GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (GDPR) der Europäischen Union verbindlich in Deutschland sowie in allen weiteren Mitgliedstaaten der Europäischen Union. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR sowie ihrer nationalen Ausführungsvorschriften zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der GDPR und ergänzt diese durch spezifische nationale Regelungen, um einen umfassenden Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Ausführungsbestimmungen zur GDPR finden Anwendung auf:

alle in Deutschland niedergelassenen Verantwortlichen oder Auftragsverarbeiter;

außereuropäische Einrichtungen, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten innerhalb Deutschlands beobachten.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, ist das Gesetz anwendbar, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Verarbeitungen als auch nichtautomatisierte Verarbeitungen, sofern diese Bestandteil eines Dateisystems sind. Rein persönliche oder familiäre Tätigkeiten fallen nicht unter den Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Datenverarbeitung bedarf einer klaren gesetzlichen Grundlage. Die betroffene Person ist eindeutig über Zweck und Art der Verarbeitung zu informieren.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke verarbeitet werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die jeweiligen Verarbeitungszwecke erforderlich sind.

Richtigkeit: Die Daten müssen sachlich richtig und gegebenenfalls auf dem neuesten Stand sein.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des jeweiligen Zwecks erforderlich ist. Danach sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und den deutschen Rechtsvorschriften stehen betroffenen Personen insbesondere folgende Rechte zu:

Auskunfts- und Informationsrecht: Das Recht, Auskunft über die gespeicherten personenbezogenen Daten sowie über deren Verarbeitung zu erhalten.

Recht auf Berichtigung: Das Recht, die Berichtigung unrichtiger oder unvollständiger Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Das Recht, unter den gesetzlichen Voraussetzungen die Löschung personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung: Das Recht, unter bestimmten Bedingungen die weitere Verarbeitung der Daten einzuschränken.

Recht auf Datenübertragbarkeit: Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht: Das Recht, der Verarbeitung personenbezogener Daten zu widersprechen, insbesondere wenn diese auf berechtigten Interessen oder im öffentlichen Interesse beruht.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling besteht das Recht auf Information, Widerspruch sowie auf menschliches Eingreifen.

Für Minderjährige unter 16 Jahren gelten besondere Bestimmungen. Die Verarbeitung ihrer personenbezogenen Daten setzt grundsätzlich die Einwilligung der Eltern oder Erziehungsberechtigten voraus, wobei die bereitgestellten Informationen in verständlicher Form erfolgen müssen.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Auftragsverarbeiter unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen, insbesondere bei der Wahrnehmung der Rechte betroffener Personen.

Im Falle einer Datenschutzverletzung ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Der Verantwortliche muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen.

Verantwortliche sind verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu melden.

VI. Internationale Datenübermittlung

Bei der Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union ist sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet wird. Dies kann insbesondere erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission;

den Abschluss von EU-Standardvertragsklauseln (SCCs);

andere nach der GDPR zulässige Übermittlungsmechanismen.

Nach dem Wegfall des EU-US Privacy Shield am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere zulässige Übermittlungsinstrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzaufsichtsbehörden, einschließlich des BfDI und der Landesdatenschutzbehörden, verfügen über weitreichende Befugnisse.

Sie können Verwarnungen aussprechen oder Anordnungen zur Abhilfe erlassen;

die Datenverarbeitung einschränken oder untersagen;

sowie erhebliche Geldbußen verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, verbindliche Anweisungen hinsichtlich der Verarbeitung ihrer Daten zu erteilen, einschließlich Regelungen für den Fall ihres Todes. Fehlen solche Anweisungen, hat die Datenverarbeitung im Einklang mit den gesetzlichen Vorschriften zu erfolgen.

Der deutsche Durchsetzungsrahmen der GDPR dient dem Schutz personenbezogener Daten, der Stärkung unternehmerischer Compliance sowie dem Aufbau digitalen Vertrauens.