Datenschutz nach DSGVO

Anwendungsbereich
Diese Regelung betrifft die Verarbeitung personenbezogener Daten von Nutzern in Deutschland. Sie findet Anwendung, wenn Waren oder Dienstleistungen an Personen in Deutschland angeboten werden oder deren Verhalten analysiert wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Erfasst sind sowohl elektronische Daten als auch strukturierte papierbasierte Aufzeichnungen. Tätigkeiten mit ausschließlich persönlichem oder familiärem Bezug fallen nicht unter diese Bestimmungen.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung folgender Anforderungen:

• Rechtmäßigkeit, Transparenz und faire Verarbeitung
• Zweckbindung auf eindeutig festgelegte Verarbeitungsziele
• Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
• Speicherung nur für einen begrenzten Zeitraum
• Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte betroffener Personen
Betroffene Personen können die ihnen zustehenden Rechte ausüben, darunter:

• Information über die Datenverarbeitung sowie Zugang zu gespeicherten Daten
• Berichtigung unzutreffender Angaben
• Löschung personenbezogener Daten (Recht auf Vergessenwerden)
• Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungen
• Übertragbarkeit der Daten
• Widerruf erteilter Einwilligungen

Für Personen unter 15 Jahren ist eine Zustimmung durch Eltern oder gesetzliche Vertreter erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die in die Datenverarbeitung eingebunden sind, beispielsweise im Bereich Logistik, Kundenservice oder Hosting, unterliegen folgenden Anforderungen:

• Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
• Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
• Unterstützung bei der Wahrnehmung von Betroffenenrechten
• Meldung von Datenschutzverletzungen
• Führung von Verzeichnissen über Verarbeitungstätigkeiten

Soweit erforderlich, ist eine verantwortliche Person für den Datenschutz zu benennen und bei der zuständigen deutschen Aufsichtsbehörde zu registrieren.

Übermittlung in Drittländer
Bei der Weitergabe personenbezogener Daten an Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann beispielsweise durch Angemessenheitsbeschlüsse der Europäischen Kommission, Standardvertragsklauseln (SCC) oder ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen erfolgen.

Aufsicht und Sanktionen
Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt, Kontrollen durchzuführen sowie nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen. Bei Verstößen können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden, wobei der jeweils höhere Betrag maßgeblich ist.

Datenschutzverantwortung
Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der Rechte der Nutzer. Es werden transparente Verfahren angewendet und geeignete Maßnahmen umgesetzt, um Risiken für den Schutz personenbezogener Daten zu minimieren.