GDPR

I. Einleitung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der Europäischen Union (GDPR) in Deutschland sowie in den übrigen Mitgliedstaaten der Europäischen Union verbindlich anwendbar. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (Bundesdatenschutzgesetz, BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR sowie ihrer nationalen Umsetzungsbestimmungen in Deutschland zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der GDPR und berücksichtigt zugleich spezifische nationale rechtliche Anforderungen, um einen umfassenden Schutz personenbezogener Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Durchführungsvorschriften zur GDPR gelten für:

alle in Deutschland niedergelassenen Verantwortlichen (Verantwortlicher) oder Auftragsverarbeiter (Auftragsverarbeiter);

ausländische Stellen, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands beobachten.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl die automatisierte Verarbeitung personenbezogener Daten als auch die nichtautomatisierte Verarbeitung, sofern diese Teil eines Dateisystems ist. Rein persönliche oder familiäre Tätigkeiten der Datenverarbeitung fallen nicht unter diesen Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung personenbezogener Daten bedarf einer klaren gesetzlichen Grundlage, und die betroffene Person ist eindeutig über Zweck und Art der Verarbeitung zu informieren.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte und rechtmäßige Zwecke verarbeitet werden und nicht in einer mit dem ursprünglichen Zweck unvereinbaren Weise weiterverwendet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass personenbezogene Daten sachlich richtig, vollständig und auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist; danach sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Offenlegung zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und deutschem Recht stehen betroffenen Personen folgende Rechte zu:

Recht auf Information und Auskunft: Das Recht, über die Erhebung und Verarbeitung ihrer personenbezogenen Daten informiert zu werden sowie Zugang zu diesen Daten zu erhalten.

Recht auf Berichtigung: Das Recht, die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Unter den gesetzlichen Voraussetzungen das Recht, die Löschung personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung: Unter bestimmten Voraussetzungen die Einschränkung der weiteren Verarbeitung personenbezogener Daten zu verlangen.

Recht auf Datenübertragbarkeit: Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht: Das Recht, der Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen oder im öffentlichen Interesse zu widersprechen.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Im Falle automatisierter Entscheidungen einschließlich Profiling besteht das Recht auf Information, Widerspruch und das Eingreifen einer natürlichen Person.

Für Minderjährige unter 16 Jahren gelten in Deutschland besondere Bestimmungen; die Verarbeitung ihrer Daten erfordert die Einwilligung der Eltern oder Erziehungsberechtigten, und die bereitgestellten Informationen müssen in klarer und verständlicher Sprache erfolgen.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Auftragsverarbeiter sind verpflichtet, personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten.

Es sind geeignete technische und organisatorische Maßnahmen umzusetzen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Auftragsverarbeiter haben den Verantwortlichen bei der Erfüllung seiner gesetzlichen Pflichten gemäß der GDPR zu unterstützen, insbesondere bei der Bearbeitung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, damit dieser innerhalb von 72 Stunden Meldung an den BfDI erstatten kann.

Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu registrieren.

VI. Internationale Datenübermittlung

Bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union muss der Verantwortliche sicherstellen, dass im Empfängerland ein angemessenes Datenschutzniveau besteht. Dies kann insbesondere erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission (Adequacy Decision);

den Abschluss von Standardvertragsklauseln der Europäischen Union (SCCs);

andere von der GDPR zugelassene rechtmäßige Übermittlungsmechanismen.

Seit dem Wegfall des sogenannten „Privacy Shield“ am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten Standardvertragsklauseln der Europäischen Union vom 4. Juni 2021 oder andere rechtlich zulässige Instrumente für internationale Datenübermittlungen zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden, einschließlich des BfDI und der Datenschutzaufsichtsbehörden der Bundesländer, verfügen über weitreichende Kontroll- und Durchsetzungsbefugnisse:

Sie können Verwarnungen aussprechen oder Anordnungen zur Abhilfe erlassen;

die Verarbeitung personenbezogener Daten einschränken oder untersagen;

erhebliche Geldbußen verhängen, die bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht natürlichen Personen, verbindliche Anweisungen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu erteilen, einschließlich Regelungen für den Umgang mit ihren Daten nach dem Tod. Liegt keine ausdrückliche Anweisung vor, hat die Datenverarbeitung im Einklang mit den gesetzlichen Vorschriften zu erfolgen.

Der deutsche Durchsetzungsrahmen der GDPR dient dem Schutz der Rechte betroffener Personen, der Stärkung der unternehmerischen Compliance und der Förderung von Vertrauen in die digitale Wirtschaft.