DSGVO
1. Anwendungsbereich dieser Datenschutzgrundsätze
Diese Bestimmungen finden auf sämtliche Verarbeitungsvorgänge Anwendung, bei denen personenbezogene Daten von Personen in Deutschland betroffen sind.
Erfasst werden insbesondere Situationen, in denen:
-
Waren oder Dienstleistungen für Personen in Deutschland angeboten werden;
-
das Verhalten von Personen in Deutschland beobachtet, ausgewertet oder analysiert wird.
Die Anwendbarkeit dieser Regelungen besteht unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Maßgeblich ist, dass personenbezogene Daten von Nutzern in Deutschland verarbeitet werden.
Diese Grundsätze gelten sowohl für:
-
elektronisch gespeicherte personenbezogene Daten;
-
personenbezogene Informationen, die in strukturierten physischen Akten oder Dateisystemen geführt werden.
Verarbeitungsvorgänge, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter diese Bestimmungen.
2. Grundlegende Anforderungen an die Datenverarbeitung
Bei jeder Verarbeitung personenbezogener Daten sind die nachfolgenden Datenschutzprinzipien zu beachten.
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden. Betroffene Personen müssen verständliche und transparente Informationen über die jeweilige Datenverarbeitung erhalten.
Zweckbindung
Die Verarbeitung personenbezogener Informationen darf ausschließlich für zuvor festgelegte, eindeutig bestimmte und rechtmäßige Zwecke erfolgen.
Datenminimierung
Es werden nur diejenigen personenbezogenen Daten erhoben und verarbeitet, die zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich sind.
Richtigkeit der Daten
Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten korrekt, vollständig und aktuell bleiben.
Speicherbegrenzung
Personenbezogene Daten werden nur für den Zeitraum aufbewahrt, der für den jeweiligen Verarbeitungszweck oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
Integrität und Vertraulichkeit
Geeignete technische und organisatorische Schutzmaßnahmen sind einzusetzen, um personenbezogene Daten vor unbefugtem Zugriff, Offenlegung, Manipulation, Verlust oder missbräuchlicher Nutzung zu schützen.
3. Rechte betroffener Personen
Betroffene Personen verfügen gemäß der Datenschutz-Grundverordnung (DSGVO) über umfangreiche Rechte hinsichtlich ihrer personenbezogenen Daten.
Hierzu gehören insbesondere:
-
das Recht auf Information über die Datenverarbeitung;
-
das Recht auf Auskunft über gespeicherte personenbezogene Daten;
-
das Recht auf Berichtigung unrichtiger Daten;
-
das Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“);
-
das Recht auf Einschränkung der Verarbeitung;
-
das Recht, einer Verarbeitung zu widersprechen;
-
das Recht auf Datenübertragbarkeit;
-
das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.
Der Widerruf einer Einwilligung wirkt ausschließlich für die Zukunft und berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
Soweit die Verarbeitung personenbezogener Daten von Personen unter 16 Jahren auf einer Einwilligung beruht, ist die Zustimmung der Eltern oder gesetzlichen Vertreter erforderlich.
4. Anforderungen an Auftragsverarbeiter und externe Dienstleister
Werden personenbezogene Daten durch externe Dienstleister oder sonstige Dritte verarbeitet, müssen diese die jeweils geltenden Datenschutzanforderungen einhalten.
Zu den möglichen Dienstleistern zählen insbesondere:
-
Logistik- und Versandunternehmen;
-
Anbieter von Kundenserviceleistungen;
-
Hosting-, Infrastruktur- und technische Serviceanbieter.
Externe Datenverarbeiter sind verpflichtet:
-
personenbezogene Daten ausschließlich auf Grundlage dokumentierter schriftlicher Weisungen oder Genehmigungen zu verarbeiten;
-
angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen;
-
bei der Bearbeitung datenschutzbezogener Anfragen betroffener Personen zu unterstützen;
-
Datenschutzverletzungen unverzüglich zu melden;
-
erforderliche Nachweise und Dokumentationen über Verarbeitungstätigkeiten zu führen.
Sofern gesetzlich vorgeschrieben, haben die betreffenden Organisationen oder Dienstleister einen Datenschutzbeauftragten zu benennen und bestehende Meldepflichten gegenüber den zuständigen Aufsichtsbehörden zu erfüllen.
5. Übermittlung personenbezogener Daten in Drittländer
Werden personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen, muss ein angemessenes Datenschutzniveau gewährleistet sein.
Hierfür können insbesondere folgende Schutzmechanismen eingesetzt werden:
-
Angemessenheitsbeschlüsse der Europäischen Kommission;
-
Standardvertragsklauseln (SCC);
-
Verschlüsselungstechnologien;
-
Zugriffskontrollen und Berechtigungssysteme;
-
sonstige geeignete technische und organisatorische Sicherheitsmaßnahmen.
6. Aufsicht und mögliche Sanktionen
Die Einhaltung datenschutzrechtlicher Anforderungen unterliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörden.
Im Rahmen ihrer gesetzlichen Befugnisse können die zuständigen Behörden insbesondere:
-
Prüfungen und Kontrollen durchführen;
-
Audits und Untersuchungen veranlassen;
-
die Einschränkung, Aussetzung oder Beendigung rechtswidriger Verarbeitungsvorgänge anordnen;
-
gesetzlich vorgesehene Verwaltungsmaßnahmen ergreifen.
Nach den Bestimmungen der DSGVO können Verstöße gegen datenschutzrechtliche Vorschriften mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.
7. Unser Bekenntnis zum Datenschutz
Wir verpflichten uns zu einem verantwortungsvollen und rechtskonformen Umgang mit personenbezogenen Daten.
Hierzu gehört insbesondere:
-
die Achtung der Kontroll- und Mitbestimmungsrechte betroffener Personen;
-
die Bereitstellung transparenter Verfahren zur Datenverarbeitung;
-
die fortlaufende Verbesserung bestehender Datenschutzmaßnahmen;
-
die Umsetzung angemessener Maßnahmen zur Verringerung von Datenschutz- und Sicherheitsrisiken;
-
der Schutz der Vertraulichkeit, Integrität und Sicherheit personenbezogener Daten.
Sämtliche Verarbeitungsvorgänge erfolgen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie den jeweils anwendbaren gesetzlichen Datenschutzvorschriften.