12 Monate vor Geltung der Datenschutz-Grundverordnung - Anpassungsschritte von Gesetzgebung und Datenschutzpraxis

Jetzt bewerten!

10./11. Ausgabe Mai/Juni 2017

 

Countdown _11Monate.jpg

 

Ein Jahr vor Beginn ihrer unmittelbaren Geltung ab 25. Mai 2018 wird der Handlungs- und Anpassungsdruck der Datenschutz-Grundverordnung in allen Bereichen des Datenschutzes zunehmend spürbar. Der Doppel-Newsletter Mai/Juni 2017 anlässlich des ersten Geburtstages der Datenschutz-Grundverordnung vermittelt deshalb einen Überblick über die jüngsten Fortschritte der Rechtsanpassung und aktuellen Handlungsempfehlungen für die datenschutzrechtliche Praxis:


1) Bundes- und Landesgesetzgebung

a) Bayerisches Datenschutzrecht


Der bayerische Gesetzgeber muss sich bis Mai 2018 mit Regelungsaufgaben aus zwei Rechtsakte der EU befassen:

  1. den zur Durchführung der Datenschutzgrundverordnung erforderlichen Regelungen und

  2. der Umsetzung der Richtlinie (EU) 2016/680.

Dabei ist insbesondere das Bayerische Datenschutzgesetz an die unmittelbar geltende Datenschutzgrundverordnung anzupassen. Auch in weiteren Datenschutz-Regelungen des Landesrechts wie z.B. im Schulrecht wird die Datenschutz-Grundverordnung Anpassungen erforderlich machen.

Weiterhin ist die Richtlinie (EU) 2016/680 zum Datenschutz bei Polizei und Justiz in Landesrecht umzusetzen. In diesem Bereich bestehen für den bayerischen Gesetzgeber im Rahmen der von der Richtlinie bestimmten Grenzen zwar weiterhin Befugnisse für eigenständige Regelungen. Da jedoch parallel die Datenschutz-Grundverordnung für allgemeine Verwaltungsaufgaben der Polizei und Staatsanwaltschaften außerhalb des Anwendungsbereich der Richtlinie (EU) 2016/680 anzuwenden bleibt, wird der Landesgesetzgeber sorgfältig prüfen müssen, im welchem Umfang Besonderheiten der Datenverarbeitung bei der Verhütung und Verfolgung von Straftaten grundlegend abweichende Datenschutzstandards notwendig machen.

Angesichts der bevorstehenden parlamentarischen Sommerpause ist die Behandlung eines Gesetzentwurfs der Staatsregierung zur Anpassung des Landesrechts an die EU-Datenschutzreform erst für den Herbst 2017 zu erwarten. Ganz unabhängig davon, ob dabei neben dem BayDSG auch zugleich die übrigen datenschutzrelevanten Regelungen des  Landesrechts aktualisiert werden, ist jedenfalls eine Verabschiedung der Anpassungsgesetze  immer noch mit ausreichend Vorlauf vor dem Mai 2018 zu gewährleisten.


b) Bundesgesetzgebung zum Datenschutz


Wenngleich das Bundesdatenschutz nicht für bayerische Behörden gilt, ist die dortige Entwicklung doch nicht ohne Interesse. Angesichts paralleler Aufgabenstellungen ermöglicht das Bundesrecht eine Art Vorausschau auf auch auf die künftige Struktur der allgemeinen Datenschutzgesetze der Länder und beansprucht überdies im bestimmten Bereichen wie den  Wettbewerbsunternehmen ohnehin auch unmittelbar Geltung:

Der Bundestag und Bundesrat haben am 27. April und 12. Mai 2017 das „Datenschutz-Anpassungs- und Umsetzungsgesetzes-EU“ (BR-Drs. 332/17) verabschiedet. Die Veröffentlichung im Bundesgesetzblatt noch in den nächsten Wochen zu erwarten. Mit einer Neufassung des Bundesdatenschutzgesetzes setzt der Bundesgesetzgeber einen ersten Eckpunkt für das nurmehr als Ergänzung der Datenschutz-Grundverordnung dienende neue Datenschutzrecht der öffentlichen Stellen des Bundes und der nicht-öffentlichen Stellen.

Für die Datenschutzpraxis öffentlicher Stellen in Bayern hat das anfangs stark umstrittene, in einer Sachverständigenanhörung des Bundestages intensiv analysierte Gesetzgebungsverfahren keine substantiellen Änderungen ergeben. Auf Grundlage eines weiten Kompetenzverständnisses für das gerichtliche Verfahren hat der Bundesgesetzgeber auch mit Wirkung für die Behörden der Länder vorgesehen, dass die mit der Datenschutz-Grundverordnung eingeführten Anordnungsbefugnisse der Aufsichtsbehörden im öffentlichen Bereich, d.h. gegenüber Behörden und ihren Rechtsträgern nicht wie sonst nach §§ 80 a, 80 VwGO noch durch die Anordnung der Sofortigen Vollziehbarkeit gem. § 80 Abs. 2 Satz 2 Nummer 4  VwGO nachgeschärft werden dürfen (§ 20 Abs. 7 BDSG-neu, zu dem die Gegenäußerung der Bundesregierung ausdrücklich klarstellt, dass er auch für die Behörden der Länder gilt, BT-Drs.18/11655, S. 50 zu Nummer 14).

Weitere Anpassungserfordernisse im Fachrecht wie z.B. in den Prozessordnungen oder im Bundesmeldegesetz wird der Bundesgesetzgeber trotz Mahnung der Länder gesonderten Gesetzgebungsverfahren vorbehalten, die erst nach den Bundestagswahlen eingeleitet werden sollen. Dies gilt insbesondere für den Entwurf eines sog. Omnibusgesetzes, der dem Vernehmen nach derzeit mehr als 100 Einzelgesetze umfasst, in denen datenschutzrelevantes Bundesrecht an die geänderten Vorgaben der Datenschutz-Grundverordnung anzupassen ist.

Aus diesem vermutlich ebenso komplexen wie schwerfälligen Gesetzgebungsverfahren wurden in den letzten Wochen zur Überraschung der meisten Beobachter mit der Abgabenordnung und dem Sozialgesetzbuch I und X zwei weitere zentrale Regelungsbereiche des Datenschutzes ausgekoppelt und zunächst in der Nacht vom 1. auf den 2 Juni 2017 vom Deutschen Bundestag im Rahmen eines umfangreichen Artikelgesetzes zur „Änderung des Bundesversorgungsgesetzes und anderer Vorschriften“ verabschiedet.

Ob dieses ohne erkennbare parlamentarische Beratungen vollzogene „Überholmanöver“ des Abgaben- und Sozialrechts letztlich glückt, hängt in den nächsten Wochen maßgeblich von der Meinungsbildung der Länder ab. Diese können allerdings bei der anstehenden Plenarbehandlung im Bundesrat am 7. Juli 2017 nicht mehr über inhaltliche Änderungsanliegen, sondern nur über die Zustimmung oder die Anrufung des Vermittlungsausschusses entscheiden (vgl. BR-Drs. 450/1/17).
 
Im Einzelnen führen Art. 17 des Gesetzentwurf zur Abgabenordnung und Art. 19 und 24 zum SGB I und X zunächst vielfach bewährte Regelungen fort. Beispielhaft hervorzuheben sind etwa folgende, in der Neufassung des allgemeinen Datenschutzrechts im BDSG nicht mehr enthaltene Regelungen

  • über Übermittlungsgrundsätze (Art. 67 d SGB X-neu),

  • Anforderungen an  automatisierte Abrufverfahren (§ 30 Abs.  6 und 8 AO-neu, § 79 SGB X-neu),

  • das Datengeheimnis (§ 30 Abs. 9 AO-neu, § 78 Abs. 2 SGB X-neu)

  • oder der Vorrang öffentlich-rechtlicher Auftragsverarbeiter (§80 SGB X-neu).

Andererseits greifen die Rechtsanpassungen gerade im Abgabenrecht strittige Anliegen des Bundes auf, zu denen wegen ihrer Rückwirkungen auf Zuständigkeiten und landesspezifische Organisationsstrukturen Vorbehalte der Länder nicht auszuschließen sind:

  • § 32 h Abs. 1 AO-neu überträgt die Zuständigkeit für die Datenschutzaufsicht bei Finanzbehörden des Bundes und der Länder umfassend auf die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Parallel zur fachlichen Steuerung des Vollzugs sichert sich der Bund damit auch im Bereich der Datenschutzkontrolle umfassende Einwirkungsrechte im Interesse des einheitlichen Steuerrechtsvollzugs. Durch welche organisatorischen und personellen Folgemaßnahmen die BfDI dieser umfassenden Kontrollverantwortung in der Fläche gegenüber sämtlichen Finanzbehörden der Länder am Mai 2018 gerecht werden wird, ist aus dem Gesetzentwurf nicht zu entnehmen. § 32 h Abs. 3 ermöglicht den Ländern noch weitergehend, diese Zuständigkeit der BfDI unter bestimmten Bedingungen auch auf landesrechtliche oder kommunale Steuergesetze zu erstrecken.

  • Auf Grund der Datenschutz-Grundverordnung ist ebenso wie bei allgemeinen Verwaltungsbehörden der Rechtsschutz von Behörden gegen datenschutzaufsichtliche Anordnungen zu regeln. Während das BDSG diese Streitigkeiten (mit Ausnahme etwaiger Bußgeldanordnungen) für Behörden des Bundes und der Länder dem Verwaltungsrechtsweg zuweist (§ 30 Abs. 1 BDSG-neu), begründen AO und SGB X für diese Verfahren Zuständigkeiten der Fachgerichtsbarkeiten, also der Finanz- und Sozialgerichtsbarkeit zu (§ 32 i AO –neu, § 81a Abs. 1 SGB X-neu).

Losgelöst von diesen eher rechtspolitischen als datenschutzrechtlichen Problempunkten zeigen beide Anpassungsprojekte, dass das Fachrecht auf Grund der Regelungs- ermächtigungen des Art. 6 Abs. 2 bis 4 DSGVO weniger grundlegenden Veränderungen unterworfen werden muss als das allgemeine Datenschutzrecht im BDSG und ggf. auch  BayDSG.
 

2) Anpassungsschritte der Vollzugspraxis

Der zweite Teils unseres Newslettersversucht sich der Frage zu nähern, welche Schritte für die Anpassungsarbeiten der Datenschutzpraxis in den noch verbliebenen Monaten vorrangig  angegangen werden sollten.

Eine erste Auseinandersetzung mit der Datenschutz-Grundverordnung hat vielfach gezeigt, dass die Datenschutz-Grundverordnung weniger die materielle Rechtmäßigkeit von Datenverarbeitungen modifiziert als die formalen Anforderungen an diese. Zentrale Bestimmung für diesen Befund ist Art. 24 Abs. 1 DSGVO, der den Verantwortlichen verpflichtet risikobezogen geeignete technische und organisatorische Maßnahmen umzusetzen, die nicht nur sicherstellen sollen, dass die Verarbeitung gemäß der Datenschutz-Grundverordnung erfolgt, sondern auch zugleich dem Nachweis dieser Rechtmäßigkeit dienen sollen. Die Regelung konkretisiert damit den in Art. 5 Abs. 2 DSGVO Verordnung bereits als Datenschutzgrundsatz neu eingeführten „Grundsatz der Rechenschaftspflicht“, der die Anwendung der Datenschutz-Grundverordnung bestimmen soll.


