GDPR

I. Einleitung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (GDPR) der Europäischen Union verbindlich in Deutschland sowie in allen weiteren Mitgliedstaaten der EU. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der GDPR und ihrer nationalen Umsetzungsbestimmungen zuständig.

Das deutsche Datenschutzsystem entspricht vollständig den Vorgaben der GDPR und berücksichtigt darüber hinaus spezifische nationale Anforderungen, um ein hohes Schutzniveau für personenbezogene Daten sicherzustellen.

II. Anwendungsbereich

Die deutschen Umsetzungsregelungen zur GDPR gelten für:

alle in Deutschland niedergelassenen Verantwortlichen (Verantwortlicher) oder Auftragsverarbeiter (Auftragsverarbeiter);

außerhalb Deutschlands ansässige Organisationen, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten innerhalb Deutschlands beobachten.

Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, findet das Gesetz Anwendung, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich erstreckt sich sowohl auf automatisierte Verarbeitungen als auch auf nicht automatisierte Verarbeitungen, sofern diese Bestandteil eines Dateisystems sind. Rein persönliche oder familiäre Tätigkeiten fallen nicht unter diesen Anwendungsbereich.

III. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Jede Datenverarbeitung bedarf einer klaren gesetzlichen Grundlage. Die betroffene Person ist transparent über Zweck und Art der Verarbeitung zu informieren.

Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke verarbeitet werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.

Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für die Erreichung des jeweiligen Zwecks erforderlich sind.

Richtigkeit: Es ist sicherzustellen, dass personenbezogene Daten sachlich richtig, vollständig und erforderlichenfalls auf dem neuesten Stand sind.

Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erreichung des Verarbeitungszwecks notwendig ist. Nach Wegfall des Zwecks sind sie zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Offenlegung zu schützen.

IV. Rechte der betroffenen Personen

Nach der GDPR und dem deutschen Recht stehen betroffenen Personen insbesondere folgende Rechte zu:

Recht auf Information und Auskunft: Das Recht zu erfahren, welche personenbezogenen Daten erhoben werden und wie diese verarbeitet werden, sowie eine Kopie dieser Daten zu erhalten.

Recht auf Berichtigung: Das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung (Recht auf Vergessenwerden): Unter bestimmten gesetzlichen Voraussetzungen kann die Löschung personenbezogener Daten verlangt werden.

Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen kann die weitere Verarbeitung personenbezogener Daten eingeschränkt werden.

Recht auf Datenübertragbarkeit: Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht: Das Recht, der Verarbeitung personenbezogener Daten zu widersprechen, insbesondere wenn diese auf berechtigten Interessen oder im öffentlichen Interesse beruht.

Rechte im Zusammenhang mit automatisierten Entscheidungen: Bei automatisierten Entscheidungen einschließlich Profiling haben betroffene Personen das Recht auf Information, Widerspruch sowie auf menschliches Eingreifen.

Für Minderjährige unter 16 Jahren (besondere Regelung nach deutschem Recht im Rahmen der GDPR) ist die Verarbeitung personenbezogener Daten nur mit Zustimmung der Eltern oder Erziehungsberechtigten zulässig. Die Informationen sind in einer klaren und verständlichen Sprache bereitzustellen.

V. Pflichten der Auftragsverarbeiter und Verantwortlichen

Auftragsverarbeiter dürfen personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen verarbeiten.

Es sind angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Auftragsverarbeiter haben den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen nach der GDPR zu unterstützen, insbesondere bei der Beantwortung von Anträgen betroffener Personen.

Im Falle einer Datenschutzverletzung ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Der Verantwortliche hat die zuständige Aufsichtsbehörde – in der Regel innerhalb von 72 Stunden – zu benachrichtigen.

Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen und bei Verarbeitungsvorgängen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und diesen bei der zuständigen Aufsichtsbehörde zu melden.

VI. Internationale Datenübermittlungen

Werden personenbezogene Daten in Staaten außerhalb der Europäischen Union übermittelt, muss der Verantwortliche sicherstellen, dass im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann insbesondere erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission (Adequacy Decision);

den Abschluss von Standardvertragsklauseln der Europäischen Union (SCCs);

andere von der GDPR zugelassene geeignete Garantien oder Übermittlungsmechanismen.

Nach der Ungültigerklärung des „Privacy Shield“ am 16. Juli 2020 sind deutsche Unternehmen verpflichtet, die aktualisierten Standardvertragsklauseln der EU (Fassung vom 4. Juni 2021) oder andere zulässige Übermittlungsinstrumente zu verwenden.

VII. Aufsicht und Durchsetzung

Die deutschen Datenschutzaufsichtsbehörden – der BfDI sowie die Datenschutzbehörden der Bundesländer – verfügen über umfassende Kontroll- und Durchsetzungsbefugnisse. Dazu gehören insbesondere:

die Erteilung von Verwarnungen oder Anordnungen zur Abhilfe;

die Einschränkung oder das Verbot bestimmter Verarbeitungstätigkeiten;

die Verhängung erheblicher Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus erlaubt das deutsche Recht betroffenen Personen, verbindliche Anweisungen zur Verarbeitung ihrer personenbezogenen Daten zu erteilen, einschließlich Regelungen für den Umgang mit Daten nach ihrem Tod. Liegen keine ausdrücklichen Anweisungen vor, hat die Verarbeitung im Einklang mit den gesetzlichen Bestimmungen zu erfolgen.

Der deutsche Durchsetzungsrahmen der GDPR dient dem Schutz der Persönlichkeitsrechte, der Stärkung der unternehmerischen Compliance und der Förderung von Vertrauen in die digitale Wirtschaft.