Оглавление
Tobias Rothkegel. Praxishandbuch DSGVO
Inhaltsverzeichnis
DSGVO. inschließlich BDSG und. spezifischer Anwendungsfülle
Vorwort
Autorenverzeichnis
Inhaltsübersicht
Inhaltsverzeichnis
Abkürzungsverzeichnis
Literaturverzeichnis
Kapitel 1 Grundlagen des Umgangs mit der DSGVO
I. Die Anwendung der DSGVO und der nationalen Begleitgesetze
1. Stand der Umsetzung in den Unternehmen
2. Zeitliche Geltung
3. Unmittelbare Geltung
4. Zusammenspiel mit anderen Regelwerken
a) Begleitgesetze auf Basis von Öffnungsklauseln
b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen
c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO
d) Zwischenergebnis
II. Parallelität von DSGVO und „Altgesetzen“
III. Auslegung der DSGVO und der Begleitgesetze
1. Auslegung der DSGVO. a) Autonome Auslegung des Unionsrechts
b) Auslegungsmethoden
aa) Wortlaut
bb) Teleologische Auslegung
cc) Systematische Auslegung
dd) Historische Auslegung
ee) „Effet-utile-Prinzip“
ff) Mischung verschiedener Auslegungsmethoden
c) Relevanz existierender Rechtsprechung
2. Auslegung der Begleitgesetze. a) Auslegungsmethoden. aa) Klassische Auslegungsmethoden
bb) Europarechtskonforme Auslegung
b) Relevanz existierender Rechtsprechung
Kapitel 2 Grundlagen des Datenschutzrechts
I. Datenschutz im Anwendungsbereich des EU-Rechts
II. Schutzgut des Datenschutzrechts
1. Schutz der natürlichen Personen
2. Schutz des freien Datenverkehrs
III. Grundbegriffe des Datenschutzrechts. 1. Personenbezug
2. Datenverarbeitung
3. Verantwortlicher
IV. Zusammenspiel mit anderen Rechtsmaterien
1. Wettbewerbsrecht
2. Kartellrecht
a) Missbräuchliche Nutzung von Kundendaten
b) Missbräuchliche Zugangsverweigerung zu Daten
c) AGB-Recht
3. Besonderer Geheimnisschutz
a) Berufsrechtliche Schweigepflichten
b) Strafrechtliche Schweigepflichten
c) Fernmeldegeheimnis
d) Schutz von Geschäftsgeheimnissen
4. Arbeits- und Mitbestimmungsrecht
a) Umfang von Datenerhebungen im Bewerbungsgespräch
b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift
c) Einsicht in Personalakten
d) Kündigungsschutz für Datenschutzbeauftragte
Kapitel 3 Anwendungsbereich des Datenschutzrechts
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Sachlicher Anwendungsbereich. 1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO
2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO
III. Räumlicher Anwendungsbereich, Art. 3 DSGVO
1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO
a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen
b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters
2. Marktortprinzip, Art. 3 Abs. 2 DSGVO
a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO
b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO
c) Betroffene Person in der EU
3. Räumlicher Anwendungsbereich bei mehreren Beteiligten
4. Räumliche Reichweite der Betroffenenrechte
5. Geltung der DSGVO im EWR
IV. Anwendungsbereich mitgliedstaatlicher Regelungen
V. Anwendungsbereich sonstiger ausfüllender Normen
Kapitel 4 Datenschutzrechtliche Grundsätze
I. Bedeutung und Funktion der Datenschutzgrundsätze
II. Die Grundsätze im Einzelnen. 1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
2. Transparenz
3. Zweckbindung
4. Datenminimierung
5. Datenrichtigkeit
6. Speicherbegrenzung
7. Integrität und Vertraulichkeit
III. Die Rechenschaftspflicht
Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Gesetzliche Erlaubnisvorschriften
1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen
a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung
b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen
c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke
aa) „Erforderlichkeit“ einer Datenverarbeitung allgemein
bb) Erforderlichkeit einer Datenverarbeitung für die in Art. 6 Abs. 1 lit. b DSGVO genannten Zwecke
2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung
3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung
a) Berechtigte Interessen des Verantwortlichen oder eines Dritten
b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen
c) Keine überwiegenden Interessen/Rechte der betroffenen Person am Ausschluss der Datenverarbeitung
4. Verarbeitung personenbezogener Daten zu Zwecken der Werbung
5. Verhältnis der Alternativen des Art. 6 Abs. 1 DSGVO zueinander
6. Verhältnis zwischen besonders praxisrelevanten nationalen Vorschriften und der DSGVO
a) Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG
b) Scoring und Bonitätsauskünfte gem. § 31 BDSG
c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO
7. Zweckänderung – Verarbeitung personenbezogener Daten zu einem anderen Zweck
a) Zweckänderung auf Basis einer Rechtsvorschrift
b) Zweckänderung auf Basis einer Einwilligung
c) Zweckänderung auf Basis des Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO
d) Weitere datenschutzrechtliche Pflichten im Fall der Zweckänderung
8. Verarbeitung besonderer Kategorien personenbezogener Daten
a) Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)
b) Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten
c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)
aa) Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)
bb) Beschäftigungs- und Sozialschutzkontext (Art. 9 Abs. 2 lit. b DSGVO)
cc) Offenkundig öffentliche Daten (Art. 9 Abs. 2 lit. e DSGVO)
dd) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte (Art. 9 Abs. 2 lit. f DSGVO)
ee) Erlaubnis durch das Recht der Union oder des Mitgliedstaates aus Gründen eines erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DSGVO)
ff) Verarbeitung für die Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO)279
