Datenschutz gemäß GDPR
Geltungsbereich
Diese Regelung erfasst die Verarbeitung personenbezogener Daten von Nutzern in Deutschland.
Sie findet Anwendung, wenn Waren oder Dienstleistungen an Personen in Deutschland angeboten werden oder deren Verhalten beobachtet wird, auch wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt.
Einbezogen sind sowohl elektronische Datensätze als auch strukturierte Aufzeichnungen in Papierform.
Nicht erfasst sind Datenverarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Beachtung folgender Prinzipien zu erfolgen:
Rechtmäßigkeit, Transparenz und Fairness im Umgang mit Daten.
Zweckbindung, wobei Daten nur für klar definierte Zwecke genutzt werden dürfen.
Beschränkung auf das erforderliche Maß sowie Sicherstellung der Richtigkeit.
Speicherung nur für einen begrenzten Zeitraum entsprechend dem Verarbeitungszweck.
Schutz der Integrität und Vertraulichkeit durch geeignete Maßnahmen gegen unbefugten Zugriff oder Offenlegung.
Rechte betroffener Personen
Betroffene können folgende Rechte ausüben:
Anspruch auf Information, Auskunft sowie Berichtigung gespeicherter Daten.
Recht auf Löschung („Recht auf Vergessenwerden“).
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen.
Übertragbarkeit der bereitgestellten Daten.
Widerruf erteilter Einwilligungen jederzeit.
Für Personen unter 15 Jahren ist eine Zustimmung der Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Dritte, die im Rahmen der Datenverarbeitung eingebunden sind (z. B. Logistik-, Support- oder Hosting-Dienstleister), haben folgende Anforderungen einzuhalten:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen.
Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen.
Unterstützung bei der Wahrnehmung von Betroffenenrechten.
Unverzügliche Meldung von Datenschutzverletzungen.
Führung von Verzeichnissen über Verarbeitungstätigkeiten.
Soweit erforderlich, Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde (BfDI).
Übermittlung in Drittländer
Bei Datenübertragungen außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission.
Standardvertragsklauseln (SCC).
Zusätzliche Schutzmaßnahmen wie Verschlüsselung und Zugriffsbeschränkungen.
Aufsicht und Sanktionen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist befugt,
Prüfungen durchzuführen,
nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen,
sowie Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist.
Verpflichtung zur Einhaltung
Es wird darauf ausgerichtet, den betroffenen Personen die Kontrolle über ihre Daten zu ermöglichen.
Die Datenverarbeitung erfolgt nachvollziehbar und unter Beachtung der Verantwortlichkeit.
Durch geeignete Maßnahmen werden Risiken für die Privatsphäre reduziert.