Sonder-Newsletter des LfDI – 1 Jahr bis zur Datenschutz-Grundverordnung

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

der Countdown läuft. In einem Jahr – am 25. Mai 2018 – wird die Datenschutz-Grundverordnung Wirksamkeit entfalten. Mit dieser Sonderausgabe unseres Newsletters wird diesem Umstand Rechnung getragen und wir greifen bereits einzelne Schwerpunkte und Neuerungen im Zusammenhang mit der Datenschutz-Grundverordnung auf und erläutern sie.

Links führen zu weitergehenden Informationen, die wir in unserem Internetangebot präsentieren. In Anbetracht der Fülle der Neuerungen und stetigen Entwicklungen zur Datenschutz-Grundverordnung wird dieses Angebot kontinuierlich weiterentwickelt werden. In den kommenden Wochen werden insbesondere gemeinsame Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zu spezifischen Themen veröffentlicht.

Ich freue mich bereits jetzt darauf, die neue Ära des Datenschutzes in einem Jahr auf ähnliche Art und Weise anzukündigen. Bis dahin müssen weiterhin die Gesetzgeber, die Verwaltungen und die Unternehmen die Ärmel hochkrempeln und entsprechende Vorbereitungen treffen. Wir als Datenschutzaufsichtsbehörde unterstützen dabei gerne.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Anwendungsvorrang des Unionsrechts

II. Informations- und Auskunftsrechte unter der Datenschutz-Grundverordnung

III. Datenschutzbeauftragte und Datenschutzmanagement

IV. Die Datenschutz-Folgenabschätzung

V. Das Verzeichnis über Verarbeitungstätigkeiten

VI. Die Rolle der Aufsichtsbehörden

VII. Abschlussveranstaltung des Kommunalprojekts am 20. Juni 2017 in Mainz

VIII. Verleihung der LfDI-Awards am 20. Juni 2017 in Mainz

Anwendungsvorrang des Unionsrechts

Ab dem 25. Mai 2018 werden die Betroffenen, die Verantwortlichen und die Aufsichtsbehörden mit einem neuen Regime an datenschutzrechtlichen Vorschriften auf europäischer, Bundes- und Länderebene konfrontiert. Damit stellt sich die Frage, wie sich diese Ebenen zueinander verhalten und welches Recht im Fall einer Kollision Vorrang genießt.

Mit dem Wirksamwerden der Datenschutz-Grundverordnung und der Umsetzung der Richtlinie über Polizei und Justiz im Mai 2018 bildet das Unionsrecht den Ausgangspunkt und die wesentliche Grundlage für den Datenschutz. Das Bundesdatenschutzgesetz und die Fachgesetze auf Bundesebene regeln weitere Einzelheiten. Auf Landesebene kommen das Landesdatenschutzgesetz und das einschlägige Fachrecht zur Anwendung.

Im Falle inhaltlicher Konflikte des Rechts – d.h. wenn eine Regelung im Einzelfall eine bestimmte Rechtsfolge anordnet, die der Rechtsfolge einer anderen Bestimmung widerspricht – bedarf es der Kollisionsregeln. Für das Unionsrecht greift die allgemeine Kollisionsregel des Anwendungsvorrangs. Danach ist in einem konkreten Konfliktfall eine bestimmte innerstaatliche Rechtsvorschrift unanwendbar, wenn und soweit sie mit einer vorrangigen Vorschrift des Unionsrechts kollidiert. Die konkrete Auswirkung des Anwendungsvorrangs hängt von der jeweiligen Situation des Falles ab.

Weitere Überlegungen zu der Thematik können Sie diesem Beitrag entnehmen.

Informations- und Auskunftsrechte unter der Datenschutz-Grundverordnung

Der Grundsatz der Transparenz ist ein Hauptmerkmal der Datenschutz-Grundverordnung (DS-GVO). Um diesem Grundsatz gerecht zu werden, normiert sie bereits bekannte, aber auch neue Betroffenenrechte und widmet diesen ein eigenes Kapitel mit den Artikeln 12 bis 23 DS-GVO.

