GDPR

I. Einleitung

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (GDPR) in Deutschland und in allen Mitgliedstaaten der Europäischen Union in Kraft. Zur nationalen Umsetzung wurde das Bundesdatenschutzgesetz (BDSG) angepasst und ergänzt.

Die Einhaltung der Datenschutzvorschriften wird durch den Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie durch die Datenschutzbehörden der einzelnen Bundesländer überwacht. Diese Institutionen beraten, kontrollieren und setzen die gesetzlichen Bestimmungen durch.

Deutschland folgt vollständig den Vorgaben der GDPR und ergänzt diese durch nationale Regelungen, um ein besonders hohes Datenschutzniveau sicherzustellen.

II. Geltungsbereich

Die Datenschutzregelungen gelten für:

– Unternehmen und Organisationen mit Sitz in Deutschland, die personenbezogene Daten als Verantwortliche oder Auftragsverarbeiter verarbeiten;

– Unternehmen außerhalb Deutschlands, sofern sie Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten in Deutschland beobachten.

Die Vorschriften finden Anwendung, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb Deutschlands stattfindet, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte Datenverarbeitungen als auch nichtautomatisierte Verfahren, wenn diese Teil eines strukturierten Dateisystems sind. Private oder familiäre Tätigkeiten sind hiervon ausgenommen.

III. Grundprinzipien der Datenverarbeitung

Rechtmäßigkeit und Transparenz: Jede Verarbeitung benötigt eine gültige Rechtsgrundlage. Betroffene Personen müssen klar und verständlich über Zweck und Umfang der Verarbeitung informiert werden.

Zweckbindung: Daten dürfen nur für eindeutig festgelegte und rechtmäßige Zwecke verwendet werden.

Datenminimierung: Es werden nur diejenigen Daten erhoben, die für den jeweiligen Zweck erforderlich sind.

Richtigkeit: Daten müssen korrekt sein und bei Bedarf aktualisiert werden.

Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden, als es für den jeweiligen Zweck notwendig ist.

Sicherheit: Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass personenbezogene Daten vor Missbrauch, Verlust oder unbefugtem Zugriff geschützt sind.

IV. Rechte der betroffenen Personen

Personen, deren Daten verarbeitet werden, haben insbesondere folgende Rechte:

– Auskunft über ihre gespeicherten Daten und deren Verarbeitung;

– Berichtigung unrichtiger oder unvollständiger Daten;

– Löschung ihrer Daten unter bestimmten Voraussetzungen;

– Einschränkung der Verarbeitung in bestimmten Fällen;

– Datenübertragbarkeit in einem strukturierten und maschinenlesbaren Format;

– Widerspruch gegen bestimmte Verarbeitungen;

– Schutz vor ausschließlich automatisierten Entscheidungen einschließlich Profiling.

Für Minderjährige unter 16 Jahren gelten besondere Schutzvorschriften. In der Regel ist die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich, und Informationen müssen altersgerecht formuliert sein.

V. Pflichten von Verantwortlichen und Auftragsverarbeitern

Auftragsverarbeiter dürfen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.

Unternehmen müssen geeignete Sicherheitsmaßnahmen implementieren, um personenbezogene Daten zu schützen.

Bei Datenschutzverletzungen ist der Verantwortliche verpflichtet, innerhalb von 72 Stunden die zuständige Aufsichtsbehörde zu informieren.

Es besteht die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten sowie zur Durchführung einer Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen.

Bestimmte Organisationen müssen einen Datenschutzbeauftragten benennen.

VI. Datenübermittlung in Drittstaaten

Bei der Übermittlung personenbezogener Daten außerhalb der EU ist sicherzustellen, dass ein angemessenes Datenschutzniveau besteht, beispielsweise durch:

– einen Angemessenheitsbeschluss der EU-Kommission;

– Standardvertragsklauseln (SCCs);

– andere zulässige Garantien gemäß der GDPR.

Nach dem Wegfall des Privacy Shield im Juli 2020 müssen Unternehmen auf aktualisierte Standardvertragsklauseln oder andere zulässige Mechanismen zurückgreifen.

VII. Aufsicht und Sanktionen

Die Datenschutzbehörden können Maßnahmen ergreifen, darunter:

– Verwarnungen und Anordnungen;

– Einschränkung oder Verbot bestimmter Datenverarbeitungen;

– Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Das deutsche Datenschutzsystem verfolgt das Ziel, die Rechte der Bürger zu stärken, Unternehmen zu verantwortungsbewusstem Umgang mit Daten zu verpflichten und Vertrauen in digitale Prozesse zu fördern.