1.Einleitung
Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der gesamten Europäischen Union in Kraft und bildet das Kernregelwerk zum Datenschutz in Europa. In Deutschland wird die DSGVO durch das Organische Gesetz Nr. 3/2018 zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte (LOPDGDD) ergänzt. Die deutsche Datenschutzbehörde (AEPD) ist für die Überwachung und Durchsetzung der Verordnung zuständig.
2.Anwendungsbereich
Die DSGVO gilt für die Verarbeitung personenbezogener Daten innerhalb Deutschlands, konkret in folgenden Fällen:
- Datenverantwortliche oder Auftragsverarbeiter haben in Deutschland eine Niederlassung und führen dort Datenverarbeitungen durch;
- Auch wenn keine Niederlassung in Deutschland besteht, werden Waren oder Dienstleistungen an Einwohner Deutschlands angeboten oder deren Verhalten überwacht (z. B. Online-Verhaltensanalysen);
- Automatisierte Datenverarbeitung oder Verarbeitung, die in strukturierten Archivsystemen (z. B. Datenbanken) enthalten ist;
- Ausgenommen ist die Datenverarbeitung ausschließlich zu privaten oder familiären Zwecken.
3.Grundsätze der Datenverarbeitung
Bei der Verarbeitung personenbezogener Daten in Deutschland sind folgende sieben Grundsätze strikt einzuhalten:
- Rechtmäßigkeit, Fairness und Transparenz: Die Verarbeitung muss eine rechtliche Grundlage haben, fair und transparent erfolgen sowie den Nutzern klar die Verwendungszwecke darlegen;
- Zweckbindung: Die Datenerhebung muss auf klaren, rechtmäßigen Zwecken basieren und darf nicht für andere Zwecke verwendet werden;
- Datenminimierung: Es dürfen nur so viele Daten erhoben werden, wie für den jeweiligen Zweck unbedingt erforderlich sind;
- Richtigkeit: Die Daten müssen korrekt und aktuell gehalten werden;
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es zur Erreichung des Verarbeitungszwecks notwendig ist;
- Integrität und Vertraulichkeit: Technische und organisatorische Maßnahmen müssen getroffen werden, um die Datensicherheit zu gewährleisten und unbefugten Zugriff oder Datenverlust zu verhindern;
- Rechenschaftspflicht: Datenverantwortliche müssen ihre Einhaltung der DSGVO nachweisen können.
4.Rechte der betroffenen Personen
Betroffene Personen in Deutschland haben folgende Rechte, um ihre Datensicherheit und Privatsphäre zu schützen:
- Recht auf Auskunft: Informationen über Zweck, Rechtsgrundlage, Speicherfrist und verantwortliche Stellen erhalten;
- Recht auf Zugang: Kopien der personenbezogenen Daten anfordern;
- Recht auf Berichtigung: Unrichtige oder unvollständige Daten berichtigen lassen;
- Recht auf Löschung („Recht auf Vergessenwerden“): Löschung der Daten unter rechtlichen Voraussetzungen verlangen;
- Recht auf Einschränkung der Verarbeitung: Nutzung der Daten unter bestimmten Umständen einschränken lassen;
- Recht auf Datenübertragbarkeit: Erhalt der Daten in einem strukturierten, gängigen Format und Übermittlung an andere Verantwortliche;
- Widerspruchsrecht: Widerspruch gegen Datenverarbeitung, insbesondere zu Direktmarketing-Zwecken;
- Schutz von Minderjährigen: Verarbeitung von Daten von Kindern unter 14 Jahren nur mit Zustimmung der Eltern oder Erziehungsberechtigten, Informationen müssen klar und verständlich sein.
5.Pflichten von Verantwortlichen und Auftragsverarbeitern
Verantwortliche und Auftragsverarbeiter müssen folgende Pflichten erfüllen:
- Daten nur auf Grundlage von Verträgen oder schriftlichen Anweisungen rechtmäßig verarbeiten;
- Effektive technische und organisatorische Maßnahmen zur Datensicherheit umsetzen;
- Unterstützung bei der Erfüllung der Rechte betroffener Personen leisten;
- Datenpannen unverzüglich melden;
- Detaillierte Verarbeitungsverzeichnisse führen;
- Datenschutz-Folgenabschätzungen (DSFA) bei risikoreichen Verarbeitungen (z. B. Gesundheitsdaten, automatisierte Entscheidungen, Daten von Minderjährigen) durchführen;
- Bei Bedarf einen Datenschutzbeauftragten (DSB) ernennen und die AEPD informieren.
6.Internationale Datenübermittlung
Die Übermittlung personenbezogener Daten aus Deutschland in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist nur zulässig, wenn ein gleichwertiges Datenschutzniveau gewährleistet ist. Zulässige Mechanismen sind:
- Angemessenheitsbeschluss der Europäischen Kommission (Bestätigung ausreichenden Schutzes im Empfängerland);
- Standardvertragsklauseln (SCC), von der EU genehmigte Vertragsmuster zur Legitimierung der Übermittlung;
- Falls erforderlich, zusätzliche Sicherheitsmaßnahmen zur Sicherstellung des Datenschutzes;
- Nach dem Urteil Schrems II von 2020 und dem Wegfall des Privacy Shield wurde im Juni 2021 ein neues Abkommen der EU eingeführt, zu dem die AEPD entsprechende Leitlinien veröffentlicht hat.
7.Aufsicht und Sanktionen
Die deutsche Datenschutzbehörde (AEPD) besitzt umfassende Kontrollrechte:
- Durchführung von Vor-Ort-Prüfungen und Dokumentenprüfungen;
- Anordnung von Aussetzungen oder Beschränkungen rechtswidriger Datenverarbeitung;
- Verhängung hoher Bußgelder, maximal 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist;
- Umgang mit Daten verstorbener Personen unter Berücksichtigung deren letzter Wünsche, im Fehlfall können Erben Zugriff oder Löschung verlangen.
8.Fazit
Die Umsetzung der DSGVO in Deutschland zeigt die hohe Wertschätzung der Rechte betroffener Personen. Ein solides Datenschutzmanagementsystem stellt nicht nur die rechtmäßige, transparente und sichere Datenverarbeitung sicher, sondern verringert auch rechtliche Risiken und stärkt das Vertrauen der Öffentlichkeit in die digitale Umwelt – eine unverzichtbare Voraussetzung für Unternehmen, die in Deutschland tätig sind.