GDPR

Einleitung
Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO, engl. GDPR) verbindlich in Deutschland und allen anderen EU-Mitgliedstaaten. Zur Umsetzung der DSGVO wurde das Bundesdatenschutzgesetz (BDSG) in Deutschland entsprechend angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der DSGVO und der nationalen Datenschutzvorschriften in Deutschland zuständig.

Das deutsche Datenschutzsystem entspricht vollständig der DSGVO und wird durch nationale Besonderheiten ergänzt, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

Geltungsbereich
Die deutschen DSGVO-Umsetzungsregelungen gelten für:
– Alle Verantwortlichen (Controller) und Auftragsverarbeiter (Processor), die in Deutschland ansässig sind
– Unternehmen außerhalb Deutschlands, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten in Deutschland beobachten

Die Regelung gilt unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands stattfindet, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Ausgenommen sind ausschließlich Datenverarbeitungen, die rein persönlicher oder familiärer Natur sind und keine Verbindung zu beruflichen oder kommerziellen Aktivitäten haben.

Grundsätze der Datenverarbeitung
Rechtmäßigkeit, Fairness und Transparenz: Datenverarbeitung muss auf einer klaren rechtlichen Grundlage beruhen und für Betroffene nachvollziehbar sein.
Zweckbindung: Daten dürfen nur für festgelegte, legitime Zwecke verarbeitet werden.
Datenminimierung: Es dürfen nur die für den Zweck erforderlichen Daten erhoben werden.
Richtigkeit: Daten müssen korrekt, vollständig und aktuell gehalten werden.
Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es notwendig ist, danach müssen sie gelöscht oder anonymisiert werden.
Integrität und Vertraulichkeit: Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

Rechte der betroffenen Personen
Nach DSGVO und deutschem Recht haben Personen folgende Rechte:
– Auskunftsrecht: Recht auf Informationen über gespeicherte Daten und deren Verarbeitung
– Berichtigungsrecht: Recht auf Korrektur unrichtiger oder unvollständiger Daten
– Recht auf Löschung (Recht auf Vergessenwerden): Recht auf Löschung personenbezogener Daten unter bestimmten Voraussetzungen
– Recht auf Einschränkung der Verarbeitung
– Recht auf Datenübertragbarkeit in einem strukturierten, gängigen Format
– Widerspruchsrecht gegen bestimmte Datenverarbeitungen
– Rechte bei automatisierten Entscheidungen einschließlich Profiling

Für Kinder unter 16 Jahren ist die Verarbeitung personenbezogener Daten nur mit Zustimmung der Eltern oder Erziehungsberechtigten zulässig. Informationen müssen in verständlicher Sprache bereitgestellt werden.

Pflichten der Datenverarbeiter
Datenverarbeiter müssen:
– ausschließlich nach dokumentierten Anweisungen des Verantwortlichen handeln
– geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen
– den Verantwortlichen bei der Erfüllung der DSGVO-Pflichten unterstützen
– Datenschutzverletzungen unverzüglich melden, damit der Verantwortliche innerhalb von 72 Stunden die zuständige Behörde informieren kann

Verantwortliche müssen zudem Verarbeitungsverzeichnisse führen, ggf. Datenschutz-Folgenabschätzungen durchführen und gegebenenfalls einen Datenschutzbeauftragten benennen.

Internationale Datenübermittlung
Bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU müssen geeignete Schutzmaßnahmen gewährleistet sein, z. B.:
– Angemessenheitsbeschluss der EU-Kommission
– EU-Standardvertragsklauseln (SCCs)
– andere rechtlich zulässige Übermittlungsmechanismen

Nach dem Wegfall des Privacy Shield (16. Juli 2020) sind aktualisierte Standardvertragsklauseln oder andere gültige Rechtsgrundlagen erforderlich.

Aufsicht und Durchsetzung
Die deutschen Datenschutzbehörden (BfDI und Landesbehörden) verfügen über weitreichende Befugnisse, darunter:
– Erteilung von Verwarnungen oder Anordnungen
– Einschränkung oder Verbot von Datenverarbeitungen
– Verhängung hoher Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Die deutsche Datenschutzgesetzgebung stärkt den Schutz personenbezogener Daten, erhöht die Compliance-Anforderungen für Unternehmen und fördert Vertrauen in digitale Dienste.

Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns jederzeit über die angegebenen Kontaktkanäle erreichen.