Ich persönlich komme aus der regulatorischen Ecke und kenne mich rechtlich ganz gut über nicht-öffentliche Stellen aus. Nicht so gut kenne ich mich mit den technischen Details aus, zum Beispiel was wird denn genau in ein Drittland übertragen, wenn man Tracker XY eingebunden hat.
Ich fange mal regulatorisch an:
I. Grundsätzlich/Allgemein
1) DS-GVO (Datenschutzgrundverordnung) wurde 2016 erlassen und tritt am 25. Mai 2018 in der gesamten EU in Kraft.
2) Sie gilt ebenso direkt im EWR (hier gibt es eigene Verträge), d.h. in Norwegen, Lichtenstein und Island.
3) Sie gilt nicht in Drittländern (z. B Schweiz).
4) Unberührt bleibt die Erklärung der EU über das bestehende Datenschutzniveau (z. B für Kanada).
5) Die DS-GVO löst in D, das alte BDSG ab. Zeitlich gleichzeitig tritt das neue BDSG in D in Kraft, welches Regelungen zum Beschäftigtendatenschutz, zur Bestellung von DSBs und zur Videoüberwachung (wohl DS-GVO widrig, Gültigkeit strittig) enthält.
6) Die DS-GVO löst die bestehende DS-RL ab. Im Gegensatz zur RL, gilt die VO direkt und muss nicht umgesetzt werden. Die DS-GVO bietet jedoch begrenzte Öffnungsklauseln, von denen die Mitgliedsstaaten Gebrauch machen können ("hinkende" VO).
7) Zur Auslegung wichtig ist, dass die VO die RL ersetzt und sich auf diese bezieht. Zur Auslegung aus deutscher Sicht muss berücksichtigt werden, dass die VO nicht auf das BDSG folgt, sondern auf die RL (z. B bei den Themen Fernwartung oder Auftragsverarbeitung).
8) 4 Wochen vor der Wirksamkeit der DS-GVO wurde noch eine Ergänzung erlassen, welches Textänderungen vorgenommen hat, die teilweise Änderungen bedeuten und nicht nur - wie beabsichtigt - textlicher Natur sind.
9) Die DS-GVO gilt nur für personenbezogene Daten (pbz Daten). Für rein technische Daten gilt die ePrivacy VO. Diese wurde entgegen der Planungen nicht erlassen. Daher gelten bis auf weiteres noch die Regelungen des TMGs und des TKGs weiter, umstritten! (wichtig z. B für Cookies)
10) Pseudonymisierte Daten fallen unter die DS-GVO, ananonymisierte Daten dagegen nicht.
II. DS-GVO allgemein
1) Die DS-GVO besteht aus 99 Artikeln
2) Vorangestellt sind sog. Erwägungsgründe, die zur Auslegung des Textes herangezogen werden können, aber keine direkte Geltung haben.
3) Jede bestehende Sprachversion ist gleichwertig, d.h. es gibt keinen Vorrang der englischen Version. In der Praxis wird der englischen Version (wahrscheinlich) ein höherer Stellenwert zukommen, da alle wichtigen Beiträge (z. B Working Papers) zuerst auf englisch erscheinen und sich stets auf die englische Version beziehen wird (Erst Monate später erfolgen offizielle Übersetzungen in die weiteren Landessprachen).
4) Die DS-GVO bezieht sich auf die RL und nicht aus das BDSG (siehe oben).
5) Die DS-GVO unterscheidet nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen. Das BDSG n.F unterscheidet hier weiterhin.
III. Nicht-öffentlich Stellen
1) Zu unterscheiden ist zwischen Privatpersonen, kleinen Firmen, mittleren Firmen und großen Firmen.
2) Die DS-GVO gilt für alle o.g Stellen. Es existieren Erleichterungen für kleinere Firmen (z. B Wegfall der Pflicht des Führens von Verfahrensverzeichnissen), de facto ist aber noch unklar wie sich dies im Einzelnen auswirken wird.
3) Für Wissenschaft/Forschung und Statistische Zwecke existierten Ausnahmen / Erleichterungen.
3a) Für familiäre Angelegenheiten gilt auch die DS-GVO (so wie auch schon das BDSG a.F.) nicht.
4) Für öffentliche Stellen existieren teils extrem starke Erleichterungen und Öffungsklauseln (Ausgestaltung BDSG n.F.)
IV. (Mögliche) Angriffspunkte
1) Aufsichtsrechtliche Maßnahmen (z. B. Bußgeld)
2) Abmahnmaßnahmen von a) Mitbewerbern b) Interessenvertretungen c) "Abzockern"
3) Eingaben von Betroffenen
4) Maßnahmen des eigenen betrieblichen DSB (a) intern, b) extern).
(Wird fortgesetzt. Ich bin an einer sachlichen Diskussion interessiert. (Anmerkung: Strittig bedeutet, dass sich juristisch noch keine herrschende Meinung herausbildet hat, dies ist von der persönlichen Meinung stets zu trennen.)
Ich fange mal regulatorisch an:
I. Grundsätzlich/Allgemein
1) DS-GVO (Datenschutzgrundverordnung) wurde 2016 erlassen und tritt am 25. Mai 2018 in der gesamten EU in Kraft.
2) Sie gilt ebenso direkt im EWR (hier gibt es eigene Verträge), d.h. in Norwegen, Lichtenstein und Island.
3) Sie gilt nicht in Drittländern (z. B Schweiz).
4) Unberührt bleibt die Erklärung der EU über das bestehende Datenschutzniveau (z. B für Kanada).
5) Die DS-GVO löst in D, das alte BDSG ab. Zeitlich gleichzeitig tritt das neue BDSG in D in Kraft, welches Regelungen zum Beschäftigtendatenschutz, zur Bestellung von DSBs und zur Videoüberwachung (wohl DS-GVO widrig, Gültigkeit strittig) enthält.
6) Die DS-GVO löst die bestehende DS-RL ab. Im Gegensatz zur RL, gilt die VO direkt und muss nicht umgesetzt werden. Die DS-GVO bietet jedoch begrenzte Öffnungsklauseln, von denen die Mitgliedsstaaten Gebrauch machen können ("hinkende" VO).
7) Zur Auslegung wichtig ist, dass die VO die RL ersetzt und sich auf diese bezieht. Zur Auslegung aus deutscher Sicht muss berücksichtigt werden, dass die VO nicht auf das BDSG folgt, sondern auf die RL (z. B bei den Themen Fernwartung oder Auftragsverarbeitung).
8) 4 Wochen vor der Wirksamkeit der DS-GVO wurde noch eine Ergänzung erlassen, welches Textänderungen vorgenommen hat, die teilweise Änderungen bedeuten und nicht nur - wie beabsichtigt - textlicher Natur sind.
9) Die DS-GVO gilt nur für personenbezogene Daten (pbz Daten). Für rein technische Daten gilt die ePrivacy VO. Diese wurde entgegen der Planungen nicht erlassen. Daher gelten bis auf weiteres noch die Regelungen des TMGs und des TKGs weiter, umstritten! (wichtig z. B für Cookies)
10) Pseudonymisierte Daten fallen unter die DS-GVO, ananonymisierte Daten dagegen nicht.
II. DS-GVO allgemein
1) Die DS-GVO besteht aus 99 Artikeln
2) Vorangestellt sind sog. Erwägungsgründe, die zur Auslegung des Textes herangezogen werden können, aber keine direkte Geltung haben.
3) Jede bestehende Sprachversion ist gleichwertig, d.h. es gibt keinen Vorrang der englischen Version. In der Praxis wird der englischen Version (wahrscheinlich) ein höherer Stellenwert zukommen, da alle wichtigen Beiträge (z. B Working Papers) zuerst auf englisch erscheinen und sich stets auf die englische Version beziehen wird (Erst Monate später erfolgen offizielle Übersetzungen in die weiteren Landessprachen).
4) Die DS-GVO bezieht sich auf die RL und nicht aus das BDSG (siehe oben).
5) Die DS-GVO unterscheidet nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen. Das BDSG n.F unterscheidet hier weiterhin.
III. Nicht-öffentlich Stellen
1) Zu unterscheiden ist zwischen Privatpersonen, kleinen Firmen, mittleren Firmen und großen Firmen.
2) Die DS-GVO gilt für alle o.g Stellen. Es existieren Erleichterungen für kleinere Firmen (z. B Wegfall der Pflicht des Führens von Verfahrensverzeichnissen), de facto ist aber noch unklar wie sich dies im Einzelnen auswirken wird.
3) Für Wissenschaft/Forschung und Statistische Zwecke existierten Ausnahmen / Erleichterungen.
3a) Für familiäre Angelegenheiten gilt auch die DS-GVO (so wie auch schon das BDSG a.F.) nicht.
4) Für öffentliche Stellen existieren teils extrem starke Erleichterungen und Öffungsklauseln (Ausgestaltung BDSG n.F.)
IV. (Mögliche) Angriffspunkte
1) Aufsichtsrechtliche Maßnahmen (z. B. Bußgeld)
2) Abmahnmaßnahmen von a) Mitbewerbern b) Interessenvertretungen c) "Abzockern"
3) Eingaben von Betroffenen
4) Maßnahmen des eigenen betrieblichen DSB (a) intern, b) extern).
(Wird fortgesetzt. Ich bin an einer sachlichen Diskussion interessiert. (Anmerkung: Strittig bedeutet, dass sich juristisch noch keine herrschende Meinung herausbildet hat, dies ist von der persönlichen Meinung stets zu trennen.)
Zuletzt bearbeitet: