Datenschutz-Grundverordnung
Geltungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen mit Bezug zu Deutschland. Erfasst werden sowohl Vorgänge im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen für Personen in Deutschland als auch die Beobachtung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Die Bestimmungen gelten für Daten in elektronischer Form sowie für strukturierte papierbasierte Ablagen. Eine Nutzung zu ausschließlich persönlichen oder familiären Zwecken fällt nicht unter diesen Anwendungsbereich.
Grundsätze der Datenverarbeitung
Jede Verarbeitung personenbezogener Daten hat unter Einhaltung folgender Anforderungen zu erfolgen:
Rechtmäßigkeit, Fairness und Nachvollziehbarkeit der Verarbeitung
Zweckbindung an klar definierte und legitime Ziele
Beschränkung auf erforderliche Datenmengen sowie Sicherstellung der Richtigkeit
Speicherung nur für den notwendigen Zeitraum
Gewährleistung von Integrität und Vertraulichkeit einschließlich Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können verschiedene Rechte ausüben, darunter:
Anspruch auf Information sowie Einsicht in gespeicherte Daten und deren Berichtigung
Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“)
Möglichkeit der Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Anspruch auf Übertragbarkeit der Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist eine Zustimmung durch einen gesetzlichen Vertreter erforderlich.
Pflichten von Auftragsverarbeitern
Externe Dienstleister, etwa im Bereich Logistik, Kundenservice oder Hosting, sind verpflichtet:
Daten ausschließlich auf dokumentierte Weisung zu verarbeiten
Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Bei der Wahrnehmung von Betroffenenrechten unterstützend tätig zu werden
Datenschutzverletzungen unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Sofern erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und eine Meldung an die zuständige Aufsichtsbehörde in Deutschland vorzunehmen.
Datenübermittlung in Drittländer
Bei einer Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann unter anderem erfolgen durch:
Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission
Abschluss von Standardvertragsklauseln (SCC)
Ergänzende Maßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt:
Kontrollen durchzuführen
Nicht konforme Verarbeitungen auszusetzen oder zu untersagen
Geldbußen zu verhängen, die bis zu 20000000 Euro oder 4% des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist
Einhaltung der Vorschriften
Es wird darauf abgestellt, dass betroffene Personen Kontrolle über ihre Daten behalten und die Verarbeitung nachvollziehbar sowie verantwortungsbewusst erfolgt. Maßnahmen zur Risikominimierung im Bereich Datenschutz werden unter Anwendung geeigneter organisatorischer und technischer Vorkehrungen umgesetzt.