What is a Data Controller under GDPR?

A data controller determines the purposes and means of processing personal data. They decide why and how personal data gets used and bear primary responsibility for GDPR compliance.

How quickly must a data breach be reported under GDPR?

Personal data breaches must be reported to the supervisory authority within 72 hours of becoming aware of the breach, as required by Article 33 GDPR.

When is a DPIA required?

A Data Protection Impact Assessment is required when processing is likely to result in a high risk to individuals, including profiling, large-scale monitoring, and processing of special category data (Article 35 GDPR).

DSGVO

Datenschutz-Grundverordnung

Die Verordnung, die Cookie-Banner zu den unbeliebtesten Pop-ups überhaupt gemacht hat

Die Datenschutz-Grundverordnung (DSGVO) ist das wegweisende Datenschutzgesetz der EU, das regelt, wie personenbezogene Daten erhoben, verarbeitet und geschützt werden. Seit Mai 2018 gilt sie weltweit als Maßstab für den Datenschutz – und ist der Grund dafür, dass Ihr Posteingang mit E-Mails der Art „Wir haben unsere Datenschutzerklärung aktualisiert“ überflutet wurde.

Geltungsbereich

Jede Organisation, die personenbezogene Daten von Personen in der EU/im EWR verarbeitet – unabhängig davon, wo sich der Sitz der Organisation befindet. Ja, das gilt auch für Sie, Silicon Valley.

Geografische Reichweite

EU/EWR sowie alle Organisationen weltweit, die Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten dieser Personen überwachen.

Gültig seit

25. Mai 2018

Zweck

Um Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu geben und das regulatorische Umfeld für internationale Unternehmen zu vereinfachen. Interessante Tatsache: Die Verordnung umfasst 88 Seiten, enthält 99 Artikel und hat (nach inoffiziellen Schätzungen) rund 4,2 Milliarden Pop-ups zur Einwilligung in die Verwendung von Cookies ausgelöst.

Zu Ihrer Rolle springen:

Verantwortlicher

Sie legen die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Im Klartext: Sie entscheiden, warum und wie personenbezogene Daten verwendet werden. Wenn Sie derjenige sind, der gesagt hat: „Sammeln wir E-Mail-Adressen für unseren Newsletter“, dann herzlichen Glückwunsch – Sie sind der Verantwortliche.

Ihre Pflichten

Schaffen Sie für jede Verarbeitungsmaßnahme eine Rechtsgrundlage (Art. 6) – „weil wir es dürfen“ reicht als Begründung nicht aus
Führen Sie ein Verzeichnis der Verarbeitungsvorgänge (RoPA), in dem dokumentiert wird, welche Daten Sie verarbeiten und zu welchem Zweck (Art. 30)
Führen Sie Datenschutz-Folgenabschätzungen (DSFA) für Verarbeitungen mit hohem Risiko durch – wie beispielsweise Profiling oder Überwachung in großem Umfang (Art. 35)
Melden Sie Datenschutzverletzungen innerhalb von 72 Stunden Ihrer Aufsichtsbehörde (Art. 33) – einschließlich Wochenenden und Feiertagen
Stellen Sie sicher, dass betroffene Personen ihre Rechte ausüben können: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung („Recht auf Vergessenwerden“), Recht auf Datenübertragbarkeit und Widerspruchsrecht (Art. 15–22)
Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten (Art. 32) – ein Post-it-Zettel mit dem Passwort für die Datenbank reicht dafür nicht aus
Bestellen Sie gegebenenfalls einen Datenschutzbeauftragten (DSB) (Art. 37)
Beauftragen Sie nur Auftragsverarbeiter, die ausreichende Garantien bieten – und halten Sie dies in einer Auftragsverarbeitungsvereinbarung fest (Art. 28)

Wichtige Artikel

Art. 5 – Grundsätze§ 6 – Rechtsgrundlage§§ 13–14 – Informationspflichten§ 28 – Auftragsverarbeitungsverträge§ 30 – Aufzeichnungen über die Verarbeitung§ 32 – Sicherheitsmaßnahmen§§ 33–34 – Meldung von Verstößen§ 35 – Datenschutz-Folgenabschätzung

Profi-Tipp

Beginnen Sie mit Ihrer RoPA. Wenn Sie nicht wissen, welche Daten Sie verarbeiten, können Sie diese auch nicht schützen. Stellen Sie sich das wie eine Karte vor – ohne eine solche würden Sie sich nicht in einer Stadt zurechtfinden (es sei denn, Sie haben Spaß daran, sich zu verlaufen).

Datenverarbeiter

Sie verarbeiten personenbezogene Daten im Auftrag eines Verantwortlichen. Denken Sie beispielsweise an einen Cloud-Hosting-Anbieter, einen Lohnbuchhaltungsdienst oder eine E-Mail-Marketing-Plattform. Sie entscheiden nicht selbst, was mit den Daten geschieht – Sie führen lediglich die Anweisungen des Verantwortlichen aus. So wie ein sehr gut bezahlter Assistent mit strengen Anweisungen.

Ihre Pflichten

Verarbeiten Sie Daten ausschließlich gemäß den dokumentierten Anweisungen des Verantwortlichen (Art. 28) – eigenmächtiges Handeln im Umgang mit personenbezogenen Daten wird nicht geschätzt
Führen Sie Ihr eigenes Verzeichnis der Verarbeitungsvorgänge (Art. 30 Abs. 2)
Geeignete Sicherheitsmaßnahmen umsetzen (Art. 32)
Informieren Sie den Verantwortlichen unverzüglich, wenn Sie eine Datenschutzverletzung feststellen (Art. 33 Abs. 2) – „Ich war im Urlaub“ gilt nicht als unverzügliche Benachrichtigung
Unterstützung des für die Verarbeitung Verantwortlichen bei Datenschutz-Folgenabschätzungen und Anfragen von betroffenen Personen, sofern darum gebeten wird (Art. 28 Abs. 3)
Unterauftragsverarbeiter dürfen nur mit vorheriger Zustimmung des Verantwortlichen beauftragt werden (Art. 28 Abs. 2)
Löschen oder Rückgabe aller personenbezogenen Daten bei Beendigung des Verarbeitungsverhältnisses (Art. 28 Abs. 3 Buchstabe g)

Wichtige Artikel

§ 28 – Pflichten des Auftragsverarbeiters§ 29 – Verarbeitung im Auftrag§ 30.2 – Aufzeichnungen des Auftragsverarbeiters§ 32 – Sicherheit§ 33 Abs. 2 – Meldung von Datenschutzverletzungen an den Verantwortlichen

Profi-Tipp

Bringen Sie Ihre Datenverarbeitungsvereinbarungen in Ordnung, bevor Ihr größter Kunde danach fragt. Eine Vorlage parat zu haben, ist für den Auftragsverarbeiter so, als würde man immer einen Regenschirm dabei haben – Sie werden froh sein, dass Sie es getan haben.

Datenschutzbeauftragter (DSB)

Sie sind der unabhängige Datenschutzexperte der Organisation. Sie beraten, überwachen die Einhaltung der Vorschriften und fungieren als Ansprechpartner für die Aufsichtsbehörde. Sie berichten direkt an die oberste Führungsebene, und niemand kann Ihnen vorschreiben, zu welchem Ergebnis Sie kommen sollen. Sie sind im Grunde genommen der Datenschutzprüfer – auf Partys nicht gerade der beliebteste Gast, aber jeder ruft Sie an, wenn etwas schiefgeht.

Ihre Pflichten

den Verantwortlichen bzw. den Auftragsverarbeiter über seine bzw. dessen Verpflichtungen gemäß der DSGVO zu informieren und zu beraten (Art. 39 Abs. 1 Buchstabe a)
Überwachung der Einhaltung der DSGVO und der internen Datenschutzrichtlinien (Art. 39 Abs. 1 Buchstabe b)
Beratung zu Datenschutz-Folgenabschätzungen und Überwachung ihrer Durchführung (Art. 39 Abs. 1 Buchstabe c)
Als Ansprechpartner für die Aufsichtsbehörde fungieren (Art. 39 Abs. 1 Buchst. d–e)
Stellen Sie Ihre Unabhängigkeit sicher – Sie dürfen keine Anweisungen zur Ausführung Ihrer Aufgaben erhalten (Art. 38.3)
Sich über die aktuellen Entwicklungen im Datenschutzrecht und in der Datenschutzpraxis auf dem Laufenden halten (Art. 37.5)
Für betroffene Personen, die Bedenken äußern möchten, erreichbar sein (Art. 38 Abs. 4)

Wichtige Artikel

§ 37 – Benennung des DatenschutzbeauftragtenArt. 38 – Stellung des DatenschutzbeauftragtenArt. 39 – Aufgaben des Datenschutzbeauftragten

Profi-Tipp

Halten Sie Ihre Empfehlungen schriftlich fest – insbesondere dann, wenn die Geschäftsleitung beschließt, diese nicht zu befolgen. Ihr zukünftiges Ich wird es Ihnen danken, wenn die Aufsichtsbehörde an Ihre Tür klopft.

betroffene Person

Sie sind ein lebender, atmender Mensch, dessen personenbezogene Daten verarbeitet werden. Das ist alles – es bedarf keiner besonderen Bescheinigung. Wenn eine Organisation Ihren Namen, Ihre E-Mail-Adresse, Ihre IP-Adresse oder sogar Ihre Cookie-Einstellungen gespeichert hat, sind Sie eine betroffene Person. Das bedeutet, dass Sie Rechte haben. Und zwar eine ganze Menge.

Ihre Pflichten

Sie haben das Recht, Ihre personenbezogenen Daten einzusehen und eine Kopie davon zu erhalten (Art. 15) – bitten Sie höflich darum, aber Sie sind nicht dazu verpflichtet
Sie können die Berichtigung unrichtiger Daten verlangen (Art. 16) – Ihr Name lautet nicht „Sehr geehrter Kunde“
Sie können die Löschung Ihrer Daten beantragen – das sogenannte „Recht auf Vergessenwerden“ (Art. 17)
Sie können die Verarbeitung in bestimmten Fällen einschränken (Art. 18)
Sie haben das Recht auf Datenübertragbarkeit – Sie können Ihre Daten mitnehmen und an einen anderen Ort übertragen (Art. 20)
Sie können der Verarbeitung, einschließlich Profiling und Direktmarketing, widersprechen (Art. 21) – ja, Sie können sich abmelden
Sie haben das Recht, nicht einer ausschließlich automatisierten Entscheidungsfindung, einschließlich Profiling, unterworfen zu werden (Art. 22)
Sie können bei einer Aufsichtsbehörde Beschwerde einlegen, wenn Ihre Rechte verletzt werden (Art. 77)

Wichtige Artikel

§ 15 – Auskunftsrecht§ 16 – Berichtigung§ 17 – Löschung§ 20 – Datenübertragbarkeit§ 21 – Widerspruchsrecht§ 22 – Automatisierte Entscheidungsfindung§ 77 – Beschwerde bei der Behörde

Profi-Tipp

Wenn Sie Ihre Rechte geltend machen, formulieren Sie Ihre Wünsche konkret. Ein klarer, schriftlicher Antrag (eine E-Mail reicht aus) führt schneller zu Ergebnissen als eine vage Formulierung wie „Ich möchte alle meine Daten“. Profi-Tipp: Erwähnen Sie die DSGVO in der Betreffzeile – das beschleunigt die Bearbeitung in der Regel.

Wie Euregas Ihnen helfen kann

Verfügbare Tools

Verarbeitungsprotokoll (RoPA) – Dokumentieren Sie jede Verarbeitungsaktivität mithilfe integrierter Vorlagen
DPIA mit Risikomatrix – Bewertung und Einstufung von Risiken anhand von 7 Dimensionen
Vorfallmanagement – Verfolgen Sie Sicherheitsverletzungen mit automatischen Erinnerungen zur 72-Stunden-Frist
Rechte betroffener Personen – durchgängige Verwaltung von Anträgen auf Auskunft, Löschung und Datenübertragbarkeit
Einwilligungsmanagement – Nachverfolgung der Einholung und des Widerrufs von Einwilligungen sowie der Prüfpfade
Datenabbildung – Visualisierung von Datenflüssen zwischen Systemen und Drittanbietern
Datenverarbeitungsvereinbarungen – Verwaltung der Beziehungen zu Auftragsverarbeitern und Unterauftragsverarbeitern
Prüfung der Rechtsgrundlage – Dokumentation und Überprüfung der Rechtsgrundlage für jede Verarbeitungsaktivität
Folgenabschätzung bei Datenübermittlungen (TIA) – Bewertung internationaler Datenübermittlungen

KI-gestützte Funktionen

Beratungsassistent (gdpr_readiness) – 5-stufige, schrittweise Bewertung mit KI-Analyse pro Schritt und Verweisen auf einschlägige Artikel
Von der KI generiertes Compliance-Urteil: konform / bedingt konform / nicht konform
Semantische Suche in den Artikeln der DSGVO, den Leitlinien des EDPB und der Rechtsprechung

Hinweis

Alle DSGVO-Tools (RoPA, DPIA, Vorfallmanagement usw.) basieren auf manuellen Arbeitsabläufen mit strukturierten Vorlagen. KI-Unterstützung steht über den Beratungsassistenten zur Verfügung – sie ist nicht direkt in die einzelnen Tools integriert.

Alle Beispiele sind fiktiv und dienen lediglich der Veranschaulichung.