AUSGABE SEPTEMBER 2017 · FIT FÜR DIE DATENSCHUTZ-GRUNDVERORDNUNG SEPTEMBER 2017 2 Erweiterte Meldepflichten Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO) erweitern diese Meldepflichten:

AUSGABE SEPTEMBER 2017Download unter http://u.weka.de/dsgvo

lichen Prozesse zu machen und auch schon mit der Einführung der Abläufe zu beginnen.

Das Bundesdatenschutzgesetz (BDSG) hat in § 42a beson-dere Meldepflichten vorgesehen. Sie greifen, wenn bei-

spielsweise Gesundheitsdaten oder Bankdaten einem unbe-rechtigten Dritten gegenüber offengelegt wurden und diese Offenlegung negative Folgen für den jeweils Betroffenen nach sich ziehen könnte.

Die Meldung muss gegenüber der Datenschutz-Aufsichtsbe-hörde erfolgen, die für die verantwortliche Stelle zuständig ist, und gegebenenfalls gegenüber den Betroffenen.

Die EU-Datenschutz-Grundverordnung (DSGVO) erweitert die bislang nach Bundesdatenschutz-gesetz vorgesehenen Meldepflichten für Daten-schutzverletzungen um ein Vielfaches. Damit alle Mitarbeiter und einzubindenden Stellen wissen, was wann wer tun muss, empfiehlt sich bereits jetzt, sich Gedanken zur Umsetzung der erforder-

Meldepflichten nach DSGVO

Trainingseinheit 8

http://u.weka.de/dsgvo

FIT FÜR DIE DATENSCHUTZ-GRUNDVERORDNUNG SEPTEMBER 2017

2

Erweiterte Meldepflichten

Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO) erweitern diese Meldepflichten:

¡¡ Der Katalog der meldepflichtigen Datenschutzverletzungen ist wesentlich umfangreicher.

¡¡ Die Meldepflichten sind innerhalb bestimmter Fristen zu erfüllen.

¡¡ Und Auftragsverarbeiter müssen Meldungen an den Auftraggeber machen.

Damit müssen Unternehmen sämtliche Pro-zesse überarbeiten. Aber zum Beispiel auch an Formulare denken, die die Mitarbeiter bislang zur Meldung einer Datenschutzver-letzung genutzt haben. Daneben ist zu prüfen, ob die mit den Auftragsverarbeitern geschlossenen Auftragsverarbeitungsverträge den neuen Anforderungen genügen, oder ob Anpassungen erforderlich sind.

Was ist eine Datenschutzverletzung im Sinne der DSGVO?

Die Meldepflicht der Grundverordnung ist nicht mehr auf be-stimmte Datenarten beschränkt. Damit gilt zunächst jeder Umgang mit Daten, der – unbeabsichtigt oder beabsichtigt – zu einem unrechtmäßigen Umgang mit den Daten führt, als Datenschutzverletzung.

Das umfasst unter anderem Vorfälle, die zu einer Verletzung der Sicherheit der verarbeiteten personenbezogenen Daten führen. Das kann eine Vernichtung der Daten sein, ihr Verlust, eine Veränderung, eine unbefugte Offenlegung oder ein unbe-fugter Zugang zu den Informationen.

Eine unrechtmäßige Offenlegung kann sich zum Beispiel ergeben, wenn ein Kunde der Weitergabe seiner Daten an einen Dritten nicht zugestimmt hat und es keinen anderen recht lichen Grund für die Weitergabe gibt. Möglicherweise ist die Weitergabe nicht erforderlich für die Erfüllung eines Ver-trags, oder – in anderen Fällen – es existiert keine Betriebs-vereinbarung, die die Weitergabe erlaubt.

