Wenn es zwei oder mehr Datenverantwortliche gibt, die gemeinsam den Zweck und die Mittel der Verarbeitung bestimmen, gelten sie als gemeinsame Verantwortliche. Sie entscheiden gemeinsam, personenbezogene Daten zu einem gemeinsamen Zweck zu verarbeiten. Gemeinsame Kontrolle kann viele Formen annehmen und die Teilnahme der verschiedenen Controller kann ungleich sein. Die gemeinsamen Verantwortlichen müssen daher ihre jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO bestimmen.

Es ist wichtig zu beachten, dass die gemeinsame Verantwortlichkeit zur gemeinsamen Verantwortung für eine Verarbeitungstätigkeit führt.

• Beispiel für die gemeinsame Kontrolle: Die Unternehmen A und B haben ein Co-Branding-Produkt ins Leben gerufen und möchten eine Veranstaltung organisieren, um dieses Produkt zu bewerben. Zu diesem Zweck beschließen sie, Daten aus ihren jeweiligen Kunden- und potenziellen Kundendatenbanken zu teilen und auf dieser Grundlage die Liste der zu der Veranstaltung eingeladenen Personen festzulegen. Sie vereinbaren auch die Modalitäten für das Senden der Einladungen zur Veranstaltung, wie Sie Feedback während der Veranstaltung sammeln und Marketingmaßnahmen verfolgen können. Unternehmen A und B können als gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Organisation der Werbeveranstaltung angesehen werden, da sie gemeinsam über den gemeinsam definierten Zweck und die wesentlichen Mittel der Datenverarbeitung in diesem Zusammenhang entscheiden.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter
   

Die DSGVO erlegt allen Organisationen, die personenbezogene Daten verarbeiten, Verpflichtungen auf, unabhängig davon, ob sie für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter sind.
Insbesondere sollten Sie:

• sich fragen, ob der Zweck, für den personenbezogene Daten erhoben werden können, gerechtfertigt ist, und Sie nur personenbezogene Daten erheben, die für den/die vorgesehenen Zweck(e) erforderlich sind;
• die personenbezogenen Daten der Personen auf dem neuesten Stand halten und die Daten löschen, wenn dies nicht mehr erforderlich ist;
• die Rechte des Einzelnen respektieren, indem sie diese darüber informieren, wie und warum ihre Daten verarbeitet werden, und dass sie ihre Rechte ausüben können;
• Sie prüfen, ob Sie über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Wenn Sie beabsichtigen, sich auf die Einwilligung von Einzelpersonen zu verlassen, bitten Sie um ihre Einwilligung, bevor Sie ihre personenbezogenen Daten verarbeiten;
• Sie sicherstellen, dass die personenbezogenen Daten von Einzelpersonen auf sichere Weise behandelt werden;
• Sie eine Aufzeichnung der Verarbeitungsvorgänge führen.

Die Datenverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Vertrag über die Verarbeitung Verantwortlicher festgelegt sind, und sie dürfen die Daten nicht anders als gemäß den Anweisungen des Verantwortlichen verarbeiten.

Weitere Informationen:

• Verhalten Sie sich rechtskonform
• Verantwortlicher oder Auftragsverarbeiter
• Datenschutzgrundlagen

Einzelpersonen können Sie fragen, ob Sie ihre Daten verarbeiten. Wo dies der Fall ist, haben sie ein Recht auf Zugang zu diesen Daten. Wenn dies geschieht und wenn Sie ihre Daten verarbeiten, sollten Sie beispielsweise eine Kopie ihrer personenbezogenen Daten kostenlos zusammen mit allen notwendigen zusätzlichen Informationen zur Verfügung stellen. Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die Antragsteller wünschen es anders.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen
   

Organisations must, in the case of direct collection of personal data from the individuals concerned, provide information about the processing operations in a concise and transparent way, using understandable, easily accessible and clear and plain language. This can be done in writing (e.g. on the reverse side of a tender) or by electronic means (e.g. on a website). If the person concerned so requests, you may also provide this information orally, but you must be able to prove this afterwards.

Even when the data was collected indirectly, i.e. if you do not directly collect the personal data from an individual yourself, but for example via a third party, you must provide the same detailed information to individuals

A personal data breach is a security breach leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

• If the data breach poses a risk to the individuals concerned, you must report it to the relevant data protection authority within 72 hours.
• If the breach is likely to result in a high risk to individuals, you will also need to communicate that breach to the individuals concerned without undue delay.

In any case, for all breaches – even those that are not notified to a DPA - you must record at least the basic details of the breach, the assessment thereof, its effects, and the steps taken in response.

More information:

• Data breaches

Einzelpersonen haben das Recht, die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und in diesem Fall ist der Verantwortliche verpflichtet, die personenbezogenen Daten zu löschen. Sie sollten unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist und mehr Zeit benötigt wird, um dem Antrag nachzukommen, sofern die Person davon innerhalb eines Monats nach Eingang des Antrags informiert wird.

Es ist wichtig zu beachten, dass das Recht auf Löschung nicht absolut ist. Sie gilt nicht, wenn die betreffenden Daten erforderlich sind für:

• die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit (z. B. für journalistische Zwecke);
• die Erfüllung einer gesetzlichen Verpflichtung, die die Verarbeitung personenbezogener Daten erfordert (z. B. Verarbeitung von Aufzeichnungen über die Arbeitszeit der Arbeitnehmer);
• das öffentliche Interesse im Bereich der öffentlichen Gesundheit
• Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke;
• oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Die DSGVO sieht spezifische Rechte für Einzelpersonen vor, die respektiert werden müssen. Sie können dies tun durch:

• Information der Personen, deren Daten Sie verarbeiten über Ihre Verarbeitungsvorgänge und die Verarbeitungszwecke bei der Erhebung ihrer Daten, beispielsweise über eine Datenschutzerklärung auf Ihrer Website;
• Beantwortung von Anträgen von Einzelpersonen auf Ausübung ihrer Rechte wie Zugang, Berichtigung, Widerspruch, Löschung oder Portabilitätsersuchen.

Organisationen, die in Bezug auf ihre Verwendung personenbezogener Daten transparent sind und die Rechte von Einzelpersonen respektieren, sind seltener Ziel von Beschwerden.

Weitere Informationen:

• Wahrung der Rechte des Einzelnen

Sie können personenbezogene Daten nicht für immer speichern.
Personenbezogene Daten dürfen in der Regel nur so lange gespeichert werden, wie dies angesichts der Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

In einigen Fällen kann die Speicherdauer durch spezifische Gesetze bestimmt werden, zum Beispiel legen Arbeitsvorschriften eine Speicherdauer für Gehaltsabrechnungslisten fest.

Organisationen sollten Richtlinien zur Speicherung einführen, um sicherzustellen, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden. Personenbezogene Daten von Personen müssen gelöscht oder anonymisiert werden, sobald diese Daten für den Zweck, für den sie verarbeitet wurden, nicht mehr erforderlich sind. 

Weitere Informationen:

• Datenschutzgrundlagen

Die erforderlichen Sicherheitsmaßnahmen können je nach Art der von Ihnen verarbeiteten personenbezogenen Daten und den damit verbundenen Risiken für Einzelpersonen unterschiedlich sein. In jedem Fall gibt es einige Mindestmaßnahmen, die Sie ergreifen sollten:

• sicherer Zugang zu den Räumlichkeiten;
• regelmäßig aktualisierte Antivirensoftware verwenden;
• wählen Sie sorgfältig Ihre Passwörter aus;
• sorgen Sie dafür, dass sich die Benutzer authentifizieren, bevor Sie die Computereinrichtungen nutzen;
• haben Sie eine Datensicherungs- und Abrufrichtlinie im Falle eines Vorfalls.

Darüber hinaus sind einige grundlegende Maßnahmen wie das Sperren ihres Bildschirms, während sie abwesend sind, und das Zuschließen des Büros am Ende des Tages immer geeignete Sicherheitsmaßnahmen…

Weitere Informationen:

• Sichere personenbezogene Daten