Checkliste Datenschutz-Grundverordnung

An dieser Stelle möchten wir Ihnen eine Übersicht zur aktuellen Rechtslage geben. Sie finden hier die wichtigsten Links auf einen Blick: Vom Text der Datenschutz-Grundverordnung über den aktuellen Umsetzungsstand auf nationaler Ebene bis hin zu Stimmen aus den Aufsichtsbehörden. Besonders hilfreich für Unternehmen: Unsere Checkliste zur Einhaltung der neuen Rechtslage.

Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt, gilt ab dem 25. Mai 2018:

• Text DSGVO in deutscher Sprache (html) (pdf)
• Text der DSGVO in englischer Sprache (html) (pdf)
• Berichtigung von Art. 28, 30, 33 DSGVO (pdf)
• Änderung zu Art. 25, 32 DSGVO u.a. (pdf) – deutsche Fassung ab Seite 47
• Weitere Sprachversionen (Übersichtsseite der EU)
• Historische Rats-, Kommissions- und Parlamentsfassung (Synopse)

Bundesdatenschutzgesetz   

• Ein neues Bundesdatenschutzgesetz wird am 25. Mai 2018 in Kraft treten  (künftiger Gesetzestext)

Landesdatenschutzgesetze

Im Hinblick auf alle Landesdatenschutzgesetze sind Anpassungen zu erwarten. Diese sind derzeit größtenteils aber noch in Arbeit. Soweit noch nicht verabschiedet, ist jeweils der der aktuell bekannte Stand mit angegeben:

• Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)
• Baden-Württemberg: Gesetzentwurf zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679, Stand: 19. Dezember 2017 (pdf)
• Bayern: Gesetzentwurf zum neuen Bayerischen Datenschutzgesetz, Stand: 12. Dezember 2017 (pdf)
• Berlin: Beschlussvorlage zum Berliner Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (BlnDSAnpUG-EU), Stand: 9. Mai 2018 (pdf)
• Bremen: Gesetzesentwurf für ein Bremisches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung (BremDSGVOAG), Stand: 30. Januar 2018 (pdf)
• Hamburg: Entwurf eines Gesetzes zur Anpassung des Hamburgischen Datenschutzgesetzes sowie weiterer Vorschriften an die Verordnung (EU) 2016/679, Stand: 16. Januar 2018 (pdf); siehe dazu auch: Stellungnahme des HmbBfDI zur Novellierung des HmbDSG (pdf)
• Hessen: HDSIG – Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit (pdf)
• Mecklenburg-Vorpommern: Gesetzentwurf  zur Anpassung des Landesdatenschutzgesetzes und weiterer datenschutzrechtlicher Vorschriften (pdf)
• Niedersachsen: Gesetzesentwurf zur Neuordnung des niedersächsischen Datenschutzrechts , Stand: 12. Dezember 2017 (pdf)
• Nordrhein-Westfalen: Gesetzesentwurf zum Nordrhein-Westfälisches Datenschutz-Anpassungs- und Umsetzungsgesetz EU (NRWDSAnpUG-EU), Stand: 19. Dezember 2017 (pdf)
• Rheinland-Pfalz: Landesdatenschutzgesetz (LDSG), verabschiedet am 26. April 2018 (pdf)
• Saarland: Gesetzentwurf zur Anpassung des Saarländischen Datenschutzgesetzes an die Verordnung (EU) 2016/679 , Stand: 7. März 2018 (pdf)
• Sachsen: Sächsisches Datenschutzdurchführungsgesetz – Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf)
• Sachsen-Anhalt: DSG LSA – Gesetz zum Schutz personenbezogener Daten der Bürger (pdf)
• Schleswig-Holstein: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, Stand: 16. Januar 2018 (pdf) – siehe dazu: Stellungnahme des ULD zur Novellierung des LDSG-neu (pdf)
• Thüringen: Entwurf zum (Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (ThürDSAnpUG-EU), Stand: 16. Januar 2018 (pdf)

ePrivacy-Verordnung

• Die bisherige ePrivacy-Richtline (sog. Cookie-Richtlinie) wird überarbeitet und voraussichtlich die datenschutzrechtlichen Vorschriften des TMG zum Webtracking ersetzen.
• Derzeit ist eine ePrivacy-Verordnung in Arbeit, die jedoch voraussichtlich nicht vor dem Jahr 2019 in Kraft treten wird.
• Studie ePrivacy-RL und DSGVO (Übersicht) (Executive Summary)
• Evaluation der Richtlinie (Ergebnisse der öffentlichen Konsultation)
• Entwurf der EU-Kommission zur ePrivacy-Verordnung (zum offiziellen Entwurf) (Entwurf auf Deutsch)
• Stellungnahme des EU-Datenschutzbeauftragten zum EU-Kommissionsentwurf (Stellungnahme)
• Stellungnahme des Deutschen Bundesrates vom 2. Juni 2017 (Stellungnahme)
• Änderungsvorschläge des Verbraucherzentrale Bundesverbands (vzbv) vom 30. Juni 2017 (Amendments)
• Änderungsvorschläge des Rates der Europäischen Union vom 8. September 2017 (englische Version).Aktueller Entwurf des Rates der Europäischen Union vom 4. Mai 2018 (englische Version).

Bereichsspezifische Vorschriften

Bereichsspezifische Vorschriften werden bis Mai 2018 angepasst bzw. entfallen.

• SGB X und sonstige Regelungen wie z.B. HGB, Patentgesetz, Gebrauchsmustergesetz, Markengesetz, Urhebergesetz, Finanzverwaltungsgesetz, Abgabenordnung (Bundesgesetzblatt vom 24. Juli 2017)
• § 203 StGB und weitere Regelungen für Berufsgeheimnisträger (Ärzte, Anwälte, Notare etc.) und deren mitwirkende Personen (Bundesgesetzblatt vom 8. November 2017).
• KUG: Aktuell ist offen, ob das Kunsturhebergesetz fortbesteht oder von der DSGVO verdrängt wird (heise online)
• BDSG und TMG (siehe oben) 

Einige Stimmen aus den Aufsichtsbehörden  

• Kurzpapiere der Datenschutzkonferenz (DSK) sowie Übersichten vom Bayerischen Landesamt für Datenschutzaufsicht zu zahlreichen Themen: z.B.  Verarbeitungsverzeichnis, Werbung, Übermittlung in Drittländer, Informationspflichten, Datenschutz-Folgenabschätzung, Videoüberwachung, Umgang mit Datenpannen, IT-Sicherheit, Sanktionen, Auftragsdatenverarbeitung, Beschäftigtendaten, Recht auf Vergessenwerden (BayLDA)
• 10 Punkte zur Umsetzung der DSGVO (Datenschutzkonferenz vom 24.05.2017)
• Checkliste für kleine und mittlere Unternehmen (LDI NRW)
• 10 Fragen ( 10 questions) zur Umsetzung der DSGVO (Bayrisches Landesamt für Datenschutzaufsicht)
• Fragen zur Vorbereitung auf die DSGVO (Lfd Niedersachsen)
• Handreichungen für kleine Unternehmen und Vereine, z.B. auch Handwerksbetriebe Arztpraxen, Einzelhändler (BayLDA)
• Übersicht zur Umsetzung der DSGVO, inkl. Muster z.B. für ein Verarbeitungsverzeichnis und einem Vertrag zur Auftragsverarbeitung (ULD)
• Durchführung einer Datenschutz-Folgenabschätzung (Forum Privatheit mit dem ULD)
• Fortgeltung erteilter Einwilligungen (Düsseldorfer Kreis)
• Guidelines der Atikel-29-Gruppe u.a. zu den Themen „Datenschutzbeauftragter, Datenportabilität und federführende Aufsichtsbehörde“ (zu den Guidelines)

Unsere Checkliste für die Umsetzung der DSGVO

Anhand einer Beitragsreihe während der Übergangsphase zum Wirksamwerden der DSGVO haben wir in unserem Blog eine Checkliste zur Umsetzung im Unternehmen entwickelt:

• Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen; Art. 39 Abs. 1 lit. b (zum Blogbeitrag).

• Datenschutz-Folgenabschätzung/Privacy Impact Assessment als Prozess etablieren; Art. 35 (zum Blogbeitrag).
• „Interne“ Prozesse gestalten: Meldepflichten bei Datenpannen; Art. 33 f. (zum Blogbeitrag & Update).
• “Externe“ Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.; Art. 12 ff. DSGVO (zum Blogbeitrag).
• Alle Prozesse dokumentieren; Art. 5 Abs. 2.
• ADV-Verträge anpassen; Art. 28 (zum Blogbeitrag).
• Erstellung von „Joint Controller“-Verträgen prüfen; Art. 26 (zum Blogbeitrag).
• Verfahrensverzeichnis überprüfen; Art. 30 (zum Blogbeitrag).
• Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen; Art. 30 Abs. 2 (zum Blogbeitrag).
• Schulungsplanung aufstellen; Art. 39 Abs. 1 lit. b.
• TOMs dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen; Art. 32 (zum Blogbeitrag & Update zur „Belastbarkeit“).
• Wirksamkeit der TOMs prüfen, Penetrationstests und Informationssicherheitsmanagement planen; Art. 32 Abs. 1 lit. d (zum Blogbeitrag).
• Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc.; z.B. Art. 20 (zum Blogbeitrag).
• Formulare und Einwilligungen überprüfen; Art. 7 (zum Blogbeitrag).
• Datenschutzerklärung aktualisieren, ggf. Webtracking anpassen; Art. 13 ff. und (zum Blogbeitrag & Update zur ePrivacy-Verordnung).
• Ruhig bleiben und alles Weitere im Blick behalten. 

Ausgewählte Literatur zum Thema

• Kühling/ Buchner – Kommentar zur Datenschutz-Grundverordnung (Link)
• Ehmann/ Selmayr – Kommentar zur Datenschutz-Grundverordnung (Link)
• Däubler / Wedde / Weichert / Sommer Kompaktkommentar EU-Datenschutz-Grundverordnung und BDSG-neu (Link)
• Koreng/ Lachenmann – Formularhandbuch Datenschutzrecht (Link)
• Gola – Kommentar zur Datenschutz-Grundverordnung (Link)
• Moos / Schefzig / Arning (Hrsg.) Die neue Datenschutz-Grundverordnung (Link)
• Plath (Hrsg.) DSGVO/BDSG – Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG (Link)
• Schantz/ Wolff – Das neue Datenschutzrecht (Link)
• Schläger / Thode (Hrsg.) Handbuch Datenschutz und IT-Sicherheit (Link)
• Simitis / Hornung / Spiecker gen. Döhmann (Hrsg.) Datenschutzrecht – Kommentar DSGVO mit BDSG (Link)
• v.d. Bussche / Voigt Konzerndatenschutz Rechtshandbuch (Link)
• Taeger / Gabel (Hrsg.) EU-DSGVO und BDSG 2018 – Kommentar (Link)
• Paal/ Pauly – Datenschutz-Grundverordnung (Link)
• Sydow – Europäische Datenschutzgrundverordnung (Link)

Weitere Themen im Blog

Weitere Beiträge zur DSGVO finden Sie bei uns im Blog (weitere Beiträge)