Während Art. 12 DS-GVO die allgemeinen Modalitäten um die Rechte normiert, sieht Art. 23 DS-GVO Einschränkungsmöglichkeiten auch für den nationalen Gesetzgeber vor. Wie bisher auch im Landes- und Bundesdatenschutzgesetz nennt die Grundverordnung u.a. die Pflicht zur Information (bisher Benachrichtigung) und das Recht auf Auskunft. Diese beiden Rechte werden durch die Datenschutz-Grundverordnung erweitert, Fristen werden eingeführt und die Sanktionen erhöht. Für einen umfassenderen Schutz der betroffenen Personen neu geschaffen wurde zudem das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO, das dem Einzelnen garantieren soll, seine personenbezogenen Daten von einem Verantwortlichen auf einen anderen zu übertragen, z.B. zum Zweck eines Vertragswechsels. Zudem wird das Recht auf Löschung durch Art. 17 DS-GVO ausdrücklich auf die Löschung von Links etwa in Suchmaschinen, die zu der Person führen, erstreckt („Recht auf Vergessenwerden“).

Nähere Ausführungen zu diesen Rechten der betroffenen Personen und die Änderungen zur bisherigen Rechtslage finden Sie hier.

Datenschutzbeauftragte und Datenschutzmanagement

Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die erstmalige Einführung einer europaweiten Pflicht für alle Verwaltungen und bestimmte Unternehmen, einen Datenschutzbeauftragten (DSB) zu bestellen.

Künftig wird der DSB neben seiner Beratungsfunktion verstärkt die Rolle eines Compliance-Beauftragten zum Datenschutz einnehmen, der intern nicht nur die Einhaltung der datenschutzrechtlichen Vorgaben überwachen, sondern auch die dazu innerhalb seiner Organisation entwickelten Strategien zum Schutz personenbezogener Daten inhaltlich bewerten soll (Art. 39 Abs. 1 lit. b und c DS-GVO), z.B. bei der Datenschutz-Folgenabschätzung. Vor allem diese eher risikoorientierten, koordinierenden und bewertenden Aufgaben stellen im Vergleich zu der bisherigen Rechtslage eine gravierende Änderung der praktischen Tätigkeit der DSB und damit auch ihrer internen Rolle dar.
Die mit der Bestellung eines DSB einhergehenden Pflichten des Verantwortlichen werden von der Verordnung deutlich benannt (insbesondere Art. 38 Abs. 1, Abs. 2, Abs. 3, Abs. 6 Satz 2 DS-GVO). Für die interne Einbindung des DSB ist bereits die Pflicht zur Veröffentlichung seiner Kontaktdaten bedeutsam (Art. 37 Abs. 7 DS-GVO). Besonderes Gewicht hat allerdings die klare Verpflichtung des Verantwortlichen, dem DSB die zur Aufgabenerfüllung erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen (Art. 38 Abs. 2 DS-GVO). Vor allem die Bereitstellung ausreichender Personalressourcen war in der Vergangenheit in der Praxis selten gewährleistet.

Weitere Aspekte und Neuerungen werden hier dargestellt.

Die Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist ein durch die Datenschutz-Grundverordnung neu geschaffenes Instrument des Risk-Assessments. Im Rahmen einer Risikoanalyse sollen die Folgen der Verarbeitung insbesondere  besonders sensibler Daten abgeschätzt werden, um frühzeitig Schutzmaßnahmen ergreifen zu können. Dazu sollen die Datenschutzanforderungen bereits in die den Datenverarbeitungsprozessen zugrunde liegenden Konzepte integriert werden.

Die Unterart der Technikfolgenabschätzung stellt Anforderungen an die verantwortliche Stelle und die Aufsichtsbehörden. Die verantwortliche Stelle stellt im Rahmen einer Schwellwertanalyse fest, ob es sich um eine besonders risikoreiche Datenverarbeitung handelt. Ist dies der Fall, muss sie nach Beratung mit dem Datenschutzbeauftragten entsprechende Maßnahmen treffen, um die Folgen für die von der Datenverarbeitung betroffene Person zu mindern – ggfs. unter Konsultation der zuständigen Aufsichtsbehörden.

Das Instrument der Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, um die Rechte der betroffenen Person vor risikoreichen Datenverarbeitungsvorgängen vorausschauend zu wahren und den Verantwortlichen vor Verstößen gegen die Datenschutz-Grundverordnung und damit verbundenen Kosten zu bewahren.

Weitergehende Informationen zur Ausgestaltung der Datenschutz-Folgenabschätzung finden Sie hier.

Das Verzeichnis über Verarbeitungstätigkeiten

Das bisherige Verfahrensverzeichnis wird mit Art. 30 DS-GVO durch ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst. Dieses betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) sowie jeder Auftragsverarbeiter zur Erstellung und Führung eines entsprechenden Verzeichnisses verpflichtet. Unterhalb der Schwelle von 250 Mitarbeitern müssen Unternehmen nur dann ein Verzeichnis über Verarbeitungstätigkeiten führen, wenn diese besonders risikoträchtig sind, besondere Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen verarbeitet werden.

Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung spielt eine wesentliche Rolle, um datenschutzrechtliche Vorgaben einhalten zu können. Nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können.

Mehr Informationen zu dem Inhalt, der Form und der Einsichtnahme in das Verzeichnis finden Sie hier.

Die Rolle der Aufsichtsbehörden

Durch die Datenschutz-Grundverordnung wird die Rolle der Aufsichtsbehörden gestärkt. Angesichts der erheblichen Unterschiede der Ausgestaltung, Arbeitsweisen, Aufgaben und Befugnisse der Aufsichtsbehörden, hat der europäische Verordnungsgeber auf dem Weg zu einem einheitlichen Datenschutzniveau in Europa auch in diesem Bereich die Notwendigkeit einer Harmonisierung gesehen.

Neben ihrer Unabhängigkeit, die durch zahlreiche Regelungen gewährleistet wird, werden sie insbesondere mit weitreichenden Aufgaben und Befugnissen ausgestattet, die es ermöglichen, die zahlreichen Anforderungen an den Datenschutz wirksam und flächendeckend zu überwachen und durchzusetzen. Dabei wird nicht mehr zwischen öffentlichen und nichtöffentlichen Stellen unterschieden; alle Verantwortlichen können mit den zahlreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen der Aufsichtsbehörden gleichermaßen konfrontiert werden.

Diese Vorgaben für das Rollenverständnis der Aufsichtsbehörden nach der Datenschutz-Grundverordnung stellen nicht nur die Aufsichtsbehörden selbst und die Verantwortlichen vor neue Herausforderungen, auch die Gesetzgeber stehen in der Pflicht, die Unabhängigkeit und die effektive Tätigkeit der Aufsichtsbehörden zu gewährleisten.

Detailliertere Informationen zu der Rolle der Aufsichtsbehörden unter der Datenschutz-Grundverordnung finden Sie hier.

Abschlussveranstaltung des Kommunalprojekts am 20. Juni 2017 in Mainz

Best-Practice-Empfehlungen zum Datenschutzmanagement in Kommunalverwaltungen

Wie bereits im letzten Newsletter angekündigt wird das vom LfDI zusammen mit vier rheinland-pfälzischen Kommunalverwaltungen durchgeführte Projekt zur strukturellen Verbesserung des kommunalen Datenschutzmanagements im Rahmen einer Fachveranstaltung am 20. Juni 2017 in Mainz abgeschlossen.

Die Veranstaltung beginnt um 14.00 Uhr in den Räumen des Landesmuseums in Mainz. Nach der Präsentation der Best-Practice-Empfehlungen und der weiteren in diesem Zusammenhang erstellten Dokumente werden ab ca. 15.30 Uhr Vertreter der an dem Projekt beteiligten Kommunen, der kommunalen Spitzenverbände, des rheinland-pfälzischen Innenministeriums und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, die Projektarbeit würdigen. Dabei soll insbesondere erörtert werden, auf welchem Wege die Kommunalverwaltungen bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützt werden können.

Für die Veranstaltung ist eine Anmeldung erforderlich. Um 17 Uhr folgt am gleichen Ort die erstmalige Verleihung der LfDI-Awards 2017. Die Anmeldung dazu kann mit der Anmeldung zur Abschlussveranstaltung kombiniert werden.

Verleihung der LfDI-Awards am 20. Juni in Mainz

Am 20. Juni 2017 wird der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz erstmalig die LfDI-Awards verleihen. Die Veranstaltung wird von 17-18 Uhr im Landesmuseum in Mainz stattfinden.

Mit den LfDI-Awards möchte der LfDI besonders gewinnbringenden und engagierten Konzepten zur Gewährleistung von Datenschutz und Transparenz zu einer größeren Öffentlichkeit verhelfen und positive Anreize für die Etablierung und die Wahrung hoher Datenschutz- und Transparenzstandards in Rheinland-Pfalz schaffen.

Die LfDI-Awards 2017 werden vom Präsidenten des Landtags Rheinland-Pfalz, Hendrik Hering, und dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, im Landesmuseum in Mainz verliehen. Alle Interessierten sind herzlich zur Preisverleihung eingeladen. Im Anschluss laden wir Sie gerne zu einem Glas Sekt ein.

Zu der Veranstaltung können Sie sich hier anmelden und wir freuen uns auf Ihr Kommen!

Newsletterarchiv

Die bisherigen Newsletter des LfDI finden Sie hier.