Suche: Gemeinde Baindt

Gemeinden können neben bestimmten Steuern (Gewerbesteuer, Grundsteuer, kommunale Steuern wie zum Beispiel Hundesteuer und Vergnügungssteuer) weitere Abgaben erheben. Rechtsgrundlage ist vor allem das Kommunalabgabengesetz (KAG). Dieses gilt auch für die Landkreise. In der jeweiligen örtlichen Satzung sind entsprechend der Situation vor Ort nähere Regelungen enthalten. Die wichtigsten Kommunalabgaben sind: Gebühren für öffentliche Leistungen (so genannte Verwaltungsgebühren) fallen in der Regel für hoheitliche Leistungen oder Handlungen der Behörden an, die auf Veranlassung oder im Interesse einer bestimmten Person oder eines Unternehmens erfolgen. Hierzu zählen Genehmigungen, die Ablehnung oder Gewährung von Leistungen aller Art oder schlichtes Verwaltungshandeln (zum Beispiel das Ausstellen von Bescheinigungen). Auch können Gebühren für die Benutzung der öffentlichen Einrichtungen erhoben werden (sogenannte Benutzungsgebühren). Gebühren für die Wasserversorgung werden von den Gemeinden auf der Grundlage einer Kalkulation durch Gemeinderatsbeschluss festgesetzt. Erfolgt die Wasserversorgung durch ein kommunales Unternehmen in einer Rechtsform des Privatrechts (zum Beispiel GmbH) werden statt Gebühren privatrechtliche Entgelte erhoben. Abwassergebühren werden für die Beseitigung von Abwasser (Schmutzwasser und Niederschlagswasser von bebauten und befestigten Flächen) erhoben. Die Höhe der Abwassergebühr legt die Gemeinde oder der beauftragte Zweckverband nach spezifischer Kalkulation in eigener Zuständigkeit fest. Abfallgebühren fallen für die Entsorgung von Abfällen an. Für Abfälle zur Beseitigung aus anderen Herkunftsbereichen als privaten Haushaltungen (zum Beispiel Industrie- und Gewerbebetriebe) enthält die örtliche Abfallsatzung meistens besondere Regelungen zur Entsorgung und zu den Gebühren. Beiträge für den Anschluss von Grundstücken an öffentliche Einrichtungen wie die örtliche Wasserversorgung, Kanäle und Kläranlagen können die Gemeinden von den Grundstückseigentümern erheben. Die Gemeinden können Erschließungsbeiträge erheben, um die Kosten, die für die Erschließung von Grundstücken anfallen, zu decken (zum Beispiel für den Ausbau öffentlicher Straßen, Wege und Plätze, Parkflächen, Grünanlagen, Kinderspielplätze). Diese Kosten müssen zumindest teilweise von den Grundstückseigentümern übernommen werden. Kurorte, Erholungsorte und sonstige Fremdenverkehrsgemeinden können eine Kurtaxe erheben. Die Kurtaxe wird zum Beispiel von Hotels, von Betreibern von Campingplätzen oder von Inhabern von Ferienwohnungen von den Gästen eingezogen und an die Gemeinde weitergeleitet. Die Höhe der Kurtaxe und gegebenenfalls Ausnahmeregelungen (zum Beispiel für Kinder) legt die Gemeinde in ihrer Kurtaxesatzung fest. Profitiert ein Unternehmen in einem Kur- oder Erholungsort oder in einer sonstigen Fremdenverkehrsgemeinde vom Tourismus, kann die Gemeinde von diesem jährlich auf der Basis wirtschaftlicher Kennzahlen (zum Beispiel Umsatz, Anzahl der Übernachtungen) einen Fremdenverkehrsbeitrag erheben.[mehr]

Unternehmerinnen und Unternehmer haben die Möglichkeit, Fördergelder von unterschiedlichen Stellen in Anspruch zu nehmen.[mehr]

Wer sich entschließt, im Import- oder Exportgeschäft tätig zu werden, muss sich mit einer Reihe zollrechtlicher Bestimmungen auseinandersetzen.[mehr]