gg) Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO)
hh) Verarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (Art. 9 Abs. 2 lit. j DSGVO)300
ii) Erforderlichkeit der Datenverarbeitung
jj) Besondere Anforderungen für die Verarbeitung genetischer oder biometrischer Daten und Gesundheitsdaten
kk) Zweckänderung bei der Verarbeitung besonderer Kategorien personenbezogener Daten
ll) Spezifische Maßnahmen gem. § 22 Abs. 2 BDSG nur bei Datenverarbeitung auf Basis von § 22 Abs. 1 BDSG bzw. nach Verweis auf § 22 Abs. 2 BDSG
9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO
10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO
a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen
b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO
aa) Nachweispflicht des Verantwortlichen
bb) Unterrichtungspflicht des Verantwortlichen
cc) Befreiung des Verantwortlichen von der Pflicht, die Betroffenenrechte gem. Art. 15–20 DSGVO einzuhalten
dd) Ausweitung der Befreiung des Verantwortlichen, die Betroffenenrechte einzuhalten, gem. Art. 12 Abs. 2 S. 2 DSGVO
ee) Bereitstellung identifizierender Merkmale durch die betroffene Person
11. Besondere Verarbeitungssituationen
12. Zulässigkeit der Verarbeitung personenbezogener Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
13. Sanktionierung
III. Einwilligung der Betroffenen
1. Überblick über die einschlägigen Regelungen
2. Allgemeine Voraussetzungen der Einwilligung
a) Form der Willensbekundung
aa) Opt-out vs. Opt-in
bb) Besondere Formerfordernisse bei elektronischer Einholung
cc) Besondere Formerfordernisse im Beschäftigungskontext
b) Freiwilligkeit
aa) Koppelungsverbot
bb) Trennungsgebot
cc) Klares Ungleichgewicht
c) Erteilung für den bestimmten Fall
d) Transparenzgebot
aa) Notwendige Inhalte der Information
bb) Art und Weise der Informationserteilung
e) Einwilligungen als Gegenstand von AGB
aa) Inhaltskontrolle
bb) Einwilligung zusammen mit anderen Erklärungen
cc) Unverbindlichkeit/Blue-Pencil-Test
f) Widerruflichkeit
g) Nachweisbarkeit
h) Gültigkeitsdauer
3. Einwilligung von Kindern
a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten
b) Vergewisserungspflicht des Verantwortlichen
4. Einwilligung bei sensiblen Datenkategorien
5. Wirksamkeit von Alt-Einwilligungen
Kapitel 6 Umgang mit Betroffenen
I. Einführung
II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO
III. Informationspflichten (Art. 13 und 14 DSGVO)
1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO) a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVO
b) Systematik von Art. 13 DSGVO
c) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVO
aa) Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters (Art. 13 Abs. 1 lit. a DSGVO)
bb) Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 lit. b DSGVO)
cc) Zwecke und Rechtsgrundlage der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO)
dd) Information über die berechtigten Interessen i.S.d. Art. 6 Abs. 1 lit. f DSGVO (Art. 13 Abs. 1 lit. d DSGVO)
ee) Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO)
ff) Übermittlung in ein Drittland oder an eine internationale Organisation (Art. 13 Abs. 1 lit. f DSGVO)
d) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVO
aa) Dauer der Speicherung (Art. 13 Abs. 2 lit. a DSGVO)
bb) Bestehen von Betroffenenrechten (Art. 13 Abs. 2 lit. b DSGVO)
cc) Widerrufbarkeit der Einwilligung (Art. 13 Abs. 2 lit. c DSGVO)
dd) Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)
ee) Verpflichtung zur Bereitstellung von Daten, Erforderlichkeit der Bereitstellung von Daten für den Vertragsschluss und Folgen der Nichtbereitstellung (Art. 13 Abs. 2 lit. e DSGVO)
ff) Automatisierte Entscheidungsfindung einschließlich Profiling (Art. 13 Abs. 2 lit. f DSGVO)
gg) Weitere Informationen, die nicht in Art. 13 Abs. 1 oder 2 DSGVO genannt werden
e) Zeitpunkt der Information
f) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO)
g) Information im Fall der Änderung der Datenverarbeitung
h) Ausnahmen von der Informationspflicht (Art. 13 Abs. 4 DSGVO)
i) Keine Pflicht zur „Nachinformation“ im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
j) Erfüllung der Informationspflichten als Zulässigkeitsvoraussetzung?
2. Informationspflichten bei der Erhebung von Daten aus anderen Quellen als von der betroffenen Person (Art. 14) a) Voraussetzungen der Informationspflicht nach Art. 14 DSGVO
b) Inhalte der Informationspflichten nach Art. 14 Abs. 1 DSGVO
c) Inhalte der Informationspflichten nach Art. 14 Abs. 2 DSGVO
d) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werden
e) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVO
f) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitung
g) Ausnahmen von der Informationspflicht nach Art. 14 DSGVO
aa) Ausnahmen gem. Art. 14 Abs. 5 DSGVO
aaa) Betroffene Person verfügt bereits über die Information (Art. 14 Abs. 5 lit. a DSGVO)
bbb) Unmöglichkeit bzw. unverhältnismäßiger Aufwand (Art. 14 Abs. 5 lit. b DSGVO)
ccc) Rechtsvorschriften der EU oder der Mitgliedstaaten (Art. 14 Abs. 5 lit. c DSGVO)
ddd) Berufsgeheimnis (Art. 14 Abs. 5 lit. d DSGVO)
eee) Umfang der Ausnahme von der Informationspflicht
bb) Weitere Ausnahmen von der Informationspflicht gem. Art. 14 DSGVO durch Regelungen der EU oder der EU-Mitgliedstaaten
h) „Nachinformation“ und keine Zulässigkeitsvoraussetzung
3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO)
a) Formulierung der Information
b) Information in leicht zugänglicher Form
c) Form
d) Unentgeltlichkeit
e) Kombination mit standardisierten Bildsymbolen
4. Rechenschaftspflicht
5. Beispiele für Möglichkeiten zur Darstellung der Informationen
a) Gestaltung als Checkliste
b) Gruppierung von Informationen
c) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitung
d) Gestaltung unter Einsatz von Tabellen
e) Multilayered notice/Mehrebenenansatz
IV. Recht auf Auskunft (Art. 15 DSGVO)
1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO. a) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
b) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
aa) Verarbeitete personenbezogene Daten (Art. 15 Abs. 1 Hs. 2 DSGVO)
bb) Kategorien verarbeiteter Daten (Art. 15 Abs. 1 lit. b DSGVO)
cc) Empfänger oder Kategorien von Empfängern (Art. 15 Abs. 1 lit. c DSGVO)
dd) Herkunft der Daten (Art. 15 Abs. 1 lit. g DSGVO)
ee) Übermittlungen in ein Drittland (Art. 15 Abs. 2 DSGVO)
c) Umfang des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
2. Ausnahmen vom Auskunftsrecht
a) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO in der DSGVO
aa) Offenkundige Unbegründetheit oder Exzessivität des Antrags (Art. 12 Abs. 5 S. 2 lit. b DSGVO)
aaa) Tatbestandliche Voraussetzungen
bbb) Rechtsfolge: Ablehnung des Antrags und Verhältnis zu Art. 12 Abs. 5 S. 2 lit. a DSGVO
bb) Verantwortlicher ist nicht in der Lage, die betroffene Person in seinem Datenbestand zu identifizieren (Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DSGVO)
cc) Verantwortlicher ist nicht in der Lage, den Antragsteller zu identifizieren (Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DSGVO)
dd) Unverhältnismäßiger Aufwand (i.S.d. § 275 Abs. 2 BGB)
b) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO im nationalen Recht
3. Modalitäten der Auskunftserteilung (Art. 12 DSGVO)
a) Antragserfordernis
b) Erleichterung der Rechtsausübung (Art. 12 Abs. 2 S. 1 DSGVO)
c) Identifizierung des Antragstellers (Art. 12 Abs. 6 DSGVO)
d) Formulierung der Auskunft (Art. 12 Abs. 1 DSGVO)
e) Form der Auskunft
f) Unentgeltlichkeit (Art. 12 Abs. 5 S. 2 lit. a DSGVO)
g) Frist zur Erteilung der Auskunft sowie von Informationen über das Auskunftsverlangen und ggf. über dessen Ablehnung (Art. 12 Abs. 3 und Abs. 4 DSGVO)
aa) Frist zur Erteilung der Auskunft/von Statusinformationen
bb) Frist zur Erteilung von Informationen über die (teilweise) Ablehnung eines Auskunftsverlangens
h) Zweckbindung von Daten im Zusammenhang mit der Auskunftserteilung
4. Recht der betroffenen Person, eine Kopie ihrer Daten zu erhalten (Art. 15 Abs. 3 und 4 DSGVO)
a) Inhalte und Umfang der Kopie nach Art. 15 Abs. 3 DSGVO
aa) Auffassungen in der Rechtsprechung
bb) Auffassung der Datenschutzaufsichtsbehörden
cc) Auffassungen in der datenschutzrechtlichen Literatur
aaa) Restriktiver Ansatz
eee) Extensiver Ansatz
dd) Stellungnahme
b) Ausnahmen vom Recht auf Erhalt einer Kopie in der DSGVO
aa) Beeinträchtigung der Rechte und Freiheiten anderer Personen gem. Art. 15 Abs. 4 DSGVO
bb) Offenkundig unbegründete oder exzessive Anträge gem. Art. 12 Abs. 5 S. 2 lit. b DSGVO/Unverhältnismäßiger Aufwand
cc) Fehlende Identifizierbarkeit der betroffenen Person/des Antragstellers gem. Art. 12 Abs. 2 i.V.m. Art. 11 Abs. 2 DSGVO
dd) Ausnahmen vom Recht auf Erhalt einer Kopie im nationalen Recht
c) Modalitäten im Hinblick auf die Aushändigung der Kopie gem. Art. 15 Abs. 3 DSGVO. aa) Antrag
bb) Unentgeltlichkeit der Erstkopie/Entgelt für weitere Kopien
cc) Form der Kopie
dd) Weitere Modalitäten
d) Praktischer Umgang mit Anträgen auf Erhalt einer Kopie
5. Auskunft im Hinblick auf Daten bzw. Erhalt von Kopien von Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
V. Recht auf Berichtigung (Art. 16 DSGVO)
1. Inhalte des Berichtigungsrechts nach Art. 16 DSGVO
a) Berichtigung unrichtiger personenbezogener Daten (S. 1)
b) Vervollständigung unvollständiger personenbezogener Daten (S. 2)
c) Darlegungs- und Beweislast
2. Ausnahmen vom Berichtigungsrecht
3. Modalitäten des Berichtigungs- bzw. Vervollständigungsanspruchs (Art. 12 DSGVO)
4. Mitteilungspflicht nach Art. 19 DSGVO
5. Berichtigung/Vervollständigung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
VI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO)
1. Voraussetzungen des Rechts der betroffenen Person auf Löschung sowie der Löschpflicht des Verantwortlichen (Art. 17 Abs. 1 DSGVO) a) Recht der betroffenen Person auf Löschung ihrer Daten
b) Pflicht des Verantwortlichen zur Datenlöschung
aa) Vorherige Information/Zustimmung der betroffenen Person erforderlich?
bb) Stellungnahme
c) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO
aa) Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig (Art. 17 Abs. 1 lit. a DSGVO)
bb) Widerruf der Einwilligung (Art. 17 Abs. 1 lit. b DSGVO)
cc) Widerspruch gegen die Verarbeitung gem. Art. 21 DSGVO (Art. 17 Abs. 1 lit. c DSGVO)
aaa) Widerspruch gem. Art. 21 Abs. 2 DSGVO
bbb) Widerspruch gem. Art. 21 Abs. 1 DSGVO
dd) Unrechtmäßige Verarbeitung (Art. 17 Abs. 1 lit. d DSGVO)
ee) Erfüllung einer rechtlichen Verpflichtung (Art. 17 Abs. 1 lit. e DSGVO)
ff) Erhebung der Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO (Art. 17 Abs. 1 lit. f DSGVO)
2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO
3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO)
a) Voraussetzungen des Rechts auf Vergessenwerden
b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen
4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO) a) Ausnahmen nach Art. 17 Abs. 3 DSGVO
b) Weitere Ausnahmen in der DSGVO
c) Ausnahmen im nationalen Recht
5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO)
a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht
b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person
