Artikel 25 schreibt vor, dass der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen integriert werden muss. Datenschutzeinstellungen müssen daher standardmäßig auf einem hohen Niveau festgelegt werden, und der für die Verarbeitung Verantwortliche sollte technische und verfahrenstechnische Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung während des gesamten Verarbeitungslebenszyklus der Verordnung entspricht. Die für die Verarbeitung Verantwortlichen sollten auch Mechanismen implementieren, um sicherzustellen, dass personenbezogene Daten nicht verarbeitet werden, es sei denn, dies ist für jeden spezifischen Zweck erforderlich. Manchmal werden die Aufzeichnungen der Verarbeitungsaktivitäten mit Checklisten vermischt, um die DSGVO-Konformität der Datenverarbeitung zu bewerten. Ich persönlich empfehle, die Aufzeichnungen der Datenverarbeitungsaktivitäten (reine Dokumentation) und die Überprüfung der Datenverarbeitungsaktivitäten klar voneinander zu trennen. Schließlich sind spezifizierte Informationen über die einzelnen Datenverarbeitungsvorgänge zur Verfügung zu stellen: Rein abstrakte Verarbeitung ohne spezifischen Zweck Standardisierte interne Prozesse, in denen Mitarbeiterdaten kontinuierlich oder systematisch erhoben, gespeichert oder genutzt werden (z.B. Bearbeitung von Bewerberdaten, Verwaltung und Bearbeitung von Schulungsmaßnahmen, Lohnbuchhaltung, E-Mail-Newsletter für Kunden). Das AWS Professional Services-Team führt eine Reihe von Aktivitäten durch, um Kunden und APN-Partnern auf ihrem Weg zur DSGVO-Compliance zu helfen. Professional Services Consultants helfen bei der Beantwortung von DSGVO-Fragen, indem sie private Beratungssitzungen sowie öffentliche Vorträge, Webinare und Workshops bei AWS Summits und AWS Pop-up Lofts bereitstellen. Das AWS Professional Services-Team arbeitet auch direkt mit Kunden und APN-Partnern zusammen, um ihnen technische Anleitungen zur DSGVO anzubieten und Datenschutz standardmäßig mithilfe von AWS-Tools zu implementieren. Weitere Informationen dazu, wie AWS Professional Services Consultants Kunden und APN-Partnern hilft, finden Sie unter: aws.amazon.com/professional-services/. Wie auch immer Sie die Verarbeitungsaktivitäten Ihres Unternehmens dokumentieren, es ist wichtig, dass Sie dies auf granulare und sinnvolle Weise tun.

Beispielsweise können Sie mehrere separate Aufbewahrungsfristen haben, die sich jeweils speziell auf verschiedene Kategorien personenbezogener Daten beziehen. Ebenso ist es wahrscheinlich, dass die Organisationen, mit denen Sie personenbezogene Daten teilen, je nach Art der Personen, über die Sie Informationen besitzen, und Ihren Zwecken für die Verarbeitung der Daten unterschiedlich sind. Die Aufzeichnung Ihrer Verarbeitungsaktivitäten muss diese Unterschiede widerspiegeln. Eine allgemeine Liste von Informationen ohne sinnvolle Verbindungen zwischen ihnen entspricht nicht den Dokumentationsanforderungen der DSGVO. Die Verordnung gilt, wenn der für die Verarbeitung Verantwortliche (eine Organisation, die Daten von EU-Bürgern sammelt) oder der Auftragsverarbeiter (eine Organisation, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen wie Cloud-Dienstleister verarbeitet) oder die betroffene Person (Person) ihren Sitz in der EU hat. Unter bestimmten Umständen[3] gilt die Verordnung auch für Organisationen mit Sitz außerhalb der EU, wenn sie personenbezogene Daten von Personen in der EU erheben oder verarbeiten. Die Verordnung gilt nicht für die Verarbeitung von Daten durch eine Person für eine “rein persönliche oder private Tätigkeit und damit ohne Zusammenhang mit einer beruflichen oder gewerblichen Tätigkeit”. (Erwägungsgrund 18) Erläuterungen zu den Datenverarbeitungsdatensätzen des Bitkom e.V. (Deutscher Verband für Informationstechnologie, Telekommunikation und Neue Medien) mit Tipps zum Entwurf: www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf Bestimmen und dokumentieren Sie Ihre Rolle für jede Verarbeitungstätigkeit. Sie können ein Prozessor in einigen Aktivitäten und ein Controller in anderen sein, also stellen Sie sicher, dass Sie sich Ihrer Verantwortlichkeiten in jeder Rolle bewusst sind. Facebook und die Tochtergesellschaften WhatsApp und Instagram sowie Google LLC (Targeting Android) wurden am 25. Mai 2018 wenige Stunden nach Mitternacht von Max Schrems` gemeinnütziger NOYB wegen “Zwangseinwilligung” verklagt.

Schrems macht geltend, dass beide Unternehmen gegen Artikel 7 Absatz 4 verstoßen hätten, indem sie keine Opt-Ins für die Datenverarbeitungszustimmung auf individueller Basis vorgelegt hätten und die Nutzer verpflichtet hätten, allen Datenverarbeitungsaktivitäten (einschließlich der nicht unbedingt notwendigen) zuzustimmen oder von der Nutzung der Dienste ausgenommen zu sein. [99] [100] [101] [102] [103] Am 21. Januar 2019 wurde Google von der französischen Datenschutzbehörde zu einer Geldstrafe von 50 Mio. EUR verurteilt, weil es unzureichende Kontrolle, Zustimmung und Transparenz bei der Verwendung personenbezogener Daten für verhaltensbezogene Werbung gezeigt hatte. [104] [105] Im November 2018 nutzte die rumänische Dpa (ANSPDCP) nach einer journalistischen Untersuchung von Liviu Dragnea eine DSGVO-Anfrage, um Informationen über die Quellen des RISE-Projekts zu verlangen. [106] [107] Die DSGVO gilt auch für für die Verarbeitung Verantwortliche und Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR), wenn sie das “Angebot von Waren oder Dienstleistungen” (unabhängig davon, ob eine Zahlung erforderlich ist) an betroffene Personen innerhalb des EWR