Übersicht
Leitlinien des europäischen Datenschutzausschusses (EDPB)
https://edpb.europa.eu/edpb_deLeitlinien der Art. 29-Datenschutz-Gruppe
Die Artikel-29-Datenschutzgruppe, ist ein unabhängiges Gremium der Europäischen Kommission. Seit 2016 veröffentlicht die Gruppe regelmäßig Leitlinien zu Fragen der Auslegung einzelner Regelungsbereiche der DSGVO. Ab Geltung der DSGVO wird der neu einzurichtende „Europäische Datenschutzausschuss“ diese Aufgabe gemäß Art. 68 DSGVO übernehmen. Die Leitlinien bestimmen den Kurs der Datenschutzbehörden sind allerdings nicht rechtlich verbindlich.2018
2017
2016
Kurzpapiere der Datenschutzkonferenz
Die Konferenz der Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) veröffentlicht eigene Auslegungschriften zur DSGVO. Die Kurzpapiere sollen als erste Orientierung dienen, wie nach Auffassung der Datenschutzkonferenz die DSGVO im praktischen Vollzug angewendet werden sollte. Sie stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss.
Das Standard-Datenschutzmodell
Die 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 die Version 1.1 des Standard-Datenschutzmodells (SDM) verabschiedet.
Das SDM richtet sich einerseits an die Stellen, die für die Verarbeitung personenbezogener Daten verantwortlich sind. Diese können mit dem SDM die erforderlichen Funktionen und Schutzmaßnahmen systematisch planen, umsetzen und kontinuierlich überwachen. Das Modell richtet sich zudem an die Datenschutzbehörden, um mit einer einheitlichen Systematik zu einem transparenten, nachvollziehbaren, belastbaren Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. Das SDM soll einen wesentlichen Beitrag leisten, um einen an Grundrechten orientierten Datenschutz durchzusetzen.
Kurzpapier Nr. 11: Recht auf Vergessenwerden
Die Löschung personenbezogener Daten ist gegenüber der bisherigen Rechtslage insofern aufgewertet worden, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch darüber hinausgehen. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden“ wird zum ersten Mal ausdrück-lich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die bereits bislang im BDSG verankerten Nachberichtspflichten.
Kurzpapier Nr. 10: Informationspflichten
Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DSGVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen.
Kurzpapier Nr. 9: Zertifizierung
Mit den Artikeln 42 und 43 der DSGVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen.
Kurzpapier Nr. 8: Maßnahmenplan „DS-GVO“ für Unternehmen
Tipps zur Erstellung eines Maßnahmenplans für Unternehmen von den Datenschutzaufichtsbehörden.
Kurzpapier Nr. 7: Marktortprinzip: Regelungen für außereuropäische Unternehmen
Das Marktortprinzip schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, in den Anwendungsbereich der DSGVO ein.
Kurzpapier Nr. 6: Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO
Wie schon nach der bisherigen Rechtslage haben betroffene Personen das Recht mit formlosem Antrag und ohne Begründung von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte können es beispielsweise erleichtern, gezielt weitere Rechte, wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung („Sperrung“), geltend zu machen.
Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die DSGVO unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen (TOMs)) diese Risiken eingedämmt werden. Das Instrument einer Datenschutz-Folgenabschätzung (DSFA) kann hierfür systematisch eingesetzt werden.
Kurzpapier Nr. 4: Datenübermittlung in Drittländer
Die DSGVO sieht für Datentransfers in Drittländer verschiedene Möglichkeiten vor. Neben EU-Standardvertragsklauseln können Binding Corporate Rules und mit Bezug auf die USA das EU-US-Privacy-Shield Grundlage für Datentransfers ein.
Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung
Mit der DSGVO fallen alle detaillierten Regelungen des Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Statt dessen werden die neuen gesetzlichen Erlaubnisse je nach Einzelfall Anwendung finden. Von besonderem Interesse wird die Möglichkeit der Verarbeitung von Daten auf Grundlage des legitimes Interesses des Datenverarbeiters sein.
Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen
Die DSGVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen. Neben diesen verwaltungsrechtlichen Maßnahmen können Verstöße auch mit hohen Geldbußen sanktioniert werden.
Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO
In dem Kurzpapier werden die Anforderungen und Unterschiede zwischem altem Verfahrens- und neuem Verarbeitungsverzeichnis erläutert.
Beschlüsse der Datenschutzkonferenz
Die Datenschutzbeauftragten des Bundes und der Länder treffen sich zweimal im Jahr unter jährlich wechselndem Vorsitz eines Datenschutzbeauftragten zu ihren Datenschutzkonferenzen. Die Ergebnisse dieser Treffen werden der Öffentlichkeit als Konferenzbeschlüsse oder -entschließungen bekannt gegeben. Hier finden Sie alle Beschlüsse der DSK seit 2016.95. DSK am 25. /26. April 2018
Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
Entschließung vom 6. Juni 2018
92. DSK am 9. /10. November 2016
EU-Datenschutz-Grundverordnung erfordert zusätzliche Ressourcen für Datenschutzbehörden
Entschließung vom 25. Mai 2016
Klagerecht für Datenschutzbehörden – EU-Kommissionentscheidungen müssen gerichtlich überprüfbar sein
Entschließung vom 20. April 2016
94. DSK am 8. /9. November 2017
Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
Entschließung vom 6. Juni 2018
Gesetzesentwurf zur Aufzeichnung von Fahrdaten ist völlig unzureichend!
Entschließungen vom 16. März 2017
Neues Bundeskriminalamt Gesetz – Informationspool beschneidet Grundrechte
Entschließungen vom 16. März 2017
Einsatz externer Dienstleister durch Berufsgeheimnisträger rechtssicher und datenschutzkonform gestalten!
Entschließungen vom 15. März 2017
Novellierung des Personalausweisgesetzes –Änderungen müssen bürger- und datenschutzfreundlich realisiert werden!
Entschließungen vom 24. Januar 2017
EU-Datenschutz-Grundverordnung erfordert zusätzliche Ressourcen für Datenschutzbehörden
Entschließung vom 25. Mai 2016
Klagerecht für Datenschutzbehörden – EU-Kommissionentscheidungen müssen gerichtlich überprüfbar sein
Entschließung vom 20. April 2016
93. DSK am 29. /30. März 2017
Gesetzesentwurf zur Aufzeichnung von Fahrdaten ist völlig unzureichend!
Entschließungen vom 16. März 2017
Neues Bundeskriminalamt Gesetz – Informationspool beschneidet Grundrechte
Entschließungen vom 16. März 2017
Einsatz externer Dienstleister durch Berufsgeheimnisträger rechtssicher und datenschutzkonform gestalten!
Entschließungen vom 15. März 2017
Novellierung des Personalausweisgesetzes –Änderungen müssen bürger- und datenschutzfreundlich realisiert werden!
Entschließungen vom 24. Januar 2017