GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung der Europäischen Union verbindlich in Deutschland und allen anderen EU-Mitgliedstaaten. Um diese Vorgaben umzusetzen, wurde das Bundesdatenschutzgesetz entsprechend angepasst.

Für die Überwachung und Durchsetzung der Datenschutzvorschriften sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die Datenschutzbehörden der einzelnen Bundesländer zuständig.

Das deutsche Datenschutzrecht orientiert sich vollständig an der DSGVO und ergänzt diese durch nationale Regelungen, um einen besonders hohen Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Vorschriften zur Umsetzung der DSGVO gelten für:

alle Verantwortlichen oder Auftragsverarbeiter mit Sitz in Deutschland;

Unternehmen oder Organisationen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder ihr Verhalten innerhalb Deutschlands beobachten.

Dabei spielt es keine Rolle, ob die Datenverarbeitung im Inland oder im Ausland stattfindet, solange personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte Verarbeitungen als auch nicht automatisierte Vorgänge, sofern diese Teil eines strukturierten Dateisystems sind. Rein private oder familiäre Tätigkeiten fallen nicht darunter.

III. Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit und Transparenz: Jede Verarbeitung benötigt eine klare gesetzliche Grundlage, und betroffene Personen müssen verständlich über Zweck und Umfang informiert werden.

Zweckbindung: Daten dürfen nur für klar festgelegte und rechtmäßige Zwecke genutzt werden.

Datenminimierung: Es werden nur diejenigen Daten erhoben, die tatsächlich erforderlich sind.

Richtigkeit: Die Daten müssen korrekt, vollständig und aktuell sein.

Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist, danach sind sie zu löschen oder zu anonymisieren.

Sicherheit und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete Maßnahmen treffen, um Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

IV. Rechte der betroffenen Personen

Personen haben nach der DSGVO und dem deutschen Recht unter anderem folgende Rechte:

Auskunftsrecht: Sie können erfahren, welche Daten über sie gespeichert werden und wie diese verarbeitet werden.

Berichtigungsrecht: Unrichtige oder unvollständige Daten können korrigiert werden.

Recht auf Löschung: Unter bestimmten Voraussetzungen können personenbezogene Daten gelöscht werden.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen kann die weitere Nutzung der Daten eingeschränkt werden.

Recht auf Datenübertragbarkeit: Daten können in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übertragen werden.

Widerspruchsrecht: Der Verarbeitung kann widersprochen werden, insbesondere wenn sie auf berechtigten Interessen beruht.

Rechte bei automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling bestehen Rechte auf Information, Widerspruch und menschliche Überprüfung.

Für Minderjährige unter 16 Jahren ist in Deutschland grundsätzlich die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Zudem müssen Informationen in klarer und leicht verständlicher Sprache bereitgestellt werden.

V. Pflichten der Auftragsverarbeiter

Auftragsverarbeiter dürfen Daten nur auf Grundlage schriftlicher Weisungen des Verantwortlichen verarbeiten.

Sie müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen.

Sie unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen, insbesondere bei Anfragen betroffener Personen.

Im Fall einer Datenschutzverletzung ist der Verantwortliche unverzüglich zu informieren, damit dieser innerhalb von 72 Stunden die zuständige Aufsichtsbehörde benachrichtigen kann.

Verantwortliche sind verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen.

Bestimmte Unternehmen müssen zudem einen Datenschutzbeauftragten benennen und diesen bei der zuständigen Behörde melden.

VI. Internationale Datenübermittlung

Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt, muss ein angemessenes Datenschutzniveau gewährleistet sein. Dies kann unter anderem erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission;

die Verwendung von EU-Standardvertragsklauseln;

andere zulässige Übermittlungsmechanismen gemäß DSGVO.

Nach dem Wegfall des Privacy Shield im Juli 2020 müssen deutsche Unternehmen auf die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere rechtlich zulässige Lösungen zurückgreifen.

VII. Aufsicht und Durchsetzung

Die Datenschutzbehörden in Deutschland verfügen über weitreichende Befugnisse. Sie können Verwarnungen aussprechen, Maßnahmen anordnen, Datenverarbeitungen einschränken oder untersagen und erhebliche Bußgelder verhängen. Diese können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, verbindliche Vorgaben zur Nutzung ihrer Daten zu machen, auch für den Zeitraum nach ihrem Tod. Liegen keine entsprechenden Anweisungen vor, richtet sich die Verarbeitung nach den gesetzlichen Bestimmungen.

Das deutsche Datenschutzsystem verfolgt das Ziel, die Rechte der betroffenen Personen wirksam zu schützen, Unternehmen zu verantwortungsbewusstem Handeln anzuhalten und Vertrauen in die digitale Welt zu stärken.