Datenschutz-Grundverordnung
Geltungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Erfasst werden sowohl Fälle, in denen Waren oder Dienstleistungen für Nutzer in Deutschland bereitgestellt werden, als auch Situationen, in denen deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Die Regelungen gelten für Daten in elektronischer Form sowie für strukturierte, manuell geführte Aufzeichnungen. Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht in diesen Anwendungsbereich.
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Einhaltung folgender Anforderungen:
- Rechtmäßigkeit, sachgerechte Behandlung und Nachvollziehbarkeit
- Beschränkung auf festgelegte und eindeutige Zwecke
- Erhebung und Nutzung nur im erforderlichen Umfang sowie Sicherstellung der Richtigkeit
- Begrenzung der Speicherdauer auf das notwendige Maß
- Schutz der Daten vor unbefugtem Zugriff, Verlust oder Offenlegung durch geeignete technische und organisatorische Maßnahmen
Rechte betroffener Personen
Betroffene Personen können verschiedene Rechte ausüben, darunter das Recht auf Information, Einsichtnahme und Berichtigung ihrer Daten. Zusätzlich besteht die Möglichkeit, die Löschung zu verlangen (Recht auf Vergessenwerden), die Verarbeitung einzuschränken oder dieser zu widersprechen. Weiterhin kann die Übertragbarkeit der Daten verlangt werden. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Für Personen unter 15 Jahren ist eine Zustimmung durch einen gesetzlichen Vertreter erforderlich.
Pflichten von Auftragsverarbeitern
Externe Dienstleister, beispielsweise in den Bereichen Logistik, Kundenbetreuung oder Hosting, sind verpflichtet, Daten ausschließlich auf Grundlage dokumentierter Weisungen zu verarbeiten. Sie müssen geeignete Sicherheitsvorkehrungen implementieren, bei der Bearbeitung von Anfragen betroffener Personen unterstützen und Datenschutzverletzungen unverzüglich melden. Zudem ist eine Dokumentation der Verarbeitungstätigkeiten zu führen. Falls erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und bei der zuständigen Aufsichtsbehörde in Deutschland zu melden.
Datenübermittlung
Werden personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums übertragen, ist ein angemessenes Datenschutzniveau sicherzustellen. Dies kann durch einen Angemessenheitsbeschluss der Europäischen Kommission, durch den Einsatz von Standardvertragsklauseln (SCC) oder durch zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen gewährleistet werden.
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Kontrollen durchzuführen sowie die Aussetzung oder Untersagung von Verarbeitungen anzuordnen, sofern diese nicht den gesetzlichen Vorgaben entsprechen. Darüber hinaus können Geldbußen von bis zu 20000000 € oder 4 % des weltweiten Jahresumsatzes verhängt werden, wobei der jeweils höhere Betrag maßgeblich ist.
Einhaltung der Vorschriften
Die Datenverarbeitung erfolgt unter Berücksichtigung der Anforderungen an Transparenz und Nachvollziehbarkeit. Ziel ist es, betroffenen Personen eine Kontrolle über ihre personenbezogenen Daten zu ermöglichen und durch geeignete Maßnahmen Risiken für den Datenschutz zu reduzieren.