GDPR

Einleitung

Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) in Deutschland und allen anderen EU-Mitgliedstaaten in Kraft. Zur Umsetzung der DSGVO wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) angepasst.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Datenschutzaufsichtsbehörden der einzelnen Bundesländer sind für die Überwachung, Auslegung und Durchsetzung der DSGVO und der nationalen Datenschutzvorschriften zuständig.

Das deutsche Datenschutzsystem steht in vollständiger Übereinstimmung mit der DSGVO und berücksichtigt gleichzeitig nationale Besonderheiten, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten.

Anwendungsbereich

Die deutschen DSGVO-Umsetzungsvorschriften gelten für:

alle Verantwortlichen (Verantwortlicher) oder Auftragsverarbeiter (Auftragsverarbeiter), die in Deutschland niedergelassen sind;

Unternehmen außerhalb Deutschlands, die Personen in Deutschland Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.

Die Regelungen gelten unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Datenverarbeitung als auch nicht automatisierte Verarbeitung, sofern diese Teil eines Dateisystems ist. Rein persönliche oder familiäre Tätigkeiten sind ausgenommen.

Grundsätze der Datenverarbeitung

Rechtmäßigkeit, Fairness und Transparenz: Jede Verarbeitung personenbezogener Daten muss auf einer klaren Rechtsgrundlage beruhen und für die betroffenen Personen nachvollziehbar sein.

Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verwendet werden.

Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind.

Richtigkeit: Daten müssen korrekt, vollständig und aktuell gehalten werden.

Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist, danach müssen sie gelöscht oder anonymisiert werden.

Integrität und Vertraulichkeit: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten vor Verlust, Missbrauch oder unbefugtem Zugriff treffen.

Rechte der betroffenen Personen

Nach der DSGVO und deutschem Recht stehen den betroffenen Personen folgende Rechte zu:

Auskunftsrecht: Recht auf Information über gespeicherte Daten und deren Verarbeitung.

Recht auf Berichtigung: Recht auf Korrektur unrichtiger oder unvollständiger Daten.

Recht auf Löschung („Recht auf Vergessenwerden“): Recht auf Löschung personenbezogener Daten unter bestimmten Voraussetzungen.

Recht auf Einschränkung der Verarbeitung: Recht, die Verarbeitung unter bestimmten Bedingungen einzuschränken.

Recht auf Datenübertragbarkeit: Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht: Recht, der Verarbeitung aufgrund berechtigter Interessen oder öffentlicher Interessen zu widersprechen.

Recht auf automatisierte Entscheidungen: Recht auf Information, Widerspruch und menschliches Eingreifen bei automatisierten Entscheidungsprozessen, einschließlich Profiling.

Für Kinder unter 16 Jahren in Deutschland ist für die Verarbeitung personenbezogener Daten die Zustimmung der Eltern oder Erziehungsberechtigten erforderlich. Informationen müssen in verständlicher Sprache bereitgestellt werden.

Pflichten der Auftragsverarbeiter

Auftragsverarbeiter müssen die schriftlichen Anweisungen des Verantwortlichen strikt befolgen.

Sie müssen geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren.

Sie müssen den Verantwortlichen bei der Erfüllung der DSGVO-Pflichten unterstützen, insbesondere bei der Beantwortung von Anfragen betroffener Personen.

Im Falle einer Datenschutzverletzung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, sodass dieser innerhalb von 72 Stunden die Aufsichtsbehörde (BfDI) benachrichtigen kann.

Verantwortliche müssen Verzeichnisse über Verarbeitungstätigkeiten führen und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung (DPIA) durchführen.

Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten (DPO) zu benennen und dies der zuständigen Aufsichtsbehörde zu melden.

Internationale Datenübermittlung

Bei der Übermittlung personenbezogener Daten außerhalb der EU muss sichergestellt werden, dass ein angemessenes Datenschutzniveau besteht. Dies kann erfolgen durch:

Angemessenheitsbeschlüsse der EU-Kommission;

Standardvertragsklauseln (SCCs);

oder andere rechtlich zulässige Mechanismen der DSGVO.

Nach dem Wegfall des „Privacy Shield“ am 16. Juli 2020 müssen Unternehmen in Deutschland aktualisierte Standardvertragsklauseln (Version vom 4. Juni 2021) oder andere geeignete Mechanismen verwenden.

Aufsicht und Durchsetzung

Die deutschen Datenschutzbehörden (BfDI und Landesbehörden) verfügen über weitreichende Befugnisse, darunter:

Erteilung von Verwarnungen oder Anordnungen;

Einschränkung oder Verbot von Datenverarbeitungen;

Verhängung von Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus erlaubt das deutsche Recht unter bestimmten Umständen auch Anweisungen der betroffenen Person zur Datenverarbeitung, einschließlich Regelungen für den Fall des Todes. Ohne entsprechende Anweisung erfolgt die Verarbeitung gemäß den gesetzlichen Vorgaben.

Das deutsche DSGVO-System dient dem Schutz personenbezogener Daten, der Stärkung der Compliance und der Förderung digitaler Vertrauensstrukturen.

Kontakt

Telefon:+1(631)827-5381

E-Mail:hello@nordicvistaa.com

Adresse:13030 Mill House Ct,Germantown,MD 20874,United States

Öffnungszeiten: Montag bis Freitag, 9:00 bis 12:00 Uhr und 14:00 bis 18:00 Uhr (MEZ)