Datenschutz gemäß DSGVO

Anwendungsbereich

Diese Bestimmungen gelten für die Verarbeitung personenbezogener Daten von Personen in Deutschland. Erfasst sind sowohl Fälle, in denen Waren oder Dienstleistungen für Nutzer in Deutschland bereitgestellt werden, als auch Situationen, in denen deren Verhalten analysiert wird, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Die Regelungen beziehen sich auf elektronische Daten sowie strukturierte papierbasierte Aufzeichnungen. Tätigkeiten mit ausschließlich persönlichem oder familiärem Bezug fallen nicht in den Anwendungsbereich.

Grundprinzipien der Verarbeitung

Die Verarbeitung personenbezogener Daten unterliegt folgenden Anforderungen:

• Einhaltung von Rechtmäßigkeit, Transparenz und fairer Verarbeitung
• Nutzung ausschließlich für klar definierte und legitime Zwecke
• Beschränkung auf notwendige Daten sowie Sicherstellung der Richtigkeit
• Speicherung nur für einen begrenzten Zeitraum
• Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte betroffener Personen

Betroffene können folgende Rechte geltend machen:

• Auskunft über die Verarbeitung sowie Einsicht in gespeicherte Daten und deren Berichtigung
• Löschung personenbezogener Daten (Recht auf Vergessenwerden)
• Einschränkung der Verarbeitung sowie Widerspruch gegen bestimmte Verarbeitungsvorgänge
• Übertragbarkeit der bereitgestellten Daten
• Widerruf einer erteilten Einwilligung

Für Personen unter 15 Jahren ist die Zustimmung der Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern

Externe Dienstleister, beispielsweise im Bereich Logistik, Kundenservice oder Hosting, sind verpflichtet:

• ausschließlich auf Grundlage dokumentierter Weisungen tätig zu werden
• geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
• bei der Wahrnehmung von Betroffenenrechten zu unterstützen
• Datenschutzverletzungen unverzüglich zu melden
• Verzeichnisse über Verarbeitungstätigkeiten zu führen

Sofern erforderlich, ist eine verantwortliche Person für Datenschutz zu benennen und eine Meldung an die zuständige deutsche Aufsichtsbehörde (BfDI) vorzunehmen.

Datenübermittlung außerhalb des EWR

Bei der Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dies kann insbesondere durch folgende Maßnahmen erfolgen:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Verwendung von Standardvertragsklauseln (SCC)
• ergänzende Schutzmaßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen

Die zuständige Aufsichtsbehörde in Deutschland (BfDI) ist befugt, Kontrollen durchzuführen, Datenverarbeitungen auszusetzen oder zu untersagen sowie Sanktionen zu verhängen. Geldbußen können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen, abhängig davon, welcher Betrag höher ist.

Datenschutzverpflichtung

Es wird sichergestellt, dass betroffene Personen ihre Rechte in Bezug auf personenbezogene Daten wahrnehmen können. Die Verarbeitung erfolgt nachvollziehbar und unter Anwendung geeigneter Maßnahmen zur Minimierung von Risiken für die Privatsphäre.