CONBUS|Datenschutz

Spätestens seit Gültigkeit der europäischen Grundverordnung (DSGVO) vom 25. Mai 2018 hat das Thema Datenschutz in deutschen Unternehmen rasant an Fahrt aufgenommen. Unsere zertifizierten Datenschutzexperten stehen Ihnen mit Rat und Tat zur Seite und geben Ihnen die notwendigen Informationen für eine gelungene Umsetzung der geforderten Datenschutzmaßnahmen an die Hand. Auf Wunsch kümmern wir uns auch komplett um Ihren Datenschutz. Entdecken Sie unsere Datenschutzpakete. Mit Sitz in Fürstenau kümmern wir uns um den Datenschutz kleiner und mittlerer Unternehmen im Osnabrücker Land und im Emsland.
Nachfolgend ein kleiner Ausblick zu unseren Tätigkeiten aus dem Bereich Datenschutz:

Datenschutzberatung

Gerne beantworten wir Ihre Fragen rund um das Thema DSGVO und Datenschutz. Zunächst jedoch empfehlen wir Ihnen, die nachfolgend aufbereiteten Informationen durchzusehen. Bei weiteren Fragen zögern Sie bitte nicht uns zu kontaktieren.

Datenschutzbeauftragte

Sie möchten das Thema Datenschutz in Ihrem Betrieb aktiv behandeln und Ihr Unternehmen datenschutzkonform präsentieren? Unsere staatlich geprüften und zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung.

Datenschutzaudits

Auf Wunsch prüfen wir Ihren Betrieb auf Datenschutzkonformität. Unsere zertifizierten Datenschutzauditoren nehmen sich Zeit für eine intensive Bestandsaufnahme und geben Ihnen im Anschluss an ein Audit wertvolle Empfehlungen an die Hand.

Frische Datenschutznews aus unserem Blog

Informationen zum betrieblichen Datenschutz

Wir haben Ihnen einige interessante und unserer Meinung nach wichtige Informationen zum betrieblichen Datenschutz zusammengefasst:

Pflicht zum Datenschutz auch für kleine und mittlere Unternehmen

Dass Unternehmen, gleich welcher Branche oder Größe, zur Einhaltung gesetzlicher Bestimmungen verpflichtet sind, ist nicht neu. Hieraus ergibt sich auch die Verpflichtung zur Einhaltung des Datenschutzes nach DSGVO (Datenschutzgrundverordnung) bzw. BDSG (Bundesdatenschutzgesetz). Unabhänig von der Größe des Unternehmens oder der Anzahl der Mitarbeiter gilt die Verpflichtung zur Einhaltung des Datenschutzes also auch für Kleinstunternehmen (Soloselbstständige), kleine und mittlere Unternehmen.

Datenschutz für Alle

In vielen Betrieben wird die Meinung vertreten, dass die Bestimmungen der DSGVO für den eigenen Betrieb nicht gelten, da weniger als zehn oder 20 Mitarbeiter beschäftigt werden. Hierbei handelt es sich um eine gefährliche Halbinformation. Richtig ist, dass Betriebe zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, wenn regelmäßig mehr als 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Daraus lässt sich ableiten, dass kleine und mittlere Unternehmen mit weniger als 20 Mitarbeitern keinen Datenschutzbeauftragten bestellen müssen. Das heißt allerdings nicht, dass der Datenschutz nicht eingehalten werden muss.

Jeder Unternehmer ist zur Einhaltung des Datenschutzes verpflichtet.

Datenschutz ist Chefsache

Nach Artikel 24 DSGVO trägt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften die Geschäftsführung des Unternehmens. Das heißt, dass sowohl Kleingewerbetreibende und Einzelunternehmer, als auch Geschäftsführer einer GmbH oder einer AG für die Einhaltung des Datenschutzes im Betrieb verantwortlich sind.

Datenschutz ist Bestandteil einer jeden Unternehmung

Die Geschäftsführung eines Unternehmens kann die Organisation des Datenschutzes über andere Abteilungen oder Mitarbeiter delegieren - was in der Praxis durchaus sinnvoll ist. Die Abteilungen können die Planung, die Ausführung und die Anpassung der Datenschutzorganisation vorbereiten oder begleiten. Im Fall der Fälle ist aber stets und immer die Geschäftsführung für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.

Machen Sie es wie viele andere auch - lassen Sie sich bei der Organisation des Datenschutzes unterstützen.

Guter Datenschutz ist Gold wert

Ein gutes Datenschutzmanagement lässt sich hervorragend als Marketinginstrument nutzen. Zeigen Sie Ihren Kunden, dass Sie großen Wert auf durchdachten Datenschutz legen. Ihren Kunden ist dieses Thema in jedem Fall wichtig. Ein wirksam publiziertes Datenschutzsystem kann zur Gewinnung neuer Kunden beitragen und somit die Entwicklung Ihres Unternehmens positiv beeinflussen. Ganz nebenbei schützen Sie sich durch ein solides Datenschutzmanagement vor Strafen und Regressansprüchen bei Datenschutzverstößen.

Guter Datenschutz ist ein großer Gewinn für Ihr Unternehmen

Gerade in den kleineren Unternehmen wird das Thema Datenschutz oft als "notwendiges Übel" angesehen, mit dem man sich ungern befassen möchte. Unternehmer nutzen Ihre Zeit lieber für "Wichtigeres". Datenschutz in Unternehmen kann aber weit mehr sein als nur die zwangsläufige Erfüllung gesetzlicher Anforderungen: Auf der einen Seite hat niemand Interesse daran, Kunden oder Mitarbeiter duch die Nichteinhaltung von Datenschutzstandards zu benachteiligen, zu verärgern oder gar zu verlieren. Auf der anderen Seite kann mit einer guten Datenschutzorganisation aktiv geworben werden.

Zeigen Sie Ihren Kunden, dass Sie das Thema Datenschutz ernst nehmen und die gesetzlichen Anforderungen erfüllen, vielleicht sogar darüber hinaus. Ihre Kunden werden es Ihnen danken.

Eine durchdachte Datenschutzorganisation ist Gold wert.

Der Weg zur gesetzeskonformen Datenschutzorganisation

Um ein vollständiges Datenschutzsystem vorweisen zu können, sind viele Schritte erforderlich. Im Rahmen einer Bestandsaufnahme werden gesetzliche Anforderungen, betriebliche Abläufe, interne Richtlinien, etc. gesammelt und auf Schwachstellen bzw. gesetzliche Konformität untersucht. Etwaige Mängel müssen behoben werden; Regeln müssen erstellt bzw. überarbeitet werden.

Schlussendlich muss ein Datenschutzsystem stetig aktualisiert und an gesetzliche Änderungen angepasst werden. Ganz abgesehen davon, dass Sie Ihre Mitarbeiter regelmäßig informieren und schulen müssen.

Unterstützung durch Datenschutzbeauftragte

Sie als Unternehmer möchten sich primär um Ihr Tagesgeschäft kümmern um am Ende des Monats eine positive Bilanz vorweisen zu können - für Datenschutz ist da oft wenig Zeit. Wir verstehen das und empfehlen Ihnen daher eine Zusammenarbeit mit einem Dienstleister, der Sie bei der Organisation des Datenschutzes im Unternehmen unterstützt und Ihnen möglichst viele der erforderlichen Dokumentationen abnimmt.

Entdecken Sie jetzt das für Sie passende Datenschutzpaket.

Abgestimmte Verfahrensverzeichnisse

Jeder Unternehmer ist verpflichtet, ein sog. "Verzeichnis der Verarbeitungstätigkeiten" anzulegen und zu führen. In diesem Verzeichnis müssen sämtliche Prozesse des Unternehmens dokumentiert werden, in denen personenbezogene Daten verarbeitet werden. Unter "Verarbeitung" versteht das Gesetz das Erheben, Erfassen, Speichern, Abfragen, Verändern, Verwenden, Abgleichen oder auch Löschen von Daten zu einem bestimmten Zweck. Der Gesetzgeber fordert darüber hinaus die Dokumentation von Übermittlungen in andere Länder, die Löschfristen der einzelnen Verfahren und eine Beschreibung der technischen und organisatorischen Maßnahmen zur Einhaltung der Regularien.

Verzeichnis der Verarbeitungstätigkeiten als Grundlage

Das Erstellen und aktualisieren eines datenschutzkonformen Verzeichnisses der Verarbeitungstätigkeiten kann mehr als schwierig sein, da oft Prozesse abgebildet werden müssen, die in Verbindung mit besonders komplexen Verarbeitungen, Datenübermittlungen oder besonderen Kategorien zusammenhängen. Ein Datenschutzbeauftragter wird sich diesen Themen annehmen.

Unsere externen Datenschutzbeauftragten übernehmen die Erstellung und Pflege Ihres Verzeichnisses der Verarbeitungstätigkeiten je nach in Anspruch genommenem Datenschutzpaket.

Das Verzeichnis der Verarbeitungstätigkeiten ist die Basis Ihres Datenschutzmanagements.

Risikobetrachtung von Betroffenen und dem Unternehmen selbst

Zu einem gesetzeskonformen Datenschutzmanagementsystem gehört eine umfangreiche Risikobetrachtung. Auf der einen Seite müssen die Risiken Betroffener in Bezug auf das Grundrecht der informationellen Selbstbestimmung beachtet werden, auf der anderen Seite können das Unternehmen betreffende Risiken wie Schadensersatz, behördliche Maßnahmen, Geheimnisweitergabe, Bußgelder oder Prozesskosten entsehen. Ein gutes Datenschutzmanagementsystem senkt diese Risiken auf ein Minimum.

Mögliche Risiken müssen aufgedeckt werden

Risiken führen im schlimmsten Fall zu unangenehmen Themen, mit denen sich niemand gerne auseinandersetzen möchte. Umso wichtiger ist es, sich im Rahmen einer Datenschutzorganisation frühzeitig mit dem Thema Risikobetrachtung zu befassen - und das nicht nur, weil es der Gesetzgeber für jedes Unternehmen vorschreibt. Risiken müssen erkannt, analysiert und auf ein geringes Maß an Restrisiken reduziert werden.

Eine Risikomatrix kann Ihnen bei der Beurteilung Ihrer Risiken helfen - für uns Tagesgeschäft.

Datenschutz-Folgenabschätzung notwendig?

Es kann vorkommen, dass eine Form der Verarbeitung von personenbezogenen Daten, insbesondere bei der Nutzung neuerer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Gesetzgeber sieht vor, dass z.B. bei der Einführung und Verwendung neuer Technologien im Betrieb, bei der Überwachung von öffentlich zugänglichen Betriebsteilen (Videoüberwachung) oder bei der Verarbeitung personenbezogener Daten aus besonderen Kategorien (genetische Daten, Gesundheitsdaten, biometrische Daten) eine Datenschutz-Folgenabschätzung durchzuführen ist.

Genaue Dokumentation von Folgen

In der Pflicht zur Erstellung der erforderlichen Datenschutz-Folgenabschätzung ist wieder die Unternehmensleitung. Auch hier empfiehlt sich die Absprache mit einem (externen) Datenschutzbeauftragten. Die Dokumentation der Datenschutz-Folgenabschätzung wird in das Datenschutzmanagementsystem aufgenommen und kann so bei Prüfungen durch die Aufsichtsbehörde bedenkenlos vorgelegt werden.

Oft ist nicht klar, für welche Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung erstellt werden muss. Geschulte Datenschutzbeauftragte können hier eine wichtige Hilfestellung sein.

Videoüberwachungen, und wenn auch nur zum Schutz vor Einbruch und Diebstahl, haben immer eine Datenschutz-Folgenabschätzung zur Folge.

Unternehmer sind in der Pflicht, Rechenschaft abzulegen

Das Erfordernis, ein gutes Datenschutzmanagementsystem vorweisen zu können, zeigt sich spätestens in der durch den Gesetzgeber geforderten Pflicht zur Rechenschaft, welche für alle Unternehmen gilt. Unternehmer sind nicht nur dazu verpflichtet, einen vernünftigen Datenschutz in Ihrem Betrieb zu etablieren - sie sind auch dazu verpflichtet, jederzeit Rechenschaft darüber ablegen zu können. Ein gutes Datenschutzmanagementsystem wirkt wie ein Schutzschild für den Betrieb.

Gesetzgeber fordert umfangreiche Dokumentationen

Die DSGVO nennt um die 20 verschiedene Dokumentationen, die ein vernünftiges Datenschutzkonzept enthalten muss. Die umfangreichsten (Datenschutzkonzept, Verzeichnis der Verarbeitungstätigkeiten, Datenschutz- Folgenabschätzungen) haben wir bereits vorgestellt. Aber auch Dokumentationen über Verschlüsselungskonzepte, Informationssicherheit, Mitarbeiterschulungen, etc. müssen in einem Datenschutzmanagementsystem verschriftlicht und ständig aktualisiert werden. Die zuständigen Aufsichtsbehörden behalten sich Prüfungen ausdrücklich vor.

Unsere Empfehlung: Lassen Sie sich erstklassigen Datenschutz in Ihrem Unternehmen durch ein Audit bescheinigen.

Gerne verleihen wir Ihnen unser Siegel für ausgezeichneten Datenschutz.

Vermeiden Sie drastische Bußgelder

Die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) sieht bereits beim ersten Verstoß, wie etwa einer Datenverarbeitung ohne Rechtsgrundlage oder einer fehlenden Datenschutzinformation, ein Bußgeld von bis zu 20 Mio. Euro vor, ganz gleich, wie groß das Unternehmen ist. Die Liste der verhängten Bußgelder wächst sukzessiv, zudem erweitern die Datenschutzaufsichtsbehörden Ihren Prüfradius zunehmend.

Keine Angst vor Fragen und Prüfungen

Kümmern Sie sich um Ihr Tagesgeschäft - wir nehmen Ihnen mögliche Sorgen ab. Mit einem durchdachten Datenschutzkonzept öffnen Sie jedem Prüfer der Aufsichtsbehörden und jedem Auskunftersuchenden mit Freude die Tür. Ab sofort können Sie sich zu einem derjenigen Unternehmer zählen, der die Bedürfnisse seiner Kunden ernst nimmt.

Mit uns als Partner müssen Sie sich nie wieder um unangenehme Dinge wie Abmahnungen oder Bußgeldbescheide sorgen. Versprochen.

Unsere Datenschutzpakete

Datenschutz light

  • » Ideal für Handwerksbetriebe «

  • Wir kümmern uns um den Datenschutz nach DSGVO in Ihrem Unternehmen


  • ✔ Benennung ext. Datenschutzbeauftragter

  • TÜV-zertifiziert

  • ✔ Vor-Ort-Besprechungen

  • ✔ Verzeichnis der Verarbeitungstätigkeiten

  • ✔ Technisch- Organisatorische Maßnahmen

  • ✔ Verzeichnis der Verarbeitungsverträge

  • ✔ fortlaufende Mitarbeiterschulungen

  • ✔ Soforthilfe bei Datenschutzpannen

  • ✔ Zugriff auf Dokumentendatenbank

  • ✔ jährlicher Datenschutzbericht

  • ✔ Aktualitätsservice

  • ✔ telefonischer Support 24/7

  • ✔ Soforthilfe bei Datenpannen


  • 12 Monate Vertragslaufzeit
50,00 €Preis je Monat zzgl. USt.

Datenschutz smart

  • » Ideal für kleine Unternehmen «

  • Wir kümmern uns um den Datenschutz nach DSGVO in Ihrem Unternehmen


  • ✔ Benennung ext. Datenschutzbeauftragter

  • TÜV-zertifiziert

  • ✔ Vor-Ort-Besprechungen

  • ✔ Verzeichnis der Verarbeitungstätigkeiten

  • ✔ Technisch- Organisatorische Maßnahmen

  • ✔ Verzeichnis der Verarbeitungsverträge

  • ✔ fortlaufende Mitarbeiterschulungen

  • ✔ Soforthilfe bei Datenschutzpannen

  • ✔ Zugriff auf Dokumentendatenbank

  • ✔ jährlicher Datenschutzbericht

  • ✔ Aktualitätsservice

  • ✔ telefonischer Support 24/7

  • ✔ Soforthilfe bei Datenpannen


  • 12 Monate Vertragslaufzeit
100,00 €Preis je Monat zzgl. USt.

Datenschutz prime

  • » Ideal für große Unternehmen «

  • Wir unterstützen Sie bei der Umsetzung des Datenschutzes in Ihrem Unternehmen


  • ✔ Benennung ext. Datenschutzbeauftragter

  • TÜV-zertifiziert

  • ✔ Vor-Ort-Besprechungen

  • ✔ Verzeichnis der Verarbeitungstätigkeiten

  • ✔ Technisch- Organisatorische Maßnahmen

  • ✔ Verzeichnis der Verarbeitungsverträge

  • ✔ fortlaufende Mitarbeiterschulungen

  • ✔ Soforthilfe bei Datenschutzpannen

  • ✔ Zugriff auf Dokumentendatenbank

  • ✔ jährlicher Datenschutzbericht

  • ✔ Aktualitätsservice

  • ✔ telefonischer Support 24/7

  • ✔ Soforthilfe bei Datenpannen


  • 12 Monate Vertragslaufzeit
200,00 €Preis je Monat zzgl. USt.

Datenschutz audit

  • » Die Basis für Unternehmen «

  • Prüfung des gesamten Betriebs auf Datenschutzkonformität nach DGSVO


  • ✔ Audit durch ext. Datenschutzauditor

  • TÜV-zertifiziert

  • ✔ Vor-Ort-Analyse

  • ✔ umfangreiche Auswertungen

  • ✔ ausführliche Nachbesprechung

  • ✔ detaillierte Aufstellung von Empfehlungen



  • ✘ Benennung ext. Datenschutzbeauftragter
  • ✘ Zugriff auf Dokumentendatenbank
  • ✘ Mitarbeiterschulung
  • ✘ Aktualitätsservice
  • ✘ telefonischer Support 24/7
  • ✘ Soforthilfe bei Datenpannen



  • keine Vertragslaufzeit
1.900,00 €Einmalig maximal zzgl. USt.

10 gute Gründe...

Glaubwürdigkeit

Wie würden Sie es im privaten Umfeld machen? Vertrauen Sie einem Unternehmen, welches kein Datenschutzkonzept vorweisen kann, Ihre personenbezogenen Daten an? Oder ist Ihnen Glaubwürdigkeit in Hinblick auf den Umgang mit Ihren Daten wichtig? Kommunizieren Sie daher diese Glaubwürdigkeit, indem Sie eine Systematik zum Schutz Ihrer Daten vorhalten – stärken Sie  das Vertrauen Ihrer Kunden und Mitarbeiter in Ihr Unternehmen.

Sensibilisierte Mitarbeiter

Datenschutz geht uns alle an, auch Ihre Mitarbeiter. Durch die offene Kommunikation mit dem Thema Datenschutz wird der einzelne Mitarbeiter eine gewisse Offenheit für das Thema entwicklen. Gleichzeit sind Ihre Mitarbeiter bei der täglichen Arbeit für den Umgang mit personenbezogenen Daten gewappnet.

Wir sind Mitglied im GDD e.V. - Gesellschaft für Datenschutz und Datensicherheit

gdd mitglied

Ihre Anfrage

Mit (*) gekennzeichnete Felder sind erforderlich
Sicherheitsfrage

Beliebte Fragen

Muss ich einen Datenschutzbeauftragten benennen?

Ob Sie zur Benennung eines Datenschutbeauftragten nach DSGVO verpflichtet sind, hängt in der Regel von einem der drei folgenden Faktoren ab:

  • Sie beschäftigen mindestens 20 Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind.
  • Sie nehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
  • Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Markt- oder Meinungsforschung

Sie sind sich nicht sicher? Wir nehmen gerne eine kostenlose Prüfung vor.

Unabhängig davon können Sie jederzeit freiwillig einen Datenschutzbeauftragten für Ihr Unternehmen benennen.

Kontaktieren Sie uns

Gerne besprechen wir am Telefon oder bei Ihnen vor Ort, welches Projekt bei Ihnen als nächstes ansteht.

Adresse

CONBUS Unternehmensberatung
Meisenweg 4 - 49584 Fürstenau

Telefon & Fax

05901-8259100
05901-8259101

Hier können Sie auf einen Blick die Kontaktdaten aller deutschen Datenschutzaufsichtsbehörden einsehen.

 

 

Baden-Württemberg

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit

Hausanschrift:
Königstrasse 10 a
70173 Stuttgart

Postanschrift:
Postfach 10 29 32
70025 Stuttgart

Tel.: 0711615541-0
Fax: 0711615541-15

Email: poststelle@lfdi.bwl.de
Web: https://www.baden-wuerttemberg.datenschutz.de

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen
Barbara Thiel


Prinzenstraße 5
30159 Hannover

Tel.: 051112045 00
Fax: 051112045 99

E-Mail: poststelle@lfd.niedersachsen.de
Web: https://www.lfd.niedersachsen.de

Europäische Datenschutzgrundverordnung (DSGVO)

Mit der seit dem 25. Mai 2018 geltenten Datenschutz- Grundverordnung (DSGVO oder DS-GVO) soll zum einen der Datenfluss innerhalb Europas gefördert werden, zum anderen der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Wir stellen Ihnen hier übersichtlich die DS-GVO zur Verfügung.

Kapitel 1 - Allgemeine Bestimmungen

Artikel 1 - Gegenstand und Ziele
  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Kapitel 2 - Grundsätze

Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten
  1. Personenbezogene Daten müssen
    1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
    2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
    3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
    4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
    5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
  2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Kapitel 3 - Rechte der betroffenen Person

Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  1. 1Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. 2Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. 3Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
  2. 1Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. 2In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
  3. 1Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 2Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. 3Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. 4Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
  4. Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
  5. 1Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. 2Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
      1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
      2. sich weigern, aufgrund des Antrags tätig zu werden.

    3Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

  6. Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
  7. 1Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. 2Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
  8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Kapitel 4 - Verantwortlicher und Auftragsverarbeiter

Artikel 24 - Verantwortung des für die Verarbeitung Verantwortlichen
  1. 1Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
  2. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
  3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Kapitel 5 - Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

Artikel 44 - Allgemeine Grundsätze der Datenübermittlung
1Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. 2Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

Kapitel 6 - Unabhängige Aufsichtsbehörden

Artikel 51 - Aufsichtsbehörde
  1. Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird.
  2. 1Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. 2Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
  3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.
  4. Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.

Kapitel 7 - Zusammenarbeit und Kohärenz

Artikel 60 - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
  1. 1Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. 2Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.
  2. Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.
  3. 1Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. 2Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
  4. Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
  5. 1Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. 2Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.
  6. Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.
  7. 1Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. 2Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.
  8. Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
  9. 1Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. 2Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt.
  10. 1Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. 2Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.
  11. Hat – in Ausnahmefällen – eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
  12. Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.

Kapitel 8 - Rechtsbehelfe, Haftung und Sanktionen

Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde
  1. Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
  2. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

Kapitel 9 - Vorschriften für besondere Verarbeitungssituationen

Artikel 85 - Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
  1. Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
  2. Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
  3. Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.

Kapitel 10 - Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 92 - Ausübung der Befugnisübertragung
  1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
  2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24. Mai 2016 übertragen.
  3. 1Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. 2Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. 3Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. 4Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
  4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
  5. 1Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. 2Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert.

Kapitel 11 - Schlussbestimmungen

Artikel 94 - Aufhebung der Richtlinie 95/46/EG
  1. Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
  2. 1Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. 2Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.