Datenschutz nach DSGVO

Anwendungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Erfasst sind insbesondere Fälle, in denen Waren oder Dienstleistungen für Nutzer in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Die Vorschriften gelten sowohl für elektronische Datenverarbeitung als auch für strukturierte papierbasierte Datensammlungen. Tätigkeiten, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diesen Anwendungsbereich.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:

• Rechtmäßigkeit, Transparenz und faire Verarbeitung
• Zweckbindung an klar definierte und legitime Ziele
• Beschränkung auf das erforderliche Maß sowie Sicherstellung der Richtigkeit
• Begrenzung der Speicherdauer auf das notwendige Minimum
• Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte der betroffenen Personen
Betroffene Personen können verschiedene Ansprüche geltend machen, darunter:

• Auskunft über gespeicherte Daten sowie deren Berichtigung
• Löschung personenbezogener Daten (Recht auf Vergessenwerden)
• Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
• Datenübertragbarkeit
• Widerruf einer erteilten Einwilligung
  Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern
Externe Dienstleister, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, unterliegen spezifischen Verpflichtungen. Dazu zählen die Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen, die Implementierung geeigneter Sicherheitsmaßnahmen, die Unterstützung bei der Wahrnehmung von Betroffenenrechten, die unverzügliche Meldung von Datenschutzverletzungen sowie die Führung von Verzeichnissen über Verarbeitungstätigkeiten. Sofern erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und die zuständige Aufsichtsbehörde in Deutschland zu informieren.

Übermittlung von Daten in Drittländer
Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übertragen, ist ein angemessenes Schutzniveau sicherzustellen. Dies kann beispielsweise durch Angemessenheitsbeschlüsse der Europäischen Kommission, den Einsatz von Standardvertragsklauseln oder ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen erfolgen.

Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde (BfDI) ist befugt, Kontrollen durchzuführen, die Verarbeitung einzuschränken oder zu untersagen sowie bei Verstößen Geldbußen zu verhängen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen, wobei der jeweils höhere Betrag maßgeblich ist.

Umsetzung der Datenschutzanforderungen
Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Rechte der betroffenen Personen sowie unter Anwendung transparenter und nachvollziehbarer Verfahren. Geeignete Maßnahmen werden eingesetzt, um Risiken für den Schutz personenbezogener Daten zu reduzieren und ein angemessenes Sicherheitsniveau sicherzustellen.