DSGVO
1. Anwendungsbereich
Diese Informationen gelten für sämtliche Verarbeitungsvorgänge personenbezogener Daten, die Personen in Deutschland betreffen.
Der Anwendungsbereich umfasst insbesondere Fälle, in denen:
-
Waren oder Dienstleistungen für Nutzer in Deutschland angeboten oder bereitgestellt werden;
-
Verhaltensweisen von Nutzern in Deutschland analysiert, beobachtet oder ausgewertet werden.
Die nachstehenden Regelungen finden auch dann Anwendung, wenn die eigentliche Datenverarbeitung außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.
Erfasst werden sowohl:
-
elektronisch gespeicherte personenbezogene Daten;
-
personenbezogene Informationen, die in strukturierten physischen Akten oder Dokumentationssystemen verwaltet werden.
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter den Geltungsbereich dieser Bestimmungen.
2. Grundlegende Anforderungen an die Datenverarbeitung
Jede Verarbeitung personenbezogener Daten erfolgt unter Beachtung anerkannter Datenschutzgrundsätze.
2.1 Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten werden ausschließlich auf einer zulässigen rechtlichen Grundlage verarbeitet.
Betroffene Personen erhalten verständliche und transparente Informationen über Art, Umfang und Zweck der jeweiligen Verarbeitung.
2.2 Zweckbindung
Daten dürfen ausschließlich für zuvor festgelegte, eindeutig bestimmte und rechtmäßige Zwecke verarbeitet werden.
Eine Nutzung für andere Zwecke erfolgt nicht ohne entsprechende rechtliche Grundlage.
2.3 Datenminimierung
Es werden nur diejenigen personenbezogenen Daten erhoben und verarbeitet, die zur Erreichung des jeweiligen Zwecks erforderlich sind.
2.4 Richtigkeit der Daten
Es werden angemessene Maßnahmen getroffen, um sicherzustellen, dass personenbezogene Daten korrekt, vollständig und möglichst aktuell sind.
2.5 Begrenzung der Speicherdauer
Personenbezogene Daten werden nur so lange aufbewahrt, wie dies zur Erfüllung des jeweiligen Verarbeitungszwecks oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.
2.6 Integrität und Vertraulichkeit
Geeignete technische und organisatorische Maßnahmen werden eingesetzt, um personenbezogene Daten vor unbefugtem Zugriff, Offenlegung, Veränderung, Verlust oder missbräuchlicher Nutzung zu schützen.
3. Rechte betroffener Personen
Betroffene Personen verfügen gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) über verschiedene Datenschutzrechte.
Hierzu gehören insbesondere:
-
Recht auf Information über die Datenverarbeitung;
-
Recht auf Auskunft über gespeicherte personenbezogene Daten;
-
Recht auf Berichtigung unrichtiger Daten;
-
Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“);
-
Recht auf Einschränkung der Verarbeitung;
-
Recht auf Widerspruch gegen bestimmte Verarbeitungsvorgänge;
-
Recht auf Datenübertragbarkeit;
-
Recht auf Widerruf einer erteilten Einwilligung.
Der Widerruf einer Einwilligung wirkt ausschließlich für die Zukunft und berührt nicht die Rechtmäßigkeit bereits zuvor erfolgter Verarbeitungsvorgänge.
Soweit die Verarbeitung personenbezogener Daten von Personen unter 16 Jahren auf einer Einwilligung beruht, ist die Zustimmung eines Elternteils oder gesetzlichen Vertreters erforderlich.
4. Anforderungen an Auftragsverarbeiter und Dienstleister
Werden personenbezogene Daten im Auftrag durch externe Dienstleister verarbeitet, müssen diese die jeweils geltenden Datenschutzanforderungen einhalten.
Zu den möglichen Empfängern oder Auftragsverarbeitern gehören insbesondere:
-
Logistik- und Versanddienstleister;
-
Anbieter von Kundenserviceleistungen;
-
Hosting-, Infrastruktur- und technische Serviceanbieter.
Externe Dienstleister sind verpflichtet:
-
personenbezogene Daten ausschließlich auf Grundlage dokumentierter schriftlicher Weisungen zu verarbeiten;
-
angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen;
-
bei der Bearbeitung datenschutzbezogener Anfragen betroffener Personen mitzuwirken;
-
Datenschutzverletzungen unverzüglich zu melden;
-
erforderliche Nachweise und Dokumentationen über Verarbeitungstätigkeiten zu führen.
Soweit gesetzlich vorgeschrieben, können betroffene Organisationen oder Dienstleister verpflichtet sein, einen Datenschutzbeauftragten zu benennen und gegenüber den zuständigen Datenschutzaufsichtsbehörden entsprechende Meldepflichten zu erfüllen.
5. Datenübermittlungen in Drittländer
Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt, müssen geeignete Schutzmechanismen vorhanden sein, um ein angemessenes Datenschutzniveau sicherzustellen.
Hierfür können insbesondere folgende Maßnahmen eingesetzt werden:
-
Angemessenheitsbeschlüsse der Europäischen Kommission;
-
Standardvertragsklauseln (SCC);
-
Verschlüsselungsverfahren;
-
Zugriffsbeschränkungen und Berechtigungskonzepte;
-
weitere geeignete technische und organisatorische Sicherheitsmaßnahmen.
6. Aufsicht und rechtliche Folgen von Verstößen
Die Einhaltung datenschutzrechtlicher Anforderungen unterliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörden.
Diese Behörden können im Rahmen ihrer gesetzlichen Befugnisse unter anderem:
-
Kontrollen, Untersuchungen und Audits durchführen;
-
die Einschränkung, Aussetzung oder Beendigung rechtswidriger Verarbeitungsvorgänge anordnen;
-
verwaltungsrechtliche Maßnahmen und Sanktionen verhängen.
Nach Maßgabe der DSGVO können Datenschutzverstöße mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.
7. Verpflichtung zum Datenschutz und zur Compliance
Wir verpflichten uns zu einem verantwortungsvollen und rechtskonformen Umgang mit personenbezogenen Daten.
Hierzu gehört insbesondere:
-
die Achtung der Rechte und Entscheidungsmöglichkeiten betroffener Personen;
-
die Bereitstellung transparenter und nachvollziehbarer Verarbeitungsprozesse;
-
die fortlaufende Verbesserung von Datenschutz- und Sicherheitsmaßnahmen;
-
die Umsetzung angemessener Maßnahmen zur Verringerung datenschutzbezogener Risiken;
-
der Schutz der Vertraulichkeit, Integrität und Sicherheit personenbezogener Daten.
Sämtliche Verarbeitungsvorgänge erfolgen unter Beachtung der Datenschutz-Grundverordnung (DSGVO) sowie aller jeweils anwendbaren gesetzlichen Datenschutzbestimmungen.