Datenschutz gemäß DSGVO

Geltungsbereich

Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Nutzern in Deutschland. Sie finden Anwendung, wenn Waren oder Dienstleistungen für Personen in Deutschland angeboten werden oder deren Verhalten analysiert wird, auch wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt. Erfasst werden sowohl digitale Daten als auch strukturierte papierbasierte Aufzeichnungen. Tätigkeiten im rein persönlichen oder familiären Umfeld fallen nicht unter diesen Anwendungsbereich.

Grundsätze der Datenverarbeitung

Die Verarbeitung personenbezogener Informationen erfolgt unter Beachtung folgender Anforderungen:

Rechtmäßigkeit, Fairness und Nachvollziehbarkeit
Zweckbindung an klar definierte Verwendungszwecke
Beschränkung auf notwendige Datenmengen sowie Sicherstellung der Richtigkeit
Begrenzung der Speicherdauer auf das erforderliche Maß
Schutz der Integrität und Vertraulichkeit zur Vermeidung unbefugten Zugriffs oder Offenlegung

Rechte der betroffenen Personen

Betroffene Personen haben das Recht:

über die Verarbeitung informiert zu werden sowie Auskunft zu erhalten und Daten berichtigen zu lassen
die Löschung personenbezogener Daten zu verlangen (Recht auf Vergessenwerden)
die Verarbeitung einzuschränken oder ihr zu widersprechen
Daten in einem übertragbaren Format zu erhalten
eine erteilte Einwilligung jederzeit zu widerrufen

Für Personen unter 15 Jahren ist die Zustimmung eines Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern

Externe Dienstleister, beispielsweise in den Bereichen Logistik, Kundenservice oder Hosting, sind verpflichtet:

Daten ausschließlich gemäß dokumentierten Weisungen zu verarbeiten
geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
bei der Wahrnehmung von Betroffenenrechten mitzuwirken
Datenschutzverletzungen unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen

Soweit erforderlich, ist eine verantwortliche Person für Datenschutz zu benennen und entsprechende Meldungen an die zuständige deutsche Aufsichtsbehörde (BfDI) vorzunehmen.

Datenübermittlung

Bei Übertragungen personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:

Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen

Die zuständige deutsche Aufsichtsbehörde (BfDI) ist befugt:

Kontrollen durchzuführen
nicht konforme Datenverarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist

Einhaltung der Vorschriften

Es wird sichergestellt, dass betroffene Personen Kontrolle über ihre Daten behalten. Die Verarbeitung erfolgt in nachvollziehbarer und verantwortlicher Weise, unterstützt durch geeignete Maßnahmen zur Minimierung von Risiken für die Privatsphäre.