Datenschutz-Grundverordnung
Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland.
Erfasst sind sowohl die Bereitstellung von Waren oder Dienstleistungen für Personen in Deutschland als auch die Beobachtung ihres Nutzerverhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Die Regelung gilt für Daten in elektronischer Form sowie für strukturierte papierbasierte Aufzeichnungen.
Reine Tätigkeiten im privaten oder familiären Bereich fallen nicht unter diese Vorschriften.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Einhaltung folgender Anforderungen zu erfolgen:
Rechtmäßigkeit, Nachvollziehbarkeit und Transparenz
Zweckbindung an eindeutig definierte Ziele
Beschränkung auf notwendige Datenmengen sowie Sicherstellung der Richtigkeit
Speicherung nur für einen angemessenen Zeitraum
Gewährleistung von Sicherheit und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene können folgende Rechte ausüben:
Recht auf Information, Einsichtnahme und Berichtigung ihrer Daten
Recht auf Löschung personenbezogener Daten (Recht auf Vergessenwerden)
Recht auf Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Recht auf Datenübertragbarkeit
Recht, eine erteilte Einwilligung jederzeit zu widerrufen
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Dritte, die in die Datenverarbeitung eingebunden sind, beispielsweise im Bereich Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
Umsetzung angemessener technischer und organisatorischer Schutzmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Sofern erforderlich, Benennung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit (BfDI)
Datenübermittlung in Drittstaaten
Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann unter anderem erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
Ergänzende Schutzmaßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt:
Kontrollen durchzuführen
Nicht konforme Verarbeitung auszusetzen oder zu untersagen
Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist
Umsetzung der Anforderungen
Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Kontrolle durch betroffene Personen über ihre eigenen Daten.
Verfahren zur Datenverarbeitung sind nachvollziehbar gestaltet und orientieren sich an den geltenden gesetzlichen Vorgaben.
Maßnahmen zum Schutz der Privatsphäre werden angewendet, um Risiken im Zusammenhang mit personenbezogenen Daten zu reduzieren.