Show Menu
THEMEN×

Häufig gestellte Fragen zur DSGVO

This document provides answers to frequently asked questions about the General Data Protection Regulation (GDPR) and its implementation in Adobe Experience Cloud.
Definitionen zu den verschiedenen DSGVO-bezogenen Begriffen, die in diesem Dokument verwendet werden, finden Sie im Artikel zur DSGVO-Terminologie .

Wer ist von der DSGVO betroffen?

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von Bürgerinnen und Bürgern innerhalb der Europäischen Union speichern und verarbeiten, unabhängig vom geografischen Standort des Unternehmens.

Wie hoch sind die Strafen bei Nichteinhaltung?

Organisationen, die gegen die DSGVO verstoßen, können mit einer Geldbuße von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. € belegt werden – je nachdem, welcher Betrag höher ist. Dies ist die maximale Geldbuße, die für die schwerwiegendsten Verstöße verhängt werden kann, z. B. wenn keine ausreichende Kundenzustimmung zur Datenverarbeitung vorliegt oder der Kern der Datenschutzkonzepte verletzt wird.
Es gibt einen gestaffelten Ansatz bei den Geldbußen. So kann beispielsweise eine Firma mit einer Geldbuße von 2 % belegt werden, wenn sie ihre Daten nicht ordnungsgemäß pflegt ( Artikel 28 ), die Aufsichtsbehörde und das Datensubjekt nicht über einen Verstoß unterrichtet oder keine Folgenabschätzung durchgeführt hat. Es ist wichtig zu beachten, dass diese Regeln sowohl für die Datenverantwortlichen als auch für die Datenverarbeiter gelten, d. h. dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine natürliche Person (das „Datensubjekt“) betreffen und die zur direkten oder indirekten Identifikation dieser Person verwendet werden können. Dabei kann es sich um einen beliebigen Namen, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf Social-Networking-Websites, medizinische Informationen oder eine Computer-IP-Adresse handeln.

Was ist der Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter?

Ein Datenverantwortlicher ist die Stelle, die die Ziele, Bedingungen und Wege der Verarbeitung personenbezogener Daten bestimmt, während der Datenverarbeiter eine Stelle ist, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

Was ist der Unterschied zwischen der ausdrücklichen und eindeutigen Zustimmung der betroffenen Person?

Die DSGVO stärkt die Bedingungen für eine gültige Einwilligung des Datensubjekts. Firmen können keine schwer verständlichen Vertragsbedingungen mehr vorlegen, da der Genehmigungsantrag in verständlicher und leicht zugänglicher Form zu stellen ist. Der Zweck der Datenverarbeitung muss im Antrag auf Einholung der Einwilligung der betroffenen Person eindeutig angegeben werden.
Die ausdrückliche Einwilligung muss klar sein und von anderen Belangen unterschieden werden können, und zwar in verständlicher und leicht zugänglicher Form und in einfacher Sprache. Darüber hinaus muss es genauso einfach sein, die Einwilligung zurückzuziehen, wie es ist, diese zu geben. Eine ausdrückliche Einwilligung ist nur für die Verarbeitung sensibler personenbezogener Daten erforderlich, wofür nicht weniger als ein „Opt-in“ ausreicht. Für nicht vertrauliche Daten ist jedoch eine eindeutige Einwilligung zulässig.

Können Datensubjekte unter 16 Jahren ihre Einwilligung geben?

Die elterliche Zustimmung ist erforderlich, um die personenbezogenen Daten von Kindern unter 16 Jahren für Online-Dienste zu verarbeiten. Die Mitgliedstaaten können Rechtsvorschriften für ein niedrigeres Alter der Zustimmung erlassen, jedoch nicht unter 13 Jahren.

Was ist der Unterschied zwischen einer Verordnung und einer Richtlinie?

Eine Verordnung ist ein bindender legislativer Rechtsakt, der in der gesamten EU durchgesetzt wird. Eine Richtlinie ist ein Rechtsakt, der ein Ziel festlegt, das alle EU-Länder erreichen müssen. Es ist jedoch Sache der einzelnen Länder, darüber zu entscheiden, wie dies erfolgt.
Es ist wichtig festzustellen, dass es sich bei der DSGVO um eine Verordnung handelt, während es sich bei den früheren Rechtsvorschriften (Datenschutzrichtlinie) um eine Richtlinie handelte.

Muss mein Unternehmen einen Datenschutzbeauftragten ernennen?

Eine Organisation muss in folgenden Fällen einen Datenschutzbeauftragten ernennen:
  • Die Einrichtung ist eine Behörde
  • Die Organisation führt eine umfassende systematische Überwachung durch
  • Das Unternehmen verarbeitet personenbezogene Daten in großem Maßstab

Wie wirkt sich die DSGVO auf die Richtlinie zu Datenverletzungen aus?

Vorgeschlagene Vorschriften zu Datenverstößen beziehen sich in erster Linie auf die Meldepflicht für Unternehmen, die nicht erfüllt wurde. Datenverstöße, die eine Gefahr für Einzelpersonen darstellen können, sind der Datenschutzbehörde innerhalb von 72 Stunden und betroffenen Personen unverzüglich mitzuteilen.