GDPR
Geltungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Nutzern mit Bezug zu Deutschland. Sie finden Anwendung, wenn Waren oder Dienstleistungen an solche Nutzer gerichtet sind oder deren Verhalten analysiert wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Erfasst sind sowohl digitale Datensätze als auch strukturierte Aufzeichnungen in Papierform. Tätigkeiten, die ausschließlich privaten oder familiären Zwecken dienen, fallen nicht unter diese Bestimmungen.
Grundprinzipien der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat folgenden Anforderungen zu entsprechen:
Sie muss auf einer rechtmäßigen Grundlage beruhen und in nachvollziehbarer sowie transparenter Weise erfolgen.
Die Nutzung der Daten ist auf klar definierte und legitime Zwecke zu beschränken.
Es dürfen nur solche Daten verarbeitet werden, die erforderlich sind, wobei deren Richtigkeit sicherzustellen ist.
Die Speicherung erfolgt nur für einen begrenzten Zeitraum.
Es sind geeignete Maßnahmen zu treffen, um die Integrität und Vertraulichkeit der Daten zu gewährleisten und unbefugten Zugriff oder Offenlegung zu verhindern.
Rechte betroffener Personen
Betroffene Personen können folgende Rechte ausüben:
Anspruch auf Information sowie Einsicht in gespeicherte Daten und deren Berichtigung
Recht auf Löschung personenbezogener Daten im Rahmen der gesetzlichen Vorgaben
Möglichkeit zur Einschränkung der Verarbeitung sowie zum Widerspruch
Recht auf Datenübertragbarkeit
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Drittanbieter, etwa in den Bereichen Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:
Die Verarbeitung erfolgt ausschließlich auf dokumentierter Weisung
Es sind angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Unterstützung bei der Wahrnehmung von Betroffenenrechten ist sicherzustellen
Datenschutzverletzungen sind unverzüglich zu melden
Verarbeitungstätigkeiten sind zu dokumentieren
Soweit erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und bei der zuständigen deutschen Aufsichtsbehörde zu melden
Datenübermittlung
Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:
eine Angemessenheitsentscheidung der Europäischen Kommission
den Einsatz von Standardvertragsklauseln (SCC)
zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde (BfDI) ist befugt, Kontrollen durchzuführen sowie die Verarbeitung einzuschränken oder zu untersagen, sofern Verstöße festgestellt werden.
Bei Verstößen können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden, wobei der jeweils höhere Betrag maßgeblich ist.
Einhaltung und Verantwortlichkeit
Es wird sichergestellt, dass betroffene Personen Kontrolle über ihre Daten ausüben können.
Die Datenverarbeitung erfolgt nachvollziehbar und unter Beachtung der einschlägigen Anforderungen.
Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu reduzieren und ein angemessenes Schutzniveau zu gewährleisten.