Оглавление
Ricarda Kreindl. Datenschutz für Unternehmen
Impressum
Inhalt
Abbildungsverzeichnis
Abkürzungsverzeichnis
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1 Begrifflichkeiten und Grundprinzipien der DSGVO. 1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung
1.1.2 Die Geburtsstunde der DSGVO
1.1.3 Datenschutz neu – Ein Blick nach Österreich
1.2 Anwendungsbereich der DSGVO und des DSG. 1.2.1 Sachlicher Anwendungsbereich der DSGVO. 1.2.1.1Automatisierte und nichtautomatisierte Verarbeitung
1.2.1.2Ausnahmen
1.2.2 Räumlicher Anwendungsbereich der DSGVO. 1.2.2.1Niederlassung in der EU
1.2.2.2Niederlassung außerhalb der EU
1.2.2.3Anwendbarkeit aufgrund des Völkerrechts
1.2.3 Anwendungsbereich des DSG. 1.2.3.1Sachlicher Anwendungsbereich
1.2.3.2Räumlicher Anwendungsbereich
1.3 Wesentliche Begriffe der DSGVO
1.3.1 Personenbezogene Daten
1.3.2 Verarbeitung
1.3.3 Verantwortlicher und Auftragsverarbeiter
1.4 Grundprinzipien der DSGVO
1.4.1 Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz
1.4.1.1Rechtmäßigkeit
1.4.1.2Treu und Glauben
1.4.1.3Transparenz
1.4.2 Zweckbindung
1.4.3 Datenminimierung
1.4.4 Richtigkeit
1.4.5 Speicherbegrenzung
1.4.6 Integrität und Vertraulichkeit
1.4.7 Rechenschaftspflicht
1.5 Überblick über das Sanktionen- und Haftungsregime
1.5.1 Strafen
1.5.2 Haftung
1.6 Fazit
2 Art 82 DSGVO und Haftungsszenarien
2 Art 82 DSGVO und Haftungsszenarien. 2.1 Augsgangspunkt
2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz
2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?
2.4 Aktivlegitimation. 2.4.1 Grundsätzliches
2.4.2 Die Anspruchsberechtigten. 2.4.2.1Systematisches
2.4.2.2„Jede Person“ als Anspruchsberechtigte?
2.4.2.3Österreich als Sonderfall
2.5 Schaden. 2.5.1 Ausgangspunkt
2.5.2 Materielle Schäden
2.5.3 Immaterielle Schäden
2.6 Verschulden und Haftungsbefreiung
2.7 Die Passivlegitimation
2.8 Gesamtschuldnerschaft
2.9 Fazit
3 Projektmanagement im Datenschutz
3 Projektmanagement im Datenschutz. 3.1 Herausforderungen
3.2 Projektformat
3.3 Projektmanagement
3.3.1 Projektmanagementphasen. 3.3.1.1Initialisierungsphase
3.3.1.2Definitionsphase
3.3.1.3Planungsphase
3.3.1.4Steuerungsphase
3.3.1.5Abschlussphase
3.3.2 Managementaufgaben. 3.3.2.1Ziele definieren
3.3.2.2Anforderungsmanagement
3.3.2.3Projektorganisation festlegen
3.3.2.4Meilenstein- und Phasenplanung
3.3.2.5Stakeholder- und Risikomanagement
3.3.2.6Qualitätsmanagement
3.3.2.7Dokumentation und Wissensmanagement
3.3.3 Tools. 3.3.3.1Projektmanagementtools
3.3.3.2Datenschutzmanagement-Tools
3.4 Fazit
4 Die Datenschutzorganisation
4 Die Datenschutzorganisation. 4.1 Die Notwendigkeit einer Datenschutzorganisation
4.2 Data-Protection-Management-System (DPMS)
