Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten. Die Benennungspflicht für den betrieblichen Datenschutzbeauftragten (DSB) wurde von 10 auf 20 Personen angehoben. Es ergeben sich daraus zwei Varianten:
Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte (Art. 37-39 DS-GVO, § 38 BDSG-NEU)
In Zusammenhang mit der EU Datenschutz-Grundverordnung (DS-GVO) wird an uns öfters die Frage herangetragen an welchen Voraussetzungen die Bestellpflicht des Datenschutzbeauftragten geknüpft ist, welche Stellung der Datenschutzbeauftragte im Unternehmen hat, welche Qualifikationen erforderlich sind und wie es um die Aufgaben und Verantwortlichkeit des Datenschutzbeauftragten bestellt ist.
Bislang waren im BDSG in den §§ 4 f und 4 g die zentralen Regelungen zum betrieblichen Datenschutzbeauftragten zu finden. In der DS-GVO wird dies in Art. 37 – 39 geregelt, wobei durch Öffnungsklauseln den EU Mitgliedsstaaten ein Gestaltungsspielraum eingeräumt wurde. In Deutschland ist dies im Wesentlichen in den §§ 6 und 38 BDSG-NEU geregelt.
Status Quo Safe Harbor – Aktuelle Antwort einer Aufsichtsbehörde
Der EuGH hat bekanntlich am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe forderte in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden.“ Was bedeutet dies konkret für Unternehmen, die bislang Safe Harbor als geltende Rechtsgrundlage verwendet haben?
Datenschutzkonforme Softwareentwicklung
Was gibt es bei datenschutzkonformer Softwareentwicklung zu beachten? Zuerst sind die allgemeinen Grundsätze des Datenschutzes zu berücksichtigen:
• Datensparsamkeit, soweit möglich
• Anonymisierung bzw. Pseudonymisierung, soweit möglich
• „Need to Know“ – differenziertes Berechtigungskonzept
• Zugriffsschutz der Daten bei Transport und Speicherung (Verschlüsselung)
• Löschkonzept, mit der Möglichkeit der automatisierten Löschung
• Protokollierung der Eingabe und Änderung personenbezogener Daten
• Datensicherungskonzept um Verlust der Daten auszuschließen
• Entwicklung mit Test- und Entwicklungssystem.
EU Datenschutzgrundverordnung (EU-DSGV): 3 Positionen
Wie berichtet steht der Trilog zwischen der EU-Kommission, dem EU-Parlament und dem EU-Rat an. Ziel ist es, die EU Datenschutzgrundverordnung (Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – Datenschutz-Grundverordnung) zu verhandeln und zu beschließen. Nach heutiger Information könnte die EU-DSGV voraussichtlich frühestens am 01.01.2018 in Kraft treten.