Transparenzverpflichtung | Rechtliche Grundlagen | Betroffenenrechte | Sicherheitsmaßnahmen
Diese Datenschutzerklärung entspricht GDPR Art. 13-14 (Transparenzverpflichtung) und regelt die Verarbeitung personenbezogener Daten durch [Unternehmensname]. Rechtsrahmen: GDPR 2016/679 (Datenschutz-Grundverordnung), BDSG (Bundesdatenschutzgesetz), TMG §13 (Telemediengesetz - Impressum).
Verantwortlicher (Controller): Per GDPR Art. 4(7) (Definition):
• Name: [Unternehmensname]
• Adresse: [Straße, Postleitzahl, Stadt]
• E-Mail (Datenschutz): [datenschutz@domain.de]
• Telefon: [___________]
Datenschutzbeauftragter (DPO): Per GDPR Art. 37-39 (Appointment):
☐ Datenschutzbeauftragter bestellt: [Name / E-Mail]
☐ Nicht erforderlich (Unternehmen <250 Mitarbeiter, Verarbeitung nicht Kerntätigkeit)
Kategorien erhobener Daten: Per GDPR Art. 4(1) (Personal Data Definition):
• Identifikationsdaten: Name, Vorname, Adresse, Geschlecht per Art. 4(1)
• Kommunikationsdaten: E-Mail-Adresse, Telefon, Messaging-Daten
• Nutzungsdaten: IP-Adresse, Browser-Typ, Betriebssystem, besuchte Seiten, Verweildauer per Art. 4(14) (Profiling)
• Standortdaten: GPS, Geolokalisation
• Gerätedaten: Cookie-IDs, Device-Identifikatoren
• Transaktionsdaten: Zahlungsinformationen (verschlüsselt) per BDSG §4
• Cookies & Tracking: Session-Cookies, Analyse-Cookies, Marketing-Cookies
Lawful Basis (Rechtsgrundlagen) für Datenverarbeitung: Per GDPR Art. 6 (Lawfulness of Processing):
Wir verarbeiten Ihre Daten auf Grundlage von:
☑ Art. 6(1)(a) - Consent (Einwilligung): Ihre explizite Zustimmung per Checkbox per Art. 7 (Conditions for Consent)
☑ Art. 6(1)(b) - Contract Fulfillment: Vertragserfüllung (Newsletter-Bestellung, Kaufvertrag) per Art. 6(1)(b)
☑ Art. 6(1)(c) - Legal Obligation: Rechtliche Verpflichtung (Buchhaltung per HGB §257 (Aufbewahrungspflicht), Steuerpflicht per AO §90 (Kassenfuhrung))
☑ Art. 6(1)(f) - Legitimate Interests: Berechtigte Interessen (Website-Betrieb, Sicherheit, Fraud-Prevention) per Art. 6(1)(f) + Recital 47
4.1 Empfänger (Wer erhält Ihre Daten): Per GDPR Art. 4(9) (Recipient):
Ihre Daten werden NICHT an Dritte weitergegeben, AUSSER:
• Ausdrückliche Zustimmung Sie haben dieser zugestimmt per Art. 7 (Conditions for Consent)
• Rechtliche Verpflichtung (Gericht, Strafverfolgungsbehörde, Finanzamt) per Art. 6(1)(c)
• Service Provider (Auftragsverarbeiter mit AVV) per Art. 28 (Processor Agreement)
4.2 Internationale Transfers (USA, Drittländer): Per GDPR Art. 44-49 (Transfers):
Transfers in Nicht-EU-Länder erfolgen nur mit:
• EU-Angemessenheitsbeschlusses (z.B. UK, Japan) per Art. 45 (Adequacy)
• Standard Contractual Clauses (SCCs) per Art. 46(2)(c)
• ACHTUNG (Schrems II): USA-Transfers erfordern zusätzliche Sicherheitsmaßnahmen (End-to-End Verschlüsselung) per Art. 49(1)(d) + Recital 108
Wie lange speichern wir Ihre Daten: Per GDPR Art. 5(1)(e) (Storage Limitation):
• Newsletter-Kontakte: Solange Sie Newsletter abonniert haben + 30 Tage nach Abmeldung per Art. 5(1)(e)
• Transaktionsdaten (Buchhaltung): 10 Jahre (gesetzliche Aufbewahrungspflicht per HGB §257(1))
• Cookies (Analytics): Max. 2 Jahre per GDPR Art. 5(1)(e)
• Log-Daten (Sicherheit): 30 Tage per Art. 32 (Security)
• Kontaktformular-Daten: 6 Monate nach letzter Kontaktanfrage per Art. 5(1)(e)
Sie haben folgende BINDENDEN Rechte: Per GDPR Art. 12-23 (Data Subject Rights):
• Auskunftsrecht (Art. 15): Welche Daten speichern wir über Sie? Kopie anfordern per Art. 15(1)
• Berichtigungsrecht (Art. 16): Falsche Daten korrigieren per Art. 16
• Löschungsrecht/Recht auf Vergessenwerden (Art. 17): Daten löschen (unter Bedingungen) per Art. 17(1)
• Einschränkungsrecht (Art. 18): Verarbeitung einschränken per Art. 18(1)
• Datenportabilitätsrecht (Art. 20): Daten in maschinenlesbarem Format exportieren per Art. 20(1)
• Widerspruchsrecht (Art. 21): Verarbeitung widersprechen (z.B. Marketing) per Art. 21(1)
• Rechte automatisierte Entscheidungsfindung (Art. 22): Nicht allein automatisierter Entscheidung unterliegen per Art. 22(1)
Antragsfristen: Wir antworten innerhalb [30 Tage] per Art. 12(3)
Technische & organisatorische Maßnahmen (TOM): Per GDPR Art. 32 (Security of Processing):
✓ Verschlüsselung: HTTPS/TLS 1.2+ für Datenübertragung per Art. 32(1)(b)
✓ Datensicherheit: AES-256 Verschlüsselung für Daten in Ruhe per Art. 32(1)(a)
✓ Zugriffskontrolle: Starke Passwörter (min. 12 Zeichen), Multi-Faktor-Authentifizierung per Art. 32(1)(b)
✓ Sicherheitsaudits: Regelmäßige Penetrationstests, Schwachstellen-Assessments per Art. 32(1)(a)
✓ Mitarbeiterschulung: DSGVO-Training für alle, die Daten verarbeiten per Art. 32(4)
✓ Backup & Wiederherstellung: Tägliche Backups, Notfallpläne per Art. 32(1)(c)
Was passiert bei einer Datenpanne: Per GDPR Art. 33-34 (Breach Notification):
• Interne Benachrichtigung: Wir informieren Datenschutzbehörde OHNE VERZÖGERUNG, spätestens 72 Stunden per Art. 33(1)
• Betroffenenbenachrichtigung: Sie erhalten Mitteilung bei hohem Risiko per Art. 34(1)
• Information: Natur der Panne, Folgen, Maßnahmen zur Risikominderung
Kontakt bei Fragen oder Beschwerden: Per GDPR Art. 77 (Right to Lodge Complaint):
1. Kontaktieren Sie uns: [datenschutz@domain.de]
2. Beschwerde bei Datenschutzbehörde: [Berliner Datenschutzbeauftragte / Datenschutzbehörde Ihres Landes] per Art. 77(1)