Datenschutz-Grundverordnung
Anwendungsbereich
Diese Regelung betrifft die Verarbeitung personenbezogener Daten von Personen in Deutschland.
Erfasst werden insbesondere Fälle, in denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Die Bestimmungen gelten sowohl für elektronische Daten als auch für strukturierte Aufzeichnungen in Papierform.
Rein persönliche oder familiäre Tätigkeiten fallen nicht unter diesen Anwendungsbereich.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Vorgaben:
Rechtmäßigkeit, Transparenz und nachvollziehbare Verarbeitung
Zweckbindung an klar definierte Verwendungszwecke
Beschränkung auf erforderliche Daten sowie Sicherstellung der Richtigkeit
Begrenzung der Speicherdauer auf das notwendige Maß
Schutz der Daten durch geeignete Maßnahmen zur Wahrung von Integrität und Vertraulichkeit sowie zur Verhinderung unbefugten Zugriffs oder Offenlegung
Rechte betroffener Personen
Betroffene Personen verfügen über folgende Rechte:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten im Sinne des Rechts auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf erteilter Einwilligungen
Für Personen unter 15 Jahren ist die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich.
Pflichten von Auftragsverarbeitern
Dritte Dienstleister, etwa in den Bereichen Logistik, Kundendienst oder Hosting, sind verpflichtet:
die Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen vorzunehmen
angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen
bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Verletzungen des Schutzes personenbezogener Daten unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Sofern erforderlich, ist ein Datenschutzbeauftragter zu benennen und der zuständigen deutschen Aufsichtsbehörde zu melden.
Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen.
Dies kann unter anderem erfolgen durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, der BfDI, ist befugt:
Kontrollen durchzuführen
nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20000000 € oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, wobei der höhere Betrag maßgeblich ist
Umsetzung der Anforderungen
Die Verarbeitung personenbezogener Daten erfolgt unter Gewährleistung der Kontrolle durch die betroffenen Personen.
Es werden transparente Abläufe für die Datenverarbeitung angewendet.
Geeignete Maßnahmen dienen der Reduzierung von Risiken im Zusammenhang mit dem Schutz personenbezogener Daten.