GDPR
Geltungsbereich
Diese Regelung betrifft die Verarbeitung personenbezogener Daten von Personen in Deutschland
Erfasst sind Tätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in Deutschland sowie die Beobachtung ihres Verhaltens, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt
Die Vorschriften gelten für elektronische Daten ebenso wie für strukturierte papierbasierte Aufzeichnungen
Verarbeitungen, die ausschließlich privaten oder familiären Zwecken dienen, sind hiervon ausgenommen
Grundsätze der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Einhaltung folgender Anforderungen:
Rechtmäßigkeit, Transparenz und faire Verarbeitung
Verwendung ausschließlich für eindeutig festgelegte Zwecke
Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Schutz durch geeignete Maßnahmen zur Wahrung von Integrität und Vertraulichkeit, um unbefugten Zugriff oder Offenlegung zu verhindern
Rechte betroffener Personen
Betroffene Personen können folgende Rechte geltend machen:
Auskunft über die Verarbeitung sowie Zugang zu den gespeicherten Daten und deren Berichtigung
Löschung personenbezogener Daten gemäß dem Recht auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich
Pflichten von Auftragsverarbeitern
Externe Dienstleister, etwa im Bereich Logistik, Kundendienst oder Hosting, sind verpflichtet:
Verarbeitung ausschließlich auf Grundlage dokumentierter Anweisungen durchzuführen
Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Datenschutzverletzungen unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Gegebenenfalls eine verantwortliche Person für Datenschutz zu benennen und diese bei der zuständigen deutschen Aufsichtsbehörde (BfDI) zu registrieren
Datenübermittlung außerhalb des EWR
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist berechtigt:
Kontrollen durchzuführen
Verarbeitungen auszusetzen oder zu untersagen, sofern diese nicht den gesetzlichen Anforderungen entsprechen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, wobei der höhere Betrag maßgeblich ist
Einhaltung der Vorschriften
Die Datenverarbeitung erfolgt unter Berücksichtigung der Kontrollrechte betroffener Personen
Abläufe werden transparent und nachvollziehbar gestaltet
Geeignete Maßnahmen dienen der Minimierung von Risiken für die Privatsphäre