DSGVO und betrieblicher Datenschutz – Was bleibt?

In dieser Rubrik sind die Regelungen aufgenommen, die bereits im BDSG enthalten waren und die grundsätzlich auch weiterhin in der Datenschutzgrundverordnung enthalten sind. Im Einzelnen können die bisherigen und die zukünftigen Regelungen inhaltlich auch deutlich voneinander abweichen. Daher ist auch bei den Regelungen in dieser Rubrik eine intensive Betrachtung der neuen Regelungen unvermeidlich! An einigen Stellen habe ich Verweise auf meine entsprechenden Materialienseiten eingefügt. Die entsprechenden Änderungen lassen sich gut in der Synopse mit der Gegenüberstellung der Artikel und Erwägungsgründe aus der DSGVO und den vergleichbaren Regelungen des BDSG-alt erkennen.

  • Es gibt – insbesondere auf EU-Ebene – weiterhin bereichsspezifische Regelungen, wie z.B.
    • die EU-Datenschutzrichtlinie für die elektronische Kommunikation (Richtlinie 2002/58/EG), die derzeit überarbeitet wird und
    • die EU-Datenschutzrichtlinie für Polizei und Justiz (vgl. http://eur-lex.europa.eu/procedure/DE/201285)
  • Verbot mit Erlaubnisvorbehalt (Art. 6 – § 4 BDSG-alt)
  • Regelungen zur Einwilligung (Art. 7 – §§ 4a, 28 Abs. 3a, 3b BDSG-alt)
  • Regelung für die Verarbeitung besonderer Datenarten (Art. 9 u. 10 – § 28 Abs. 6 BDSG-alt)
  • Rechte der Betroffenen (Art. 12 – 17 – §§ 6, 7, 9 und 33 – 35 BDSG-alt)
  • Regelungen zur automatisierten Einzelfallentscheidung (Art. 22 – § 6a BDSG)-alt
  • Die Pflicht, geeignete technische und organisatorische Maßnamen zu treffen (Art. 24 Abs. 1 – § 9 BDSG-alt) und Regelungen zu den technischen und organisatorischen Maßnahmen (Art. 32 – Anhang zu § 9 BDSG-alt)
  • Datenminimierung, datenschutzfreundliche Technik  (Art. 5 Abs. 1 Buchst. c, Art. 25 Abs. 1 – § 3a BDSG-alt) – Hinweis: Verstöße gegen Art. 5 und Art. 25 sind nach der DSGVO mit Bußgeld bedroht!
  • Erforderlichkeitsprinzip (Art 25 Abs. 2 – § 3a BDSG-alt)
  • Strikte Regelungen für die Auftragsverarbeitung wie die Auftragsdatenverarbeitung künftig heißt (Art. 28 und 29 – § 11 BSDG-alt)
  • Das Verfahrensverzeichnis („Verzeichnis von Verarbeitungstätigkeiten“ oder kurz „V3T“,  Art. 30 – 4g i.V.m. § 4e BDSG-alt). Neu ist dabei, dass der Namen und die Kontaktdaten  des/der bestellten Datenschutzbeauftragten im Verzeichnis anzugeben sind. Bisher war deren Angabe im Verfahrensverzeichnis freiwillig. Hinweis: Der Verstoß gegen Art. 30 ist nach der DSGVO mit Bußgeld bedroht!
  • Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde und Benachrichtigung der Betroffenen (Art. 33 und 34 – § 42a BDSG)
  • Vorabkontrolle – in  der DSGVO Datenschutz-Folgenabschätzung (Art. 35 –
    § 4d Abs. 5,6 BSDG-alt), aber durch die verantwortliche Stelle selbst – Wesentliche Änderungen finden Sie in meinem Kurzvortrag zum Thema „Technischer Datenschutz, Risikobewertung und die Datenschutz-Folgenabschätzung (DS-FA)“
  • Meldepflicht bestimmter Verfahren „Vorherige Konsultation“ (Art. 36 – § 4e BDSG-alt)
  • Datenschutzunterweisungen durch die Datenschutzbeauftragten (Art. 39 Abs. 1, Buchstabe a – § 4g Abs. 1 Satz 4 Ziff. 2 BDSG-alt)
  • Verhaltensregeln (Art. 40 – § 38a BDSG-alt)
  • Freiwillige Zertifizierung (Art. 42 – § 9a BDSG-alt), für die Daten-schutzzertifizierung nach § 9a BDSG fehlte allerdings das Um-setzungsgesetz, freiwillige Zertifizierungen gab es bisher nur auf Landesebene.
  • Datenübermittlungen auf Grund eines Angemessenheits-beschlusses der Kommission (Art. 45 – § 4b BDSG-alt)*

Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, und wird bei Bedarf ergänzt bzw. aktualisiert!

*) Solche Beschlüsse gab es auch bislang schon, z.B. Standardvertragsklauseln oder angemessenes Schutzniveau in bestimmten Staaten aber auch die inzwischn per EuGH- Urteil für nichtig erklärte Safe Harbor-Entscheidung der Kommission