Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

  • wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
  • wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

 

Weitere Informationen:

 

Zum gleichen Thema:
Haben Sie Ihre Antwort gefunden?

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

 

Weitere Informationen:

Zum gleichen Thema:
Haben Sie Ihre Antwort gefunden?

In dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ist festgelegt, dass der Auftragsverarbeiter

  • die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen, einschließlich der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR verarbeitet;
  • sicherstellt, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
  • die Sicherheit der Verarbeitung gewährleistet;
  • keinen anderen Datenverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen darf;
  • den für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen des Verantwortlichen unterstützt, den Anträgen des Einzelnen nach Ausübung seiner Rechte nachzukommen;
  • den für die Verarbeitung Verantwortlichen bei der Sicherung der Verarbeitung, der Meldung von Datenschutzverletzungen und der Durchführung von DSFAs unterstützt;
  • auf Wunsch des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Verantwortlichen löscht oder zurückgibt;
  • dem für die Verarbeitung Verantwortlichen alle notwendigen Informationen zur Verfügung stellt, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen;
  • Audits ermöglicht und zu deren Gelingen beiträgt, einschließlich Inspektionen, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.

Darüber hinaus unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, wenn nach seiner Auffassung Weisungen gegen die DSGVO oder andere EU- oder nationale Datenschutzbestimmungen verstoßen.

 

Weitere Informationen:

 

Zum gleichen Thema:
Haben Sie Ihre Antwort gefunden?

Mit der DSGVO oder der Datenschutz-Grundverordnung wird ein harmonisiertes Regelwerk geschaffen, das für die Verarbeitung personenbezogener Daten durch im Europäischen Wirtschaftsraum (EWR) ansässige Organisationen (öffentlich oder privat, unabhängig von ihrer Größe) oder für Einzelpersonen in der EU gilt. Das Hauptziel der DSGVO besteht darin, sicherzustellen, dass personenbezogene Daten überall im EWR denselben hohen Schutzstandard genießen, die Rechtssicherheit sowohl für Einzelpersonen als auch für Organisationen, die Daten verarbeiten, erhöhen und ein hohes Maß an Schutz für Einzelpersonen bieten.

Die Verordnung trat am 24. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018.

Haben Sie Ihre Antwort gefunden?

Die Pseudonymisierung besteht darin, personenbezogene Daten so umzuwandeln, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht dem Einzelnen zugeordnet werden. In der Praxis kann dies bedeuten, dass personenbezogene Daten (Name, Vorname, persönliche Nummer, Telefonnummer usw.) in einem Datensatz durch indirekt identifizierte Daten (Alias, fortlaufende Nummer usw.) ersetzt werden. Pseudonymisierte Daten sind nach wie vor personenbezogene Daten und unterliegen der DSGVO.

Anonymisierte Daten sind Daten, die so anonymisiert wurden, dass die Person auf irgendeine Weise nicht oder nicht mehr identifizierbar ist, die vernünftigerweise wahrscheinlich verwendet wird. Bei ordnungsgemäßer Umsetzung der Anonymisierung gilt die DSGVO nicht mehr für die anonymisierten Daten.

 

Weitere Informationen:

Zum gleichen Thema:
Haben Sie Ihre Antwort gefunden?

Einige Arten von personenbezogenen Daten gehören zu besonderen Kategorien personenbezogener Daten, was bedeutet, dass sie mehr Schutz verdienen, sogenannte sensible Daten. Sensible Daten umfassen Daten, die Informationen über:

  • die Gesundheit einer Person;
  • die sexuelle Orientierung eines Individuums;
  • die rassische oder ethnische Herkunft einer Person;
  • die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen; die Gewerkschaftsmitgliedschaft eines Einzelnen;
  • biometrische und genetische Daten einer Person.

Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen.

 

Weitere Informationen:

Haben Sie Ihre Antwort gefunden?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine identifizierbare Person ist jeder, der direkt oder indirekt identifiziert werden kann. Verschiedene Informationen, die zusammengefügt werden, könnten auch zur Identifizierung einer bestimmten Person führen.

Beispiele für personenbezogene Daten sind:

  • Vor- und Nachname;
  • eine Wohnadresse;
  • eine E-Mail-Adresse;
  • eine ID-Kartennummer;
  • Standortdaten;
  • eine IP-Adresse (Internet Protocol),
  • eine Cookie-ID;
  • Bankkonten;
  • Steuerberichte;
  • biometrische Daten (wie Fingerabdruck);
  • eine Sozialversicherungsnummer;
  • Nummer des Reisepasses;
  • Testergebnisse;
  • Noten in der Schule;
  • Browser History;
  • Foto des Individuums;
  • Fahrzeugkennzeichen usw.
     

 

Weitere Informationen:

 

Haben Sie Ihre Antwort gefunden?

Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

  • Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

 

Weitere Informationen:

 

Haben Sie Ihre Antwort gefunden?

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

  • die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
  • eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
  • systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen:

Haben Sie Ihre Antwort gefunden?

Die DSGVO gibt Einzelpersonen die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Um dies zu erreichen, ist Transparenz der Schlüssel. Dies bedeutet, dass Sie Personen informieren müssen, deren Daten Sie über Ihre Verarbeitungsvorgänge und die Zwecke verarbeiten. Mit anderen Worten, Sie müssen erklären, wer ihre Daten verarbeitet, aber auch wie und warum. Nur wenn die Verwendung personenbezogener Daten für die Beteiligten „transparent“ ist, können sie mögliche Risiken einschätzen und Entscheidungen über ihre personenbezogenen Daten treffen.
Gemäß der DSGVO sind Sie verpflichtet, die folgenden Informationen mit Einzelpersonen zu teilen:

  • die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen;
  • die Zwecke der Verarbeitung;
  • Rechtsgrundlage der Verarbeitung (wenn berechtigtes Interesse, spezifische Informationen darüber, welche berechtigten Interessen sich auf die spezifische Verarbeitung beziehen und welche Einrichtung jedes berechtigte Interesse verfolgt.)
  • die Kontaktdaten des für die Verarbeitung Verantwortlichen;
  • die Kontaktdaten des DSB (wenn es einen DSB gibt);
  • die Empfänger oder Kategorien von Empfängern der Daten;
  • Informationen darüber, ob die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (falls zutreffend: das Bestehen oder Nichtvorliegen einer Angemessenheitsentscheidung oder Bezugnahme auf die geeigneten Garantien und wie diese Informationen den betroffenen Personen zur Verfügung gestellt werden können;
  • die Kategorien der verarbeiteten personenbezogenen Daten, wenn die Daten nicht von der Person bezogen werden.

Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Aufbewahrungsfrist oder, wenn dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums;
  • das Recht auf Auskunft, Löschung, Berichtigung, Einschränkung, Widerspruch und Übertragbarkeit personenbezogener Daten
  • das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde;
  • wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist: das Recht, die Einwilligung jederzeit zu widerrufen;
  • im Falle einer automatisierten Entscheidungsfindung relevante Informationen über die zugrundeliegende Logik und die beabsichtigten Folgen der Verarbeitung für die betroffene Person;
  • die Quelle der personenbezogenen Daten (wenn Sie sie nicht direkt von der betroffenen Person erhalten haben;
  • ob die Person verpflichtet ist, die personenbezogenen Daten (gesetzlich oder vertraglich oder vertraglich) zur Verfügung zu stellen, und welche Folgen die Verweigerung der Daten hat.
     

Weitere Informationen:

 

Zum gleichen Thema:
Haben Sie Ihre Antwort gefunden?
Subscribe to