GDPR
Anwendungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland
Erfasst sind Tätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in Deutschland sowie die Beobachtung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt
Die Vorschriften gelten sowohl für elektronische Daten als auch für strukturierte, manuell geführte Aufzeichnungen
Verarbeitungen zu ausschließlich persönlichen oder familiären Zwecken fallen nicht unter diese Bestimmungen
Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Kriterien:
Rechtmäßigkeit, Fairness und Nachvollziehbarkeit
Verwendung nur für eindeutig festgelegte Zwecke
Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
Speicherung nur für einen begrenzten Zeitraum
Gewährleistung von Sicherheit und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung
Rechte betroffener Personen
Betroffene Personen können folgende Rechte geltend machen:
Auskunft über die Verarbeitung sowie Zugang zu den Daten und deren Berichtigung
Löschung personenbezogener Daten gemäß dem Recht auf Vergessenwerden
Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
Übertragbarkeit der bereitgestellten Daten
Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich
Pflichten von Auftragsverarbeitern
Externe Dienstleister, beispielsweise im Bereich Logistik, Kundendienst oder Hosting, sind verpflichtet:
ausschließlich auf Grundlage dokumentierter Weisungen tätig zu werden
geeignete technische und organisatorische Schutzmaßnahmen umzusetzen
bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Verletzungen des Datenschutzes unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
gegebenenfalls eine verantwortliche Person für Datenschutz zu benennen und diese bei der zuständigen deutschen Aufsichtsbehörde (BfDI) zu registrieren
Datenübermittlung in Drittländer
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
zusätzliche Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen
Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt:
Überprüfungen durchzuführen
Verarbeitungen auszusetzen oder zu untersagen, sofern diese nicht den Anforderungen entsprechen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, wobei der höhere Betrag maßgeblich ist
Einhaltung der Vorschriften
Die Datenverarbeitung erfolgt unter Berücksichtigung der Kontrolle durch betroffene Personen
Transparente und nachvollziehbare Abläufe werden gewährleistet
Technische und organisatorische Maßnahmen dienen der Minimierung von Risiken für die Privatsphäre