Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

die Regelungen der Datenschutz-Grundverordnung (DGSVO) sind seit dem 25. Mai 2018 anwendbar; für die Europäische Union gilt damit nach der zweijährigen Übergangsfrist ein einheitliches Datenschutzrecht. Abgesehen von einigen Startschwierigkeiten scheint der Einstieg in das neue Datenschutzrecht durchaus geglückt zu sein. Entgegen einiger Befürchtungen ist die große Abmahnwelle ausgeblieben; auch die Aufsichtsbehörden haben nicht sofort flächendeckend mit Überprüfungen begonnen. Dennoch ist erkennbar, dass zahlreiche Unternehmen und andere Einrichtungen sich intensiv mit den neuen Herausforderungen befasst und zu einer deutlichen Erhöhung des Datenschutz-Niveaus in der Europäischen Union beigetragen haben.

Im Detail zeigen sich immer neue Problemfelder, über die auf Basis der neuen Regelungen entschieden werden muss. In den nächsten Monaten müssen für zahlreiche Praxisfälle noch alltagstaugliche Lösungen entwickelt werden. In unserem Schwerpunktthema für diesen Monat greifen wir eine Auswahl typischer Praxisfälle auf und bewerten Sie in unserem „Praxis-Check DSGVO“. Daneben berichten wir wie gewohnt auch über aktuelle Aktivitäten der Datenschutz-Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Praxis-Check DSGVO

Mit großer Spannung wurde der Stichtag für die Umstellung auf die neuen Regelungen der DSGVO erwartet. Während die unternehmensinternen Vorbereitungen auf die DSGVO regelmäßig nicht öffentlich überprüft werden können, lassen sich zumindest die Aktivitäten mit Außenwirkung kontrollieren. Zahlreiche Unternehmen haben sich daher zunächst auf diese Bereiche konzentriert, indem beispielsweise der Newsletterversand angepasst, die Datenschutzerklärung aktualisiert oder die Möglichkeit für einen Datenexport geschaffen wurde. 

Wir haben einige typische datenschutzrechtliche Fragestellungen der letzten Wochen zusammengetragen, um diese datenschutzrechtlich zu bewerten. Soweit erforderlich geben wir dabei wie gewohnt konkrete Handlungsempfehlungen.

Zum Schwerpunktthema

Aufsichtsbehörden veröffentlichen Listen für Datenschutz-Folgenabschätzungen

Wenn eine Datenverarbeitung voraussichtlich ein großes Risiko für die Rechte der Betroffenen zur Folge hat, muss die verantwortliche Stelle gem. Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen. Bei der Datenschutz-Folgenabschätzung handelt es sich um eine vertiefte Prüfung und Dokumentation der Datenverarbeitung. Die DSGVO benennt abstrakt einige Fallgruppen, bei denen eine Datenschutz-Folgenabschätzung erforderlich ist. Als Anwendungsfälle für eine Datenschutz-Folgenabschätzung sind gem. Art. 35 Abs. 3 DSGVO etwa die Verarbeitung von besonderen Kategorien personenbezogener Daten sowie die systematische und umfangreiche Überwachung im öffentlichen Raum genannt.

In Ergänzung zu den durch die DSGVO bereits benannten Fällen sind die Aufsichtsbehörden gemäß Art. 35 Abs. 4 S. 1 DGSVO dazu aufgerufen, eine Liste solcher Datenverarbeitungen zu erstellen, die ebenfalls eine Datenschutz-Folgenabschätzung erfordern. Einige Aufsichtsbehörden haben nun die diesbezüglichen „schwarzen Listen“ für die besonders zu dokumentierenden Datenverarbeitungen veröffentlicht:

Unternehmen sollten die in den Übersichten benannten Verfahren mit der eigenen Datenverarbeitung abgleichen, damit überprüft werden kann, ob gegebenenfalls noch eine Datenschutz-Folgenabschätzung vorgenommen werden muss. 

Meldung des Datenschutzbeauftragten in den meisten Bundesländern möglich

Mit der Anwendung der Regelungen der DSGVO ab dem 25. Mai 2018 sind alle Unternehmen, die einen Datenschutzbeauftragten bestellt haben, verpflichtet, die Kontaktdaten ihres Datenschutzbeauftragten bei den jeweils zuständigen Datenschutz-Aufsichtsbehörden zu melden. Nahezu alle Bundesländer haben hierfür in der Zeit vor dem 25. Mai 2018 eine diesbezügliche Meldemöglichkeit geschaffen. In vielen Bundesländern kann die Meldung über Onlineportale der jeweiligen Aufsichtsbehörden vorgenommen werden; teilweise werden ausdruckbare PDF-Dokumente bereitgestellt, die ausgefüllt an die Aufsichtsbehörden übersandt werden sollen.

In den drei Bundesländern Nordrhein-Westfalen, Niedersachsen und Bayern gab es zum 25. Mai unterdessen noch keine Möglichkeit für Unternehmen, der Meldepflicht nachzukommen. Die jeweiligen Aufsichtsbehörden gaben auf ihren Internetauftritten unterschiedliche Übergangszeiträume an, innerhalb derer Verstöße gegen die Meldepflicht nicht verfolgt würden. Bayern setzt eine Übergangsfrist bis zum 31. August 2018 und in NRW gilt eine Frist bis zum 31. Dezember 2018. Für Niedersachsen wird kein konkreter Zeitraum benannt. In allen drei Bundesländern wurde ausdrücklich darauf hingewiesen, dass eine Meldung in Papierform nicht möglich ist und Unternehmen bis zur Bereitstellung der jeweils geplanten Online-Meldemöglichkeiten abwarten sollen. In NRW wurde mittlerweile zum 30. Mai 2018 ein Online-Meldeportal freigeschaltet.

Unternehmen in Niedersachsen und Bayern ist zu empfehlen, dass sie die Internetauftritte der Aufsichtsbehörden regelmäßig hinsichtlich einer neuen Meldemöglichkeit überprüfen. Dies gilt umso mehr, als die von den Aufsichtsbehörden beschriebenen „Übergangsfristen“ in der DSGVO nicht vorgesehen sind. Alle anderen Unternehmen sollten die erforderlichen Meldungen über die bereitgestellten Meldemöglichkeiten durchführen, um die diesbezüglichen datenschutzrechtlichen Anforderungen einzuhalten.