Auch das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z.B. optische Datenspeicher, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne der Datenschutzgrundverordnung (DS-GVO) und muss nach bestimmten Vorschriften erfolgen. Dabei kann die DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ aus dem Jahr 2012 für die Auswahl einer Sicherheitsstufe passend zur jeweiligen Schutzklasse zur Anwendung kommen. Datenvernichtung im eigenen Unternehmen Wenn Sie selbst in Ihrem Unternehmen Daten löschen oder Datenträger vernichten, müssen Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Datenvernichtung durch Dritte im Auftrag Die meisten Unternehmen beauftragen auf Datenvernichtung spezialisierte gewerbliche Unternehmen mit der Datenträgervernichtung. Auch für diese Fälle gibt es genaue Vorschriften: Sie müssen den Auftrag zur Auftragsverarbeitung schriftlich oder in einem elektronischen Format erteilen. Der Auftrag muss Angaben darüber enthalten, welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der Daten (-> Schutzklasse) eingestuft wird, auf welche Weise die Vernichtung erfolgen muss, wo die Datenträger vernichtet werden, von wem die Datenträger abgeholt und wie sie transportiert werden, wo die Datenträger bis zur Vernichtung aufbewahrt werden, bis wann die Datenträger vernichtet sein müssen, wie die Haftungsregelung vereinbart wird, in welcher Art und Form Bescheinigungen bei Abholung und Vernichtung erstellt werden, dass das vom Auftragsverarbeiter eingesetzte Personal auf das Datengeheimnis verpflichtet wird, ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten darf und dass Sie als Auftraggeber berechtigt sind, Transport und Vernichtung zu überwachen. Sie als Auftraggeber beziehungsweise die oder der Datenschutzbeauftragte in Ihrem Unternehmen müssen sich davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Auch wenn Sie regelmäßig demselben Datenvernichter Ihre Datenträger zur Vernichtung überlassen, sollten Sie daher stichprobenartig die Einhaltung der Maßnahmen überprüfen. Achtung: Bis zum Abschluss der Vernichtung der Datenträger sind Sie als Auftraggeber für die Einhaltung der Datenschutzanforderungen verantwortlich. Pflichten der datenvernichtenden Unternehmen Wenn Sie in Ihrem Unternehmen gewerbliche Datenträgervernichtung betreiben, müssen Sie technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Zusätzlich sind vor allem die folgenden Punkte unerlässlich: Dokumentation des Vernichtungsprozesses Es gilt, die Dokumentationspflicht über sämtliche Auftragsverhältnisse zu erfüllen. Gegebenenfalls ist eine auftragsbezogene Dokumentation zu erstellen. Die bei der Datenverarbeitung beschäftigten Mitarbeitenden sind auf das Datengeheimnis zu verpflichten beziehungsweise hinzuweisen. Es sind nur Mitarbeiter mit der Datenverarbeitung zu betrauen, die sich verpflichtet haben, das Datenschutzrecht einzuhalten. Es ist zu gewährleisten, dass andere Personen keine Kenntnis über die zu löschenden Daten erhalten. Es dürfen keine weiteren Auftragsverarbeiter ohne schriftliche Genehmigung des Verantwortlichen in Anspruch genommen werden. Bei einer allgemeinen schriftlichen Genehmigung muss der Verantwortliche über jede Änderung diesbezüglich informiert werden. Dadurch erhält der Auftraggeber die Möglichkeit dieser Änderung zu widersprechen. Der Auftragsverarbeiter haftet für die Einhaltung der Datenschutzpflichten des/der weiteren Auftragsverarbeiter/s. Auftragsverarbeiter können nach den Vorschriften der Auftragsverarbeitung grundsätzlich sowohl im EU-Raum wie auch in Drittländern tätig werden. Dabei sind insbesondere die zusätzlichen Anforderungen an die Sicherstellung des Datenschutzniveaus beim Auftragnehmer nach Kapitel V der DS-GVO zu beachten. Das gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland. Auftragsverarbeiter, die keine Niederlassung in der Europäischen Union haben, müssen hier einen Vertreter bestellen. Dem Verantwortlichen sind alle erforderlichen Informationen zum Nachweis der Einhaltung der DS-GVO zur Verfügung zu stellen. Überprüfungen und Inspektionen durch den Verantwortlichen, oder einem von diesem beauftragten Prüfer, sind zu ermöglichen und dazu beizutragen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DS-GVO verstößt. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich dem Verantwortlichen. Eine Dokumentation des Prozesses im Falle einer Datenschutzverletzung ist erforderlich. Der Auftragsverarbeiter unterstützt nach Möglichkeit den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten. Die Einhaltung genehmigter Verhaltensregeln („Code of Conduct“) oder eine Zertifizierung nach Artikel 42 DS-GVO kann als Faktor herangezogen werden, um hinreichende Garantien für die Einhaltung der in der DS-GVO genannten Pflichten nachzuweisen. In der Regel müssen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten für Ihr Unternehmen bestellen. Hinweise: Ein Auftragsverarbeiter, der unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung selbst bestimmt, gilt als Verantwortlicher und nicht mehr als Auftragsverarbeiter. Auftragsverarbeiter und Verantwortlicher haften künftig als Gesamtschuldner für die materiellen und immateriellen Schäden, die durch die illegale Datenverarbeitung hervorgerufen worden sind. Der Betroffene hat nach Artikel 79 DS-GVO ein direktes Klagerecht gegen den Auftragsverarbeiter. Die Verstöße gegen eine Reihe von Pflichten des Auftragsverarbeiters sind nach Artikel 83 Absatz 4 bis 6 DS-GVO bußgeldbewehrt. Als mit der Vernichtung von Daten Beschäftigte gelten alle Personen, die in irgendeiner Form mit den zu vernichtenden Daten in Berührung kommen, also beispielsweise auch Fahrerinnen und Fahrer, die die Datenträger transportieren oder Beschäftigte, die die Datenträger bis zur Vernichtung einlagern.[mehr]

Das Datengeheimnis gemäß Bundesdatenschutzgesetz verbietet es Personen, die bei der Verarbeitung personenbezogener Daten beschäftigt sind, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Hinweis: Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit noch fort. Wenn Sie in Ihrem Unternehmen Mitarbeitende für die Verarbeitung personenbezogener Daten beschäftigen, müssen Sie diese bei Aufnahme der Tätigkeit schriftlich auf das Datengeheimnis verpflichten. Beachten Sie, dass nicht nur Arbeitnehmerinnen und Arbeitnehmer als Beschäftigte im Sinne des Datenschutzgesetzes gelten, sondern auch die folgenden Personengruppen: Auszubildende Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben Rehabilitandinnen und Rehabilitanden Das sind Personen, die an Maßnahmen teilnehmen, um ihre berufliche Eignung abzuklären oder sie nach längerer, krankheitsbedingter Abwesenheit zunächst stundenweise wieder am Arbeitsplatz einzugliedern (Arbeitserprobung). Beschäftige in anerkannten Werkstätten für Menschen mit Behinderungen Beschäftige nach dem Jugendfreiwilligendienstegesetz (z.B. Teilnehmende am freiwilligen ökologischen oder sozialen Jahr) wirtschaftlich unselbständige, aber arbeitnehmerähnliche Personen (z.B. in Heimarbeit Beschäftigte) Bewerberinnen oder Bewerber für ein Arbeitsverhältnis beziehungsweise Personen, deren Arbeitsverhältnis beendet wurde Beamtinnen und Beamte, Richterinnen und Richter, Soldatinnen und Soldaten Die Verpflichtung müssen sowohl die Mitarbeitenden als auch die Vertretung der Arbeitgeberseite, die die Unterrichtung vornimmt, unterschreiben. Das kann beispielsweise durch das Personalbüro oder die Datenschutzbeauftragte oder den Datenschutzbeauftragten des Unternehmens erfolgen. Den Mitarbeitenden müssen Sie eine Kopie der Niederschrift aushändigen.[mehr]

Wenn Sie feststellen, dass in Ihrem Unternehmen gespeicherte Daten unrechtmäßig an Dritte weitergegeben wurden und dadurch die Rechte und schutzwürdigen Interessen der Betroffenen schwer beeinträchtigt werden, sind Sie verpflichtet, dies unverzüglich sowohl den Betroffenen als auch dem Landesbeauftragten für den Datenschutz zu melden. Das betrifft besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht darauf beziehen und personenbezogene Daten bezüglich Bank- oder Kreditkartenkonten. Sie müssen die Betroffenen darüber informieren, auf welche Art die Daten unrechtmäßig zugänglich geworden sind und welche Maßnahmen diese treffen können, um negative Folgen abzuwenden. Dem Landesbeauftragten für den Datenschutz müssen Sie zusätzlich mitteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden sein können und welche Maßnahmen Sie getroffen haben, um dem entgegenzuwirken. Hinweis: Falls die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand darstellt (z.B. aufgrund der Vielzahl der Betroffenen) müssen Sie stattdessen die Öffentlichkeit durch Anzeigen informieren. Diese Anzeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgelegten Tageszeitungen erscheinen beziehungsweise auf eine vergleichbare Art und Weise veröffentlicht werden.[mehr]

Zur Erfüllung der betrieblichen Datenschutzpflichten reicht es meist nicht, Mitarbeitende auf das Datengeheimnis zu verpflichten, Datenschutzbeauftragte zu bestellen und Meldungen an das Datenschutzregister vorzunehmen. Um Daten wirksam gegen Missbrauch zu schützen, sollten Sie sich als Unternehmerin oder Unternehmer auch Gedanken über IT-Sicherheit machen, da ohne Schutzmechanismen auf Ihren EDV-Systemen gelagerte Daten gegen Angriffe von außen und damit gegen unerlaubte Verwendung nicht geschützt sind. IT-Sicherheit ist nicht nur wichtig, um Ihre Kundendaten und Ähnliches gegen missbräuchliche Verwendung zu schützen, sondern hilft auch, Ihr eigenes Unternehmen abzusichern. Unachtsamer Umgang mit Computersystemen (z.B. fehlende Backups, kein Virenschutz, keine Absicherung gegen Hackerangriffe) kann großen wirtschaftlichen Schaden für Ihr Unternehmen verursachen und schlimmstenfalls sogar seinen Bestand gefährden. Besonders wenn Sie in Ihrem Unternehmen sensible Daten aufbewahren, die einen Vorsprung zu Konkurrenzunternehmen bedeuten, sollten Sie sich gegen Datendiebstahl oder Industriespionage durch Außenstehende, aber auch durch Mitarbeitende, absichern. Falls Sie Laptops und andere mobile Geräte verwenden, ist eine Verschlüsselung der Daten noch wichtiger, da diese Geräte gestohlen werden oder verloren gehen und so in unbefugte Hände gelangen können. Auch wenn Sie Datenträger vernichten oder vernichten lassen, müssen Sie sicherstellen, dass keine Ihrer Unternehmensdaten zurückbleiben. Stellen Sie sicher, dass die folgenden IT-Mindestanforderungen erfüllt sind: Machen Sie regelmäßige Backups Ihrer Daten und bewahren Sie diese außerhalb des Unternehmens auf. Sichern Sie Ihre Computer gegen Virenbefall und aktualisieren Sie den Virenschutz regelmäßig. Sichern Sie Ihren Internetzugang und verschlüsseln Sie vertrauliche Daten, um gegen Hackerangriffe gewappnet zu sein. Sorgen Sie dafür, dass Ihre Systemadministration alle Systemeinstellungen und Passwörter dokumentiert und sicher hinterlegt. Für den Fall, dass Ihre Administratorin oder Ihr Administrator für längere Zeit ausfällt, sollten Sie auch eine mit Ihrem System vertraute Ersatzperson haben. Um gegen Datendiebstahl durch die eigenen Mitarbeitenden abgesichert zu sein, sollten Sie sensible Daten verschlüsseln und bestimmte Räume oder Gebäude gegen unbefugten Zutritt sichern.[mehr]

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Grundsätzlich gilt es dem Datenschutz durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) nachzukommen. Das fordert die Datenschutzgrundverordnung (DS-GVO) im Artikel 25 und im Erwägungsgrund 78. Folgende Anforderungen sind immer zu betrachten und geeignete technisch-organisatorische Maßnahmen anzuwenden, um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenes Schutzniveau zu gewährleisten: Zutrittskontrolle Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. Zugangskontrolle Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen. Bei einem Wechsel der Zuständigkeit oder einem Ausscheiden von Mitarbeitern sind die Zugangsberechtigungen zu prüfen. Zugriffskontrolle Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weitergabekontrolle Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 DS-GVO ist bei einer Übermittlung oder Weitergabe für andere Zwecke durch spezifische Verfahrensregelungen die Einhaltung der Datenschutzgesetze sicherzustellen. Eingabekontrolle Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. Auftragskontrolle Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen. Verfügbarkeitskontrolle Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Die Daten müssen nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. getrennte Verarbeitung Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. Pseudonymisierung Personenbezogene Daten sollten so schnell wie möglich pseudonymisiert werden. Die zur Rückführung der Pseudonyme, in die ursprünglichen personenbezogenen Daten, notwendigen Daten sollten getrennt gespeichert werden. Datenminimierung Dazu gehören die Menge der erhobenen personenbezogenen Daten, der Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit für natürliche Personen. Transparenz Die Funktionen und die Verarbeitung personenbezogener Daten sollte möglichst Transparent für die betroffenen Personen erfolgen. Überwachung Den betroffenen Personen sollte die Möglichkeit gegeben werden, die Verarbeitung der personenbezogenen Daten überwachen zu können. Vertraulichkeit Personenbezogene Daten sollten immer verschlüsselt gespeichert und übertragen werden. Auch ein unbefugtes Mitlesen bspw. auf Reisen sollte verhindert werden. Auch an der Verarbeitung beteiligte Personen können ggf. auf Vertraulichkeit verpflichtet werden. Aktualisierung und Patch-Management Insbesondere Sicherheitsupdates sollten möglichst rasch installiert werden. Aber auch Herstellerhinweise und Hinweise aus sonstigen Quellen sollten verfolgt und zeitnah umgesetzt werden. Sensibilisierung und Schulung Die an den Verarbeitungsvorgängen Beteiligten müssen geschult und sensibilisiert werden. Verfahrensregelungen bei einer Verarbeitung für andere Zwecke Bei einer Übermittlung oder Verarbeitung für andere Zwecke sollte die Einhaltung der DS-GVO durch Verfahrensregelungen sichergestellt werden. Die technischen und organisatorischen Maßnahmen sollten regelmäßig überprüft, bewertet und evaluiert werden. Hinweis: Diese Maßnahmen werden üblicherweise von der oder dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die Unternehmensleitung sicherstellen, dass diese Anforderungen erfüllt werden. Falls Sie automatisierte Verarbeitungen anwenden, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten immer Pflicht. Vorabkontrolle durch den Datenschutzbeauftragten Wenn durch Verarbeitungen die Rechte und Freiheiten der Betroffenen voraussichtlich einem hohen Risiko ausgesetzt sind, muss vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung stattfinden. Dies gilt vor allem für umfangreiche Verarbeitungen und wenn neue Technologien oder neuartige Verarbeitungen zum Einsatz kommen. besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische/weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische bzw. biometrische Daten, Gesundheit oder Sexualleben, strafrechtliche Verurteilungen oder Straftaten) umfangreich verarbeitet werden. die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten. Insbesondere wenn diese als Grundlage für weitere Entscheidungen dient, die Rechtswirkung entfalten oder in ähnlicher Weise beeinträchtigend sind. eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet. Eine Liste mit Verarbeitungsvorgängen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, findet sich online auf den Seiten des LfDI („Liste von Verarbeitungsvorgängen nach Artikel 35 Absatz 4 DS-GVO“). Die Datenschutz-Folgenabschätzung hat zumindest folgendes zu enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck, eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen. Der Verantwortliche hat ggf. eine (regelmäßige) Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben aus der Datenschutz-Folgenabschätzung folgt. Wenn sich aus der Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergibt und keine Maßnahmen zur Eindämmung des Risikos getroffen werden (können), muss vor der Verarbeitung die Aufsichtsbehörde konsultiert werden. Von der Datenschutz-Folgenabschätzung darf nur abgesehen werden, wenn eine gesetzliche Verpflichtung vorliegt, die Verarbeitung im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt nur, wenn der oder die konkreten Verarbeitungsvorgänge durch Rechtsvorschriften geregelt sind und bereits eine Datenschutz-Folgenabschätzung erfolgte.[mehr]

Personenbezogene Daten sind Einzelangaben über persönliche oder sächliche Verhältnisse einer bestimmten oder bestimmbaren Person (z.B. Name, Anschrift, Familienstand, Geburtsdatum, Grundbesitz). Mit automatisierter Verarbeitung ist das Erheben, Speichern, Verändern, Nutzen, Übermitteln, Sperren oder Löschen personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen gemeint. Unternehmen, die personenbezogene Daten automatisiert verarbeiten, müssen üblicherweise ihre Datenverarbeitungsverfahren dem Landesbeauftragten für den Datenschutz melden. Diese Unternehmen werden im Datenschutzregister eingetragen. Unter Umständen müssen Sie auch eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen. Das ist dann der Fall, wenn Sie in Ihrem Unternehmen personenbezogene Daten für andere als persönliche oder familiäre Tätigkeiten automatisiert verarbeiten.[mehr]

Unternehmen sollten so wenig wie möglich personenbezogene Daten erheben, verarbeiten und nutzen. Jedenfalls müssen Sie personenbezogene Daten ohne Namen oder mit falschem Namen speichern, soweit dies nach dem jeweiligen Verwendungszweck möglich ist und im Vergleich zum Schutzzweck keinen unverhältnismäßig hohen Aufwand erfordert. Welche weiteren Pflichten mit der Verarbeitung personenbezogener Daten verbunden sind, lesen Sie in den Unterkapiteln. Um die Bürgerinnen und Bürger vor missbräuchlicher Verwendung ihrer Daten zu schützen, dürfen Unternehmen personenbezogene Daten nur verarbeiten, wenn dies gesetzlich erlaubt ist oder die Betroffenen eingewilligt haben. Grundsätzlich müssen Sie als Unternehmen die Betroffenen darüber informieren, wenn Sie ihre Daten verarbeiten (außer z.B. bei Vertragsbeziehungen, bei denen dies ohnehin bekannt ist). Sollte jemand Auskunft über die in Ihrem Unternehmen zu seiner Person gespeicherten Daten oder deren Berichtigung oder Löschung verlangen, sind Sie verpflichtet, dieser Aufforderung nachzukommen.[mehr]