Nein, die Verarbeitung sensibler Daten ist grundsätzlich verboten, außer unter ganz bestimmten Umständen:

• Die Person hat ihre ausdrückliche Einwilligung gegeben, dass ihre sensiblen Daten verarbeitet werden.
• Die Verarbeitung sensibler Daten ist erforderlich, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen nachkommen kann, insbesondere im Zusammenhang mit Beschäftigung, sozialer Sicherheit und sozialem Schutz. Beispielsweise muss der für die Verarbeitung Verantwortliche möglicherweise sensible Daten einer Person verarbeiten, um feststellen zu können, ob sie Anspruch auf bestimmte Sozialleistungen oder Gehaltszulagen haben.
• Die Verarbeitung sensibler Daten ist notwendig, um die lebenswichtigen Interessen einer Person zu schützen, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen. Wenn beispielsweise eine Person aufgrund eines Unfalls bewusstlos bleibt und eine sofortige medizinische Versorgung erfordert, müssen ihre Gesundheitsdaten möglicherweise für die angemessene medizinische Versorgung verarbeitet werden.
• Die Verarbeitung sensibler Daten erfolgt im Rahmen der legitimen Aktivitäten einer Stiftung, Vereinigung oder einer anderen gemeinnützigen Organisation mit einem politischen, philosophischen, religiösen oder gewerkschaftlichen Ziel und nur zur Verarbeitung der personenbezogenen Daten ihrer Mitglieder, ehemaligen Mitglieder oder Personen, die regelmäßig mit ihnen in Kontakt stehen.
• Die sensiblen Daten wurden offensichtlich von Einzelpersonen öffentlich gemacht.
• Die Verarbeitung sensibler Daten ist im Rahmen von Gerichtsverfahren erforderlich.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten von erheblichem öffentlichen Interesse erforderlich.
• Die Verarbeitung sensibler Daten ist im Rahmen der Präventiv- oder Arbeitsmedizin erforderlich. Zum Beispiel kann die Bewertung der sensiblen Daten einer Person, wie ihre medizinischen Daten, erforderlich sein, um ihre Arbeitsfähigkeit als Mitarbeiter zu bestimmen.
• Die Verarbeitung sensibler Daten ist für Fragen der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten von Einzelpersonen erforderlich sein, um eine hohe Qualität der Gesundheitsversorgung und eine hohe Qualität von Medizinprodukten zu gewährleisten oder ernste Gesundheitsbedrohungen wie Viren zu bekämpfen.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten der Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten erforderlich sein, um genaue Statistiken über die Situation eines Landes in einem bestimmten Bereich bereitzustellen. 

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Die Zustimmung könnte in der Tat eine gültige Rechtsgrundlage für die Speicherung der Lebensläufe der Bewerber sein. Eine weitere mögliche Rechtsgrundlage könnte ein berechtigtes Interesse sein. In diesem Fall müssten Sie einen Abwägungstest durchführen, um nachzuweisen, dass die berechtigten Interessen Ihrer Organisation die Rechte der Antragsteller überwiegen.

Auf jeden Fall müssen Sie die Kandidaten darüber informieren, dass Sie ihre Daten speichern möchten und zu welchen Zwecken.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Ja, aber um dies zu tun, müssen Sie zunächst die Rechtsgrundlage für die Verarbeitung dieser Art von personenbezogenen Daten festlegen. Zum Beispiel könnte die Verarbeitung als berechtigtes Interesse für Ihre Organisation angesehen werden. Bei der Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses ist es immer notwendig, einen Abwägungstest durchzuführen, um festzustellen, ob Ihre berechtigten Interessen die Rechte des Einzelnen überwiegen, insbesondere, wenn Kinder beteiligt sind.

Eine weitere mögliche Rechtsgrundlage für eine solche Verarbeitung könnte die Einwilligung sein. Auf jeden Fall sollten Einzelpersonen immer im Voraus darüber informiert werden, dass die Veranstaltung fotografiert oder gefilmt wird.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag zu komplex ist und mehr Zeit für die Beantwortung benötigt wird, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Sie müssen dies kostenlos tun.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Sie können personenbezogene Daten nicht für immer speichern.
Personenbezogene Daten dürfen in der Regel nur so lange gespeichert werden, wie dies angesichts der Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

In einigen Fällen kann die Speicherdauer durch spezifische Gesetze bestimmt werden, zum Beispiel legen Arbeitsvorschriften eine Speicherdauer für Gehaltsabrechnungslisten fest.

Organisationen sollten Richtlinien zur Speicherung einführen, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden. Personenbezogene Daten von Personen müssen gelöscht oder anonymisiert werden, sobald diese Daten für den Zweck, für den sie verarbeitet wurden, nicht mehr erforderlich sind. 

Weitere Informationen:

• Datenschutzgrundlagen

Einzelpersonen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und in diesem Fall ist der Verantwortliche verpflichtet, die personenbezogenen Daten zu löschen. Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist und mehr Zeit benötigt wird, um dem Antrag nachzukommen, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Es ist wichtig zu beachten, dass das Recht auf Löschung nicht absolut ist. Sie gilt nicht, wenn die betreffenden Daten erforderlich sind für:

• die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit (z. B. für journalistische Zwecke);
• die Erfüllung einer gesetzlichen Verpflichtung, die die Verarbeitung personenbezogener Daten erfordert (z. B. Verarbeitung von Aufzeichnungen über die Arbeitszeit der Arbeitnehmer);
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit
• Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;
• oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die DSGVO sieht spezifische Rechte für Einzelpersonen vor, die respektiert werden müssen. Sie können dies tun durch:

• Information der Personen, deren Daten Sie verarbeiten über Ihre Verarbeitungsvorgänge und die Verarbeitungszwecke bei der Erhebung ihrer Daten, beispielsweise über eine Datenschutzerklärung auf Ihrer Website;
• Beantwortung von Anträgen von Einzelpersonen auf Ausübung ihrer Rechte wie Zugang, Berichtigung, Widerspruch, Löschung oder Portabilitätsersuchen.

Organisationen, die in Bezug auf ihre Verwendung personenbezogener Daten transparent sind und die Rechte von Einzelpersonen respektieren, sind seltener Ziel von Beschwerden.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Damit die Zustimmung als gültig gilt, muss sie sein:

• frei gegeben werden;
• spezifisch;
• informiert; und
• eindeutig sein.

Dies bedeutet, dass Einzelpersonen eine wirklich freie Wahl haben müssen, ob sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden sind oder nicht; Sie benötigen ausreichende Informationen, damit sie verstehen können, welche Daten zu welchem Zweck verarbeitet werden und wie dies geschieht; Sie benötigen auch eine ausreichende Granularität bei Einwilligungsanfragen.
Darüber hinaus sollte es eine eindeutige bejahende Handlung des Einzelnen geben (ohne vorab angekreuzte Kästchen und getrennt von den geltenden Allgemeinen Geschäftsbedingungen).
Darüber hinaus müssen Einzelpersonen in der Lage sein, ihre Einwilligung (ohne negative Folgen) frei zu widerrufen, wenn sie später ihre Meinung ändern.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Die erforderlichen Sicherheitsmaßnahmen können je nach Art der von Ihnen verarbeiteten personenbezogenen Daten und den damit verbundenen Risiken für Einzelpersonen unterschiedlich sein. In jedem Fall gibt es einige Mindestmaßnahmen, die Sie ergreifen sollten:

• sicherer Zugang zu den Räumlichkeiten;
• regelmäßig aktualisierte Antivirensoftware verwenden;
• wählen Sie sorgfältig Ihre Passwörter aus;
• sorgen Sie dafür, dass sich die Benutzer authentifizieren, bevor Sie die Computereinrichtungen nutzen;
• haben Sie eine Datensicherungs- und Abrufrichtlinie im Falle eines Vorfalls.

Darüber hinaus sind einige grundlegende Maßnahmen wie das Sperren ihres Bildschirms, während sie abwesend sind, und das Zuschließen des Büros am Ende des Tages immer geeignete Sicherheitsmaßnahmen…

Weitere Informationen:

• Sichere personenbezogene Daten

Der EDSA veröffentlicht regelmäßig Pressemitteilungen, Nachrichten, Blogs und andere Inhalte auf der EDSA-Website und seinen Social-Media-Kanälen (Twitter: @EU_EDPB; LinkedIn: Europäischer Datenschutzausschuss), um die Datenschutzgemeinschaft und die Öffentlichkeit über ihre Arbeit auf dem neuesten Stand zu halten.

Die EDPB-Website verfügt außerdem über zwei RSS-Feeds, die Sie für automatische Updates zu EDPB- Nachrichten und den neuesten Veröffentlichungen des EDSA abonnieren können.