Datenschutz-Grundverordnung

Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland. Sie finden Anwendung sowohl bei der Bereitstellung von Waren oder Dienstleistungen für Nutzer in Deutschland als auch bei der Beobachtung ihres Verhaltens, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Erfasst sind elektronische Datenverarbeitungssysteme sowie strukturierte papierbasierte Datensammlungen. Verarbeitungen zu ausschließlich persönlichen oder familiären Zwecken sind hiervon ausgenommen.

Grundprinzipien der Datenverarbeitung
Bei der Verarbeitung personenbezogener Daten sind folgende Anforderungen einzuhalten:

• Rechtmäßigkeit, Transparenz und Nachvollziehbarkeit gegenüber betroffenen Personen
• Zweckbindung an klar definierte und legitime Verarbeitungsziele
• Beschränkung auf erforderliche Datenmengen sowie Sicherstellung der Richtigkeit
• Begrenzung der Speicherdauer auf das notwendige Maß
• Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte betroffener Personen
Betroffene haben die Möglichkeit, ihre Rechte gemäß DSGVO wahrzunehmen, insbesondere:

• Recht auf Information, Auskunft und Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung sowie Widerspruch
• Recht auf Datenübertragbarkeit
• Recht auf Widerruf erteilter Einwilligungen
  Für Personen unter 15 Jahren ist eine Zustimmung durch Erziehungsberechtigte erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die in die Verarbeitung einbezogen sind, beispielsweise im Bereich Logistik, Kundenservice oder Hosting, sind verpflichtet:

• Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
• Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten
• Unterstützung bei der Wahrnehmung von Betroffenenrechten
• Meldung von Datenschutzverletzungen
• Führung von Verzeichnissen über Verarbeitungstätigkeiten
• Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde, sofern erforderlich

Datenübermittlung außerhalb des EWR
Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Datenschutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Standardvertragsklauseln (SCC)
• Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Kontrollen durchzuführen, unzulässige Verarbeitungen auszusetzen oder zu untersagen sowie Sanktionen zu verhängen. Geldbußen können bis zu 20000000 Euro oder 4% des weltweiten Jahresumsatzes betragen, wobei der jeweils höhere Betrag maßgeblich ist.

Einhaltung der Vorgaben
Es wird sichergestellt, dass betroffene Personen Einfluss auf die Verwendung ihrer Daten nehmen können. Die Prozesse der Datenverarbeitung werden transparent gestaltet und unter Beachtung der geltenden gesetzlichen Anforderungen umgesetzt. Geeignete technische und organisatorische Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu minimieren.