DSGVO
1. Anwendungsbereich
Diese Bestimmungen regeln die Verarbeitung personenbezogener Daten von Personen in Deutschland.
Sie finden insbesondere Anwendung, wenn:
-
Waren oder Dienstleistungen für Nutzer in Deutschland angeboten werden;
-
personenbezogene Daten verwendet werden, um das Verhalten von Nutzern in Deutschland zu analysieren, nachzuverfolgen oder auszuwerten.
Die Regelungen gelten unabhängig davon, an welchem Ort die Datenverarbeitung tatsächlich durchgeführt wird. Maßgeblich ist, dass personenbezogene Daten von Personen in Deutschland betroffen sind.
Erfasst werden sowohl:
-
personenbezogene Daten in elektronischer Form;
-
personenbezogene Informationen, die in strukturierten papierbasierten Ablagesystemen gespeichert werden.
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diese Bestimmungen.
2. Grundsätze der Verarbeitung personenbezogener Daten
Bei sämtlichen Datenverarbeitungsvorgängen werden die nachstehenden Datenschutzgrundsätze beachtet.
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten werden ausschließlich auf einer gültigen Rechtsgrundlage verarbeitet. Betroffene Personen erhalten klare und nachvollziehbare Informationen über die jeweilige Verarbeitung.
Zweckbindung
Die Verwendung personenbezogener Daten erfolgt ausschließlich für vorher festgelegte, eindeutige und rechtmäßige Zwecke.
Datenminimierung
Es werden nur diejenigen personenbezogenen Daten erhoben und verarbeitet, die für den jeweiligen Verarbeitungszweck erforderlich sind.
Richtigkeit der Daten
Durch angemessene Maßnahmen wird sichergestellt, dass personenbezogene Daten sachlich richtig, vollständig und aktuell bleiben.
Begrenzung der Speicherdauer
Personenbezogene Daten werden nur so lange aufbewahrt, wie dies für den vorgesehenen Zweck oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.
Integrität und Vertraulichkeit
Geeignete technische und organisatorische Maßnahmen werden eingesetzt, um personenbezogene Daten vor unbefugtem Zugriff, Offenlegung, Veränderung, Verlust oder missbräuchlicher Nutzung zu schützen.
3. Rechte betroffener Personen
Nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) stehen betroffenen Personen verschiedene Datenschutzrechte zu.
Hierzu gehören insbesondere:
-
Recht auf Information;
-
Recht auf Auskunft;
-
Recht auf Berichtigung;
-
Recht auf Löschung („Recht auf Vergessenwerden“);
-
Recht auf Einschränkung der Verarbeitung;
-
Recht auf Widerspruch gegen die Verarbeitung;
-
Recht auf Datenübertragbarkeit;
-
Recht auf Widerruf einer erteilten Einwilligung.
Ein Widerruf wirkt ausschließlich für die Zukunft und berührt nicht die Rechtmäßigkeit der Datenverarbeitung, die vor dem Widerruf auf einer gültigen Rechtsgrundlage erfolgt ist.
Soweit die Verarbeitung personenbezogener Daten von Personen unter 16 Jahren auf einer Einwilligung beruht, ist die Zustimmung eines Elternteils oder gesetzlichen Vertreters erforderlich.
4. Anforderungen an externe Auftragsverarbeiter
Werden personenbezogene Daten durch externe Dienstleister verarbeitet, müssen diese die geltenden datenschutzrechtlichen Anforderungen einhalten.
Zu den möglichen Dienstleistern zählen insbesondere:
-
Logistik- und Versandunternehmen;
-
Kundendienst- und Supportdienstleister;
-
Hosting-, Infrastruktur- und Technologiedienstleister.
Externe Verarbeiter sind verpflichtet:
-
personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen oder schriftlicher Genehmigungen zu verarbeiten;
-
angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen;
-
bei der Bearbeitung von Betroffenenanfragen mitzuwirken;
-
Datenschutzverletzungen unverzüglich zu melden;
-
erforderliche Nachweise über Datenverarbeitungstätigkeiten zu führen.
Soweit gesetzlich vorgeschrieben, haben die betreffenden Organisationen oder Dienstleister einen Datenschutzbeauftragten zu benennen und die jeweils geltenden Meldepflichten gegenüber den zuständigen Datenschutzaufsichtsbehörden zu erfüllen.
5. Internationale Datenübermittlungen
Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt, sind geeignete Schutzmaßnahmen sicherzustellen, damit ein angemessenes Datenschutzniveau gewährleistet bleibt.
Hierfür können insbesondere folgende Mechanismen eingesetzt werden:
-
Angemessenheitsbeschlüsse der Europäischen Kommission;
-
Standardvertragsklauseln (SCC);
-
Verschlüsselungstechnologien;
-
Zugriffsbeschränkungen und Berechtigungskonzepte;
-
weitere geeignete technische und organisatorische Schutzmaßnahmen.
6. Aufsicht und mögliche Sanktionen
Die Einhaltung datenschutzrechtlicher Vorschriften unterliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörden.
Diese Behörden sind insbesondere befugt:
-
Prüfungen und Kontrollen durchzuführen;
-
Audits und Untersuchungen anzuordnen;
-
die Einschränkung, Aussetzung oder Beendigung rechtswidriger Verarbeitungsvorgänge zu verlangen;
-
gesetzlich vorgesehene Verwaltungsmaßnahmen zu ergreifen.
Nach den Bestimmungen der DSGVO können Verstöße je nach Art und Schwere des Verstoßes mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.
7. Verpflichtung zum Datenschutz
Wir verpflichten uns zu einem verantwortungsvollen und transparenten Umgang mit personenbezogenen Daten.
Zu unseren Grundsätzen gehören insbesondere:
-
die Wahrung der Kontrollrechte der Nutzer über ihre personenbezogenen Daten;
-
die Bereitstellung transparenter und nachvollziehbarer Verarbeitungsprozesse;
-
die fortlaufende Verbesserung datenschutzbezogener Sicherheitsmaßnahmen;
-
die Reduzierung datenschutzrechtlicher Risiken durch angemessene Schutzvorkehrungen;
-
die Sicherstellung von Vertraulichkeit, Integrität und Sicherheit personenbezogener Daten.
Sämtliche Verarbeitungsaktivitäten erfolgen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie allen einschlägigen gesetzlichen Datenschutzvorschriften.