Datenschutz-Grundverordnung

Anwendungsbereich

Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland.
Erfasst sind sowohl Angebote von Waren oder Dienstleistungen für Personen in Deutschland als auch die Analyse ihres Nutzerverhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Die Vorschriften gelten für elektronische Daten sowie für strukturierte papierbasierte Datensammlungen.
Tätigkeiten, die ausschließlich privaten oder familiären Zwecken dienen, fallen nicht in diesen Anwendungsbereich.

Grundprinzipien der Verarbeitung

Die Verarbeitung personenbezogener Daten hat unter Beachtung folgender Anforderungen zu erfolgen:
Rechtmäßigkeit, Transparenz und Nachvollziehbarkeit
Verarbeitung ausschließlich zu klar definierten Zwecken
Beschränkung auf notwendige Datenmengen sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte der betroffenen Personen

Betroffene können folgende Ansprüche geltend machen:
Recht auf Information, Einsicht und Berichtigung
Recht auf Löschung personenbezogener Daten (Recht auf Vergessenwerden)
Recht auf Einschränkung der Verarbeitung sowie Widerspruch
Recht auf Datenübertragbarkeit
Recht, eine erteilte Einwilligung jederzeit zu widerrufen
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.

Pflichten externer Verarbeiter

Eingebundene Dritte, beispielsweise im Bereich Logistik, Support oder Hosting, haben folgende Anforderungen zu erfüllen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
Implementierung geeigneter Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Aufzeichnungen über Verarbeitungstätigkeiten
Gegebenenfalls Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit (BfDI)

Übermittlung in Drittstaaten

Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann unter anderem erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
Zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen

Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt:
Überprüfungen durchzuführen
Nicht konforme Verarbeitungen auszusetzen oder zu untersagen
Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist

Umsetzung der Anforderungen

Die Verarbeitung erfolgt unter Berücksichtigung der Kontrolle durch betroffene Personen über ihre eigenen Daten.
Die Abläufe der Datenverarbeitung sind nachvollziehbar gestaltet und orientieren sich an den geltenden rechtlichen Vorgaben.
Es werden geeignete Maßnahmen angewendet, um Risiken im Zusammenhang mit personenbezogenen Daten zu minimieren und den Schutz der Privatsphäre zu gewährleisten.