Datenschutzbestimmungen gemäß GDPR

Geltungsbereich
Diese Regelungen betreffen die Verarbeitung personenbezogener Daten von Personen in Deutschland.
Sie finden Anwendung, wenn Waren oder Dienstleistungen an Personen in Deutschland angeboten werden oder deren Verhalten beobachtet wird, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Erfasst werden sowohl elektronische Daten als auch strukturierte Daten in Papierform.
Rein persönliche oder familiäre Tätigkeiten fallen nicht unter diesen Anwendungsbereich.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Einhaltung folgender Prinzipien zu erfolgen:
Rechtmäßigkeit, Fairness und Transparenz
Zweckbindung an eindeutig definierte Ziele
Datenminimierung sowie Sicherstellung der Richtigkeit
Begrenzung der Speicherdauer
Wahrung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte der betroffenen Personen
Betroffene Personen verfügen über folgende Rechte:
Recht auf Information, Auskunft und Berichtigung
Recht auf Löschung (Recht auf Vergessenwerden)
Recht auf Einschränkung der Verarbeitung sowie Widerspruch
Recht auf Datenübertragbarkeit
Recht auf Widerruf einer erteilten Einwilligung
Für Personen unter 15 Jahren ist eine Zustimmung der Eltern oder Erziehungsberechtigten erforderlich.

Pflichten von Auftragsverarbeitern
Eingesetzte Dienstleister, beispielsweise in den Bereichen Logistik, Kundendienst oder Hosting, sind verpflichtet:
Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen durchzuführen
Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
Bei der Wahrnehmung von Betroffenenrechten unterstützend mitzuwirken
Verletzungen des Schutzes personenbezogener Daten unverzüglich zu melden
Verzeichnisse über Verarbeitungstätigkeiten zu führen
Sofern erforderlich, eine Datenschutzbeauftragte Person zu benennen und die zuständige Aufsichtsbehörde in Deutschland zu informieren.

Datenübermittlung
Bei Übertragungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist ein angemessenes Schutzniveau sicherzustellen, beispielsweise durch:
Angemessenheitsbeschlüsse der Europäischen Kommission
Standardvertragsklauseln (SCC)
Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde (BfDI) ist befugt:
Kontrollen und Prüfungen durchzuführen
Unzulässige Verarbeitungen auszusetzen oder zu untersagen
Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist

Einhaltung der Vorschriften
Es wird sichergestellt, dass betroffene Personen die Kontrolle über ihre personenbezogenen Daten behalten.
Die Datenverarbeitung erfolgt nachvollziehbar und unter Berücksichtigung der geltenden rechtlichen Anforderungen.
Zum Schutz der Privatsphäre werden geeignete Maßnahmen zur Minimierung von Risiken eingesetzt.