Checkliste Datenschutz-Grundverordnung

An dieser Stelle möchten wir Ihnen eine Übersicht zur Rechtslage ab Mai 2018 geben. Sie finden hier die wichtigsten Links auf einen Blick: Vom Text der Datenschutz-Grundverordnung über den aktuellen Umsetzungsstand auf nationaler Ebene bis hin zu ersten Stimmen aus den Aufsichtsbehörden. Besonders hilfreich für Unternehmen: Unsere Checkliste zur Vorbereitung auf die neue Rechtslage.

Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) auch General Data Protection Regulation (GDPR) genannt, ist verabschiedet und gilt ab dem 25. Mai 2018:

• Text DSGVO in deutscher Sprache (html) (pdf)
• Text der DSGVO in englischer Sprache (html) (pdf)
• Berichtigung von Art. 28, 30, 33 DSGVO (pdf)
• Weitere Sprachversionen (Übersichtsseite der EU)
• Historische Rats-, Kommissions- und Parlamentsfassung (Synopse)

Bundesdatenschutzgesetz   

• Ein neues Bundesdatenschutzgesetz wird am 25. Mai 2018 in Kraft treten  (künftiger Gesetzestext)

Landesdatenschutzgesetze

Im Hinblick auf alle Landesdatenschutzgesetze sind Anpassungen zu erwarten. Diese sind derzeit größtenteils aber noch in Vorbereitung. Hier der aktuell bekannte Stand:

• Sachsen-Anhalt: Das LDSG soll in Sachsen-Anhalt in zwei Stufen anpasst werden. Die erste Stufe (zum Entwurf) regelt organisationsrechtliche Fragestellungen. In einer zweiten Stufe sollen später die materiell-rechtlichen Anpassungen vorgenommen werden.

ePrivacy-Richtlinie (sog. Cookie-Richtlinie)

• Die ePrivacy-Richtline wird überarbeitet und voraussichtlich die datenschutzrechtlichen Vorschriften des TMG zum Webtracking ersetzen.
• Derzeit ist eine ePrivacy-Verordnung geplant, die unmittelbar in Deutschland ab dem 25.05.2018 gelten soll.
• Studie ePrivacy-RL und DSGVO (Übersicht) (Executive Summary)
• Evaluation der Richtlinie (Ergebnisse der öffentlichen Konsultation)
• Die EU-Kommission hat den vorläufigen Entwurf einer ePrivacy-Verordnung auf den Weg gebracht (zum offiziellen Entwurf) (Entwurf auf Deutsch)
• Stellungnahme des EU-Datenschutzbeauftragten zum EU-Kommissionsentwurf (Stellungnahme)
• Stellungnahme des Deutschen Bundesrates vom 02.06.2017 (Stellungnahme)
• Änderungsvorschläge des vzbv vom 30.06.2017 (Amendments)

Bereichsspezifische Vorschriften

Bereichsspezifische Vorschriften werden bis Mai 2018 angepasst bzw. entfallen.

• SGB X (Entwurf)
• § 203 StGB wird vermutlich geändert. Ein erster Referentenentwurf des BMJV liegt vor (pdf).
• KUG (wird wohl so erhalten bleiben)
• BDSG und TMG (siehe oben) 
• Sonstige Regelungen wie z.B. HGB, Patentgesetz, Gebrauchsmustergesetz, Markengesetz, Urhebergesetz, Finanzverwaltungsgesetz, Abgabenordnung (Entwurf)

Erste Stimmen aus den Aufsichtsbehörden  

• Kurzpapiere der Datenschutzkonferenz zu zahlreichen Themen: z.B.  Verfahrensverzeichnis, Werbung, Übermittlung in Drittländer, Informationspflichten, Datenschutz-Folgenabschätzung, Recht aus Vergessenwerden (DSK)
• Beitragsreihe des Bayerische Landesamt für Datenschutzaufsicht zu ebenfalls zahlreichen Themen: z.B. Videoüberwachung, Umgang mit Datenpannen, IT-Sicherheit, Sanktionen, Auftragsdatenverarbeitung, Beschäftigtendaten (BayLDA)
• 10 Punkte zur Umsetzung der DSGVO (Datenschutzkonferenz vom 24.05.2017)
• 10 Fragen zur Umsetzung der DSGVO (Bayrisches Landesamt für Datenschutzaufsicht)
• Durchführung einer Datenschutz-Folgenabschätzung (Forum Privatheit mit dem ULD)
• Fortgeltung erteilter Einwilligungen (Düsseldorfer Kreis)
• Guidelines der Atikel-29-Gruppe u.a. zu den Themen „Datenschutzbeauftragter, Datenportabilität und federführende Aufsichtsbehörde“ (zu den Guidelines)

Unsere Checkliste für die Vorbereitung auf die DSGVO

Alle Informationen zur Datenschutz-Grundverordnung auf einem Blick: Gesetztexte, aktueller Umsetzungsstand beim deutschen Gesetzgeber, Stimmen der Aufsichtsbehörden und eine Checkliste zur Umsetzung im Unternehmen finden Sie hier:

• Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen; Art. 39 Abs. 1 lit. b (zum Blogbeitrag).
• Datenschutz-Folgenabschätzung/Privacy Impact Assessment als Prozess etablieren; Art. 35 (zum Blogbeitrag).
• Prozesse gestalten: Meldepflichten bei Datenpannen; Art. 33 f. (zum Blogbeitrag).
• Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.; Art. 12 ff. DSGVO (zum Blogbeitrag).
• Alle Prozesse dokumentieren; Art. 5 Abs. 2.
•  ADV-Verträge anpassen; Art. 28 (zum Blogbeitrag).
• Verfahrensverzeichnis überprüfen; Art. 30 (zum Blogbeitrag).
• Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen; Art. 30 Abs. 2 (zum Blogbeitrag).
• Schulungsplanung aufstellen; Art. 39 Abs. 1 lit. b.
• TOMs dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen; Art. 32 (zum Blogbeitrag).
• Wirksamkeit der TOMs prüfen, Penetrationstests und Informationssicherheitsmanagement planen; Art. 32 Abs. 1 lit. d (zum Blogbeitrag).
• Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc.; z.B. Art. 20 (zum Blogbeitrag).
• Formulare und Einwilligungen überprüfen; Art. 7 (zum Blogbeitrag).
• Datenschutzerklärung anpassen, ggf. Webtracking anpassen; Art. 13 ff. und ePrivacy-Richtline (zum Blogbeitrag).
• Ruhig bleiben und alles Weitere im Blick behalten. 

Erste Literatur zum Thema

• Kühling/ Buchner – Kommentar zur Datenschutz-Grundverordnung (Link)
• Ehmann/ Selmayr – Kommentar zur Datenschutz-Grundverordnung (Link)
• Gola – Kommentar zur Datenschutz-Grundverordnung (Link)
• Schantz/ Wolff – Das neue Datenschutzrecht (Link)
• Paal/ Pauly – Datenschutz-Grundverordnung (Link)
• Sydow – Europäische Datenschutzgrundverordnung (Link)

Weitere Themen im Blog

Weitere Beiträge zur DSGVO, finden Sie bei uns im Blog (weitere Beiträge)