GDPR
Geltungsbereich
Diese Vorschriften beziehen sich auf die Verarbeitung personenbezogener Daten von Personen in Deutschland
Erfasst sind Tätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in Deutschland sowie die Beobachtung ihres Verhaltens, auch wenn die Verarbeitung außerhalb der Europäischen Union erfolgt
Die Regelung gilt für digitale Daten sowie für strukturierte papierbasierte Aufzeichnungen
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht darunter
Grundprinzipien der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Einhaltung folgender Anforderungen:
Rechtmäßigkeit, Transparenz und faire Behandlung
Verwendung ausschließlich für klar definierte Zwecke
Beschränkung auf erforderliche Daten sowie Sicherstellung ihrer Richtigkeit
Begrenzte Speicherdauer
Gewährleistung von Sicherheit und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte der betroffenen Personen
Betroffene Personen können folgende Ansprüche geltend machen:
Information über die Datenverarbeitung sowie Zugang zu den gespeicherten Daten und deren Berichtigung
Löschung personenbezogener Daten gemäß dem Recht auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich
Pflichten externer Auftragsverarbeiter
Dienstleister, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet:
Verarbeitung ausschließlich auf Grundlage dokumentierter Anweisungen durchzuführen
Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Datenschutzverletzungen unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Gegebenenfalls eine verantwortliche Person für Datenschutz zu benennen und diese bei der zuständigen deutschen Aufsichtsbehörde (BfDI) zu registrieren
Datenübermittlung außerhalb des EWR
Bei Übertragungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist berechtigt:
Kontrollen durchzuführen
Verarbeitungen auszusetzen oder zu untersagen, sofern diese nicht den gesetzlichen Anforderungen entsprechen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, wobei der höhere Betrag maßgeblich ist
Einhaltung der Vorschriften
Die Datenverarbeitung erfolgt unter Wahrung der Kontrollrechte betroffener Personen
Abläufe werden transparent und nachvollziehbar gestaltet
Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu minimieren