GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung der Europäischen Union (GDPR) verbindlich in Deutschland und in allen weiteren Mitgliedstaaten der Europäischen Union. Zur praktischen Umsetzung dieser Verordnung wurde in Deutschland das Bundesdatenschutzgesetz (Bundesdatenschutzgesetz, BDSG) entsprechend angepasst.

Für die Überwachung und Durchsetzung der Datenschutzvorschriften sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer verantwortlich. Sie beraten, kontrollieren und stellen sicher, dass die Vorgaben der GDPR und der nationalen Bestimmungen eingehalten werden.

Das deutsche Datenschutzrecht entspricht vollständig den Anforderungen der GDPR und ergänzt diese durch nationale Besonderheiten, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

II. Anwendungsbereich

Die deutschen Ausführungsregelungen zur GDPR gelten für:

alle Verantwortlichen (Verantwortlicher) und Auftragsverarbeiter (Auftragsverarbeiter), die ihren Sitz in Deutschland haben;

Unternehmen oder Organisationen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands beobachten.

Dabei spielt es keine Rolle, ob die Verarbeitung der Daten innerhalb oder außerhalb Deutschlands erfolgt. Entscheidend ist, dass personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte Datenverarbeitungen als auch nichtautomatisierte Verarbeitungen, sofern sie Teil eines strukturierten Dateisystems sind. Rein private oder familiäre Datenverarbeitungen fallen nicht in den Anwendungsbereich.

III. Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung muss auf einer klaren gesetzlichen Grundlage beruhen, und die betroffene Person muss verständlich über Zweck und Ablauf informiert werden.

Zweckbindung: Personenbezogene Daten dürfen nur für eindeutig festgelegte und rechtmäßige Zwecke verwendet werden und nicht darüber hinaus.

Datenminimierung: Es dürfen nur diejenigen Daten erhoben werden, die zur Erreichung des jeweiligen Zwecks tatsächlich erforderlich sind.

Richtigkeit: Die Daten müssen sachlich korrekt, vollständig und aktuell gehalten werden.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den vorgesehenen Zweck notwendig ist; anschließend sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

IV. Rechte der betroffenen Personen

Auf Grundlage der GDPR und des deutschen Rechts stehen jeder Person umfassende Rechte in Bezug auf ihre Daten zu:

Recht auf Information und Auskunft: Sie können erfahren, welche Daten über Sie verarbeitet werden und wie diese genutzt werden, und haben Anspruch auf Zugang zu diesen Informationen.

Recht auf Berichtigung: Sie können die Korrektur unrichtiger oder unvollständiger Daten verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Unter bestimmten gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten verlangen.

Recht auf Einschränkung der Verarbeitung: In bestimmten Situationen können Sie verlangen, dass Ihre Daten nur eingeschränkt weiterverarbeitet werden.

Recht auf Datenübertragbarkeit: Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übertragen lassen.

Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigten Interessen oder im öffentlichen Interesse beruht.

Rechte bei automatisierten Entscheidungen: Werden Entscheidungen ausschließlich automatisiert getroffen, einschließlich Profiling, haben Sie das Recht auf Information, Widerspruch und menschliches Eingreifen.

Für Minderjährige unter 16 Jahren gelten in Deutschland besondere Schutzvorschriften. Die Verarbeitung ihrer personenbezogenen Daten setzt die Zustimmung der Eltern oder Erziehungsberechtigten voraus, und alle Informationen müssen in klarer und verständlicher Sprache bereitgestellt werden.

V. Pflichten von Verantwortlichen und Auftragsverarbeitern

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage schriftlicher oder dokumentierter Weisungen des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren, um den Schutz der Daten zu gewährleisten.

Auftragsverarbeiter unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen, insbesondere bei der Beantwortung von Anfragen betroffener Personen.

Kommt es zu einer Datenschutzverletzung, muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, damit dieser innerhalb von 72 Stunden eine Meldung an den BfDI vornehmen kann.

Verantwortliche sind verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen und bei Verarbeitungsvorgängen mit erhöhtem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen.

Bestimmte Organisationen müssen einen Datenschutzbeauftragten (DPO) benennen und diesen bei der zuständigen Aufsichtsbehörde registrieren.

VI. Internationale Datenübermittlungen

Werden personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt, muss sichergestellt werden, dass dort ein angemessenes Datenschutzniveau besteht. Dies kann beispielsweise durch folgende Instrumente erfolgen:

einen Angemessenheitsbeschluss der Europäischen Kommission (Adequacy Decision);

den Abschluss von Standardvertragsklauseln der Europäischen Union (SCCs);

andere von der GDPR vorgesehene rechtmäßige Übermittlungsmechanismen.

Seit der Ungültigerklärung des „Privacy Shield“ am 16. Juli 2020 müssen deutsche Unternehmen für Datenübermittlungen insbesondere die aktualisierten Standardvertragsklauseln vom 4. Juni 2021 oder andere zulässige Mechanismen verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden, darunter der BfDI sowie die Datenschutzbehörden der Bundesländer, verfügen über umfassende Befugnisse zur Kontrolle und Durchsetzung:

Sie können Verwarnungen aussprechen oder Maßnahmen zur Behebung von Verstößen anordnen;

die Verarbeitung personenbezogener Daten einschränken oder untersagen;

Geldbußen verhängen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Darüber hinaus ermöglicht das deutsche Recht Einzelpersonen, verbindliche Vorgaben zur Verarbeitung ihrer personenbezogenen Daten zu machen, auch für den Zeitraum nach ihrem Tod. Liegen keine entsprechenden Anweisungen vor, hat die Verarbeitung im Rahmen der gesetzlichen Bestimmungen zu erfolgen.

Der deutsche Umsetzungsrahmen der GDPR verfolgt das Ziel, die Rechte betroffener Personen wirksam zu schützen, die Einhaltung der Vorschriften durch Unternehmen zu stärken und nachhaltiges Vertrauen in digitale Prozesse zu fördern.