GDPR

I. Einführung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Deutschland und in allen anderen Mitgliedstaaten der Europäischen Union verbindlich anzuwenden. Zur nationalen Umsetzung wurde das Bundesdatenschutzgesetz (BDSG) entsprechend überarbeitet.

Für die Überwachung und Durchsetzung sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der Bundesländer verantwortlich. Sie begleiten Unternehmen und Institutionen bei der Einhaltung der gesetzlichen Vorgaben und greifen ein, wenn Verstöße festgestellt werden.

Das deutsche Datenschutzrecht entspricht in vollem Umfang den Vorgaben der DSGVO und ergänzt diese durch spezifische nationale Regelungen, um einen besonders hohen Schutz personenbezogener Daten sicherzustellen.

II. Geltungsbereich

Die deutschen Ausführungsregelungen zur DSGVO gelten für:

Alle Verantwortlichen und Auftragsverarbeiter mit Niederlassung in Deutschland;

Organisationen außerhalb Deutschlands, sofern sie Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten in Deutschland beobachten.

Entscheidend ist nicht der Ort der Verarbeitung, sondern ob personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst sind sowohl automatisierte Verarbeitungen als auch nicht automatisierte Verarbeitungen, sofern sie Teil eines strukturierten Dateisystems sind. Tätigkeiten mit ausschließlich persönlichem oder familiärem Charakter sind hiervon ausgenommen.

III. Grundprinzipien der Verarbeitung

Rechtmäßigkeit, Transparenz und Fairness: Jede Verarbeitung personenbezogener Daten muss auf einer gültigen Rechtsgrundlage beruhen und für die betroffene Person nachvollziehbar sein.

Zweckbindung: Daten dürfen nur für klar definierte und rechtmäßige Zwecke verwendet werden und nicht darüber hinaus.

Datenminimierung: Es dürfen nur solche Informationen erhoben werden, die für den jeweiligen Zweck unbedingt erforderlich sind.

Richtigkeit: Daten müssen korrekt, vollständig und aktuell gehalten werden.

Speicherbegrenzung: Die Speicherung ist auf den Zeitraum zu beschränken, der für die Erreichung des Zwecks notwendig ist; anschließend sind die Daten zu löschen oder zu anonymisieren.

Sicherheit und Vertraulichkeit: Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff geschützt sind.

IV. Rechte der betroffenen Personen

Personen in Deutschland verfügen nach der DSGVO und nationalem Recht über umfassende Rechte:

Auskunftsrecht: Sie können erfahren, welche Daten über sie gespeichert und wie diese verarbeitet werden.

Recht auf Berichtigung: Unrichtige oder unvollständige Daten können korrigiert werden.

Recht auf Löschung: Unter bestimmten gesetzlichen Voraussetzungen können personenbezogene Daten gelöscht werden.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen kann die weitere Nutzung der Daten eingeschränkt werden.

Recht auf Datenübertragbarkeit: Daten können in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt und an einen anderen Verantwortlichen übertragen werden.

Widerspruchsrecht: Der Verarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, kann widersprochen werden.

Rechte bei automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling besteht das Recht auf Information, auf Widerspruch sowie auf menschliche Überprüfung.

Für Personen unter 16 Jahren ist die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Zudem müssen Informationen in klarer und verständlicher Sprache bereitgestellt werden.

V. Pflichten bei der Datenverarbeitung

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Schutzmaßnahmen umzusetzen.

Auftragsverarbeiter unterstützen den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen, insbesondere bei der Bearbeitung von Anfragen betroffener Personen.

Im Falle einer Datenschutzverletzung ist der Verantwortliche unverzüglich zu informieren, damit dieser innerhalb von 72 Stunden eine Meldung an den BfDI vornehmen kann.

Verantwortliche müssen Verarbeitungstätigkeiten dokumentieren und bei risikobehafteten Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen.

Bestimmte Einrichtungen sind verpflichtet, einen Datenschutzbeauftragten zu benennen und diesen der zuständigen Aufsichtsbehörde zu melden.

VI. Datenübermittlung in Drittländer

Bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU muss ein angemessenes Datenschutzniveau gewährleistet sein. Dies kann erfolgen durch:

Einen Angemessenheitsbeschluss der Europäischen Kommission;

Die Verwendung von EU-Standardvertragsklauseln;

Andere von der DSGVO zugelassene Übermittlungsinstrumente.

Nach dem Wegfall des Privacy Shield am 16. Juli 2020 müssen Unternehmen auf die aktualisierten Standardvertragsklauseln vom 4. Juni 2021 oder andere zulässige Mechanismen zurückgreifen.

VII. Kontrolle und Sanktionen

Die deutschen Datenschutzbehörden verfügen über umfassende Befugnisse. Sie können Verwarnungen aussprechen, Maßnahmen anordnen, Datenverarbeitungen einschränken oder untersagen und empfindliche Geldbußen verhängen.

Diese Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, abhängig davon, welcher Betrag höher ist.

Zudem erlaubt das deutsche Recht, dass Personen verbindliche Vorgaben zur Verwendung ihrer Daten machen, auch für den Fall ihres Todes. Ohne eine solche Verfügung gelten die gesetzlichen Bestimmungen.

Das deutsche System zur Umsetzung der DSGVO verfolgt das Ziel, die Rechte natürlicher Personen wirksam zu schützen, Unternehmen zu verantwortungsvollem Handeln anzuhalten und dauerhaft Vertrauen in digitale Prozesse zu schaffen.