GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung der Europäischen Union (GDPR) verbindlich in Deutschland und in allen übrigen EU-Mitgliedstaaten. Zur praktischen Umsetzung dieser Verordnung wurde das Bundesdatenschutzgesetz (Bundesdatenschutzgesetz, BDSG) entsprechend überarbeitet.

Für die Aufsicht und Durchsetzung sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer verantwortlich.

Das deutsche Datenschutzrecht entspricht vollständig den Vorgaben der GDPR und ergänzt diese durch spezifische nationale Bestimmungen, um einen wirksamen Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Umsetzungsregelungen zur GDPR finden Anwendung auf:

Alle Verantwortlichen und Auftragsverarbeiter mit Sitz in Deutschland;

Unternehmen oder Organisationen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands beobachten.

Die Regelungen gelten unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte Verarbeitungen als auch nicht automatisierte Verarbeitungen, sofern diese Teil eines strukturierten Dateisystems sind. Nicht erfasst sind ausschließlich persönliche oder familiäre Tätigkeiten.

III. Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Datenverarbeitung muss auf einer gültigen Rechtsgrundlage beruhen und gegenüber der betroffenen Person klar erläutert werden.

Zweckbindung: Personenbezogene Daten dürfen nur für eindeutig festgelegte und rechtmäßige Zwecke verwendet werden.

Datenminimierung: Es dürfen nur diejenigen Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind.

Richtigkeit: Daten müssen korrekt, vollständig und aktuell gehalten werden.

Speicherbegrenzung: Die Speicherung darf nur so lange erfolgen, wie es für den vorgesehenen Zweck notwendig ist; anschließend sind die Daten zu löschen oder zu anonymisieren.

Sicherheit und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und deutschem Recht haben betroffene Personen insbesondere folgende Rechte:

Recht auf Information und Auskunft über die Verarbeitung ihrer personenbezogenen Daten;

Recht auf Berichtigung unrichtiger oder unvollständiger Daten;

Recht auf Löschung unter den gesetzlich vorgesehenen Voraussetzungen;

Recht auf Einschränkung der Verarbeitung in bestimmten Fällen;

Recht auf Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format;

Recht auf Widerspruch gegen Verarbeitungen, die auf berechtigten oder öffentlichen Interessen beruhen;

Rechte im Zusammenhang mit automatisierten Entscheidungen einschließlich Profiling, insbesondere das Recht auf Information, Widerspruch und menschliches Eingreifen.

Für Minderjährige unter 16 Jahren ist nach den deutschen Besonderheiten im Rahmen der GDPR grundsätzlich die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich. Zudem müssen Informationen in einer klar verständlichen Sprache bereitgestellt werden.

V. Pflichten bei der Datenverarbeitung

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen.

Auftragsverarbeiter unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Pflichten, insbesondere bei der Beantwortung von Anfragen betroffener Personen.

Im Falle einer Datenschutzverletzung ist der Verantwortliche verpflichtet, die zuständige Aufsichtsbehörde, insbesondere den BfDI, innerhalb von 72 Stunden zu informieren.

Verantwortliche müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und bei risikoreichen Verarbeitungsvorgängen eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen der zuständigen Aufsichtsbehörde zu melden.

VI. Internationale Datenübermittlung

Bei der Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU muss ein angemessenes Datenschutzniveau sichergestellt werden. Dies kann erfolgen durch:

Einen Angemessenheitsbeschluss der Europäischen Kommission;

Den Abschluss von EU-Standardvertragsklauseln (SCCs);

Andere nach der GDPR zulässige Mechanismen.

Nach dem Wegfall des Privacy Shield am 16. Juli 2020 müssen deutsche Unternehmen insbesondere die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere zulässige Instrumente verwenden.

VII. Aufsicht und Sanktionen

Die deutschen Datenschutzaufsichtsbehörden, einschließlich des BfDI und der Landesbehörden, verfügen über umfassende Befugnisse:

Sie können Verwarnungen aussprechen oder Abhilfemaßnahmen anordnen;

Sie können Datenverarbeitungen einschränken oder untersagen;

Sie können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist.

Darüber hinaus ermöglicht das deutsche Recht es Einzelpersonen, verbindliche Anweisungen zur Verarbeitung ihrer Daten zu erteilen, auch im Hinblick auf die Verwendung ihrer Daten nach dem Tod. Fehlen entsprechende Anweisungen, hat die Verarbeitung im Einklang mit den gesetzlichen Vorschriften zu erfolgen.

Der deutsche Rahmen zur Durchsetzung der GDPR dient dem Schutz der Persönlichkeitsrechte, der Stärkung der unternehmerischen Verantwortung und der Förderung des Vertrauens in digitale Prozesse.