GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verbindlich in Deutschland sowie in allen anderen Mitgliedstaaten der EU. Zur Umsetzung der DSGVO wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der DSGVO und ihrer nationalen Ausführungsvorschriften zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der DSGVO und ergänzt diese durch spezifische nationale Regelungen, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

II. Anwendungsbereich

Die deutschen Umsetzungsvorschriften zur DSGVO finden Anwendung auf:

Alle in Deutschland niedergelassenen Verantwortlichen oder Auftragsverarbeiter;

Unternehmen oder Organisationen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands überwachen.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Verarbeitungen als auch nicht automatisierte Verarbeitungen, sofern diese Teil eines Dateisystems sind. Rein persönliche oder familiäre Tätigkeiten fallen nicht unter den Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Datenverarbeitung bedarf einer klaren gesetzlichen Grundlage und muss der betroffenen Person hinsichtlich Zweck und Art der Verarbeitung transparent mitgeteilt werden.

Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass die Daten sachlich richtig, vollständig und auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Verarbeitungszwecks erforderlich ist; anschließend sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

IV. Rechte der betroffenen Personen

Nach der DSGVO und deutschem Recht stehen betroffenen Personen folgende Rechte zu:

Recht auf Information und Auskunft: Anspruch auf transparente Information sowie auf Zugang zu den über sie gespeicherten Daten und deren Verarbeitung.

Recht auf Berichtigung: Anspruch auf Korrektur unrichtiger oder unvollständiger Daten.

Recht auf Löschung (Recht auf Vergessenwerden): Anspruch auf Löschung personenbezogener Daten, sofern die gesetzlichen Voraussetzungen erfüllt sind.

Recht auf Einschränkung der Verarbeitung: Möglichkeit, unter bestimmten Voraussetzungen die weitere Verarbeitung der Daten einzuschränken.

Recht auf Datenübertragbarkeit: Anspruch, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht: Recht, der Verarbeitung auf Grundlage berechtigter Interessen oder im öffentlichen Interesse zu widersprechen.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling besteht das Recht auf Information, Widerspruch sowie auf menschliches Eingreifen.

Für Minderjährige unter 16 Jahren gilt nach deutschem Ausführungsrecht eine besondere Regelung: Die Verarbeitung ihrer Daten setzt die Zustimmung der Eltern oder Erziehungsberechtigten voraus, und Informationen müssen in verständlicher Sprache bereitgestellt werden.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten.

Es sind geeignete technische und organisatorische Maßnahmen zu implementieren, um ein angemessenes Schutzniveau zu gewährleisten.

Auftragsverarbeiter müssen den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß DSGVO unterstützen, insbesondere bei der Bearbeitung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren; dieser ist verpflichtet, die Verletzung innerhalb von 72 Stunden dem BfDI zu melden.

Verantwortliche müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu registrieren.

VI. Internationale Datenübermittlungen

Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt, muss der Verantwortliche sicherstellen, dass dort ein angemessenes Datenschutzniveau besteht. Dies kann insbesondere erfolgen durch:

Einen Angemessenheitsbeschluss der Europäischen Kommission;

Den Abschluss von Standardvertragsklauseln (SCCs) der Europäischen Union;

Andere nach der DSGVO zulässige Übermittlungsmechanismen.

Seit dem Wegfall des „Privacy Shield“ am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere rechtlich zulässige Instrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden, bestehend aus dem BfDI und den Landesdatenschutzbehörden, verfügen über weitreichende Kontroll- und Durchsetzungsbefugnisse:

Sie können Verwarnungen aussprechen oder Anordnungen zur Abhilfe erlassen;

Die Verarbeitung personenbezogener Daten einschränken oder untersagen;

Erhebliche Geldbußen verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, verbindliche Anweisungen zur Verarbeitung ihrer Daten zu erteilen, einschließlich Regelungen für den Umgang mit ihren Daten nach dem Tod. Liegt keine ausdrückliche Anordnung vor, muss die Verarbeitung den gesetzlichen Bestimmungen entsprechen.

Der deutsche Durchsetzungsrahmen der DSGVO dient dem Schutz der Rechte natürlicher Personen, der Stärkung der unternehmerischen Compliance und der Förderung des digitalen Vertrauens.