DSGVO
1. Anwendungsbereich dieser Bestimmungen
Diese Hinweise gelten für sämtliche Verarbeitungsvorgänge personenbezogener Daten, die deutsche Nutzer betreffen.
Die Regelungen finden insbesondere Anwendung, wenn:
-
Waren oder Dienstleistungen Personen in Deutschland angeboten werden;
-
Aktivitäten, Verhaltensweisen oder Nutzungsmuster deutscher Nutzer analysiert, beobachtet oder bewertet werden.
Die Anwendbarkeit dieser Bestimmungen besteht unabhängig davon, ob die eigentliche Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt, sofern personenbezogene Daten von Nutzern in Deutschland betroffen sind.
Erfasst werden sowohl:
-
elektronisch gespeicherte personenbezogene Daten,
-
als auch personenbezogene Informationen, die in strukturierten Papierarchiven aufbewahrt werden.
Verarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen, fallen nicht unter den Geltungsbereich dieser Hinweise.
2. Grundsätze der Verarbeitung personenbezogener Daten
Jede Verarbeitung personenbezogener Daten erfolgt unter Beachtung der grundlegenden Datenschutzprinzipien.
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten werden ausschließlich auf einer zulässigen Rechtsgrundlage verarbeitet. Betroffene Personen erhalten verständliche und nachvollziehbare Informationen über die jeweiligen Verarbeitungsvorgänge.
Zweckbindung
Daten werden nur für eindeutig festgelegte und rechtmäßige Zwecke erhoben und verarbeitet.
Datenminimierung
Es werden ausschließlich diejenigen personenbezogenen Daten verarbeitet, die für den jeweiligen Verarbeitungszweck erforderlich sind.
Richtigkeit der Daten
Angemessene Maßnahmen werden getroffen, um personenbezogene Daten korrekt, vollständig und aktuell zu halten.
Begrenzung der Speicherdauer
Die Speicherung erfolgt nur für den Zeitraum, der zur Erfüllung des jeweiligen Zwecks oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.
Integrität und Vertraulichkeit
Technische und organisatorische Sicherheitsmaßnahmen dienen dazu, personenbezogene Daten vor unbefugtem Zugriff, Offenlegung, Veränderung, Verlust oder missbräuchlicher Verwendung zu schützen.
3. Rechte betroffener Personen
Nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) stehen betroffenen Personen verschiedene Datenschutzrechte zu.
Hierzu gehören insbesondere:
-
Recht auf Information über die Datenverarbeitung,
-
Recht auf Auskunft über gespeicherte personenbezogene Daten,
-
Recht auf Berichtigung unrichtiger Daten,
-
Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“),
-
Recht auf Einschränkung der Verarbeitung,
-
Recht auf Widerspruch gegen bestimmte Verarbeitungen,
-
Recht auf Datenübertragbarkeit,
-
Recht auf Widerruf einer erteilten Einwilligung.
Ein Widerruf wirkt ausschließlich für zukünftige Verarbeitungen und berührt nicht die Rechtmäßigkeit bereits zuvor erfolgter Datenverarbeitungen.
Soweit die Verarbeitung personenbezogener Daten von Personen unter 16 Jahren auf einer Einwilligung beruht, ist die Zustimmung eines Elternteils oder gesetzlichen Vertreters erforderlich.
4. Anforderungen an Auftragsverarbeiter und externe Dienstleister
Werden personenbezogene Daten durch externe Dienstleister oder andere Auftragsverarbeiter verarbeitet, sind diese zur Einhaltung der jeweils geltenden Datenschutzanforderungen verpflichtet.
Zu den möglichen Dienstleistern können insbesondere gehören:
-
Logistik- und Versandunternehmen,
-
Anbieter von Kundenserviceleistungen,
-
Hosting-, System- und technische Serviceanbieter.
Externe Auftragsverarbeiter sind verpflichtet:
-
personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen oder schriftlicher Beauftragungen zu verarbeiten,
-
geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen,
-
bei der Bearbeitung von Datenschutzanfragen betroffener Personen zu unterstützen,
-
Datenschutzverletzungen unverzüglich zu melden,
-
erforderliche Dokumentationen und Nachweise über Verarbeitungstätigkeiten vorzuhalten.
Soweit gesetzlich vorgeschrieben, haben betroffene Organisationen oder Dienstleister einen Datenschutzbeauftragten zu benennen und bestehende Meldepflichten gegenüber den zuständigen Datenschutzaufsichtsbehörden zu erfüllen.
5. Internationale Datenübermittlungen
Werden personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen, sind geeignete Schutzmaßnahmen sicherzustellen, um ein angemessenes Datenschutzniveau zu gewährleisten.
Hierfür können insbesondere folgende Mechanismen eingesetzt werden:
-
Angemessenheitsbeschlüsse der Europäischen Kommission,
-
Standardvertragsklauseln (SCC),
-
Verschlüsselungsverfahren,
-
Zugriffskontrollen und Berechtigungskonzepte,
-
weitere geeignete technische und organisatorische Schutzmaßnahmen.
6. Aufsicht und rechtliche Folgen bei Verstößen
Die Einhaltung datenschutzrechtlicher Vorschriften unterliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörden.
Im Rahmen ihrer gesetzlichen Befugnisse können Aufsichtsbehörden insbesondere:
-
Prüfungen und Kontrollen durchführen,
-
Audits verlangen oder anordnen,
-
die Einschränkung, Aussetzung oder Beendigung rechtswidriger Verarbeitungsvorgänge verlangen,
-
gesetzlich vorgesehene Verwaltungsmaßnahmen ergreifen.
Nach den Bestimmungen der DSGVO können Datenschutzverstöße mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.
7. Verpflichtung zum Datenschutz
Wir verpflichten uns zu einem verantwortungsvollen Umgang mit personenbezogenen Daten und zur kontinuierlichen Einhaltung datenschutzrechtlicher Anforderungen.
Dies umfasst insbesondere:
-
die Achtung der Rechte betroffener Personen,
-
die Förderung transparenter und nachvollziehbarer Datenverarbeitungsprozesse,
-
die fortlaufende Verbesserung bestehender Datenschutzmaßnahmen,
-
die Umsetzung angemessener Maßnahmen zur Verringerung von Datenschutz- und Privatsphärenrisiken,
-
den Schutz der Vertraulichkeit, Integrität und Sicherheit personenbezogener Daten.
Sämtliche Verarbeitungsvorgänge erfolgen unter Beachtung der Datenschutz-Grundverordnung (DSGVO) sowie aller weiteren anwendbaren gesetzlichen Datenschutzbestimmungen.