EU-Datenschutz-Grundverordnung

Bisher veröffentlichte Kurz-Papiere zur DS-GVO:

Veröffentlichung zum Art. 32 DS-GVO - Sicherheit der Verarbeitung

Art. 42 DS-GVO - Zertifizierung

Videoüberwachung nach der DS-GVO - ein Ausblick

Recht auf Löschung ("Vergessenwerden") - Art. 17 DS-GVO

Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DS-GVO

Besondere Kategorien personenbezogener Daten - Art. 9 DS-GVO

Sanktionen nach der DS-GVO

Umgang mit Datenpannen - Art. 33 und 34 DS-GVO

Einwilligungen nach der DS-GVO

Auftragsverarbeitung nach der DS-GVO

Datenübermittlungen in Drittstaaten nach der DS-GVO

Verarbeitung personenbezogener Daten für Werbung

One Stop Shop

Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden

Einwilligung eines Kindes

Auskunftsrecht der betroffenen Person

Verhaltensregeln - Art. 40 DS-GVO

Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DS-GVO

Ansbach, 21.03.2017

Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DS-GVO

Die Methode einer Datenschutz-Folgenabschätzung (DSFA) ist im internationalen Vergleich nichts Neues - für den "deutschen" Datenschutz allerdings schon, weshalb das Thema schrittweise "erhellt" werden muss. Das BayLDA hat hierzu in einem Papier die wesentlichen Rahmenbedingungen zusammengefasst und sich dabei insbesondere auch dem Thema "Risiko" in der Datenschutzwelt gewidmet.


Ansbach, 27.02.2017

Verhaltensregeln - Art. 40 DS-GVO

Von der Möglichkeit durch mit den Aufsichtsbehörden abgestimmten Verhaltensregeln mehr Rechtssicherheit zu erlangen, wurde von den einzelnen Branchenverbänden nur wenig Gebrauch gemacht. Die DS-GVO setzt neue Anreize, die es interessanter machen könnten, Verhaltensregeln zu gestalten und zu nutzen. Das BayLDA gibt in einem neuem Papier einen kurzen Überblick über die Regelungen in der DS-GVO.


Ansbach, 21.02.2017

Auskunftsrecht der betroffenen Person

Wie schon nach § 34 BDSG bleibt das Auskunftsrecht der betroffenen Person über bei einem Verantwortlichen gespeicherte personenbezogene Daten ein zentrales Recht in der DS-GVO. Es bleibt jedoch abzuwarten, welche weiteren Ausnahmen von der Auskunftspflicht im deutschen Anpassungsgesetz zur DS-GVO noch geschaffen werden und inwieweit diese Bestand vor den strengen Augen des EuGH haben werden.


Ansbach, 20.01.2017

Einwilligung eines Kindes

In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden - und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier zusammengefasst.


Ansbach, 20.01.2017

Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden

Die DS-GVO enthält eine Reihe von Verfahren für die Zusammenarbeit der Aufsichtsbehörden bei Datenverarbeitungen, von denen mehrere Mitgliedstaaten betroffen sind. Interessant wird sein, wie die konkrete Ausgestaltung im Alltag der Aufsichtsbehörden aussehen wird. Die Rahmenbedingungen hierzu haben wir in einem kurzem Papier festgehalten.


Ansbach, 12.12.2016

One Stop Shop

Die DS-GVO führt das Konzept des One Stop Shop ein, wenn es um sog. grenzüberschreitende Verarbeitung personenbezogener Daten geht. Das bedeutet: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Für Unternehmen hat das den Vorteil, dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen.


Ansbach, 21.11.2016

Verarbeitung personenbezogener Daten für Werbung

Mit der DS-GVO fallen alle detaillierten Regelungen des BDSG für die Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, abgesehen von einer Einwilligung, eine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DS-GVO. Inwieweit es in Europa gelingen wird, die im BDSG enthaltenen Maßstäbe in die Abwägungsentscheidung "hinüber zu retten", wird sich zeigen. Das BayLDA hat zu den Rahmenbedingungen hierfür ein weiteres Kurzpapier veröffentlicht.


Ansbach, 03.11.2016

Datenübermittlungen in Drittstaaten nach der DS-GVO

Die DS-GVO bringt für Datenübermittlungen in Nicht-EU-Staaten mehr Flexibilität als bislang. So kommen künftig auch genehmigte Verhaltensregeln (Codes of Conduct, CoC) und genehmigte Zertifizierungsmechanismen als Grundlage für derartige Übermittlungen in Betracht. Das Problem von Datenzugriffen ausländischer Behörden bedarf jedoch weiterer Klärung, auch seitens der Aufsichtsbehörden. Das Kurzpapier zu diesem Thema kann nachfolgend heruntergeladen werden.


Ansbach, 26.10.2016

Auftragsverarbeitung nach der DS-GVO

Auch in der DS-GVO findet sich eine Regelung zur Auftragsdatenverarbeitung - jetzt Auftragsverarbeitung genannt - wieder. Allerdings legt die DS-GVO den Auftragsverarbeitern künftig mehr Verantwortung und Pflichten auf als bislang. Welche Rahmenbedingungen besonders im Fokus stehen hat das BayLDA in einem kurzem Papier zusammengefasst, das nachfolgend heruntergeladen werden kann.


Ansbach, 24.10.2016

Einwilligungen nach der DS-GVO

Die Einwilligung nach der DS-GVO ist als eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten nur wirksam, wenn sie freiwillig und - bezogen auf einen bestimmten Fall - informiert abgegeben wird. Welche Änderungen sich künftig hierbei ergeben und wie insbesondere mit bereits nach dem BDSG erteilten Einwilligungen umgegangen werden muss, hat das BayLDA in einem kurzem Papier zusammengefasst.


Ansbach, 19.09.2016

Umgang mit Datenpannen - Art. 33 und 34 DS-GVO

Wenn sensible Daten im Unternehmen abhandenkommen, drohen meist schwer zu kalkulierende Auswirkungen - vom Vertrauensverlust bei Kunden, Image-Schäden gegenüber Geschäftspartnern bis hin zu großen finanziellen Einbußen, die sich auf das Jahresergebnis niederschlagen können. Schon heute zeigt sich, dass eine aktive und umfassende Zusammenarbeit mit der Aufsichtsbehörde nicht nur die Schäden hierbei besser einzugrenzen hilft, sondern auch geeignet ist, um die Betroffenen fachgerecht zu informieren. Welche neuen Anforderungen an die Meldung von Datenpannen in der Grundverordnung verankert sind, hat das BayLDA in einem neuen kurzen Papier zusammengefasst. Das Dokument kann nachfolgend heruntergeladen werden.


Ansbach, 01.09.2016

Sanktionen nach der DS-GVO

Aus den neuen Sanktionsvorschriften der DS-GVO spricht der deutliche Wille des Gesetzgebers, Datenschutzverstöße konsequent - und bei Bedarf auch empfindlich - zu ahnden. Die Ahndung mit Geldbuße muss dem Wortlaut nach wirksam, verhältnismäßig und abschreckend sein. So beträgt der neue Bußgeldrahmen in vielen Fällen bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes. Dies ist ein deutliches Signal, dass sich eine Inkaufnahme von Datenschutzverstößen nicht lohnt. Die Besonderheiten, die bei den neuen Sanktionsmöglichkeiten zu berücksichtigen sind, hat das BayLDA in einem kurzen Papier zusammengefasst.


Ansbach, 17.08.2016

Besondere Kategorien personenbezogener Daten - Art. 9 DS-GVO

Auch in der DS-GVO gibt es weiterhin besonders schutzwürdige Daten, die als besondere Kategorien personenbezogener Daten unter anderem in Art. 9 DS-GVO besonderen Regeln unterworfen sind. Die Regeln geben viel Bekanntes wieder. In einigen Punkten sind aber auch Verschärfungen erkennbar. Das BayLDA stellt in seinem Papier hierzu knapp dar, welche Regeln künftig zu beachten sind - insbesondere, welche Bereiche wohl weitegehend unverändert bleiben und wo in er Praxis Anpassungsbedarf besteht. Wichtige Änderungen können sich beispielsweise durch die Datenschutzfolgenabschätzung und die erweiterte Definition ergeben. Das Kurzpapier kann nachfolgend heruntergeladen werden.


Ansbach, 02.08.2016

Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DS-GVO

Nach Art. 30 DS-GVO haben künftig nicht nur Verantwortliche, sondern auch Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu erstellen. Dieses Verzeichnis ist von den Verantwortlichen bereitzuhalten und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Die deutschen Aufsichtsbehörden haben bereits eine Arbeitsgruppe gegründet, die das Ziel verfolgt, eine Mustervorlage für solch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO zu erarbeiten. Geplant ist, diese Mustervorlage dann bis ca. Mitte 2017 zu veröffentlichen. Das BayLDA hat auch zu diesem Artikel ein kurzes Papier veröffentlicht, dass den derzeitigen Stand der Diskussion im BayLDA abbildet. Das Dokument kann nachfolgend heruntergeladen werden.

(Hinweis: Das Dokument wurde am 17.08.2016 aktualisiert. Dabei wurde ein Absatz inhaltlich konkretisiert.)


Ansbach, 19.07.2016

Recht auf Löschung ("Vergessenwerden") - Art. 17 DS-GVO

Die DS-GVO regelt künftig im Art. 17 das Recht auf Löschung bzw. das Recht auf Vergessenwerden. Trotz der besonderen Bedeutung für das Internet ergibt sich aus dem Wortlaut und der Systematik, dass es sich hierbei nicht nur um eine spezielle Regelung für den Online-Bereich handelt, sondern diese grundsätzlich auf alle Datenverarbeitungsvorgänge anzuwenden ist.

Wie die Anforderungen des Art. 17 DS-GVO in der Praxis durch den Verantwortlichen letztendlich umzusetzen sind, ergibt sich nicht unmittelbar aus der DS-GVO. Aus diesem Grund ist es wichtig, dass der Europäische Datenschutzausschuss möglichst zeitnah Leitlinien, Empfehlungen und bewährte Verfahren hierzu bereitstellt.


Ansbach, 06.07.2016

Videoüberwachung nach der DS-GVO - ein Ausblick

Eine ausdrückliche gesetzliche Regelung über die Zulässigkeit der Videoüberwachung findet man in der DS-GVO nicht mehr. Viele Datenschutzinteressierte stellen sich deshalb jetzt die durchaus berechtigte Frage, wie mit den bestehenden detaillierten gesetzlichen Regelungen zur Videoüberwachung im BDSG weiter umzugehen ist. Das BayLDA hat diese Fragestellung aufgegriffen und hierzu ein kurzes Papier veröffentlicht, dass den derzeitigen Stand der Diskussion im BayLDA kompakt abbilden soll. Das Dokument kann nachfolgend heruntergeladen werden.


Ansbach, 22.06.2016

Art. 42 DS-GVO - Zertifizierung

Das BayLDA hat wie angekündigt ein weiteres kurzes Papier hinsichtlich der DS-GVO veröffentlicht. Der Schwerpunkt dieser Veröffentlichung ist das Thema "Zertifizierung" bzw. Verfahren zur Zertifizierung aus dem Blickwinkel einer Datenschutzaufsichtsbehörde.

Hierzu werden die Voraussetzungen und Rahmenbedingungen aus der DS-GVO untersucht und kompakt dargestellt. Das BayLDA äußert sich dabei auch zum Potential, dass künftig Zertifizierungen nach der DS-GVO haben könnten. Das Dokument kann nachfolgend heruntergeladen werden.


Ansbach, 10.06.2016

Veröffentlichung zum Art. 32 DS-GVO - Sicherheit der Verarbeitung

Die DS-GVO wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die Aufsichtsbehörden sind aktuell bemüht, durch intensive Abstimmungsrunden eine einheitliche Sichtweise der neu geregelten Grundlagen und Anforderungen an den Datenschutz auf europäischer Ebene zu erzielen. Das BayLDA beteiligt sich deshalb an verschiedenen Arbeitskreisen, die sich dieser Herausforderung auch in Deutschland stellen.

In der Zwischenzeit möchte das BayLDA Interessierten einen Einblick gewähren, welche Themenkomplexe der DS-GVO derzeit auch in der bayerischen Aufsichtsbehörde intensiv diskutiert werden. Das BayLDA veröffentlicht deshalb in regelmäßigen Abständen (geplant: zweimal im Monat) ein kurzes Papier zu einem ausgewählten Schwerpunkt. Das BayLDA weist ausdrücklich darauf hin, dass es sich hierbei um keine verbindlichen Auffassungen handelt, sondern um gegenwärtige Interpretationen und Meinungen zur DS-GVO. Kommentare zum dargestellten gegenwärtigen Verständnis nimmt das BayLDA gerne entgegen.

Als erste Veröffentlichung hierzu widmet sich das BayLDA dem Art. 32 DS-GVO und der Fragestellung, welche Rolle die IT-Sicherheit im Datenschutz einnehmen wird.


Ansbach, 04.05.2016

DS-GVO im Amtsblatt der Europäischen Union bekannt gemacht

Nun ist sie da, die Datenschutz-Grundverordnung (DS-GVO). Im Amtsblatt der Europäischen Union wurde die DS-GVO veröffentlicht und tritt 20 Tage nach der Veröffentlichung, also am 25. Mai 2016 in Kraft. Wirksam wird die DS-GVO nach einer Übergangsphase von zwei Jahren, d.h. am 25. Mai 2018.
Nachfolgend können Sie direkt zur Seite des Amtsblatts der Europäischen Union wechseln, um alle Details des offiziellen Dokuments in der jeweiligen Landessprache zu erfahren.


Ansbach, 11.04.2016

Endfassung der EU-DS-GVO in Deutsch liegt vor

Der Europäische Rat hat die überarbeiteten verschiedenen Sprachfassungen der Datenschutz-Grundverordnung veröffentlicht. Nach derzeitiger Planung soll die Zustimmung zum Reformpaket im Plenum des Europäischen Parlaments am 27. April 2016 (nach entsprechender Vorbefassung im LIBE-Ausschuss am 20./21.4.2016) erfolgen. Nach der Zeichnung am 11. Mai 2016 würden die Texte im Amtsblatt veröffentlicht und demnach bereits Anfang Juni 2016 in Kraft treten. Anwendbar wird die DS-GVO nach der 2-jährigen Übergangsfrist somit Anfang Juni 2018. Der deutsche Text kann nachfolgend heruntergeladen werden.


Ansbach, 05.02.2016

Trilog-Ergebnis auf Deutsch veröffentlicht

Die Trilogparteien, die Europäische Kommission und die eigentlichen Gesetzgeber, das Europäische Parlament und der Europäische Rat, haben sich am 16. Dezember 2015 auf einen Text für die Neuregelung des Datenschutzrechts in Europa, die Datenschutz-Grundverordnung geeinigt. Der Text muss noch in alle 22 Amtssprachen der EU übersetzt und konsolidiert werden, so dass er eine durchgehende Struktur der Artikel bekommt. In der Sitzung der Justiz- und Innenminister am 21. April 2016 soll im Rat der Text verabschiedet und dann dem Europäischen Parlament zur Billigung zugeschickt werden. Wenn diese Billigung vorliegt, kann der Text im Amtsblatt der EU veröffentlicht und nach einer Übergangszeit von zwei Jahren wirksam werden.

Die amtliche vollständige Übersetzung des noch nicht konsolidierten Textes in deutscher Sprache kann nachfolgend heruntergeladen werden.


Ansbach, 05.01.2016

Datenschutz-Grundverordnung steht vor der Tür: Erweiterte Synopse des BayLDA

Die Europäische Kommission hat am 25. Januar 2012 den Entwurf für eine "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundordnung)" vorgelegt.

Die gesetzgebenden Parteien, das Europäische Parlament und der Rat der Europäischen Union haben sich zusammen mit der Europäischen Kommission im sog. Trilog-Verfahren im Dezember 2015 auf einen Verordnungstext verständigt. Dieser Text muss in die 22 Amtssprachen der Europäischen Union übersetzt werden, bevor er im Amtsblatt veröffentlicht und wirksam werden kann. Wenn der Text im Amtsblatt veröffentlicht ist, beginnt eine zweijährige Übergangsphase bis zum Wirksamwerden der Verordnung. Das BayLDA hat nun die bereits bestehende Synopse erweitert. Diese soll somit einen Überblick über den aktuellen Stand des Gesetzgebungsverfahrens vermitteln, aber auch dokumentieren, von welchem Ausgangspunkt die Trilog-Parteien zu dem gefundenen Ergebnis gekommen sind. Nach Veröffentlichung der amtlichen deutschen Fassung der Datenschutz-Grundverordnung im Amtsblatt der Europäischen Union ist beabsichtigt, diese Synopse fortzuschreiben und auch noch die letzte Spalte im Dokument zu füllen.

Die nun erweiterte Synopse kann auf dieser Webseite heruntergeladen werden.


Ansbach, 23.06.2015

Rennen um Datenschutz im Endspurt

Die Verhandlungen auf europäischer Ebene über eine neue Rechtsgrundlage für den Datenschutz gehen in den Endspurt. Am 24. Juni 2015 beginnen die Europäische Kommission, das Europäische Parlament und der Europäische Rat mit den sog. Trilog-Verhandlungen über die Verabschiedung einer Datenschutz-Grundverordnung. Das Europäische Parlament hat in seiner Sitzung am 12. März 2014 seinen Standpunkt zu dem Entwurf der Europäischen Komission festgelegt, der Rat bei seinem Treffen am 15. Juni 2015. Nunmehr beginnen die Trilog-Verhandlungen mit dem Ziel, eine völlig neue Rechtsgrundlage für den Datenschutz in Europa, die als Verordnung unmittelbar Geltung haben wird, zu verabschieden. Das BayLDA hat den Ausgangspunkt dieser Verhandlungen, d. h. den Vorschlag der Europäischen Komission, die Anregungen des Europäischen Parlaments und des Rates zu dem Vorschlag der Kommission in einem Dokument zusammengestellt, um Interessierten die Bandbreite der kommenden Verhandlungen transparent zu machen.


Ansbach, 08.09.2014

Datenschutzneuregelung in Europa

In Europa wird z. Zt., ohne dass dies eine besondere Aufmerksamkeit in der Öffentlichkeit erfährt, über eine umfassende Neuregelung des Datenschutzrechts beraten. Das BayLDA hat die bislang in deutscher Sprache vorliegenden wesentlichen Dokumente, den Vorschlag der Europäischen Kommission und die Änderungsvorschläge des Europäischen Parlaments in einer Synopse zusammengestellt und bietet diese interessierten Leserinnen und Lesern zum Download an.

Gesetzgebungsverfahren in Europa, die die Verabschiedung eines allgemeinverbindlichen europäischen Rechtsaktes (Richtlinie oder Verordnung) zum Ziel haben, laufen vereinfacht beschrieben so ab, dass die Europäische Kommission einen Vorschlag unterbreitet und die beiden Gesetzgeber, d. h. das Europäische Parlament und der Rat (das Gremium der Regierungen der Mitgliedstaaten der Europäischen Union), zunächst jeweils für sich ihre Auffassung zu diesem Vorschlag der Kommission erarbeiten. Wenn diese Beratungen abgeschlossen und die beiden Gesetzgebungsorgane damit "sprechfähig" sind, folgt in vielen Fällen ein Art Dreiergespräch unter Einbeziehung der Europäischen Komission (Trilog). Wenn in diesen Abstimmungen Einigkeit erzielt werden kann und das Europäische Parlament und der Europäische Rat ihre Zustimmung zu dem Verhandlungsergebnis erklärt haben, kann der Rechtsakt im europäischen Gesetzblatt verkündet werden und tritt in Kraft.

Anders als bei laufenden Gesetzgebungsverfahren des Bundes und der Länder in Deutschland, die mit Ende einer Legislaturperiode automatisch enden (Grundsatz der Diskontinuität), läuft das Verfahren auf europäischer Ebene auch nach der Neuwahl des europäischen Parlaments unverändert fort.

EU-Rechtsakte in Form europäischer Verordnungen gelten unmittelbar in allen Mitgliedstaaten und führen dazu, dass bestehende Regelungen in den Mitgliedstaaten, die den in einer Verordnung enthaltenen Regelungsgegenstand betreffen, unwirksam werden und selbst wiederholende bzw. gleichlautende Regelungen des nationalen Rechts unzulässig werden.

Am 25. Januar 2012 hat die Europäische Komission den Entwurf einer "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" vorgelegt. Dazu hat das Europäische Parlament am 12. März 2014 im Rahmen der ersten Lesung zu dem o. g. Vorschlag der Europäischen Komission Stellung genommen und Änderungsvorschläge beschlossen.

Der Rat berät seit Januar 2012 über seine Stellungnahme zu den Vorschlägen der Komission. Diese Arbeiten erweisen sich auch deshalb als extrem komplex, weil Regelungen zum Datenschutz und zur Datensicherheit sich auf fast alle Rechtsbereiche auswirken. Bei vielen Fragen geht es deshalb auch darum, im Interesse der Rechtssicherheit gemeinsame Ansätze der Mitgliedstaaten für unterschiedliche rechtskulturelle Entwicklungen wie z. B. zur Handhabung der Videoüberwachung, den Regelungen zum Adresshandel oder Auskunfteien und insbesondere auch beim Datenschutz für Behörden zu finden.

Datenschutzbehörden in Deutschland und auch in Europa verfolgen diese Beratungen intensiv und beteiligen sich auch immer wieder an der Diskussion.

Um interessierten Bürgerinnen und Bürgern die Möglichkeit zu erleichtern, sich einen Überblick über die Auffassungen der Europäischen Komission und des Europäischen Parlaments zu verschaffen, hat das BayLDA die Gegenüberstellung der beiden in Deutsch vorliegenden Dokumente, d. h. des Vorschlags der Europäischen Komission und der Stellungnahme des Europäischen Parlaments dazu in einem Dokument zusammengefasst.