GDPR

Datenschutzrecht in Deutschland (GDPR & BDSG)

1. Einleitung
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (GDPR) in Deutschland sowie in allen Mitgliedstaaten der Europäischen Union. Zur Umsetzung wurde das nationale Datenschutzgesetz, das Bundesdatenschutzgesetz (BDSG), entsprechend angepasst.

Die Aufsicht erfolgt durch den Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie durch die Datenschutzbehörden der einzelnen Bundesländer.
Das deutsche Datenschutzsystem basiert vollständig auf der GDPR und wird durch nationale Vorschriften ergänzt, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

2. Geltungsbereich
Die Datenschutzregelungen gelten für:

alle in Deutschland ansässigen Verantwortlichen (Verantwortlicher) und Auftragsverarbeiter (Auftragsverarbeiter);
Unternehmen außerhalb Deutschlands, die Waren oder Dienstleistungen für Personen in Deutschland anbieten oder deren Verhalten überwachen.

Die Vorschriften gelten unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Erfasst werden sowohl automatisierte als auch nicht automatisierte Verarbeitungen (z. B. strukturierte Dateisysteme). Rein persönliche oder familiäre Tätigkeiten sind hiervon ausgenommen.

3. Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz
Die Verarbeitung muss auf einer klaren Rechtsgrundlage beruhen und für die betroffene Person nachvollziehbar sein.

Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

Datenminimierung
Es dürfen nur die für den jeweiligen Zweck erforderlichen Daten erhoben werden.

Richtigkeit
Die Daten müssen korrekt, vollständig und aktuell sein.

Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden.

Sicherheit und Vertraulichkeit
Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.

4. Rechte der betroffenen Personen
Nach der GDPR und deutschem Recht haben betroffene Personen folgende Rechte:

Auskunftsrecht und Recht auf Information
Recht auf Berichtigung
Recht auf Löschung („Recht auf Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Widerspruchsrecht gegen Datenverarbeitung
Rechte im Zusammenhang mit automatisierten Entscheidungen (einschließlich Profiling)

Für Minderjährige unter 16 Jahren gilt in Deutschland eine besondere Regelung: Die Verarbeitung personenbezogener Daten erfordert die Zustimmung der Eltern oder Erziehungsberechtigten, und Informationen müssen in verständlicher Form bereitgestellt werden.

5. Pflichten von Verantwortlichen und Auftragsverarbeitern

Auftragsverarbeiter dürfen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
Es müssen geeignete Sicherheitsmaßnahmen implementiert werden.
Unterstützung bei der Erfüllung von Betroffenenrechten ist verpflichtend.
Bei Datenschutzverletzungen muss der Verantwortliche innerhalb von 72 Stunden die zuständige Behörde informieren.
Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen und bei hohem Risiko eine Datenschutz-Folgenabschätzung (DPIA) durchführen.
In bestimmten Fällen ist ein Datenschutzbeauftragter (DPO) zu benennen.

6. Internationale Datenübermittlung
Die Übermittlung personenbezogener Daten in Länder außerhalb der EU ist nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet ist, beispielsweise durch:

Angemessenheitsbeschlüsse der EU-Kommission
EU-Standardvertragsklauseln (SCCs)
Andere zulässige Mechanismen gemäß GDPR

Nach dem Wegfall des „Privacy Shield“ im Jahr 2020 müssen Unternehmen aktualisierte Standardvertragsklauseln (Stand 2021) oder andere rechtmäßige Instrumente verwenden.

7. Aufsicht und Durchsetzung
Die deutschen Datenschutzbehörden, einschließlich des BfDI und der Landesbehörden, verfügen über umfassende Befugnisse:

Verwarnungen und Anordnungen
Einschränkung oder Verbot von Datenverarbeitungen
Verhängung von Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Darüber hinaus erlaubt das deutsche Recht Einzelpersonen, Anweisungen zur Verwendung ihrer Daten zu geben, auch über den Tod hinaus. Ohne entsprechende Festlegung erfolgt die Verarbeitung gemäß den gesetzlichen Vorschriften.

Das Datenschutzsystem in Deutschland dient dazu, die Rechte der Bürger zu schützen, die Einhaltung durch Unternehmen sicherzustellen und Vertrauen in die digitale Wirtschaft zu stärken.