Inhalt

Datenschutz-Grundverordnung

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung", DSGVO).

DVR-Meldungen vor Gültigkeit der EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: "dem für die Verarbeitung Verantwortlichen") unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.

DVR-Meldungen, welche vor Gültigkeit der EU-Datenschutz-Grundverordnung bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen künftig nicht von der Verpflichtung zum Führen einer Liste seiner Datenanwendungen ("Verzeichnis von Verarbeitungstätigkeiten").

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist -  das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht.

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 (1) DSGVO zutreffen.

Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.

Neu: Export-Funktion in DVR-Online

Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden. Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren. Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt. Bitte beachten Sie: für Informationsverbundsysteme besteht diese Möglichkeit nicht.

Screenshot DVR-Online-Export

Mehr zu DVR-Online.