DSGVO und betrieblicher Datenschutz – Was bleibt?

In dieser Rubrik sind die Regelungen aufgenommen, die bereits im BDSG enthalten waren und die grundsätzlich auch weiterhin in der Datenschutzgrundverordnung enthalten. Im Einzelnen können die bisherigen und die zukünftigen Regelungen inhaltlich auch deutlich voneinander abweichen. Daher ist auch bei den Regelungen in dieser Rubrik eine intensive Betrachtung der neuen Regelungen unvermeidlich! Die entsprechenden Änderungen lassen sich gut in der Synopse mit der Gegenüberstellung der Artikel und Erwägungsgründe aus der DSGVO und den vergleichbaren Regelungen des BDSG erkennen.

  • Es gibt – insbesondere auf EU-Ebene – weiterhin bereichsspezifische Regelungen, wie z.B.
    • die EU-Datenschutzrichtlinie für die elektronische Kommunikation (Richtlinie 2002/58/EG), die derzeit überarbeitet wird und
    • die EU-Datenschutzrichtlinie für Polizei und Justiz (vgl. http://eur-lex.europa.eu/procedure/DE/201285)
  • Verbot mit Erlaubnisvorbehalt (Art. 6 – § 4 BDSG)
  • Regelungen zur Einwilligung (Art. 7 – §§ 4a, 28 Abs. 3a, 3b BDSG)
  • Regelung für die Verarbeitung besonderer Datenarten (Art. 9 u. 10 – § 28 Abs. 6 BDSG)
  • Rechte der Betroffenen (Art. 12 – 17 – §§ 6, 7, 9 und 33 – 35 BDSG)
  • Regelungen zur automatisierten Einzelfallentscheidung (Art. 22 – § 6a BDSG)
  • Die Pflicht, geeignete technische und organisatorische Maßnamen zu treffen (Art. 24 Abs.1 – § 9 BDSG)
  • Datenminimierung, datenschutzfreundliche Technik  (Art. 25 Abs. 1 – § 3a BDSG) – Hinweis: Der Verstoß gegen Art. 25 ist nach der DSGVO mit Bußgeld bedroht!
  • Erforderlichkeitsprinzip (Art 25 Abs. 2 – § 3a BDSG)
  • Strikte Regelungen für die Auftragsdatenverarbeitung (Art. 28 und 29 – § 11 BSDG)
  • Das Verfahrensverzeichnis („Verzeichnis von Verarbeitungen“,  Art. 30 – 4g i.V.m. § 4e BDSG). Neu ist dabei, dass der Namen und die Kontaktdaten  des/der bestellten Datenschutzbeauftragten im Verzeichnis anzugeben sind. Bisher war deren Angabe im Verfahrensverzeichnis freiwillig. Hinweis: Der Verstoß gegen Art. 30 ist nach der DSGVO mit Bußgeld bedroht!
  • Regelungen zu den technischen und organisatorischen Maßnahmen (Art. 32 – Anhang zu § 9 BDSG)
  • Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde und Benachrichtigung der Betroffenen (Art. 33 und 34 – § 42a BDSG)
  • Vorabkontrolle – in  der DSGVO „Datenschutz-Folgenabschätzung“ (Art. 35 –
    § 4d Abs. 5,6 BSDG) und durch die verantwortliche Stelle selbst
  • Meldepflicht bestimmter Verfahren (Art. 36 – § 4e BDSG)
  • Datenschutzunterweisungen durch die Datenschutzbeauftragten (Art. 39 Abs. 1, Buchstabe a – § 4g Abs. 1 Satz 4 Ziff. 2 BDSG)
  • Verhaltensregeln (Art. 40 – § 38a BDSG)
  • Freiwillige Zertifizierung (Art. 42 – § 9a BDSG), für die Daten-schutzzertifizierung nach § 9a BDSG fehlte allerdings das Um-setzungsgesetz, freiwillige Zertifizierungen gab es bisher nur auf Landesebene.
  • Datenübermittlungen auf Grund eines Angemessenheits-beschlusses der Kommission (Art. 45 – § 4b BDSG)*

Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, und wird bei Bedarf ergänzt bzw. aktualisiert!

*) Solche Beschlüsse gab es auch bislang schon, z.B. Standardvertragsklauseln oder angemessenes Schutzniveau in bestimmten Staaten aber auch die inzwischn per EuGH- Urteil für nichtig erklärte Safe Harbor-Entscheidung der Kommission