Leitlinien der Art. 29-Datenschutz-Gruppe

Die Artikel-29-Datenschutzgruppe, ist ein unabhängiges Gremium der Europäischen Kommission. Seit 2016 veröffentlicht die Gruppe regelmäßig Leitlinien zu Fragen der Auslegung einzelner Regelungsbereiche der DSGVO. Ab Geltung der DSGVO wird der neu einzurichtende „Europäische Datenschutzausschuss“ diese Aufgabe gemäß Art. 68 DSGVO übernehmen. Die Leitlinien bestimmen den Kurs der Datenschutzbehörden sind allerdings nicht rechtlich verbindlich.

Working Paper 242 – Datenportabilität
In diesem Papier werden Hinweise zur Ausgestaltung des Rechts auf Datenportabilität (Art. 20 DSGVO) gegeben. Dieses Recht soll es Nutzern einfach und schnell ermöglichen, von ihnen zur Verfügung gestellte Daten(sätze) von einem auf den anderen Anbieter zu übertragen. Im BVDW-Praxisleitfaden wird das Thema ab S. 91 behandelt.

Working Paper 243 – Betrieblicher Datenschutzbeauftragter
Auch künftig werden Unternehmen, die mit der Verarbeitung personenbezogener Daten befasst sind, einen betrieblichen Datenschutzbeauftragten (Art. 37 DSGVO) benennen müssen. Das Papier erläutert die Anforderungen. Im BVDW-Praxisleitfaden ab S. 70.

Working Paper 244 – Zuständige Datenschutzaufsicht
Das Papier behandelt die Frage der Ermittlung der zuständigen Aufsichtsbehörde bei grenzüberschreitenden Datenverarbeitungen. Die “federführende” Aufsichtsbehörde ist dann alleiniger Ansprechpartner für Unternehmen. Im BVDW-Praxisleitfaden ab S. 113.

Working Paper 247 – Stellungnahme zur ePrivacy-Verordnung
Das Papier nimmt zusammenfassend zum Verordnungsentwurf der EU-Kommission Stellung. Die Gruppe begrüßt den – seitens der digitalen Wirtschaft stark kritisierten – Entwurf zur ePrivacy-Verordnung.

Working Paper 248 – Datenschutz-Folgenabschätzung
Gemäß Art. 35 DSGVO muss in bestimmten Verarbeitungsbereichen eine Folgenabschätzung erfolgen. Unternehmen müssen im Vorfeld die Risiken für die Rechte und Freiheiten der Bürger identifizieren und Maßnahmen zu deren Schutze treffen. Im BVDW-Praxisleitfaden ab S. 57. ACHTUNG! Im Gegensatz zur ersten Version soll eine DFA nun auch für Datenverarbeitungen vor Mai 2018 durchzuführen sein! Hier hat die Art.29-Gruppe eine kompleete Kehrtwende zu früheren Aussagen vollzogen.

Working Paper 250 – Datenschutzverletzungen
IT-Sicherheit ist ein Grundpfeiler für den Datenschutz. Unternehmen müssen technische und organisatorische Maßnahmen (TOMs) treffen, um Datenschutzverletzungen (data breach) zu vermeiden bzw. auf solche effektiv reagieren zu können. Im BVDW-Praxisleitfaden ab S. 99.

Working Paper 251 – Automatisierte Entscheidung und Profiling
Für den Bereich der digitalen Werbewirtschaft wohl besonders relevant ist das Thema Profiling. Das Papier beschäftigt sich mit den in Art. 22 DSGVO niedergelegten Bestimmungen hierzu sowie damit, wann automatisierte Entscheidungen vorliegen sollen. Im BVDW-Praxisleitfaden ab S.41.

Working Paper 260 – Transparenz
Die Anforderungen an die Transparenz gegenüber dem Betroffenen haben sich stark erhöht. Das Papier beschäftigt sich mit den unterschiedlichen Informationspflichten. Im BVDW-Praxisleitfaden ab S. 76

Working Paper 259 – Einwilligung nach DSGVO
Das Papier behandelt die Erklärungsmodalitäten und die Reichweite von Einwilligungen. Insbesondere die restriktive Darstellung des Kopplungsverbots erscheinen hier problematisch. Im BVDW-Praxisleitfaden ab S. 29

Kurzpapiere der Bayerischen Datenschutzaufsicht

Das BayLDA überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet. Das BayLDA steht zur Unterstützung und Beratung der Datenschutzbeauftragten zur Verfügung, aber auch zur Kontrolle von Datenverarbeitungsverfahren bei verantwortlichen Stellen.

Kurzpapier  – Sicherheit der Verarbeitung, Art.42 DSGVO
Zur Erforderlichkeit von technischen Sicherheitsmaßnahmen aus Datenschutzgesichtspunkten.

Kurzpapier – Besondere Kategorien personenbezogener Daten, Art. 9 DSGVO
Auch die DSGVO kennt und benennt besondere Kategorien personenbezogener Daten. Neben den bereits bekannten kommen nun genetische Angaben sowie biometrische Datenzur eindeutigen Identifizierung einer Person hinzu.

Kurzpapier – Einwilligungen nach DSGVO
Nach dem BDSG ist eine Einwilligung nur wir ksam, wenn sie freiwillig und informiert , d.h. in Kenntnis des geplanten Zwecks der Erhebung, Verarbeitung oder Nutzung der personenbezogen Daten, und in aller Regel schriftlich erfolgt.

Die Einwilligung nach DSGVO ist als eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten (Art.6 DSGVO) ebenfalls nur wirksam, wenn sie freiwillig und – bezogen auf einen bestimmten Fall – informiert abgegeben wird.

Kurzpapier – Beschäftigtendatenschutz nach DSGVO und BDSG-neu
Art. 88 Abs. 1 DSGVO enthält eine Öffnungsklausel für den nationalen Gesetzgeber, durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung von Beschäftigtendaten im Beschäftigtenkontext vorzusehen.

Kurzpapier – Datenschutz-Folgenabschätzung Art. 35 DSGVO

Wenn eine Form der Verarbeitung, d.h. eine konkret durchgeführte Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt, ist eine DSFA durchzuführen.

Kurzpapier – Fragebogen zur Umsetzung der DSGVO zum 25.Mai 2018
Unterteilt in insgesamt 6 Abschnitte sollen Überprüfungsfragen zu verschiedenen Anforderungsszenarien und Prozessen im Unternehmen einen Überblick und ggf. Anleitung geben. Dabei geht es auch um die Einbeziehung Dritter in den Verarbeitungsprozess sowie um die Einschätzung der mit der Datenverarbeitung verbundenen Risiken.

Kurzpapiere der Datenschutzkonferenz

Die Konferenz der Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) veröffentlicht eigene Auslegungschriften zur DSGVO. Die Kurzpapiere sollen als erste Orientierung dienen, wie nach Auffassung der Datenschutzkonferenz die DSGVO im praktischen Vollzug angewendet werden sollte. Sie stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss.

Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten
In dem Kurzpapier werden die Anforderungen und Unterschiede zwischem altem Verfahrens- und neuem Verarbeitungsverzeichnis erläutert.

Kurzpapier Nr. 2 – Aufsichtsbefugnisse und Sanktionen
Die DSGVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen. Neben diesen verwaltungsrechtlichen Maßnahmen können Verstöße auch mit hohen Geldbußen sanktioniert werden.

Kurzpapier Nr. 3 – Verarbeitung personenbezogener Daten für Werbung
Mit der DSGVO fallen alle detaillierten Regelungen des Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Statt dessen werden die neuen gesetzlichen Erlaubnisse je nach Einzelfall Anwendung finden. Von besonderem Interesse wird die Möglichkeit der Verarbeitung von Daten auf Grundlage des legitimes Interesses des Datenverarbeiters sein.

Kurzpapier Nr. 4 – Datenübermittlung in Drittländer
Die DSGVO sieht für Datentransfers in Drittländer verschiedene Möglichkeiten vor. Neben EU-Standardvertragsklauseln können Binding Corporate Rules und mit Bezug auf die USA das EU-US-Privacy-Shield Grundlage für Datentransfers ein.

Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung
Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die DSGVO unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen (TOMs)) diese Risiken eingedämmt werden. Das Instrument einer Datenschutz-Folgenabschätzung (DSFA) kann hierfür systematisch eingesetzt werden.

Kurzpapier Nr. 6 – Auskunftsrechte betroffener Personen
Wie schon nach der bisherigen Rechtslage haben betroffene Personen das Recht mit formlosem Antrag und ohne Begründung von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte können es beispielsweise erleichtern, gezielt weitere Rechte, wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung („Sperrung“), geltend zu machen.

Kurzpapier Nr. 7 – Marktortprinzip – Regeln für außereuropäische Unternehmen
Das Marktortprinzip schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, in den Anwendungsbereich der DSGVO ein.

