Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Noch gut ein Monat, bis die Datenschutz-Grundverordnung gilt: für alle, die personenbezogene Daten verarbeiten. Einige Organisation sind schon beim Feinschliff, anderen fehlt noch Basiswissen. Und viele fragen sich: Was ist konkret zu tun?

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

PDF-Version

Die Datenschutzgrundverordnung (DSGVO) fordert in Artikel 5, dass Verantwortliche nicht nur die Grundsätze der Datenverarbeitung (Artikel 5 Abs.1) einhalten, sondern die Einhaltung auch nachweisen können müssen (Artikel 5 Abs. 2, „Rechenschaftspflicht“).

„Verantwortlicher“ ist nach Artikel 4 Nr. 7 (DSGVO) „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die Nachweispflicht erstreckt sich auch auf die Umsetzung technisch-organisatorischer Sicherheits- und Datenschutzmaßnahmen (Artikel 24 Abs. 1). Bedient sich ein Verantwortlicher eines Auftragsverarbeiters (Artikel 4 Nr. 8), so bleibt er für die Einhaltung der Grundsätze verantwortlich (Artikel 28); der Auftragsverarbeiter hat entsprechende Informationen zuzuliefern. Dazu gehört auch der Nachweis, dass die Verarbeitung nur gemäß den Weisungen des Auftraggebers erfolgt (Artikel 28 Abs. 3 lit 3).

Begleitende Vortragsfolien

Vortrag von Dr. Sven Polenz

zum Start der Datenschutz-Grundverordnung

In einem Interview mit der BILD-Zeitung mit der designierten Digital-Ministerin Dorothee Bär unterstellte der Journalist, dass "der gute alte Datenschutz" Chancen im Gesundheitsbereich verhindern würde. Frau Bär stimmte ihm zu: "Wir brauchen deshalb endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert."

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält dagegen:

Die Landesregierung hat zu Beginn des Jahres einen Gesetzentwurf für ein neues Landesdatenschutzgesetz (LDSG), das für alle öffentlichen Stellen im Land gelten wird, und zur Änderung anderer Vorschriften vorgelegt. Damit soll die europäische Datenschutzreform – die EU-Datenschutz-Grundverordnung und die EU-Richtlinie für den Datenschutz bei der Verhütung und Verfolgung von Straftaten – umgesetzt werden. Leider ist der Entwurf mit vielen Mängeln behaftet. Einige davon verstoßen sogar gegen EU-Recht.

Stellungnahme im PDF-Format

Im Januar 2018 wurde der vom Ministerium für Inneres, ländliche Räume und Integration des Landes Schleswig-Holstein (MILI) erstellte Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 als Landtags-Drucksache 19/429 veröffentlicht. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte bereits im Rahmen der Verbändeanhörung eine Stellungnahme gegenüber dem MILI zu dem seinerzeitigen Entwurf abgegeben. Erfreulicherweise wurden einige der eher gesetzessystematischen Anmerkungen des ULD berücksichtigt und sind in den aktuellen Entwurf eingeflossen.

Gleichwohl bietet der vorliegende Entwurf noch Anlass zur Kritik, es besteht noch Raum für
Verbesserungen. Die aus Sicht des ULD problematischsten Aspekte sind an den Anfang dieser
Stellungnahme gestellt.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.