Datenschutz für Unternehmen

Datenschutz für Unternehmen
Автор книги: id книги: 1878730     Оценка: 0.0     Голосов: 0     Отзывы, комментарии: 0 4423,32 руб.     (43,22$) Читать книгу Купить и скачать книгу Купить бумажную книгу Электронная книга Жанр: Юриспруденция, право Правообладатель и/или издательство: Автор Дата добавления в каталог КнигаЛит: ISBN: 9783854023791 Скачать фрагмент в формате   fb2   fb2.zip Возрастное ограничение: 0+ Оглавление Отрывок из книги

Реклама. ООО «ЛитРес», ИНН: 7719571260.

Описание книги

Datenschutz betrifft jedes Unternehmen. Die Erfüllung des unternehmerischen Geschäftszweckes ist in der Regel ohne die Verarbeitung personenbezogener Daten, einschließlich Mitarbeiterdaten, nicht möglich. Dabei ist Datenschutz kein rein rechtliches oder technisches Thema, sondern bedarf einer gesamtheitlichen Betrachtung. "Datenschutz für Unternehmen" bietet Einblicke in die Praxis des gelebten Datenschutzes und dient als Leitfaden für Datenschutzbeauftragte und Datenschutzverantwortliche in Unternehmen. Relevante Aspekte der DSGVO sowie des österreichischen Datenschutzgesetzes werden – insbesondere unter Berücksichtigung der aktuellen Judikatur – aufgezeigt und erläutert. Es beinhaltet unter anderem folgende Themenbereiche: Projektmanagement im Datenschutz, vertragsrechtliche Aspekte, Datenschutz im Konzern, Datentransfers in Drittländer, Datenschutzorganisation, Informationssicherheit, Datenschutzaudit und Zertifizierungen, Datenschutz im Dienstverhältnis sowie interne Untersuchungen und Datenschutz. Bleiben Sie up-to-date und erzielen Sie Wettbewerbsvorteile mit der erfolgreichen Umsetzung Ihrer Datenschutzprojekte! Unter Mitarbeit von Sabine Brunner, Patrick Göschl, Jürgen Hutsteiner, Peter Kleebauer, Florian Mundigler, Rafael Linus Nagel, Sandra Neunteufel und Erik Rusek

Оглавление

Ricarda Kreindl. Datenschutz für Unternehmen

Impressum

Inhalt

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Begrifflichkeiten und Grund­prinzipien der DSGVO

1 Begrifflichkeiten und Grundprinzipien der DSGVO. 1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)

1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung

1.1.2 Die Geburtsstunde der DSGVO

1.1.3 Datenschutz neu – Ein Blick nach Österreich

1.2 Anwendungsbereich der DSGVO und des DSG. 1.2.1 Sachlicher Anwendungsbereich der DSGVO. 1.2.1.1Automatisierte und nichtautomatisierte Verarbeitung

1.2.1.2Ausnahmen

1.2.2 Räumlicher Anwendungsbereich der DSGVO. 1.2.2.1Niederlassung in der EU

1.2.2.2Niederlassung außerhalb der EU

1.2.2.3Anwendbarkeit aufgrund des Völkerrechts

1.2.3 Anwendungsbereich des DSG. 1.2.3.1Sachlicher Anwendungsbereich

1.2.3.2Räumlicher Anwendungsbereich

1.3 Wesentliche Begriffe der DSGVO

1.3.1 Personenbezogene Daten

1.3.2 Verarbeitung

1.3.3 Verantwortlicher und Auftragsverarbeiter

1.4 Grundprinzipien der DSGVO

1.4.1 Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz

1.4.1.1Rechtmäßigkeit

1.4.1.2Treu und Glauben

1.4.1.3Transparenz

1.4.2 Zweckbindung

1.4.3 Datenminimierung

1.4.4 Richtigkeit

1.4.5 Speicherbegrenzung

1.4.6 Integrität und Vertraulichkeit

1.4.7 Rechenschaftspflicht

1.5 Überblick über das Sanktionen- und Haftungsregime

1.5.1 Strafen

1.5.2 Haftung

1.6 Fazit

2 Art 82 DSGVO und Haftungsszenarien

2 Art 82 DSGVO und Haftungsszenarien. 2.1 Augsgangspunkt

2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz

2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?

2.4 Aktivlegitimation. 2.4.1 Grundsätzliches

2.4.2 Die Anspruchsberechtigten. 2.4.2.1Systematisches

2.4.2.2„Jede Person“ als Anspruchsberechtigte?

2.4.2.3Österreich als Sonderfall

2.5 Schaden. 2.5.1 Ausgangspunkt

2.5.2 Materielle Schäden

2.5.3 Immaterielle Schäden

2.6 Verschulden und Haftungsbefreiung

2.7 Die Passivlegitimation

2.8 Gesamtschuldnerschaft

2.9 Fazit

3 Projektmanagement im Datenschutz

3 Projektmanagement im Datenschutz. 3.1 Herausforderungen

3.2 Projektformat

3.3 Projektmanagement

3.3.1 Projektmanagementphasen. 3.3.1.1Initialisierungsphase

3.3.1.2Definitionsphase

3.3.1.3Planungsphase

3.3.1.4Steuerungsphase

3.3.1.5Abschlussphase

3.3.2 Managementaufgaben. 3.3.2.1Ziele definieren

3.3.2.2Anforderungsmanagement

3.3.2.3Projektorganisation festlegen

3.3.2.4Meilenstein- und Phasenplanung

3.3.2.5Stakeholder- und Risikomanagement

3.3.2.6Qualitätsmanagement

3.3.2.7Dokumentation und Wissensmanagement

3.3.3 Tools. 3.3.3.1Projektmanagementtools

3.3.3.2Datenschutzmanagement-Tools

3.4 Fazit

4 Die Datenschutzorganisation

4 Die Datenschutzorganisation. 4.1 Die Notwendigkeit einer Datenschutzorganisation

4.2 Data-Protection-Management-System (DPMS)

4.3 Praktische Umsetzung eines DPMS

4.3.1 Compliance-Organisation

4.3.1.1Die Hauptansprechperson

4.3.1.2Zentraler oder dezentraler Aufbau der Datenschutzorganisation

4.3.1.3Der kombinierte Ansatz

4.3.1.4Aufgaben der zentralen Datenschutzorganisation

4.3.1.5Aufgaben der Koordinatoren

4.3.2 Informationssicherheit und Datenschutz

4.3.3 Rechtliche Grundlagen

4.3.4 Verarbeitungsverzeichnis/Internationaler Datenverkehr

4.3.5 Betroffenenrechte

4.3.5.1Art 15 – Recht auf Auskunft („Auskunftsrecht“)

4.3.5.2Art 20 – Recht auf Datenübertragbarkeit („Datenportabilität“)

4.3.6 Datenschutz-Folgeabschätzungen (DS-FA)

4.3.7 Privacy-by-Design und Privacy-by-Default

4.3.7.1Privacy-by-Design

4.3.7.2Privacy-by-Default

4.3.7.3Ausblick

4.3.8 Technische Systemsicherheit

4.3.9 Auftragsverarbeitermanagement

4.4 Das Projektsetup

4.5 Rollen des DPMS

4.6 Fazit

5 Vereinbarungen nach Art 28 DSGVO

5 Vereinbarungen nach Art 28 DSGVO. 5.1 Augsgangspunkt

5.2 Abgrenzung zum Verantwortlichen. 5.2.1 Systematisches

5.2.2 Gemeinsame Verantwortung und Funktionsübertragung

5.3 Auswahl des Auftragsverarbeiters. 5.3.1 Auswahlverantwortung

5.3.2 Überwachungspflicht

5.4 Die Grundlage der Auftragsverarbeitung. 5.4.1 Ausgangspunkt

5.4.2 Regelungsinhalte – Grundsatz

5.4.3 Wesentliche Regelungsinhalte

5.5 Zwingende Mindestinhalte. 5.5.1 Ausgangspunkt

5.5.2 Verarbeitung auf dokumentierte Weisung hin (lit a)

5.5.3 Verpflichtung zur Vertraulichkeit bzw. Verschwiegenheit (lit b)

5.5.4 Maßnahmen nach Art 32 DSGVO (lit c)

5.5.5 Einhaltung der Vorgaben zum Unterauftrag (lit d)

5.5.6 Unterstützung bei der Beantwortung von Anträgen (lit e)

5.5.7 Unterstützung bei den Pflichten nach Art 32 bis 36 DSGVO (lit f)

5.5.8 Löschung oder Rückgabe nach dem Ende der Verarbeitungsleistung (lit g)

5.5.9 Zurverfügungstellung von Informationen und Unterstützung von Überprüfungen (lit h)

5.6 Besondere Informationspflicht bei rechtswidriger ­Weisung

5.7 Subbeauftragung und Formerfordernis

5.8 Fazit

6 Datenschutz im Konzern

6 Datenschutz im Konzern. 6.1 Konzerninterner Datenaustausch

6.1.1 Verpflichtung zur Vertraulichkeit bzw. Verschwiegenheit (lit b)

6.2 Konzernbegriff in der DSGVO

6.3 Konzerninterne Datentransfers innerhalb der Europäischen Union

6.3.1 Datentransfers auf Grundlage eines berechtigten ­(Konzern-)Interesses

6.3.1.1Begriff des berechtigten Interesses

6.3.1.2Erforderlichkeit der Datenverarbeitung

6.3.1.3Interessen oder Grundrechte der Betroffenen

6.3.1.4Durchführung der Interessenabwägung

6.3.1.5Company-to-Company-Agreements

6.3.1.6Mögliche Konzerninteressen

6.3.1.7Widerspruchsrecht der betroffenen Person

6.3.2 Datentransfers auf Grundlage einer Einwilligung

6.3.3 Datentransfers im Rahmen einer Auftragsverarbeitung

6.4 Konzerninterne Datentransfers in Drittstaaten

6.4.1 Binding-Corporate-Rules

6.4.2 Sonstige angemessene Garantien für Drittlandübermittlungen

6.5 Abgrenzung – Gemeinsame Verantwortlichkeit und Auftragsverarbeitung

6.6 Konzerndatenschutzbeauftragter

6.7 Fazit

7 Datenübermittlungen an Drittländer oder interna­tionale Organisationen

7 Datenübermittlungen an Drittländer oder internationale Organisationen. 7.1 Einleitung

7.2 Begrifflichkeiten. 7.2.1 (Weiter-)Übermittlung

7.2.2 Drittland und internationale Organisationen

7.3 Zulässigkeit der Datenübermittlung

7.3.1 Angemessenheitsbeschluss

7.3.2 Geeignete Garantien

7.3.2.1Genehmigungsfreie Garantien

7.3.2.2Genehmigungspflichtige Garantien

7.3.3 Ausnahmen für bestimmte Fälle

7.3.3.1Ausdrückliche Einwilligung der betroffenen Person

7.3.3.2Datenübermittlung zum Zwecke der Vertragserfüllung

7.3.3.3Datenübermittlung zum Zwecke des Vertragsabschlusses bzw. der Vertragserfüllung mit einem Dritten

7.3.3.4Datenübermittlung aus wichtigen Gründen des öffentlichen ­Interesses

7.3.3.5Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

7.3.3.6Datenübermittlung zum Schutz lebenswichtiger Interessen

7.3.3.7Datenübermittlung aus einem Register

7.3.3.8Zwingende berechtigte Interessen

7.3.4 Datenübermittlungen bei drittstaatlichen gerichtlichen Urteilen und verwaltungsbehördlichen Entscheidungen

7.4 Aktuelle Entwicklungen. 7.4.1 Brexit

7.4.2 Zukunft von Standarddatenschutzklauseln sowie des ­EU-US-­Datenschutzschilds

7.5 Fazit

8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden

8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden. 8.1 Einleitung

8.2 Allgemeine Zuständigkeit

8.3 Prinzip der „federführenden Aufsichtsbehörde“ („One-Stop-Shop“)

8.3.1 Grenzüberschreitende Verarbeitung

8.3.2 Nicht Gegenstand des One-Stop-Shop-Prinzips. 8.3.2.1Keine grenzüberschreitende Datenverarbeitung

8.3.2.2Verarbeitung durch Behörden oder private Stellen

8.3.3 Sonderfall: Unternehmensgruppe

8.3.4 Ermittlung der federführenden Aufsichtsbehörde

8.3.4.1Verantwortliche

8.3.4.2Gemeinsam Verantwortliche

8.3.4.3Auftragsverarbeiter

8.3.4.4Sonderfall

8.3.5 Subsidiäre Zuständigkeit[324]

8.4 Zusammenarbeit und Kohärenz. 8.4.1 Zusammenarbeit

8.4.2 Amtshilfe und gemeinsame Maßnahmen. 8.4.2.1Amtshilfe

8.4.2.2Gemeinsame Maßnahmen

8.4.3 Kohärenzverfahren

8.4.3.1Stellungnahmen des Ausschusses

8.4.3.2Streitbeilegung durch den Ausschuss

8.4.4 Dringlichkeitsverfahren

8.5 Fazit

9 Verarbeitungsverzeichnis und DS-FA

9 Verarbeitungsverzeichnis und DS-FA. 9.1 Einleitung

9.2 Das Verarbeitungsverzeichnis. 9.2.1 Rechtliche Grundlagen und Zweck

9.2.2 Gegenstand und Adressaten

9.2.3 Ausnahmen der Verzeichnisführungspflicht

9.2.4 Inhalt

9.2.4.1Pflichtangaben des Verantwortlichen

9.2.4.2Pflichtangaben des Auftragsverarbeiters

9.2.4.3Erweiterung der Dokumentation

9.2.5 Form und Gestaltung des Verarbeitungsverzeichnisses

9.3 Die DS-FA. 9.3.1 Rechtliche Grundlagen und Zweck

9.3.2 Gegenstand und Adressat

9.3.3 Erforderlichkeit

9.3.3.1Positiv- und Negativlisten

9.3.3.2Hohes Risiko

9.3.3.3Ausnahmen

9.3.4 Durchführung. 9.3.4.1Zeitpunkt

9.3.4.2Inhalt

9.3.4.3Vorgehensweise

9.4 Fazit

10 Betroffenenrechte

10 Betroffenenrechte. 10.1 Einleitung

10.2 Die Betroffenenrechte im Überblick. 10.2.1 Rechtsgrundlagen

10.2.2 Transparente Information, Kommunikation und Modalitäten

10.2.3 Rechtsdurchsetzung und Sanktionen

10.3 Informationspflicht. 10.3.1 Allgemeines

10.3.2 Informationspflicht bei Datenerhebung bei der betroffenen Person

10.3.2.1Primäre Informationspflichten

10.3.2.2Zusätzliche Informationspflichten

10.3.2.3Informationspflicht bei Zweckänderung

10.3.2.4Zeitpunkt der Informationserteilung

10.3.3 Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden

10.3.3.1Primäre Informationspflicht

10.3.3.2Zusätzliche Informationspflicht

10.3.3.3Informationspflicht bei Zweckänderung

10.3.3.4Zeitpunkt der Informationserteilung

10.3.4 Ausnahmen

10.4 Recht auf Auskunft. 10.4.1 Allgemeines

10.4.2 Inhalt der Auskunft

10.4.3 Ausnahmen

10.5 Recht auf Berichtigung. 10.5.1 Allgemeines

10.5.2 Recht auf Korrektur

10.5.3 Recht auf Vervollständigung

10.5.4 Unterrichtungspflicht

10.6 Recht auf Löschung und Recht auf Vergessenwerden. 10.6.1 Allgemeines

10.6.2 Voraussetzungen

10.6.3 Ausnahmen

10.6.4 Recht auf Vergessenwerden

10.6.5 Unterrichtungspflicht

10.7 Recht auf Einschränkung der Verarbeitung. 10.7.1 Allgemeines

10.7.2 Voraussetzungen

10.7.3 Ausnahmen

10.7.4 Unterrichtungspflicht

10.8 Recht auf Datenübertragbarkeit. 10.8.1 Allgemeines

10.8.2 Voraussetzungen

10.8.3 Datenübertragung

10.8.4 Ausnahmen

10.9 Widerspruchsrecht. 10.9.1 Allgemeines

10.9.2 Voraussetzungen

10.9.2.1Relativer Widerspruch

10.9.2.2Absoluter Widerspruch

10.9.3 Ausnahmen

10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden. 10.10.1 Allgemeines

10.10.2 Ausnahmen

10.11 Fazit

11 Datenschutzvorfall

11 Datenschutzvorfall. 11.1 Definition

11.1.1 Zusammenhang Datenschutzvorfall & Sicherheitsvorfall

11.1.2 Typische Erscheinungsformen

11.2 Erkennung und Umgang

11.2.1 Prävention

11.2.2 Erkennung

11.2.2.1IT-gestützte Erkennung von Sicherheits- und Datenschutzvorfällen

11.2.2.2Identifikation durch Mitarbeiter

11.2.2.3Hinweis durch Dritte

11.2.3 Umgang

11.2.3.1Vorbereitung

11.2.3.2Aufnahme und Einholung von Informationen

11.2.3.3Analyse des Vorfalls

11.2.3.4Technische und organisatorische Maßnahmen (TOMs)

11.3 Meldepflichten

11.3.1 Allgemeines

11.3.2 Bewertung

11.3.2.1Identifikation der Auswirkung

11.3.2.2Eintrittswahrscheinlichkeit und Schwere

11.3.2.3Klassifikation

11.3.3 Meldung

11.3.3.1Meldung an die Aufsichtsbehörde

11.3.3.2Benachrichtigung der betroffenen Person

11.3.3.3Dokumentation

11.4 Fazit

12 Informationssicherheit

12 Informationssicherheit. 12.1 Begriffsklärung. 12.1.1 Motivation für die Umsetzung von Informationssicherheit

12.1.2 Aspekte der Informationssicherheit und ISO/IEC 27001

12.2 Das Informationssicherheitsmanagementsystem (ISMS) 12.2.1 Motivation für das Einführen eines ISMS

12.2.2 Ablauf der Realisierung

12.2.3 Dokumentation und Aufsetzen der Richtlinien

12.2.4 Schulung der Mitarbeiter

12.2.5 Organisation

12.2.5.1Rollen und Verantwortlichkeiten

12.2.5.2Weitere Bestandteile der Organisation des ISMS

12.2.6 Risikomanagement

12.3 Fazit

13 Technische und organisa­torische Maßnahmen

13 Technische und organisa­torische Maßnahmen. 13.1 Einleitung

13.2 Was sind TOMs?

13.2.1 Welche TOMS können für welches Unternehmen relevant sein?

13.3 Privacy-by-design und privacy-by-default. 13.3.1 Privacy-by-Design

13.3.2 Privacy-by-Default

13.4 Die DSGVO und TOMs – Weitere Vorgaben

13.4.1 TOMs und das Verzeichnis von Verarbeitungstätigkeiten

13.4.2 TOMs und die DS-FA

13.4.3 TOMs und Auftragsverarbeitungen

13.4.4 TOMs und der Data-Breach-Prozess

13.4.5 Das DSG und der Einsatz von TOMs

13.4.6 Audit der TOMs

13.4.7 Dokumentation

13.5 Case Study: Technische und organisatorische Maßnahmen umsetzen

13.5.1 TOM-Assessment – Systemauswahl und Risikoanalyse

13.5.2 Offline-Prozesse

13.5.3 Durchführung der Interviews

13.5.4 Analyse der Ergebnisse, Identifizierung der GAPs und Ableitung der Maßnahmen

13.5.5 Implementierung

13.5.6 Kreislauf und Audit

13.6 Fazit

14 Datenschutzaudit und Zertifizierungen

14 Datenschutzaudit und Zertifizierungen. 14.1 Einleitung

14.2 Vor- und Nachteile einer Zertifizierung

14.2.1 Auswirkungen einer Zertifizierung auf betroffene Personen

14.2.2 Auswirkungen für zertifizierte Unternehmen

14.2.3 Auswirkungen von Zertifizierungen auf Aufsichtsbehörden

14.2.4 Nachteile einer Zertifizierung

14.2.5 Was können Datenschutzzertifizierungen leisten?

14.3 Grundsätze einer Zertifizierung

14.3.1 Unterscheidung Audit vs. Zertifizierung

14.3.2 Anforderungen an ein Zertifizierungsverfahren

14.3.2.1Ansehen in der Öffentlichkeit und internationale Akzeptanz

14.3.2.2Vorteile/Erleichterungen durch die Zertifizierung

14.3.2.3Verhältnismäßigkeit und Kosten

14.3.2.4Nachhaltigkeit

14.3.2.5Berücksichtigung von bereits vorhandenen Zertifizierungen

14.3.3 Scope, Zertifizierungskriterien und -ergebnisse

14.4 Vorbereitungen und Voraussetzungen für eine ­Zertifizierung

14.4.1 Definition des Prüfungsgegenstands

14.4.2 Sicherstellung der Dokumentation

14.4.3 Bewertung des IST-Stands (FIT/GAP-Analyse)

14.5 Der Zertifizierungsprozess

14.5.1 Ablauf einer Zertifizierung

14.5.2 Bisherige „Alternativen“ zu einer Datenschutzzertifizierung ­gemäß DSGVO

14.6 Fazit

15 Datenschutz im Dienstverhältnis

15 Datenschutz im Dienstverhältnis. 15.1 Einleitung

15.2 Von der Bewerbung bis zum Eintritt

15.2.1 Stelleninserat und Einlangen der Bewerberdaten

15.2.2 Auswahlverfahren und Entscheidung

15.2.3 Bewerberpool und Evidenz

15.2.4 Der Background-Check

15.2.5 Vertragsabschluss

15.3 Datenschutz im laufenden Dienstverhältnis

15.3.1 Verarbeitungstätigkeiten im Personalbereich

15.3.2 Datenschutzschulung der Mitarbeiter

15.3.3 Mitarbeiterkontrolle

15.4 Beendigung des Dienstverhältnisses

15.4.1 Datenschutzverletzung beim Austritt

15.4.2 Sanktionen und Datenschutzverletzungen

15.5 Fazit

16 Interne Untersuchungen und Datenschutz

16 Interne Untersuchungen und Datenschutz. 16.1 Einleitung

16.2 Ablauf einer internen Untersuchung mit dem Schwerpunkt e-Discovery

16.3 Zulässigkeit von e-Discovery-Maßnahmen

16.3.1 Grundsatz der Rechtmäßigkeit

16.3.1.1Einwilligung der betroffenen Person

16.3.1.2Überwiegendes berechtigtes Interesse des Auftraggebers

16.3.1.3Rechtmäßigkeit der Verarbeitung sensibler Daten

16.3.2 Grundsatz der Transparenz

16.3.3 Grundsatz der Zweckbindung

16.3.4 Grundsatz der Datenminimierung

16.3.5 Grundsatz der Richtigkeit

16.3.6 Grundsatz der Speicherbegrenzung

16.3.7 Grundsatz der Integrität und Vertraulichkeit

16.4 Umgang mit privaten Informationen

16.4.1 Regelung der privaten Nutzung von Betriebsmitteln

16.4.2 Umgang mit Bring-Your-Own-Device

16.5 Policies

16.6 Forensic Readiness für den Ernstfall

16.7 Fazit

17 Ausblick

17 Ausblick

Отрывок из книги

Unter Mitarbeit von

Sabine Brunner

.....

10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden

10.11 Fazit

.....

Добавление нового отзыва

Комментарий Поле, отмеченное звёздочкой  — обязательно к заполнению

Отзывы и комментарии читателей

Нет рецензий. Будьте первым, кто напишет рецензию на книгу Datenschutz für Unternehmen
Подняться наверх