Datenschutz-Grundverordnung
Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland.
Erfasst werden insbesondere Sachverhalte, bei denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden oder deren Verhalten ausgewertet wird, auch wenn die Verarbeitung außerhalb der Europäischen Union erfolgt.
Die Regelung gilt sowohl für elektronische Datenverarbeitung als auch für strukturierte papierbasierte Aufzeichnungen.
Verarbeitungen zu ausschließlich privaten oder familiären Zwecken sind hiervon ausgenommen.
Grundsätze der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
Rechtmäßige, transparente und nachvollziehbare Verarbeitung
Zweckbindung an eindeutig festgelegte Verwendungszwecke
Beschränkung auf erforderliche Daten sowie Sicherstellung der Richtigkeit
Begrenzung der Aufbewahrungsdauer auf das notwendige Maß
Schutz durch geeignete Maßnahmen zur Wahrung von Integrität und Vertraulichkeit sowie zur Verhinderung unbefugten Zugriffs oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können folgende Rechte geltend machen:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten im Sinne des Rechts auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf erteilter Einwilligungen
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.
Pflichten externer Auftragsverarbeiter
Drittanbieter, beispielsweise in den Bereichen Logistik, Kundendienst oder Hosting, sind verpflichtet:
Verarbeitungen ausschließlich auf Grundlage dokumentierter Anweisungen durchzuführen
angemessene technische und organisatorische Schutzmaßnahmen umzusetzen
bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Verletzungen des Schutzes personenbezogener Daten unverzüglich zu melden
Aufzeichnungen über Verarbeitungstätigkeiten zu führen
Gegebenenfalls einen Datenschutzbeauftragten zu benennen und die zuständige deutsche Aufsichtsbehörde zu informieren.
Übermittlung in Drittländer
Bei der Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen.
Dies kann insbesondere erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, der BfDI, ist befugt:
Überprüfungen durchzuführen
nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20000000 € oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, wobei der höhere Betrag maßgeblich ist
Umsetzung der Anforderungen
Es wird sichergestellt, dass betroffene Personen Kontrolle über ihre Daten ausüben können.
Die Datenverarbeitung erfolgt in klar strukturierten und nachvollziehbaren Abläufen.
Geeignete Maßnahmen werden eingesetzt, um Risiken im Zusammenhang mit dem Schutz personenbezogener Daten zu reduzieren.