Datenschutzbehörden und die DSGVO

Die Europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 Anwendung finden und stellt das Datenschutzrecht auf eine neue Grundlage. Die bisherigen datenschutzrechtlichen Grundprinzipien bleiben im Kern zwar erhalten, jedoch ist die DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen im Verhältnis zum BDSG und der DSRL sehr viel umfangreicher, teils schwer überschaubar und zuweilen noch in vielen Punkten strittig. Neben der bisher verfügbaren Literatur äußern sich nun auch immer öfter die Datenschutzbehörden (die Art. 29 Datenschutzgruppe, der Düsseldorfer Kreis und die Landesbeauftragten für Datenschutz) mit Stellungnahmen zu Auslegungsfragen und sprechen Empfehlungen zur Anwendung der DSGVO aus.

In Zeiten rechtlicher Unsicherheit kommt den Äußerungen der Behörden natürlich besondere Bedeutung zu. Deswegen haben wir die bisherigen Verlautbarungen der Behörden zur DSGVO hier zusammengefasst und verlinkt. Die Übersicht wird nach und nach aktualisiert. 

Inhaltsverzeichnis

Allgemeines

Fortgeltung von Alt-Einwilligungen unter DSGVO

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

Automatisierte Enscheidungen im Einzelfall einschließlich Profiling (Scoring)

Verarbeitung personenbezogener Daten für Werbung / „Umgehung“ des Kopplungsverbots

Datenübertragbarkeit

Datenschutzbeauftragter

Technische und organisatorische Maßnahmen

Datenschutzfolgenabschätzung

Meldung von Datenschutzverstößen / Data Breach Notification

Zuständigkeit der federführenden Aufsichtsbehörde

Internet der Dinge

Umsetzunghilfen zur DSGVO

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

 

Allgemeines

Notwendigkeit der Verstärkung der Aufsichtsbehörden

Mit Anwendung der DSGVO am 25.5.2018 kommt eine Vielzahl neuer Aufgaben und Herausforderungen auf die Aufsichtsbehörden zu (Art. 57 Abs. 1 lit. a bis v DSGVO). Dies bedeutet für die Aufsichtsbehörden, dass ihnen, so wie es Art. 52 Abs. 4 DSGVO fordert, die notwendigen „personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen[…]“ zur Verfügung gestellt werden. Das die vorhandenen Mittel nicht ausreichen ist unlängst klar. Zu diesem Thema wurden mittlerweile auch zwei Gutachten in Auftrag gegeben und veröffentlicht (von Prof. Dr. Hans Peter Bull und Prof. Dr. Alexander Roßnagel), die beide zu dem Ergebnis kommen, dass eine Notwendigkeit der Aufstockung finanzieller und personeller Mittel besteht, um die zukünftigen Aufgaben bewältigen zu können.

BDSG-neu

Das Unabhängige Landeszentrum für Datenschutz (ULD) äußert sich in seinem Jahresbericht, wie bereits auch andere Landesdatenschutzbeauftragte, kritisch zum Datenschutz-Anpassungs und Umsetzungsgesetz – EU (DSAnpUG-EU), das u.a. das Bundesdatenschutzgesetz reformiert. Die von den Aufsichtsbehörden des Bundes und der Länder kritisiert Punkte, sind zu einem Großenteil vom Gesetzgeber nicht umgesetzt worden. Diesbezüglich empfehlen die Landesdatenschutzbeauftragten immer öfter sich im Zweifel nach der DSGVO zu richten.

 

Fortgeltung von Alt-Einwilligungen unter DSGVO

Unter welchen Voraussetzungen Alt-Einwilligungen mit Anwendung der DSGVO fortgelten ist nicht abschließend geklärt und stellt für die Unternehmenspraxis eine der wichtigsten Auslegungsfragen dar.

Artikel 29 Datenschutzgruppe

Zum jetzigen Zeitpunkt gibt es von der Artikel 29 Datenschutzgruppe noch keine Stellungnahme zum Thema Einwilligungen bzw. Fortgeltung von Alt-Einwilligungen. Der Pressemitteilung vom Januar ist jedoch zu entnehmen, dass dies bereits auf dem Aktionsplan steht und Stellungnahme sehr wahrscheinlich noch im ersten Halbjahr 2017 erscheinen wird.

Düsseldorfer Kreis

Nach dem Beschluss des Düsseldorfer Kreises vom 13./14. September 2016 sollen bisher rechtswirksame eingeholte Einwilligungen fortgelten. Jedoch soll besonders die Voraussetzung der Freiwilligkeit („Kopplungsverbot“, Art. 7 Abs. 4 i.V.m. Erwägungsgrund (43) DSGVO) und die Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. Erwägungsgrund (38) DSGVO) Beachtung finden.

Berliner Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht der Berliner Landesbeauftragten für Datenschutz 2016 heißt es auf Seite 29 ebenfalls, jedoch mit speziellem Bezug auf den Bankenbereich, dass „bestehende Einwilligungserklärungen auch nach dem Inkrafttreten der DS-GVO wirksam bleiben, auch wenn unter der Geltung des BDSG-Alt die neuen Transparenzvorgaben nicht voll umgesetzt wurden… .“ Interessant ist insbesondere, dass dies auch gelten soll, wenn kein Hinweis auf das Widerrufsrecht gegeben wurde. Sie empfehlen Banken trotz alledem Betroffene nachträglich auf ihr Widerrufsrecht hinzuweisen, bspw. durch einen Hinweis auf den Kontoauszügen.

Bayerisches Landesamt für Datenschutzaufsicht

Die Stellungnahme, des Bayerischen Landesamts für Datenschutz deckt sich mit der des Düsseldorfer Kreises, dass bisher rechtswirksam eingeholte Einwilligungen sollen wirksam bleiben. Für Alt-Einwilligungen soll der in Erwägungsgrund (42) DSGVO genannte Mindestgehalt an Information gelten.

Landesbeauftragte für Datenschutz Nordrhein-Westfalen

Auch die Landesbeauftragte für Datenschutz NRW geht in ihrem Jahresbericht davon aus, dass bisher erteilte Einwilligungen bei Berücksichtigung der vom Düsseldorfer Kreis herausgegebenen Kriterien unter der DSGVO fortgelten.

Hessischer Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht 2016 des Hessischen Landesbeauftragten für Datenschutz ist der Beschluss des Düsseldorfer Kreises zur Fortgeltung von Alt-Einwilligungen ohne eigenen Kommentar abgedruckt. Demnach werden bisher rechtswirksame eingeholte Einwilligungen grundsätzlich fortgelten.

 

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

SCHUFA-Hinweislösung

Die Schufa hat in Zusammenarbeit mit der Deutschen Kreditwirtschaft und dem Düsseldorfer Kreis ein Verfahren erarbeitet, welches den Ansprüchen der DSGVO entsprechen soll. Wie auch schon von Aufsichtsbehörden empfohlen, soll die neue SCHUFA-Klausel nicht als Einwilligungserklärung ausgestaltet sein. Stattdessen wird für die Zulässigkeit der Datenverarbeitung künftig auf Art. 6 Abs. 1 S. 1 lit. b („Vertragserfüllung“) sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO („berechtigte Interessen) abgestellt. Momentan nur für Business-Kunden einsehbar, hat die SCHUFA eine Hinweislösung mit entsprechenden Textbausteinen (bestehend aus „SCHUFA-Hinweis“ und „SCHUFA-Informationsblatt“) und FAQs zur DSGVO auf ihrer Website veröffentlicht.

Berliner Landesdatenschutzbeauftragte

Die Berliner Landesdatenschutzbeauftragte empfiehlt, ebenfalls mit Bezug auf den Bankenbereich, auf eine Einwilligung zu verzichten, da diese aufgrund fehlender Freiwilligkeit und des Koppelungsverbots unwirksam sind. Es soll auf die Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO abgestellt werden, bspw. zur Ermittlung des Kreditausfallrisikos.

Hessischer Landesbeauftragte für Datenschutz

Nach der Stellungnahme des Hessischen Landesbeauftragen für Datenschutz kann "der bisher zulässige Datenaustausch mit Auskunfteien ... zukünftig auf Art. 6 Abs. 1 lit. b und f DSGVO gestützt werden". Somit wird es "bei der Interessenabwägung bleiben, die bisher gem. §§ 28 Abs. 1 S. 1 Nr. 2 und 29 Abs. 2 BDSG durchgeführt werden musste...". Dies gilt sowohl für positive als auch negative Einmeldungen. Dagegen wird davon ausgegangen, dass an den Vertragsschluss geknüpfte Einwilligungen gleichen Inhalts aufgrund des Kopplungsverbotes und der daraus resultierenden fehlenden Freiwilligkeit zukünftig nicht mehr zulässig sind.

 

Automatisierte Enscheidungen im Einzelfall einschließlich Profiling (Scoring)

Das Scoring ist eine Art des in Art. 4 Nr. 4 DSGVO normierten Profiling. Ebenfalls entscheidend für das Scoring ist Art. 22 DSGVO, die „automatisierte Entscheidung“. Art. 22 Abs. 1 DSGVO verbietet es, eine betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu unterwerfen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Strittig ist hier bislang die Auslegung der „rechtlichen Wirkung“ und der „in ähnlicher Weise erheblichen Beeinträchtigung“.

Hessischer Landesbeauftragte für Datenschutz

Dem Tätigkeitsbericht des Hessischen Landesdatenschutzbeauftragten zu Folge, entsprechen die derzeit üblichen Scoring-Verfahren den Anforderungen des Art. 6 Abs. 1 lit. b und f DSGVO, sofern und soweit nur risikorelevante Merkmale eingesetzt werden. Eine Auswertung von personenbezogenen Daten aus Social-Media Netzwerken ist nach Ansicht der Aufsichtsbehörde gem. Art. 6 Abs. 1 lit. b und f DSGVO nicht rechtmäßig. Denn „alleine aus der möglicherweise freien Zugänglichkeit dieser Daten ergibt sich eine Rechtmäßigkeit ihrer Verwendung im Profiling nicht“.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe hat eine Stellungnahme zum Profiling (Art. 4 Nr. 4 DSGVO) sowie zur automatischen Entscheidungsfindung (Art. 22 DSGVO) veröffentlicht. Zu den Ausnahmetatbeständen heißt es einleitend: „Article 22(1) sets out a general prohibition on solely automated individual decision … .“ Des Weiteren wird der Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DSGVO („berechtigte Interessen“) ausschließlich im Zusammenhang mit Profiling genannt. Daraus ließe sich schlussfolgern, dass nach Ansicht der Artikel 29 Datenschutzgruppe Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich nicht unter den Ausnahmetatbestand des Art. 22 Abs. 2 lit. b DSGVO zu fassen ist.

 

Verarbeitung personenbezogener Daten für Werbung/ "Umgehung" des Kopplungsverbots

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA können Nutzer gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO kostenlose Dienstleistungsangebote mit der Zustimmung für eine werbliche Nutzung ihrer Daten bezahlen, wenn dem Nutzer dies bei Vertragsabschluss klar dargestellt wird. Somit wird eine Einwilligung obsolet und das Kopplungsverbot läuft ins leere. Beispielhaft wird die Zustimmung zum Erhalt eines Newsletter als Gegenleistung zu einem kostenlosen E-Mail-Account genannt.

Datenschutzkonferenz (DSK)

Auch nach Auffassung der DSK ist es unter der DSGVO möglich die personenbezogener Daten des Nutzers als vertragliche Leistung bei „kostenlosen“ Dienstleistungsangeboten zu definieren, "z.B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als „Gegenfinanzierung“". Wird diese Gegenleistung vertraglich definiert und dem Nutzer bei Vertragsabschluss klar und verständlich dargestellt, bedarf es keiner Einwilligung und das Kopplungsverbot kann umgangen werden.

 

Datenübertragbarkeit

Strittigster Punkt der Datenübertagbarkeit gem. Art. 20 DSGVO ist die Auslegung des Begriffs der vom Betroffenen „bereitgestellten“ Daten.

Artikel 29 Datenschutzgruppe

Der Begriff ist nach der Stellungnahme der Artikel 29 Datenschutzgruppe weit auszulegen. Das Recht auf Datenportabilität umfasst demnach die vom Betroffenen selbst oder durch technische Mittel bereitgestellten Daten, bspw. E-Mail-Adresse, Benutzername, Alter aber auch Suchverläufe, Verkehrs- und Standortdaten und auch den aufgezeichneten Herzschlag von Wearables. Durch den Verantwortlichen abgeleitete Daten bzw. Schlussfolgerungen sollen ausgeschlossen sein, bspw. Scoring-Ergebnis auf Grundlage eines Algorithmus.

 

Datenschutzbeauftragter

Für Konzerne stellt sich die Frage was genau unter der Voraussetzung der „leichten Erreichbarkeit“ des Konzernübergreifenden Datenschutzbeauftragten (DSB) gem. Art. 37 Abs. 2 DSGVO zu verstehen ist. Des Weiteren stellt sich die Frage, ob für die Ernennung des Datenschutzbeauftragten nach DSGVO auch juristische Personen in Frage kommen und ob diese im EWR ansässig sein müssen.

