Datenschutz gemäß DSGVO
Geltungsbereich
Diese Bestimmungen finden Anwendung auf die Verarbeitung personenbezogener Daten von Personen in Deutschland
Erfasst sind sowohl Fälle, in denen Waren oder Dienstleistungen an Personen in Deutschland angeboten werden, als auch Situationen, in denen deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt
Die Regelung gilt für elektronische Datenverarbeitung sowie für strukturierte Ablagesysteme in Papierform
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, sind hiervon ausgenommen
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
Rechtmäßigkeit, Fairness und Nachvollziehbarkeit
Zweckbindung auf eindeutig festgelegte Verarbeitungsziele
Beschränkung auf das notwendige Maß sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Gewährleistung von Sicherheit und Vertraulichkeit, insbesondere Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte der betroffenen Personen
Betroffene Personen können folgende Rechte geltend machen:
Auskunft über die Verarbeitung sowie Zugang zu den Daten und deren Berichtigung
Löschung personenbezogener Daten (Recht auf Vergessenwerden)
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer zuvor erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung der Erziehungsberechtigten erforderlich
Pflichten von Auftragsverarbeitern
Externe Dienstleister, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen durchzuführen
Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen
Bei der Wahrnehmung von Betroffenenrechten unterstützend tätig zu sein
Verstöße gegen den Datenschutz, insbesondere Datenpannen, unverzüglich zu melden
Nachweise über Verarbeitungstätigkeiten zu führen
Sofern erforderlich, eine verantwortliche Person für den Datenschutz zu benennen und dies der zuständigen deutschen Aufsichtsbehörde (BfDI) mitzuteilen
Datenübermittlung in Drittstaaten
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist befugt:
Kontrollen und Prüfungen durchzuführen
Nicht konforme Verarbeitungen einzuschränken oder zu untersagen
Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist
Verantwortung im Datenschutz
Die Datenverarbeitung erfolgt mit dem Ziel, die Kontrolle der betroffenen Personen über ihre Daten sicherzustellen
Die Abläufe sind nachvollziehbar gestaltet und orientieren sich an den geltenden rechtlichen Anforderungen
Es werden geeignete Maßnahmen umgesetzt, um Risiken für die Privatsphäre zu minimieren