Frequently asked questions

Organisations must, in the case of direct collection of personal data from the individuals concerned, provide information about the processing operations in a concise and transparent way, using understandable, easily accessible and clear and plain language. This can be done in writing (e.g. on the reverse side of a tender) or by electronic means (e.g. on a website). If the person concerned so requests, you may also provide this information orally, but you must be able to prove this afterwards.

Even when the data was collected indirectly, i.e. if you do not directly collect the personal data from an individual yourself, but for example via a third party, you must provide the same detailed information to individuals

Einzelpersonen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und in diesem Fall ist der Verantwortliche verpflichtet, die personenbezogenen Daten zu löschen. Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist und mehr Zeit benötigt wird, um dem Antrag nachzukommen, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Es ist wichtig zu beachten, dass das Recht auf Löschung nicht absolut ist. Sie gilt nicht, wenn die betreffenden Daten erforderlich sind für:

• die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit (z. B. für journalistische Zwecke);
• die Erfüllung einer gesetzlichen Verpflichtung, die die Verarbeitung personenbezogener Daten erfordert (z. B. Verarbeitung von Aufzeichnungen über die Arbeitszeit der Arbeitnehmer);
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit
• Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;
• oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Ja, Ihre Kunden müssen bei einem Telefonat über die Zwecke der Aufzeichnung, die Empfänger der Aufzeichnungen, ihr Widerspruchsrecht und ihr Recht auf Zugang zu den Aufzeichnungen informiert werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Die Verarbeitung personenbezogener Daten ist jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten von Einzelpersonen durchgeführt wird. Dies umfasst die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

Nein, die Verarbeitung sensibler Daten ist grundsätzlich verboten, außer unter ganz bestimmten Umständen:

• Die Person hat ihre ausdrückliche Einwilligung gegeben, dass ihre sensiblen Daten verarbeitet werden.
• Die Verarbeitung sensibler Daten ist erforderlich, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen nachkommen kann, insbesondere im Zusammenhang mit Beschäftigung, sozialer Sicherheit und sozialem Schutz. Beispielsweise muss der für die Verarbeitung Verantwortliche möglicherweise sensible Daten einer Person verarbeiten, um feststellen zu können, ob sie Anspruch auf bestimmte Sozialleistungen oder Gehaltszulagen haben.
• Die Verarbeitung sensibler Daten ist notwendig, um die lebenswichtigen Interessen einer Person zu schützen, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen. Wenn beispielsweise eine Person aufgrund eines Unfalls bewusstlos bleibt und eine sofortige medizinische Versorgung erfordert, müssen ihre Gesundheitsdaten möglicherweise für die angemessene medizinische Versorgung verarbeitet werden.
• Die Verarbeitung sensibler Daten erfolgt im Rahmen der legitimen Aktivitäten einer Stiftung, Vereinigung oder einer anderen gemeinnützigen Organisation mit einem politischen, philosophischen, religiösen oder gewerkschaftlichen Ziel und nur zur Verarbeitung der personenbezogenen Daten ihrer Mitglieder, ehemaligen Mitglieder oder Personen, die regelmäßig mit ihnen in Kontakt stehen.
• Die sensiblen Daten wurden offensichtlich von Einzelpersonen öffentlich gemacht.
• Die Verarbeitung sensibler Daten ist im Rahmen von Gerichtsverfahren erforderlich.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten von erheblichem öffentlichen Interesse erforderlich.
• Die Verarbeitung sensibler Daten ist im Rahmen der Präventiv- oder Arbeitsmedizin erforderlich. Zum Beispiel kann die Bewertung der sensiblen Daten einer Person, wie ihre medizinischen Daten, erforderlich sein, um ihre Arbeitsfähigkeit als Mitarbeiter zu bestimmen.
• Die Verarbeitung sensibler Daten ist für Fragen der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten von Einzelpersonen erforderlich sein, um eine hohe Qualität der Gesundheitsversorgung und eine hohe Qualität von Medizinprodukten zu gewährleisten oder ernste Gesundheitsbedrohungen wie Viren zu bekämpfen.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten der Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten erforderlich sein, um genaue Statistiken über die Situation eines Landes in einem bestimmten Bereich bereitzustellen. 

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Ein gültiger Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist nach der DSGVO verpflichtend. Gegen eine Zuwiderhandlung kann eine Geldbuße von bis zu 10 Mio. EUR oder bis zu 2 % des Gesamtjahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Wert höher ist.

