Datenschutz gemäß DSGVO
Anwendungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland. Sie finden Anwendung, wenn Waren oder Dienstleistungen an Nutzer in Deutschland bereitgestellt werden oder wenn deren Verhalten beobachtet wird, selbst dann, wenn die Datenverarbeitung außerhalb der Europäischen Union erfolgt. Die Bestimmungen gelten sowohl für elektronisch gespeicherte Daten als auch für strukturierte papierbasierte Datensammlungen. Informationen, die ausschließlich für persönliche oder familiäre Zwecke verwendet werden, fallen nicht unter diesen Anwendungsbereich.
Grundlegende Anforderungen an die Datenverarbeitung
Die Verarbeitung personenbezogener Informationen erfolgt unter Einhaltung zentraler Datenschutzgrundsätze. Dazu gehören Rechtmäßigkeit, faire Behandlung und Transparenz gegenüber betroffenen Personen. Daten dürfen nur für klar festgelegte und legitime Zwecke verwendet werden. Es werden ausschließlich diejenigen Informationen erhoben, die für den jeweiligen Zweck erforderlich sind, und deren Richtigkeit ist zu gewährleisten. Eine Speicherung erfolgt nur für den Zeitraum, der zur Erfüllung der jeweiligen Aufgabe notwendig ist. Zusätzlich sind geeignete Maßnahmen vorzusehen, um die Sicherheit der Daten zu gewährleisten und unbefugten Zugriff, Verlust oder Offenlegung zu verhindern.
Rechte der betroffenen Personen
Personen, deren Daten verarbeitet werden, können verschiedene Rechte geltend machen. Dazu zählen das Recht auf Information über die Verarbeitung, Einsicht in gespeicherte Daten sowie deren Berichtigung. Weiterhin besteht das Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“) sowie die Möglichkeit, die Verarbeitung einzuschränken oder ihr zu widersprechen. Ebenso kann die Übertragung der eigenen Daten verlangt werden. Eine zuvor erteilte Zustimmung zur Verarbeitung kann jederzeit widerrufen werden. Für Nutzer unter 15 Jahren ist die Zustimmung eines Elternteils oder gesetzlichen Vertreters erforderlich.
Pflichten externer Auftragsverarbeiter
Dienstleister, die im Auftrag Daten verarbeiten, beispielsweise in den Bereichen Logistik, Kundendienst oder technische Infrastruktur, sind verpflichtet, ausschließlich auf Grundlage dokumentierter Anweisungen tätig zu werden. Sie müssen angemessene Sicherheitsmaßnahmen zum Schutz der Daten einsetzen, bei der Bearbeitung von Anfragen betroffener Personen unterstützen und etwaige Datenschutzverletzungen melden. Zudem ist eine Dokumentation der jeweiligen Verarbeitungsvorgänge zu führen. Falls erforderlich, kann die Benennung eines Datenschutzbeauftragten sowie eine Meldung an die zuständige deutsche Aufsichtsbehörde erforderlich sein.
Übermittlung von Daten in Drittstaaten
Werden personenbezogene Informationen in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt, ist sicherzustellen, dass ein angemessenes Datenschutzniveau besteht. Dies kann beispielsweise durch einen Angemessenheitsbeschluss der Europäischen Kommission oder durch Standardvertragsklauseln (SCC) erreicht werden. Ergänzende Schutzmaßnahmen, etwa Verschlüsselungstechnologien oder eingeschränkte Zugriffsmöglichkeiten, können ebenfalls eingesetzt werden.
Aufsicht und mögliche Sanktionen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist befugt, die Einhaltung der datenschutzrechtlichen Vorgaben zu überprüfen. Diese Behörde kann Untersuchungen durchführen sowie die Verarbeitung personenbezogener Daten aussetzen oder untersagen, wenn Verstöße festgestellt werden. Bei schwerwiegenden Verstößen können Geldbußen verhängt werden, die bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen können, wobei der jeweils höhere Betrag maßgeblich ist.
Maßnahmen zur Einhaltung der Datenschutzanforderungen
Im Rahmen der Datenverarbeitung werden Verfahren eingesetzt, die darauf abzielen, betroffenen Personen eine angemessene Kontrolle über ihre Informationen zu ermöglichen. Darüber hinaus wird ein transparenter Umgang mit personenbezogenen Daten angestrebt, und organisatorische sowie technische Maßnahmen werden angewendet, um Risiken für die Privatsphäre zu reduzieren und die Sicherheit der verarbeiteten Daten zu gewährleisten.