Datenschutz gemäß GDPR
Anwendungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland
Erfasst sind Tätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in Deutschland sowie die Analyse ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt
Einbezogen sind sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen
Nicht erfasst sind Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Einhaltung folgender Maßstäbe zu erfolgen:
Rechtmäßigkeit, Transparenz und Fairness
Zweckbindung auf eindeutig festgelegte Ziele
Beschränkung auf notwendige Datenmengen sowie Sicherstellung der Richtigkeit
Begrenzung der Aufbewahrungsdauer
Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte der betroffenen Personen
Betroffene Personen verfügen über folgende Rechte:
Auskunft über gespeicherte Daten sowie Information über deren Verarbeitung
Berichtigung unrichtiger oder unvollständiger Angaben
Löschung personenbezogener Daten im Rahmen des Rechts auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der Daten in einem strukturierten Format
Widerruf erteilter Einwilligungen
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich
Pflichten von Auftragsverarbeitern
Externe Dienstleister, etwa im Bereich Logistik, Support oder Hosting, sind verpflichtet:
Daten ausschließlich auf Grundlage dokumentierter Weisungen zu verarbeiten
Geeignete technische und organisatorische Schutzmaßnahmen umzusetzen
Bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Verstöße oder Sicherheitsvorfälle unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Soweit erforderlich, einen Datenschutzbeauftragten zu benennen und entsprechende Meldungen an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit vorzunehmen
Übermittlung in Drittländer
Bei der Weitergabe personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Datenschutzniveau sicherzustellen, beispielsweise durch:
Feststellungen der Angemessenheit durch die Europäische Kommission
Standardvertragsklauseln (SCC)
Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist befugt:
Kontrollen und Prüfungen durchzuführen
Nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist
Umsetzung der Anforderungen
Die Datenverarbeitung erfolgt unter Berücksichtigung der Kontrolle durch die betroffenen Personen
Die Abläufe werden nachvollziehbar und strukturiert gestaltet
Es werden geeignete Maßnahmen eingesetzt, um Risiken für den Schutz personenbezogener Daten zu minimieren