Verarbeitungsverzeichnis

Um ihn in der Praxis mit Leben zu erfüllen, muss stets ohne ausführliche Recherchen feststellbar sein, welche Verarbeitungen überhaupt stattfinden. Diese Aufgabe erfüllt vor allem das „Verzeichnis der Verarbeitungstätigkeiten“ gemäß Art. 30 DSGVO. Für bayerische öffentliche Stellen ist ein solches Verzeichnis nichts wirklich Neues. Das in Art. 27 Bay DSG geregelte Verfahrensverzeichnis (Verzeichnis der freigegebenen automatisierten Verfahren) enthält alle wesentlichen Angaben, die auch das künftige Verzeichnis der Verarbeitungstätigkeiten fordert (siehe dazu Art. 27 Abs. 2 in Verbindung mit Art. 26 Abs. 2 Bay DSG und im Kontrast dazu Art. 30 Abs. 1 Satz 2 DSGVO).


Im Augenblick sollte sich der Datenschutzpraktiker deshalb zunächst einmal vergewissern, dass das bisher schon vorgeschriebene Verfahrensverzeichnis vollständig und aktuell ist. Dann (allerdings auch nur dann) bietet es eine hervorragende Basis für etwa notwendige Ergänzungen beim Ausbau zu einem Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.


Ein solcher Ausbau wird insbesondere notwendig im Hinblick auf nicht automatisierte Verarbeitung. Wäre das Verfahrensverzeichnis gemäß Art. 27 BayDSG sich nämlich ausdrücklich auf „automatisierte Verfahren" beschränkt, kennt das künftige Verzeichnis der Verarbeitungstätigkeiten eine solche Einengung nicht. Wie Art. 4 Nr.2 DSGVO zeigt, erfasst die Datenschutz-Grundverordnung ausdrücklich auch Verarbeitungen, die ohne Hilfe automatisierte Verfahren ausgeführt werden. Deshalb muss das Verzeichnis der Verarbeitungstätigkeiten auch nicht automatisierte Verarbeitungen enthalten. Als Vorbereitung hierauf ist zu empfehlen, in den nächsten Monaten eine Zusammenstellung vorhandener nicht automatisierter Verarbeitungen zu erarbeiten. Dabei geht es in der Regel um Akten, die nach bestimmten Kriterien geordnet sind (etwa nach den Namen der Person, auf die sich die Akten beziehen. Siehe hierzu vor die Ausführungen in Erwägungsgrund 15 zur Datenschutz-Grundverordnung. Demnach fallen auch „Akten oder Aktensammlungen sowie ihre Deckblätter“ in den Anwendungsbereich der Datenschutz-Grundverordnung. . Etwas anderes gilt nur für einen der Praxis schwer denkbaren Fall, dass sie nicht nach bestimmten Kriterien geordnet sind.


Auftragsverarbeitung

 

Ein großes Manko stellt in der Praxis oft die Dokumentation der Auftragsverarbeitung dar. Die Datenschutz-Grundverordnung hat den gewohnten Begriff „Auftragsdatenverarbeitung" durch den neuen Begriff „Auftragsverarbeitung" ersetzt. Diese neue Begrifflichkeit selbst führt dabei nicht zu veränderten Anforderungen. Zu beachten ist jedoch, dass die Stellung des Auftragsverarbeiters deutlich gestärkt wurde und zwar in der Form, dass ihn künftig im Prinzip dieselben Pflichten treffen wie den Verantwortlichen für die Verarbeitung selbst. Die Weisungsgebundenheit des Auftragsverarbeiters (siehe dazu Art. 29 DSGVO) führt nicht dazu, dass er verglichen mit dem Verantwortlichen für die Verarbeitung lediglich reduzierte Pflichten hätte. So muss er künftig unter denselben Voraussetzungen wie ein Auftragsverarbeiter einen Datenschutzbeauftragten benennen (siehe Art. 37 Abs. 1 Satz 1 DSGVO). Auch ist der im selben Umfang wie der Verantwortliche für die Verarbeitung für die Sicherheit der Verarbeitung verantwortlich (siehe Art. 32 DSGVO).

Aus Art. 28 Abs. 3 Satz 1 DSGVO ergibt sich, dass die Verarbeitung durch einen Auftragsverarbeiter unter anderem auf der Grundlage eines Vertrags erfolgen kann. In der Praxis dürfte dies der Regelfall sein. Art. 28 Abs. 3 Satz 2 DSGVO macht in seinen Buchstaben a) bis h) ausführliche Vorgaben dazu, was in einem solchen Vertrag geregelt sein muss.

Bevor über die im Allgemeinen arbeitsaufwändige Anpassung vorhandener Verträge über Auftragsdatenverarbeitung nachgedacht wird, sollte zunächst einmal festgestellt werden, ob wirklich für alle in der Realität stattfindenden Auftragsdatenverarbeitungen in der Vergangenheit bereits ausdrückliche Verträge geschlossen wurden. Immer wenn ein Dritter personenbezogene Daten erhält, um sie in irgendeiner Art und Weise nach Vorgaben zu verarbeiten, liegt die Vermutung nahe, dass es sich dabei um eine Auftragsdatenverarbeitung handelt. In allen derartigen Fällen sollte deshalb geprüft werden, ob dies der Fall ist und deshalb ein ausdrücklicher Vertragsschluss geboten gewesen wäre. Nötigenfalls ist er nachzuholen.


Weiterhin ist darauf zu achten, dass bei jeder Auftragsverarbeitung, die neu begonnen wird, ein Vertragsschluss erfolgt, der den Vorgaben des Art. 28 DSGVO genügt.

Vorhandene Auftragsdatenverarbeitungen, für die Verträge vorliegen, die den bisher geltenden rechtlichen Maßstab genügen, sollten zunächst nicht im Fokus der Aufmerksamkeit stehen. Hier ist dann an eine Anpassung vorhandener Verträge zu denken, wenn inhaltliche Änderungen an der Verarbeitung vorgenommen werden. Im Übrigen ist es zu verantworten, die Anpassung solcher Verträge im Augenblick noch zurückzustellen. Erfahrungsgemäß werden in einem Zeitraum von 2-3 Jahren an den meisten Auftragsverarbeitungen inhaltliche Änderungen vorgenommen. Erfolgt bei einem solchen Anlass jeweils konsequent die Überprüfung und Anpassung vorhandener Verträge, kommt es im Ergebnis rasch genug zu einer Aktualisierung des gesamten Vertragsbestandes.



Pflichten bei Verletzungen des Schutzes personenbezogener Daten

Deutliche Veränderungen bringt die Datenschutz-Grundverordnung bei den Regelungen für die Pflichten bei Verletzungen des Schutzes personenbezogener Daten. Hierbei unterscheidet sie zwischen der Meldung an die Aufsichtsbehörde (siehe Art. 33 DSGVO) und der Benachrichtigung Betroffener Personen (siehe Art. 34 DSGVO). Dabei gilt folgende Grundrichtung:

  • Unter deutlich geringeren Voraussetzungen als bisher entsteht die Pflicht, Art. 33 DSGVO vor Verletzungen an die Aufsichtsbehörde zu melden. Art. 33 DSGVO lässt schon eine Verletzung als solche für das Entstehen einer Meldepflicht genügen. Zusätzliche Voraussetzungen, wie etwa ein besonderes Risiko für betroffene Personen, bestehen nicht. Vorgegeben ist zudem eine Meldung binnen 72 Stunden.
  • Nur in relativ wenigen Fällen schließt sich an die Meldung an die Aufsichtsbehörde eine Benachrichtigung betroffener Personen an. Art. 34 Abs. 1 DSGVO verpflichtet zu einer solchen Benachrichtigung nur dann, wenn die Schutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Herausforderung für die Praxis besteht darin, dass im Ernstfall, wenn nämlich eine Schutzverletzung festgestellt wird, die notwendigen Organisationsstrukturen vorhanden sein müssen, um insbesondere der recht kurzfristig zu erfüllenden Meldepflicht gegenüber der Aufsichtsbehörde genügen zu können. Dies setzt entsprechende interne Zuständigkeitsregelungen und Vorgaben für Abläufe voraus, einschließlich der Festlegung, wer in welcher Hinsicht entscheidungsbefugt ist. Jedenfalls dann, wenn eine verantwortliche Stelle besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet, ist auch an entsprechende Planspiele und Ablaufübungen zu denken. In diesem Fall liegt es nämlich besonders nahe, dass nach der Meldung an die Aufsichtsbehörde auch noch eine Benachrichtigung betroffener Personen erfolgen muss. Damit pflegt meist eine erhebliche Öffentlichkeitswirkung verbunden zu sein. Sie gilt es vorbereitend einzuplanen.



