Loading…
Verordnung (EU) 2016/679 – die Datenschutz-Grundverordnung – gilt seit dem 25. Mai 2018 in allen 27 EU-Mitgliedstaaten sowie im EWR (Island, Liechtenstein, Norwegen). Sie regelt die Verarbeitung personenbezogener Daten von Personen in der EU, unabhängig davon, wo der Verantwortliche oder Auftragsverarbeiter niedergelassen ist.
Die Durchsetzung obliegt der Aufsichtsbehörde des jeweiligen Mitgliedstaats (z. B. CNIL, BfDI, Garante, AEPD, Ireland DPC), koordiniert durch den Europäischen Datenschutzausschuss (EDPB) über den One-Stop-Shop-Mechanismus.
Artikel 5 Abs. 1 Buchst. a – die Verarbeitung muss auf einer Rechtsgrundlage beruhen und für die betroffene Person transparent sein.
Artikel 5 Abs. 1 Buchst. b – Erhebung ausschließlich für festgelegte, eindeutige und legitime Zwecke.
Artikel 5 Abs. 1 Buchst. c – dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt.
Artikel 5 Abs. 1 Buchst. d – sachlich richtig und erforderlichenfalls auf dem neuesten Stand gehalten.
Artikel 5 Abs. 1 Buchst. e – nicht länger als für den Zweck erforderlich aufbewahrt.
Artikel 5 Abs. 1 Buchst. f – angemessene Sicherheit einschließlich Verschlüsselung und Zugriffskontrolle.
Freiwillig, spezifisch, informiert und unmissverständlich erteilt – und ebenso leicht zu widerrufen wie zu erteilen.
Erforderlich für die Erfüllung eines Vertrags mit der betroffenen Person.
Erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der EU oder eines Mitgliedstaats.
Erforderlich zum Schutz des Lebens der betroffenen Person oder einer anderen natürlichen Person.
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.
Verfolgt vom Verantwortlichen oder einem Dritten, abgewogen gegen die Rechte der betroffenen Person.
Angebot von Waren oder Dienstleistungen an Personen in der EU (extraterritorialer Anwendungsbereich nach Art. 3) — Bestellung eines EU-Vertreters nach Art. 27 erforderlich.
Profiling, Retargeting, programmatische Werbung — primärer Durchsetzungsschwerpunkt von CNIL, AEPD und Garante.
Besondere Kategorien personenbezogener Daten nach Artikel 9 mit erhöhten Schutzvorkehrungen und Anforderungen an die ausdrückliche Einwilligung.
DSGVO Artikel 22 sowie der neue EU AI Act — Hochrisikosysteme erfordern DPIA, FRIA und Konformitätsbewertung.
Bestellter Vertreter in der EU für Verantwortliche und Auftragsverarbeiter außerhalb der EU, als zentrale Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
Zertifizierter Datenschutzbeauftragter (Art. 37), der zu Compliance, Schulungen und der Zusammenarbeit mit Aufsichtsbehörden berät.
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 — gepflegt, aktuell gehalten und auf Anfrage der Aufsichtsbehörde innerhalb von Stunden bereitgestellt.
Datenschutz-Folgenabschätzungen (Art. 35) und Abwägungsprüfungen zu berechtigten Interessen für risikoreiche Verarbeitungen und neue Produkteinführungen.
Triage, Klassifizierung, Meldung an die Aufsichtsbehörde (Art. 33) und Benachrichtigung der betroffenen Personen (Art. 34) — durchgängig betreut.
Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, Angemessenheitsbewertungen und Schrems-II-Transfer-Folgenabschätzungen.
Wir handeln als Ihr Vertreter nach Artikel 27 in allen 27 EU-Mitgliedstaaten — zentrale Anlaufstelle, mehrsprachiger Support, vollständige Abdeckung gegenüber den Aufsichtsbehörden.