Kurzpapier Nr. 8 – Maßnahmenplan DSGVO im Unternehmen
Tipps zur Erstellung eines Maßnahmenplans für Unternehmen von den Datenschutzaufichtsbehörden.

Kurzpapier Nr. 9 – Zertifizierungen nach Art. 42 DSGVO
Mit den Artikeln 42 und 43 der DSGVO legt der Gesetzgeber einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren, die dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen.

Kurzpapier Nr. 10 – Informationspflichten bei Dritt- und Direkterhebungen
Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DSGVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen.

Kurzpapier Nr. 11 – Recht auf Löschung/ Recht auf Vergessenwerden
Die Löschung personenbezogener Daten ist gegenüber der bisherigen Rechtslage insofern aufgewertet worden, als die diesbezüglichen Bestimmungen detaillierter ausformuliert worden sind und zum Teil auch darüber hinausgehen. Das mit dem Löschungsanspruch der betroffenen Person verbundene „Recht auf Vergessenwerden“ wird zum ersten Mal ausdrück-lich gesetzlich geregelt; es ergänzt die Löschung unmittelbar beim Verantwortlichen und die bereits bislang im BDSG verankerten Nachberichtspflichten.

Publikationen anderer Datenschutzaufsichtsbehörden

An dieser Stelle verweisen wir gesammelt auf alle anderen, seitens der jeweiligen Landesdatenschutzbehörden veröffentlichten Texte. Schauen Sie hier speziell nach Informationen der für Ihr Unternehmen zuständigen Landesdatenschutzbehörde.

Der Hessische Datenschutzbeauftragte – Formulierungshilfe Auftragsverarbeitungsvertrag
Muster eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO

LfD Niedersachsen – Fragebogen zur Vorbereitung auf die DSGVO 2018
Eine 10-Punkte Checkliste zur Überprüfung der für Unternehmen maßgeblichen Umsetzungsfragen.

ULD Schleswig-Holstein – Identifikation von Handlungsfeldern
Papier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein zur Identifikation der 10 wichtigsten Handlungsfelder.

LfD Sachsen Anhalt – Vorbereitung KMU auf die DSGVO 2018
10 in Untergliederungen aufgeteilte Prüffragen zur Beurteilung des eigenen Vorbereitungsstandes im Unternehmen.

Leitlinien des europäischen Datenschutzausschusses

Seit dem 25. Mai 2018 hat der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) die Nachfolge der Art.-29-Datenschutz-Gruppe angetreten. Der neue Rechtsrahmen sieht vor, dass der Europäische Datenschutzbeauftragte (EDSB) das Sekretariat des EDPB übernimmt. Das Sekretariat wird das EDPB administrativ und logistisch unterstützen sowie analytische Arbeiten durchführen. Das EDPB veröffentlich eigene Leitlinien zu bestimmten Themen wie Einstellung, Bewertung, Einsatz von IT-Geräten am Arbeitsplatz und Disziplinarverfahren. Diese konsolidieren Leitlinien aus Stellungnahmen und Konsultationen und umfassen auch die einschlägigen Leitlinien der Artikel-29-Arbeitsgruppe und der Rechtsprechung der europäischen Gerichte.

IT governance and IT management
Guidelines on the protection of personal data in IT governance and IT management of EU institutions.

Guidelines on the use of cloud computing services by the European institutions and bodies
The EU institutions, bodies and agencies (“the EU institutions”) have been considering the use of cloud computing services because of advantages such as costs savings and flexibility gains. They are nevertheless faced with the specific risks that the cloud computing paradigm involves and remain fully responsible regarding their data protection obligations. For cloud services, the EU institutions should ensure an equivalent level of protection of personal data as for any other type of IT infrastructure model.

Accountability on the ground: Provisional guidance on documenting processing operations for EU institutions, bodies and agencies
Accountability on the ground: Provisional guidance on documenting processing operations for EU institutions, bodies and agencies (EUIs). These documents provide provisional guidance for controllers and DPO in the EUIs on how to generate records for their processing operations, how to decide whether they need to carry out data protection impact assessments (DPIAs), how to do DPIAs and when to do prior consultations to the EDPS. As the text of the ‘new Regulation 45’ on data protection in the EU institutions is not adopted yet, this guidance is provisional and will be updated once a final text will be agreed. Nonetheless, it can already be helpful for the EUIs to prepare for their new obligations (Articles 31, 39 and 40 of the ‘new Regulation 45’).

Articles 14-16 of the new Regulation 45/2001: Transparency rights and obligations
EDPS Guidance on Articles 14 – 16 of the proposal for a Regulation on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC.