GDPR

Datenschutzrichtlinie gemäß GDPR und BDSG

1. Einleitung
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (GDPR) in Deutschland sowie in allen Mitgliedstaaten der Europäischen Union. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) angepasst.
Die Aufsicht, Beratung und Durchsetzung erfolgen durch den Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der Bundesländer.
Das deutsche Datenschutzsystem entspricht vollständig den Anforderungen der GDPR und wird durch nationale Vorschriften ergänzt, um einen umfassenden Schutz personenbezogener Daten sicherzustellen.

2. Anwendungsbereich
Die Datenschutzbestimmungen gelten für:
alle in Deutschland ansässigen Verantwortlichen (Verantwortlicher) und Auftragsverarbeiter (Auftragsverarbeiter);
Organisationen außerhalb Deutschlands, die Waren oder Dienstleistungen für Personen in Deutschland anbieten oder deren Verhalten überwachen.
Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet diese Regelung Anwendung, sobald personenbezogene Daten von Personen in Deutschland betroffen sind.
Erfasst werden sowohl automatisierte als auch nicht automatisierte Verarbeitungen im Rahmen eines Dateisystems. Rein persönliche oder familiäre Tätigkeiten sind hiervon ausgenommen.

3. Grundsätze der Datenverarbeitung
Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung muss auf einer klaren Rechtsgrundlage beruhen und transparent erfolgen.
Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verwendet werden.
Datenminimierung: Es werden nur die für den jeweiligen Zweck erforderlichen Daten erhoben.
Richtigkeit: Daten müssen korrekt und aktuell gehalten werden.
Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist.
Integrität und Vertraulichkeit: Es sind geeignete technische und organisatorische Maßnahmen zu treffen, um Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

4. Rechte der betroffenen Personen
Nach der GDPR und deutschem Recht haben betroffene Personen folgende Rechte:
Auskunftsrecht: Zugriff auf die eigenen personenbezogenen Daten und Informationen über deren Verarbeitung.
Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
Recht auf Löschung („Recht auf Vergessenwerden“): Löschung unter bestimmten Voraussetzungen.
Recht auf Einschränkung der Verarbeitung: Begrenzung der Datenverarbeitung in bestimmten Fällen.
Recht auf Datenübertragbarkeit: Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
Widerspruchsrecht: Widerspruch gegen die Verarbeitung aus berechtigtem Interesse oder im öffentlichen Interesse.
Rechte im Zusammenhang mit automatisierten Entscheidungen: Schutz vor ausschließlich automatisierten Entscheidungen einschließlich Profiling.

Für Minderjährige unter 16 Jahren gilt in Deutschland eine besondere Regelung: Die Verarbeitung personenbezogener Daten erfordert die Zustimmung der Eltern oder Erziehungsberechtigten und muss in verständlicher Sprache erfolgen.

5. Pflichten von Verantwortlichen und Auftragsverarbeitern
Auftragsverarbeiter dürfen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten.
Es sind angemessene technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen.
Unterstützung des Verantwortlichen bei der Einhaltung gesetzlicher Verpflichtungen, insbesondere bei der Bearbeitung von Anfragen betroffener Personen.
Im Falle einer Datenschutzverletzung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, damit dieser innerhalb von 72 Stunden Meldung bei der zuständigen Aufsichtsbehörde erstatten kann.
Verantwortliche müssen Verzeichnisse von Verarbeitungstätigkeiten führen und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung (DPIA) durchführen.
In bestimmten Fällen ist ein Datenschutzbeauftragter (DPO) zu benennen.

6. Internationale Datenübermittlung
Bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU muss ein angemessenes Datenschutzniveau gewährleistet sein, z. B. durch:
Angemessenheitsbeschlüsse der Europäischen Kommission;
Standardvertragsklauseln (SCCs);
andere nach der GDPR zulässige Mechanismen.

Nach dem Wegfall des „Privacy Shield“ am 16. Juli 2020 sind aktualisierte Standardvertragsklauseln (Stand 4. Juni 2021) oder andere geeignete Maßnahmen erforderlich.

7. Aufsicht und Durchsetzung
Die deutschen Datenschutzbehörden, einschließlich des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie der Landesdatenschutzbehörden, verfügen über weitreichende Befugnisse:
Verwarnungen und Anordnungen;
Einschränkung oder Verbot der Datenverarbeitung;
Verhängung von Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus können Einzelpersonen Anweisungen zur Verarbeitung ihrer Daten erteilen, einschließlich Regelungen für die Zeit nach ihrem Tod, sofern keine entgegenstehenden gesetzlichen Bestimmungen bestehen.

8. Kontakt
Bei Fragen zu dieser Datenschutzrichtlinie oder zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an unser Datenschutzteam per E-Mail.