welche Daten zu welchem Zweck verarbeitet werden und wie dies geschieht; Sie benötigen auch eine ausreichende Granularität bei Einwilligungsanfragen.
Darüber hinaus sollte es eine eindeutige bejahende Handlung des Einzelnen geben (ohne vorab angekreuzte Kästchen und getrennt von den geltenden Allgemeinen Geschäftsbedingungen).
Darüber hinaus müssen Einzelpersonen in der Lage sein, ihre Einwilligung (ohne negative Folgen) frei zu widerrufen, wenn sie später ihre Meinung ändern.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten