GDPR

I. Einführung

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (GDPR) in Deutschland und in allen Mitgliedstaaten der Europäischen Union verbindlich anwendbar. Zur nationalen Umsetzung wurde das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Für die Überwachung und Durchsetzung der Datenschutzvorschriften sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer verantwortlich.

Das deutsche Datenschutzrecht entspricht vollständig den Vorgaben der GDPR und ergänzt diese durch nationale Besonderheiten, um einen hohen Schutz personenbezogener Daten zu gewährleisten.

II. Geltungsbereich

Die deutschen Datenschutzvorschriften gelten für:

alle Unternehmen und Stellen mit Sitz in Deutschland, die personenbezogene Daten verarbeiten;

Unternehmen außerhalb Deutschlands, sofern sie Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Dabei spielt es keine Rolle, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt. Entscheidend ist, dass personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte als auch nichtautomatisierte Verarbeitungen im Rahmen eines Dateisystems. Reine private oder familiäre Tätigkeiten sind ausgenommen.

III. Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit und Transparenz: Jede Verarbeitung benötigt eine gesetzliche Grundlage. Betroffene Personen müssen klar und verständlich über Zweck und Umfang informiert werden.

Zweckbindung: Daten dürfen nur für eindeutig festgelegte und rechtmäßige Zwecke genutzt werden.

Datenminimierung: Es werden nur solche Daten erhoben, die tatsächlich erforderlich sind.

Richtigkeit: Daten müssen korrekt und aktuell gehalten werden.

Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist.

Sicherheit: Durch geeignete technische und organisatorische Maßnahmen müssen Daten vor Verlust, Missbrauch oder unbefugtem Zugriff geschützt werden.

IV. Rechte der betroffenen Personen

Personen haben umfassende Rechte, darunter:

das Recht auf Information und Auskunft über ihre gespeicherten Daten;

das Recht auf Berichtigung fehlerhafter Daten;

das Recht auf Löschung unter bestimmten Voraussetzungen;

das Recht auf Einschränkung der Verarbeitung;

das Recht auf Datenübertragbarkeit;

das Recht auf Widerspruch gegen bestimmte Verarbeitungen;

Rechte im Zusammenhang mit automatisierten Entscheidungen und Profiling, einschließlich des Rechts auf menschliche Überprüfung.

Für Kinder unter 16 Jahren ist grundsätzlich die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Informationen müssen altersgerecht und verständlich bereitgestellt werden.

V. Pflichten der Verantwortlichen und Auftragsverarbeiter

Auftragsverarbeiter handeln ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Es müssen angemessene Sicherheitsmaßnahmen umgesetzt werden.

Sie unterstützen den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten.

Bei Datenschutzverletzungen ist der Verantwortliche unverzüglich zu informieren, damit die Meldung an die zuständige Behörde innerhalb von 72 Stunden erfolgen kann.

Verantwortliche müssen Verarbeitungstätigkeiten dokumentieren und gegebenenfalls eine Datenschutz-Folgenabschätzung durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu benennen.

VI. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU ist nur zulässig, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Dies kann unter anderem erfolgen durch:

einen Angemessenheitsbeschluss der Europäischen Kommission;

EU-Standardvertragsklauseln;

andere gesetzlich zulässige Garantien.

Nach der Aufhebung des Privacy Shield im Juli 2020 müssen aktualisierte Standardvertragsklauseln oder andere geeignete Instrumente verwendet werden.

VII. Aufsicht und Sanktionen

Die Datenschutzbehörden in Deutschland verfügen über umfangreiche Befugnisse. Sie können Verwarnungen aussprechen, Anordnungen treffen oder die Datenverarbeitung untersagen.

Bei schwerwiegenden Verstößen können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

Darüber hinaus können Personen festlegen, wie ihre Daten auch nach ihrem Tod verwendet werden sollen. Ohne eine solche Festlegung erfolgt die Verarbeitung im Rahmen der gesetzlichen Bestimmungen.

Das deutsche Datenschutzsystem dient dem Schutz der Grundrechte, der Sicherstellung unternehmerischer Verantwortung und der Stärkung des Vertrauens in digitale Prozesse.