Datenschutz nach DSGVO

Anwendungsbereich

Diese Bestimmungen gelten für die Verarbeitung personenbezogener Daten von Personen in Deutschland. Erfasst sind sowohl Fälle, in denen Waren oder Dienstleistungen für Nutzer in Deutschland bereitgestellt werden, als auch Situationen, in denen deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Die Regelung umfasst sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen. Tätigkeiten rein persönlicher oder familiärer Natur fallen nicht in den Geltungsbereich.

Grundsätze der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen: Sie muss auf einer rechtmäßigen Grundlage beruhen, in fairer Weise erfolgen und für betroffene Personen nachvollziehbar sein. Daten dürfen ausschließlich für klar definierte Zwecke verwendet werden. Es gilt das Prinzip der Datensparsamkeit sowie die Sicherstellung der Richtigkeit der Informationen. Die Speicherung ist auf das erforderliche Maß zu begrenzen. Darüber hinaus sind geeignete Maßnahmen zur Wahrung der Integrität und Vertraulichkeit zu treffen, um unbefugten Zugriff oder Offenlegung zu verhindern.

Rechte der betroffenen Personen

Betroffene Personen verfügen über umfassende Rechte in Bezug auf ihre Daten. Dazu gehören das Recht auf Information, Einsichtnahme und Berichtigung. Ebenso besteht das Recht auf Löschung personenbezogener Daten (Recht auf Vergessenwerden), die Möglichkeit zur Einschränkung der Verarbeitung sowie das Recht, dieser zu widersprechen. Zusätzlich kann die Übertragbarkeit der Daten verlangt werden. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Für Personen unter 15 Jahren ist die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern

Dritte, die im Auftrag Daten verarbeiten, wie etwa Dienstleister aus den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet, ausschließlich auf Grundlage dokumentierter Weisungen zu handeln. Sie müssen angemessene technische und organisatorische Schutzmaßnahmen implementieren, bei der Wahrnehmung von Betroffenenrechten unterstützen und etwaige Datenschutzverletzungen melden. Zudem ist eine Dokumentation der Verarbeitungstätigkeiten zu führen. Soweit erforderlich, ist ein Datenschutzbeauftragter zu benennen und die zuständige deutsche Aufsichtsbehörde zu informieren.

Datenübermittlung in Drittländer

Bei einer Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann beispielsweise durch Angemessenheitsbeschlüsse der Europäischen Kommission, Standardvertragsklauseln (SCC) oder ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen erfolgen.

Aufsicht und Sanktionen

Die zuständige Aufsichtsbehörde in Deutschland, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Prüfungen durchzuführen sowie die Verarbeitung personenbezogener Daten einzuschränken oder zu untersagen, sofern Verstöße festgestellt werden. Bei Nichtbeachtung können Geldbußen verhängt werden, die bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Einhaltung der Datenschutzanforderungen

Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Kontrolle durch die betroffenen Personen. Transparente Abläufe sowie nachvollziehbare Verfahren werden angewendet, um den Umgang mit Daten darzustellen. Durch geeignete technische und organisatorische Maßnahmen werden Risiken für die Privatsphäre reduziert.