Datenschutz-Grundverordnung
Anwendungsbereich
Diese Bestimmungen gelten für die Verarbeitung personenbezogener Daten von Personen in Deutschland.
Sie finden Anwendung, wenn Waren oder Dienstleistungen an Nutzer in Deutschland angeboten werden oder wenn deren Verhalten beobachtet wird, selbst wenn die eigentliche Datenverarbeitung außerhalb der Europäischen Union stattfindet.
Die Regelungen betreffen sowohl elektronische Datensätze als auch strukturierte papierbasierte Aufzeichnungen.
Nicht erfasst werden Tätigkeiten, die ausschließlich zu persönlichen oder familiären Zwecken erfolgen.
Grundsätze der Datenverarbeitung
Bei der Verarbeitung personenbezogener Daten sind folgende Grundprinzipien einzuhalten:
Rechtmäßigkeit, Fairness und Transparenz gegenüber betroffenen Personen.
Verwendung der Daten ausschließlich für klar definierte und festgelegte Zwecke.
Beschränkung der Datenerhebung auf das notwendige Maß sowie Sicherstellung der Richtigkeit der Angaben.
Speicherung personenbezogener Informationen nur für einen begrenzten Zeitraum.
Schutz der Integrität und Vertraulichkeit der Daten durch geeignete Maßnahmen, um unbefugten Zugriff, Verlust oder Offenlegung zu verhindern.
Rechte der betroffenen Personen
Nutzer können verschiedene Rechte gemäß der Datenschutz-Grundverordnung ausüben. Dazu zählen insbesondere:
das Recht auf Information über die Verarbeitung personenbezogener Daten sowie das Recht auf Auskunft und Berichtigung,
das Recht auf Löschung personenbezogener Informationen („Recht auf Vergessenwerden“),
die Möglichkeit, eine Einschränkung der Verarbeitung zu verlangen oder der Verarbeitung zu widersprechen,
das Recht auf Übertragbarkeit von Daten,
sowie die Möglichkeit, eine zuvor erteilte Einwilligung jederzeit zu widerrufen.
Bei Nutzern unter 15 Jahren ist die Zustimmung der Eltern oder einer erziehungsberechtigten Person erforderlich.
Pflichten von Auftragsverarbeitern
Dritte, die personenbezogene Daten im Auftrag verarbeiten, beispielsweise Dienstleister für Logistik, Kundenservice oder technische Infrastruktur, sind verpflichtet:
die Verarbeitung ausschließlich auf Grundlage schriftlicher Weisungen vorzunehmen,
angemessene technische und organisatorische Sicherheitsmaßnahmen zu gewährleisten,
bei der Bearbeitung von Anfragen betroffener Personen mitzuwirken,
jede Verletzung des Schutzes personenbezogener Daten zu melden,
sowie ein Verzeichnis über die durchgeführten Verarbeitungstätigkeiten zu führen.
Falls erforderlich, ist zudem ein Datenschutzbeauftragter zu benennen und die zuständige deutsche Behörde für Datenschutz und Informationsfreiheit darüber zu informieren.
Internationale Datenübermittlung
Werden personenbezogene Informationen außerhalb des Europäischen Wirtschaftsraums übermittelt, muss ein angemessenes Schutzniveau gewährleistet sein.
Dies kann beispielsweise durch eine Angemessenheitsentscheidung der Europäischen Kommission, durch Standardvertragsklauseln (SCC) oder durch zusätzliche Maßnahmen wie Verschlüsselung und Zugangsbeschränkungen sichergestellt werden.
Aufsicht und Sanktionen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verfügt über umfassende Befugnisse zur Überwachung der Einhaltung der Datenschutzvorschriften.
Dazu gehören unter anderem Kontrollen und Prüfungen der Datenverarbeitung, die Möglichkeit zur vorübergehenden oder dauerhaften Untersagung unzulässiger Verarbeitungsvorgänge sowie die Verhängung von Geldbußen.
Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Datenschutzkonformität
Die Verarbeitung personenbezogener Daten erfolgt mit dem Ziel, betroffenen Personen eine wirksame Kontrolle über ihre Informationen zu ermöglichen.
Transparente Verfahren sowie verantwortungsvolle Datenverarbeitung bilden die Grundlage für den Umgang mit personenbezogenen Daten.
Zum Schutz der Privatsphäre werden geeignete Maßnahmen eingesetzt, um Risiken für personenbezogene Informationen zu reduzieren.