Hier ist bereits ausreichend, dass sich mit einer gewissen Wahrscheinlichkeit davon ausgehen lässt, dass eine Daten-schutzverletzung vorliegt.

https://www.datenschutz-praxis.de/datenschutz-grundverordnung/#Artikel%2033


3

Beispiele für Datenschutzverletzungen:

¡¡ Hackerangriff auf die IT-Systeme und Abzug von Daten

¡¡ versehentlicher elektronischer Versand einer unverschlüs-selten Liste mit Daten an einen unrechtmäßigen Empfänger

¡¡ fehlerhafte Verteilung von Zugriffsberechtigungen auf Laufwerke

¡¡ Verwendung von geschäftlichen Daten für private Zwecke

¡¡ Verlust oder Diebstahl des Laptops oder eines anderen Datenträgers, wenn die Daten darauf nicht oder nicht ausreichend verschlüsselt sind

¡¡ Verlust oder Diebstahl einer Videokamera und des Aufzeichnungsmaterials

¡¡ Veröffentlichungen von Daten im Internet aufgrund eines technischen Fehlers

Dann melde ich doch gleich am besten alles, oder? Sicher ist sicher ...

Erforderlich: Risiken bzw. hohe Risiken für die Betroffenen

Der Gesetzgeber hat zwar jede Datenschutzverletzung als potenziell meldepflichtig eingestuft. Er hat aber eine Ein-schränkung gemacht:

1. Die Meldepflicht gegenüber den zuständigen Datenschutz- aufsichtsbehörden erfordert das Vorliegen eines Risikos für den Betroffenen.

2. Die Meldepflicht gegenüber den jeweils Betroffenen erfordert das Vorliegen eines hohen Risikos für die Betroffenen.

Zudem sieht das Gesetz Ausnahmen vor, wann die Meldung an den Betroffenen entbehrlich ist. Zu den Ausnahmen lesen Sie ausführlich „So gehen Sie mit Datenpannen richtig um“.

Wann liegt ein Risiko vor?

Ein Risiko liegt immer dann vor, wenn sich daraus ein wie auch immer gearteter Schaden für den Betroffenen ergibt. Dieser Schaden kann physisch, materiell oder auch immateriell sein.

https://www.datenschutz-praxis.de/fachartikel/dsgvo-datenpannen/


4

Als Beispiele führt der Gesetzgeber u.a. an:

¡¡ den Verlust der Kontrolle über die Daten

¡¡ eine mögliche Rufschädigung

¡¡ ein Identitätsdiebstahl oder -betrug (zum Beispiel durch Missbrauch von Passdaten)

¡¡ finanzielle Verluste

¡¡ Verlust der Vertraulichkeit bei Daten, die einem Berufsge-heimnis unterliegen, die also zum Beispiel bei Ärzten oder Rechtsanwälten gespeichert sind

¡¡ andere erhebliche wirtschaftliche bzw. gesellschaftliche Nachteile

Im Ergebnis hat Kevin tatsächlich Recht: Üblicherweise ist mit dem Verlust etc. von Daten immer ein Risiko für den Betroffenen verbunden. Nur in den wenigsten Fällen wird die Prüfung des Vorfalls ergeben, dass jeg-liche Risiken eliminiert sind und man sie von vornherein ausschließen kann.

In der Regel wird sich eine Meldepflicht gegenüber den zu-ständigen Datenschutzaufsichtsbehörden ergeben, sobald das Unternehmen von der Datenschutzverletzung Kenntnis erlangt.

Nur in ganz wenigen Ausnahmefällen wird keine Verletzung vorliegen. Das könnte beispielsweise der Fall sein, wenn es sich um öffentlich zugängliche Daten handelt, die jedermann im Internet abrufen kann.

Wann liegt ein hohes Risiko vor?

Ein hohes Risiko, das eine Meldung an die Betroffenen erfor-derlich macht, kann zum Beispiel vorliegen, wenn die betrof-fene Person aufgrund der Datenschutzverletzung umgehend Maßnahmen ergreifen muss, um ihre Rechte zu schützen.

Das kann der Fall sein, wenn ihre Bankdaten gestohlen wur-den und sie umgehend ihre Konten sichten muss, um kriti-sche Abbuchungen sofort zu stornieren.

Hier wird insbesondere wichtig sein, welche personenbezo-genen Daten von der Verletzung umfasst sind: Je sensibler die Daten, desto höher sind die Risiken, und es wird eine Meldepflicht vorliegen.


5

Wann ist keine Benachrichtigung nötig?

Der Gesetzgeber erleichtert die Beurteilung, ob ein hohes Risiko vorliegt: Er zählt in Art. 34 Abs. 3 DSGVO Fälle auf, in denen die Benachrichtigung des Betroffenen entbehrlich ist bzw. unter erleichterten Umständen erfolgen kann:

¡¡ Die technisch-organisatorischen Sicherheitsvorkehrungen, die das Unternehmen umgesetzt hat, sind geeignet, um die Rechte des Betroffenen zu schützen, etwa durch den Ein-satz von Verschlüsselungsverfahren für Datenträger.

¡¡ Das Unternehmen stellt nach dem Vorfall sicher, dass keine hohen Risiken mehr für den Betroffenen bestehen.

¡¡ Die Benachrichtigung ist mit unverhältnismäßig hohem Aufwand verbunden. In diesem Fall reicht eine öffentliche Bekanntmachung, etwa durch eine Anzeige im Internet oder in Tageszeitungen. Die öffentliche Bekanntmachung wird in der Praxis wohl wenig Anklang finden.

Die Beurteilung, ob und welches Risiko vorliegt, sollte das Unternehmen dokumentieren. Dabei sollte es den Daten-schutzbeauftragten einbeziehen. Hier empfiehlt es sich, ein entsprechendes Formblatt zu nutzen.

Was muss wann der Datenschutzaufsichtsbehörde gemeldet werden?

Nach Art. 33 Abs. 3 DSGVO muss die Meldung an die Auf-sicht mindestens die folgenden Informationen enthalten:

¡¡ kurze Beschreibung der Datenschutzverletzung: Wie, war-um bzw. auf welche Art wurde der Datenschutz verletzt?

¡¡ soweit möglich: Angaben zu den Datenkategorien, der Anzahl der Datensätze, den Kategorien von Betroffenen und der Anzahl der betroffenen Personen

¡¡ Kontaktdaten des Datenschutzbeauftragten

¡¡ mögliche Folgen der Datenschutzverletzung

¡¡ Zeitpunkt, an dem das Unternehmen die Verletzung festgestellt hat

¡¡ Beschreibung der Maßnahmen, die das Unternehmen getroffen hat, um die Folgen zu beheben oder abzumildern

Empfehlenswert ist auch eine Information, ob die Betroffenen bereits unterrichtet wurden und wie und mit welchem Inhalt die Unterrichtung erfolgt ist.




6

¡¡ Zudem ist zu prüfen, ob die Verantwortlichen auch bei ei-ner Meldung am Freitagnachmittag innerhalb der gesetzten Fristen reagieren können. Hier empfehlen sich Stellvertreter regelungen.

Was muss wann dem Betroffenen gemeldet werden?

Gemäß Art. 34 Abs. 3 DSGVO sind dem Betroffenen – sofern der Datenschutzverstoß zu einem hohen Risiko führt – in ein-facher und klarer Sprache folgende Informationen mitzuteilen:

¡¡ Beschreibung des Vorfalls

¡¡ Beschreibung der Gefahren und Folgen

¡¡ Beschreibung der bereits ergriffenen Maßnahmen

¡¡ Empfehlungen für Vorsorge- oder Schadensabwehrmaß-nahmen (Handlungsempfehlungen)

¡¡ Name und Kontaktdaten des Datenschutzbeauftragten

Die Information hat unverzüglich nach Kenntniserlangung durch das Unternehmen zu erfolgen (Art. 34 Abs. 1 DSGVO).

Die Meldung hat unverzüglich, spätestens innerhalb von 72 Stunden nachdem die Verletzung dem Unternehmen bekannt geworden ist, zu erfolgen, so Art. 33 Abs. 1 DSGVO. Bei einer verspäteten Meldung muss das Unternehmen eine Begründung beifügen.

Die Meldung kann auch schrittweise erfolgen, wenn der Ver-antwortliche nicht alle Informationen in der gesetzlich festge-legten Meldefrist bereitstellen kann (Art. 33 Abs. 4 DSGVO).

Das Unternehmen muss die Mitarbeiter über den Umgang mit Datenschutzverletzungen informieren, ein Formblatt entwerfen, das die Mitarbeiter aus-füllen können, Berichtslinien festlegen und jeweils Verantwortliche bestimmen, die in den Prozess mit einzubeziehen sind.

Weitere Empfehlungen:

¡¡ Da die strikten Fristen einzuhalten sind und während der Frist die Prüfung zu erfolgen hat, ob eine Meldung erforder-lich ist, sollten die maßgeblichen Verantwortlichen bereits zu einem frühen Zeitpunkt nach Aufdeckung des Vorfalls in-formiert und einbezogen werden. Datenschutzverletzungen „unter der Decke“ halten zu wollen, bringt nichts.


7

Ist das Unternehmen zu dem Ergebnis gekommen, dass kein hohes Risiko besteht, und hat es nicht informiert, die Daten-schutzaufsichtsbehörde kommt allerdings in ihrer Prüfung zu einer anderen Auffassung, kann die Aufsichtsbehörde das Unternehmen verpflichten, die Information nachzuholen (Art. 34 Abs. 4 DSGVO).

Ist die Datenschutzaufsichtsbehörde nach ihrer Prüfung der Auffassung, dass eine Ausnahme von der Benachrichtigungs-pflicht gemäß Art. 34 Abs. 3 DSGVO besteht, kann sie dazu einen Beschluss fassen.

Im Ergebnis müssen die oben beschriebenen Prozesse also auch Regelungen umfassen, die die Information der Betroffenen gewährleisten.

Welche Pflichten treffen den Auftragnehmer?

Setzt das Unternehmen einen Auftragsverarbeiter nach Art. 28 ff. DSGVO ein, so muss dieser gemäß Art. 33 Abs. 2 DSGVO unverzüglich über etwaige Datenschutzverletzungen, die bei der Verarbeitung der Daten des Unternehmens bzw. seines Auftraggebers eintreten, informieren.

Nach Art. 28 Abs. 3 Buchst. f DSGVO ist diese Verpflichtung bzw. die Pflicht, den Auftraggeber bei den Meldepflichten nach Art. 33 und 34 DSGVO zu unterstützen, auch im Auf-tragsverarbeitungsvertrag festzulegen.

Da sich Benachrichtigungspflichten, die bisher in den Verträ-gen festgelegt sind, bislang häufig an § 42a BDSG orientier-ten, besteht möglicherweise Anpassungsbedarf.

Bestehende Auftragsverarbeitungsverträge sind zu überprüfen und ggf. anzupassen. Da sich ohnehin die Pflichten der Auftragnehmer nach Art. 28 ff. DSGVO ändern und sich daraus Prüfungs- bzw. Anpassungsbedarf ergibt, sollten Verantwortliche diesen Punkt gleich mit regeln.



8

Erwägungsgründe verständlich erklärt

Die sogenannten Erwägungsgründe sind rechtlich gesehen ein Teil der Datenschutz-Grundverordnung. Sie wiegen des-halb weitaus schwerer als eine Gesetzesbegründung bei einem deutschen Gesetz.

Oft erläutern die Erwägungsgründe Detailfragen, die die Verordnung selbst nicht ausdrücklich beantwortet. Deshalb verdienen sie besondere Beachtung.

Frage: Stimmt es, dass eine Einwilligung des Betroffenen künftig nicht mehr schriftlich erfolgen muss? Bisher war das doch jedenfalls als Grundregel vorgeschrieben.

Antwort: Eine Verarbeitung personenbezogener Daten ist unter anderem dann rechtmäßig, wenn die betroffene Person dazu ihre Einwilligung gege-ben hat. So die Regelung des Art. 6 Abs. 1 Unter-

absatz 1 Buchst. a DSGVO. Die Regelung sagt nichts dazu, in welcher Form die Einwilligung vorliegen muss. Erwägungs-grund Ziffer 32 Satz 1 erklärt, was das bedeutet.

Nach Erwägungsgrund 32 Satz 1 ist es notwendig, dass eine Einwilligung „durch eine eindeutige bestätigende Handlung“ erfolgt. Eine solche Handlung kann unterschiedlich ausse-hen. Sie kann „in Form einer schriftlichen Erklärung“ erfolgen. Möglich ist aber ausdrücklich auch eine „mündliche Erklä-rung“. Schriftliche und mündliche Erklärungen sind rechtlich künftig gleich viel wert.

Dabei fasst der Erwägungsgrund den Begriff der „schrift-lichen Erklärung“ sehr weit. Er hält nämlich fest, dass eine solche Erklärung „auch elektronisch erfolgen kann.“

Mit anderen Worten: Eine Erklärung ist auch dann schriftlich, wenn sie elektronisch erfolgt. Eine Erklärung per E-Mail ist also eine schriftliche Erklärung!

Klar ist jedoch, dass schlichtes Nichtstun keine Einwilligung darstellt. Erwägungsgrund 32 Satz 3 sagt dazu, dass „Still-schweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligung sind. Ausreichend ist dagegen das Anklicken eines Kästchens beim Besuch einer Internetseite, so Erwägungsgrund 32 Satz 2.

Hintergrundinformationen

für den Praktiker


https://www.datenschutz-praxis.de/datenschutz-grundverordnung/#EG32



9

Schlüsselbegriffe der Grundverordnung

Neben den Erwägungsgründen stellen wir in jeder Ausgabe zentrale Begriffe der Datenschutz-Grundverordnung vor.

Datentransfer in Drittstaaten

Dieser Bereich ist bisher in § 4b Abs. 2 Satz 2 BDSG geregelt. Die DSGVO regelt das Thema in Art. 44 ff. in der Grundstruktur ähnlich, allerdings sind Ausnahmetatbestände teilwei-se neu. Inhaltlich handelt es sich um eine Da-tenübermittlung in einen Staat außerhalb der EU bzw. des EWR (Europäischer Wirtschafts-raum).

Voraussetzung für eine solche Datenüber-mittlung ist, dass im Empfängerstaat ein an-gemessenes Datenschutzniveau besteht. Ist das nicht der Fall, helfen bestimmte Aus-nahmeregelungen dabei, trotz des fehlenden angemessenen Datenschutzniveaus einen Datentransfer zulässig durchzuführen. Greift keine Ausnahme, so ist die Datenübermittlung in diesen Staat nicht zulässig.

Eine Datenübermittlung in einen Drittstaat ist nach Art. 45 DSGVO erlaubt,

¡ wenn die EU-Kommission in einem soge-nannten Angemessenheitsbeschluss festgestellt hat, dass in dem betreffenden Staat ein angemessenes Datenschutzni-veau besteht. Ein solcher Beschluss liegt derzeit für folgende Staaten vor: Schweiz, Kanada, Israel, Argentinien, Andorra, Färö-er, Guernsey, Jersey, Isle of Man, Austra-lien, Neuseeland und Uruguay. Personen-bezogene Daten dürfen in solchen Fällen ohne weitere Genehmigung in diesen Staat übermittelt werden (Erwägungsgrund 103).

Gibt es keinen solchen Beschluss, ist der Da-tentransfer erlaubt, wenn „geeignete Garan-tien“ zum Schutz personenbezogener Daten vorliegen (Art. 46 DSGVO). Das ist der Fall,

¡ wenn die Datenübermittlung auf Basis von Standardvertragsklauseln erfolgt, die die EU-Kommission freigegeben hat.






10

¡ wenn die Datenübermittlung innerhalb eines Konzerns oder einer Unternehmensgruppe auf Basis von „Binding Corporate Rules“ (BCR) stattfindet, die die zuständigen Auf-sichtsbehörden genehmigt haben (Art. 47 DSGVO).

¡ wenn die Datenübermittlung an ein Unter-nehmen erfolgt, das in dem Drittstatt an-sässig ist und das sich entweder geneh-migten europäischen Verhaltensregeln unterworfen hat oder über eine genehmig-te europäische Zertifizierung verfügt.

¡ wenn die zuständige Aufsichtsbehörde die Datenübermittlung einzeln genehmigt hat.

Für Fälle, in denen weder ein Angemessen-heitsbeschluss vorliegt noch geeignete Garan-tien oder genehmigte Binding Corporate Rules bestehen, sieht Art. 49 DSGVO eine Reihe von Ausnahmen vor, die eine Datenübermittlung in ein Drittland trotzdem ermöglichen. Zu die-sen Ausnahmen gehören folgende Fälle:

¡ Die betroffenen Personen haben in den Datentransfer eingewilligt. Voraussetzung ist, dass der Verantwortliche sie im Rah-men seiner Informationspflichten (Art. 13, 14 DSGVO) vorher über die beabsichtigte Über-mittlung informiert und über die spezifischen Risiken der Übermittlung in den betreffenden Staat aufgeklärt hat. Außerdem muss der Verantwortliche die Rechtsgrundlage für den Datentransfer angeben, etwa Standardver-tragsklauseln, und der betroffenen Person eine Kopie der Rechtsgrundlage aushändi-gen bzw. mindestens eine Quelle angeben, die der betroffenen Person ermöglicht, einen Einblick in die gewählte Rechtsgrundlage zu nehmen.

¡ Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder einem Dritten notwendig.

¡ Es liegen wichtige Gründe des öffentli-chen Interesses vor. Das kann nach





11

Erwägungsgrund 112 der internationale Datenaustausch zwischen Wettbewerbs-, Steuer-, Finanzaufsichts- und Zollbehörden sein. Außerdem fallen Bereiche der Be-hörden, die für die öffentliche Gesundheit zuständig sind, darunter, zum Beispiel Um-gebungsuntersuchungen bei ansteckenden Krankheiten oder Bekämpfung des Dopings beim Sport. Nach dem Erwägungsgrund sind die Mitgliedstaaten befugt, eigene Re-gelungen zu wichtigen Gründen des öffent-lichen Interesses zu treffen und dabei auch Beschränkungen der Datenübermittlung vorzuschreiben.

¡ Die Übermittlung dient der Geltendmachung oder Verteidigung von Rechtsansprüchen.

¡ Die Übermittlung ist zum Schutz lebens-wichtiger Interessen der betroffenen oder anderer Personen notwendig, und die be-troffene Person ist physisch oder rechtlich nicht in der Lage, ihre Einwilligung zu ge-ben. Erwägungsgrund 112 nennt hier als

Beispiele Übermittlungen an internationale humanitäre Organisationen, wenn der Da-tentransfer im Rahmen von Aufgaben nach den Genfer Konventionen oder dem Völker-recht bei bewaffneten Konflikten erfolgt.

¡ Die Übermittlung erfolgt aus einem Register, das nach EU-Recht oder dem Recht der Mitgliedstaaten zur Information der Öffent-lichkeit bestimmt ist oder von Personen mit berechtigtem Interesse eingesehen werden kann. In Deutschland gehören dazu bei-spielsweise das Handelsregister oder das Grundbuch.

¡ Hat die Datenübermittlung einen überschau-baren Umfang und ist sie aufgrund zwingen-der berechtigter Interessen des Verantwort-lichen gerechtfertigt, kann eine Übermittlung auch nach Art. 49 Abs. 1 Satz 2 DSGVO erlaubt sein, wenn alle dortigen Vorausset-zungen erfüllt sind.




12

Angemessenes Schutzniveau

Bisher geregelt in Art. 25 DSRL (Richtlinie 95/46/EG). Danach ist die Europäische Kom-mission berechtigt, festzustellen, dass ein Drittstaat ein angemessenes Schutzniveau bezüglich des Schutzes der Privatsphäre und des Schutzes von Freiheiten und Grundrech-ten von Personen sicherstellt.

Das hat die EU-Kommission zum Beispiel im Hinblick auf das Privacy-Shield-Abkommen zwischen der EU und den USA festgestellt.

Die DSGVO regelt diesen Bereich in Art. 45 Abs. 1 DSGVO zum Teil mit strenge-ren Beurteilungskriterien.

Bei der Entscheidung, ob ein angemessenes Schutzniveau vorliegt, ist zu berücksichtigen, ob die Vorschriften eines Drittstaats in etwa das Datenschutzniveau innerhalb der EU rarantieren (Erwägungsgrund 104). Dabei sind folgende Kriterien wichtig:

¡ Rechtsstaatlichkeit, Menschenrechte und Grundrechte im Drittstaat

¡ Datenschutzrechte des Drittstaats und ihr Vollzug

¡ Rechte betroffener Personen und deren Rechtsschutzmöglichkeiten

¡ Rechtsprechung der Gerichte des Drittstaats

¡ Zugriffe von Behörden auf personenbezoge-ne Daten

¡ Existenz von unabhängigen Datenschutzbe-hörden, deren Befugnisse und Sanktions-rechte

¡ internationale Verpflichtungen zum Schutz personenbezogener Daten, die der Drittstaat eingegangen ist

Die EU-Kommission muss die einmal festge-stellte Angemessenheit des Schutzniveaus lau-




13

fend überwachen. Entfallen Voraussetzun-gen für eine Angemessenheit, so muss die EU-Kommission ihre Feststellung widerrufen (Erwägungsgrund 107). Ein weiterer Daten-transfer in diesen Drittstaat ist dann nicht mehr zulässig.

Bereits getroffene Feststellungen zu einem angemessenen Schutzniveau bleiben nach Inkrafttreten der DSGVO in Kraft (Art. 45 Abs. 9 DSGVO). Die EU-Kommission muss jedoch auch diese Fälle überwachen und ihren Fest-stellungsbeschluss gegebenenfalls widerrufen.

Die Autoren dieser Ausgabe

Silvia C. Bauer ist Autorin des Textes zu den Meldepflichten. Sie berät als Rechtsanwältin Unternehmen im datenschutz-rechtlichen Bereich und führt Datenschutzaudits durch. Au-ßerdem unterstützt sie Unternehmen dabei, die Zulässigkeit geplanter Datenverarbeitungen zu prüfen und Verträge zur Auftragsdatenverarbeitung zu erstellen.

Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittel-franken. Er befasst sich seit vielen Jahren intensiv mit The-men des Datenschutzes. Für diese Ausgabe hat er den Erwä-gungsgrund übernommen.

Andrea Gailus ist Rechtsanwältin mit Schwerpunkt Da-tenschutz- und Telekommunikationsrecht. Sie betreut die Schlüsselbegriffe.


Documents

AUSGABE SEPTEMBER 2017 · FIT FÜR DIE DATENSCHUTZ-GRUNDVERORDNUNG SEPTEMBER 2017 2 Erweiterte Meldepflichten Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO) erweitern diese Meldepflichten: