GDPR

I. Einleitung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der Europäischen Union (GDPR) in Deutschland sowie in allen anderen Mitgliedstaaten der Europäischen Union verbindlich anwendbar. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (Bundesdatenschutzgesetz, BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR sowie ihrer nationalen Ausführungsbestimmungen zuständig.

Das deutsche Datenschutzsystem steht im vollständigen Einklang mit der GDPR und berücksichtigt zugleich spezifische nationale gesetzliche Anforderungen, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

II. Anwendungsbereich

Die deutschen Ausführungsregelungen zur GDPR gelten für:

Alle in Deutschland niedergelassenen Verantwortlichen oder Auftragsverarbeiter;

Organisationen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten innerhalb Deutschlands überwachen.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet die Regelung Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Verarbeitungen als auch nicht automatisierte Verarbeitungen, sofern diese Bestandteil eines Dateisystems sind. Rein persönliche oder familiäre Tätigkeiten fallen nicht in den Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung personenbezogener Daten bedarf einer klaren gesetzlichen Grundlage und muss der betroffenen Person hinsichtlich Zweck und Art der Verarbeitung transparent erläutert werden.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte und rechtmäßige Zwecke verarbeitet werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass personenbezogene Daten sachlich richtig, vollständig und auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des jeweiligen Zwecks erforderlich ist; anschließend sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und dem deutschen Recht stehen betroffenen Personen insbesondere folgende Rechte zu:

Recht auf Information und Auskunft: Das Recht, über die Erhebung und Verarbeitung ihrer personenbezogenen Daten informiert zu werden und Auskunft darüber zu erhalten.

Recht auf Berichtigung: Das Recht, die Korrektur unrichtiger oder unvollständiger Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Das Recht, unter den gesetzlich vorgesehenen Voraussetzungen die Löschung personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung: Das Recht, unter bestimmten Bedingungen die weitere Verarbeitung einzuschränken.

Recht auf Datenübertragbarkeit: Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht: Das Recht, der Verarbeitung personenbezogener Daten auf Grundlage berechtigter oder öffentlicher Interessen zu widersprechen.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling besteht das Recht auf Information, Widerspruch und menschliches Eingreifen.

Bei Minderjährigen unter 16 Jahren (spezifische deutsche Regelung im Rahmen der GDPR) ist für die Verarbeitung personenbezogener Daten die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich. Zudem müssen Informationen in klarer und verständlicher Sprache bereitgestellt werden.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Die Verarbeitung personenbezogener Daten darf ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen erfolgen.

Es sind angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umzusetzen.

Auftragsverarbeiter haben den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen nach der GDPR zu unterstützen, insbesondere bei der Bearbeitung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Der Verantwortliche ist verpflichtet, die Verletzung innerhalb von 72 Stunden dem BfDI zu melden.

Verantwortliche müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu registrieren.

VI. Internationale Datenübermittlungen

Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt, hat der Verantwortliche sicherzustellen, dass im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann insbesondere erfolgen durch:

Einen Angemessenheitsbeschluss der Europäischen Kommission;

Den Abschluss von EU-Standardvertragsklauseln (SCCs);

Andere nach der GDPR zulässige Übermittlungsmechanismen.

Seit dem Wegfall des Privacy Shield am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten EU-Standardvertragsklauseln vom 4. Juni 2021 oder andere rechtlich zulässige Übermittlungsinstrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzaufsichtsbehörden (BfDI sowie die Datenschutzbehörden der Bundesländer) verfügen über weitreichende Kontroll- und Durchsetzungsbefugnisse:

Erteilung von Verwarnungen oder Anordnungen;

Beschränkung oder Untersagung von Datenverarbeitungsvorgängen;

Verhängung erheblicher Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Darüber hinaus erlaubt das deutsche Recht betroffenen Personen, verbindliche Anweisungen zur Verarbeitung ihrer personenbezogenen Daten zu erteilen, einschließlich Regelungen für den Umgang mit Daten nach ihrem Tod. Liegt keine ausdrückliche Anweisung vor, hat die Datenverarbeitung im Einklang mit den gesetzlichen Vorgaben zu erfolgen.

Der deutsche Durchsetzungsrahmen der GDPR dient dem Schutz der Rechte natürlicher Personen, der Stärkung unternehmerischer Compliance sowie der Förderung von Vertrauen in die digitale Wirtschaft.