Data protection guide for small business logo
Close menu
Back to EDPB

Frequently asked questions

Filter on
Filter on topic

Wie kann ich eine gültige Einwilligung einholen?

Damit die Zustimmung als gültig gilt, muss sie sein:

  • frei gegeben werden;
  • spezifisch;
  • informiert; und
  • eindeutig sein.

Dies bedeutet, dass Einzelpersonen eine wirklich freie Wahl haben müssen, ob sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden sind oder nicht; Sie benötigen ausreichende Informationen, damit sie verstehen können, welche Daten zu welchem Zweck verarbeitet werden und wie dies geschieht; Sie benötigen auch eine ausreichende Granularität bei Einwilligungsanfragen.
Darüber hinaus sollte es eine eindeutige bejahende Handlung des Einzelnen geben (ohne vorab angekreuzte Kästchen und getrennt von den geltenden Allgemeinen Geschäftsbedingungen).
Darüber hinaus müssen Einzelpersonen in der Lage sein, ihre Einwilligung (ohne negative Folgen) frei zu widerrufen, wenn sie später ihre Meinung ändern.

Weitere Informationen:

Wann sollten Sie diese Informationen teilen?

Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

  • wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
  • wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

Weitere Informationen:

Muss mein Unternehmen die DSGVO einhalten?

Jede Organisation, unabhängig von ihrer Größe oder Branche, die im Europäischen Wirtschaftsraum (EWR) ansässig ist oder Produkte oder Dienstleistungen für Einzelpersonen im EWR anbietet, verarbeitet personenbezogene Daten, unabhängig davon, ob sie automatisiert mit der DSGVO übereinstimmen müssen. Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO. 

Beispiele für Verarbeitungsvorgänge sind die Erhebung, Aufzeichnung, Organisation, Nutzung, Änderung, Speicherung, Offenlegung, Änderung und Löschung personenbezogener Daten von Personen.

Dennoch wird die Anwendung der DSGVO nach Art, Kontext, Zwecken und Risiken der durchgeführten Verarbeitungsvorgänge moduliert. Für KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, können die Verpflichtungen weniger streng sein als für ein großes Unternehmen.

Weitere Informationen:

Welche Aufgaben hat der Datenschutzbeauftragte (DSB)?

Zu den Aufgaben des DSB gehören unter anderem:

  • die Organisation und ihre Mitarbeiter über die Einhaltung des Datenschutzes zu informieren und zu beraten;
  • Überwachung der Einhaltung des Datenschutzes;
  • Beratung zu Anträgen im Zusammenhang mit der Datenschutz-Folgenabschätzung (DSFA);
  • als Kontaktstelle für die Datenschutzbehörde zu fungieren und mit dieser Datenschutzbehörde zusammenzuarbeiten;
  • als Anlaufstelle für Einzelpersonen zu fungieren.

Darüber hinaus wird die Anwesenheit des DSB generell empfohlen, wenn Entscheidungen mit datenschutzrechtlichen Auswirkungen getroffen werden. Der Datenschutzbeauftragte sollte auch unverzüglich konsultiert werden, sobald eine Datenschutzverletzung oder ein anderer Vorfall aufgetreten ist.

Weitere Informationen:

Was sind meine Verantwortlichkeiten im Rahmen der DSGVO?

Die DSGVO erlegt allen Organisationen, die personenbezogene Daten verarbeiten, Verpflichtungen auf, unabhängig davon, ob sie für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter sind.
Insbesondere sollten Sie:

