Übersicht

Leitlinien der Art. 29-Datenschutz-Gruppe

Die Artikel-29-Datenschutzgruppe, ist ein unabhängiges Gremium der Europäischen Kommission. Seit 2016 veröffentlicht die Gruppe regelmäßig Leitlinien zu Fragen der Auslegung einzelner Regelungsbereiche der DSGVO. Ab Geltung der DSGVO wird der neu einzurichtende „Europäische Datenschutzausschuss“ diese Aufgabe gemäß Art. 68 DSGVO übernehmen. Die Leitlinien bestimmen den Kurs der Datenschutzbehörden sind allerdings nicht rechtlich verbindlich.

2018

2017

2016

Kurzpapiere der Datenschutzkonferenz

Die Konferenz der Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) veröffentlicht eigene Auslegungschriften zur DSGVO. Die Kurzpapiere sollen als erste Orientierung dienen, wie nach Auffassung der Datenschutzkonferenz die DSGVO im praktischen Vollzug angewendet werden sollte. Sie stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss.
Das Standard-Datenschutzmodell Die 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 die Version 1.1 des Standard-Datenschutzmodells (SDM) verabschiedet. Das SDM richtet sich einerseits an die Stellen, die für die Verarbeitung personenbezogener Daten verantwortlich sind. Diese können mit dem SDM die erforderlichen Funktionen und Schutzmaßnahmen systematisch planen, umsetzen und kontinuierlich überwachen. Das Modell richtet sich zudem an die Datenschutzbehörden, um mit einer einheitlichen Systematik zu einem transparenten, nachvollziehbaren, belastbaren Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. Das SDM soll einen wesentlichen Beitrag leisten, um einen an Grundrechten orientierten Datenschutz durchzusetzen.
Kurzpapier Nr. 11: Recht auf Vergessenwerden Die Löschung personenbezogener Daten ist gegenüber der bisherigen Rechtslage insofern aufgewertet worden, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch darüber hinausgehen. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden“ wird zum ersten Mal ausdrück-lich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die bereits bislang im BDSG verankerten Nachberichtspflichten.
Kurzpapier Nr. 10: Informationspflichten Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DSGVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen.
Kurzpapier Nr. 9: Zertifizierung Mit den Artikeln 42 und 43 der DSGVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen.
Kurzpapier Nr. 8: Maßnahmenplan „DS-GVO“ für Unternehmen Tipps zur Erstellung eines Maßnahmenplans für Unternehmen von den Datenschutzaufichtsbehörden.
Kurzpapier Nr. 7: Marktortprinzip: Regelungen für außereuropäische Unternehmen Das Marktortprinzip schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, in den Anwendungsbereich der DSGVO ein.
Kurzpapier Nr. 6: Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO Wie schon nach der bisherigen Rechtslage haben betroffene Personen das Recht mit formlosem Antrag und ohne Begründung von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte können es beispielsweise erleichtern, gezielt weitere Rechte, wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung („Sperrung“), geltend zu machen.
Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die DSGVO unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen (TOMs)) diese Risiken eingedämmt werden. Das Instrument einer Datenschutz-Folgenabschätzung (DSFA) kann hierfür systematisch eingesetzt werden.
Kurzpapier Nr. 4: Datenübermittlung in Drittländer Die DSGVO sieht für Datentransfers in Drittländer verschiedene Möglichkeiten vor. Neben EU-Standardvertragsklauseln können Binding Corporate Rules und mit Bezug auf die USA das EU-US-Privacy-Shield Grundlage für Datentransfers ein.
Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung Mit der DSGVO fallen alle detaillierten Regelungen des Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Statt dessen werden die neuen gesetzlichen Erlaubnisse je nach Einzelfall Anwendung finden. Von besonderem Interesse wird die Möglichkeit der Verarbeitung von Daten auf Grundlage des legitimes Interesses des Datenverarbeiters sein.
Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen Die DSGVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen. Neben diesen verwaltungsrechtlichen Maßnahmen können Verstöße auch mit hohen Geldbußen sanktioniert werden.
Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO In dem Kurzpapier werden die Anforderungen und Unterschiede zwischem altem Verfahrens- und neuem Verarbeitungsverzeichnis erläutert.

Beschlüsse der Datenschutzkonferenz

Die Datenschutzbeauftragten des Bundes und der Länder treffen sich zweimal im Jahr unter jährlich wechselndem Vorsitz eines Datenschutzbeauftragten zu ihren Datenschutzkonferenzen. Die Ergebnisse dieser Treffen werden der Öffentlichkeit als Konferenzbeschlüsse oder -entschließungen bekannt gegeben. Hier finden Sie alle Beschlüsse der DSK seit 2016.

95. DSK am 25. /26. April 2018

92. DSK am 9. /10. November 2016

94. DSK am 8. /9. November 2017

93. DSK am 29. /30. März 2017

91. DSK am 6. /7. April 2016

DSGVO-Publikationen der Landesaufsichtsbehörden

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen