Datenschutzreform 2018

Ähnliche Dokumente
Datenschutz in Schulen

Gründe für ein Verfahrensverzeichnis

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Betriebliche Organisation des Datenschutzes

Nr Verfassungs-, Verwaltungs- und Verfahrensrecht Datenschutzrecht Datenschutz im öffentlichen Bereich

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Datenschutz muss nicht trocken sein

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

EU-Datenschutz-Grundverordnung

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance

Thema: Auskunftsansprüche von Versicherten

Neues Gesetz: Russische Daten sollen in Russland bleiben

Datenschutzbeauftragte

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Hinweise zum Datenschutz

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Fragebogen für die Bewerberinnen und Bewerber zum. Freiwilligen Polizeidienst

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz und IT-Sicherheit an der UniBi

Leitlinie für die Informationssicherheit

Datenschutzbeauftragte an Staatlichen Schulämtern für die staatlichen Grundschulen, Mittelschulen und Förderschulen

Personalakte Elektronische (Digitale) Personalakte

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Vorschlag der Bundesregierung

Der betriebliche Datenschutzbeauftragte

Folie 1 NABK. Niedersächsische Akademie. Lehrgang Digitalfunk. Rechtliche Grundlagen. Rechtliche Grundlagen im Digitalfunk

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Ihre externen Datenschutzbeauftragten

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Auftragsdatenverarbeitung

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Das Expositionsverzeichnis über Beschäftigte, die durch krebserzeugende Stoffe gefährdet sind und die Zentrale Expositionsdatenbank ZED

Hinweise für den Hospizdienst zur Einhaltung der datenschutzrechtlichen Bestimmungen Überarbeitung April 2011

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

VERFAHRENSVERZEICHNIS gem. 10 ThürDSG

LANDTAG DES SAARLANDES 15. Wahlperiode Drucksache 15/ GESETZENTWURF. der Regierung des Saarlandes

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Bayerisches Staatsministerium für Bildung und Kultus, Wissenschaft und Kunst

Öffentliches Verfahrensverzeichnis der Vater Unternehmensgruppe nach 4e Bundesdatenschutzgesetz (BDSG)

SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 17/ Wahlperiode

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

SCHLESWIG-HOLSTEINISCHER LANDTAG

DE 098/2008. IT- Sicherheitsleitlinie

Rahmenbetriebsvereinbarung betreffend automationsunterstützte Verwendung personenbezogener Beschäftigtendaten

Öffentliches Verfahrensverzeichnis ( 4g II Satz 2 i.v.m. 4e Satz 1 BDSG)

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Makler, Bauträger, Baubetreuer nach 34 c GewO. Makler- und Bauträgerverordnung

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Datenschutz in der Marktund Sozialforschung

Energiedatenerfassung durch Smart Meter

Technisches Baurecht in Baden-Württemberg

Verfahrensverzeichnis

Polizeiaufgaben und Datenschutz in Baden-Württemberg

Der Europäische Abfallkatalog ab 2002

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verfahrensverzeichnis nach 4g Abs. 2 Satz 2 BDSG

Leistungsbeziehungen und Leistungsgegenstand; Konkretisierung der Leistungsbeziehungen durch 12b Abs. 4 StromStV

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

vom 20. April 2009 (Eingang beim Abgeordnetenhaus am 21. April 2009) und Antwort

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Allgemeine Geschäftsbedingungen (AGB)

Regelungen zum Führen von Ausbildungsnachweisen

HESSISCHER LANDTAG. Kleine Anfrage

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

GIS Fachschale Spielplätze

ELGA Der elektronische lebensbegleitende

BDSG - Interpretation

15. Wahlperiode Drucksache 15/9799

HESSISCHER LANDTAG. Gesetzentwurf der Landesregierung

Kommunalverfassung des Landes Brandenburg Auch neuer Rechtsrahmen für Seniorenbeiräte

Datenschutz im Verein

Einführung in die Datenerfassung und in den Datenschutz

Landtag Brandenburg. Drucksache 5/9167

Gemeinsame Stellungnahme

Anlage 3. Antrag zur Anerkennung von Praxisnetzen nach 87b Abs. 4 SGB V

Information ChCC Ergebnis der AG. Rechtliche Checkliste. zum Einsatz von Cloud Computing

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Wie viele OGS-Plätze an Grundschulen im Bereich der Bezirksregierung Detmold stehen nicht zur Verfügung, obwohl ein Bedarf der Eltern besteht?

Bayerisches Staatsministerium der Finanzen, für Landesentwicklung und Heimat

Konkordanztabelle kantonale Rechtsgrundlagen Datenschutz

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Datenschutzrechtliches Ungleichgewicht bei der Kontrolle privatwirtschaftlicher Unternehmen und òffentlicher Wettbewerbsunternehmen?

Betrifft: Entwurf einer Verordnung des Bundesministers für Wirtschaft, Familie und Jugend über statistische Erhebungen beim Bergbau

AMTLICHE BEKANNTMACHUNG

des Ministeriums für Wissenschaft, Forschung und Kunst

Zwischen der Stadt Treuchtlingen, vertreten durch den Ersten Bürgermeister, Herrn Werner Baum. und

24. Februar 2014, Bonn 27. August 2014, Berlin

Rahmenvorgaben für die Finanzordnung der Studierendenschaft. 1 Finanzen der Studierendenschaft

Privacy Conference Datenschutzverordnung & Privacy Shield

Transkript:

Datenschutzreform 2018 Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie wollen einen Beitrag zum Verständnis des neuen Rechts leisten, nehmen aber keine Verbindlichkeit in Anspruch. München, 19. März 2018 1. Vom Verfahrensverzeichnis zum Verarbeitungsverzeichnis Bislang müssen bayerische öffentliche Stellen, die automatisierte Verfahren zur Verarbeitung personenbezogener Daten einsetzen, ein Verfahrensverzeichnis nach Art. 27 Bayerisches Datenschutzgesetz (BayDSG) führen. Zuständig hierfür ist der jeweilige behördliche Datenschutzbeauftragte (Art. 27 Abs. 1 BayDSG). Ab dem 25. Mai 2018 gilt für bayerische öffentliche insbesondere staatliche und kommunale Stellen allerdings ein neuer Rechtsrahmen:

- 2 - Das bisherige Bayerische Datenschutzgesetz wird abgelöst durch die dann unmittelbar geltende Datenschutz-Grundverordnung (DSGVO) sowie eine Neufassung des Bayerischen Datenschutzgesetzes (Landtags-Drucksache Nummer 17/19628, im Folgenden: BayDSG-E) 1. Die gesetzlich vorgesehene Pflicht zur Führung eines Verfahrensverzeichnisses nach Art. 27 BayDSG wird ab diesem Zeitpunkt hinfällig. Stattdessen sieht Art. 30 DSGVO künftig vor, dass jeder Verantwortliche (Art. 30 Abs. 1 DSGVO) und jeder Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) ein Verzeichnis von Verarbeitungstätigkeiten (im Folgenden: Verarbeitungsverzeichnis) zu führen hat. 2. Das alte und das neue Recht im Vergleich Nachfolgend werden in einem Überblick die wesentlichen Unterschiede zwischen dem bisherigen Verfahrensverzeichnis nach Art. 27 BayDSG und dem künftigen Verarbeitungsverzeichnis nach Art. 30 DSGVO dargestellt. a) Was ist in das Verzeichnis aufzunehmen? Verfahrensverzeichnis: automatisierte Verfahren; Verarbeitungsverzeichnis: (ganz oder teilweise) automatisierte Verarbeitungstätigkeiten sowie nichtautomatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG-E). 1 Vgl. hierzu ausführlich die Informationsbeiträge Die Datenschutz-Grundverordnung (DSGVO) Ein Überblick Teil 1: Geltung und Anwendungsbereich sowie Der Gesetzentwurf zum neuen Bayerischen Datenschutzgesetz (Stand: Landtags-Drucksache 17/19628 vom 12. Dezember 2017).

- 3 - b) Wer führt das Verzeichnis? Verfahrensverzeichnis: der behördliche Datenschutzbeauftragte (Art. 27 Abs. 1 BayDSG); Verarbeitungsverzeichnis: jeder Verantwortliche (Art. 30 Abs. 1 DSGVO) und jeder Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) 2. Der behördliche Datenschutzbeauftragte erhält allerdings Zugang zum Verarbeitungsverzeichnis (Art. 12 Abs. 1 Satz 1 Nr. 1 BayDSG-E). c) Welchen Pflichtinhalt hat das Verzeichnis? Verfahrensverzeichnis: Für jedes automatisierte Verfahren sind die Angaben nach Art. 26 Abs. 2 BayDSG festzuhalten (Art. 27 Abs. 2 BayDSG); Verarbeitungsverzeichnis: Das Verarbeitungsverzeichnis des Verantwortlichen hat die in Art. 30 Abs. 1 DSGVO aufgeführten Angaben zu enthalten. Im Anwendungsbereich der Richtlinie (EU) 2016/680 (im Folgenden: Datenschutz- Richtlinie für Polizei und Strafjustiz) ist insbesondere Art. 31 Satz 1 BayDSG-E zu beachten, der die Aufnahme zusätzlicher Angaben in das Verarbeitungsverzeichnis vorgibt. Der Inhalt des Verarbeitungsverzeichnisses eines Auftragsverarbeiters richtet sich nach Art. 30 Abs. 2 DSGVO. d) Wer kann Einsicht in das Verzeichnis nehmen? Verfahrensverzeichnis: Dieses kann von jedem kostenfrei eingesehen werden (Art. 27 Abs. 3 Satz 1 BayDSG). Verarbeitungsverzeichnis: Ein allgemeines Einsichtsrecht sieht Art. 30 DSG- VO dagegen nicht vor. Das Verarbeitungsverzeichnis ist allerdings der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO). 2 Siehe hierzu auch den Informationsbeitrag Die Datenschutz-Grundverordnung (DSGVO) Ein Überblick Teil 4: Verantwortlicher, Auftragsverarbeiter und Datenschutzbeauftragter.

- 4-3. Welche bayerischen öffentlichen Stellen sind zur Führung eines Verarbeitungsverzeichnisses verpflichtet? Die Pflicht, ein Verarbeitungsverzeichnis zu führen, trifft jede bayerische öffentliche Stelle, welche personenbezogene Daten (ganz oder teilweise) automatisiert verarbeitet oder im Fall einer nichtautomatisierten Verarbeitung personenbezogene Daten in einem Dateisystem speichert oder dies beabsichtigt (Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG-E). Die Ausnahmeregelung des Art. 30 Abs. 5 DSGVO ist auf öffentliche Stellen wie Art. 31 Satz 2 BayDSG-E ausdrücklich klarstellt nicht anwendbar. 4. Sinn und Zweck des Verarbeitungsverzeichnisses Das Verarbeitungsverzeichnis dient in erster Linie dem Nachweis, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt. In diesem Zusammenhang soll es der Aufsichtsbehörde eine erste Rechtmäßigkeitskontrolle ermöglichen (vgl. Erwägungsgrund ErwGr 82 DSGVO). Das Verarbeitungsverzeichnis ist somit Grundlage und wesentlicher jedoch nicht einziger Baustein, um der in Art. 5 Abs. 2 DSGVO allgemein normierten Rechenschaftspflicht des Verantwortlichen nachzukommen. 5. In welcher Form ist das Verarbeitungsverzeichnis zu führen? Das Verarbeitungsverzeichnis ist schriftlich zu führen; dies kann auch in einem elektronischen Format erfolgen (Art. 30 Abs. 3 DSGVO). Die Form der Verzeichnisführung muss es der Aufsichtsbehörde allerdings ermöglichen, anhand des Verarbeitungsverzeichnisses eine erste Rechtmäßigkeitskontrolle durchzuführen (siehe bereits oben unter Nr. 4). Bei einem elektronisch geführten Verzeichnis kann dies im Rahmen der Verhältnismäßigkeit die Vorlage von Ausdrucken erforderlich machen.

- 5-6. Aktualisierungspflicht Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO Genüge zu tun, ist das Verzeichnis aktuell zu halten und somit im erforderlichen Umfang fortlaufend zu aktualisieren. Die öffentliche Stelle sollte daher interne Regelungen vorsehen, die insbesondere sicherstellen, dass die das Verzeichnis führende Organisationseinheit zeitnah von der Einführung neuer oder von Änderungen bereits etablierter Verarbeitungstätigkeiten erfährt. Solche Regelungen können etwa Bestandteil einer umfassenden Datenschutz-Dienstanweisung sein. 7. Das Verarbeitungsverzeichnis des Verantwortlichen (Art. 30 Abs. 1 DSGVO) Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen (Art. 30 Abs. 1 Satz 1 DSGVO). a) Zum Begriff der Verarbeitungstätigkeit : Der Begriff Verarbeitungstätigkeit umfasst alle Verarbeitungsvorgänge und Vorgangsreihen, die einem gemeinsamen, festgelegten Zweck dienen. Ausgehend von Sinn und Zweck des Verarbeitungsverzeichnisses sollte dieses alle Verarbeitungstätigkeiten hinreichend konkret, andererseits aber auch nicht zu kleinteilig abbilden, um der Aufsichtsbehörde aber auch dem Verantwortlichen eine erste Rechtmäßigkeitskontrolle anhand des Verzeichnisses zu ermöglichen. Ausreichend, aber auch erforderlich ist demnach ein zusammenfassender Verzeichniseintrag für die jeweilige Verarbeitungstätigkeit. Ausgehend von ihrem jeweiligen Zweck sollte diese Verarbeitungstätigkeit verständlich und hinreichend konkret bezeichnet werden. Beispiele: Personalaktenführung, Zeiterfassung, Führung des Melderegisters.

- 6 - b) Die Beschreibung der jeweiligen Verarbeitungstätigkeit: Zu jeder Verarbeitungstätigkeit ist eine Beschreibung zu erstellen, welche jedenfalls die in Art. 30 Abs. 1 Satz 2 DSGVO und im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz zusätzlich die in Art. 31 Satz 1 BayDSG-E genannten Angaben enthält. Gegenüber dem bisherigen Verfahrensverzeichnis in das Verarbeitungsverzeichnis zusätzlich aufzunehmen sind dabei insbesondere der Name und die Kontaktdaten des behördlichen Datenschutzbeauftragten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder offengelegt werden, (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO) sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO. Über diesen Pflichtinhalt hinaus kann der Verantwortliche das Verarbeitungsverzeichnis um weitere, zusätzliche Angaben ergänzen, um seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO noch wirkungsvoller nachzukommen. Sinnvoll sind in diesem Zusammenhang insbesondere Angaben zur Rechtsgrundlage (im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz ist dies nach Art. 31 Satz 1 BayDSG-E ohnehin verpflichtend) sowie zur Notwendigkeit einer Datenschutz-Folgenabschätzung. Das Verarbeitungsverzeichnis stellt somit die Summe der Beschreibungen der einzelnen Verarbeitungstätigkeiten dar. c) Muster für die Beschreibung einer Verarbeitungstätigkeit: Um die bayerischen öffentlichen Stellen bei der praktischen Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat das Bayerische Staatsministerium des Innern, für Bau und Verkehr unter meiner Beteiligung ein mit Erläuterungen versehenes Musterformular für die Beschreibung einer Verarbeitungstätigkeit entwickelt.

- 7 - Dieses Musterformular ist sowohl auf dem Internetauftritt des Innenministeriums in der Rubrik Schutz und Sicherheit Datenschutz und Cybersicherheit als auch auf meiner Homepage in der Rubrik Datenschutzreform 2018 abrufbar 3. Ich empfehle den bayerischen öffentlichen Stellen, ihr jeweiliges Verarbeitungsverzeichnis unter Verwendung dieses Musters zu erstellen bzw. bei einer elektronischen Verzeichnisführung sich inhaltlich an diesem Muster zu orientieren. 8. Das Verarbeitungsverzeichnis des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO) Jeder Auftragsverarbeiter hat ein Verarbeitungsverzeichnis mit dem in Art. 30 Abs. 2 DSGVO normierten Inhalt zu führen. Im Unterschied zum Verarbeitungsverzeichnis des Verantwortlichen nach Art. 30 Abs. 1 DSGVO bezieht sich dieses Verzeichnis jedoch nicht auf die einzelnen Verarbeitungstätigkeiten, sondern auf die Kategorien von Tätigkeiten der Verarbeitung, die im Auftrag eines Verantwortlichen durchgeführt werden. Der in Art. 30 Abs. 2 DSGVO vorgegebene Katalog an Pflichtangaben zu den einzelnen Verarbeitungskategorien ist zudem weniger umfangreich als derjenige nach Art. 30 Abs. 1 Satz 2 DSGVO. 3 https://www.datenschutz-bayern.de/download/beschreibung_einer_verarbeitungstaetigkeit.dotx

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback