Wissensbasis

Aufsichtsanfrage erhalten — Reaktionsplan und Fristen Eine Mail oder ein Brief von der Aufsichtsbehörde — was tun in den ersten 48 Stunden? Reaktionsplan mit Fristen, Zuständigkeiten und Stolperfallen. · Aufsicht & Beschwerden

Auskunftsersuchen nach Art. 15 DSGVO — Bearbeitungsschritte Wie Sie ein Auskunftsersuchen rechtssicher beantworten — Frist, Inhalt, Form, typische Stolperfallen. · Betroffenenrechte

Auftragsverarbeitungsvertrag (AVV): Checkliste vor der Unterschrift Was in einem belastbaren AVV drinsteht, was nicht — und woran Sie typische Schein-AVVs großer Anbieter erkennen. · Auftragsverarbeitung

AVV mit US-Cloud-Provider — typische Vertragslücken Die Standard-AVVs der Hyperscaler haben verlässlich denselben Schwachstellenkatalog. Was Sie ergänzen müssen, bevor Sie unterschreiben. · Internationale Transfers · Auftragsverarbeitung

Benachrichtigung Betroffener nach Art. 34 — Schwellenwert und Sprachregeln Wann müssen Sie nach einer Datenpanne nicht nur die Aufsicht, sondern auch die Betroffenen informieren — und wie formulieren Sie eine wirksame Benachrichtigung? · Datenpannen

Beschwerde durch Betroffene — wie der DSB unterstützen kann Eine betroffene Person hat sich bei der Aufsicht beschwert — wie der DSB den Verantwortlichen jetzt sinnvoll unterstützt, ohne in den Loyalitätskonflikt zu geraten. · Aufsicht & Beschwerden · Betroffenenrechte

Bewerber-Daten — Aufbewahrungsfrist, AGG-Frist und Bewerberpool Wie lange dürfen Bewerbungsunterlagen aufbewahrt werden, wann müssen sie gelöscht werden, und unter welchen Bedingungen ist ein Bewerberpool zulässig? · Beschäftigtendatenschutz

Biometrie am Arbeitsplatz — Einwilligung und Verhältnismäßigkeit Fingerabdruck-Zeiterfassung, Iris-Scan, Stimme — wann ist Biometrie im Beschäftigungsverhältnis zulässig, und warum reicht die Einwilligung in der Praxis selten? · Spezialfelder · Beschäftigtendatenschutz

BYOD und private Nutzung — Vereinbarungs-Bausteine Wenn Mitarbeitende eigene Geräte beruflich nutzen oder dienstliche Geräte privat — welche Regeln müssen vereinbart sein, damit Sie nicht im Audit oder im Kündigungsstreit überrascht werden? · Beschäftigtendatenschutz

ChatGPT, Copilot, Gemini im Unternehmen — Mindestregelungen Was Mitarbeitende mit generativer KI dürfen und was nicht — die Mindestregeln für eine Betriebsvereinbarung oder Richtlinie. · Spezialfelder · Datenschutz-Organisation

Cookie-Banner — was ist Pflicht, was nicht (TDDDG § 25) Welche Cookies brauchen wirklich eine Einwilligung, welche nicht? Wann ist gar kein Banner nötig, und welche Banner-Designs sind seit dem TDDDG unzulässig? · Marketing & Kommunikation

Datenpanne: Erstreaktion in den ersten 72 Stunden Checkliste für die ersten 72 Stunden nach Bekanntwerden einer Datenpanne — Meldepflicht, Dokumentation, Benachrichtigung Betroffener. · Datenpannen

Datenschutz an Schulen und Kitas — eingeschränkter Mandantenfokus Schulen, Kitas und Bildungsträger haben spezifische Datenschutzfragen: Schülerdaten, Elternkommunikation, digitale Plattformen, Fotos. Mit landesspezifischen Schulgesetzen als zusätzlicher Ebene. · Datenschutz-Organisation · Spezialfelder

Datenschutz im Vereinskontext — Mitgliederliste, Spendenwesen, Veröffentlichungen Vereine haben spezifische Datenschutzfragen: Mitgliederlisten, Spendenverwaltung, Geburtstagslisten, Bildmaterial. Was darf, was nicht, und worauf bei kirchlichen Trägern zusätzlich zu achten ist. · Datenschutz-Organisation · Marketing & Kommunikation

Dokumentationspflicht bei Datenpannen — Art. 33 Abs. 5 Was Sie dokumentieren müssen, auch wenn die Datenpanne unter der Meldeschwelle bleibt — und warum dieses Register im Audit als erstes geprüft wird. · Datenpannen · Dokumentation

DSB-Bestellung — formale Anforderungen und Meldung an die Aufsicht Wann müssen Sie einen Datenschutzbeauftragten bestellen, wie wird die Bestellung formal richtig dokumentiert, und welche Pflichten bringt die Meldung an die Aufsichtsbehörde mit sich? · Datenschutz-Organisation

Identitätsprüfung bei Betroffenenanträgen — Maß und Grenzen Wann darf der Verantwortliche zusätzliche Identifikationsdaten verlangen — und wann ist die Forderung nach einer Ausweiskopie unzulässig? · Betroffenenrechte

Joint Controllership vs. Auftragsverarbeitung — Abgrenzung mit Beispielen Gemeinsame Verantwortung oder Auftragsverarbeitung? Die Falsch-Einordnung ist einer der häufigsten Befunde im Audit. Mit Entscheidungslogik und konkreten Beispielen. · Auftragsverarbeitung

KI-Verordnung — Pflichten je nach Risikoklasse, Schnittstelle DSGVO Die EU-KI-Verordnung gilt seit August 2024 schrittweise. Welche Pflichten betreffen KMU, wann greift welche Risikoklasse, und wo überlappt sie mit der DSGVO? · Spezialfelder

Löschungsersuchen nach Art. 17 DSGVO — Pflicht und Ausnahmen Wann Sie löschen müssen, wann nicht, und wie Sie Aufbewahrungspflichten richtig dokumentieren. · Betroffenenrechte

Newsletter — Double-Opt-In, Abmeldelink, Dokumentation Wie Sie einen Newsletter rechtssicher betreiben — Anmeldung, Bestätigung, Versand, Abmeldung, Beweisführung. Mit den fünf typischen Abmahnfallen. · Marketing & Kommunikation

Onboarding-Checkliste neue Mitarbeitende — Verpflichtung, Schulung, Zugriff Was am ersten Arbeitstag datenschutzrechtlich zu tun ist — eine Checkliste für HR, IT und Fachbereich, vom Arbeitsvertrag bis zur ersten Datenverarbeitung. · Datenschutz-Organisation · Beschäftigtendatenschutz

Schulungspflicht Mitarbeitende — Pflicht, Soll, Mindestinhalt Wer muss wann geschult werden, wie oft, mit welchen Inhalten — und wie weisen Sie die Schulung im Audit nach? · Datenschutz-Organisation · Beschäftigtendatenschutz

TOM-Anlage zum AVV — was konkret drinstehen muss Die häufigste rote Flagge im AVV-Audit: TOM-Anlagen mit Marketing-Floskeln statt konkreter Maßnahmen. So sieht eine prüffeste TOM-Anlage aus. · Auftragsverarbeitung · Dokumentation

TOM-Beschreibung nach Art. 32 — Aufbau und typische Lücken Wie eine TOM-Beschreibung gegliedert sein muss, damit sie im Aufsichts-Audit besteht — und welche fünf Lücken in fast jedem Erstaudit auftauchen. · Dokumentation

Unterauftragsverhältnis nach Art. 28 Abs. 2-4 — Genehmigungsverfahren Was tun, wenn Ihr Dienstleister einen weiteren Dienstleister einsetzt? Wann brauchen Sie Genehmigung, wann nicht, und wie organisieren Sie das vertraglich sauber? · Auftragsverarbeitung

USA-Transfers nach DPF — was zu prüfen ist Das EU-U.S. Data Privacy Framework gilt seit Juli 2023. Wann reicht es als Transfergrundlage, wann nicht — und was bleibt vom Schrems-II-Risiko? · Internationale Transfers

Videoüberwachung — Schilder, Speicherdauer, Betroffenenrechte Wann darf eine Kamera was filmen, wie lange dürfen Aufnahmen gespeichert werden, und welche Informationspflichten gegenüber den gefilmten Personen sind Pflicht? · Spezialfelder · Beschäftigtendatenschutz

VVT und TOM — Aktualisierungsturnus und Verantwortlichkeiten Wer aktualisiert das Verzeichnis von Verarbeitungstätigkeiten und die TOM, wie oft, mit welchen Triggern? Pragmatischer Pflegerhythmus für KMU. · Dokumentation · Datenschutz-Organisation