4.3 Praktische Umsetzung eines DPMS
4.3.1 Compliance-Organisation
4.3.1.1Die Hauptansprechperson
4.3.1.2Zentraler oder dezentraler Aufbau der Datenschutzorganisation
4.3.1.3Der kombinierte Ansatz
4.3.1.4Aufgaben der zentralen Datenschutzorganisation
4.3.1.5Aufgaben der Koordinatoren
4.3.2 Informationssicherheit und Datenschutz
4.3.3 Rechtliche Grundlagen
4.3.4 Verarbeitungsverzeichnis/Internationaler Datenverkehr
4.3.5 Betroffenenrechte
4.3.5.1Art 15 – Recht auf Auskunft („Auskunftsrecht“)
4.3.5.2Art 20 – Recht auf Datenübertragbarkeit („Datenportabilität“)
4.3.6 Datenschutz-Folgeabschätzungen (DS-FA)
4.3.7 Privacy-by-Design und Privacy-by-Default
4.3.7.1Privacy-by-Design
4.3.7.2Privacy-by-Default
4.3.7.3Ausblick
4.3.8 Technische Systemsicherheit
4.3.9 Auftragsverarbeitermanagement
4.4 Das Projektsetup
4.5 Rollen des DPMS
4.6 Fazit
5 Vereinbarungen nach Art 28 DSGVO
5 Vereinbarungen nach Art 28 DSGVO. 5.1 Augsgangspunkt
5.2 Abgrenzung zum Verantwortlichen. 5.2.1 Systematisches
5.2.2 Gemeinsame Verantwortung und Funktionsübertragung
5.3 Auswahl des Auftragsverarbeiters. 5.3.1 Auswahlverantwortung
5.3.2 Überwachungspflicht
5.4 Die Grundlage der Auftragsverarbeitung. 5.4.1 Ausgangspunkt
5.4.2 Regelungsinhalte – Grundsatz
5.4.3 Wesentliche Regelungsinhalte
5.5 Zwingende Mindestinhalte. 5.5.1 Ausgangspunkt
5.5.2 Verarbeitung auf dokumentierte Weisung hin (lit a)
5.5.3 Verpflichtung zur Vertraulichkeit bzw. Verschwiegenheit (lit b)
5.5.4 Maßnahmen nach Art 32 DSGVO (lit c)
5.5.5 Einhaltung der Vorgaben zum Unterauftrag (lit d)
5.5.6 Unterstützung bei der Beantwortung von Anträgen (lit e)
5.5.7 Unterstützung bei den Pflichten nach Art 32 bis 36 DSGVO (lit f)
5.5.8 Löschung oder Rückgabe nach dem Ende der Verarbeitungsleistung (lit g)
5.5.9 Zurverfügungstellung von Informationen und Unterstützung von Überprüfungen (lit h)
5.6 Besondere Informationspflicht bei rechtswidriger Weisung
5.7 Subbeauftragung und Formerfordernis
5.8 Fazit
6 Datenschutz im Konzern
6 Datenschutz im Konzern. 6.1 Konzerninterner Datenaustausch
6.1.1 Verpflichtung zur Vertraulichkeit bzw. Verschwiegenheit (lit b)
6.2 Konzernbegriff in der DSGVO
6.3 Konzerninterne Datentransfers innerhalb der Europäischen Union
6.3.1 Datentransfers auf Grundlage eines berechtigten (Konzern-)Interesses
6.3.1.1Begriff des berechtigten Interesses
6.3.1.2Erforderlichkeit der Datenverarbeitung
6.3.1.3Interessen oder Grundrechte der Betroffenen
6.3.1.4Durchführung der Interessenabwägung
6.3.1.5Company-to-Company-Agreements
6.3.1.6Mögliche Konzerninteressen
6.3.1.7Widerspruchsrecht der betroffenen Person
6.3.2 Datentransfers auf Grundlage einer Einwilligung
6.3.3 Datentransfers im Rahmen einer Auftragsverarbeitung
6.4 Konzerninterne Datentransfers in Drittstaaten
6.4.1 Binding-Corporate-Rules
6.4.2 Sonstige angemessene Garantien für Drittlandübermittlungen
6.5 Abgrenzung – Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
6.6 Konzerndatenschutzbeauftragter
6.7 Fazit
7 Datenübermittlungen an Drittländer oder internationale Organisationen
7 Datenübermittlungen an Drittländer oder internationale Organisationen. 7.1 Einleitung
7.2 Begrifflichkeiten. 7.2.1 (Weiter-)Übermittlung
7.2.2 Drittland und internationale Organisationen
7.3 Zulässigkeit der Datenübermittlung
7.3.1 Angemessenheitsbeschluss
7.3.2 Geeignete Garantien
7.3.2.1Genehmigungsfreie Garantien
7.3.2.2Genehmigungspflichtige Garantien
7.3.3 Ausnahmen für bestimmte Fälle
7.3.3.1Ausdrückliche Einwilligung der betroffenen Person
7.3.3.2Datenübermittlung zum Zwecke der Vertragserfüllung
7.3.3.3Datenübermittlung zum Zwecke des Vertragsabschlusses bzw. der Vertragserfüllung mit einem Dritten
7.3.3.4Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses
7.3.3.5Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
7.3.3.6Datenübermittlung zum Schutz lebenswichtiger Interessen
7.3.3.7Datenübermittlung aus einem Register
7.3.3.8Zwingende berechtigte Interessen
7.3.4 Datenübermittlungen bei drittstaatlichen gerichtlichen Urteilen und verwaltungsbehördlichen Entscheidungen
7.4 Aktuelle Entwicklungen. 7.4.1 Brexit
7.4.2 Zukunft von Standarddatenschutzklauseln sowie des EU-US-Datenschutzschilds
7.5 Fazit
8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden
8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden. 8.1 Einleitung
8.2 Allgemeine Zuständigkeit
8.3 Prinzip der „federführenden Aufsichtsbehörde“ („One-Stop-Shop“)
8.3.1 Grenzüberschreitende Verarbeitung
8.3.2 Nicht Gegenstand des One-Stop-Shop-Prinzips. 8.3.2.1Keine grenzüberschreitende Datenverarbeitung
8.3.2.2Verarbeitung durch Behörden oder private Stellen
8.3.3 Sonderfall: Unternehmensgruppe
8.3.4 Ermittlung der federführenden Aufsichtsbehörde
8.3.4.1Verantwortliche
8.3.4.2Gemeinsam Verantwortliche
8.3.4.3Auftragsverarbeiter
8.3.4.4Sonderfall
8.3.5 Subsidiäre Zuständigkeit[324]
8.4 Zusammenarbeit und Kohärenz. 8.4.1 Zusammenarbeit
8.4.2 Amtshilfe und gemeinsame Maßnahmen. 8.4.2.1Amtshilfe
8.4.2.2Gemeinsame Maßnahmen
8.4.3 Kohärenzverfahren
8.4.3.1Stellungnahmen des Ausschusses
8.4.3.2Streitbeilegung durch den Ausschuss
8.4.4 Dringlichkeitsverfahren
8.5 Fazit
9 Verarbeitungsverzeichnis und DS-FA
9 Verarbeitungsverzeichnis und DS-FA. 9.1 Einleitung
9.2 Das Verarbeitungsverzeichnis. 9.2.1 Rechtliche Grundlagen und Zweck
9.2.2 Gegenstand und Adressaten
9.2.3 Ausnahmen der Verzeichnisführungspflicht
9.2.4 Inhalt
9.2.4.1Pflichtangaben des Verantwortlichen
9.2.4.2Pflichtangaben des Auftragsverarbeiters
9.2.4.3Erweiterung der Dokumentation
9.2.5 Form und Gestaltung des Verarbeitungsverzeichnisses
9.3 Die DS-FA. 9.3.1 Rechtliche Grundlagen und Zweck
9.3.2 Gegenstand und Adressat
9.3.3 Erforderlichkeit
9.3.3.1Positiv- und Negativlisten
9.3.3.2Hohes Risiko
9.3.3.3Ausnahmen
9.3.4 Durchführung. 9.3.4.1Zeitpunkt
9.3.4.2Inhalt
9.3.4.3Vorgehensweise
9.4 Fazit
10 Betroffenenrechte
10 Betroffenenrechte. 10.1 Einleitung
10.2 Die Betroffenenrechte im Überblick. 10.2.1 Rechtsgrundlagen
10.2.2 Transparente Information, Kommunikation und Modalitäten
10.2.3 Rechtsdurchsetzung und Sanktionen
10.3 Informationspflicht. 10.3.1 Allgemeines
10.3.2 Informationspflicht bei Datenerhebung bei der betroffenen Person
10.3.2.1Primäre Informationspflichten
10.3.2.2Zusätzliche Informationspflichten
10.3.2.3Informationspflicht bei Zweckänderung
10.3.2.4Zeitpunkt der Informationserteilung
10.3.3 Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden
10.3.3.1Primäre Informationspflicht
10.3.3.2Zusätzliche Informationspflicht
10.3.3.3Informationspflicht bei Zweckänderung
10.3.3.4Zeitpunkt der Informationserteilung
10.3.4 Ausnahmen
10.4 Recht auf Auskunft. 10.4.1 Allgemeines
10.4.2 Inhalt der Auskunft
10.4.3 Ausnahmen
10.5 Recht auf Berichtigung. 10.5.1 Allgemeines
10.5.2 Recht auf Korrektur
10.5.3 Recht auf Vervollständigung
10.5.4 Unterrichtungspflicht
10.6 Recht auf Löschung und Recht auf Vergessenwerden. 10.6.1 Allgemeines
10.6.2 Voraussetzungen
10.6.3 Ausnahmen
10.6.4 Recht auf Vergessenwerden
10.6.5 Unterrichtungspflicht
10.7 Recht auf Einschränkung der Verarbeitung. 10.7.1 Allgemeines
10.7.2 Voraussetzungen
10.7.3 Ausnahmen
10.7.4 Unterrichtungspflicht
10.8 Recht auf Datenübertragbarkeit. 10.8.1 Allgemeines
10.8.2 Voraussetzungen
10.8.3 Datenübertragung
10.8.4 Ausnahmen
10.9 Widerspruchsrecht. 10.9.1 Allgemeines
10.9.2 Voraussetzungen
10.9.2.1Relativer Widerspruch
10.9.2.2Absoluter Widerspruch
10.9.3 Ausnahmen
10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden. 10.10.1 Allgemeines
10.10.2 Ausnahmen
10.11 Fazit
11 Datenschutzvorfall
11 Datenschutzvorfall. 11.1 Definition
11.1.1 Zusammenhang Datenschutzvorfall & Sicherheitsvorfall
11.1.2 Typische Erscheinungsformen
11.2 Erkennung und Umgang
11.2.1 Prävention
11.2.2 Erkennung
11.2.2.1IT-gestützte Erkennung von Sicherheits- und Datenschutzvorfällen
11.2.2.2Identifikation durch Mitarbeiter
11.2.2.3Hinweis durch Dritte
11.2.3 Umgang
11.2.3.1Vorbereitung
11.2.3.2Aufnahme und Einholung von Informationen
11.2.3.3Analyse des Vorfalls
11.2.3.4Technische und organisatorische Maßnahmen (TOMs)
11.3 Meldepflichten
11.3.1 Allgemeines
11.3.2 Bewertung
11.3.2.1Identifikation der Auswirkung
11.3.2.2Eintrittswahrscheinlichkeit und Schwere
11.3.2.3Klassifikation
11.3.3 Meldung
11.3.3.1Meldung an die Aufsichtsbehörde
11.3.3.2Benachrichtigung der betroffenen Person
11.3.3.3Dokumentation
11.4 Fazit
12 Informationssicherheit
12 Informationssicherheit. 12.1 Begriffsklärung. 12.1.1 Motivation für die Umsetzung von Informationssicherheit
12.1.2 Aspekte der Informationssicherheit und ISO/IEC 27001
12.2 Das Informationssicherheitsmanagementsystem (ISMS) 12.2.1 Motivation für das Einführen eines ISMS
12.2.2 Ablauf der Realisierung
12.2.3 Dokumentation und Aufsetzen der Richtlinien
12.2.4 Schulung der Mitarbeiter
12.2.5 Organisation
12.2.5.1Rollen und Verantwortlichkeiten
12.2.5.2Weitere Bestandteile der Organisation des ISMS
12.2.6 Risikomanagement
12.3 Fazit
13 Technische und organisatorische Maßnahmen
13 Technische und organisatorische Maßnahmen. 13.1 Einleitung
13.2 Was sind TOMs?
13.2.1 Welche TOMS können für welches Unternehmen relevant sein?
13.3 Privacy-by-design und privacy-by-default. 13.3.1 Privacy-by-Design
13.3.2 Privacy-by-Default
13.4 Die DSGVO und TOMs – Weitere Vorgaben
13.4.1 TOMs und das Verzeichnis von Verarbeitungstätigkeiten
13.4.2 TOMs und die DS-FA
13.4.3 TOMs und Auftragsverarbeitungen
13.4.4 TOMs und der Data-Breach-Prozess
13.4.5 Das DSG und der Einsatz von TOMs
13.4.6 Audit der TOMs
13.4.7 Dokumentation
13.5 Case Study: Technische und organisatorische Maßnahmen umsetzen
13.5.1 TOM-Assessment – Systemauswahl und Risikoanalyse
13.5.2 Offline-Prozesse
13.5.3 Durchführung der Interviews
13.5.4 Analyse der Ergebnisse, Identifizierung der GAPs und Ableitung der Maßnahmen
13.5.5 Implementierung
13.5.6 Kreislauf und Audit
13.6 Fazit
14 Datenschutzaudit und Zertifizierungen
14 Datenschutzaudit und Zertifizierungen. 14.1 Einleitung
14.2 Vor- und Nachteile einer Zertifizierung
14.2.1 Auswirkungen einer Zertifizierung auf betroffene Personen
14.2.2 Auswirkungen für zertifizierte Unternehmen
14.2.3 Auswirkungen von Zertifizierungen auf Aufsichtsbehörden
14.2.4 Nachteile einer Zertifizierung
14.2.5 Was können Datenschutzzertifizierungen leisten?
14.3 Grundsätze einer Zertifizierung
14.3.1 Unterscheidung Audit vs. Zertifizierung
14.3.2 Anforderungen an ein Zertifizierungsverfahren
14.3.2.1Ansehen in der Öffentlichkeit und internationale Akzeptanz
14.3.2.2Vorteile/Erleichterungen durch die Zertifizierung
14.3.2.3Verhältnismäßigkeit und Kosten
14.3.2.4Nachhaltigkeit
14.3.2.5Berücksichtigung von bereits vorhandenen Zertifizierungen
14.3.3 Scope, Zertifizierungskriterien und -ergebnisse
14.4 Vorbereitungen und Voraussetzungen für eine Zertifizierung
14.4.1 Definition des Prüfungsgegenstands
14.4.2 Sicherstellung der Dokumentation
14.4.3 Bewertung des IST-Stands (FIT/GAP-Analyse)
14.5 Der Zertifizierungsprozess
14.5.1 Ablauf einer Zertifizierung
14.5.2 Bisherige „Alternativen“ zu einer Datenschutzzertifizierung gemäß DSGVO
14.6 Fazit
15 Datenschutz im Dienstverhältnis
15 Datenschutz im Dienstverhältnis. 15.1 Einleitung
15.2 Von der Bewerbung bis zum Eintritt
15.2.1 Stelleninserat und Einlangen der Bewerberdaten
15.2.2 Auswahlverfahren und Entscheidung
15.2.3 Bewerberpool und Evidenz
15.2.4 Der Background-Check
15.2.5 Vertragsabschluss
15.3 Datenschutz im laufenden Dienstverhältnis
15.3.1 Verarbeitungstätigkeiten im Personalbereich
15.3.2 Datenschutzschulung der Mitarbeiter
15.3.3 Mitarbeiterkontrolle
15.4 Beendigung des Dienstverhältnisses
15.4.1 Datenschutzverletzung beim Austritt
15.4.2 Sanktionen und Datenschutzverletzungen
15.5 Fazit
16 Interne Untersuchungen und Datenschutz
16 Interne Untersuchungen und Datenschutz. 16.1 Einleitung
16.2 Ablauf einer internen Untersuchung mit dem Schwerpunkt e-Discovery
16.3 Zulässigkeit von e-Discovery-Maßnahmen
16.3.1 Grundsatz der Rechtmäßigkeit
16.3.1.1Einwilligung der betroffenen Person
16.3.1.2Überwiegendes berechtigtes Interesse des Auftraggebers
16.3.1.3Rechtmäßigkeit der Verarbeitung sensibler Daten
16.3.2 Grundsatz der Transparenz
16.3.3 Grundsatz der Zweckbindung
16.3.4 Grundsatz der Datenminimierung
16.3.5 Grundsatz der Richtigkeit
16.3.6 Grundsatz der Speicherbegrenzung
16.3.7 Grundsatz der Integrität und Vertraulichkeit
16.4 Umgang mit privaten Informationen
16.4.1 Regelung der privaten Nutzung von Betriebsmitteln
16.4.2 Umgang mit Bring-Your-Own-Device
16.5 Policies
16.6 Forensic Readiness für den Ernstfall
16.7 Fazit
17 Ausblick
17 Ausblick