c) Frist für die Information nach Art. 17 Abs. 2 DSGVO
6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO
7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung. a) Voraussetzungen (Art. 18 Abs. 1 DSGVO)
aa) Bestreiten der Richtigkeit der Daten durch die betroffene Person (Art. 18 Abs. 1 lit. a DSGVO)
bb) Die betroffene Person benötigt die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 18 Abs. 1 lit. c DSGVO)
b) Rechtsfolge: Einschränkung der Datenverarbeitung
c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO)
d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO)
2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung
3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO)
4. Mitteilungspflicht nach Art. 19 DSGVO
5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
1. Voraussetzungen der Mitteilungspflicht
2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung
3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO)
aa) Kreis der Empfänger, über die informiert werden muss
bb) Einschränkungen der Unterrichtungspflicht
4. Weitere Ausnahmen von der Mitteilungspflicht
5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO)
6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
1. Inhalte des Rechts auf Datenübertragbarkeit. a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)
aa) Daten, die den Anspruchsteller selbst betreffen
bb) Bereitstellen von Daten
cc) Verarbeitung auf Basis einer Einwilligung oder zur Erfüllung eines Vertrages
dd) Verarbeitung mithilfe automatisierter Verfahren
b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen
aa) Bereitstellung von Daten durch den Verantwortlichen (Art. 20 Abs. 1 DSGVO)
bb) Übermittlung durch den Verantwortlichen (Art. 20 Abs. Abs. 2 DSGVO)
c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO)
2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO)
a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO)
aa) Ausschlussgründe
bb) Prüfungspflicht
b) Weitere Ausnahmen
3. Modalitäten des Rechts auf Datenübertragbarkeit
4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
X. Widerspruchsrecht (Art. 21 DSGVO)
1. Inhalte des Widerspruchsrechts
a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO. aa) Voraussetzungen des allgemeinen Widerspruchsrechts
bb) Rechtsfolgen des allgemeinen Widerspruchsrechts
b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO. aa) Voraussetzungen für das Widerspruchsrecht bei der Verarbeitung von Daten zu Zwecken der Direktwerbung
bb) Rechtsfolgen des Widerspruchsrechts bei der Verarbeitung von Daten zu Zwecken der Direktwerbung
c) Informationspflichten nach Art. 21 Abs. 4 DSGVO
2. Weitere Ausnahmen vom Widerspruchsrecht
3. Modalitäten des Widerspruchsrechts
4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden. a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
aa) Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruht
aaa) Einzelfallentscheidung, der die betroffene Person unterworfen ist
bb) Entscheidung, die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt
aaa) Rechtliche Wirkung gegenüber der betroffenen Person
bbb) Erhebliche Beeinträchtigung in ähnlicher Weise
b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO
c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO)
aa) Voraussetzungen (Abs. 2)
bb) Vorhaltung von Schutzmaßnahmen (Abs. 3)
cc) Weitere Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten
2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
XII. Sanktionierung
Kapitel 7 Auftragsverarbeitung
I. Begriff und Gegenstand der Auftragsverarbeitung*
II. Abgrenzung zum Verantwortlichen und zur gemeinsamen Verantwortlichkeit. 1. Abgrenzung zum Verantwortlichen
a) Entscheidungsbefugnis über Zwecke
b) Entscheidungsbefugnis über Mittel
2. Abgrenzung zur gemeinsamen Verantwortlichkeit
III. Rechtsnatur der Auftragsverarbeitung
IV. Typische Fallkonstellationen einer Auftragsverarbeitung
V. Rechte und Pflichten aus einer Auftragsverarbeitung
1. Pflichten des Auftragsverarbeiters
2. Rechte und Pflichten des Verantwortlichen
a) Erteilung von Weisungen
b) Dokumentation der Weisungen
VI. Begründung einer Auftragsverarbeitung
1. Auswahl des Auftragsverarbeiters
2. Abschluss eines Auftragsverarbeitungsvertrages
a) Form des Auftragsverarbeitungsvertrages
b) Inhalt des Auftragsverarbeitungsvertrages
c) Umstellung von alten Auftragsverarbeitungsverträgen auf die DSGVO
aa) Überarbeitung der Muster nach BDSG a.F. zur Anpassung an die DSGVO-Anforderungen
bb) Anpassung von bestehenden Altverträgen
VII. Auftragsverarbeitung innerhalb von Unternehmensgruppen
VIII. Unterbeauftragungen
1. Zustimmungspflicht des Verantwortlichen
a) Art der Erteilung
b) Einspruchsrecht bei Allgemeinzustimmung
2. Begründung des Unterauftragsverhältnisses
IX. Haftung von Auftragsverarbeitern
1. Haftung auf Schadensersatz
a) Haftung für eigenes Verschulden
b) Haftung von Unterauftragsverarbeitern
c) Beweislastumkehr
d) Gesamtschuldnerische Haftung
2. Sanktionen gegen Auftragsverarbeiter
X. Kontrolle von Auftragsverarbeitern
1. Recht zur Kontrolle
2. Pflicht zur Kontrolle
3. Art und Häufigkeit der Kontrolle
a) Art der Kontrolle
b) Häufigkeit der Kontrolle
XI. Dokumentation der Kontrollen
XII. Kontrollergebnis
Kapitel 8 Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Gemeinsam für die Verarbeitung Verantwortliche
1. Der Begriff der gemeinsamen Verantwortlichkeit (Art. 4 Nr. 7 DSGVO)
a) Gemeinsame Entscheidung mehrerer Stellen
b) Entscheidung über Zwecke und Mittel der Verarbeitung
c) Entscheidungshilfen für die Unternehmenspraxis
d) Abgrenzung von der Auftragsverarbeitung
