Datenschutz-Grundverordnung

Anwendungsbereich
Diese Regelung betrifft die Verarbeitung personenbezogener Daten von Personen in Deutschland. Sie gilt sowohl für Angebote von Waren oder Dienstleistungen an Personen in Deutschland als auch für die Beobachtung ihres Verhaltens, selbst wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt. Erfasst sind sowohl digitale Daten als auch strukturierte, in Papierform gespeicherte Informationen. Tätigkeiten, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diese Bestimmungen.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Einhaltung folgender Anforderungen zu erfolgen:
– Rechtmäßigkeit, Fairness und Nachvollziehbarkeit
– Verarbeitung ausschließlich zu eindeutig festgelegten Zwecken
– Beschränkung auf das notwendige Maß sowie Sicherstellung der Richtigkeit
– Speicherung nur für einen begrenzten Zeitraum
– Gewährleistung von Sicherheit und Vertraulichkeit, einschließlich Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte betroffener Personen
Betroffene Personen können verschiedene Rechte geltend machen, darunter:
– Anspruch auf Information, Auskunft und Berichtigung
– Recht auf Löschung personenbezogener Daten (Recht auf Vergessenwerden)
– Möglichkeit zur Einschränkung der Verarbeitung sowie zum Widerspruch
– Anspruch auf Datenübertragbarkeit
– Widerruf erteilter Einwilligungen
Für Personen unter 15 Jahren ist die Zustimmung der Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die im Auftrag tätig werden, wie etwa im Bereich Logistik, Kundenservice oder technische Infrastruktur, unterliegen folgenden Verpflichtungen:
– Durchführung der Verarbeitung ausschließlich auf dokumentierter Grundlage
– Umsetzung geeigneter technischer und organisatorischer Schutzmaßnahmen
– Unterstützung bei der Wahrnehmung von Betroffenenrechten
– Meldung von Datenschutzverletzungen
– Führung von Verzeichnissen über Verarbeitungstätigkeiten
– Benennung eines Datenschutzbeauftragten sowie Meldung an die zuständige Aufsichtsbehörde, sofern erforderlich

Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:
– Angemessenheitsbeschlüsse der Europäischen Kommission
– Verwendung von Standardvertragsklauseln (SCC)
– Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Prüfungen durchzuführen sowie nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen. Verstöße können mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.

Einhaltung der Vorschriften
Die Verarbeitung personenbezogener Daten erfolgt unter dem Ziel, die Kontrolle der betroffenen Personen über ihre Daten sicherzustellen. Dabei werden transparente und nachvollziehbare Verfahren angewendet. Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu minimieren und den Schutz personenbezogener Daten zu gewährleisten.