Datenschutz gemäß DSGVO

1. Anwendungsbereich

• Diese Bestimmungen gelten für die Verarbeitung personenbezogener Daten von Nutzern mit Bezug zu Deutschland.

• Die Regelung erfasst Situationen, in denen Waren oder Dienstleistungen für Personen in Deutschland bereitgestellt werden oder deren Verhalten beobachtet wird, auch wenn die eigentliche Datenverarbeitung außerhalb der Europäischen Union erfolgt.

• Sie betrifft sowohl elektronisch gespeicherte Informationen als auch strukturierte papierbasierte Datensammlungen.

• Tätigkeiten, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diese Vorschriften.

2. Grundsätze der Datenverarbeitung

Die Verarbeitung personenbezogener Daten hat nach folgenden Maßstäben zu erfolgen:

• Rechtmäßigkeit, Fairness und transparente Information der betroffenen Personen.

• Verwendung der Daten nur für klar festgelegte und legitime Zwecke.

• Beschränkung auf das erforderliche Mindestmaß an Informationen sowie Sicherstellung der Richtigkeit der Daten.

• Speicherung nur für einen begrenzten Zeitraum, der für den jeweiligen Zweck erforderlich ist.

• Gewährleistung von Integrität und Vertraulichkeit, einschließlich Schutz vor unbefugtem Zugriff, Veränderung oder Offenlegung.

3. Rechte der betroffenen Personen

Personen, deren Daten verarbeitet werden, können insbesondere folgende Rechte ausüben:

• Recht auf Information über die Verarbeitung sowie Auskunft über gespeicherte Daten und deren Berichtigung.

• Anspruch auf Löschung personenbezogener Informationen („Recht auf Vergessenwerden“).

• Möglichkeit, die Verarbeitung einzuschränken oder ihr zu widersprechen.

• Anspruch auf Datenübertragbarkeit in einem strukturierten Format.

• Widerruf einer zuvor erteilten Einwilligung zur Datenverarbeitung.

• Für Personen unter 15 Jahren ist eine Zustimmung durch Eltern oder gesetzliche Vertreter erforderlich.

4. Pflichten von Auftragsverarbeitern

Dienstleister oder Partner, die Daten im Auftrag verarbeiten (beispielsweise im Bereich Logistik, Kundendienst oder Hosting), sind verpflichtet:

• ausschließlich nach dokumentierten Weisungen zu handeln,

• geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen,

• bei der Bearbeitung von Anfragen betroffener Personen mitzuwirken,

• Vorfälle mit Bezug zu Datenschutzverletzungen unverzüglich zu melden,

• Aufzeichnungen über Verarbeitungstätigkeiten zu führen.

Falls erforderlich, ist eine verantwortliche Person für Datenschutz zu benennen und eine entsprechende Meldung an die zuständige deutsche Aufsichtsbehörde vorzunehmen.

5. Internationale Datenübermittlung

Bei einer Übertragung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen. Dazu können unter anderem folgende Mechanismen eingesetzt werden:

• Angemessenheitsbeschlüsse der Europäischen Kommission,

• Standardvertragsklauseln der Europäischen Union (SCC),

• zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen.

6. Aufsicht und mögliche Sanktionen

Die zuständige deutsche Aufsichtsbehörde, darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), verfügt über Befugnisse wie:

• Durchführung von Prüfungen oder Kontrollen,

• Anordnung der Aussetzung oder Beendigung nicht konformer Datenverarbeitung,

• Verhängung von Geldbußen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

7. Umsetzung der Datenschutzanforderungen

Die Verarbeitung personenbezogener Daten erfolgt unter Berücksichtigung der folgenden Ziele:

• Sicherstellung, dass betroffene Personen Kontrolle über ihre eigenen Daten ausüben können.

• Transparente und nachvollziehbare Verfahren im Umgang mit personenbezogenen Informationen.

• Anwendung geeigneter organisatorischer und technischer Maßnahmen zur Verringerung von Risiken für Privatsphäre und Datensicherheit.