DSGVO
1. Anwendungsbereich
Diese Informationen gelten für sämtliche Verarbeitungen personenbezogener Daten, die Personen in Deutschland betreffen.
Die Regelungen finden insbesondere Anwendung, wenn:
-
Waren oder Dienstleistungen für Personen in Deutschland angeboten werden;
-
das Verhalten von Personen in Deutschland analysiert, beobachtet oder bewertet wird.
Die Bestimmungen gelten unabhängig davon, ob die eigentliche Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.
Erfasst werden sowohl:
-
personenbezogene Daten in elektronischen Systemen;
-
personenbezogene Informationen, die in strukturierten papierbasierten Akten oder Dokumentationssystemen gespeichert werden.
Nicht erfasst werden Datenverarbeitungen, die ausschließlich persönlichen oder familiären Zwecken dienen.
2. Grundlegende Anforderungen an die Datenverarbeitung
Jede Verarbeitung personenbezogener Daten erfolgt unter Beachtung der nachstehenden Datenschutzgrundsätze.
Rechtmäßigkeit, Fairness und Transparenz
Personenbezogene Daten dürfen nur auf einer zulässigen Rechtsgrundlage verarbeitet werden. Betroffene Personen erhalten dabei nachvollziehbare und transparente Informationen über die jeweilige Datenverarbeitung.
Zweckbindung
Die Verarbeitung erfolgt ausschließlich für eindeutig festgelegte, rechtmäßige und vorab definierte Zwecke.
Datenminimierung
Es werden nur diejenigen personenbezogenen Daten erhoben und verarbeitet, die für den jeweiligen Verarbeitungszweck erforderlich sind.
Richtigkeit der Daten
Es werden angemessene Maßnahmen getroffen, um sicherzustellen, dass personenbezogene Daten sachlich richtig, vollständig und aktuell bleiben.
Begrenzung der Speicherdauer
Personenbezogene Daten werden nur solange aufbewahrt, wie dies zur Erreichung des jeweiligen Zwecks oder zur Erfüllung gesetzlicher Verpflichtungen notwendig ist.
Integrität und Vertraulichkeit
Durch geeignete technische und organisatorische Schutzmaßnahmen wird verhindert, dass personenbezogene Daten unbefugt eingesehen, offengelegt, verändert, verloren oder missbräuchlich verwendet werden.
3. Rechte betroffener Personen
Betroffene Personen verfügen gemäß der Datenschutz-Grundverordnung (DSGVO/GDPR) über folgende Rechte:
-
Recht auf Information über die Datenverarbeitung;
-
Recht auf Auskunft über gespeicherte personenbezogene Daten;
-
Recht auf Berichtigung unrichtiger Angaben;
-
Recht auf Löschung personenbezogener Daten („Recht auf Vergessenwerden“);
-
Recht auf Einschränkung der Verarbeitung;
-
Recht auf Widerspruch gegen bestimmte Verarbeitungen;
-
Recht auf Datenübertragbarkeit;
-
Recht auf Widerruf einer erteilten Einwilligung.
Der Widerruf einer Einwilligung wirkt ausschließlich für die Zukunft und berührt nicht die Rechtmäßigkeit von Verarbeitungsvorgängen, die vor dem Widerruf rechtmäßig durchgeführt wurden.
Soweit die Datenverarbeitung bei Personen unter 16 Jahren auf einer Einwilligung beruht, ist die Zustimmung eines Elternteils oder gesetzlichen Vertreters erforderlich.
4. Anforderungen an externe Auftragsverarbeiter
Werden personenbezogene Daten durch externe Dienstleister oder andere beauftragte Stellen verarbeitet, sind diese zur Einhaltung der geltenden Datenschutzanforderungen verpflichtet.
Zu den möglichen Empfängern oder Dienstleistern gehören insbesondere:
-
Logistik- und Versandunternehmen;
-
Anbieter von Kundenserviceleistungen;
-
Hosting-, Infrastruktur- und technische Serviceanbieter.
Diese Stellen sind verpflichtet:
-
personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen oder schriftlicher Beauftragungen zu verarbeiten;
-
geeignete technische und organisatorische Sicherheitsmaßnahmen einzusetzen;
-
bei der Bearbeitung datenschutzrechtlicher Anfragen betroffener Personen mitzuwirken;
-
Datenschutzverletzungen unverzüglich zu melden;
-
erforderliche Dokumentationen und Verzeichnisse von Verarbeitungstätigkeiten zu führen.
Soweit gesetzlich vorgeschrieben, haben die betreffenden Organisationen oder Dienstleister einen Datenschutzbeauftragten zu benennen und die erforderlichen Mitteilungen gegenüber den zuständigen Datenschutzaufsichtsbehörden vorzunehmen.
5. Übermittlung personenbezogener Daten in Drittländer
Werden personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen, muss ein angemessenes Datenschutzniveau gewährleistet sein.
Hierfür können insbesondere folgende Schutzmechanismen eingesetzt werden:
-
Angemessenheitsbeschlüsse der Europäischen Kommission;
-
Standardvertragsklauseln (SCC);
-
Verschlüsselungstechnologien;
-
Zugriffsbeschränkungen und Kontrollmechanismen;
-
weitere geeignete technische und organisatorische Schutzmaßnahmen.
6. Aufsicht und mögliche Sanktionen
Die Einhaltung datenschutzrechtlicher Vorgaben unterliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörden.
Diese Behörden sind insbesondere berechtigt:
-
Prüfungen und Kontrollen durchzuführen;
-
Audits und Untersuchungen einzuleiten;
-
die Aussetzung, Einschränkung oder Beendigung nicht rechtskonformer Datenverarbeitungen anzuordnen;
-
gesetzlich vorgesehene Verwaltungsmaßnahmen zu ergreifen.
Nach den Bestimmungen der DSGVO können Verstöße je nach Art und Schwere des Verstoßes mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wobei der jeweils höhere Betrag maßgeblich ist.
7. Unser Bekenntnis zum Datenschutz
Wir verpflichten uns zu einem verantwortungsvollen und rechtskonformen Umgang mit personenbezogenen Daten.
Dabei verfolgen wir insbesondere folgende Grundsätze:
-
Wahrung und Förderung der Rechte betroffener Personen;
-
transparente und nachvollziehbare Verarbeitung personenbezogener Daten;
-
kontinuierliche Verbesserung bestehender Datenschutzmaßnahmen;
-
Umsetzung angemessener Maßnahmen zur Verringerung von Datenschutz- und Privatsphärenrisiken;
-
Schutz der Vertraulichkeit, Integrität und Sicherheit personenbezogener Informationen.
Alle Verarbeitungen personenbezogener Daten erfolgen im Einklang mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO/GDPR) sowie den jeweils anwendbaren gesetzlichen Datenschutzvorschriften.