Datenschutz-Grundverordnung
Geltungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland
Erfasst sind insbesondere Fälle, in denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt
Einbezogen sind sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen
Verarbeitungen zu ausschließlich persönlichen oder familiären Zwecken fallen nicht unter diesen Anwendungsbereich
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
Rechtmäßigkeit, Transparenz und faire Handhabung
Verwendung ausschließlich für klar definierte Zwecke
Beschränkung auf erforderliche Daten sowie Sicherstellung deren Richtigkeit
Begrenzung der Speicherdauer auf das notwendige Maß
Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen verfügen über folgende Rechte:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung von Daten im Rahmen des sogenannten Rechts auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines gesetzlichen Vertreters erforderlich
Pflichten von Auftragsverarbeitern
Dritte, die im Zusammenhang mit der Verarbeitung personenbezogener Daten eingesetzt werden, wie beispielsweise Anbieter aus den Bereichen Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:
Durchführung der Verarbeitung ausschließlich auf dokumentierter Grundlage
Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Benennung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde, sofern dies erforderlich ist
Datenübermittlung
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Feststellung eines angemessenen Schutzniveaus durch die Europäische Kommission
Verwendung von Standardvertragsklauseln (SCC)
Einsatz zusätzlicher Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, insbesondere die BfDI, ist befugt:
Kontrollen und Prüfungen durchzuführen
Nicht konforme Verarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20000000 € oder 4% des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist
Einhaltung der Vorschriften
Es wird sichergestellt, dass betroffene Personen Kontrolle über ihre personenbezogenen Daten ausüben können
Die Datenverarbeitung erfolgt nachvollziehbar und unter klar definierten Verfahren
Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu reduzieren