Die dänischen und slowenischen Datenschutzbehörden sowie die Europäische Kommission haben Mustervereinbarungen entwickelt.
 

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen
   

Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag zu komplex ist und mehr Zeit für die Beantwortung benötigt wird, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Sie müssen dies kostenlos tun.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.

Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.

Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Die Pseudonymisierung besteht darin, personenbezogene Daten so umzuwandeln, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht dem Einzelnen zugeordnet werden. In der Praxis kann dies bedeuten, dass personenbezogene Daten (Name, Vorname, persönliche Nummer, Telefonnummer usw.) in einem Datensatz durch indirekt identifizierte Daten (Alias, fortlaufende Nummer usw.) ersetzt werden. Pseudonymisierte Daten sind nach wie vor personenbezogene Daten und unterliegen der DSGVO.

Anonymisierte Daten sind Daten, die so anonymisiert wurden, dass die Person auf irgendeine Weise nicht oder nicht mehr identifizierbar ist, die vernünftigerweise wahrscheinlich verwendet wird. Bei ordnungsgemäßer Umsetzung der Anonymisierung gilt die DSGVO nicht mehr für die anonymisierten Daten.

Weitere Informationen:

• Sichere personenbezogene Daten

Die DSGVO unterscheidet zwischen zwei Hauptrollen: die des Datenverantwortlichen und des Datenverarbeiters. Diese Unterscheidung ist entscheidend, da der Verantwortliche mehr Verantwortung trägt und mehr Pflichten erfüllen muss als der Auftragsverarbeiter.
Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein, z. B.: ein KMU, eine Behörde, ein Unternehmen, eine Organisation, eine staatliche Einrichtung, eine Vereinigung usw.
Ein Verantwortlicher bestimmt die Zwecke und Mittel eines Verarbeitungsvorgangs. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Verarbeitungsvorgangs. Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen. Die Verarbeitung durch Auftragsverarbeiter muss durch einen Vertrag mit dem für die Verarbeitung Verantwortlichen oder durch einen anderen Rechtsakt geregelt werden.

Beispiele für Datenverantwortliche:

• Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, um einen Verkauf abzuschließen;
• Finanzinstitute, die personenbezogene Daten ihrer Kunden verarbeiten;
• Vereinigungen, die die Daten ihrer Mitglieder verarbeiten;
• Schulen oder Universitäten, die personenbezogene Daten von Schülern und Lehrkräften verarbeiten;
• Krankenhäuser, die personenbezogene Daten ihrer Patienten verarbeiten;
• Behörden, die personenbezogene Daten von Bürgern verarbeiten.

Beispiele für Datenverarbeiter:

• ein KMU stellt einen Buchhaltungsdienst ein, um seine Bücher und Aufzeichnungen zu führen, das KMU ist ein Datenverantwortlicher und der Buchhaltungsdienst ein Datenverarbeiter;
• ein Lohnabrechnungsunternehmen verarbeitet personenbezogene Daten für ein KMU. Die Lohnabrechnungsgesellschaft fungiert als Auftragsverarbeiter, wenn sie die personenbezogenen Daten ausschließlich im Auftrag des KMU verarbeitet. Das KMU bestimmt die Zwecke und Mittel der Datenverarbeitung und ist daher für die Datenverarbeitung verantwortlich.
• ein KMU beauftragt ein Marketingunternehmen, E-Mail-Adressen über Websites Dritter zu sammeln.  Das Marketingunternehmen tut dies gemäß den ausdrücklichen Anweisungen des KMU und für die ausschließlichen Zwecke des KMU. Das Marketingunternehmen fungiert als Verarbeiter für diese Sammlung.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter

Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:

• die Gesundheit einer Person;
• die sexuelle Orientierung eines Individuums;
• die rassische oder ethnische Herkunft einer Person;
• die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
• biometrische und genetische Daten einer Person.

Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.

Weitere Informationen:

• Datenschutzgrundlagen

The DPO can be an existing employee with sufficient knowledge of GDPR (if the professional tasks of the employee are compatible with those of the DPO and this does not lead to conflicts of interest) or an external person. The DPO should be able to carry out tasks independently and should be able to report directly to the highest management.

More information:

• Data Protection Officer

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.

Beispiele für personenbezogene Daten sind:

• Vor- und Nachname;
• eine Wohnadresse;
• eine E-Mail-Adresse;
• eine ID-Kartennummer;
• Standortdaten;
• eine IP-Adresse (Internet Protocol),
• eine Cookie-ID;
• Bankkonten;
• Steuerberichte;
• biometrische Daten (wie Fingerabdruck);
• eine Sozialversicherungsnummer;
• Nummer des Reisepasses;
• Testergebnisse;
• Noten in der Schule;
• Browser History;
• Foto des Individuums;
• Fahrzeugkennzeichen usw.
   

Weitere Informationen:

• Datenschutzgrundlagen

1. Stellen Sie sicher, dass die von Ihnen erhaltenen Daten rechtmäßig erhoben wurden und dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden.
2. Für den Fall, dass ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet, stellen Sie sicher, dass Sie einen Vertrag über die Auftragsverarbeitung haben, der die Verarbeitungsvorgänge und die Mittel zur Verarbeitung personenbezogener Daten beschreibt.

Und natürlich müssen Sie alle Pflichten als der für die Verarbeitung Verantwortliche einhalten.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Die erforderlichen Sicherheitsmaßnahmen können je nach Art der von Ihnen verarbeiteten personenbezogenen Daten und den damit verbundenen Risiken für Einzelpersonen unterschiedlich sein. In jedem Fall gibt es einige Mindestmaßnahmen, die Sie ergreifen sollten:

• sicherer Zugang zu den Räumlichkeiten;
• regelmäßig aktualisierte Antivirensoftware verwenden;
• wählen Sie sorgfältig Ihre Passwörter aus;
• sorgen Sie dafür, dass sich die Benutzer authentifizieren, bevor Sie die Computereinrichtungen nutzen;
• haben Sie eine Datensicherungs- und Abrufrichtlinie im Falle eines Vorfalls.

Darüber hinaus sind einige grundlegende Maßnahmen wie das Sperren ihres Bildschirms, während sie abwesend sind, und das Zuschließen des Büros am Ende des Tages immer geeignete Sicherheitsmaßnahmen…

Weitere Informationen:

• Sichere personenbezogene Daten

Die Veröffentlichung der Namen der Gewinner eines Gewinnspiels auf Ihrer Website könnte als berechtigtes Interesse angesehen werden, wenn Sie dies durch eine Abwägungsprüfung nachweisen können, um festzustellen, ob Ihre berechtigten Interessen das Recht des Einzelnen überwiegen.

Eine bewährte Praxis wäre die Einrichtung eines internen Verfahrens, in dem die Regeln für die Veröffentlichung personenbezogener Daten der Gewinner erläutert werden.

Darüber hinaus sollte die Verarbeitung personenbezogener Daten für diese Zwecke Teil der Datenschutzerklärung des Wettbewerbs sein, damit die Teilnehmer im Voraus darüber informiert werden, wie ihre Daten verarbeitet werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Ja, das können Sie. Aber die DSGVO verpflichtet Unternehmen, die personenbezogene Daten teilen. Ihre Organisation muss Einzelpersonen darüber informieren, dass Sie ihre Daten an Dritte weitergeben. Sie müssen sie auch über Ihre Zwecke, Sicherheit, Zugang und die geltenden Aufbewahrungsmaßnahmen informieren.

Zum gleichen Thema:

• Was sind personenbezogene Daten?
   

Die Benennung eines DSB ist in den folgenden drei Fällen obligatorisch:

• Wenn die Organisation eine Behörde ist;
• wenn die Kerntätigkeiten der Organisation in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang bestehen, z. B. Geolokalisierung über eine mobile Anwendung oder Überwachung von Einkaufszentren und öffentlichen Räumen durch Kameraüberwachung;
• wenn die Kerntätigkeit der Organisation in der groß angelegten Verarbeitung sensibler Daten oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten besteht.

Sie können jederzeit einen DSB auf freiwilliger Basis ernennen, auch wenn dies gesetzlich nicht erforderlich ist. Bitte beachten Sie, dass Sie in diesem Fall alle Bestimmungen der DSGVO bezüglich der Aufgaben und Position des Datenschutzbeauftragten einhalten müssen.
 

Weitere Informationen:

• Datenschutzbeauftragter
   

Nein, es ist nicht notwendig, Ihre Aufzeichnungen über die Verarbeitung öffentlich zu machen. Sie müssen jedoch in der Lage sein, der Datenschutzaufsichtsbehörde den Datensatz auf Anfrage zur Verfügung zu stellen.

Weitere Informationen:

• Verhalten Sie sich rechtskonform