Die erforderlichen Sicherheitsmaßnahmen können je nach Art der von Ihnen verarbeiteten personenbezogenen Daten und den damit verbundenen Risiken für Einzelpersonen unterschiedlich sein. In jedem Fall gibt es einige Mindestmaßnahmen, die Sie ergreifen sollten:

• sicherer Zugang zu den Räumlichkeiten;
• regelmäßig aktualisierte Antivirensoftware verwenden;
• wählen Sie sorgfältig Ihre Passwörter aus;
• sorgen Sie dafür, dass sich die Benutzer authentifizieren, bevor Sie die Computereinrichtungen nutzen;
• haben Sie eine Datensicherungs- und Abrufrichtlinie im Falle eines Vorfalls.

Darüber hinaus sind einige grundlegende Maßnahmen wie das Sperren ihres Bildschirms, während sie abwesend sind, und das Zuschließen des Büros am Ende des Tages immer geeignete Sicherheitsmaßnahmen…

Weitere Informationen:

• Sichere personenbezogene Daten

Der EDSA veröffentlicht regelmäßig Pressemitteilungen, Nachrichten, Blogs und andere Inhalte auf der EDSA-Website und seinen Social-Media-Kanälen (Twitter: @EU_EDPB; LinkedIn: Europäischer Datenschutzausschuss), um die Datenschutzgemeinschaft und die Öffentlichkeit über ihre Arbeit auf dem neuesten Stand zu halten.

Die EDPB-Website verfügt außerdem über zwei RSS-Feeds, die Sie für automatische Updates zu EDPB- Nachrichten und den neuesten Veröffentlichungen des EDSA abonnieren können.

Ja, die DSGVO gilt, wenn die personenbezogenen Daten in einem Ablagesystem enthalten sind oder sein sollen. Dies bedeutet, dass die DSGVO auch für Papieraufzeichnungen gilt und nicht nur für die automatisierte Verarbeitung personenbezogener Daten.

Weitere Informationen:

• Datenschutzgrundlagen
   

Jede Organisation, unabhängig von ihrer Größe oder Branche, die im Europäischen Wirtschaftsraum (EWR) ansässig ist oder Produkte oder Dienstleistungen für Einzelpersonen im EWR anbietet, verarbeitet personenbezogene Daten, unabhängig davon, ob sie automatisiert mit der DSGVO übereinstimmen müssen. Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO. 

Beispiele für Verarbeitungsvorgänge sind die Erhebung, Aufzeichnung, Organisation, Nutzung, Änderung, Speicherung, Offenlegung, Änderung und Löschung personenbezogener Daten von Personen.

Dennoch wird die Anwendung der DSGVO nach Art, Kontext, Zwecken und Risiken der durchgeführten Verarbeitungsvorgänge moduliert. Für KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist, können die Verpflichtungen weniger streng sein als für ein großes Unternehmen.

Weitere Informationen:

• Datenschutzgrundlagen
   

Nein, Sie müssen nicht zertifiziert sein, um ein DSB zu werden.

DSBs müssen jedoch nachweisen können, dass sie über die erforderlichen Qualifikationen verfügen, die nach der DSGVO erforderlich sind, wie z. B. Expertenwissen über Datenschutzgesetze und -praktiken.

Weitere Informationen:

• Datenschutzbeauftragter
   

Die DSGVO gilt für die Verwendung von Cookies, wenn diese zur Verarbeitung personenbezogener Daten verwendet werden, aber es gibt auch spezifischere Regeln für Cookies, einschließlich der ePrivacy- Richtlinie.

Die Speicherung eines Cookies oder der Zugang zu einem bereits gespeicherten Cookie im Endgerät eines Nutzers ist nur unter der Voraussetzung zulässig, dass der betreffende Teilnehmer oder Nutzer angemessen informiert wurde (insbesondere über die Zwecke der Verarbeitung) und deren Einwilligung erteilt hat.

Die einzige Ausnahme sind technisch notwendige Cookies. Organisationen müssen nicht um Zustimmung bitten, wenn sie technisch notwendige Cookies auf ihren Websites verwenden.

Weitere Informationen:

• Personenbezogene Daten rechtmäßig verarbeiten

Im Rahmen der DSGVO gibt es grundsätzlich zwei Möglichkeiten, personenbezogene Daten an ein Land außerhalb des EWR oder an eine internationale Organisation zu übermitteln. Übertragungen können auf der Grundlage eines Angemessenheitsbeschlusses oder, in Ermangelung einer solchen Entscheidung, auf der Grundlage geeigneter Garantien, einschließlich durchsetzbarer Rechte und Rechtsbehelfe für Einzelpersonen, erfolgen.

Weitere Informationen:

• Internationale Transfers

Im Allgemeinen sollte jede Organisation Aufzeichnungen über ihre Verarbeitungstätigkeiten führen. Dies ist eine Bestandsaufnahme aller Verarbeitungsvorgänge und kann Ihnen helfen, korrekte Annahmen Ihrer Verantwortlichkeiten im Rahmen der DSGVO und mögliche Risiken zu treffen.
Jeder dieser Verarbeitungsvorgänge muss im Datensatz mit folgenden Angaben beschrieben werden:

• Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z. B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• wer Zugriff auf die Daten hat (die Empfänger – z. B.: die für die Rekrutierung zuständige Abteilung, den IT-Dienst, das Management, die Dienstleister, die Partner...);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR),
• soweit möglich, die Speicherdauer (der Zeitraum, für den die Daten aus betrieblicher Sicht und aus Archivierungssicht nützlich sind).
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Die Aufzeichnung der Verarbeitungstätigkeiten fällt in die Verantwortung des Managers Ihrer Organisation.
Dieser Datensatz muss der Datenschutzaufsichtsbehörde des EWR-Landes, in dem Sie tätig sind, auf Anfrage zur Verfügung stehen.
Es ist nicht erforderlich, dass Organisationen, die weniger als 250 Personen beschäftigen, nur gelegentliche Tätigkeiten in ihren Aufzeichnungen angeben (z. B. Daten, die für einmalige Veranstaltungen wie die Eröffnung eines Shops verarbeitet werden).
 

Weitere Informationen:

• Verhalten Sie sich rechtskonform

Ja, Datenverarbeiter (d. h. Einzelpersonen oder Stellen, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeiten), haben Verpflichtungen gemäß der DSGVO. Es gibt jedoch einige Unterschiede zwischen den Verantwortlichkeiten für die Datenverantwortlichen und Auftragsverarbeiter.

Die Auftragsverarbeiter müssen sich an die Verantwortlichkeiten halten, die im Auftragsverarbeitervertrag festgelegt sind, in dem die Verarbeitungsvorgänge und -mittel zur Verarbeitung personenbezogener Daten aufgeführt sind. Zum Beispiel muss der Auftragsverarbeiter die Verarbeitungsvorgänge mit den entsprechenden technischen und organisatorischen Maßnahmen durchführen, die vom für die Verarbeitung Verantwortlichen angeordnet wurden. Dabei unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der DSGVO.

Weitere Informationen:

• Verantwortlicher oder Auftragsverarbeiter

Ja, das können Sie. Aber die DSGVO verpflichtet Unternehmen, die personenbezogene Daten teilen. Ihre Organisation muss Einzelpersonen darüber informieren, dass Sie ihre Daten an Dritte weitergeben. Sie müssen sie auch über Ihre Zwecke, Sicherheit, Zugang und die geltenden Aufbewahrungsmaßnahmen informieren.

Zum gleichen Thema:

• Was sind personenbezogene Daten?