Datenschutz-Grundverordnung

Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Sie finden Anwendung, wenn Waren oder Dienstleistungen an Personen in Deutschland angeboten werden oder deren Verhalten analysiert wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Erfasst werden sowohl elektronische Daten als auch strukturierte Informationen in Papierform. Tätigkeiten, die ausschließlich privaten oder familiären Zwecken dienen, fallen nicht in diesen Anwendungsbereich.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Beachtung folgender Anforderungen zu erfolgen: Sie muss auf einer rechtmäßigen Grundlage beruhen, transparent gestaltet und fair durchgeführt werden. Daten dürfen nur für klar definierte Zwecke erhoben und verwendet werden. Der Umfang der Verarbeitung ist auf das erforderliche Maß zu beschränken, wobei die Richtigkeit der Daten sicherzustellen ist. Eine Speicherung erfolgt nur so lange, wie es für die jeweiligen Zwecke notwendig ist. Darüber hinaus sind geeignete Maßnahmen zu treffen, um die Sicherheit sowie die Vertraulichkeit der Daten zu gewährleisten und unbefugten Zugriff oder Offenlegung zu verhindern.

Rechte der betroffenen Personen
Betroffene Personen verfügen über verschiedene Rechte, darunter das Recht auf Information, Einsicht in die gespeicherten Daten sowie deren Berichtigung. Ebenso besteht das Recht auf Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen. Zusätzlich kann die Übertragbarkeit der Daten verlangt werden. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Für Personen unter 15 Jahren ist die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die im Rahmen der Datenverarbeitung eingebunden sind, wie etwa Dienstleister aus den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet, ausschließlich auf Grundlage dokumentierter Weisungen zu handeln. Sie müssen angemessene Sicherheitsmaßnahmen implementieren, bei der Bearbeitung von Anfragen betroffener Personen unterstützen, Datenschutzverletzungen melden sowie Aufzeichnungen über ihre Verarbeitungstätigkeiten führen. Sofern erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und eine Meldung an die zuständige Behörde, einschließlich des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), vorzunehmen.

Datenübermittlung in Drittländer
Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt, ist ein angemessenes Schutzniveau sicherzustellen. Dies kann beispielsweise durch einen Angemessenheitsbeschluss der Europäischen Kommission, durch Standardvertragsklauseln (SCC) oder durch zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen erfolgen.

Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Prüfungen durchzuführen sowie nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen. Bei Verstößen können Geldbußen verhängt werden, die bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Datenschutzverpflichtung
Es wird sichergestellt, dass betroffene Personen die Kontrolle über ihre personenbezogenen Daten ausüben können. Die Datenverarbeitung erfolgt nachvollziehbar und verantwortungsbewusst, wobei geeignete Maßnahmen zur Minimierung von Risiken für die Privatsphäre eingesetzt werden.