Die DSGVO unterscheidet zwischen zwei Hauptrollen: die des Datenverantwortlichen und des Datenverarbeiters. Diese Unterscheidung ist entscheidend, da der Verantwortliche mehr Verantwortung trägt und mehr Pflichten erfüllen muss als der Auftragsverarbeiter.
Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein, z. B.: ein KMU, eine Behörde, ein Unternehmen, eine Organisation, eine staatliche Einrichtung, eine Vereinigung usw.
Ein Verantwortlicher bestimmt die Zwecke und Mittel eines Verarbeitungsvorgangs. Mit anderen Worten, der Verantwortliche entscheidet über das Wie und Warum eines Verarbeitungsvorgangs. Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen. Die Verarbeitung durch Auftragsverarbeiter muss durch einen Vertrag mit dem für die Verarbeitung Verantwortlichen oder durch einen anderen Rechtsakt geregelt werden.

Beispiele für Datenverantwortliche:

• Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, um einen Verkauf abzuschließen;
• Finanzinstitute, die personenbezogene Daten ihrer Kunden verarbeiten;
• Vereinigungen, die die Daten ihrer Mitglieder verarbeiten;
• Schulen oder Universitäten, die personenbezogene Daten von Schülern und Lehrkräften verarbeiten;
• Krankenhäuser, die personenbezogene Daten ihrer Patienten verarbeiten;
• Behörden, die personenbezogene Daten von Bürgern verarbeiten.

Beispiele für Datenverarbeiter:

• ein KMU stellt einen Buchhaltungsdienst ein, um seine Bücher und Aufzeichnungen zu führen, das KMU ist ein Datenverantwortlicher und der Buchhaltungsdienst ein Datenverarbeiter;
• ein Lohnabrechnungsunternehmen verarbeitet personenbezogene Daten für ein KMU. Die Lohnabrechnungsgesellschaft fungiert als Auftragsverarbeiter, wenn sie die personenbezogenen Daten ausschließlich im Auftrag des KMU verarbeitet. Das KMU bestimmt die Zwecke und Mittel der Datenverarbeitung und ist daher für die Datenverarbeitung verantwortlich.
• ein KMU beauftragt ein Marketingunternehmen, E-Mail-Adressen über Websites Dritter zu sammeln.  Das Marketingunternehmen tut dies gemäß den ausdrücklichen Anweisungen des KMU und für die ausschließlichen Zwecke des KMU. Das Marketingunternehmen fungiert als Verarbeiter für diese Sammlung.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter

Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

• wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
• wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen
   

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
• sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
• die Sicherheit der Verarbeitung gewährleistet;
• keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
• den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
• den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
• auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
• dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
• Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Mit der DSGVO oder der Datenschutz-Grundverordnung wird ein harmonisiertes Regelwerk geschaffen, das für die Verarbeitung personenbezogener Daten durch im Europäischen Wirtschaftsraum (EWR) ansässige Organisationen (öffentlich oder privat, unabhängig von ihrer Größe) oder für Einzelpersonen in der EU gilt. Das Hauptziel der DSGVO besteht darin, sicherzustellen, dass personenbezogene Daten überall im EWR denselben hohen Schutzstandard genießen, die Rechtssicherheit sowohl für Einzelpersonen als auch für Organisationen, die Daten verarbeiten, erhöhen und ein hohes Maß an Schutz für Einzelpersonen bieten.

Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018.

Die Pseudonymisierung besteht darin, personenbezogene Daten so umzuwandeln, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht dem Einzelnen zugeordnet werden. In der Praxis kann dies bedeuten, dass personenbezogene Daten (Name, Vorname, persönliche Nummer, Telefonnummer usw.) in einem Datensatz durch indirekt identifizierte Daten (Alias, fortlaufende Nummer usw.) ersetzt werden. Pseudonymisierte Daten sind nach wie vor personenbezogene Daten und unterliegen der DSGVO.

Anonymisierte Daten sind Daten, die so anonymisiert wurden, dass die Person auf irgendeine Weise nicht oder nicht mehr identifizierbar ist, die vernünftigerweise wahrscheinlich verwendet wird. Bei ordnungsgemäßer Umsetzung der Anonymisierung gilt die DSGVO nicht mehr für die anonymisierten Daten.

Weitere Informationen:

• Sichere personenbezogene Daten

Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:

• die Gesundheit einer Person;
• die sexuelle Orientierung eines Individuums;
• die rassische oder ethnische Herkunft einer Person;
• die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
• biometrische und genetische Daten einer Person.

Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.

Weitere Informationen:

• Datenschutzgrundlagen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.

Beispiele für personenbezogene Daten sind:

• Vor- und Nachname;
• eine Wohnadresse;
• eine E-Mail-Adresse;
• eine ID-Kartennummer;
• Standortdaten;
• eine IP-Adresse (Internet Protocol),
• eine Cookie-ID;
• Bankkonten;
• Steuerberichte;
• biometrische Daten (wie Fingerabdruck);
• eine Sozialversicherungsnummer;
• Nummer des Reisepasses;
• Testergebnisse;
• Noten in der Schule;
• Browser History;
• Foto des Individuums;
• Fahrzeugkennzeichen usw.
   

Weitere Informationen:

• Datenschutzgrundlagen

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

• Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter