Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Was ist die DSGVO? Ein vollständiger Leitfaden über alles, was Sie wissen müssen, um den Anforderungen zu entsprechen

 

Wofür steht DSGVO?

Was ist die DSGVO und wofür steht die? DSGVO steht für „Datenschutz-Grundverordnung“ (Verordnung (EU) 2016/679) und legt in ihrer grundlegendsten Form fest, wie personenbezogene Daten rechtmäßig verarbeitet werden sollten (einschließlich der Art und Weise, wie sie im Allgemeinen erfasst, verwendet und geschützt werden, oder wie mit ihnen umgegangen wird).

Damit soll der Datenschutz für alle Personen gestärkt werden, deren personenbezogene Daten in den Geltungsbereich der DSGVO fallen. Die Kontrolle über diese Daten soll wieder in ihre Hände gelegt werden.

Was genau versteht man unter „Personenbezogene Daten“?

Personenbezogene Daten im Sinne der DSGVO sind alle Daten, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Dazu gehören auch Informationen, die, wenn diese erfasst werden, zur Identifizierung einer Person führen können.

Dies gilt auch für Daten, die pseudonymisiert oder verschlüsselt wurden, solange die Verschlüsselung/Anonymisierung umkehrbar ist. Dies bedeutet, bezüglich der Erfüllung der datenschutzrechtlichen Verpflichtungen, dass die Entschlüsselungscodes getrennt von den pseudonymisierten Daten aufbewahrt werden müssen.

Beispiele für personenbezogene Daten sind unter anderem grundlegende Identitätsdaten wie Namen; medizinische, genetische und biometrische Daten; sowie Webdaten wie IP-Adressen, persönliche E-Mail-Adressen, politische Meinungen und Daten zur sexuellen Orientierung.

Beispiele für nicht-personenbezogene Daten sind Firmenregistrierungsnummern, universelle E-Mail-Adressen von Unternehmen, wie z.B. info@company.com, und anonymisierte Daten.

Im Folgenden verwendete Sonderdefinitionen
  • Der Begriff „Nutzer“ bezeichnet hier eine Person, (auch bekannt als die betroffene Person), deren personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter bearbeitet werden.
  • Der Begriff „Verantwortlicher“ bezeichnet jede natürliche oder juristische Person, die an der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen beteiligt ist.
  • Der Begriff „Auftragsverarbeiter“ bezeichnet jede natürliche Person oder juristische Einheit, die im Auftrag des Verantwortlichen an der Verarbeitung personenbezogener Daten beteiligt ist.

Beispielsweise kann eine Internetfirma Nutzerinformationen über Ihre Website erfassen und über einen Cloud-Service eines Drittanbieters speichern. In diesem Szenario ist die Internetfirma der Verantwortliche und die Organisation, die den Cloud-Service betreibt, ist der Auftragsverarbeiter.

Wo gilt diese?

Die DSGVO gilt dort, wo:

  • Die Operationsbasis eines Unternehmens in der EU liegt (dies gilt unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht);
  • Ein nicht in der EU ansässiges Unternehmen kann Waren oder Dienstleistungen (auch wenn das Angebot kostenlos ist) an Personen in der EU anbietet. Dabei kann es sich um Regierungsbehörden, private/öffentliche Unternehmen, Einzelpersonen und gemeinnützige Organisationen handeln;
  • Ein Unternehmen das nicht in der EU ansässig ist, aber dennoch die Aktivitäten von Personen überwacht, die sich in der EU aufhalten, vorausgesetzt, dass diese Aktivitäten in der EU stattfinden.

Dieser Anwendungsbereich erstreckt sich effektiv auf fast alle Unternehmen und bedeutet daher, dass das die DSGVO auf Sie anwendbar ist, unabhängig davon, ob Ihre Organisation ihren Sitz in der EU hat oder nicht. Tatsächlich hat diese PwC-Umfrage (auf Englisch) gezeigt, dass die DSGVO für bis zu 92 Prozent der befragten US-Unternehmen höchste Priorität beim Datenschutz hat.

Ein weit verbreiteter Irrglaube ist, dass nur Nutzer aus der EU unter dem Schutz der DSGVO fallen. Die DSGVO gilt jedoch auch für Nutzer außerhalb der EU, wenn der Verantwortliche in der EU ansässig ist. Wenn Sie also ein Verantwortlicher in der EU sind, müssen Sie die Anforderungen der DSGVO grundsätzlich auf ALLE Ihre Nutzer anwenden.

Die DSGVO wurde am 25. Mai 2018 vollständig in Kraft gesetzt.

Wann die DSGVO nicht gilt

Die Bedingungen für die Anwendbarkeit der DSGVO sind in den DSGVO-Artikeln 2 & 3 aus materieller und geographischer Sicht festgelegt. Um festzustellen, ob eine bestimmte Datenverarbeitungstätigkeit von dem Geltungsbereich der DSGVO ausgenommen ist, müssen wir beide Aspekte berücksichtigen.

Materieller Aspekt

Der materielle Geltungsbereich der DSGVO gilt für die Verarbeitung personenbezogener Daten. Sie gilt daher nicht für Firmendaten, wie z.B. Firmenname und Adresse. Seien Sie hier jedoch vorsichtig, da normalerweise „natürliche Personen“ in einem Unternehmen arbeiten, würden alle Daten, die sich auf diese beziehen, als „personenbezogen“ gelten, unabhängig davon, ob sie in einem Business-to-Customer (B2C)- oder Business-to-Business (B2B)-Kontext erfasst werden.

Darüber hinaus würden personenbezogene Daten nicht in den Geltungsbereich der DSGVO fallen, sofern:

  • sie von den Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik der EU bearbeitet werden;
  • sie von den zuständigen Behörden verarbeitet werden zum Zweck der Vorbeugung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen. Dies schließt den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit ein;
  • sie von Einrichtungen, Ämtern und Agenturen der EU bearbeitet werden;
  • sie von einer natürlichen Person im Rahmen einer rein persönlichen oder häuslichen Tätigkeit verarbeitet werden.

Praktisch gesehen ist die einzige bedeutende Ausnahme die letztere: Wenn Sie beispielsweise die personenbezogenen Daten Ihrer Freunde für Ihr eigenes persönliches Telefonbuch erfassen, sind Sie nicht an die DSGVO gebunden.

Geografischer Aspekt

Zusätzlich und unabhängig von den oben genannten Punkten haben wir bereits erwähnt, unter welchen Bedingungen die DSGVO aus geografischer Sicht Gültigkeit hat, oder mit anderen Worten der territoriale Geltungsbereich der DSGVO.

Damit eine Datenverarbeitungsaktivität nicht der DSGVO unterliegt, muss Folgendes kumulativ gelten:

  • der Verantwortliche (oder Auftragsverarbeiter) hat seinen Sitz nicht innerhalb der EU. Denken Sie immer daran, dass der Verantwortliche (oder Auftragsverarbeiter) auch eine EU-Niederlassung eines Nicht-EU-Unternehmens sein könnte. In diesem Fall würde selbst dann, wenn die Zweigniederlassung keine juristische Persönlichkeit hätte, die DSGVO uneingeschränkt gelten;
  • die Datenverarbeitung bezieht sich nicht auf das Angebot von Waren oder Dienstleistungen (auch nicht unentgeltlicher Art) an die betroffenen Personen in der Union oder auf die Überwachung ihrer Aktivitäten soweit diese innerhalb der Union stattfinden;
  • der Verantwortliche ist nicht an einem Ort außerhalb der EU ansässig, wo das EU-Recht aufgrund internationaler Gesetzgebung gilt.

Sehen wir uns einige praktische Beispiele an:

  1. Das in den USA ansässige Unternehmen „A“ verkauft Waren an, in der EU ansässige, Verbraucher (→ DSGVO ist gültig) und stellt ein in den USA ansässiges Unternehmen „B“ für Marktanalysen und statistische Zwecke ein. Unterliegt Unternehmen B der DSGVO, obwohl es weder in der EU ansässig ist noch Waren oder Dienstleistungen an EU-Kunden verkauft? Wahrscheinlich ja, wenn die Marktanalyse- und Statistiktätigkeit eine „Überwachung des Kundenverhaltens“ von Kunden aus der EU erfordert.
  2. Müssen sich die Mitarbeiter des italienischen Konsulats in New York an die DSGVO halten? Ja, denn die DSGVO ist aufgrund des „internationalen Rechts“ auf diese anwendbar.
  3. Muss ein in China ansässiges Unternehmen, das Waren über eine Website verkauft, die nur in chinesischer Sprache verfasst ist, der DSGVO entsprechen, nur weil es aus praktischer Sicht möglich ist, dass einige in der EU ansässige Chinesen etwas von ihr kaufen? Im Prinzip würden wir nein sagen, es sei denn, es kann nachgewiesen werden, dass das Unternehmen relevante Geschäfte, mit in der EU ansässigen Kunden, tätigt oder sich ausdrücklich an diese wendet (z.B. indem es informiert, dass „Lieferung in die EU“ oder „Zahlung von einem EU-Bankkonto“ möglich ist usw.).

Wichtigste DSGVO-Anforderungen und wie man dieser entspricht

Rechtliche Grundlage für die Datenverarbeitung

Nach der DSGVO kann eine Datenverarbeitung nur dann erfolgen, wenn es dafür mindestens eine rechtliche Grundlage gibt.

Die rechtlichen Grundlagen sind:

  • Der Nutzer hat die Einwilligung für einen oder mehrere spezifische Zwecke der Datenerfassung erteilt;
  • Die Datenverarbeitung ist notwendig für die Erfüllung eines Vertrags, an dem der Nutzer beteiligt ist, oder notwendig, um (vom Nutzer beantragte) Schritte vor dem Vertragsabschluss zu unternehmen;
  • Die Datenverarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, an die der Verantwortliche gebunden ist;
  • Die Datenverarbeitung ist notwendig, um die wesentlichen Interessen des Nutzers oder einer anderen Person zu schützen.;
  • Die Datenverarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im Interesse der Öffentlichkeit oder im Rahmen der offiziellen Befugnis durchgeführt wird, die dem Verantwortlichen erteilt wurde;
  • Die Datenverarbeitung ist für die berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen, Rechte und Freiheiten des Nutzers überwiegen, insbesondere wenn der Nutzer ein Kind ist.

Einwilligung

Organisationen müssen eine überprüfbare Einwilligung von Nutzern einholen.

In Bezug auf die Einwilligung für Kinder (auf Englisch) müssen Unternehmen die nachprüfbare Einwilligung eines Elternteils oder Erziehungsberechtigten einholen, es sei denn, es handelt sich bei dem angebotenen Dienst um einen Präventiv- oder Beratungsdienst. Unternehmen müssen sich angemessen bemühen zu prüfen (unter Verwendung der verfügbaren Technologie), ob die Person, die die Einwilligung erteilt, tatsächlich die elterliche Verantwortung für das Kind trägt.

Im Allgemeinen dürfen Unternehmen bei der Einholung der Einwilligung zur Datenverarbeitung keine übermäßig komplizierten oder nicht entzifferbaren Begriffe verwenden. Dazu gehören Rechtssprache und unnötiger Jargon. Dies deutet darauf hin, dass Begriffe und Datenschutzerklärungen leserlich dargelegt werden sollten (siehe hier unser Exemplar), wobei eine verständliche Sprache und Klauseln verwendet werden sollten, so dass sich die Nutzer voll und ganz darüber im Klaren sind, wozu sie ihre Einwilligung geben und was die Konsequenzen ihrer Einwilligung sind.

Die Verordnung verbietet ausdrücklich vorab angekreuzte Kästchen

Unternehmen müssen über den Zweck der Datenerfassung transparent sein, und die Einwilligung sollte „explizit und freiwillig erteilt“ werden. Dies bedeutet, dass der Mechanismus zur Einholung der Einwilligung eindeutig sein und eine klare „Opt-In“-Aktion beinhalten muss (die Verordnung verbietet ausdrücklich vor angekreuzte Kästchen und ähnliche „Opt-Out“-Mechanismen). Die Verordnung gibt auch ein spezifisches Recht an, die Einwilligung zu widerrufen; es muss daher genauso einfach sein, die Einwilligung zu widerrufen, wie sie zu erteilen.

Da die Einwilligung gemäß der DSGVO eine sehr wichtige Angelegenheit ist, ist es zwingend erforderlich, dass Sie ein klares Verzeichnis führen und nachweisen können, dass der Nutzer seine Einwilligung gegeben hat; sollten Probleme auftreten, liegt die Beweislast beim Verantwortlichen, so dass es von entscheidender Bedeutung ist, genaue Verzeichnisse zu führen.

Die Dokumente sollten Folgendes enthalten:

  • wer die Einwilligung erteilt hat;
  • wann und wie die Einwilligung des einzelnen Nutzers eingeholt wurde;
  • das Einwilligungsformular, das ihnen zum Zeitpunkt der Erfassung vorgelegt wurde;
  • welche Bedingungen und Rechtsdokumente zum Zeitpunkt der Einholung der Einwilligung gültig waren.

Nachstehend finden Sie ein Beispiel für eine vorschriftsmäßiges Verzeichnis im Vergleich zu einem nicht vorschriftsmäßigen Verzeichnis:

Nicht-konforme Verzeichnisse Konforme Verzeichnisse
Einfach eine Tabelle zu führen, auf der die Namen der Kunden aufgeführt sind und ob eine Einwilligung erteilt wurde oder nicht Stellen Sie sicher, dass Sie eine Kopie des vom Nutzer unterzeichneten und datierten Formulars aufbewahren, aus dem hervorgeht, welche Maßnahmen der Nutzer ergriffen hat, um der spezifischen Datenverarbeitung seine Einwilligung zu erteilen.
Einfach die Zeit und das Datum der Einwilligung mit einer IP-Adresse verknüpfen, mit einem Web-Link zu Ihrem aktuellen Datenerfassungsformular und Ihrer Datenschutzerklärung. Führen umfassender Verzeichnisse, die eine Nutzer-ID und die erfassten Daten, einschließlich eines Zeitstempels, enthalten. Sie bewahren auch eine Kopie der Version des Datenerfassungsformulars und aller anderen relevanten Dokumente auf, die an diesem Datum benutzt wurden.

Gültige Verzeichnisse zu führen ist zwar obligatorisch, kann aber eine technische Herausforderung darstellen. Unsere Consent Solution vereinfacht diesen Prozess und macht es Ihnen leicht, Ihre aufgezeichneten Einwilligungen einzusehen, zu verwalten und zu exportieren. Sie können hier mehr darüber lesen.

Hinweis zur Einwilligung: Dies ist nicht die einzige rechtliche Grundlage, die ein Unternehmen für die Verarbeitung von Nutzerdaten wählen kann; es ist nur eine der „Rechtsgrundlagen“, daher können Unternehmen in einigen Fällen andere rechtliche Grundlagen (im Rahmen der DSGVO) für eine Datenverarbeitungstätigkeit anwenden. Die Entscheidung, ob eine andere rechtliche Grundlage für Ihre Datenverarbeitung gilt oder nicht, sollte jedoch am besten mit einem Anwalt getroffen werden. Abgesehen davon wird es immer Datenverarbeitungsaktivitäten geben, bei denen die Einwilligung die einzige, beste oder sicherste Option ist.

Ein weiteres EU-Gesetz, das hier erwähnt werden sollte, ist die ePrivacy-Richtlinie (auch bekannt als die EU-Cookie-Richtlinie). Dieses Gesetz gilt nach wie vor, da es durch die DSGVO nicht aufgehoben wurde. In Zukunft wird die ePrivacy-Richtlinie durch die ePrivacy-Verordnung (auf Englisch) ersetzt werden und als solche neben der DSGVO funktionieren. Man geht davon aus, dass die kommende Verordnung weiterhin die gleichen Werte wie die Richtlinie aufrechterhalten wird.

Das Cookie-Gesetz erfordert die sachkundige Einwilligung des Nutzers, bevor Cookies auf dem Gerät des Nutzers gespeichert und verfolgt werden können. Mehr über das Cookie-Gesetz können Sie hier lesen.

Das Cookie-Gesetz erfordert die sachkundige Einwilligung des Nutzers, bevor Cookies auf seinem Gerät gespeichert und verfolgt werden können.

Rechte der Nutzer

Das Recht, informiert zu werden

Unternehmen müssen den Nutzern Informationen (auf Englisch) über die von ihnen ausgeführten Datenverarbeitungsaktivitäten zur Verfügung stellen. Solche Informationen sollten zu dem Zeitpunkt bereitgestellt werden, zu dem personenbezogene Daten erhoben werden, in der Regel über einen Datenschutzhinweis/ eine Datenschutzerklärung. Die Informationen müssen prägnant, transparent, verständlich, leicht zugänglich, in klarer und verständlicher Sprache geschrieben (insbesondere, wenn sie an ein Kind gerichtet sind) und kostenlos sein.

Werden die Daten von dem tatsächlichen Nutzer, auf den sie sich beziehen, erfasst, dann müssen ihm zum Zeitpunkt der Datenerfassung Datenschutzinformationen zur Verfügung gestellt werden. Werden die personenbezogenen Daten jedoch von einer anderen Quelle als dem individuellen Nutzer, auf den sie sich beziehen, bezogen, dann müssen dem Nutzer innerhalb einer „angemessenen Frist“ nach der Datenerfassung Datenschutzinformationen zur Verfügung gestellt werden. Diese Frist kann in der Regel nicht länger als einen Monat betragen; wenn Sie die Daten zur Kommunikation mit dem Nutzer verwenden, muss die Bekanntgabe spätestens dann erfolgen, wenn die erste Kommunikation stattfindet.

Das Recht auf Datenzugriff

Die Nutzer haben das Recht auf Zugriff auf ihre personenbezogenen Daten und Informationen (auf Englisch) darüber, wie ihre personenbezogenen Daten verarbeitet werden. Wenn der Nutzer dies verlangt, müssen der Verantwortliche eine Übersicht über die Kategorien der zu verarbeitenden Daten, eine Kopie der tatsächlichen Daten und Details über die Datenverarbeitung zur Verfügung stellen. Die Einzelheiten sollten den Zweck enthalten, wie die Daten beschafft wurden und mit wem sie geteilt wurden.

Zudem muss das Unternehmen der Person, die den Antrag stellt, kostenlos eine Kopie ihrer personenbezogenen Daten zur Verfügung stellen (für weitere Kopien kann eine angemessene Gebühr erhoben werden). Die angeforderten Daten müssen der Person ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach Erhalt des Antrags zur Verfügung gestellt werden. Die genaue Anzahl der Tage, die die Organisation einem Antrag nachkommen muss, hängt von dem Monat ab, in dem der Antrag gestellt wurde.

Das Recht auf Datenzugriff ist eng mit dem Recht auf Datenübertragbarkeit verbunden, aber diese beiden Rechte sind nicht identisch. Es ist daher wichtig, dass in Ihrer Datenschutzerklärung eine klare Unterscheidung zwischen den beiden Rechten getroffen wird.

Das Recht auf Berichtigung

Nutzer haben das Recht, ihre personenbezogenen Daten berichtigen zu lassen, wenn sie ungenau oder unvollständig sind. Dieses Recht setzt auch voraus, dass die Berichtigung allen Dritten, die an der Verarbeitung der fraglichen Daten beteiligt sind, mitgeteilt werden muss – es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Verlangen des Nutzers muss das Unternehmen den Nutzer auch über diese Drittanbieter informieren.

Anträge können um weitere zwei Monate verlängert werden, wenn der Antrag komplex ist oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist. Die Anträge müssen ohne unnötige Verzögerung, spätestens jedoch innerhalb eines Monats nach Erhalt bearbeitet werden.

In den meisten Fällen müssen Unternehmen einem Antrag auf Berichtigung ohne Berechnung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ verlangt werden, um dem Antrag nachzukommen oder die Bearbeitung des Antrags abzulehnen. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert (auf Englisch) werden.

Das Recht auf Einspruch

Gemäß der DSGVO, haben die Nutzer das Recht, gegen bestimmte vom Verantwortlichen durchgeführte Verarbeitungsaktivitäten in Bezug auf ihre persönlichen Daten Einspruch zu erheben. Kurz gesagt, der Nutzer kann der Verarbeitung seiner Daten widersprechen, wenn die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen oder auf der Erfüllung einer Aufgabe im öffentlichen Interesse/der Ausübung öffentlicher Gewalt oder für Zwecke der wissenschaftlichen/historischen Forschung und Statistik basiert. Der Nutzer muss seinen Widerspruch begründen, es sei denn, die Verarbeitung erfolgt zu Zwecken der Direktwerbung; in diesem Fall ist keine Begründung für die Ausübung dieses Rechts erforderlich.

Wenn ein Einspruch gegen die Verarbeitung personenbezogener Daten eingeht und es keinen Grund zur Ablehnung gibt, muss die Verarbeitung eingestellt werden. Während die Datenverarbeitung (einschließlich der Speicherung) für die speziellen Verarbeitungsaktivitäten, gegen die Einspruch erhoben wurde, eingestellt werden muss, ist eine Löschung möglicherweise nicht angebracht. Dies ist dann der Fall, wenn die Daten für andere Zwecke (einschließlich der Erfüllung gesetzlicher oder vertraglicher Verpflichtungen) verarbeitet werden und für diese Zwecke aufbewahrt werden müssen.

Anträge müssen ohne unnötige Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Sie können um weitere zwei Monate verlängert werden, wenn es sich um ein komplexes Anliegen handelt oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.

In den meisten Fällen müssen Unternehmen einem Einspruch (bei dem es keine Gründe für eine Ablehnung gibt) nachkommen, ohne eine Gebühr zu erheben. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht auf Datenübertragbarkeit

Nutzer haben das Recht, ihre personenbezogenen Daten (in ein maschinenlesbares Format) zu erhalten, um sie von einem Verantwortlichen an einen anderen übertragen werden, ohne dass der Auftragsverarbeiter sie daran hindert. Sowohl „bereitgestellte“ als auch „überwachte“ Daten fallen unter diese Regel. Dieses Recht gilt nur für personenbezogene Daten und gilt daher nicht für wirklich anonyme Daten (Daten, die nicht auf die Person zurückgeführt werden können).

Anträge müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Anträge können um weitere zwei Monate verlängert werden, wenn es sich um einen komplexen Antrag handelt oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.

In den meisten Fällen müssen Unternehmen einem Antrag ohne Berechnung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „offensichtlich unbegründet oder übertrieben“ erweist, kann eine „angemessene Gebühr“ für die Durchführung des Antrags verlangt oder der Antrag abgelehnt werden. In beiden Fällen muss die Entscheidung legitim gerechtfertigt sein. Wenn ein Antrag abgelehnt wird, muss die Person (zusammen mit der Begründung) ohne unnötige Verzögerung und innerhalb eines Monats nach Erhalt des Antrags informiert werden.

Das Recht auf Löschung

Wenn Daten für ihren ursprünglichen Zweck nicht mehr relevant sind, oder wenn Nutzer ihre Einwilligung zurückgezogen haben oder personenbezogene Daten unrechtmäßig verarbeitet wurden, haben die Nutzer das Recht zu verlangen, dass ihre Daten gelöscht und jegliche Weitergabe eingestellt wird. Diesen Anträgen ist unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags nachzukommen.

Anträge können um weitere zwei Monate verlängert werden, wenn sie komplex sind oder wenn von der betreffenden Person zahlreiche Anträge eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Eingang des Antrags mit einer Erklärung darüber informiert werden, warum die Verlängerung notwendig ist.

Das Recht auf Löschung kann verweigert werden:

  • wenn die personenbezogenen Daten für Archivierungszwecke im öffentlichen Interesse (z.B. wissenschaftliche Forschung) verarbeitet werden;
  • wenn Daten für die Rechtsverteidigung notwendig sind;
  • um einer rechtlichen Verpflichtung nachzukommen;
  • um eine im öffentlichen Interesse verrichtete Aufgabe zu erfüllen;
  • wenn die Daten notwendig sind, um das Recht auf freie Meinungsäusserung auszuüben;
  • wenn die Daten für Gesundheitszwecke im öffentlichen Interesse verarbeitet werden.

Das Recht, die Verarbeitung einzuschränken

Nutzer haben das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, wenn:

  • wenn sie ihre Richtigkeit angezweifelt haben;
  • der Nutzer der Verarbeitung widersprochen hat und das Unternehmen prüft, ob es einen legitimen Grund gibt, dieses Recht außer Kraft zu setzen;
  • die Verarbeitung unrechtmäßig ist, aber der Nutzer um Einschränkung bittet, statt um Löschung;
  • wenn die Daten nicht mehr benötigt werden, der Nutzer sie aber zur Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs benötigt.

Die Einschränkung muss allen an der Verarbeitung der fraglichen Daten beteiligten Drittempfängern mitgeteilt werden – es sei denn, dies ist unmöglich oder unverhältnismäßig schwierig. Auf Wunsch des Nutzers muss das Unternehmen den Nutzer auch über diese Drittempfänger informieren.

Anträge müssen ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang des Antrags bearbeitet werden. Sie können um weitere zwei Monate verlängert werden, wenn es sich um ein komplexes Anliegen handelt oder wenn von der betreffenden Person zahlreiche Anfragen eingegangen sind. Die betroffene Person muss innerhalb eines Monats nach Erhalt des Antrags mit einer Erklärung darüber informiert (auf Englisch) werden, warum die Verlängerung notwendig ist.

In den meisten Fällen müssen Unternehmen einem Antrag ohne Erhebung einer Gebühr nachkommen. Wenn sich ein Antrag jedoch als „eindeutig unbegründet oder übertrieben“ herausstellt, kann eine „angemessene Gebühr“ verlangt werden, um dem Antrag nachzukommen, oder der Antrag kann abgelehnt werden. In beiden Fällen muss die Entscheidung legitim begründet werden. Wenn ein Antrag abgelehnt wird, muss die Person unverzüglich und innerhalb eines Monats nach Erhalt des Antrags mit einer Begründung informiert werden.

Rechte hinsichtlich automatisierter Entscheidungsprozesse und Profilerstellung

Nutzer haben das Recht, nicht einer Entscheidung unterworfen zu werden, wenn diese auf einer automatisierten Verarbeitung oder Profilerstellung beruht und eine rechtliche oder ähnlich bedeutende Auswirkung auf den Nutzer hat.

Unternehmen können automatisierte Entscheidungsprozesse nur dann durchführen, wenn sie für die Erfüllung eines Vertrags erforderlich sind, wenn sie durch das auf den Verantwortlichen anwendbare Recht der EU-Staaten autorisiert sind, wenn sie keine rechtlichen oder ähnlich bedeutsamen Auswirkungen auf den Nutzer haben oder wenn sie auf der ausdrücklichen Einwilligung des Einzelnen beruhen. Sie können automatisierte Entscheidungen auf der Grundlage von Daten einer besonderen Kategorie (auf Englisch) nur mit ausdrücklicher Einwilligung des Nutzers oder aus Gründen eines erheblichen öffentlichen Interesses treffen.

Grenzüberschreitende Datenübertragungen

Die DSGVO erlaubt Datentransfers von in der EU ansässigen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann, wenn die festgelegten Bedingungen eingehalten werden. Unter diesen Bedingungen muss das Land oder die Region, in das die Daten übermittelt werden, über ein „angemessenes“ Niveau des Schutzes personenbezogener Daten nach EU-Standards verfügen, oder, wenn dies nicht als angemessen erachtet wird, können Datenübertragungen unter Verwendung von Standardvertragsklauseln (SCCs) oder verbindlichen Unternehmensregeln (BCRs) dennoch erlaubt werden.

Laut der DSGVO sind Datentransfers von in der EU ansässigen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann zulässig, wenn die festgelegten Bedingungen eingehalten werden.

In Bezug auf die Datenübertragung in die USA, erfordern alle Transfers, dass eine fundierte Einwilligung des Nutzers vorliegt (in diesem Fall muss die Einwilligung auf der Grundlage ausreichend präziser Informationen erteilt werden, einschließlich Informationen über den mangelnden Schutz im Drittland).

Datenschutz durch Design & Vorgaben

Der Datenschutz sollte von Anfang an in die Gestaltung und Entwicklung der Geschäftsprozesse und der Infrastruktur einbezogen werden. Dies bedeutet, dass die Datenschutzeinstellungen standardmäßig auf „hoch“ gesetzt und Maßnahmen ergriffen werden sollten, um sicherzustellen, dass der Verarbeitungszyklus der Daten den Anforderungen der DSGVO entspricht.

Benachrichtigung bei Verletzungen der Datensicherheit

Der Verantwortliche muss die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er von der Verletzung Kenntnis erlangt hat, benachrichtigen. Wenn die Verarbeitung von einem Auftragsverarbeiter im Auftrag des Verantwortlichen durchgeführt wird, muss dieser den Verantwortlichen sofort nach Kenntnisnahme davon benachrichtigen. Nach dieser Regel müssen auch die Nutzer (innerhalb desselben Zeitrahmens) über die Verletzung informiert werden, es sei denn, die verletzten Daten wurden durch Verschlüsselung geschützt (Daten, die für den Eindringling unlesbar gemacht wurden). Alternativ dazu ist es generell unwahrscheinlich, dass die Verletzung zu einer Gefährdung der Rechte und Freiheiten des Einzelnen führt. In jedem Fall sollte der Verantwortliche Verzeichnisse über die aufgetretenen Verstöße führen, um die Erfüllung der Anforderungen nachweisen zu können.

Datenschutzbeauftragte(r)

Der Datenschutzbeauftragte (DSB) ist eine Person mit Fachkenntnissen im Datenschutzrecht, zu dessen Aufgaben es gehört, den Verantwortlichen oder den Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Anforderungen der DSGVO zu unterstützen und die Datenschutzstrategie und -umsetzung zu überwachen. Der Datenschutzbeauftragte sollte sich auch mit der Verwaltung von IT-Prozessen, der Datensicherheit und anderen kritischen Fragen im Zusammenhang mit der Verarbeitung personenbezogener und sensibler Daten auskennen.

Die DSGVO verlangt die Ernennung eines Datenschutzbeauftragten insbesondere in den folgenden Fällen:

  • In denen es eine groß angelegte, regelmäßige und systematische Überwachung der Nutzer gibt;
  • In denen die Verarbeitung von einer öffentlichen Behörde durchgeführt wird (mit Ausnahme von Gerichten oder unabhängigen Justizbehörden);
  • In denen das Unternehmen komplexe Operationen mit personenbezogenen Daten (insbesondere sensiblen Nutzerdaten) durchführt.

Die Ernennung eines Datenschutzbeauftragten richtet sich daher nicht nur nach der tatsächlichen Zahl der Mitarbeiter, sondern nach dem Wesen der Datenverarbeitungstätigkeit. Falls Ihr Unternehmen nicht in diese Kategorien fällt, ist es nicht zwingend erforderlich, einen Datenschutzbeauftragten zu ernennen.

Verzeichnisse über Datenverarbeitungsaktivitäten führen

Die DSGVO verlangt, dass sowohl die Verantwortlichen als auch die Auftragsverarbeiter „vollständige und umfassende“ aktuelle Verzeichnisse (auf Englisch) über die von ihnen ausgeführten besonderen Datenverarbeitungsaktivitäten führen und aufbewahren.

Vollständige und umfangreiche Verzeichnisse über die Datenverarbeitung werden ausdrücklich in den Fällen verlangt, in denen die Datenverarbeitungsaktivitäten:

  • nicht gelegentlich sind; oder
  • zu einer Gefahr für die Rechte und Freiheiten anderer führen könnten; oder
  • den Umgang mit „besonderen Datenkategorien“ beinhalten; oder
  • von einem Unternehmen durchgeführt werden, das mehr als 250 Mitarbeiter hat.

Dies betrifft effektiv fast alle Verantwortlichen und Auftragsverarbeiter.

Das Verzeichnis der Datenverarbeitungsaktivitäten muss in schriftlicher Form erfolgen. Zwar sind sowohl Papier- als auch elektronische Formulare akzeptabel, doch empfiehlt es sich, die Verzeichnisse auf elektronischem Wege zu führen, um einfache Änderungen zu ermöglichen.

Die Verzeichnisse des Verantwortlichen sollten Folgendes beinhalten:

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Vertreters des Verantwortlichen und des Datenschutzbeauftragten;
  • Den Zweck der Datenverarbeitungsaktivitäten;
  • Beschreibung der verschiedenen Nutzer- und Datenkategorien;
  • Die Kategorien von Datenempfängern einschließlich der Empfänger aus Drittländern (die nicht Mitglied der EU sind) oder internationalen Organisationen;
  • Übertragungen personenbezogener Daten in ein Drittland und die Identifizierung dieses Drittlandes oder dieser internationalen Organisation, einschließlich des Verzeichnisses geeigneter Schutzmaßnahmen (falls zutreffend);
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (soweit möglich);
  • Eine allgemeine Erläuterung der technischen und organisatorischen Sicherheitsmaßnahmen (wenn möglich).

Verzeichnisse des Auftragsverarbeiters sollten enthalten:

  • Name und Kontaktdaten des Verantwortlichen und des in seinem Auftrag handelnden Auftragsverarbeiters sowie gegebenenfalls der Vertreters des Verantwortlichen und des Datenschutzbeauftragten;
  • Die Arten der Verarbeitung, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • Übertragungen personenbezogener Daten in ein Drittland und die Identifizierung dieses Drittlandes oder dieser internationalen Organisation, einschließlich des Verzeichnisses geeigneter Schutzmaßnahmen (falls zutreffend);
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (soweit möglich);
  • Eine allgemeine Erläuterung der technischen und organisatorischen Sicherheitsmaßnahmen (wenn möglich).
Warnung

Auch wenn Ihre Datenverarbeitungsaktivitäten in irgendeiner Weise über die oben genannten Situationen hinausgehen, müssen sie aufgrund Ihrer Informationspflichten gegenüber den Nutzern (Artikel 13 & 14 ) grundlegende Verzeichnisse darüber führen, welche Daten Sie sammeln, welchen Zweck sie verfolgen, welche Parteien an der Verarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden müssen – dies ist für alle obligatorisch.

Sie werden vielleicht feststellen, dass es in der Tat recht nützlich ist, regelmäßige Informationsprüfungen darüber durchzuführen, welche Daten in Ihrem Unternehmen gespeichert sind, da diese Praxis Ihnen nicht nur hilft, Ihren Dokumentationspflichten problemlos nachzukommen, sondern es Ihnen auch erleichtert, Ihre Datenverarbeitungsprozesse zu überprüfen und zu optimieren.

Auch unser Verzeichnis von Datenverarbeitungstätigkeiten ist hier sehr nützlich, da sie den technischen Prozess der Erstellung und Verwaltung Ihrer Verzeichnisse über Datenverarbeitungsaktivitäten ERHEBLICH vereinfacht. Lesen Sie hier mehr darüber, wie sie helfen kann, oder gehen Sie hier direkt zum Einrichtungsleitfaden und -video.

Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, der Unternehmen dabei hilft, die DSGVO wirksam einzuhalten und sicherzustellen, dass die Grundsätze der Rechenschaftspflicht, des „privacy by design“ und des „privacy by default“ von den Unternehmen in die Praxis umgesetzt werden. Der DSFA-Prozess sollte schriftlich festgehalten werden. Die Veröffentlichung der DSFA ist zwar keine rechtliche Anforderung der DSGVO, aber es wird empfohlen, dass die Verantwortlichen die Veröffentlichung der gesamten oder eines Teils ihrer DSFA als Geste der Transparenz und Rechenschaftspflicht in Betracht ziehen. Dies gilt insbesondere für Fälle, in denen die Öffentlichkeit betroffen ist (zum Beispiel, wenn eine Behörde die DSFA durchführt).

Eine wirksame DSFA ist nützlich, um den Anforderungen des „eingebauten Datenschutzes“ zu entsprechen, da sie es Unternehmen ermöglicht, Probleme in einem frühen Stadium zu finden und zu beheben, wodurch sowohl Datensicherheitsrisiken für die Nutzer als auch das Risiko von Bußgeldern, Sanktionen und Rufschädigung, die andernfalls für das Unternehmen entstehen könnten, gemindert werden. Die DSFA ist nur in Fällen obligatorisch, in denen die Datenverarbeitungstätigkeit möglicherweise zu einem hohen Risiko für die Nutzer führt (dies gilt insbesondere bei der Einführung neuer Verarbeitungstechnologien).

Wenn Sie sich jedoch nicht sicher sind, ob Ihre Datenverarbeitungstätigkeit als „hohes Risiko“ einzustufen ist, wird empfohlen, dennoch eine DSFA durchzuführen, da sie ein nützliches Mittel ist, um sicherzustellen, dass das Gesetz eingehalten wird.

Datenverarbeitungsaktivitäten mit „hohem Risiko“ sind:

  • Die Verarbeitung sensibler Daten in großem Umfang;
  • Die systematische Überwachung eines öffentlich zugänglichen Bereichs (z.B. CCTV / Videoüberwachung);
  • Situationen, in denen es umfangreiche automatisierte Auswertungen von personenbezogenen Daten gibt, die Entscheidungen mit Auswirkungen auf das Leben des Nutzers wesentlich beeinflussen sollen.

DSFAs können auch unter anderen Umständen (auf der Grundlage einer Einzelfallprüfung) erforderlich sein, u. a. bei der Verarbeitung von Daten über besonders schutzbedürftige Personen (z. B. Kinder und ältere Menschen), bei der grenzüberschreitenden Übermittlung von Daten in Länder außerhalb der EU und bei Daten, die für die Erstellung von Profilen verwendet werden (z. B. bei Bonitätsbewertungen). Mehr über die entsprechenden Kriterien können Sie hier lesen [PDF].

Die DSFA sollte Folgendes beinhalten:

  • Eine vollständige Beschreibungen der verarbeiteten Daten;
  • Den Zweck der Datenverarbeitungstätigkeit (und gegebenenfalls Informationen über berechtigte Interessen des Verantwortlichen;
  • Eine Bewertung des Umfangs und der Notwendigkeit der Datenverarbeitungstätigkeit in Bezug auf den Verarbeitungszweck;
  • Eine Einschätzung des Risikos für Nutzer;
  • Maßnahmen zur Begegnung dieses Risikos.

Folgen einer Nichteinhaltung

Die rechtlichen Konsequenzen bei Verstößen können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bedeuten, aber vielleicht genauso wichtig sind die anderen möglichen Sanktionen, die gegen Unternehmen verhängt werden können, die gegen die Vorschriften verstoßen. Zu diesen Sanktionen gehören offizielle Verwarnungen (bei erstmaligen Verstößen), regelmäßige Datenschutzaudits und Schadensersatzforderungen.

Die rechtlichen Konsequenzen bei Verstößen können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes einschließen.

Das DSGVO gibt den Nutzern das ausdrückliche Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn sie der Meinung sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen das DSGVO verstoßen hat. Wenn beispielsweise eine Meldung über eine Regelverletzung an die Behörde gemacht wird, kann sich die Behörde dafür entscheiden, eine Prüfung der Datenverarbeitungsvorgänge des Unternehmens durchzuführen. Wenn festgestellt wird, dass eine bestimmte Datenverarbeitungsaktivität unrechtmäßig durchgeführt wurde, wird nicht nur eine Geldbuße verhängt, sondern es kann dem Unternehmen auch verboten werden, sowohl die Daten der Untersuchung als auch die Daten, die durch ähnliche Mechanismen erworben wurden, weiter zu verwenden. Das bedeutet, dass das Unternehmen Gefahr läuft, von der Nutzung der gesamten zugehörigen E-Mail-Liste ausgeschlossen zu werden, wenn die unrechtmäßige Nutzung im Hinblick auf die Sammlung von E-Mail-Adressen erfolgte.

Die DSGVO gibt Nutzern auch das Recht auf Entschädigung für alle Schäden, die aus dem Verstoß eines Unternehmens gegen die Anforderungen entstehen, und stellt damit Verletzer vor potenzielle Rechtsstreitigkeiten.

Wie iubenda Ihnen helfen kann, die DSGVO-Anforderungen zu erfüllen

Einer der ersten logischen Schritte im Hinblick auf die Erfüllung der Anforderungen ist es, sicherzustellen, dass Ihre Dokumente den Anforderungen entsprechen. Bei iubenda verfolgen wir einen umfassenden Ansatz zur Einhaltung des Datenrechts. Wir entwickeln Lösungen unter Berücksichtigung der strengsten Anforderungen und geben Ihnen die Möglichkeit, diese nach Bedarf anzupassen. Auf diese Weise unterstützen wir Sie bei der Erfüllung Ihrer rechtlichen Verpflichtungen, verringern das Risiko von Rechtsstreitigkeiten und schützen Ihre Kunden – das fördert Vertrauen und Glaubwürdigkeit.

Hier finden Sie, was Sie brauchen, um mit der umfassenden Compliance zu beginnen:

Datenschutzerklärung

Dieses Rechtsdokument sollte darlegen, auf welche Weise Ihre Website oder App Nutzerdaten sammelt, verarbeitet, speichert, weitergibt und schützt, welche Zwecke damit verfolgt werden und welche Rechte die Nutzer diesbezüglich haben.

Mit unserem Generator für Datenschutzerklärungen und Cookie Richtlinien können Sie eine von Juristen entworfene, schöne und präzise Datenschutzerklärung erstellen und diese nahtlos in Ihre Website oder App integrieren. Sie können einfach eine von mehreren vorgefertigten Klauseln mit einem Klick hinzufügen oder mit Hilfe des integrierten Formulars ganz einfach Ihre eigenen benutzerdefinierten Klauseln schreiben.

Die Datenschutzerklärung bietet auch die Möglichkeit, eine Cookie-Richtlinie hinzuzufügen (dies ist notwendig, wenn Ihre Website oder App Cookies einsetzt). Sie ist an Ihre Bedürfnisse anpassbar und wird von einem internationalen Rechtsteam ferngewartet.

 

Weitere Informationen über Datenschutzerklärungen finden Sie hier.

Privacy Controls and Cookie Solution

Da die Verwendung von Cookies sowohl die Verarbeitung von Nutzerdaten als auch die Installation von Dateien auf den Geräten der Nutzer bedeuten kann, stellen sie einen wichtigen Faktor in Bezug auf die Datenschutzrechte der Nutzer dar. Aus diesem Grund ist es von entscheidender Bedeutung, dass Ihre Website oder App die ePrivacy-Richtlinie der EU (die EU-Cookie-Richtlinie) einhält. Als Antwort auf dieses Bedürfnis haben wir unsere umfassende Privacy Controls and Cookie Solution geschaffen, die die Erfüllung der Anforderung des europäischen Cookie-Gesetzes vereinfacht. Es handelt sich um eine einfach zu handhabende und schnell einsetzbare Cookie-Richtlinien- und Cookie-Einwilligungslösung (einschließlich Banner-Verwaltung), die keine großen Investitionen erfordert.

Weitere Informationen zu unserer Privacy Controls and Cookie Solution finden Sie hier.

Viele Datenschutzbehörden in der EU haben ihre Anforderungen verschärft und ihre Vorschriften für Cookies und Tracker an die Anforderungen der DSGVO angepasst. Insbesondere ist es vorgeschrieben, dass Sie Nachweise über die Präferenzen Ihrer Nutzer aufzeichnen und speichern.

Das Cookie- und Einwilligungs-Präferenz-Register ist jetzt in unserer Privacy Controls and Cookie Solution verfügbar. Klicken Sie hier, um mehr darüber zu erfahren, wie Sie das Cookie- und Einwilligungs-Präferenz-Register in Ihrer Privacy Controls and Cookie Solution aktivieren können.

Verzeichnis von Datenverarbeitungstätigkeiten

Die Erfüllung der Anforderungen der DSGVO kann eine technische Herausforderung sein, die praktisch umzusetzen ist. Dies gilt insbesondere für die interne Datenschutz-Verwaltung. Um diese gesetzeskonform umzusetzen, müssen Sie Verarbeitungstätigkeiten erfassen und diese beschreiben:

  • welche Daten Sie erfassen;
  • für welche Zwecke sie erfasst wurden;
  • was die rechtliche Grundlage für die Datenverarbeitung ist;
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Datenaufbewahrungs-Richtlinien);
  • die beteiligten Parteien (sowohl innerhalb als auch außerhalb Ihrer Organisation);
  • Datentransfer außerhalb der EU, falls vorhanden; und
  • andere zusammenhängende Details, die betriebsweit gelten können, einschließlich Datenversrbeitung von Mitarbeitern.

Unsere Software hilft Ihnen, alle Datenverarbeitungsaktivitäten innerhalb Ihrer Organisation für alle Situationen im Geltungsbereich der DSGVO einfach zu dokumentieren und zu verwalten, so dass Sie den Anforderungen der DSGVO und Ihren gesetzlichen Verpflichtungen problemlos nachkommen können. Sie ermöglicht es Ihnen, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen: Sie können Verarbeitungstätigkeiten aus mehr als 1700 vorgefertigten Optionen hinzufügen, sie nach Bereichen unterteilen ( Unterbereiche, innerhalb derer die Datenverarbeitungstätigkeiten gleich sind), Auftragsverarbeiter und andere Mitgliederrollen zuweisen sowie Rechtsgrundlagen und andere DSGVO-pflichtige Angaben dokumentieren.

Achtung: Selbst wenn Ihre Datenverarbeitungsaktivitäten nicht in die zuvor genannten Situationen fallen, müssen Sie aufgrund Ihrer Informationspfspflicht gegenüber den Nutzern (Artikel 13 und 14) grundlegende Verzeichnisse darüber führen, welche Daten Sie sammeln, welchen Zweck sie verfolgen, welche Parteien an der Datenverarbeitung beteiligt sind und wie lange die Daten aufbewahrt werden – dies ist Pflicht für alle.

Auch wenn die DSGVO ein üblicher Grund dafür ist, mehr Aufwand in die interne Datenschutzverwaltung zu stecken, ist unsere Software nicht ausschließlich für die Anwendung im Rahmen der DSGVO gedacht. Es kann auch für die interne Datenschutz-Verwaltung im Allgemeinen verwendet werden, sogar von Organisationen, die keine Nutzer/Kunden innerhalb der EU haben.

Für eine Liste aller Funktionen des Verzeichnis von Datenverarbeitungstätigkeiten klicken Sie hier oder lesen Sie die Anleitung hier.

Verwaltung von Einwilligungen und Führung detaillierter Verzeichnisse dazu.

Um den Datenschutz-Gesetzen, insbesondere der DSGVO, gerecht zu werden, müssen Unternehmen Beweise für Einwilligungen aufbewahren, damit sie nachweisen können, dass diese Einwilligungen erfasst wurden. Diese Verzeichnisse müssen Folgendes beinhalten:

  • wann die Einwilligung erteilt wurde;
  • wer die Einwilligung erteilt hat;
  • was ihre Einstellungen zum Zeitpunkt der Erfassung waren;
  • welcher rechtliche oder datenschutzrechtliche Hinweis ihnen zum Zeitpunkt der Erfassung der Einwilligung vorgelegt wurde;
  • welches Einwilligungsformular ihnen zum Zeitpunkt der Erfassung vorgelegt wurde.

Unsere Consent Solution vereinfacht diesen Prozess, indem sie Ihnen hilft, den Einwilligungsnachweis einfach zu speichern und die Einwilligung und Datenschutzeinstellungen für jeden Ihrer Nutzer zu verwalten. Sie ermöglicht es Ihnen, jeden Aspekt der Einwilligung zu verfolgen (einschließlich des rechtlichen Hinweises oder der Datenschutzerklärung und des Einwilligungsformulars, das dem Nutzer zum Zeitpunkt der Erfassung der Einwilligung vorgelegt wurde) und die damit verbundenen Einstellungen des Nutzers.

Um sie zu verwenden, aktivieren Sie einfach die Consent Solution und holen Sie sich den API-Schlüssel, installieren Sie sie dann über die HTTP-API oder das JS-Widget und fertig. Sie können die Einwilligungen jederzeit abrufen und auf dem neuesten Stand halten.

Für eine Liste der vollständigen Funktionen der Consent Solution klicken Sie hier oder lesen Sie diese Anleitung hier.

Gestalten Sie Ihre Website in wenigen Minuten DSGVO-konform

Beginnen Sie mit der Erstellung

Bitte beachten Sie, dass Gesetze von Zeit zu Zeit geändert und aktualisiert werden. Es ist daher wichtig, sicherzustellen, dass Ihre Richtlinien den neuesten Anforderungen entsprechen. Aus diesem Grund verwenden wir die Einbettungs-Methode und NICHT Copy & Paste. Mit dieser Methode können Sie sicher sein, dass Ihre Richtlinie auf dem neuesten Stand ist und von unserem Rechtsteam aus der Ferne gewartet wird.

Siehe auch