GDPR

I. Einleitung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (GDPR) der Europäischen Union in Deutschland sowie in den übrigen Mitgliedstaaten der EU verbindlich in Kraft getreten. Zur Umsetzung der GDPR hat Deutschland das Bundesdatenschutzgesetz (Bundesdatenschutzgesetz, kurz BDSG) entsprechend angepasst und überarbeitet.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, kurz BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR sowie der entsprechenden nationalen Umsetzungsbestimmungen zuständig.

Das deutsche Datenschutzsystem steht in vollständiger Übereinstimmung mit der GDPR und berücksichtigt zugleich spezifische nationale rechtliche Anforderungen, um einen umfassenden Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Umsetzungsregelungen zur GDPR finden Anwendung auf:

alle in Deutschland niedergelassenen Verantwortlichen (Verantwortlicher) oder Auftragsverarbeiter (Auftragsverarbeiter);

ausländische Einrichtungen, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten innerhalb Deutschlands überwachen.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sobald personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich erstreckt sich sowohl auf automatisierte Datenverarbeitung als auch auf nicht automatisierte Verarbeitung, sofern diese Teil eines Dateisystems ist. Rein persönliche oder familiäre Datenverarbeitungstätigkeiten fallen nicht unter den Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Datenverarbeitung muss auf einer klaren gesetzlichen Grundlage beruhen, und die betroffenen Personen müssen eindeutig über Zweck und Art der Verarbeitung informiert werden.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte und rechtmäßige Zwecke verwendet werden und nicht über den ursprünglichen Zweck hinaus weiterverarbeitet werden.

Datenminimierung: Es dürfen nur diejenigen Daten erhoben werden, die für die Erreichung des konkreten Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass die Daten korrekt, vollständig und auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Verarbeitungszwecks notwendig ist; danach sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Offenlegung zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und dem deutschen Recht stehen betroffenen Personen folgende Rechte zu:

Recht auf Information und Auskunft: Sie haben das Recht zu erfahren, welche Daten über sie erhoben werden, und Einsicht in diese Daten sowie in die Art ihrer Verarbeitung zu erhalten.

Recht auf Berichtigung: Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Unter den gesetzlichen Voraussetzungen können sie die Löschung ihrer personenbezogenen Daten verlangen.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen kann die weitere Verarbeitung der Daten eingeschränkt werden.

Recht auf Datenübertragbarkeit: Sie haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht: Sie können der Verarbeitung widersprechen, insbesondere wenn diese auf berechtigten Interessen oder im öffentlichen Interesse beruht.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen, einschließlich Profiling und Prognosen, haben sie das Recht auf Information, Widerspruch sowie auf menschliches Eingreifen.

Für Minderjährige unter 16 Jahren (besondere Regelung nach deutschem GDPR-Recht) ist für die Verarbeitung ihrer Daten die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Zudem müssen Informationen in einer für Minderjährige verständlichen Sprache bereitgestellt werden.

V. Pflichten der Auftragsverarbeiter

Auftragsverarbeiter müssen personenbezogene Daten ausschließlich auf Grundlage der schriftlichen Weisungen des Verantwortlichen (Verantwortlicher) verarbeiten.

Sie sind verpflichtet, angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen, um den Schutz der Daten zu gewährleisten.

Darüber hinaus müssen sie den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen nach der GDPR unterstützen, insbesondere bei der Bearbeitung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, damit dieser innerhalb von 72 Stunden eine Meldung an den BfDI vornehmen kann.

Der Verantwortliche ist verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu registrieren.

VI. Internationale Datenübermittlung

Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt, muss der Verantwortliche sicherstellen, dass im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann unter anderem erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission (Adequacy Decision);

den Abschluss von Standardvertragsklauseln der EU (SCCs);

oder andere von der GDPR zugelassene rechtmäßige Übermittlungsmechanismen.

Nach der Ungültigerklärung des „Privacy Shield“ am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere zulässige Übermittlungsinstrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden (BfDI sowie die Datenschutzbehörden der Länder) verfügen über umfassende Aufsichts- und Durchsetzungsbefugnisse:

Sie können Verwarnungen aussprechen oder Abhilfemaßnahmen anordnen;

die Verarbeitung einschränken oder untersagen;

und erhebliche Geldbußen verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht natürlichen Personen, verbindliche Anweisungen zur Verarbeitung ihrer personenbezogenen Daten zu erteilen, einschließlich Regelungen zur Nutzung ihrer Daten nach ihrem Tod. Liegen keine ausdrücklichen Anweisungen vor, muss die Datenverarbeitung den gesetzlichen Vorgaben entsprechen.

Der deutsche Durchsetzungsrahmen der GDPR verfolgt das Ziel, die Rechte der betroffenen Personen zu schützen, die Compliance von Unternehmen zu stärken und das Vertrauen in die digitale Wirtschaft nachhaltig zu fördern.