GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verbindlich in Deutschland sowie in allen weiteren Mitgliedstaaten der EU. Zur Umsetzung der DSGVO wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst und neu gefasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der DSGVO und der nationalen deutschen Umsetzungsvorschriften zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der DSGVO und berücksichtigt zugleich spezifische nationale Rechtsanforderungen, um einen umfassenden Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Ausführungsbestimmungen zur DSGVO finden Anwendung auf:

alle in Deutschland niedergelassenen Verantwortlichen oder Auftragsverarbeiter;

ausländische Einrichtungen, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands überwachen.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Datenverarbeitung als auch nicht automatisierte Verarbeitung, sofern diese Teil eines Dateisystems ist. Rein persönliche oder familiäre Tätigkeiten fallen nicht in den Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Jede Datenverarbeitung bedarf einer klaren Rechtsgrundlage, und die betroffene Person ist eindeutig über Zweck und Art der Verarbeitung zu informieren.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte und rechtmäßige Zwecke verarbeitet werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass die Daten sachlich richtig, vollständig und auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des jeweiligen Zwecks erforderlich ist; anschließend sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

IV. Rechte der betroffenen Personen

Nach der DSGVO und dem deutschen Recht stehen betroffenen Personen folgende Rechte zu:

Recht auf Information und Auskunft: Das Recht, über die erhobenen Daten sowie deren Verarbeitung informiert zu werden und Zugang zu diesen Daten zu erhalten.

Recht auf Berichtigung: Das Recht, die Berichtigung unrichtiger oder unvollständiger Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Unter den gesetzlich vorgesehenen Voraussetzungen die Löschung personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen die weitere Verarbeitung der Daten zu beschränken.

Recht auf Datenübertragbarkeit: Die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht: Der Verarbeitung zu widersprechen, insbesondere wenn diese auf berechtigten Interessen oder öffentlichen Interessen beruht.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling bestehen Rechte auf Information, Widerspruch und menschliches Eingreifen.

Für Minderjährige unter 16 Jahren gelten in Deutschland besondere Bestimmungen: Die Verarbeitung ihrer Daten setzt grundsätzlich die Einwilligung der Eltern oder gesetzlichen Vertreter voraus, und die Informationen müssen in klarer und verständlicher Sprache bereitgestellt werden.

V. Pflichten der Auftragsverarbeiter

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.

Sie sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen.

Sie unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen gemäß DSGVO, insbesondere bei der Bearbeitung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, damit dieser innerhalb von 72 Stunden eine Meldung an den BfDI vornehmen kann.

Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und bei der zuständigen Aufsichtsbehörde zu melden.

VI. Internationale Datenübermittlung

Bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union muss der Verantwortliche sicherstellen, dass im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission;

den Abschluss von Standardvertragsklauseln der Europäischen Union (SCCs);

andere von der DSGVO zugelassene Übermittlungsmechanismen.

Nach dem Wegfall des Privacy Shield am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten Standardvertragsklauseln der EU vom 4. Juni 2021 oder andere rechtlich zulässige Instrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden, einschließlich des BfDI und der Landesdatenschutzbehörden, verfügen über umfassende Aufsichts- und Durchsetzungsbefugnisse:

Erteilung von Verwarnungen oder Anordnungen zur Abhilfe;

Einschränkung oder Untersagung von Datenverarbeitungstätigkeiten;

Verhängung erheblicher Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, verbindliche Anweisungen zur Verarbeitung ihrer Daten zu erteilen, einschließlich Regelungen für die Verwendung nach ihrem Tod. Liegen keine entsprechenden Anweisungen vor, hat die Verarbeitung im Einklang mit den gesetzlichen Vorgaben zu erfolgen.

Der deutsche Durchsetzungsrahmen der DSGVO dient dem Schutz der Rechte betroffener Personen, der Stärkung unternehmerischer Compliance und der Förderung des Vertrauens in die digitale Wirtschaft.