GDPR

1. Einleitung
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in Deutschland sowie in allen anderen Mitgliedstaaten der Europäischen Union. Zur Umsetzung der DSGVO wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) angepasst.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzbehörden der einzelnen Bundesländer sind für die Überwachung, Beratung und Durchsetzung der DSGVO und der nationalen Datenschutzvorschriften zuständig.

Das deutsche Datenschutzsystem steht vollständig im Einklang mit der DSGVO und berücksichtigt zugleich nationale Besonderheiten, um ein hohes Schutzniveau personenbezogener Daten sicherzustellen.

2. Anwendungsbereich
Die deutsche DSGVO-Umsetzung gilt für:

• Alle Verantwortlichen oder Auftragsverarbeiter mit Sitz in Deutschland
• Unternehmen außerhalb Deutschlands, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten beobachten

Die Regelungen gelten unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Datenverarbeitung als auch nicht automatisierte Verarbeitung in Dateisystemen. Rein persönliche oder familiäre Tätigkeiten sind ausgenommen.

3. Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt nach folgenden Grundsätzen:

• Rechtmäßigkeit, Fairness und Transparenz: Verarbeitung nur auf klarer Rechtsgrundlage und mit verständlicher Information der betroffenen Person
• Zweckbindung: Daten dürfen nur für festgelegte und legitime Zwecke verwendet werden
• Datenminimierung: Es werden nur notwendige Daten erhoben
• Richtigkeit: Daten müssen korrekt und aktuell gehalten werden
• Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es erforderlich ist
• Sicherheit und Vertraulichkeit: Schutz vor Verlust, Missbrauch und unbefugtem Zugriff durch technische und organisatorische Maßnahmen

4. Rechte der betroffenen Personen
Nach DSGVO und deutschem Recht stehen Ihnen folgende Rechte zu:

• Auskunftsrecht: Information über gespeicherte personenbezogene Daten
• Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit in einem strukturierten, gängigen Format
• Widerspruchsrecht gegen bestimmte Datenverarbeitungen
• Recht auf menschliches Eingreifen bei automatisierten Entscheidungen

Für Kinder unter 16 Jahren ist in Deutschland die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich. Informationen müssen in klarer und verständlicher Sprache bereitgestellt werden.

5. Pflichten von Verantwortlichen und Auftragsverarbeitern
Auftragsverarbeiter dürfen personenbezogene Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen verarbeiten. Sie müssen geeignete technische und organisatorische Maßnahmen zur Datensicherheit umsetzen.

Im Falle einer Datenschutzverletzung ist der Verantwortliche unverzüglich zu informieren, damit eine Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden erfolgen kann.

Der Verantwortliche ist verpflichtet, Verzeichnisse der Verarbeitungstätigkeiten zu führen und bei risikoreicher Verarbeitung eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen. In bestimmten Fällen ist die Bestellung eines Datenschutzbeauftragten (DPO) erforderlich.

6. Internationale Datenübermittlung
Die Übermittlung personenbezogener Daten in Länder außerhalb der EU ist nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann erfolgen durch:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• EU-Standardvertragsklauseln (SCCs)
• Andere nach DSGVO zulässige Garantien

Nach dem Wegfall des „Privacy Shield“ im Jahr 2020 müssen Unternehmen aktualisierte Standardvertragsklauseln oder andere geeignete Mechanismen verwenden.

7. Aufsicht und Durchsetzung
Die Datenschutzbehörden in Deutschland (BfDI und Landesbehörden) verfügen über umfassende Befugnisse, darunter:

• Verwarnungen und Anordnungen
• Einschränkung oder Verbot von Datenverarbeitung
• Verhängung von Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Betroffene Personen können zudem Vorgaben zur Nutzung ihrer Daten machen, einschließlich Regelungen für die Nutzung nach dem Tod, sofern keine anderen gesetzlichen Vorgaben bestehen.

8. Kontaktinformationen
Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie sich jederzeit an unseren Datenschutzkontakt wenden.