  • sich fragen, ob der Zweck, für den personenbezogene Daten erhoben werden können, gerechtfertigt ist, und Sie nur personenbezogene Daten erheben, die für den/die vorgesehenen Zweck(e) erforderlich sind;
  • die personenbezogenen Daten der Personen auf dem neuesten Stand halten und die Daten löschen, wenn dies nicht mehr erforderlich ist;
  • die Rechte des Einzelnen respektieren, indem sie diese darüber informieren, wie und warum ihre Daten verarbeitet werden, und dass sie ihre Rechte ausüben können;
  • Sie prüfen, ob Sie über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Wenn Sie beabsichtigen, sich auf die Einwilligung von Einzelpersonen zu verlassen, bitten Sie um ihre Einwilligung, bevor Sie ihre personenbezogenen Daten verarbeiten;
  • Sie sicherstellen, dass die personenbezogenen Daten von Einzelpersonen auf sichere Weise behandelt werden;
  • Sie eine Aufzeichnung der Verarbeitungsvorgänge führen.

Die Datenverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Vertrag über die Verarbeitung Verantwortlicher festgelegt sind, und sie dürfen die Daten nicht anders als gemäß den Anweisungen des Verantwortlichen verarbeiten.

Weitere Informationen:

Was sind die grundlegenden Verarbeitungsgrundsätze der DSGVO?

  • Jede Verarbeitung personenbezogener Daten muss rechtmäßig, fair und transparent sein.
  • Personenbezogene Daten werden nur zu bestimmten, expliziten und legitimen Zwecken erhoben. Die Verarbeitung der Daten einer Person muss streng auf den ursprünglich festgelegten Zweck beschränkt sein und daher nicht für nachfolgende oder andere Zwecke verarbeitet werden, die mit den ursprünglichen Zwecken unvereinbar sind.
  • Verarbeitung personenbezogener Daten müssen im Hinblick auf den vorgesehenen Zweck erforderlich und verhältnismäßig sein.
  • Alle von Ihnen verarbeiteten personenbezogenen Daten müssen korrekt sein und auf dem neuesten Stand gehalten werden. Ungenaue personenbezogene Daten müssen berichtigt oder gelöscht werden.
  • Die Speicherung der personenbezogenen Daten von Einzelpersonen muss zeitlich begrenzt sein, und zwar im Hinblick auf den Zweck, zu dem diese Daten erhoben und verarbeitet wurden. Als solche müssen personenbezogene Daten von Einzelpersonen gelöscht oder anonymisiert werden, sobald diese Daten nicht mehr erforderlich sind.
  • Die Verarbeitung der personenbezogenen Daten muss auf sichere Weise erfolgen. In diesem Sinne müssen robuste Cybersicherheitsmaßnahmen eingerichtet werden, um sicherzustellen, dass die Daten von Einzelpersonen angemessen geschützt werden.

Schließlich ist der Controller rechenschaftspflichtig. Dies bedeutet, dass sie für die Einhaltung der oben genannten Grundsätze verantwortlich sind und in der Lage sein müssen, dies nachzuweisen.

Weitere Informationen:

Wie lange kann ich personenbezogene Daten speichern?

Sie können personenbezogene Daten nicht für immer speichern.
Personenbezogene Daten dürfen in der Regel nur so lange gespeichert werden, wie dies angesichts der Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

In einigen Fällen kann die Speicherdauer durch spezifische Gesetze bestimmt werden, zum Beispiel legen Arbeitsvorschriften eine Speicherdauer für Gehaltsabrechnungslisten fest.

Organisationen sollten Richtlinien zur Speicherung einführen, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden. Personenbezogene Daten von Personen müssen gelöscht oder anonymisiert werden, sobald diese Daten für den Zweck, für den sie verarbeitet wurden, nicht mehr erforderlich sind. 

Weitere Informationen:

Benötige ich eine Aufzeichnung der Verarbeitung?

