Walsrode, 14. Februar 2018

Nur noch 100 Tage!

Hallo {title} ,

mein letzter Newsletter ist nun schon eine Weile her. Das liegt nicht nur an meinem Urlaub in der ersten Januarhälfte, sondern auch daran, dass es tatsächlich immer noch FIrmen gibt, die erst jetzt mit der Umsetzung der DSGVO anfangen! Zumindest erreichten mich derartige Anfragen auch noch in den .letzten Tagen. Manchmal kann ich mir nicht verkneifen, auf die Fragen, ob es denn keine Übergangszeit gäbe, zu antworten: "Doch, die gibt es, die ist ganze zwei Jahre lang". Nach einer kurzen Pause - in der sich eine gewisse Erleichterung auf den Gesichtern der Fragenden zeigt, vervollständige ich meinen Satz: "die Übergangsfrist hat aber schon am 25. Mai 2016 begonnen und geht nur noch bis zum 24. Mai 2018." Ich weiß, das ist ein bißchen böse. Aber Sie kümmern sich ja schon länger in Ihren Unternehmen, Behörden, Einrichtungen und Institutionen um die Umsetzung der DSGVO

Heute habe ich nur einen kurzen Newsletter mit den folgenden Themen, aber so ein Datum - 100 Tage bis zum Gültigwerden der DSGVO - kann ich doch nicht ohne einen DSGVO-Newsletter zu versenden verstreichen lassen

1. Art.29-Gruppe hat neuen Webauftritt
2. Weitere Kurzpapiere der DSK
3. Materialien der DSK zum Verzeichnis von Verarbeitungstätigkeiten (V3T)

Art.29-Gruppe hat neuen Webauftritt und weitere Papiere - u.a. zur Akkrediterung von Zertifizierungsstellen - veröfftentlicht.

Die temporäre Website der Art. 29 Gruppe (des künftigen Europäsichen Datenschutzausschusses, EDSA) war ja etwas unübersichtlich. Nun ist die Website der Art. 29-Gruppe unter http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358 zu finden. Die Übersichtseite der Leitlinen (Guidelines) finden sich hier: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 - ich habe mir gleich mal den RSS-Feed abonniert.

Die bereits verabschiedete Leitlinien habe ich hier mal aufgelistet, diese sind in allen Amtssprachen verfügbar.

• WP242: Guidelines and FAQ on the right to Data Portability – Leitlinien zum Recht auf Datenübertragbarkeit (alle verfügbaren Sprachversionen)
• WP243: Guidelines on Data Protection Officers (‘DPOs’) – Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) – (alle verfügbaren Sprachversionen)
• WP 244: Guidelines for identifying a controller or processor’s lead supervisory authority  (alle verfügbaren Sprachversionen)
• WP 248: Guidelines on Data Protection Impact Assessment (DPIA) – (alle verfügbaren Sprachversionen)
• WP 253: Guidelines on the application and setting of administrative fines – (alle verfügbaren Sprachversionen)

Daneben gibt es noch Leitlinien, bei denen zwar die Konsultationen abgeschlossen sind, die Überarbeitung aber noch nicht beendet wurde sowie Leitlinien, die sich in der Konsultationspahse befinden. Diese finden sich hier: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1310  Ganz neu ist das Dokument Guidelines on the accreditation of certification bodies - wp261 Die Konsulationsphase dauert hier bis zum 27. März 2018 (siehe: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614280 ).

Weitere Papiere der Art. 29 Gruppe finden sich in der Rubrik "Letters and other Dokuments": http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1307 - hier sein nur das Working Document on Binding Corporate Rules for Processors (wp257) erwähnt. Ein Blick auf die Website der Art. 29 Gruppe lohnt sich also immer wieder

Weitere Kurzpapiere der DSK

Die Deutsche Datenschutzkonferenz (DSK) hat inzwischen weitere Kurzpapiere veröffentlicht. Inzwischen sind es nun 15 an der Zahl, die u.a. unter https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/ds-gvo---kurzpapiere-155196.html oder https://www.lda.bayern.de/de/datenschutz_eu.html zu finden sind. 

Auch hier lohnt es sich, immer mal wiieder vorbeizuschauen.

Materialien der DSK zum Verzeichnis von Verarbeitungstätigkeiten (V3T)

Nachdem GDD, Bitkom und andere (so auch ich als Worddokumente für meine Kunden) schon vor geraumer Zeit Vorlagen für das Führen des Verzeichnis von Verarbeitungstätigkeiten (V3T) erstellt haben (vgl. https://dsgvo.expert/MatV3T) erstellt haben und diverse Firmen entsprechende Software anbieten, ist es nun auch der Deutschen Datenschutzkonferenz (DSK) gelungen "Hinweise und Muster zum Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DS-GVO" zu veröffentlichen. Sollten Sie meinen, eine gewisse Ironie aus diesen Zeilen herauslesen zu können: Sie haben Recht. Ich habe mir die Muster, die als PDF- und als Worddateien  heruntergeladen werden können angeschaut und musste zu meinem Bedauern ("Erschrecken" wäre hier eigentlich ehrlicher) feststellen, dass diese Materialen - im Vergleich zu den anderen genannten Mustern - nicht so sehr hilfreich sind. Das V3T sollte doch der Kern des Datenschutzmanagements in einem Unternehmern, einer Behörde, einer Institution sein. Dann ist es doch erforderlich, dass möglichst alle verarbeitungstätigkeitsbezogene Informationen - und nicht nur die Pflichtangaben aus Art. 30 DSGVO - hier zu finden sind, sei es direkt oder verlinkt. GDD und Bitkom haben das verstaden. Meine Kunden auch und sie sind froh, dass ich für sie Muster bereitgestellt habe, in denen auch Informationen, die zur Erfüllung der Pflichten aus den Art. 13  bs 15 DSGVO hier zu finden sind. Bei einem der Kunden wurde dieses Muster für die Verarbeitungstätigkeitenbeschreibung sogar in eine Lotus-Notes-Datenbank umgesetzt. Dort kann nun softwaregestützt das Verzeichnis der Verarbeitungstätigkeiten so geführt werden, dass es nicht nur der Erfüllung der rechtlichen Anforderungen aus Ar.t 30 DSGVO dient, sondern auch die effiziente und wirksame Umsetzung des Datenschutz unterstützt.

Und falls Sie sich fragen, warum ich diesen Newsletter in Walsrode schreibe: Dort halte ich heute noch ein ganztägiges zu den Auswirkungen der DSGVO und des neuen Niedersächsischen Datenschutzgesetztes (NDSG-neu, das allerdings bislang nur im Entwurf vorliegt) auf den behördenlichen Datenschutz in Niedersachen. 

100 Tage oder 68 bzw. 69 Arbeitstage (je nach Bundesland) bis zum Gültigwerden der DSGVO und dem Inkrafttreten des BDSG-neu (und einier neuen Landesdatenschutzgesetzen) - das ist nicht mehr sol lange. Aber mit Engagement und Fleiß läßt sich auch in Ihrem Unternehmen, in Ihrer Firma, in Ihrer Institution die Umsetzung der DSGVO noch sehr weit voranbringen. Nur Mut!

 Werner Hülsmann

P.S.: Fast hätte ich es vergessen, Sie auf die vom Bayerischen Landesamt für Datenschutzaufsicht herausgegebene Broschüre "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine" hinzuweisen, die aus meiner Sicht sehr nützlich ist. Meine Rezension finden Sie unter https://dsgvo.expert/zEkoK

Um Ihre Einstellungen zu ändern, bitte hier klicken. Sollten Sie sich wieder abmelden wollen, dann bitte hier klicken, - Datenschutz

Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL

-----------------------------------------------

Meine  Infoseite  zur Europäischen Datenschutz-
grundverordnung (DSGVO): <https://dsgvo.expert>
-----------------------------------------------

-- 

Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann
- Anerkannter Datenschutzsachverständiger*

* Münchener Str. 101 - Gebäude 1 / 1. OG -  D-85737 Ismaning
  Tel.: 089 / 51 30 569-7, FAX: -8  
* Pappelhof 12 - D-14478 Potsdam
  Tel. 030 / 22 43 84 36
Mobil: 0177 / 28 28 681 
E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de