logo
>

Befinden Sie sich auf der richtigen Route zur DS-GVO?


Der Online-Test vom Bayerischen Landesamt für DATENSCHUTZaufsicht


Auflösung der Fragen:


Ihre Antwort

Da wir unseren Unternehmenssitz in einem EU-Mitgliedsstaat haben, gelten für uns die Vorschriften der DS-GVO.

Richtige Antwort

Da wir unseren Unternehmenssitz in einem EU-Mitgliedsstaat haben, gelten für uns die Vorschriften der DS-GVO.

Erläuterung

Die DS-GVO findet bei Ihnen u. a. dann Anwendung, wenn Sie personenbezogene Daten verarbeiten und gleichzeitig Ihren Sitz in einem EU-Mitgliedsland haben. Aus welcher Region Ihre Kunden kommen ist für diese Frage ebenso nebensächlich wie die Mitarbeiteranzahl Ihres Unternehmens.

zurück nach oben

Ihre Antwort

Wir beabsichtigen bei allen unseren Verarbeitungstätigkeiten mit personenbezogenen Daten den Grundsatz der Transparenz zu berücksichtigen und betroffene Personen in geeigneter Weise darüber zu informieren.

Richtige Antwort

Wir beabsichtigen bei allen unseren Verarbeitungstätigkeiten mit personenbezogenen Daten den Grundsatz der Transparenz zu berücksichtigen und betroffene Personen in geeigneter Weise darüber zu informieren.

Erläuterung

Einer der zentralen Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sagt aus, dass die von Ihnen verarbeiteten personenbezogene Daten in einer für die betroffenen Personen nachvollziehbaren Weise, d. h. transparent, verarbeitet werden müssen. Dies bezieht sich auf alle Verarbeitungen und alle Kategorien von potentiell betroffenen Personen.

zurück nach oben

Ihre Antwort

Wir werden eigene Texte einsetzen, die die konkreten Verarbeitungszwecke benennen, einen Hinweis auf die Freiwilligkeit der Einwilligung haben sowie die Möglichkeit des Widerrufs beschreiben. Auf komplizierte Formulierungen wollen wir dabei soweit wie möglich verzichten.

Richtige Antwort

Wir werden eigene Texte einsetzen, die die konkreten Verarbeitungszwecke benennen, einen Hinweis auf die Freiwilligkeit der Einwilligung haben sowie die Möglichkeit des Widerrufs beschreiben. Auf komplizierte Formulierungen wollen wir dabei soweit wie möglich verzichten.

Erläuterung

Sofern Sie eine Datenverarbeitung auf Basis einer Einwilligung durchführen, müssen Sie nach der DS-GVO nachweisen können, dass die betroffene Person auch tatsächlich eingewilligt hat. Wichtig ist, dass die Person vor Abgabe der Einwilligung über die Widerrufsmöglichkeit informiert und die Einwilligung freiwillig erteilt wurde. Auch wenn Aufsichtsbehörden womöglich noch Formulierungshilfen anbieten werden, dürfen Sie nicht darauf warten, da es einerseits keine Verpflichtung gibt, dass diese überhaupt zur Verfügung gestellt werden, und andererseits bestehende Einwilligungstexte von Ihnen womöglich veraltet und somit nicht mehr rechtskonform sein könnten.

zurück nach oben

Ihre Antwort

Eine Auskunft über alle relevanten personenbezogenen Daten einer betroffenen Person stellt für uns einen großen Aufwand dar, so dass wir situativ darauf reagieren müssen und wohl nicht immer eine vollständige Auskunft erteilt werden kann.

Richtige Antwort

Ein Prozess zum schnellen Reagieren wird oder ist bereits implementiert, so dass betroffene Personen eine umfassende Auskunft von uns erhalten, sofern sie dies wünschen.

Erläuterung

Als Unternehmen haben Sie die Verpflichtung, betroffenen Personen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Wird einem berechtigtem Verlangen nicht nachgekommen, so wäre dies ein bußgeldbewährter Datenverstoß, da es sich um ein zentrales DATENSCHUTZrecht von betroffenen Personen handelt.

zurück nach oben

Ihre Antwort

Wie allgemein bekannt muss eine solche Auskunft innerhalb von zwölf Wochen erteilt werden - diese Frist halten wir wohl ein.

Richtige Antwort

Spätestens nach einem Monat - in begründeten Fällen könnten wir jedoch auch mehr Zeit benötigen.

Erläuterung

Eine Auskunft müssen Sie den betroffenen Personen spätestens nach einem Monat erteilen. Ausnahmen wären nur in besonderen, begründeten Einzelfällen möglich.

zurück nach oben

Ihre Antwort

Wir haben einen Prozess installiert, der bei Bedarf personenbezogene Daten in unserem Unternehmen identifizieren, einer betroffenen Person zuordnen und daher auch löschen kann.

Richtige Antwort

Wir haben einen Prozess installiert, der bei Bedarf personenbezogene Daten in unserem Unternehmen identifizieren, einer betroffenen Person zuordnen und daher auch löschen kann.

Erläuterung

Wenn es eine gesetzliche Grundlage erfordert, z. B. weil die betroffene Person ihre Einwilligung widerrufen hat oder der Zweck der Datenverarbeitung weggefallen ist, kann eine Löschung von personenbezogenen Daten in Ihrem Unternehmen erforderlich sein. Es ist daher wichtig, bei den eingesetzten Soft- und Hardware-Produkten sowie bei den eigenen Prozessen darauf zu achten, dass diese der Anforderung gerecht werden können.

zurück nach oben

Ihre Antwort

Wir werden prozessuale und technische Vorkehrungen treffen, um Daten übertragbar vorzuhalten - bei Bedarf könnte der Betroffene dann einen entsprechenden Output seiner Daten erhalten.

Richtige Antwort

Wir werden prozessuale und technische Vorkehrungen treffen, um Daten übertragbar vorzuhalten - bei Bedarf könnte der Betroffene dann einen entsprechenden Output seiner Daten erhalten.

Erläuterung

Das Recht auf Datenübertragbarkeit der DS-GVO bedeutet, dass Sie als Unternehmen nicht nur die Stammdaten, sondern alle betreffenden personenbezogenen Daten, die die betroffene Person Ihnen bereitgestellt hat, der betroffenen Person "wieder zurückgeben". Das Format muss strukturiert, gängig und maschinenlesbar sein.

zurück nach oben

Ihre Antwort

Unser DATENSCHUTZbeauftragter.

Richtige Antwort

Unsere Unternehmensleitung.

Erläuterung

Mit der DS-GVO wird klar: DATENSCHUTZ ist Chefsache. Der DATENSCHUTZbeauftragte hat in erster Linie eine beratende Rolle bei DATENSCHUTZfragen. Der IT-Leiter wird nur eine unterstützende Tätigkeit nach Bedarf einnehmen. Verantwortlich für die Umsetzung der gesetzlichen Anforderungen ist aber alleinig die Unternehmensleitung - davor kann man sich also nicht "drücken"...

zurück nach oben

Ihre Antwort

Wir werden künftig bei unseren Verarbeitungen unter Bezug der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung die jeweilige Eintrittswahrscheinlichkeit und die Schwere berücksichtigen, um DATENSCHUTZ-Risiken für Rechte und Freiheiten natürlicher Personen zu ermitteln.

Richtige Antwort

Wir werden künftig bei unseren Verarbeitungen unter Bezug der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung die jeweilige Eintrittswahrscheinlichkeit und die Schwere berücksichtigen, um DATENSCHUTZ-Risiken für Rechte und Freiheiten natürlicher Personen zu ermitteln.

Erläuterung

Um überhaupt sicherzustellen und den Nachweis dafür erbringen zu können, dass Ihre Verarbeitung gemäß der DS-GVO erfolgt, haben Sie unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen. Eine umfassende Risikobetrachtung ist daher auch für Sie unerlässlich, um dieser Anforderung gerecht zu werden. Ein DATENSCHUTZ-Risiko ist also kein simples mathematisches Produkt.

zurück nach oben

Ihre Antwort

Wir betrachten bei der Ermittlung von DATENSCHUTZrisiken die gesamten Verarbeitungsgrundsätze der DS-GVO.

Richtige Antwort

Wir betrachten bei der Ermittlung von DATENSCHUTZrisiken die gesamten Verarbeitungsgrundsätze der DS-GVO.

Erläuterung

Der Begriff des Risikos wird an vielen Stellen der DS-GVO verwendet. Klar wird dabei, dass es sich nicht um ein IT-Risiko oder Risiko bezüglich Ihrer Unternehmenswerte handelt, sondern die Rechte und Freiheiten der betroffenen Person Ihrer Verarbeitung im Fokus hat. Damit eine Risikoermittlung zielführend verläuft, sind die Verarbeitungsgrundsätze aus Art. 5 DS-GVO zu berücksichtigen.

zurück nach oben

Ihre Antwort

Wir werden technische und organisatorische Maßnahmen treffen, damit Grundsätze wie etwa Datenminimierung wirksam umgesetzt werden können und sichergestellt wird, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.

Richtige Antwort

Wir werden technische und organisatorische Maßnahmen treffen, damit Grundsätze wie etwa Datenminimierung wirksam umgesetzt werden können und sichergestellt wird, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.

Erläuterung

Nach der DS-GVO ist durch Sie sicherzustellen, dass voreingestellt grundsätzlich nur die personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich ist. Voraussetzung dafür ist zunächst, dass Ihre Verarbeitungen überhaupt derart ausgestaltet sind, dass datenschutzfreundliche Optionen existieren.

zurück nach oben

Ihre Antwort

Wir werden bei unseren Dienstleistern darauf achten, dass diese hinreichende Garantien für eine gesetzeskonforme Verarbeitung, gerade auch im technisch-organisatorischen Bereich, bieten.

Richtige Antwort

Wir werden bei unseren Dienstleistern darauf achten, dass diese hinreichende Garantien für eine gesetzeskonforme Verarbeitung, gerade auch im technisch-organisatorischen Bereich, bieten.

Erläuterung

Falls Sie mit Dienstleistern zusammenarbeiten wollen, müssen Sie nach der DS-GVO insbesondere darauf achten, dass diese Garantien hinsichtlich geeigneter technischer und organisatorischer Maßnahmen erbringen. Dadurch können Sie erkennen, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.

zurück nach oben

Ihre Antwort

Ein solches Verzeichnis ist vorhanden oder in Planung und könnte somit der Aufsichtsbehörde bei Anfrage ab 25.05.2018 vorgelegt werden.

Richtige Antwort

Ein solches Verzeichnis ist vorhanden oder in Planung und könnte somit der Aufsichtsbehörde bei Anfrage ab 25.05.2018 vorgelegt werden.

Erläuterung

Eine zentrale Verpflichtung der DS-GVO für Ihr Unternehmen ist das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten, die Ihrer Zuständigkeit unterliegen. Dies sollte jedoch nicht als lästige Aufgabe empfunden werden, sondern als wichtiges Instrument, um alle eigenen Verarbeitungen gut zu kennen - letztendlich ist dies eine der Grundvoraussetzung für einen datenschutzkonformen Betrieb.

zurück nach oben

Ihre Antwort

Alle unsere Prozesse, in denen mit personenbezogenen Daten umgegangen wird, werden berücksichtigt, sowie weitere allgemeine Daten wie KONTAKT und Zweck der Verarbeitung.

Richtige Antwort

Alle unsere Prozesse, in denen mit personenbezogenen Daten umgegangen wird, werden berücksichtigt, sowie weitere allgemeine Daten wie KONTAKT und Zweck der Verarbeitung.

Erläuterung

Das Verzeichnis von Verarbeitungstätigkeiten umfasst nicht nur Soft- und Hardwareprodukte, die bei den Verarbeitungen zum Einsatz kommen (z. B. Speichermedien), sondern vieles mehr, was für die Verarbeitung relevant ist: Löschfristen, technische und organisatorische Maßnahmen, Zweck der Verarbeitung, KONTAKTdaten des Verantwortlichen, etc. - letztendlich alles Wesentliche des Verarbeitungsprozesses.

zurück nach oben

Ihre Antwort

In unserem Unternehmen gibt es gute Checklisten, durch die abgefragt werden kann, ob alle Maßnahmen durchgeführt werden und funktionieren - dies dient auch als Nachweis gegenüber den DATENSCHUTZaufsichtsbehörden.

Richtige Antwort

Auf Grund des neuen risikobasierten Ansatzes werden wir versuchen, für jede Verarbeitungstätigkeit geeignete Maßnahmen zu finden und die Wirksamkeit über einen Prozess regelmäßig zu evaluieren.

Erläuterung

Standardchecklisten mit Fragen a la "Haben Sie eine Firewall?" helfen nicht, um die eigenen spezifischen technischen und organisatorischen Maßnahmen zu prüfen. Wenn, dann müssen diese auf den risikobasierten Ansatz der DS-GVO angepasst werden, damit Sie in Ihrem Unternehmen für jede Verarbeitungstätigkeit geeignete und wirksame Maßnahmen finden - und auch regelmäßig evaluieren. Basis dafür ist jedoch die Fachkompetenz Ihrer IT-Abteilung oder Ihres IT-Dienstleisters, der über das technische Detail-Know-How verfügt.

zurück nach oben

Ihre Antwort

Wir planen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit unserer technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Richtige Antwort

Wir planen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit unserer technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Erläuterung

Alleine das Vorhandensein von Sicherheitsprodukten reicht nicht aus, um einen ausreichenden Schutz personenbezogener Daten in Ihrem Unternehmen nachzuweisen. Auch eine reine IT-Zertifizierung ist isoliert betrachtet nicht aussagekräftig, da dort datenschutzrelevante Punkte nur eingeschränkt abgeprüft werden. Besser ist dagegen ein internes Verfahren, bei dem einerseits die Auswahl der Maßnahmen unter Berücksichtigung der Risiken nachvollziehbar ist und anderseits die Wirksamkeit auch geprüft wird.

zurück nach oben

Ihre Antwort

Wir werden hinterfragen, ob die Risikobeurteilungsmethode an die Rechte und Freiheiten nach DS-GVO angepasst wurde und der Zertifizierungs-Scope alle Verarbeitungstätigkeiten mit personenbezogenen Daten umfasst.

Richtige Antwort

Wir werden hinterfragen, ob die Risikobeurteilungsmethode an die Rechte und Freiheiten nach DS-GVO angepasst wurde und der Zertifizierungs-Scope alle Verarbeitungstätigkeiten mit personenbezogenen Daten umfasst.

Erläuterung

Da eine ISO/IEC 27001-Zertifizierung nicht alle datenschutzrelevante Punkte beinhaltet, kann diese als Nachweis alle nicht ausreichen. Stattdessen müssen Sie prüfen, ob diese erweitert wurde und insbesondere den Blickwinkel des DATENSCHUTZrisikos im Scope beinhaltet - ggf. kann dies auch durch ein weiteres Zertifikat erreicht werden.

zurück nach oben

Ihre Antwort

Cybersicherheit ist uns ein wichtiges Anliegen, um die Vorgaben der DS-GVO einhalten zu können - entsprechend widmen wir diesem Bereich besonders viel Aufmerksamkeit.

Richtige Antwort

Cybersicherheit ist uns ein wichtiges Anliegen, um die Vorgaben der DS-GVO einhalten zu können - entsprechend widmen wir diesem Bereich besonders viel Aufmerksamkeit.

Erläuterung

Die DS-GVO gibt vor, dass insbesondere die Vertraulichkeit, die Integrität, Verfügbarkeit und Belastbarkeit Ihrer Systeme und Dienste im Zusammenhang mt der Verarbeitung sichergestellt werden muss. Sie werden - wie heutzutage jedes Unternehmen - an zumindest einer Stelle mit dem Internet verbunden: Sei es durch E-Mail, die eigene Webseite oder IT-Outsourcing. Gerade hier gilt es geeignete, dem Risiko entsprechende Maßnahmen zu treffen, um durch Cyberattacken keinen DATENSCHUTZ-Skandal zu erleben.

zurück nach oben

Ihre Antwort

Entsprechende Prozesse haben wir bereits oder werden wir noch implementieren, so dass Vorfälle erkannt und bewertet werden können.

Richtige Antwort

Entsprechende Prozesse haben wir bereits oder werden wir noch implementieren, so dass Vorfälle erkannt und bewertet werden können.

Erläuterung

Voraussetzung für eine Meldung einer DATENSCHUTZverletzung an die Aufsichtsbehörde ist eine Bewertung, welches Risiko für die Rechte und Freiheiten natürlicher Personen, also der betroffenen Personen, auf Grund eines Vorfalls besteht. Nur in den Fällen, die nicht zu einem Risiko führen, ist keine Meldung erforderlich. Somit müssen Sie einerseits die Verarbeitung prüfen (z .B. über gezieltes Monitoring) und andererseits bei Vorfällen eine Risikobewertung objektiv durchführen können.

zurück nach oben

Ihre Antwort

Wir versuchen, möglichst binnen 72 Stunden ab Kenntniserlangung jeden relevanten Vorfall an die Aufsichtsbehörde zu melden.

Richtige Antwort

Wir versuchen, möglichst binnen 72 Stunden ab Kenntniserlangung jeden relevanten Vorfall an die Aufsichtsbehörde zu melden.

Erläuterung

Die DS-GVO beinhaltet eine klare Vorgabe bei DATENSCHUTZverletzungen: Wird Ihnen ein Vorfall bekannt, haben Sie unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung zu machen. Ein Verstoß dagegen, z. B. eine versäumte oder unbegründet verspätete Meldung, kann ein empfindliches Bußgeld nach sich ziehen.

zurück nach oben

Ihre Antwort

Wir werden systematische Beschreibungen der vorgesehenen Verarbeitungsvorgänge nutzen, um eine möglichst objektive Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen vornehmen zu können.

Richtige Antwort

Wir werden systematische Beschreibungen der vorgesehenen Verarbeitungsvorgänge nutzen, um eine möglichst objektive Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen vornehmen zu können.

Erläuterung

Ein neues Werkzeug aus der DS-GVO ist die DATENSCHUTZ-Folgenabschätzung. Haben Sie eine Verarbeitung, bei der ein hohes DATENSCHUTZrisiko besteht, so müssen Sie vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchführen. Die Aufsichtsbehörden müssen eine Liste veröffentlichen, wann solche Abschätzung durchzuführen ist.

zurück nach oben

Ihre Antwort

Wir haben Verarbeitungen mit hohen DATENSCHUTZrisiken und prüfen deshalb bei jeder Veränderung der Rahmenbedingungen, ob eine DATENSCHUTZ-Folgenabschätzung durchzuführen ist.

Richtige Antwort

Wir haben Verarbeitungen mit hohen DATENSCHUTZrisiken und prüfen deshalb bei jeder Veränderung der Rahmenbedingungen, ob eine DATENSCHUTZ-Folgenabschätzung durchzuführen ist.

Erläuterung

Auch bei bestehenden Verarbeitungstätigkeiten ist eine Risikobewertung durchzuführen. Die DS-GVO klammert daher bislang praktizierte Verfahren in keinster Weise aus. Die von den Aufsichtsbehörden veröffentlichten Black- und White-Lists werden Ihnen eine Hilfe sein um zu erkennen, wann eine DATENSCHUTZ-Folgenabschätzung durchgeführt werden muss und wann nicht.

zurück nach oben

Ihre Antwort

Wir prüfen die Situation in unserem Land, da die Benennung eines DSB in den EU-Mitgliedstaaten unterschiedlich geregelt werden kann - falls wir einen DSB benennen müssen, hat dieser aber nur eine beratende Funktion und ist somit für die Datenverarbeitung selbst nicht verantwortlich.

Richtige Antwort

Wir prüfen die Situation in unserem Land, da die Benennung eines DSB in den EU-Mitgliedstaaten unterschiedlich geregelt werden kann - falls wir einen DSB benennen müssen, hat dieser aber nur eine beratende Funktion und ist somit für die Datenverarbeitung selbst nicht verantwortlich.

Erläuterung

Die Rolle des DSB ist länderübergreifend bekannt, jedoch kann die gesetzliche Pflicht zur Benennung nach der DS-GVO in jedem Land individuell ausgestaltet werden. In Deutschland wird weitergelten: Sobald in Ihrem Unternehmen mindestens zehn Personen ständig damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten, müssen Sie einen DSB benennen. Darüber hinaus gibt es aber noch weitere Voraussetzungen, wann Sie einen DSB benennen müssen.

zurück nach oben

Ihre Antwort

Sobald Kriterien und Kosten zur Zertifizierungsverfahren transparent veröffentlicht wurden, werden wir uns damit beschäftigen und abwägen, ob eine Zertifizierung für uns oder unsere Dienstleister von Bedeutung sein könnte.

Richtige Antwort

Sobald Kriterien und Kosten zur Zertifizierungsverfahren transparent veröffentlicht wurden, werden wir uns damit beschäftigen und abwägen, ob eine Zertifizierung für uns oder unsere Dienstleister von Bedeutung sein könnte.

Erläuterung

Die DS-GVO legt einen rechtlichen Grundstein für europäisch einheitliche Zertifizierungsverfahren, die dazu dienen sollen, die Einhaltung der DS-GVO bei Verarbeitungsvorgängen nachzuweisen. Wird Ihnen also ein solches Zertifikat nach abgestimmten Kriterien vorgelegt, dann können Sie dies als ausreichenden Nachweis anerkennen. Ob sich dies für Sie oder Ihren Dienstleister wirtschaftlich lohnt, ist Ihnen selbst überlassen - bedeutungslos sind diese Zertifikate zumindest nicht.

zurück nach oben

Ihre Antwort

Datenübermittlungen in Nicht-EU/Nicht-EWR-Staaten werden sorgfältig ausgewählt und nur bei vorhandener Grundlage durchgeführt. Bestehende Vertragsdokumente werden in Vorbereitung auf die DS-GVO entsprechend geprüft und angepasst.

Richtige Antwort

Datenübermittlungen in Nicht-EU/Nicht-EWR-Staaten werden sorgfältig ausgewählt und nur bei vorhandener Grundlage durchgeführt. Bestehende Vertragsdokumente werden in Vorbereitung auf die DS-GVO entsprechend geprüft und angepasst.

Erläuterung

Datenübermittlungen in Nicht-EU/Nicht-EWR-Staaten können nach der DS-GVO auf verschiedenen Grundlagen erfolgen. Sie müssen daher in Ihrem Unternehmen prüfen, welche Voraussetzungen bei Ihnen vorherrschen, bestehende Vertragsdokumente prüfen und ggf. entsprechend in Vorbereitung auf die DS-GVO anpassen.

zurück nach oben

Ihre Antwort

Grundsätzlich dürfen personenbezogene Daten in die USA übermittelt werden, sofern zusätzlich zu den in der EU geltenden datenschutzrechtlichen Anforderungen noch spezielle Anforderungen für Übermittlungen in Drittländer erfüllt werden.

Richtige Antwort

Grundsätzlich dürfen personenbezogene Daten in die USA übermittelt werden, sofern zusätzlich zu den in der EU geltenden datenschutzrechtlichen Anforderungen noch spezielle Anforderungen für Übermittlungen in Drittländer erfüllt werden.

Erläuterung

Die DS-GVO verbietet es Ihnen nicht, personenbezogene Daten in die USA zu übermitteln - jedoch müssen spezifische, umfangreiche Anforderungen von Ihnen vorab berücksichtigt werden.

zurück nach oben

Ihre Antwort

Auf der speziellen Privacy-Shield Liste des U.S. Departement of Commerce überprüfen wir selbst, ob das Unternehmen mit einer gültigen Zertifizierung aufgeführt ist und dies die richtigen Datenkategorien umfasst.

Richtige Antwort

Auf der speziellen Privacy-Shield Liste des U.S. Departement of Commerce überprüfen wir selbst, ob das Unternehmen mit einer gültigen Zertifizierung aufgeführt ist und dies die richtigen Datenkategorien umfasst.

Erläuterung

Bei Transfers an ein U.S.-Unternehmen müssen Sie auf der offiziellen Liste des U.S.-Handelsministerium prüfen, ob das Unternehmen tatsächlich auf der Liste steht und über eine gültige Privacy-Shield-Zertifizierung verfügt. Alleine die Aussage des Anbieters, er verfüge über eine solche Zertifizierung, reicht nicht als Nachweis.

zurück nach oben

Ihre Antwort

In unserem Unternehmen wird eine Neubewertung bestehender Haftungsrisiken stattfinden, damit Verstößen präventiv entgegengetreten werden kann - DATENSCHUTZ muss ein wichtiger Bestandteil bei unseren Projektplanungen sein.

Richtige Antwort

In unserem Unternehmen wird eine Neubewertung bestehender Haftungsrisiken stattfinden, damit Verstößen präventiv entgegengetreten werden kann - DATENSCHUTZ muss ein wichtiger Bestandteil bei unseren Projektplanungen sein.

Erläuterung

Aus den Sanktionsvorschriften der DS-GVO spricht der deutliche Wille des Gesetzgebers, DATENSCHUTZverstöße konsequent und bei Bedarf auch empfindlich zu ahnden. Dies sollten Sie in Ihrem Unternehmen als Signal verstehen, dass sich eine bewusste Inkaufnahme von DATENSCHUTZverstößen nicht lohnt.

zurück nach oben