Im Allgemeinen sollte jede Organisation Aufzeichnungen über ihre Verarbeitungstätigkeiten führen. Dies ist eine Bestandsaufnahme aller Verarbeitungsvorgänge und kann Ihnen helfen, korrekte Annahmen Ihrer Verantwortlichkeiten im Rahmen der DSGVO und mögliche Risiken zu treffen.
Jeder dieser Verarbeitungsvorgänge muss im Datensatz mit folgenden Angaben beschrieben werden:

  • Zweck der Verarbeitung (z. B. Kundenbindung);
  • die Kategorien der verarbeiteten Daten (z. B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
  • wer Zugriff auf die Daten hat (die Empfänger – z. B.: die für die Rekrutierung zuständige Abteilung, den IT-Dienst, das Management, die Dienstleister, die Partner...);
  • gegebenenfalls Informationen über die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR),
  • soweit möglich, die Speicherdauer (der Zeitraum, für den die Daten aus betrieblicher Sicht und aus Archivierungssicht nützlich sind).
  • wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Die Aufzeichnung der Verarbeitungstätigkeiten fällt in die Verantwortung des Managers Ihrer Organisation.
Dieser Datensatz muss der Datenschutzaufsichtsbehörde des EWR-Landes, in dem Sie tätig sind, auf Anfrage zur Verfügung stehen.
Es ist nicht erforderlich, dass Organisationen, die weniger als 250 Personen beschäftigen, nur gelegentliche Tätigkeiten in ihren Aufzeichnungen angeben (z. B. Daten, die für einmalige Veranstaltungen wie die Eröffnung eines Shops verarbeitet werden).
 

Weitere Informationen:

Was ist ein Interessenkonflikt für einen Datenschutzbeauftragten?

DSBs können andere Aufgaben innerhalb der Organisation erfüllen, dies darf jedoch nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB keine Position haben kann, in der er die Zwecke und Mittel der Verarbeitungstätigkeiten bestimmt. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.

Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:

  • dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
  • den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen darf.

Weitere Informationen:

What should I do in case of a data breach?

A personal data breach is a security breach leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

  • If the data breach poses a risk to the individuals concerned, you must report it to the relevant data protection authority within 72 hours.
  • If the breach is likely to result in a high risk to individuals, you will also need to communicate that breach to the individuals concerned without undue delay.

In any case, for all breaches – even those that are not notified to a DPA - you must record at least the basic details of the breach, the assessment thereof, its effects, and the steps taken in response.

More information:

Wie kann ich die Datenschutzrechte von Einzelpersonen respektieren?

Die DSGVO sieht spezifische Rechte für Einzelpersonen vor, die respektiert werden müssen. Sie können dies tun durch:

  • Information der Personen, deren Daten Sie verarbeiten über Ihre Verarbeitungsvorgänge und die Verarbeitungszwecke bei der Erhebung ihrer Daten, beispielsweise über eine Datenschutzerklärung auf Ihrer Website;
  • Beantwortung von Anträgen von Einzelpersonen auf Ausübung ihrer Rechte wie Zugang, Berichtigung, Widerspruch, Löschung oder Portabilitätsersuchen.

Organisationen, die in Bezug auf ihre Verwendung personenbezogener Daten transparent sind und die Rechte von Einzelpersonen respektieren, sind seltener Ziel von Beschwerden.

Weitere Informationen:

Wie kann ich mit der Arbeit des EDSA Schritt halten?

Der EDSA veröffentlicht regelmäßig Pressemitteilungen, Nachrichten, Blogs und andere Inhalte auf der EDSA-Website und seinen Social-Media-Kanälen (Twitter: @EU_EDPB; LinkedIn: Europäischer Datenschutzausschuss), um die Datenschutzgemeinschaft und die Öffentlichkeit über ihre Arbeit auf dem neuesten Stand zu halten.

Die EDPB-Website verfügt außerdem über zwei RSS-Feeds, die Sie für automatische Updates zu EDPB- Nachrichten und den neuesten Veröffentlichungen des EDSA abonnieren können.

Was ist die DSGVO?

Mit der DSGVO oder der Datenschutz-Grundverordnung wird ein harmonisiertes Regelwerk geschaffen, das für die Verarbeitung personenbezogener Daten durch im Europäischen Wirtschaftsraum (EWR) ansässige Organisationen (öffentlich oder privat, unabhängig von ihrer Größe) oder für Einzelpersonen in der EU gilt. Das Hauptziel der DSGVO besteht darin, sicherzustellen, dass personenbezogene Daten überall im EWR denselben hohen Schutzstandard genießen, die Rechtssicherheit sowohl für Einzelpersonen als auch für Organisationen, die Daten verarbeiten, erhöhen und ein hohes Maß an Schutz für Einzelpersonen bieten.

Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018.

Gilt die DSGVO auch für Papieraufzeichnungen?

Ja, die DSGVO gilt, wenn die personenbezogenen Daten in einem Ablagesystem enthalten sind oder sein sollen. Dies bedeutet, dass die DSGVO auch für Papieraufzeichnungen gilt und nicht nur für die automatisierte Verarbeitung personenbezogener Daten.

Weitere Informationen:

Was ist Gemeinsame Verantwortlichkeit?

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

  • Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

Weitere Informationen:

Ich organisiere im Rahmen meiner geschäftlichen Aktivitäten eine Veranstaltung, kann ich Fotos und Videos von der Veranstaltung und den Teilnehmern machen?

Ja, aber um dies zu tun, müssen Sie zunächst die Rechtsgrundlage für die Verarbeitung dieser Art von personenbezogenen Daten festlegen. Zum Beispiel könnte die Verarbeitung als berechtigtes Interesse für Ihre Organisation angesehen werden. Bei der Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses ist es immer notwendig, einen Abwägungstest durchzuführen, um festzustellen, ob Ihre berechtigten Interessen die Rechte des Einzelnen überwiegen, insbesondere, wenn Kinder beteiligt sind.

Eine weitere mögliche Rechtsgrundlage für eine solche Verarbeitung könnte die Einwilligung sein. Auf jeden Fall sollten Einzelpersonen immer im Voraus darüber informiert werden, dass die Veranstaltung fotografiert oder gefilmt wird.

Weitere Informationen:

Wenn ich Lebensläufe von Bewerbern für zukünftige Einstellungsverfahren speichern möchte, muss ich dann um die Zustimmung der Bewerber bitten?

Die Zustimmung könnte in der Tat eine gültige Rechtsgrundlage für die Speicherung der Lebensläufe der Bewerber sein. Eine weitere mögliche Rechtsgrundlage könnte ein berechtigtes Interesse sein. In diesem Fall müssten Sie einen Abwägungstest durchführen, um nachzuweisen, dass die berechtigten Interessen Ihrer Organisation die Rechte der Antragsteller überwiegen.

Auf jeden Fall müssen Sie die Kandidaten darüber informieren, dass Sie ihre Daten speichern möchten und zu welchen Zwecken.

Weitere Informationen:

Kann ich personenbezogene Daten nur verarbeiten, wenn ich die Einwilligung der Person habe?

Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine Rechtsgrundlage dafür besteht. Neben der unentgeltlichen, spezifischen, informierten und eindeutigen Einwilligung können andere Rechtsgrundlagen für die Verarbeitung genutzt werden.
Mit anderen Worten, eine Einwilligung ist erforderlich, wenn keine der anderen Rechtsgrundlagen zutrifft.
 

Weitere Informationen:

Muss ich zertifiziert sein, um Datenschutzbeauftragter (DSB) zu werden?

Nein, Sie müssen nicht zertifiziert sein, um ein DSB zu werden.

DSBs müssen jedoch nachweisen können, dass sie über die erforderlichen Qualifikationen verfügen, die nach der DSGVO erforderlich sind, wie z. B. Expertenwissen über Datenschutzgesetze und -praktiken.

Weitere Informationen:

Was ist eine Datenschutz-Folgenabschätzung und wann ist diese obligatorisch?

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

  • die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
  • eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
  • systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen: