In einer Pressemitteilung vom 16. Januar 2017 hat die Art.29-Datenschutzgruppe ihr Arbeitsprogramm für 2017 (PDF) vorgestellt. Kernstück des Maßnahmenplans sind die Guidelines zum „Recht auf Datenportabilität“, zum „Datenschutzbeauftragten“ und zur „federführenden Behörde“ aus dem Dezember 2016. Im Weiteren fassen wir das Wesentliche zusammen.
Leitfaden für 2017: Konsequenzen für die Datenschutz-Grundverordnung
Der aktuelle Aktionsplan sieht Auslegungsrichtlinien zu folgenden DSGVO-Themen vor:
- Datenschutzfolgenabschätzung – hier besteht Klärungsbedarf, wann die Voraussetzungen des Art. 35 Abs. 1 DSGVO genau erfüllt sind und wie ein Verantwortlicher das Vorliegen eines „hohe(n) Risiko(s) für die Rechte und Freiheiten natürlicher Personen“ durch die Datenverarbeitung überhaupt bestimmen soll.
- Sanktionen – offen ist derzeit insbesondere die Gewichtung von DSGVO-Verstößen sowie die damit korrelierende Höhe der jeweiligen Geldbußen.
- Struktur des Datenschutzausschusses – Unklarheiten bestehen insbesondere im Hinblick auf dessen IT-Systeme sowie finanzielle und personelle Mittel.
- One-Stop-Shop (OSS) – wonach für Fragen grenzüberschreitender Datenverarbeitung die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen oder Auftragsverarbeiters sein soll. Die Praxis erhofft sich hier insbesondere konkrete Hinweise zum OSS bei Unternehmensgruppen.
Datenschutzfolgenabschätzung im Detail: Die Abstimmung läuft
Insbesondere die Guidelines zur Datenschutzfolgenabschätzung waren ursprünglich schon für Ende 2016 angekündigt und wurden von Experten gespannt erwartet. Die laufende europaweite Abstimmung verzögert sich aber offenbar. Einzelne deutsche Datenschutzbehörden sammeln derzeit noch erste Praxiserfahrungen deutscher Unternehmen mit der Datenschutzfolgenabschätzung, um diese dann in die für Februar 2017 geplante Abstimmung auf Ebene der Art.29-Datenschutzgruppe einbringen zu können.
Darüber hinaus sind weitere Guidelines geplant. Dabei sollen die Themen „Einwilligung und Profilbildung“ sowie „Transparenz“ adressiert werden. Außerdem kündigte die Art.29-Datenschutzgruppe eine Aktualisierung bereits vorhandener Stellungnahmen und Bezugnahmen zum Datentransfer in Drittstaaten und zur Anzeigepflicht von Datenschutzverletzungen an.
Veranstaltungstipps: FabLab und Workshop
Die Art.29-Datenschutzgruppe begrüßt ausdrücklich die Mitwirkung von Interessenvertretern aus Wirtschaft und Gesellschaft und kündigt in der Pressemitteilung zum Arbeitsprogramm ein zweites FabLab am 5./6. April 2017 an. Es sollen die Themen des aktuellen Arbeitsprogramms erörtert und auf Punkte eingegangen werden, die ähnlich möglicherweise auch auf Ebene der nationalen Datenschutzbehörden diskutiert werden. Zudem sei ein interaktiver Workshop mit Vertretern von Nicht-EU-Mitgliedstaaten am 18./19. Mai 2017 geplant, in dem Meinungen zur Datenschutz-Grundverordnung und ihrer Implementierung durch die Art.29-Datenschutzgruppe ausgetauscht werden könnten.
Datenportabilität, Datenschutzbeauftragter und „federführende Behörde“: Mehr Beiträge zu den Themen
Einige Inhalte des Arbeitsprogramms der Art.29-Datenschutzgruppe haben wir bereits detailliert behandelt. In den folgenden Beiträgen finden Sie die relevanten Analysen, Kommentare und Stellungsnahmen unseres Datenschutzteams:
- Datenportabilität: Neue Guidelines der Art.-29-Datenschutzgruppe,
- Datenschutzbeauftragter: Aufgaben, Leitlinien und Empfehlungen sowie
- Art.-29-Datenschutzgruppe: „Hauptniederlassung“ und „federführende Behörde“ bestimmt.
Sie haben Fragen? Dann wenden Sie sich jederzeit gerne an einen unserer Experten.