Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen (TOMs) zu implementieren, die ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dabei sind insbesondere die Vorgaben aus Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung) relevant. Was fordert Art. 25 DSGVO? Art. 25 DSGVO (Datenschutz durch Technikgestaltung
Das Grundrecht auf Schutz der personenbezogenen Daten gilt nach EG 27 nicht für Verstorbene, jedoch existiert hier eine nationale Öffnungsklausel. Für Deutschland wurde diese nicht genutzt. Systematisch ist das plausibel, denn das Datenschutzrecht ist ein aus dem Persönlichkeitsrecht abgeleitetes Recht, das die Entfaltung der Persönlichkeit schützen soll. Da allerdings mit dem Tod eine Entfaltung der
vgl. Umsetzung der nationalen Öffnungsklausel in §26 BDSG (neu) Handreichung des Landesdatenschutzbeauftragten Baden-Würtemberg zum Beschäftigtendatenschutz aus Juni/Juli2017
Im Gegensatz zu §43 BDSG (Ordnungswidrigkeiten) und §44 BDSG (Straftaten) kann im Rahmen der EU-DSGVO ein weitaus größeres Spektrum von Verstößen durch Bußgelder geahndet werden. Während es im BDSG durchaus Lücken derart gab, dass verschiedene Verstöße gar nicht bußgeldbewehrt waren, ist das Prinzip der EU-DSGVO, dass ein Verstoß prinzipiell eine Sanktion zur Folge haben soll, vgl. Erwägungsgrund 148 der EU-DSGVO. Demnach soll es Ausnahmen nur
Das „One-Stop-Shop-Prinzip“ (eine Aufsichtsbehörde in EU – Unternehmen sollen nicht mit mehreren Aufsichtsbehörden verhandeln müssen) war ursprünglich in Art. 51 Abs. 2 enthalten. Es ist in dem neuen Artikel 54 a verschoben worden.
Vergleich zum BDSG Handlungsbedarf für deutsche Unternehmen Handreichung des BayLDA zur Datenübermittlung in Drittstaaten finden Sie hier.
Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen. Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO. Gegenstand eines Zertifizierungsverfahren können gem.
Die Vorschrift ist deutlich weitgehender als der bisherige §38a BDSG: Danach können Vereinigungen und (branchen-)Verbände quasi eigenes datesnchutzrecht schaffen, indem sie einen datenschutzrechtlichen „Code of conduct (CoC)“ erstellen. Dies Datenschutz-Aufsichtsbehörden haben hierfür eine Orientierungshilfe entwickelt. Beispiel hierfür ist der der Datenschutz-CoC der Versicherungswirtschaft: Darin ist z.B. in Art. 20 ein quasi-Opt-Out für die Datenübermittlung an betreuende Versicherungs-Agenturen legitimiert, die diese
Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt
Die Datenschutzfolgeabschätzung kommt zum Teil der deutschen Vorabprüfung nach 4d ABs. 5 BDSG gleich, z.T. wird sie in verschiedenen Ländern als „Data Privacy Impact Analysis (DPIA)“ oder schlicht PIA praktiziert, etwa in UK seit 2007 und Frankreich seit 2015. Während jedoch eine PIA klassischerweise die Daten im Hinblick darauf untersucht, welcher Schutzbedarf durch die Nutzung der Daten
