GDPR

I. Einleitung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (GDPR) in Deutschland sowie in allen anderen Mitgliedstaaten der Europäischen Union verbindlich anwendbar. Zur Umsetzung der GDPR wurde das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR sowie ihrer nationalen Ausführungsbestimmungen in Deutschland zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der GDPR und berücksichtigt zugleich spezifische nationale Anforderungen, um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

II. Anwendungsbereich

Die deutschen Ausführungsbestimmungen zur GDPR gelten für:

– alle in Deutschland niedergelassenen Verantwortlichen (Verantwortlicher) oder Auftragsverarbeiter (Auftragsverarbeiter);

– Organisationen außerhalb Deutschlands, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten innerhalb Deutschlands überwachen.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Verarbeitungen als auch nichtautomatisierte Verarbeitungen, sofern diese Teil eines Dateisystems sind. Rein persönliche oder familiäre Tätigkeiten fallen nicht in den Geltungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung personenbezogener Daten bedarf einer klaren gesetzlichen Grundlage. Betroffene Personen sind transparent über Zweck und Art der Verarbeitung zu informieren.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke erhoben und nicht zweckfremd weiterverarbeitet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind.

Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand gehalten werden.

Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Verarbeitungszwecks erforderlich ist. Danach sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

IV. Rechte der betroffenen Personen

Gemäß der GDPR und dem deutschen Recht stehen betroffenen Personen insbesondere folgende Rechte zu:

Recht auf Information und Auskunft: Betroffene können Auskunft über die sie betreffenden personenbezogenen Daten sowie über deren Verarbeitung verlangen.

Recht auf Berichtigung: Unrichtige oder unvollständige Daten können berichtigt werden.

Recht auf Löschung (Recht auf Vergessenwerden): Unter den gesetzlichen Voraussetzungen können personenbezogene Daten gelöscht werden.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen kann die weitere Verarbeitung eingeschränkt werden.

Recht auf Datenübertragbarkeit: Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht: Betroffene können der Verarbeitung widersprechen, sofern diese auf berechtigten Interessen oder öffentlichen Interessen beruht.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen, einschließlich Profiling, bestehen Rechte auf Information, Widerspruch und menschliches Eingreifen.

Für Minderjährige unter 16 Jahren gelten besondere Bestimmungen nach deutschem Recht. Die Verarbeitung ihrer Daten setzt grundsätzlich die Zustimmung der Eltern oder Erziehungsberechtigten voraus, und Informationen sind in verständlicher Form bereitzustellen.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umzusetzen.

Auftragsverarbeiter unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen, insbesondere bei der Beantwortung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter unverzüglich den Verantwortlichen zu informieren. Der Verantwortliche ist verpflichtet, die Verletzung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde, insbesondere dem BfDI, zu melden.

Verantwortliche müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und bei der zuständigen Aufsichtsbehörde zu registrieren.

VI. Internationale Datenübermittlungen

Bei der Übermittlung personenbezogener Daten in Drittstaaten außerhalb der Europäischen Union muss der Verantwortliche sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann insbesondere erfolgen durch:

– einen Angemessenheitsbeschluss der Europäischen Kommission;

– den Abschluss von Standardvertragsklauseln (SCCs);

– andere nach der GDPR zulässige Übermittlungsmechanismen.

Seit dem Wegfall des EU-US-Privacy-Shield am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, aktualisierte Standardvertragsklauseln der Europäischen Kommission vom 4. Juni 2021 oder andere zulässige Übermittlungsinstrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzaufsichtsbehörden, einschließlich des BfDI und der Landesdatenschutzbehörden, verfügen über weitreichende Kontroll- und Durchsetzungsbefugnisse. Dazu gehören:

– die Erteilung von Verwarnungen oder Anordnungen;

– die Einschränkung oder Untersagung von Datenverarbeitungstätigkeiten;

– die Verhängung erheblicher Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, klare Anweisungen zur Verarbeitung ihrer Daten zu erteilen, einschließlich Regelungen zur Nutzung ihrer Daten nach dem Tod. Liegen keine ausdrücklichen Anordnungen vor, erfolgt die Datenverarbeitung ausschließlich im Rahmen der gesetzlichen Bestimmungen.

Der deutsche Umsetzungsrahmen der GDPR dient dem Schutz personenbezogener Daten, der Stärkung der unternehmerischen Compliance sowie der Förderung von Vertrauen in die digitale Wirtschaft.