Neuer Leitfaden der Datenschutzbehörde zur DSGVO (Juli 2018)
Neuer Leitfaden der Datenschutzbehörde zur DSGVO (Juli 2018)
Das Wichtigste mit Anmerkungen:
1. Erfordernis einer Datenschutz-Folgenabschätzung (DSFA) (Seite 32)
Für bereits existierende Verarbeitungsvorgänge ist eine DSFA nach Ansicht der Datenschutzbehörde (kurz DSB) grundsätzlich nicht nötig, wenn jene Verarbeitungsvorgänge von der DSB schon früher im Rahmen eines Vorabkontrollverfahren genehmigt worden sind. Eine DSFA ist durchzuführen, wenn die Verarbeitungsvorgänge verändert werden und die sonstigen Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.
Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge regelmäßig zu evaluieren, ob sich Voraussetzungen geändert haben. Man soll auch dokumentieren, aus welchen Gründen eine DSFA nicht durchgeführt wurde.
Anmerkungen:
(1) Eine DSFA für einen bereits existierenden Verarbeitungsvorgänge ist meines Erachtens auch ohne deren Änderung erforderlich, wenn die Voraussetzungen des Art 35 Abs. 1 gegeben sind und eine Genehmigung der Datenschutzbehörde bis 25.5.2018 erforderlich gewesen wäre aber nicht vorliegt.
(2) Siehe Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV).
(3) Der Entwurf der Datenschutzbehörde vom 3.7.2018 für eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) wurde zur Stellungnahme bis 10.8.2018 ausgesandt.
2. Bußgeld (Seiten 38 – 41)
„Stimmt es, dass die Aufsichtsbehörde bei erstmaligen Verstößen nur verwarnt?
Jeder Fall wird einzeln beurteilt. Nach den Vorgaben der DSGVO sind Verwarnungen v.a. dann auszusprechen, wenn der Verstoß geringfügig ist. Bei schwerwiegenden Verstößen gegen die DSGVO wird jedoch auch bei einem erstmaligen Verstoß mit einer Geldbuße zu rechnen sein.“
„Wird es eine Frist nach dem 25. Mai 2018 geben, während derer keine Geldbußen verhängt werden?
Die DSGVO sieht keine Übergangsfrist vor. Es wird jeder Fall einzeln beurteilt und das Erfordernis einer Verhängung einer Geldbuße durch die Datenschutzbehörde geprüft werden.“
„Habe ich als Kleinunternehmer mit einer Geldbuße von 20 Millionen Euro zu rechnen?
Nein. Grundlage für die Festsetzung der Höhe der Geldbuße ist der konkrete Verstoß sowie die wirtschaftliche Leistungsfähigkeit des Verantwortlichen. Jede Strafe muss wirksam, verhältnismäßig und abschreckend sein.“
Betont wird, dass auch Fahrlässigkeit strafbar ist.
3. Standarddatenschutzklauseln für den Datenverkehr mit Empfängern in Drittstaaten (Seiten 14 + 38)
Bisher übliche Standarddatenschutzklauseln bieten geeignete Garantien im Sinn Art 46 DSGVO als Voraussetzung für die Zulässigkeit von Übermittlungen ins Drittland.
„Die Gültigkeit von derzeit in Kraft stehenden Standardvertragsklauseln gemäß dem Beschluss der Europäischen Kommission 2010/87/EU idF des Beschlusses 2016/2297 wird derzeit vom EuGH geprüft (siehe C-311/18).“
Anmerkungen:
(1) Der EuGH kann die Klauseln als ausreichend anerkennen oder aber die Wirkung der Klauseln als geeignete Garantien sofort aufheben. Nicht unwahrscheinlich ist, dass er eine Frist für eine angemessene Anpassung der Klauseln aufträgt (wie schon bei der Anpassung von Safe Harbour zu Privacy Shield).
(2) Eine Alternative zu den von der Aufhebung bedrohten Standarddatenschutzklauseln könnten in Zukunft – auch für mittelständische Unternehmen – Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) darstellen. Art 47 DSGVO regelt nunmehr Voraussetzungen für deren Genehmigung. Das Genehmigungsverfahren wird seit 25.5.2018 durch die federführende Aufsichtsbehörde vereinfacht. Nähere Details siehe Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 256 rev. 01 der Art 29 Gruppe vom 6. Februar 2018).
4. Vereine
Die Bestimmungen der DSGVO gelten für Vereine grundsätzlich uneingeschränkt (v.a. die Pflicht zur Information von Betroffenen nach Art 13 DSGVO sowie die Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art 30 DSGVO). Ausnahmen von der Pflicht zur DSFA bestehen für die Führung von Mitgliederverzeichnissen, für die Evidenz der Mitglieds- und Förderungsbeiträge und den Verkehr mit Mitgliedern oder Förderern (DSFA-AV).
Bestimmte Vereine – zB politisch oder weltanschaulich ausgerichtete – dürfen unter speziellen Voraussetzungen und ohne Einwilligung sogar sensible personenbezogene Daten ihrer (ehemaligen) Mitglieder verarbeiten, sofern diese Daten nicht nach außen offengelegt werden (Art 9 Abs 2 lit. d DSGVO).
Dr. Markus Frank – 11. Juli 2018
Für weitere Informationen zur neuen Leitlinie und sonstigen datenschutzrechtlichen Themen stehen wir gern zur Verfügung unter 01/523 44 02 oder office@frank-law.at.
Trotz größter Sorgfalt bei der Verfassung dieses Artikels übernehmen wir keine Haftung für Richtigkeit und Vollständigkeit. Die obige Information ersetzt keine Rechtsberatung.
Neuer Leitfaden der Datenschutzbehörde zur DSGVO (Juli 2018) , letzte Aktualisierung: .
11.07.2018