2. Reichweite der gemeinsamen Verantwortlichkeit
3. Zulässigkeit der Verarbeitungen durch gemeinsam Verantwortliche
4. Rechte und Pflichten der gemeinsam Verantwortlichen
a) Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit
aa) Inhalt der Vereinbarung
(1) Gesetzliche Mindestinhalte
(2) Sinnvolle Zusatzregelungen
bb) Transparenz der Vereinbarung
cc) Form der Vereinbarung
b) Geltendmachung der Rechte der Betroffenen
c) Zurverfügungstellung der wesentlichen Teile der Vereinbarung
d) Mitteilung der erforderlichen Informationen nach Art. 13 und Art. 14 DSGVO
5. Haftung und Sanktionen
III. Getrennte Verantwortlichkeiten
1. Begriff der Übermittlung
2. Zulässigkeit von Datenübermittlungen an Dritte
3. Typische Fallkonstellationen getrennter Verantwortlichkeiten
4. Besondere Aspekte von Datenübermittlungen im Konzern
a) Fehlendes Konzernprivileg
b) Erlaubnis durch Interessenabwägung
c) Öffnungsklausel für nationale Sonderregelungen
d) Internationale Datenübermittlungen
IV. Niederlassungsübergreifende Verarbeitungen
1. Die Bestimmung einer Hauptniederlassung für eine niederlassungsübergreifende Verantwortlichkeit
2. Die Spezifizierung der Verarbeitungsverfahren
Kapitel 9 Internationale Datenübermittlungen
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Einführung in den Regelungsbereich
1. Sonderregelungen für „Drittlands-Übermittlungen“
a) Begriff des Drittlands
aa) Der Sonderfall Brexit: Austritt des Vereinigten Königreichs aus der Europäischen Union
bb) Auswirkungen des Austritts und des Zusammenarbeitsabkommens
b) Geltung auch für internationale Organisationen
c) Begriff der „Übermittlung“
d) Geltung auch für Weiterübermittlungen
2. Anforderungen an Drittlands-Übermittlungen
a) Einhaltung der allgemeinen DSGVO-Anforderungen
b) Gewährleistung eines angemessenen Schutzniveaus
c) Verantwortlicher und Auftragsverarbeiter als Regelungsadressat
3. Fortgeltung etablierter Sicherungsinstrumente
III. Länder mit angemessenem Schutzniveau
1. Bestehende Angemessenheitsbeschlüsse
a) Einschränkungen bei Datentransfers nach Kanada
b) Einschränkungen bei Datentransfers nach Israel
c) Der Sonderfall USA: Ungültigkeit des EU-US Privacy Shield
2. Neue Angemessenheitsentscheidungen unter der DSGVO
a) Anforderungen an Angemessenheitsfeststellungen der Kommission
b) Das Verfahren der Angemessenheitsfeststellung
3. Fortlaufende Überwachung der Angemessenheit
IV. Geeignete Garantien für Drittlandtransfers
1. Standarddatenschutzklauseln
a) Existierende Standardvertragsklauseln nach Maßgabe der RL 95/46/EG
aa) EU-Standardvertragsklauseln für Übermittlungen an Verantwortliche
bb) EU-Standardvertragsklauseln für Übermittlungen an Auftragsverarbeiter
b) Neue Standarddatenschutzklauseln nach DSGVO
c) Standarddatenschutzklauseln einer Aufsichtsbehörde
d) Verwendung der Standarddatenschutzklauseln
aa) Vorgeschaltete Angemessenheitsprüfung
(1) Rechtslage im Drittland bzgl. Datenzugriffen zu Zwecken der nationalen Sicherheit
(2) Faktische Umstände der Datenübermittlung
bb) Zusatzmaßnahmen zur Erzielung eines angemessenen Schutzniveaus
cc) Fakultative Anpassungen und Ergänzungen
dd) Vertragsparteien
ee) Entbehrlichkeit behördlicher Genehmigung
ff) Einbettung in Rahmenverträge
2. Verbindliche interne Datenschutzvorschriften (BCRs)
a) Anforderungen an BCRs
aa) Verbindlichkeit
bb) Drittbegünstigung
cc) Regelungsinhalte
b) Arbeitsdokumente der Artikel-29-Datenschutzgruppe
c) Existierende BCR
d) Genehmigungsverfahren für BCR
aa) Bestimmung der zuständigen Aufsichtsbehörde
(i) Abstimmung der BCR mit der zuständigen Aufsichtsbehörde
(ii) Durchführung des Kohärenzverfahrens
e) Integration von BCR in ein Datenschutz-Managementsystem nach DSGVO
aa) Parallelen zu DSGVO-Anforderungen
bb) Nutzung von Ergebnissen aus der DSGVO-Umstellung
3. Genehmigte Verhaltensregeln
4. Zertifizierungen
5. Sonstige behördlich genehmigte Vertragsklauseln
V. Ausnahmen für bestimmte Fälle
1. Einwilligung der Betroffenen
a) Ausdrückliche Erteilung der Einwilligung
b) Notwendigkeit gesonderter Erteilung
c) Informiertheit der Einwilligung
2. Erforderlichkeit für die Vertragserfüllung
3. Sonstige Ausnahmefälle
a) Im Interesse der betroffenen Person geschlossener Vertrag
b) Wichtige Gründe des öffentlichen Interesses
c) Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen
d) Schutz lebenswichtiger Interessen
e) Übermittlungen aus einem Register
4. Auffangregelung für Einzelübermittlungen
a) Keine wiederholte Übermittlung
b) Begrenzte Zahl betroffener Personen
c) Zwingende berechtigte Interessen
d) Keine überwiegenden Interessen der betroffenen Person
e) Umfassende Beurteilung und angemessene Garantien
f) Information der Aufsichtsbehörde
Kapitel 10 Datenschutzmanagement
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Terminologie
III. Anforderungen an das Datenschutzmanagement
IV. Risikoadäquates Datenschutzmanagement. 1. Risikobewertung grundlegend
2. Risikoprofil eines Unternehmens
3. Konkrete Maßnahmen hängen vom Einzelfall ab
V. Konkrete Maßnahmen hängen vom Einzelfall ab
VI. Grundlegende Maßnahmen des Datenschutzmanagements. 1. Einführung
2. Unternehmensrichtlinie zum Datenschutz
3. Datenschutzorganisation
4. Datenschutzstrategie
5. Meldewege und Whistleblowing
6. Auditierungen
7. Einzelfallprüfungen und -beratung
8. Schulungen
9. Sonstige Maßnahmen
VII. Datenschutzmanagementsystem. 1. Sinn eines Datenschutzmanagementsystems
2. Gestaltung eines Datenschutzmanagementsystems. a) Orientierung an ähnlichen Systemen bzw. Standards
b) Drei Säulen
aa) Vermeidung von Datenschutzverstößen
bb) Überwachung
cc) Verbessern des Datenschutzmanagementsystems
c) Schematische Darstellung eines Datenschutzmanagementsystems
3. Aufbau eines Datenschutzmanagementsystems
4. Messung des Erfolgs eines Datenschutzmanagementsystems
Kapitel 11 Datenschutzorganisation
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Ergänzende Regelungen des BDSG
III. Terminologie
IV. Datenschutzorganisation als Voraussetzung von Datenschutzcompliance
V. Pflicht zur Errichtung einer Datenschutzorganisation. 1. Datenschutz-Grundverordnung
a) Gesetzliche Vorgaben
b) Konkrete Wertung. aa) Modifizierte Verhältnismäßigkeitsprüfung
bb) Senkung des Risikos von Datenschutzverstößen
cc) Implementierung gleich geeigneter Maßnahmen
dd) Angemessenheit der Datenschutzorganisation (1) Relevante Faktoren
(2) Kritikalität der Datenverarbeitung
(3) Wahrscheinlichkeit von Datenschutzverstößen
(4) Aufwand der Etablierung einer Datenschutzorganisation
2. Gesellschaftsrechtliche Verpflichtung in Deutschland
3. Ordnungswidrigkeitenrecht
4. Fazit
VI. Gestaltung einer Datenschutzorganisation. 1. Der Zweck einer Datenschutzorganisation
2. Aufgaben einer Datenschutzorganisation. a) Vier grundlegende Aufgaben
b) Beachtung und Anwendung des Datenschutzrechts im operativen Geschäft
c) Beratung
d) Richtlinienkompetenz
e) Auditierung und Überwachung
3. Elemente einer Datenschutzorganisation. a) Einführung
b) Die Geschäftsleitung
c) Der Datenschutzbeauftragte. aa) Die Funktion des Datenschutzbeauftragten
bb) Pflicht zur Benennung eines Datenschutzbeauftragten (1) Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG im Überblick
(2) Kerntätigkeit
(3) Umfangreiche Datenverarbeitung
(4) Regelmäßige und systematische Überwachung
(5) Umfangreiche Verarbeitung besonders geschützter Daten
(6) Optionale Benennung eines Datenschutzbeauftragten, Art. 37 Abs. 4 DSGVO
(7) § 38 Abs. 1 BDSG
cc) Art und Weise der Bestellung und Veröffentlichung der Kontaktdaten
dd) Gemeinsamer Konzerndatenschutzbeauftragter, Art. 37 Abs. 2 DSGVO
ee) Eigenschaften des Datenschutzbeauftragten (1) Allgemeines
(2) Berufliche Qualifikation
(3) Fähigkeit zur Erfüllung seiner Aufgaben
(4) Interne und externe Datenschutzbeauftragte
ff) Stellung des Datenschutzbeauftragten (1) Unabhängigkeit grundlegend
(2) Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen
(3) Verschaffung von Ressourcen und Zugang zur Datenverarbeitung
(4) Weisungsfreiheit
(5) Benachteiligung und Abberufung
(6) Direkte Berichtslinie an oberste Managementebene
(7) Ansprechpartner für alle Betroffenen
(8) Pflicht zur Wahrung der Geheimhaltung und der Vertraulichkeit
(9) Wahrnehmung anderer Aufgaben
(10) Vermeidung von Interessenkonflikten
gg) Aufgaben des Datenschutzbeauftragten (1) Überblick
(2) Unterrichtung und Beratung
(3) Überwachung
(4) Beratung bei Datenschutz-Folgenabschätzung
(5) Zusammenarbeit mit und Anlaufstelle der Aufsichtsbehörde
(6) Risikobasiertes Arbeiten
(7) Aufgabenallokation
(8) Datenschutzbeauftragter als „Datenschutzzentrale“
d) Datenschutzberater
e) Datenschutzmanager
f) Datenschutzexperten
g) Datenschutzkoordinatoren
h) Sonstige Mitarbeiter des Unternehmens
i) (Inländischer) Vertreter
4. Entwicklung einer Datenschutzorganisation
VII. Beispiele. 1. Verwendung der Beispiele
2. Datenschutzorganisation in kleinen Unternehmen
3. Datenschutzorganisation in mittleren Unternehmen
4. Datenschutzorganisation im Großkonzern
Kapitel 12 Datenschutzprozesse
I. Prozessuale Umsetzung datenschutzrechtlicher Vorgaben1
II. Privacy by Design und by Default, Art. 25 DSGVO
1. Überblick über die einschlägigen Regelungen der DSGVO
2. Wer ist für Privacy by Design und by Default verantwortlich?
3. Was bedeutet Privacy by Design und by Default?
a) Datenschutz durch Technikgestaltung, Art. 25 Abs. 1 DSGVO
b) Datenschutz durch datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
c) Genehmigte Zertifizierungsverfahren, Art. 25 Abs. 3 DSGVO
III. Datenlöschung84. 1. Allgemeines
2. Geschäftliche Relevanz
3. Löschkonzept
4. Praktische Hinweise für die Implementierung
IV. Verzeichnis von Verarbeitungstätigkeiten
1. Überblick über die einschlägigen Regelungen der DSGVO
2. Aufzeichnungspflichten statt Meldepflicht und Verfahrensverzeichnis
3. Verarbeitungsverzeichnis des Verantwortlichen
a) Wer ist zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO verpflichtet?
b) Inhalt des Verarbeitungsverzeichnisses
c) Form des Verarbeitungsverzeichnisses
4. Verarbeitungsverzeichnis des Auftragsverarbeiters
5. Praktische Hinweise zur Implementierung
V. Datenschutz-Folgenabschätzung
1. Überblick über die einschlägigen Regelungen der DSGVO
2. Wer ist für eine Datenschutz-Folgenabschätzung verantwortlich?
3. Wann muss eine Datenschutz-Folgenabschätzung erfolgen?
a) Voraussichtlich hohes Risiko (Art. 35 Abs. 1 S. 1 DSGVO)
b) Regelbeispiele (Art. 35 Abs. 3 DSGVO)
c) Positivliste der Aufsichtsbehörden (Art. 35 Abs. 4 DSGVO)
d) Mögliche Befreiung von der Folgenabschätzung aufgrund bestimmter Verarbeitungszwecke (Art. 35 Abs. 10 DSGVO)
4. Was muss im Rahmen der Folgenabschätzung passieren?
a) Welche hohen Risiken sind zu adressieren (Art. 35 Abs. 1 DSGVO)?
b) Welche technischen und organisatorischen Maßnahmen sind geeignet, um das Risiko zu minimieren?
c) Welche Dokumentation der Folgenabschätzung ist erforderlich (Art. 35 Abs. 7 DSGVO)?
d) Bedarf es der Beratung durch den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)?
e) Müssen betroffene Personen oder Vertreter (Art. 35 Abs. 9 DSGVO) eingebunden werden?
f) Wann bedarf es der erneuten Überprüfung?
g) Welche Rolle spielt die Aufsichtsbehörde bei der Folgenabschätzung (Art. 36 Abs. 2 DSGVO)?
