Datenschutzbestimmungen gemäß DSGVO
Anwendungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Nutzenden mit Bezug zur Bundesrepublik Deutschland.
Erfasst sind insbesondere Fälle, in denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Einbezogen sind sowohl elektronische Datensätze als auch strukturierte papiergebundene Aufzeichnungen.
Verarbeitungsvorgänge zu ausschließlich persönlichen oder familiären Zwecken fallen nicht in diesen Geltungsbereich.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat den folgenden Anforderungen zu entsprechen:
– Rechtmäßigkeit, Fairness und Transparenz
– Zweckbindung auf klar definierte Verarbeitungsziele
– Beschränkung auf das notwendige Maß sowie Gewährleistung der Richtigkeit
– Begrenzung der Speicherdauer auf das erforderliche Minimum
– Sicherstellung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können folgende Rechte ausüben:
– Recht auf Information, Auskunft und Berichtigung
– Recht auf Löschung (Recht auf Vergessenwerden)
– Recht auf Einschränkung der Verarbeitung sowie Widerspruch
– Recht auf Datenübertragbarkeit
– Recht auf Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist eine Zustimmung durch Erziehungsberechtigte erforderlich.
Pflichten von Auftragsverarbeitern
Dritte, die im Rahmen der Datenverarbeitung eingebunden sind (z. B. Logistik-, Support- oder Hosting-Dienstleister), unterliegen folgenden Verpflichtungen:
– Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
– Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
– Unterstützung bei der Wahrnehmung von Betroffenenrechten
– Meldung von Datenschutzverletzungen
– Führung von Verzeichnissen über Verarbeitungstätigkeiten
Soweit erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und gegenüber der zuständigen deutschen Aufsichtsbehörde zu melden.
Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Datenschutzniveau sicherzustellen, beispielsweise durch:
– Angemessenheitsbeschlüsse der Europäischen Kommission
– Verwendung von Standardvertragsklauseln (SCC)
– Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt, Prüfungen durchzuführen sowie nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen.
Bei Verstößen können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden, wobei der jeweils höhere Betrag maßgeblich ist.
Einhaltung datenschutzrechtlicher Anforderungen
Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Rechte der betroffenen Personen sowie unter Einsatz transparenter und nachvollziehbarer Verfahren.
Zur Minimierung von Risiken für die Privatsphäre werden geeignete organisatorische und technische Maßnahmen angewendet.