Datenschutzkonferenz – DSK, 26.7.2017
Datenschutzkonferenz gibt Auslegungshilfen zur DSGVO herausDie Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat am 24. und 26.7.2017 in Fortführung ihrer bisherigen Arbeiten vier weitere Kurzpapiere zur Auslegung und Anwendung der DSGVO mit den Titeln "Datenschutz-Folgenabschätzung", "Auskunftsrecht der betroffenen Person", Marktortprinzip: Regelungen für außereuropäische Unternehmen" und "Maßnahmenplan 'DSGVO' für Unternehmen" veröffentlicht.
Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung
Das Kurzpapier Nr. 5 beschreibt neben Tatbestandsvoraussetzungen den Ablauf einer Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO vom Zeitpunkt über Vorbereitung und Durchführung bis zur Umsetzung und Überprüfung.
Mit einer DSFA ist grundsätzlich die Analyse von Risiken gemeint, die bei der Verarbeitung personenbezogener Daten für die Rechte natürlicher Personen entstehen können. Ziel ist es, nach Beschreibung und Beurteilung der Risiken geeignete Maßnahmen zu deren Minimierung ausloten und umsetzen zu können. Vor Umsetzung der Abhilfemaßnahmen darf mit der Datenverarbeitung nicht begonnen werden.
Kurzpapier Nr.6: Auskunftsrecht der betroffenen Person
Im Kurzpapier Nr. 6 wird das Auskunftsrecht der betroffenen Personen gem. Art. 15 DSGVO erläutert. Jede Person hat die Möglichkeit, von einem Verantwortlichen Auskunft darüber einzuholen, ob dort sie betreffende personenbezogene Daten verarbeitet werden und welche dies sind. Bei der Auskunftserteilung sind vom Verantwortlichen bestimmte Formen, Fristen und Informationspflichten einzuhalten. Eine Grenze findet das Auskunftsrecht beispielsweise bei exzessiver Antragstellung oder Eingriffen in die Rechte Dritter.
Kurzpapier Nr. 7: Marktortprinzip
Das Kurzpapier Nr. 7 informiert über das in Art. 3 Abs. 2 DSGVO normierte Marktortprinzip. Die Vorschrift bewirkt eine Erstreckung der europäischen Datenschutzvorschriften auf Unternehmen ohne Niederlassung in der EU, wenn sie Daten von in der EU befindlichen Personen verarbeiten. Die DSGVO ist danach anzuwenden, wenn ein Unternehmen innerhalb der EU Personen Waren oder Dienstleistungen anbietet oder das Verhalten von Personen beobachtet.
Kurzpapier Nr. 8: Maßnahmenplan 'DSGVO' für Unternehmen
Im Kurzpapier Nr. 8 hat die DSK Tipps und Hinweise zusammengestellt, die Unternehmen bei der Anpassung der unternehmensinternen Strukturen an die ab Mai 2018 unmittelbar geltenden Regelungen der DSGVO eine Hilfestellung bieten sollen. Sie schlägt unter anderem eine Analyse der Datenschutzkonzeption im Unternehmen anhand eines Soll-/Ist-Abgleichs vor.
Was bisher geschah:
Am 4. und 14.7.2017 hatte die DSK bereits vier gemeinsame Kurzpapiere vorgestellt, welche sich mit der praktischen Umsetzung der DSGVO befassen. Sie sollen Bürgerinnen und Bürgern und auch Unternehmen erste Antworten darauf geben, welche Auswirkungen die neuen Regelungen mit sich bringen.
Kurzpapier Nr. 1: Verarbeitungs-Verzeichnis
Das Kurzpapier Nr. 1 befasst sich mit dem Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und dessen notwendigen Inhalten. Die Pflicht zur Führung eines Verfahrensverzeichnisses aus dem BDSG wird abgelöst und erweitert durch eine Pflicht zur Aufstellung eines Verzeichnisses aller automatisierten und nichtautomatisierten Verarbeitungstätigkeiten mit personenbezogenen Daten. Verpflichtet wird jeder Verantwortliche und auch jeder Auftragsverarbeiter.
Kurzpapier Nr. 2: Aufsichtsbefugnisse
Im Kurzpapier Nr. 2 geht es um die Möglichkeiten der Aufsichtsbehörden, die Einhaltung der Datenschutzvorschriften zu überprüfen und durchzusetzen. In der DSGVO sind verschiedene Untersuchungs- und Abhilfebefugnisse und auch die Verhängung von (teils erheblichen) Geldbußen vorgesehen (insb. Art. 58 und 83 DSGVO).
Kurzpapier Nr. 3: Datenverarbeitung und Werbung
Kurzpapier Nr. 3 stellt dar, wann nach der DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Werbung zulässig ist. Neben einer Einwilligung wird die Zulässigkeit zukünftig anhand einer Interessenabwägung nach Art. 6 DSGVO zu ermitteln sein.
Kurzpapier Nr. 4: Internationaler Datentransfer
Das Kurzpapier Nr. 4 der DSK behandelt die Voraussetzungen, die nach der DSGVO (Art. 44-49 DSGVO) für eine Datenübermittlung in ein Land außerhalb der EU erfüllt sein müssen. Neben den allgemeinen Anforderungen, die die DSGVO an eine Datenverarbeitung stellt, muss für den Transfer in ein Drittland entweder die Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission festgestellt sein, eine geeignete Garantie des Verantwortlichen zur Gewährleistung des Schutzniveaus vorliegen oder ein Ausnahmetatbestand einschlägig sein.
Alle Vorschläge der DSK stehen unter dem Vorbehalt einer eventuell abweichenden Auslegung durch den Europäischen Datenschutzausschuss (Art. 68 DSGVO).
Linkhinweise:
Die Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu den Kurzpapieren Nr.1-3 finden Sie hier.
Zu allen Kurzpapieren der DSK gelangen Sie hier.