Datenschutz gemäß DSGVO
Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland.
Erfasst sind sowohl Fälle, in denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden, als auch Situationen, in denen deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Einbezogen sind sowohl elektronische Datensätze als auch strukturierte Aufzeichnungen in Papierform.
Verarbeitungen im rein persönlichen oder familiären Bereich fallen nicht unter diese Regelung.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
Rechtmäßigkeit, Fairness und Transparenz,
Zweckbindung auf eindeutig definierte Verarbeitungsziele,
Beschränkung auf das erforderliche Mindestmaß sowie Sicherstellung der Richtigkeit,
Speicherung nur für einen begrenzten Zeitraum,
Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung.
Rechte betroffener Personen
Betroffene Personen können insbesondere folgende Rechte ausüben:
Recht auf Information, Auskunft und Berichtigung,
Recht auf Löschung personenbezogener Daten,
Recht auf Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen,
Recht auf Datenübertragbarkeit,
Recht auf Widerruf erteilter Einwilligungen.
Für Personen unter 15 Jahren ist eine Zustimmung der Eltern oder Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Externe Dienstleister, etwa in den Bereichen Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen,
Implementierung geeigneter technischer und organisatorischer Schutzmaßnahmen,
Unterstützung bei der Wahrnehmung von Betroffenenrechten,
Meldung von Datenschutzverletzungen,
Führung von Verzeichnissen über Verarbeitungstätigkeiten.
Soweit erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und gegenüber der zuständigen deutschen Aufsichtsbehörde, insbesondere dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), anzuzeigen.
Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann beispielsweise erfolgen durch:
einen Angemessenheitsbeschluss der Europäischen Kommission,
den Einsatz von Standardvertragsklauseln (SCC),
ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen.
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, insbesondere der BfDI, ist befugt:
Kontrollen durchzuführen,
Verarbeitungen auszusetzen oder zu untersagen,
Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.
Einhaltung der Vorschriften
Die Umsetzung dieser Vorgaben umfasst die Sicherstellung der Kontrolle durch die betroffenen Personen über ihre Daten, transparente Abläufe bei der Verarbeitung sowie Maßnahmen zur Begrenzung von Risiken für die Privatsphäre.