GDPR

Datenschutz und GDPR-Umsetzung in Deutschland

1. Einleitung
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (GDPR) in Deutschland und allen Mitgliedstaaten der Europäischen Union in Kraft. Zur Umsetzung der GDPR wurde in Deutschland das Bundesdatenschutzgesetz (BDSG) entsprechend angepasst.

Die Einhaltung der Datenschutzbestimmungen wird durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie durch die Datenschutzbehörden der einzelnen Bundesländer überwacht und durchgesetzt.

Das deutsche Datenschutzsystem entspricht vollständig den Vorgaben der GDPR und wird durch nationale gesetzliche Anforderungen ergänzt, um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

2. Geltungsbereich
Die Datenschutzvorschriften gelten für:

Alle Verantwortlichen und Auftragsverarbeiter, die in Deutschland tätig sind;
Organisationen außerhalb Deutschlands, die Waren oder Dienstleistungen an Personen in Deutschland anbieten oder deren Verhalten überwachen.

Die Regelungen finden Anwendung unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb Deutschlands erfolgt, sofern personenbezogene Daten von Personen in Deutschland betroffen sind.

Der Anwendungsbereich umfasst sowohl automatisierte Datenverarbeitung als auch nicht automatisierte Verarbeitung, sofern diese Teil eines strukturierten Dateisystems ist. Reine persönliche oder familiäre Tätigkeiten sind ausgenommen.

3. Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt nach folgenden Grundsätzen:

Rechtmäßigkeit, Fairness und Transparenz: Verarbeitung nur auf gesetzlicher Grundlage und mit klarer Information an die betroffene Person.
Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verwendet werden.
Datenminimierung: Es werden nur die für den jeweiligen Zweck notwendigen Daten erhoben.
Richtigkeit: Daten müssen korrekt, vollständig und aktuell sein.
Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist.
Integrität und Vertraulichkeit: Geeignete technische und organisatorische Maßnahmen schützen vor Verlust, Missbrauch oder unbefugtem Zugriff.

4. Rechte der betroffenen Personen
Nach der GDPR und deutschem Recht haben betroffene Personen folgende Rechte:

Auskunftsrecht: Informationen über die Verarbeitung ihrer Daten zu erhalten.
Recht auf Berichtigung: Unrichtige oder unvollständige Daten korrigieren zu lassen.
Recht auf Löschung („Recht auf Vergessenwerden“): Unter bestimmten Voraussetzungen die Löschung zu verlangen.
Recht auf Einschränkung der Verarbeitung: Die Nutzung der Daten in bestimmten Fällen zu begrenzen.
Recht auf Datenübertragbarkeit: Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und zu übertragen.
Widerspruchsrecht: Der Verarbeitung aus Gründen, die sich aus der besonderen Situation ergeben, zu widersprechen.
Rechte bei automatisierten Entscheidungen: Schutz vor ausschließlich automatisierten Entscheidungen einschließlich Profiling sowie Anspruch auf menschliches Eingreifen.

Für Minderjährige unter 16 Jahren ist die Verarbeitung personenbezogener Daten nur mit Zustimmung der Eltern oder Erziehungsberechtigten zulässig. Informationen müssen in verständlicher Form bereitgestellt werden.

5. Pflichten von Verantwortlichen und Auftragsverarbeitern
Auftragsverarbeiter müssen personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten.
Es sind geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit umzusetzen.
Unterstützung des Verantwortlichen bei der Einhaltung gesetzlicher Pflichten, insbesondere bei der Bearbeitung von Betroffenenanfragen.
Im Falle einer Datenschutzverletzung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, damit dieser innerhalb von 72 Stunden Meldung an die zuständige Aufsichtsbehörde erstatten kann.
Verantwortliche sind verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen und bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen.
In bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten (DPO) erforderlich.

6. Internationale Datenübermittlungen
Bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU muss ein angemessenes Datenschutzniveau sichergestellt werden, beispielsweise durch:

Angemessenheitsbeschlüsse der Europäischen Kommission;
Standardvertragsklauseln (SCCs) der EU;
andere zulässige Mechanismen gemäß GDPR.

Nach dem Wegfall des „Privacy Shield“ (16. Juli 2020) müssen Unternehmen aktualisierte Standardvertragsklauseln (Stand 4. Juni 2021) oder andere rechtmäßige Übermittlungsmechanismen verwenden.

7. Aufsicht und Durchsetzung
Die deutschen Datenschutzbehörden, einschließlich des BfDI und der Landesbehörden, verfügen über umfassende Befugnisse:

Erteilung von Verwarnungen und Anordnungen;
Einschränkung oder Verbot von Datenverarbeitungen;
Verhängung von Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus erlaubt das deutsche Recht es Einzelpersonen, spezifische Anweisungen zur Verarbeitung ihrer Daten zu geben, auch über den Tod hinaus. Ohne solche Anweisungen erfolgt die Datenverarbeitung gemäß den gesetzlichen Vorgaben.

Das deutsche Datenschutzsystem zielt darauf ab, die Rechte der betroffenen Personen zu schützen, die Einhaltung durch Unternehmen sicherzustellen und Vertrauen in digitale Dienstleistungen zu stärken.

8. Kontakt
Bei Fragen zum Datenschutz oder zur Verarbeitung personenbezogener Daten wenden Sie sich bitte an unser Datenschutzteam.

Telefon:+1(213)248-1594

E-Mail:care@lumarianest.com

Adresse:17050 SE PAGODA CT,MILWAUKIE,OR 97267-6361,United States

Geschäftszeiten: Montag bis Freitag, 9:00 bis 12:00 Uhr und 14:00 bis 18:00 Uhr (MEZ)