Sehen wir uns diese Begriffe einmal genauer an:
===Daten===
Daten sind -vereinfacht gesagt- alle Informationen, die einem Menschen in irgendeiner Weise so zugeordnet werden können, dass klar ist, auf wen sich diese Information bezieht. Beispiele sind: Der Name, die Telefonnummer, eine E-Mailadresse, die IP-Adresse, die Einstellungen eines Browsers. Auch Ton-, Bild-, und Videaufnahmen können Daten i.S.d. DSGVO enthalten.
Bei Bild- und Videoaufnahmen (z.B. bei Demobildern) sind neben der DSGVO die §§ 22, 23 KUrhG zu beachten.
===Datenverarbeitung===
Datenverarbeitung ist alles, was man mit Daten machen kann. Beispiele sind das Erheben, das Sammeln, das Ordnen, das Lesen, das Auswerten, das Aufbewahren, das Speichern, das Bearbeiten, das Verändern, das Kopieren, das Weitergeben an eine andere Person, das Löschen oder Zerstören. Auch das Durchführung einer TK stellt eine Dateverarbeitung dar.
Verantwortlich ist jede Person, die über den Zweck und die Mittel der Datenverarbeitung enscheidet. Der Zweck ergibt sich aus der Antwort auf die Frage nach dem "Warum" einer Datenverarbeitung oder Handlung, welche Daten betrifft oder sich auf diese auswirkt. Die Mittel ergeben sich aus der Antwort auf die Frage nach dem "Wie" einer Datenverarbeitung und welche Handlungen dafür vorgenommen oder welche Gegenstände dafür eingesetzt werden.
===Bußgelder===
"Organisationen können mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes belegt werden, wenn sie die DSGVO oder 20 Mio. EUR verletzen. Dies ist die Höchststrafe, die für schwerste Verstöße verhängt werden kann, z. B. nicht mit ausreichender Zustimmung des Kunden zur Verarbeitung von Daten oder Verletzung des Kerns von Privacy by Design-Konzepten. Es gibt einen gestaffelten Ansatz für Geldbußen, z. B. kann ein Unternehmen mit einer Geldbuße von 2 % belegt werden, wenn es seine Aufzeichnungen nicht in Ordnung hat (Artikel 28), ohne die Überwachungsbehörde und die betroffene Person über einen Verstoß oder die Nichtdurchführung einer Folgenabschätzung zu benachrichtigen. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Auftragsverarbeiter gelten – was bedeutet, dass "Clouds" nicht von der Durchsetzung der DSGVO ausgenommen sind." (EU-DSGVO)