Datenschutz-Grundverordnung
Geltungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland.
Erfasst werden sowohl Tätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen für Personen in Deutschland als auch Maßnahmen zur Analyse oder Nachverfolgung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Die Bestimmungen gelten für elektronische Datenverarbeitung sowie für strukturierte Datensammlungen in Papierform.
Nicht erfasst sind Tätigkeiten, die ausschließlich persönlichen oder familiären Zwecken dienen.
Grundsätze der Datenverarbeitung
Jede Verarbeitung personenbezogener Daten hat im Einklang mit folgenden Anforderungen zu erfolgen:
Rechtmäßigkeit, sachgerechte Handhabung und Transparenz
Verwendung ausschließlich für klar definierte Zwecke
Begrenzung auf erforderliche Datenmengen sowie Sicherstellung der Richtigkeit
Speicherung nur für einen festgelegten Zeitraum
Schutz vor unbefugtem Zugriff, Verlust oder Offenlegung durch geeignete Maßnahmen zur Integrität und Vertraulichkeit
Rechte betroffener Personen
Betroffene Personen verfügen über verschiedene Ansprüche im Zusammenhang mit ihren Daten, darunter:
Recht auf Information, Einsichtnahme und Berichtigung
Recht auf Löschung personenbezogener Daten
Recht auf Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Recht auf Datenübertragbarkeit
Recht auf Widerruf erteilter Einwilligungen
Für Personen unter 15 Jahren ist die Zustimmung eines gesetzlichen Vertreters erforderlich.
Pflichten von Auftragsverarbeitern
Dritte, die im Rahmen der Datenverarbeitung eingebunden sind, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:
Durchführung von Tätigkeiten ausschließlich auf dokumentierter Grundlage
Umsetzung angemessener technischer und organisatorischer Schutzmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Sofern erforderlich, Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit.
Datenübermittlung
Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere erfolgen durch:
Feststellungen der Angemessenheit durch die Europäische Kommission
Verwendung von Standardvertragsklauseln (SCC)
Zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Kontrollen durchzuführen.
Bei festgestellten Verstößen können Maßnahmen wie die Einschränkung oder Untersagung der Datenverarbeitung angeordnet werden.
Darüber hinaus können Geldbußen verhängt werden, die bis zu 20000000 € oder 4 % des weltweiten Jahresumsatzes betragen können, wobei der jeweils höhere Betrag maßgeblich ist.
Datenschutzkonformität
Die Datenverarbeitung erfolgt unter Berücksichtigung der Wahrung von Kontrollrechten der betroffenen Personen.
Es werden transparente und nachvollziehbare Verfahren zur Datenverarbeitung angewendet.
Geeignete Maßnahmen dienen der Reduzierung von Risiken im Zusammenhang mit dem Schutz personenbezogener Daten.