12
Nov
2017
EU-US

Grenzüberschreitende Übermittlung personenbezogener Daten nach der DSGVO

Überblick und Checkliste für Datentransfers in Drittländer

Die grenzüberschreitende Übermittlung von Daten ist ohne vorherige rechtliche Prüfung bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DS-GVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DS-GVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestanforderungen aufstellt. Für Datenübermittlungen in Drittländer außerhalb der EU stellen sich dagegen wichtige Fragen. Ein aktueller Beitrag aus der Zeitschrift für Datenschutz (ZD) beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für solche Datenübermittlungen in Drittländer. Zudem zeigt er Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen. Der Beitrag enthält auch Checklisten für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DS-GVO.

Sie können den ZD-Beitrag mit freundlicher Genehmigung des Verlag C. H. Beck hier hier gratis im Volltext abrufen.

13
Okt
2017
EU-US

Übermittlung personenbezogener Daten in Drittländer nach der DSGVO

Überblick und Checkliste für die Prüfung nach der DS-GVO

Die grenzüberschreitende Übermittlung von Daten ohne vorherige rechtliche Prüfung, ist bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DSGVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DSGVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestschutzanforderungen aufstellt. Für Datenübermittlungen in Drittländer stellen sich dagegen wichtige Fragen. Der folgende Beitrag beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für eine solche Datenübermittlung in Drittländer. Zudem zeigt der Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen.

Der Beitrag enthält auch eine kurze Checkliste für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DSGVO. Er erscheint im Novemberheft der Zeitschrift für Datenschutz (ZD). Wir veröffentlichen ihn hier im Volltext gratis mit freundlicher Genehmigung des Verlag C.H.Beck.

 

9
Sep
2017
shutterstock_545082313-150x119
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

DSGVO: VG Karlsruhe erlässt erste Entscheidung zur EU-Datenschutz-Grundverordung

Das Verwaltungsgericht (VG) Karlsruhe hat kürzlich die wohl erste deutsche Gerichtsentscheidung zur EU-Datenschutz-Grundverordnung (DSGVO) verkündet. Im Kern ging es bei dem Verfahren darum, ob Datenschutzbehörden bereits vor der Geltung der DSGVO Maßnahmen gegen Unternehmen anordnen dürfen, wenn die Behörde der Auffassung ist, dass bereits abzusehen ist, dass ein Unternehmen ab dem 25.05.2018 gegen die DSGVO verstoßen wird. Nach Art. 99 DSGVO ist der kommende europäische Datenschutz zwar bereits in Kraft getreten, gilt aber erst ab dem 25.05.2018. Diese Übergangsfrist soll es Unternehmen und anderen Verantwortlichen ermöglichen, die umfassenden Vorgaben der DSGVO bis zum kommenden Mai umzusetzen.a

Der Landesdatenschutzbeauftragte Baden-Württemberg hatte eine Verfügung gegen eine Auskunftei erlassen. Diese Verfügung begründete die Behörde im Wesentlichen damit, dass spätere Verstöße des Unternehmens gegen die DSGVO bereits jetzt absehbar seien.

Nach § 38 Abs. 5 S. 1 BDSG könne die Aufsichtsbehörde die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Zwar würde die Behörde keine gegenwärtigen Datenschutzverstöße der Klägerin unterbinden. Vielmehr jedoch sollten Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien.

Das VG folgte der Auffassung der Behörde nicht. Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung sah das Gericht nicht. Es fehle in der DSGVO an einer Ermächtigungsgrundlage, die es der Behörde erlaubte, frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch Verantwortliche eingehalten werde. Eine solche Befugnis lasse sich weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen. Die Entscheidung des VG Karlsruhe vom 06.07.2017 ( Az.: 10 K 7698/16) können Sie hier im Volltext abrufen.

 

 

2
Sep
2017
Europa

DSGVO: Österreich verkündet Datenschutz-Anpassungsgesetz

Österreich verkündet Datenschutz-Anpassungsgesetz 2018 – neues Datenschutzgesetz jetzt abrufbar

Am 31. Juli 2017 wurde das neue österreichische Datenschutzgesetz (DSG) im Bundesgesetzblatt für die Republik Österreich veröffentlicht. Damit passt nun auch Österreich sein Recht auf die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) an. Ähnlich wie das neue BDSG in Deutschland regeln die DSGVO und das neue DSG in Österreich ab dem 25. Mai 2018 Kernbereiche des Datenschutzes. Den vollständigen Gesetzestext des DSG können Sie hier abrufen.

Nachstehend finden Sie einen Überblick über einige praxisrelevante Regelungen:

  • Beschäftigtendatenschutz: Zum Datenschutz am Arbeitsplatz sieht § 11 DSG vor, dass die bisherige Regelung im Arbeitsverfassungsgesetz als Vorschrift im Sinne des Art. 88 DSGVO anzuwenden ist.
  • Verarbeitung von Daten über Straftaten: § 4 Abs. 3 DSG enthält eine für die Praxis äußerst relevante Regelung zur Verarbeitung personenbezogener Daten über Straftaten. Hier nutzt der österreichische Gesetzgeber eine in Art. 10 DSGVO angelegte Möglichkeit, um die weitgehende Einschränkung der Verarbeitung solcher Daten aufzulockern. In Österreich ist somit die Verarbeitung derartiger Daten auch ohne behördliche Aufsicht möglich, wenn sich dies aus gesetzlichen Sorgfaltspflichten ergibt oder wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Durch diese Regelung ist es Unternehmen in Österreich auch künftig möglich, ihren umfassenden Verpflichtungen in Bezug auf Compliance-Maßnahmen datenschutzkonform nachzukommen.
  • Daten juristischer Personen: Bislang schützte das DSG in Österreich neben den Daten natürlicher Personen auch juristische Personen. Diese Besonderheit findet sich im neuen DSG nicht mehr.
  • Datenschutzbeauftragter: Das österreichische Umsetzungsgesetz sieht keine Sonderregelungen zur Benennung eines Datenschutzbeauftragten vor. Entsprechend müssen Unternehmen in Österreich nur dann einen Datenschutzbeauftragen benennen, wenn sich dies aus Art. 37 DSGVO ergibt.

Das Gesetz wurde von vielen österreichischen Datenschutzexperten kritisch bewertet. Diese bemängeln beispielsweise, dass das Gesetz keine Möglichkeit zur Verbandsklage vorsehe (derartige Verbandsklagen sind in Deutschland beispielsweise im UKlaG enthalten). Insgesamt erscheint das österreichische Datenschutz-Anpassungsgesetz 2018 eine eher zurückhaltende Lösung zu sein. Viele Öffnungsklauseln hat der Gesetzgeber ungenutzt gelassen. Im Sinne des von der DSGVO verfolgten Harmonisierungsgedanken hat eine solche zurückhaltende Herangehensweise durchaus Vorteile.

12
Jul
2017
shutterstock_545082313-150x119

EU-DSGVO: Leitlinien der Art. 29-Datenschutzgruppe zum Datenschutz am Arbeitsplatz

Die Art. 29-Datenschutzgruppe gibt in einem kürzlich veröffentlichten Arbeitspapier Hilfestellungen zum Beschäftigtendatenschutz. Das interne Abstimmungsgremium der Datenschutzbehörden der EU beantwortet in dem Papier Fragen von Arbeitgebern, die auf neuen technischen Möglichkeiten zur Datenverarbeitung oder zur Überwachung von Arbeitnehmern sowie der baldigen Umsetzung der DSGVO beruhen.

Eine Zusammenfassung und Analyse der wichtigsten Folgen des Arbeitspapiers für die Praxis können Sie hier abrufen.

Den englischsprachigen Volltext der Stellungnahme finden sie hier.