5. Praktische Hinweise zur Implementierung
VI. Umgang mit Datenlecks
1. Überblick über die einschlägigen Regelungen der DSGVO
2. Meldepflichten (Art. 33 DSGVO)
a) Was muss gemeldet werden? (Art. 33 Abs. 1 DSGVO)
b) Bis wann muss gemeldet werden? (Art. 33 Abs. 1 S. 1 und 2 DSGVO)
c) Wie muss gemeldet werden? (Art. 33 Abs. 3 DSGVO)
d) Was tun bei Verzögerung? (Art. 33 Abs. 4 DSGVO)
e) Was muss in jedem Fall dokumentiert werden? (Art. 33 Abs. 5 DSGVO)
f) Welche Pflichten treffen den Auftragsverarbeiter? (Art. 33 Abs. 2 DSGVO)
3. Benachrichtigungspflichten (Art. 34 DSGVO)
a) Wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)
aa) Hohes Risiko für die persönlichen Rechte und Freiheit der betroffenen Personen
bb) Voraussichtliches Risiko
b) Bis wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)
c) Was muss die Benachrichtigung beinhalten und wie muss sie erfolgen? (Art. 34 Abs. 2 DSGVO)
d) Wann kann auf eine Benachrichtigung verzichtet werden? (Art. 34 Abs. 3 DSGVO)
4. Praktische Hinweise zur Implementierung
VII. Integration des Datenschutzes in allgemeine Unternehmensprozesse. 1. Aufgaben der Datenschutzorganisation – eine Chance für vielfältige Integration in die Unternehmensprozesse
a) Governance
b) Hinwirken auf den Datenschutz. aa) Geschäftsberatung
bb) Datenschutz-Netzwerk
cc) Training und Ausbildung
c) Überwachung und Auditierung
2. Definition von Unternehmensprozessen, in denen Datenschutzprozesse integriert werden
a) Datenschutzprozesse. aa) Datenschutzprozesse zur Beratung, Qualitätssicherung und Verwaltung der Funktion
bb) Integration der Datenschutzprozesse (1) Zentral
(2) Dezentral
(3) Auswahl des Integrationsansatzes
b) Risikobetrachtung
aa) Risikofelder
bb) In welchen Geschäftsprozessen spielen diese Risiken eine Rolle und können adressiert werden?
c) Typische Hüter der Anforderungen des Datenschutzes
aa) Einkauf
bb) IT und IT-Entwicklung
cc) Personalabteilung473
3. Praktische Hinweise zur Implementierung
Kapitel 13 Technischer Datenschutz und Risikomanagement
I. Überblick über die einschlägigen Regelungen1
1. Art. 24, 32 DSGVO und Erwägungsgrund 83
2. Art. 24, 25 DSGVO und Erwägungsgrund 78
3. §§ 64, 65, 76 BDSG
II. Allgemeine Grundlagen des technischen Datenschutzrisikomanagements
1. Auswahl eines Vorgehensmodells
2. Anwendung etablierter Methoden und Verfahren
a) Anwendung PDCA und Eingliederung in Managementsysteme
b) Anwendung eines risikobasierten Verfahrens
III. Nutzung der Standards und Vorgehen der Informationssicherheit
1. Grundlegende Begriffe und Standards der Informationssicherheit
a) Terminologie
b) Zentrale Standards der Informationssicherheit
2. Risikobasiertes Verfahren zur Herstellung der Informationssicherheit
a) Schutzbedarfsfeststellung
b) Soll-Ist-Vergleich/Risiko-Assessment
c) Schutzmaßnahmen
d) Dokumentation und Nachweis
e) Kontrolle und Prüfung
f) Behandlung von Sicherheitsvorfällen
g) Zertifizierung
3. Zusammenfassung und Fazit
IV. Technische Maßnahmen zur datenschutzkonformen
1. Datenschutzziele
a) Schutzziele der Datensicherheit nach der DSGVO
aa) Schutzziel Vertraulichkeit
bb) Schutzziel Integrität
cc) Schutzziel Verfügbarkeit
dd) Schutzziel Belastbarkeit der Systeme
b) Weitere Schutzziele des Datenschutzes
2. Risikobasiertes Verfahren für den Datenschutz
a) Schutzbedarfsfeststellung des Datenschutzes
b) Soll-Ist-Vergleich des Datenschutzes
c) Risiko-Assessment des Datenschutzes
aa) Risikoidentifikation
bb) Risikobewertung
d) Auswahl von Datenschutzmaßnahmen. aa) Grundprinzipien der Auswahl von Datenschutzmaßnahmen
bb) Rahmenbedingungen: Stand der Technik (SdT) und wirtschaftliche Erwägungen
cc) Anonymisierung
dd) Pseudonymisierung
ee) Kryptographische Verfahren – Verschlüsselung und Hash Funktionen
ff) Identitäts- und Berechtigungsmanagement zur Zugangs- und Zugriffskontrolle
gg) Enterprise Information Management (EIM) mit Archivierung
hh) Organisatorische Datenschutzmaßnahmen
ii) Maßnahmenskalierung
3. Dokumentation und Nachweis
4. Kontrolle und Prüfung
5. Behandlung von Datenschutzvorfällen
6. Zertifizierung
7. Zusammenfassung und Fazit
V. Privacy by Design und Privacy by Default
1. Privacy Enhancing Technologies
2. Privacy by Design/Privacy by Default als Ergänzung des IT-Sicherheits- und IT-Risikomanagements
VI. Ausblick
1. Anpassung des risikobasierten Verfahrens mit Auditierung/Zertifizierung
2. Entwicklung von Verhaltensregeln
3. Datenschutzeignung von Software
4. Datenschutzkonformes Design von Datenbeständen
Kapitel 14 Verhaltensregeln und Zertifizierungen
I. Einleitung
II. Grundsätzliche Unterscheidung und Komplementarität
III. Mehrwert für Unternehmen
1. Einhaltung und Nachweis datenschutzkonformen Handelns
2. Rechtskonkretisierungsfunktion
3. Absicherung von Drittlandübermittlungen
4. Berücksichtigung bei der Bemessung von Sanktionen
IV. Genehmigung von Verhaltensregeln
1. Vorlageberechtigte Stellen
2. Verhaltensregeln mit rein nationaler Wirkung
3. Verhaltensregeln mit landesübergreifender Wirkung
4. Allgemeingültigkeitserklärung
5. Gültigkeitsdauer
6. Bindungswirkung genehmigter Verhaltensregeln
a) Bindungswirkung gegenüber Aufsichtsbehörden
b) Bindungswirkung gegenüber Gerichten
c) Bindungswirkung gegenüber Unternehmen
V. Überwachung genehmigter Verhaltensregeln/Sanktionen im Falle von Verstößen
