Datenschutz-Grundverordnung
Geltungsbereich.
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Erfasst sind sowohl Angebote von Waren oder Dienstleistungen für Nutzer in Deutschland als auch die Beobachtung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Einbezogen sind sowohl elektronische Daten als auch strukturiert abgelegte Informationen in Papierform.
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diesen Anwendungsbereich.
Grundsätze der Datenverarbeitung.
Die Verarbeitung personenbezogener Daten hat unter Beachtung folgender Anforderungen zu erfolgen:
Rechtmäßigkeit, Transparenz und faire Verarbeitung
Zweckbindung auf klar definierte Ziele
Datenminimierung sowie sachliche Richtigkeit
Begrenzung der Speicherdauer auf das erforderliche Maß
Sicherstellung von Integrität und Vertraulichkeit, um unbefugten Zugriff oder Offenlegung zu verhindern
Rechte der betroffenen Personen.
Betroffene Personen können folgende Ansprüche geltend machen:
Recht auf Information sowie Auskunft und Berichtigung
Recht auf Löschung (Recht auf Vergessenwerden)
Recht auf Einschränkung der Verarbeitung und Widerspruch
Recht auf Datenübertragbarkeit
Recht auf Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist eine Zustimmung durch eine erziehungsberechtigte Person erforderlich.
Pflichten von Auftragsverarbeitern.
Dritte, die im Rahmen der Verarbeitung eingebunden sind, wie beispielsweise Logistik-, Support- oder Hosting-Dienstleister, haben folgende Anforderungen einzuhalten:
Durchführung der Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Unterstützung bei der Wahrnehmung von Betroffenenrechten
Unverzügliche Meldung von Datenschutzverletzungen
Führung von Verzeichnissen über Verarbeitungstätigkeiten
Gegebenenfalls Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde für Datenschutz und Informationsfreiheit
Datenübermittlung.
Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Verwendung von Standardvertragsklauseln (SCC)
Ergänzende Maßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen
Aufsicht und Sanktionen.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist befugt:
Überprüfungen durchzuführen
Verarbeitungen auszusetzen oder zu untersagen, sofern diese nicht den Vorschriften entsprechen
Geldbußen von bis zu 20000000 Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist
Einhaltung der Vorschriften.
Es wird sichergestellt, dass betroffene Personen Kontrolle über ihre Daten ausüben können.
Die Verarbeitung erfolgt nachvollziehbar und unter Berücksichtigung der geltenden Anforderungen.
Zur Minimierung von Risiken für die Privatsphäre werden geeignete Schutzmaßnahmen umgesetzt.