Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Ausblick auf das Jahr 2018 – Datenschutz im Umbruch
Mit dem Jahreswechsel rückt auch die für viele Praktiker noch ungewohnte Welt der Datenschutz-Grundverordnung einen weiteren großen Schritt näher. Mit der noch im Dezember 2017 von der Staatsregierung beschlossenen Zuleitung des Gesetzentwurfs für die Neufassung des Bayerischen Datenschutzgesetzes an den Bayerischen Landtag werden die künftigen datenschutzrechtlichen Handlungsgrundlagen der öffentlichen Stellen in Bayern immer deutlicher erkennbar. Auch wenn die parlamentarischen Beratungen erst Ende Januar 2018 aufgenommen werden und dabei noch Änderungen des Gesetzentwurfs beschlossen werden können, lohnt sich angesichts einer gänzlich neu zu ordnenden Rechtslage eine erste Auseinandersetzung mit dem mittlerweile auch wieder auf der Homepage des Bayer. Staatsministeriums des Innern bereit gestellten Gesetzentwurf in der Fassung vom 1. Dezember 2017. In Kürze soll der Entwurf („BayDSG-E“) auch als Landtagsdrucksache 17/19628 verfügbar sein, unter der Interessierte die Beratungen auch in den Informationsangeboten des Landtages weiter verfolgen können.
Hilfestellungen im Anpassungsprozess
Dem Vernehmen nach wird das Staatsministerium des Innern zudem in Abstimmung mit den Kommunalen Spitzenverbänden noch bis zum Frühjahr in einer Art „Anwendungshandbuch“ eine Reihe grundlegender Handlungsempfehlungen und Mustertexte für die staatliche und kommunale Datenschutzpraxis bereit stellen, die die Anpassung an die ab 25. Mai 2018 geltenden Datenschutzanforderungen unterstützen und erleichtern soll. Weitere Einzelheiten hierzu und zu weiteren wichtigen Fragestellungen sind beim „Praxistag zur EU-Datenschutzreform – Datenschutz in der kommunalen Praxis in Bayern“ am 19. März 2018 zu erwarten, den die AKDB und die Verlagsgruppe Hüthig Jehle Rehm und rehm Datenschutz in Kooperation mit den vier Kommunalen Spitzenverbänden veranstalten.
FAQs zur DSGVO
Mit dem folgenden Überblick greifen wir vorab eine Reihe grundsätzlicher Fragen auf, die uns in der Mehrzahl aller Diskussionen um das künftige Datenschutzrecht immer wieder begegnen. Sie geben Einsteigern eine erste Orientierung zur EU-Datenschutzreform und vermitteln Fortgeschrittenen eine kurze Wiederholungseinheit zum Jahresauftakt:
1. Wann tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft? Gibt es Übergangsvorschriften?
Die DSGVO ist ab dem 25. Mai 2018 anzuwenden. Übergangsvorschriften sieht die DSGVO nicht vor.
Das Inkrafttreten der DSGVO führt zusammen mit der gleichzeitig umzusetzenden Datenschutzrichtlinie für Polizei und Justiz zu einem erheblichen Anpassungsbedarf im Bundes- und Landesrecht. Bereits verabschiedet wurden vom Bund ein neues Bundesdatenschutzgesetz (BDSG) und eine Neufassung der Datenschutzvorschriften in der Abgabenordnung und im Sozialgesetzbuch I und X (siehe Newsletter Nr. 12 vom Juli 2017).
Bis zum 25. Mai 2018 wird voraussichtlich ein neues Bayerisches Datenschutzgesetz (BayDSG) verabschiedet. Außerdem ist zu erwarten, dass bis dahin noch viele weitere Bundes- und Landesgesetze an die DSGVO angepasst werden und die Datenschutzrichtlinie für Polizei und Justiz in Bundes- und Landesrecht umgesetzt wird. Geplant sind z.B. Änderungen im Bayerischen Beamtengesetz (BayBG), Bayerischen E-Government-Gesetz (BayEGovG), Bayerischen Polizeiaufgabengesetz (PAG), Kommunalabgabengesetz (KAG), Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) und vielen weiteren Gesetzen.
2. Für welche öffentliche Stellen gilt die DSGVO? Für welche Stellen gilt die Richtlinie zum Datenschutz bei Polizei und Justiz?Die DSGVO gilt für alle öffentlichen Stellen (vgl. Art. 2 BayDSG-E).
Der Anwendungsbereich der DSGVO und der Richtlinie zum Datenschutz bei Polizei und Justiz schließen sich allerdings gegenseitig aus. Die Datenschutzrichtlinie für Polizei und Justiz – und damit auch die Vorschriften, die diese Richtlinie in Landesrecht umsetzen - gelten für die Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Betroffen sind die Polizei, die Gerichte in Strafsachen und die Staatsanwaltschaften, die Strafvollstreckungs- und Justizvollzugsbehörden und die Behörden des Maßregelvollzugs.
Sonstige öffentliche Stellen (z.B. die Gemeinden) sind von den Vorschriften zur Umsetzung der Datenschutzrichtlinie für Polizei und Justiz nur betroffen, soweit sie personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden, also sobald sie formell in ein Verfahren nach dem OWiG übergehen.
3. Welche neuen Pflichten bringt die DSGVO?
Neu sind insbesondere:
4. Ist weiterhin ein behördlicher Datenschutzbeauftragter zu bestellen?
Ja.
Alle Behörden und öffentliche Stellen, die personenbezogene Daten verarbeiten oder verarbeiten lassen, haben nach Art. 37 Abs. 1 DSGVO einen behördlichen Datenschutzbeauftragten und einen Stellvertreter zu bestellen. Der behördliche Datenschutzbeauftragte kann Beschäftigter der öffentlichen Stelle (Beamter oder Arbeitnehmer) sein. Es kann auch ein Beschäftigter einer öffentlichen Stelle für mehrere öffentliche Stellen als behördlicher Datenschutzbeauftragter tätig sein, z. B. ein Beschäftigter des Landratsamtes für die Gemeinden des Landkreises. Damit erweitert sich für öffentliche Stellen insbesondere der Spielraum für bereits erfolgreich erprobte Modelle kommunaler Zusammenarbeit.
Anders als bisher kann außerdem auch ein externer Datenschutzbeauftragter auf der Grundlage eines Dienstleistungsvertrags benannt werden (Art. 37 Abs. 6 DSGVO), auch von mehreren öffentlichen Stellen. Ob ein Externer die Voraussetzungen für die Bestellung zum Datenschutzbeauftragten der öffentlichen Stelle erfüllt, muss im Einzelfall geprüft werden.
5. Ändern sich dessen Aufgaben und Stellung?
Ja!
Seine von Art. 39 DSGVO gesetzlich zugewiesenen Aufgaben sind
Datenschutzbeauftragte erhalten Gelegenheit zur Stellungnahme vor dem Einsatz einer Videoüberwachung (Art. 24 Abs. 5 BayDSG-E).
6. Sind bis zum Inkrafttreten der DSGVO neue Organisationsregelungen zu treffen?
Ja.
Festzulegen ist insbesondere, wer innerhalb einer öffentliche Stelle welche Aufgaben des Verantwortlichen nach der DSGVO erfüllt, z.B. der Verpflichtung zur Meldung von Datenschutzverletzungen nachkommt oder das Verarbeitungsverzeichnis führt.
7. Gibt es weiter eine datenschutzrechtliche Freigabe?
Nein. Die durch das Freigabeerfordernis bisher gewährleistete Vorab-Beurteilung neuer Datenverarbeitungsverfahren wird durch die unter Frage 5 genannten landesrechtlichen Unterrichtungspflichten sowie durch die Beteiligung des behördlichen Datenschutzbeauftragten im Falle einer Datenschutz-Folgenabschätzung ersetzt.
8. Für welche Verarbeitungen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen?
Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 1 Satz 1 DSGVO durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge“ hat.
Ein hohes datenschutzrechtliches Risiko liegt vor, wenn ein erheblicher materieller oder immaterieller Schaden bei einer Verletzung des Schutzes der Daten droht und die Wahrscheinlichkeit für den Eintritt des Schadens nicht unerheblich ist (vgl. Erwägungsgrund 75 und 76). Diese Voraussetzungen werden nur bei wenigen Verarbeitungstätigkeiten vorliegen.
Der Landesbeauftragte für den Datenschutz wird eine Liste von Verarbeitungen erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Datenschutz-Folgenabschätzung ist „vorab“ d.h. vor dem Einsatz einer Verarbeitung durchzuführen. Für bereits laufende Verarbeitungen, die eine Datenschutz-Folgenabschätzung erfordern, ist diese nach einer Übergangsfrist bis zum 25. Mai 2021 nachzuholen, soweit die Datenverarbeitung nicht vorher geändert wird.
9. Worin unterscheidet sich das Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) vom bisherigen Verfahrensverzeichnis?
Das bisher für automatisierte Verfahren nach Art. 27 BayDSG geführte Verfahrensverzeichnis kann als Basis für die Erstellung des Verarbeitungsverzeichnisses dienen. Zusätzlich aufzunehmen sind bei automatisierten Verfahren der Name und die Kontaktdaten des Datenschutzbeauftragten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Neu aufzunehmen sind nichtautomatisierte Verarbeitungstätigkeiten, soweit dabei personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Eine Veröffentlichung des Verarbeitungsverzeichnisses ist von der DSGVO nicht vorgesehen. Ein eigenständiges Recht auf Einsichtnahme in das Verzeichnis enthält die DSGVO ebenfalls nicht.
Das Verarbeitungsverzeichnis ist vom Verantwortlichen zu führen. Diese Aufgabe kann auch auf den behördlichen Datenschutzbeauftragten übertragen werden.
10. Was ist als erstes zu tun?
Bis zum 25. Mai 2018 ist das Verarbeitungsverzeichnis nach Art. 30 DSGVO anzulegen.
Ergänzend sollte festgelegt werden, wer welche Aufgaben des Verantwortlichen nach der DSGVO erfüllt.
11. Wird es für Behörden Bußgelder durch die Aufsichtsbehörden geben?
Nein.
Nur wenn öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen werden die Aufsichtsbehörden Bußgelder verhängen können.
12. Wird es Vollzugshinweise geben?
Ja.
Das StMI wird spätestens bis März 2018 Hilfestellungen für die behördliche Praxis in Form von Handlungsanleitungen und Mustertexten z.B. zur Führung des Verarbeitungsverzeichnisses oder einer Datenschutz-Dienstanweisung bereitstellen.
München, im Januar 2018
Anton Knoblauch Michael Will
Mit-Verfasser von „Datenschutz in Bayern“ Autor für „Datenschutz in Bayern“
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
