Datenschutz-Grundverordnung
Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland.
Erfasst sind sowohl Angebote von Waren oder Dienstleistungen an Personen in Deutschland als auch die Analyse ihres Nutzungsverhaltens, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Die Regelung gilt für elektronische Datenverarbeitung sowie für strukturierte papierbasierte Datensammlungen.
Verarbeitungen zu ausschließlich privaten oder familiären Zwecken fallen nicht in den Anwendungsbereich.
Grundsätze der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Vorgaben:
Rechtmäßigkeit, Transparenz und Nachvollziehbarkeit
Zweckbindung an klar definierte und legitime Ziele
Beschränkung auf erforderliche Daten sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Schutz der Daten durch Maßnahmen zur Wahrung von Integrität und Vertraulichkeit
Rechte der betroffenen Personen
Betroffene Personen können folgende Ansprüche geltend machen:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten (Recht auf Vergessenwerden)
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Eingesetzte Dienstleister, beispielsweise in den Bereichen Logistik, Support oder Hosting, haben folgende Anforderungen zu erfüllen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Soweit erforderlich, Benennung eines Datenschutzbeauftragten sowie Meldung an die zuständige Aufsichtsbehörde in Deutschland
Übermittlung in Drittstaaten
Bei der Übertragung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist berechtigt:
Kontrollen durchzuführen
Unzulässige Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist
Verantwortung im Datenschutz
Es wird sichergestellt, dass betroffene Personen Einfluss auf die Verarbeitung ihrer Daten ausüben können.
Die Datenverarbeitung erfolgt nachvollziehbar und unter Berücksichtigung der geltenden rechtlichen Vorgaben.
Zur Reduzierung von Risiken für die Privatsphäre werden geeignete Schutzmaßnahmen angewendet.