1. Stellen Sie sicher, dass die von Ihnen erhaltenen Daten rechtmäßig erhoben wurden und dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informiert wurden.
2. Für den Fall, dass ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet, stellen Sie sicher, dass Sie einen Vertrag über die Auftragsverarbeitung haben, der die Verarbeitungsvorgänge und die Mittel zur Verarbeitung personenbezogener Daten beschreibt.

Und natürlich müssen Sie alle Pflichten als der für die Verarbeitung Verantwortliche einhalten.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Nein, die Verarbeitung sensibler Daten ist grundsätzlich verboten, außer unter ganz bestimmten Umständen:

• Die Person hat ihre ausdrückliche Einwilligung gegeben, dass ihre sensiblen Daten verarbeitet werden.
• Die Verarbeitung sensibler Daten ist erforderlich, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen nachkommen kann, insbesondere im Zusammenhang mit Beschäftigung, sozialer Sicherheit und sozialem Schutz. Beispielsweise muss der für die Verarbeitung Verantwortliche möglicherweise sensible Daten einer Person verarbeiten, um feststellen zu können, ob sie Anspruch auf bestimmte Sozialleistungen oder Gehaltszulagen haben.
• Die Verarbeitung sensibler Daten ist notwendig, um die lebenswichtigen Interessen einer Person zu schützen, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen. Wenn beispielsweise eine Person aufgrund eines Unfalls bewusstlos bleibt und eine sofortige medizinische Versorgung erfordert, müssen ihre Gesundheitsdaten möglicherweise für die angemessene medizinische Versorgung verarbeitet werden.
• Die Verarbeitung sensibler Daten erfolgt im Rahmen der legitimen Aktivitäten einer Stiftung, Vereinigung oder einer anderen gemeinnützigen Organisation mit einem politischen, philosophischen, religiösen oder gewerkschaftlichen Ziel und nur zur Verarbeitung der personenbezogenen Daten ihrer Mitglieder, ehemaligen Mitglieder oder Personen, die regelmäßig mit ihnen in Kontakt stehen.
• Die sensiblen Daten wurden offensichtlich von Einzelpersonen öffentlich gemacht.
• Die Verarbeitung sensibler Daten ist im Rahmen von Gerichtsverfahren erforderlich.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten von erheblichem öffentlichen Interesse erforderlich.
• Die Verarbeitung sensibler Daten ist im Rahmen der Präventiv- oder Arbeitsmedizin erforderlich. Zum Beispiel kann die Bewertung der sensiblen Daten einer Person, wie ihre medizinischen Daten, erforderlich sein, um ihre Arbeitsfähigkeit als Mitarbeiter zu bestimmen.
• Die Verarbeitung sensibler Daten ist für Fragen der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten von Einzelpersonen erforderlich sein, um eine hohe Qualität der Gesundheitsversorgung und eine hohe Qualität von Medizinprodukten zu gewährleisten oder ernste Gesundheitsbedrohungen wie Viren zu bekämpfen.
• Die Verarbeitung sensibler Daten ist für Angelegenheiten der Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten erforderlich sein, um genaue Statistiken über die Situation eines Landes in einem bestimmten Bereich bereitzustellen. 

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Die Veröffentlichung der Namen der Gewinner eines Gewinnspiels auf Ihrer Website könnte als berechtigtes Interesse angesehen werden, wenn Sie dies durch eine Abwägungsprüfung nachweisen können, um festzustellen, ob Ihre berechtigten Interessen das Recht des Einzelnen überwiegen.

Eine bewährte Praxis wäre die Einrichtung eines internen Verfahrens, in dem die Regeln für die Veröffentlichung personenbezogener Daten der Gewinner erläutert werden.

Darüber hinaus sollte die Verarbeitung personenbezogener Daten für diese Zwecke Teil der Datenschutzerklärung des Wettbewerbs sein, damit die Teilnehmer im Voraus darüber informiert werden, wie ihre Daten verarbeitet werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten
   

Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine Rechtsgrundlage dafür besteht. Neben der unentgeltlichen, spezifischen, informierten und eindeutigen Einwilligung können andere Rechtsgrundlagen für die Verarbeitung genutzt werden.
Mit anderen Worten, eine Einwilligung ist erforderlich, wenn keine der anderen Rechtsgrundlagen zutrifft.
 

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Ja, Ihre Kunden müssen bei einem Telefonat über die Zwecke der Aufzeichnung, die Empfänger der Aufzeichnungen, ihr Widerspruchsrecht und ihr Recht auf Zugang zu den Aufzeichnungen informiert werden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Die Benennung eines DSB ist in den folgenden drei Fällen obligatorisch:

• Wenn die Organisation eine Behörde ist;
• wenn die Kerntätigkeiten der Organisation in der regelmäßigen und systematischen Überwachung von Personen in großem Umfang bestehen, z. B. Geolokalisierung über eine mobile Anwendung oder Überwachung von Einkaufszentren und öffentlichen Räumen durch Kameraüberwachung;
• wenn die Kerntätigkeit der Organisation in der groß angelegten Verarbeitung sensibler Daten oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten besteht.

Sie können jederzeit einen DSB auf freiwilliger Basis ernennen, auch wenn dies gesetzlich nicht erforderlich ist. Bitte beachten Sie, dass Sie in diesem Fall alle Bestimmungen der DSGVO bezüglich der Aufgaben und Position des Datenschutzbeauftragten einhalten müssen.
 

Weitere Informationen:

• Datenschutzbeauftragter
   

Wenn Ihre Organisation die personenbezogenen Daten direkt von Einzelpersonen sammelt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Der Zeitraum von maximal einem Monat kann reduziert werden:

• wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
• wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber. 

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die Verarbeitung personenbezogener Daten ist jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten von Einzelpersonen durchgeführt wird. Dies umfasst die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

DSBs können andere Aufgaben innerhalb der Organisation erfüllen, dies darf jedoch nicht zu einem Interessenkonflikt führen. Dies bedeutet, dass der DSB keine Position haben kann, in der er die Zwecke und Mittel der Verarbeitungstätigkeiten bestimmt. Widersprüchliche Funktionen umfassen hauptsächlich Führungspositionen (Vorstandsvorsitzende, Chief Operating, Chief Financial Officer, Head of HR, Head of IT, Managing Director), aber auch andere Funktionen, wenn sie zur Bestimmung der Zwecke und der Mittel der Verarbeitung führen.

Der DSB muss in der Lage sein, seine Aufgaben und Aufgaben unabhängig wahrzunehmen. Dies bedeutet, dass Ihre Organisation:

• dem DSB keine Weisungen hinsichtlich der Erfüllung seiner Aufgaben erteilen dürfen;
• den DSB nicht für die Erfüllung seiner Aufgaben bestrafen oder entlassen darf.

Weitere Informationen:

• Datenschutzbeauftragter
   

Eine Datenschutz-Folgenabschätzung oder DSFA ist eine schriftliche Bewertung, die Ihr Unternehmen vornehmen sollte, um die Auswirkungen eines geplanten Verarbeitungsvorgangs zu bewerten. Es hilft Ihnen, geeignete Maßnahmen zur Bewältigung der Risiken zu identifizieren und Compliance nachzuweisen.

Während es immer vorzuziehen ist, die Auswirkungen der geplanten Verarbeitungsvorgänge Ihrer Organisation durch die Durchführung von DSFA zu antizipieren, ist es obligatorisch, eine DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung – in großem Umfang – sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen;  
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die rechtliche Auswirkungen auf die Person in Fragen haben oder in ähnlicher Weise Personen erheblich betreffen;
• systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

Der EDSA hat Leitlinien entwickelt, in denen die Kriterien aufgeführt sind, die bei der Beurteilung, ob eine DSFA obligatorisch ist oder nicht, zu berücksichtigen sind. Datenschutzbehörden haben auch Listen von Verarbeitungsvorgängen veröffentlicht, die einer DSFA unterliegen. Darüber hinaus haben mehrere Datenschutzaufsichtsbehörden Leitfäden, Software oder Selbsteinschätzungstools entwickelt, die Ihnen bei Ihrer Bewertung helfen.
 

Weitere Informationen:

• Verhalten Sie sich rechtskonform