Weitere Aufgaben

Die vorstehend beschriebenen besonders vorrangigen Maßnahmen decken nicht alle Pflichten des Verantwortlichen bzw. des Auftragsverarbeiters ab. Erst wenn sie ausreichend abgearbeitet wurden, macht es jedoch Sinn, weitere Maßnahmen anzugehen. Zu ihnen gehören

  • Datenschutz-Folgeabschätzung (Art. 35 DSGVO)

  • Vorbereitung einer Zertifizierung (Art. 42 DSGVO)

  • Überprüfung, ob sich bei den materiellen Rechtsgrundlagen für eine Verarbeitung Änderungen gegenüber dem jetzigen Rechtszustand ergeben, insbesondere durch Art. 6 DSGVO und durch Art. 9 DSGVO

Dabei ist zu bedenken, dass zur Datenschutz-Folgeabschätzung ein Papier der Gruppe nach Art. 29 der geltenden EG-Datenschutzrichtlinie in Vorbereitung ist. Es liegt als Entwurf vor, ist jedoch noch nicht endgültig verabschiedet. Immerhin enthält zumindest die Entwurfsfassung die sehr pragmatische Aussage, dass die Verpflichtung „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge“ (Art. 35 Abs. 1 DSGVO) durchzuführen, keine unmittelbare Verpflichtung zur Folgenabschätzung für solche Verfahren begründen soll, die zum 25. Mai 2018 bereits eingesetzt werden. Diese Freistellung von Bestandsverfahren gelte allerdings nur solange, als diese Verfahren nicht technischen oder rechtlichen Änderungen erfahren und bis zum Ablauf einer regelmäßigen dreijährigen Überprüfungsfrist (s. im Einzelnen S.11 f. des WP 248).

Hinsichtlich der Zertifizierung fehlt es im Augenblick noch an Angeboten entsprechender Zertifizierungsstellen gemäß Art. 43 DSGVO. Und was die materiellen Rechtsgrundlagen angeht, erscheint es sinnvoll, zunächst den Abschluss der in Teil 1 dieses Newsletters dargestellten Gesetzgebungsvorhaben abzuwarten. Diese Aspekte rechtfertigen es, die beschriebenen weitergehenden Schritte momentan noch zurückzustellen.



Handlungsbedarf bleibt!

Eine Aufforderung zur Untätigkeit ist damit indessen nicht verbunden. Vielmehr erscheint es geboten, die Rechtsentwicklung und Rechtsdiskussion gerade zu diesen Punkten in den nächsten Monaten intensiv zu beobachten. Soweit sich hierbei Entwicklungen von grundsätzlicher Bedeutung ergeben, werden wir sie in künftigen Newslettern behandeln.

 

München, im Juni 2017


Dr. Eugen Ehmann
Michael Will

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 209,99 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
HJR_355pxbreit_Beitragsseitenbanner_mitRand2px-min.jpg
Banner_Homeofficeaktion_355px_April2021.jpg
Banner Quizwelt_min.jpg
banner-datenschutz.png
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag - Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

 

 

Unsere Themen und Produkte

 

Service

 

Rechtliches

Ihre Vorteile

Folgen Sie uns

Partner der


Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung