Datenschutz-Grundverordnung

Anwendungsbereich
Diese Regelung betrifft die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland. Erfasst sind sowohl Fälle, in denen Waren oder Dienstleistungen an Personen in Deutschland angeboten werden, als auch Situationen, in denen deren Verhalten beobachtet wird, selbst wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt. Die Bestimmungen gelten für elektronische Systeme ebenso wie für strukturierte papierbasierte Datensammlungen. Tätigkeiten, die ausschließlich privaten oder familiären Zwecken dienen, sind hiervon ausgenommen.

Grundsätze der Verarbeitung
Bei der Verarbeitung personenbezogener Daten sind folgende Anforderungen einzuhalten:

• Rechtmäßige, nachvollziehbare und transparente Verarbeitung
• Beschränkung auf eindeutig festgelegte und legitime Zwecke
• Datenminimierung sowie Sicherstellung der sachlichen Richtigkeit
• Begrenzung der Speicherdauer auf das notwendige Maß
• Schutz der Integrität und Vertraulichkeit zur Vermeidung unbefugter Zugriffe oder Offenlegungen

Rechte betroffener Personen
Betroffene können ihre Rechte im Rahmen der DSGVO wahrnehmen, insbesondere:

• Recht auf Information, Auskunft und Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung sowie Widerspruch
• Recht auf Datenübertragbarkeit
• Recht auf Widerruf einer erteilten Einwilligung
  Für Personen unter 15 Jahren ist eine Zustimmung durch Erziehungsberechtigte erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die an der Verarbeitung beteiligt sind, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet:

• Daten ausschließlich auf Grundlage dokumentierter Weisungen zu verarbeiten
• Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen
• Bei der Wahrnehmung von Betroffenenrechten mitzuwirken
• Datenschutzverletzungen zu melden
• Verzeichnisse über Verarbeitungstätigkeiten zu führen
• Falls erforderlich, einen Datenschutzbeauftragten zu benennen und dies der zuständigen deutschen Aufsichtsbehörde zu melden

Datenübermittlung in Drittländer
Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Standardvertragsklauseln (SCC)
• Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Prüfungen durchzuführen, unzulässige Verarbeitungen auszusetzen oder zu untersagen sowie Sanktionen zu verhängen. Geldbußen können bis zu 20000000 Euro oder 4% des weltweiten Jahresumsatzes betragen, wobei der jeweils höhere Betrag maßgeblich ist.

Einhaltung der Anforderungen
Es wird gewährleistet, dass betroffene Personen Einfluss auf die Nutzung ihrer Daten ausüben können. Die Prozesse der Datenverarbeitung werden transparent gestaltet und unter Beachtung der geltenden gesetzlichen Vorgaben umgesetzt. Durch geeignete technische und organisatorische Maßnahmen werden Risiken für die Privatsphäre reduziert.