GDPR
Anwendungsbereich
Diese Vorschriften betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland. Sie finden Anwendung, wenn Angebote von Waren oder Dienstleistungen an diese Personen gerichtet sind oder deren Verhalten analysiert wird, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Erfasst sind sowohl elektronische Daten als auch strukturierte papiergebundene Unterlagen. Verarbeitungen zu ausschließlich privaten oder familiären Zwecken fallen nicht unter diese Bestimmungen.
Grundsätze der Verarbeitung
Bei der Verarbeitung personenbezogener Daten sind folgende Anforderungen einzuhalten:
Rechtmäßigkeit sowie transparente und nachvollziehbare Durchführung
Verwendung ausschließlich für klar festgelegte Zwecke
Beschränkung auf notwendige Daten sowie Sicherstellung deren Richtigkeit
Begrenzung der Speicherdauer auf das erforderliche Maß
Schutz der Integrität und Vertraulichkeit, insbesondere gegen unbefugten Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können folgende Ansprüche geltend machen:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten im Rahmen der gesetzlichen Vorgaben
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Drittanbieter, etwa in den Bereichen Logistik, Kundenservice oder Hosting, haben folgende Anforderungen zu erfüllen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Anweisungen
Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzvorfällen
Führung von Aufzeichnungen über Verarbeitungstätigkeiten
Gegebenenfalls Benennung einer verantwortlichen Datenschutzperson sowie entsprechende Meldung an die zuständige deutsche Aufsichtsbehörde
Datenübermittlung
Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:
eine Angemessenheitsentscheidung der Europäischen Kommission
die Verwendung von Standardvertragsklauseln (SCC)
ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde (BfDI) ist befugt, Prüfungen durchzuführen sowie die Verarbeitung einzuschränken oder zu untersagen, sofern Verstöße festgestellt werden.
Bei Nichteinhaltung können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden, wobei der jeweils höhere Betrag maßgeblich ist.
Einhaltung der Vorschriften
Es wird sichergestellt, dass betroffene Personen ihre Rechte in Bezug auf ihre Daten wahrnehmen können.
Die Datenverarbeitung erfolgt in nachvollziehbarer Weise unter Beachtung der einschlägigen Anforderungen.
Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu begrenzen und ein angemessenes Schutzniveau zu gewährleisten.