Datenschutz-Grundverordnung
Anwendungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Sie finden Anwendung, wenn Waren oder Dienstleistungen für Nutzer in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Erfasst werden sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen.
Rein persönliche oder familiäre Tätigkeiten fallen nicht unter diesen Geltungsbereich.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
– Rechtmäßigkeit, Fairness und Nachvollziehbarkeit
– Zweckbindung an klar definierte Verarbeitungsziele
– Beschränkung auf das erforderliche Maß sowie Sicherstellung der Richtigkeit
– Speicherung nur für einen begrenzten Zeitraum
– Schutz vor unbefugtem Zugriff, Verlust oder Offenlegung durch geeignete Maßnahmen zur Wahrung von Integrität und Vertraulichkeit
Rechte der betroffenen Personen
Betroffene Personen können insbesondere folgende Ansprüche geltend machen:
– Information über die Verarbeitung sowie Auskunft über gespeicherte Daten
– Berichtigung unzutreffender Angaben
– Löschung personenbezogener Daten (Recht auf Vergessenwerden)
– Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
– Übertragbarkeit der Daten in einem strukturierten Format
– Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Externe Dienstleister, etwa in den Bereichen Logistik, Kundenservice oder Hosting, sind an folgende Vorgaben gebunden:
– Durchführung der Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
– Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen
– Unterstützung bei der Wahrnehmung von Betroffenenrechten
– Meldung von Datenschutzverletzungen
– Dokumentation der Verarbeitungstätigkeiten
Soweit erforderlich, ist eine verantwortliche Person für Datenschutz zu benennen und der zuständigen deutschen Aufsichtsbehörde zu melden.
Datenübermittlung in Drittstaaten
Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann unter anderem erfolgen durch:
– Angemessenheitsbeschlüsse der Europäischen Kommission
– Verwendung von Standardvertragsklauseln (SCC)
– Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt:
– Prüfungen durchzuführen
– Datenverarbeitungen auszusetzen oder zu untersagen
– Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist
Umsetzung und Verantwortung
Es wird darauf ausgerichtet, die Kontrolle der Nutzer über ihre personenbezogenen Daten zu gewährleisten, transparente Abläufe sicherzustellen und geeignete Maßnahmen zur Minimierung von Datenschutzrisiken einzusetzen.