Am 25. Mai 2018 wird die Datenschutz-Grundverordnung („DSGVO“) in der gesamten EU das geltende und durch einzelstaatliche Regelungen fragmentierte Datenschutzrecht ablösen und harmonisieren. Die DSGVO wird zu sehr vielen Änderungen führen, die nicht nur für Unternehmen mit Sitz in der EU tiefgreifende Konsequenzen haben. Die Interpretation der Anforderungen der DSGVO bereitet allen Beteiligten bisher Schwierigkeiten. Es ist nicht nur juristisches Neuland zu beschreiten. Vielmehr muss sowohl in Unternehmen als auch bei Behörden der Datenschutz in die tägliche Praxis integriert werden. Dies erfordert u.a. die Einführung und Strukturierung neuer Prozesse im Sinne einer Datenschutzorganisation. Die sog. Rechenschaftspflicht verlangt zudem eine gründliche Dokumentation.

Hinsichtlich der Interpretation diverser Anforderungen haben sich die Aufsichtsbehörden für den Datenschutz auf europäischer, nationaler und auf Bundeslandebene bereits zu vielen Themen geäußert und Stellungnahmen erlassen. Ferner haben einige Behörden Handreichungen und andere Hilfestellungen veröffentlicht. Eine Übersicht der Stellungnahmen finden Sie in einer Übersicht auf unserer neuen DSGVO Landing Page. Weiterhin finden Sie dort auch Self Assessment-Tools und sonstige weiterführende Informationen. Internationale Informationen zum Datenschutz finden Sie ferner auf unserem Global Data Hub. Nachfolgend möchten wir Ihnen einen Überblick über die zur Verfügung stehenden Hilfsmittel geben und Sie über bestimmte Themen im Einzelnen informieren.

Self Assessment Tools, Fragebögen und sonstige Hilfsmittel

Zur besseren Vorbereitung auf die DSGVO und deren Einhaltung hat die Datenschutzgruppe Nord eine Checkliste zur neuen Rechtslage veröffentlicht. Zudem haben verschieden Landesbeauftragte wie etwa das Bayrische Landesamt für Datenschutzaufsicht, der Landesbeauftragte für den Datenschutz Niedersachsen und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Fragebögen veröffentlicht, die auf die DSGVO besser vorbereiten sollen. Mithilfe dieser Fragebögen soll sich der Nutzer einen Überblick darüber verschaffen, in welchen Bereichen er bereits gut auf die DSGVO vorbereitet ist und in welchen noch Handlungsbedarf besteht. Das Bayrische Landesamt für Datenschutzaufsicht hat zudem zur Selbsteinschätzung ein Online-Tool bereitgestellt.

Zur Unterstützung von Unternehmen bei der Umsetzung der DS-GVO haben die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg in einem 10-Punkte-Papier Informationen für Unternehmen zur Umsetzung der DS-GVO und einen Fragenkatalog zur Umsetzung in kleineren und mittleren Unternehmen veröffentlicht.

Formulierungshilfen und Muster

Zusätzlich zu den Arbeitspapieren und sonstigen Informationen zur DSGVO haben die Aufsichtsbehörden eine Formulierungshilfe zur Auftragsdatenverarbeitung nach Art. 28 Absatz 3 DSGVO und Muster für ein Verzeichnis von Verarbeitungstätigkeiten [Verarbeitungsverzeichnis für Auftragsverarbeiter und Verantwortliche samt Hinweisen] erarbeitet. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat zudem ein Standarddatenschutzmodell entworfen. Das Bayrische Landesamt für Datenschutzaufsicht hat ferner Handreichungen für kleine Unternehmen und Vereine veröffentlicht, in denen sich neben den Anforderungen für Vereine, Werkstätten, Handwerksbetriebe oder kleinere Online-Shops auch Musterverzeichnisse für Verarbeitungstätigkeiten finden.

Stellungnahmen zu einzelnen Themen:

Einwilligungen

Zu den Vorgaben hinsichtlich Einwilligungen haben sich neben dem Düsseldorfer Kreis zur Fortgeltung bisher erteilter Einwilligungen unter der DS-GVO auch das Bayrische Landesamt für Datenschutzaufsicht zur Einwilligung allgemein und zur Einwilligung eines Kindes sowie die Artikel-29-Datenschutzgruppe mit Stellungnahmen gemeldet, vgl. die Guidelines on consent.

Datenschutzbeauftragter

Zum Datenschutzbeauftragten und seinen Aufgaben haben sich die Artikel-29-Datenschutzgruppe in ihren Leitlinien in Bezug auf den Datenschutzbeauftragten, die Datenschutzkonferenz (DSK) im Kurzpapier Datenschutzbeauftragter und der Bundesbeauftragte für Datenschutz und Informationsfreiheit unter „Datenschutzbeauftragte in Behörde und Betrieb“, geäußert. Von den Landesdatenschutzämtern haben der Hessische Datenschutzbeauftragte unter „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ und der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in Datenschutzbeauftragte nach DS-GVO und JI-RL Informationen veröffentlicht.

Betroffenenrechte: Recht auf Vergessenwerden, Auskunftsrecht, Recht auf Datenübertragbarkeit

Das Recht auf Vergessenwerden haben bisher die DSK im Kurzpapier Recht auf Vergessenwerden und das Bayrische Landesamt für Datenschutzaufsicht unter Recht auf Löschung („Vergessenwerden“) behandelt. Die DSK hat sich zudem zum Auskunftsrecht der betroffenen Person im Kurzpapier Auskunftsrecht geäußert. Die Artikel-29-Datenschutzgruppe thematisierte außerdem das Recht auf Datenübertragbarkeit in ihren Leitlinien zum Recht auf Datenübertragbarkeit.

Bezüglich der Informationspflichten bei Direkt- und Dritterhebung hat die DSK ferner ein Kurzpapier Informationspflichten veröffentlicht.

Personenbezogene Daten

Zum Umgang mit personenbezogenen Daten in der Werbung hat die DSK das Kurzpapier Werbung veröffentlicht. Das Bayrische Landesamt für Datenschutzaufsicht hat zu Besonderen Kategorien von Daten Stellung genommen.

Auftragsverarbeitung und gemeinsam für die Verarbeitung Verantwortliche

Informationen zur Auftragsverarbeitung haben sowohl die DSK im Kurzpapier Auftragsverarbeitung als auch das Bayrische Landesamt für Datenschutzaufsicht in seinem Kurzpapier zur Auftragsverarbeitung veröffentlicht. Zu den gemeinsam für die Verarbeitung Verantwortlichen hat die DSK ebenfalls ein Kurzpapier gemeinsame Verantwortliche erarbeitet.

Datenschutz-Folgenabschätzung

Zur Durchführung einer Datenschutz-Folgenabschätzung haben die Artikel-29-Datenschutzgruppe Leitlinien zur Datenschutz-Folgenabschätzung, die DSK ein Kurzpapier Datenschutz-Folgenabschätzung und das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein mit dem Planspiel zur Datenschutz-Folgenabschätzung Veröffentlichungen getätigt. Zudem hat der Hessische Datenschutzbeauftragte ein Whitepaper zur Datenschutz-Folgenabschätzung herausgebracht.

Sicherheit der Verarbeitung und Umgang mit Datenpannen

Zu den Themen Sicherheit und Meldung von Datenpannen hat das Bayrische Landesamt für Datenschutzaufsicht jeweils ein Arbeitspapier veröffentlicht. Zum Umgang mit Datenpannen hat zudem auch die Artikel-29-Datenschutzgruppe ein Arbeitspapier erstellt, siehe die Guidelines on Personal Data Breach Notification.

Datenübermittlung in Drittländer

Zur Datenübermittlung in Drittländer hat sich die DSK in einem Kurzpapier Drittländer geäußert. Bezüglich Datenübermittlungen in die USA hat dies auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen getan.

Aufsichtsbehörden

Die Aufgaben, Aufsichtsbefugnisse und Sanktionen der Aufsichtsbehörden behandeln die Artikel-29-Datenschutzgruppe in ihren Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters, die DSK in Aufsichtsbefugnisse und Sanktionen sowie das Bayrische Landesamt für Datenschutzaufsicht in seinen Kurzpapieren zum One-Stop-Shop und zu Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden. Bezüglich der Festsetzung von Geldbußen hat die Artikel-29-Datenschutzgruppe ebenfalls ein Working Paper veröffentlicht.

Beschäftigtendatenschutz

Im Hinblick auf die Verarbeitung von personenbezogenen Daten von Beschäftigten veröffentlichten die Artikel-29-Datenschutzgruppe Hinweise zur Datenverarbeitung am Arbeitsplatz und die DSK das Kurzpapier Beschäftigtendatenschutz. Ebenso haben der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg im Ratgeber Beschäftigtendatenschutz und das Bayrische Landesamt für Datenschutzaufsicht in der Verpflichtung von Beschäftigten auf Beachtung des Datenschutzes Hinweise publiziert. Zusätzlich hat die DSK eine Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz erarbeitet.

Videoüberwachung

Zur Videoüberwachung hat sowohl die DSK im Kurzpapier zur Videoüberwachung als auch die Landesbeauftragte für den Datenschutz Niedersachsen in ihren Transparenzanforderungen und Hinweisbeschilderungen Stellung genommen und ein Beispiel für ein vorgelagertes Hinweisschild sowie ein Beispiel für ein vollständiges Informationsblatt gegeben.

Sonstige Veröffentlichungen

Zur Möglichkeit einer Zertifizierung und deren Ablauf hat sich die DSK im Kurzpapier Zertifizierung geäußert. Die Artikel-29-Datenschutzgruppe hat ferner auch zu den folgenden Themen Informationen veröffentlicht: Binding Corporate Rules, Akkreditierung, Transparenz, Adäquanz, automatisierte Entscheidungsfindung, Art. 49 DS-GVO. Ein weiteres interessantes Kurzpapier Marktortprinzip hat die DSK herausgebraucht. Das Bayrische Landesamt für Datenschutzaufsicht hat zusätzlich Hinweise zu den Verhaltensregeln gemäß Art. 40 DS-GVO zusammengestellt.