Artikel 29 Datenschutzgruppe

Nach der Auslegung der Artikel 29 Datenschutzgruppe, bezieht sich der Begriff der „leichten Erreichbarkeit“ nicht nur auf die Aufgaben als interne Kontaktstelle für den Konzern selbst, sondern auch auf die Aufgaben als Kontaktstelle für die Betroffenen und die Aufsichtsbehörden. Um diese „leichte Erreichbarkeit“ sicherstellen zu können, müssen nicht nur die Kontaktdaten des DSB verfügbar sein, sondern der DSB muss, ggfs. mit Hilfe eines Teams, in der Lage sein mit den Betroffenen effizient kommunizieren zu können und mit den betroffenen Aufsichtsbehörden zusammenzuarbeiten. Das schließt die Kommunikation in den Sprachen der Aufsichtsbehörden und der betroffenen Personen mit ein.

Nach Ansicht der Artikel 29 Datenschutzgruppe ist auch die Benennung einer juristischen Person zum Datenschutzbeauftragten zulässig. Die deutschen Aufsichtsbehörden vertreten hierzu aktuell noch unterschiedliche Auffassungen

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA werden die Eingrenzungen zur Benennung des DSB in Art. 37 Abs. 1 lit. a bis c DSGVO in Deutschland kaum eine Rolle spielen, da nach dem Entwurf des neuen BDSG die bisherige Regelung des § 4f Abs. 1 BDSG-alt in ihren Grundzügen bestehen bleibt. Darüber hinaus setzt das das BayLDA, wie auch die Artikel 29 Datenschutzgruppe, voraus, „dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss“.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Auch die Aufsichtsbehörden in NRW legen den Begriff der "leichten Erreichbarkeit" weit aus. Dieser umfasst demnach sowohl die persönliche, als auch die sprachliche Erreichbarkeit des Datenschutzbeauftragten und gilt für Betroffene, Aufsichtsbehörden sowie Beschäftigte. Beispielhaft wird zur Umsetzung die Einrichtung einer Hotline, eines Kontaktformulars auf der Homepage und einer Sprechstunde für Beschäftigte genannt.

Hessischer Landesbeauftragte für Datenschutz

Nach Ansicht des Hessischen Landesbeauftragten für Datenschutz kann, wenn nach deutschem Recht eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, der Konzerndatenschutzbeauftragte auch für Niederlassungen außerhalb Deutschlands benannt werden. Der Begriff der „leichten Erreichbarkeit“ verlangt auch nach der Auffassung des Hessischen LDB zum einen die Sicherstellung der persönlichen Kommunikation durch ausreichend verfügbare Kontaktmöglichkeiten. Zum anderen muss der Datenschutzbeauftragte in der Lage sein mit Aufsichtsbehörden und Betroffenen sprachlich zu kommunizieren. Dies schließt die Kommunikation in der jeweiligen Landessprache, in der das Unternehmen tätig ist, mit ein. Es wird weiter Empfohlen, dass der Datenschutzbeauftragte im EWR ansässig ist. Anderenfalls stehe es in Frage, ob der Datenschutzbeauftragte seine Aufgaben und Pflichten ordnungsgemäß erfüllen kann. Der Hessische Landesdatenschutzbeauftragte empfiehlt vor der Benennung einer juristischen Person zum Datenschutzbeauftragten dies mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen, solange hierzu keine verbindliche Klärung durch den Europäischen Datenschutzausschuss erfolgt ist.

BDSG-neu

Die DSGVO enthält eine Reihe sogenannter Öffnungsklauseln, so dass der nationale Gesetzgeber teils verpflichtet teils berechtigt ist einen eigenen, nicht unerheblichen Handlungsspielraum hat, bei der er Erweiterungen oder weitere Ausnahmen von der DSGVO treffen kann. Für die Ernennung des Datenschutzbeauftragten im nicht-öffentlichen Bereich hat die Bundesregierung von dieser Möglichkeit gebraucht gemacht. Neben den Anforderungen der DSGVO zur Ernennung des Datenschutzbeauftragten bleibt es nach § 38 Abs. 1 BDSG-neu bei der Pflicht zur Ernennung „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

 

Technische und organisatorische Maßnahmen

Unabhängiges Landeszentrum für Datenschutz

Nach Aussage des Unabhängigen Landeszentrums für Datenschutz berücksichtigt das im November 2016 veröffentlichte Standard-Datenschutzmodell (SDM) die Anforderungen der DSGVO im Bereich der technischen und organisatorischen Maßnahmen, so dass dieses zur Umsetzung des Art. 32 DSGVO herangezogen werden kann.

 

Datenschutzfolgenabschätzung

Bisher gibt es noch keine Black-/White-Listen von Seiten der Aufsichtsbehörden, anhand derer man abgleichen kann, ob man verpflichtet ist eine Datenschutzfolgenabschätzung (DSF) durchzuführen. Darüber hinaus ist es strittig, wann ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht und man zur Erstellung einer DSF verpflichtet ist.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe hat zur Bestimmung des Risikos einen Kriterienkatalog aufgestellt und nennt erstmals beispielhaft Datenverarbeitungsvorgänge, bei denen eine DFS durchgeführt werden muss. Bspw. muss für Werbung die auf einer E-Commerce-Website, auf Grundlage von Profiling früherer Käufe und Verhalten angezeigt wird, keine DSF durchgeführt werden. Das Überwachen der Aktivitäten seiner Mitarbeiter, einschließlich der Überwachung der Arbeitsstätte der Mitarbeiter, bedarf hingegen einer DSF.

Unabhängiges Landeszentrum für Datenschutz

Das ULD hat in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein allgemeingültiges Model zur vollständigen Durchführung einer DSFA erarbeitet, woran sich Unternehmen orientieren können.

Bayerisches Landesamt für Datenschutz

Nach Auffassung des BayLDA gibt es keinen Bestandsschutz für eine nach §4d BDSG durchgeführte Vorabkontrolle. Auch für bereits bestehende und geprüfte Verarbeitungsvorgänge besteht die Pflicht zur Prüfung der Erforderlichkeit einer DSF nach Art. 35 DSGVO. Diese Auffassung des BayLDA wird im DSK Kurzpapier zur Datenschutzfolgenabschätzung noch einmal bestätigt. Eine Pflicht zur Erstellung einer DSF vor dem 25.5.2018 bestehe nicht.

 

Meldung von Datenschutzverstößen / Data Breach Notification

Unternehmen sind dazu verpflichtet, die Aufsichtsbehörden und Betroffenen im Falle von Datenschutzverstößen/Datenpannen zu informieren. Die bislang nach BDSG geltenden Regelungen werden durch die DSGVO abgelöst und zudem deutlich verschärft. Um den Voraussetzungen an die Meldung gerecht zu werden ist eine Vielzahl von Neuerungen zu beachten.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe hat eine Stellungnahme zum Thema Data Breach Notification veröffentlicht. Insbesondere für die schwierige Frage, wann ein Datenschutzverstoß gemeldet werden sollte, gibt die Artikel 29 Datenschutzgruppe Verantwortlichen Datenverarbeitern Richtlinien an die Hand.

 

Zuständigkeit der federführenden Aufsichtsbehörde

Für die DSGVO gilt das sogenannte One-Stop-Shop, nach dem bei grenzüberschreitender Datenverarbeitung für jeden Betroffenen eine federführende Aufsichtsbehörde zuständig ist. Die Identifizierung der federführenden Aufsichtsbehörde ist aufgrund der unübersichtlichen Regelungen nicht immer eindeutig. Grundsätzlich liegt die federführende Aufsichtsbehörde gem. Art. 56 Abs. 1 DSGVO bei grenzüberschreitender Verarbeitung in dem Land, in dem sich die Hauptniederlassung des Verantwortlichen/Auftragsverarbeiters befindet.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe stellt in seiner Stellungnahme klar, dass bei der Verarbeitung personenbezogener Daten in einer Unternehmensgruppe die Muttergesellschaft Hauptniederlassung ist, es sei denn eine Tochtergesellschaft entscheidet über die Zwecke und Mittel der Verarbeitung. Die Artikel 29 Datenschutzgruppe hat in ihrer Stellungnahme Kriterien zur Ermittlung und Identifizierung der Hauptniederlassung und der der federführenden Aufsichtsbehörde aufgelistet.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Die Aufsichtsbehörde für Datenschutz NRW geht mit der Stellungnahme der Artikel 29 Datenschutzgruppe konform und verlinkt auf ihrer Internetseite auf die entsprechenden workingpaper. Dort heißt es u.a., dass sich zur Auslegung des Begriffs "Hauptniederlassung" an die Leitlinien der Artikel 29 Datenschutzgruppe gehalten werden kann.

 

Internet der Dinge

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Im Jahresbericht heißt es zum Thema Internet der Dinge, dass viele Produkte erhebliche Defizite aufweisen und weder privacy by Design noch privacy by default ausreichend berücksichtigt werden. Hersteller sollen umdenken und nachbessern, um die Anforderungen der DS-GVO zu erfüllen. Anderenfalls kann dies bei Verstößen zu Geldbußen in Höhe von bis 20 Mio. EUR oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens führen.

 

Umsetzungshilfen zur DSGVO

Zehn-Punkte-Papier zur Vorbereitung auf die DSGVO

Die Aufsichtsbehörden für Datenschutz um nicht-öffentlichen Bereich haben auf der Datenschutzkonferenz am 24.5.17 ein 10-Punkte-Papier veröffentlicht in dem sie Unternehmen Anregungen zur Vorbereitung auf die DSGVO geben. Die Datenschutzkonferenz (DSK) ist ein freiwilliger Zusammenschluss der unabhängigen amtlichen Ladens- und Bundesdatenschutzbeauftragten.

Fragebogen zur Umsetzung der DSGVO (Bayern)

Das Bayerische Landesamt für Datenschutz hat einen Fragenkatalog veröffentlicht, der unterstützend für eine erste Überprüfung der DSGVO-Compliance herangezogen werden kann.

Fragebogen zur Umsetzung der DSGVO (Niedersachsen)

Die Landesbeauftragte für den Datenschutz Niedersachsen hat es dem BayLDA gleichgetan und ebenfalls einen Fragenkatalog zur Umsetzung der DSGVO zusammengestellt.

Allgemeingültiges Model für die Durchführung einer DSFA (PIA)

Das ULD hat in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein allgemeingültiges Model zur vollständigen Durchführung einer DSFA erarbeitet, woran sich Unternehmen orientieren können.

Umsetzungshilfen für eine DSGVO-konforme Dokumentation

Das ULD hat schon vor längerer Zeit Handreichungen und Vorlagen für eine datenschutzkonforme Dokumentation veröffentlicht. In ihrem Tätigkeitsbericht verweiset das ULD auf diese Vorlagen, um den nach der DSGVO geforderten Nachweis und Dokumentationspflichten gerecht zu werden.

Kurzpapiere der Datenschutzkonferenz

Auf der Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder wurden mehrere Kurzpapiere zur Orientierung für den nicht-öffentlichen Bereich veröffentlicht. Über den Link finden Sie auch die Kurzpapiere des Bayerischen Landesamts für Datenschutz.

Kurzpapier Nr. 1 - Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DS-GVO

Kurzpapier Nr. 2 - Aufsichtsbefugnisse/Sanktionen

Kurzpapier Nr. 3 - Verarbeitung personenbezogener Daten für Werbung

Kurzpapier Nr. 4 - Datenübermittlung in Drittländer

Kurzpapier Nr. 5 - Datenschutz-Folgenabschätzung

Kurzpapier Nr. 6 - Auskunftsrecht

Kurzpapier Nr. 7 - Marktortprinzip

Kurzpapier Nr. 8 - Maßnahmenplan

Kurzpapier Nr. 9 - Zertifizierung nach Art. 42 DS-GVO

Kurzpapier Nr. 10 - Informationspflichten bei Dritt- und Direkterhebung

Kurzpapier Nr. 11 - Recht auf Löschung / „Recht auf Vergessenwerden"

 

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

Auch wenn viele Berater auf Äußerungen von Aufsichtsbehörden warten und jedem kleinen Satz eines Behördenvertreters größte Bedeutung beigemessen wird. Es gilt zweierlei:

(1)    Bei den Stellungnahmen/Beschlüssen der Art. 29 Datenschutzgruppe, des Düsseldorfer Kreis und den Aufsichtsbehörden der Länder handelt es sich um Behördenmeinungen, die zutreffen können, aber nicht richtig sein müssen.

(2)    Die Äußerungen sind nicht rechtsverbindlich und entfalten keine Vertrauenswirkung. Entscheidet der EuGH einen Sachverhalt anders als die deutsche Behörde, ist das folgenlos. Insbesondere gibt es keinen Staatshaftungsanspruch wegen der falschen Behördenaussage.

 

Online-Schulungen zur DSGVO

Wir machen Sie fit für die DSGVO: In 10 einzelnen Webinaren unterrichten wir Sie zu Einzelheiten der DSGVO unter Berücksichtigung der Behördenaussagen und unserer Erfahrung aus über einen Dutzend größeren DSGVO-Projekten.

Stand: 07.11.2017

11. November 2017