Datenschutz-Grundverordnung
Anwendungsbereich
Diese Bestimmungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland
Sie finden Anwendung, wenn Waren oder Dienstleistungen an Personen in Deutschland angeboten werden oder deren Verhalten analysiert wird, auch wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt
Erfasst werden sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen
Verarbeitungen zu ausschließlich persönlichen oder familiären Zwecken fallen nicht unter diese Regelung
Grundsätze der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:
Rechtmäßigkeit, Nachvollziehbarkeit und Transparenz
Zweckbindung an klar definierte Verarbeitungsziele
Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Schutz der Datenintegrität und Vertraulichkeit zur Vermeidung unbefugter Zugriffe oder Offenlegung
Rechte der betroffenen Personen
Betroffene können folgende Rechte geltend machen:
Auskunft über gespeicherte Daten sowie deren Berichtigung
Löschung personenbezogener Daten im Rahmen des sogenannten Rechts auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
Für Personen unter 15 Jahren ist die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich
Pflichten externer Auftragsverarbeiter
Dritte, die in die Datenverarbeitung eingebunden sind, wie etwa Logistik-, Support- oder Hosting-Dienstleister, unterliegen folgenden Anforderungen:
Verarbeitung ausschließlich auf Grundlage dokumentierter Anweisungen
Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Soweit erforderlich, Benennung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit
Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Behörde in Deutschland, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt:
Kontrollen durchzuführen
Nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen zu verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist
Einhaltung der Vorschriften
Es wird darauf abgestellt, dass betroffene Personen Kontrolle über ihre Daten ausüben können
Die Datenverarbeitung erfolgt nachvollziehbar und unter Berücksichtigung der Verantwortlichkeit
Geeignete Maßnahmen werden eingesetzt, um Risiken für die Privatsphäre zu minimieren