Datenschutz-Grundverordnung
Anwendungsbereich
Diese Regelung gilt für die Verarbeitung personenbezogener Daten von Nutzern in Deutschland.
Erfasst sind sowohl die Bereitstellung von Waren oder Dienstleistungen für Personen in Deutschland als auch die Beobachtung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Einbezogen sind sowohl elektronische Datensätze als auch strukturierte papierbasierte Ablagen.
Nicht erfasst ist die Verarbeitung zu ausschließlich persönlichen oder familiären Zwecken.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Vorgaben:
Rechtmäßigkeit, Transparenz und Nachvollziehbarkeit der Verarbeitung
Zweckbindung an klar definierte und legitime Ziele
Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Gewährleistung von Sicherheit und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können folgende Ansprüche geltend machen:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten (Recht auf Vergessenwerden)
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer zuvor erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Eingesetzte Dienstleister, beispielsweise in den Bereichen Logistik, Support oder Hosting, sind verpflichtet:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Soweit erforderlich, Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige Aufsichtsbehörde in Deutschland
Übermittlung in Drittstaaten
Bei einer Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt:
Kontrollen durchzuführen
Unzulässige Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist
Datenschutzverantwortung
Es wird sichergestellt, dass betroffene Personen Einfluss auf die Verarbeitung ihrer Daten ausüben können.
Die Datenverarbeitung erfolgt nachvollziehbar und unter Berücksichtigung der geltenden rechtlichen Anforderungen.
Zur Minimierung von Risiken für die Privatsphäre werden geeignete Schutzmaßnahmen umgesetzt.