VI. Inhalte und Gestaltung von Verhaltensregeln. 1. Regelungsinhalte von Verhaltensregeln
2. Gestaltungsprozess in der Praxis
a) Bedarfs- und Maßnahmenermittlung
b) Ausarbeitung unter Beteiligung betroffener Interessenträger
VII. Zertifizierungsverfahren. 1. Ablauf des Zertifizierungsverfahrens/Beteiligte Stellen
2. Regelungsinhalte und Prüfmaßstab
3. Bindungswirkung
Kapitel 15 Beschäftigtendatenschutz
I. Überblick über die einschlägigen Regelungen der DSGVO
II. Handlungsoptionen des Gesetzgebers. 1. Reichweite des Art. 88 Abs. 1 DSGVO
a) Spezifischere Vorschriften
b) Personenbezogene Beschäftigtendaten
c) Zwecke der Datenverarbeitung
2. Mindestanforderungen gem. Art. 88 Abs. 2 DSGVO
a) Transparenz der Verarbeitung
b) Datenübermittlung innerhalb einer Unternehmensgruppe
c) Überwachungssysteme am Arbeitsplatz
3. Mitteilung gem. Art. 88 Abs. 3 DSGVO
4. Nationale Regelungen in Deutschland
a) Zentrale Vorschrift zum Beschäftigtendatenschutz
aa) Beschäftigungsverhältnis und Aufklärung von Straftaten
bb) Rechteausübung und Pflichterfüllung durch die Interessenvertretung
cc) Datenschutzgrundsätze
dd) Einwilligungen im Beschäftigungskontext
ee) Besondere Kategorien personenbezogener Daten
ff) Nicht-automatisierte Datenverarbeitung
gg) Definition von „Beschäftigten“
b) Verhältnis zu den Vorgaben des Art. 88 DSGVO
III. Datenschutzrechtliche Erlaubnistatbestände
1. Einwilligung im Beschäftigungsverhältnis
a) Allgemeine Voraussetzungen einer wirksamen Einwilligung
b) Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis
aa) Gesetzgebungshistorie
bb) Freiwilligkeit in der DSGVO
(1) Voraussetzungen für die Freiwilligkeit der Arbeitnehmereinwilligung
(2) Indikatoren für eine freiwillige Entscheidung
(3) Indikatoren für eine unfreiwillige Entscheidung
c) Form der Einwilligung im Beschäftigungsverhältnis
aa) Anforderungen der DSGVO
2. Gesetzliche Erlaubnistatbestände
a) Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)
b) Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
d) Besondere Kategorien von personenbezogenen Daten (Art. 9 Abs. 2 lit. b DSGVO)
3. Betriebsvereinbarungen
a) Angemessene und besondere Schutzmaßnahmen
aa) Transparenz der Verarbeitung
bb) Datenübermittlung innerhalb einer Unternehmensgruppe
cc) Überwachungssysteme am Arbeitsplatz
b) Betriebsvereinbarung als Erlaubnistatbestand
c) Weitere Regelungen in Betriebsvereinbarungen
d) Bereits abgeschlossene Betriebsvereinbarungen
4. Datenaustausch in Matrixorganisationen
a) Erlaubnistatbestände
b) Gemeinsame Verantwortlichkeit
IV. Informationspflichten und Betroffenenrechte
1. Informationspflichten des Arbeitgebers
2. Betroffenenrechte
3. Automatisierte Entscheidungen einschließlich Profiling
V. Überwachungsmaßnahmen – Rechtslage in Deutschland
1. Kontrolle der Internet- und E-Mail-Nutzung
a) Erlaubnistatbestand
b) Kontrolle der dienstlichen Internet- und E-Mail-Nutzung
c) Arbeitgeber als Diensteanbieter
aa) Keine Kontrollbefugnis bei erlaubter Privatnutzung
bb) Keine Unterscheidung zwischen privater und dienstlicher Nutzung
d) Beweisverwertungsverbote
2. Videoüberwachung
VI. Handlungsempfehlung
Kapitel 16 Behördliche und gerichtliche Verfahren
I. Aufsichtsbehörden* 1. Überblick über die einschlägigen Normen1
2. Einleitung
3. Zuständigkeit innerhalb der Europäischen Union
4. Zuständigkeit innerhalb Deutschlands
5. Europäischer Datenschutzausschuss
6. Aufgaben und Befugnisse
a) Aufgaben der Aufsichtsbehörden
b) Befugnisse der Aufsichtsbehörden
aa) Untersuchungsbefugnisse, Art. 58 Abs. 1 DSGVO
bb) Abhilfebefugnisse, Art. 58 Abs. 2 DSGVO
cc) Genehmigungs- und Beratungsbefugnisse, Art. 58 Abs. 3 DSGVO
dd) Befugnisse nach dem mitgliedstaatlichen Recht
II. Aufsichtsverfahren. 1. Aufsichtsverfahren in Deutschland
2. Zusammenarbeit der Aufsichtsbehörden auf europäischer Ebene
a) Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden
b) Kohärenzverfahren im Falle von Unstimmigkeiten
3. Öffentliche Äußerungen von Behörden/Mediale Aufmerksamkeit. a) Die namentliche Nennung des sanktionierten Unternehmens
b) Pressemitteilungen und Stellungnahmen zu aktuellen Geschehnissen
III. Umgang mit Aufsichtsbehörden. 1. Gründe für den Kontakt mit Aufsichtsbehörden. a) Kontrolldichte
b) Anfragen durch Aufsichtsbehörden
2. Bedeutung von Rechtspositionen der Datenschutzbehörden
3. Erste Maßnahmen nach Anfrage einer Aufsichtsbehörde
4. Sofortige Korrektur von festgestellten Rechtsverstößen
5. Generelle Hinweise zur Interaktion mit Aufsichtsbehörden
6. Kooperation und Selbstbelastung
IV. Bußgelder. 1. Überblick über die einschlägigen Normen
2. Bußgeldvorschriften der DSGVO. a) Kategorisierung der Bußgelder und Strafvorschriften
b) Referenztechnik
c) Einzelne Tatbestände
d) Bisher bekannte und nennenswerte Bußgelder
3. Bemessung des Bußgeldes. a) Allgemeine Vorgaben nach der DSGVO
b) Das Bußgeldmodell der Datenschutzkonferenz in Deutschland
aa) Vorstellung und Erklärung des Bußgeldmodells
bb) Kritik und Probleme des Bußgeldmodells
4. Straf- und Bußgeldvorschriften des BDSG. a) Strafvorschriften
aa) § 42 Abs. 1 BDSG
bb) § 42 Abs. 2 BDSG
cc) Antragsdelikte
b) Bußgeldvorschriften
5. Adressat des Bußgeldes. a) Verantwortliche Stelle, Auftragsverarbeiter und spezielle Stellen
b) Bußgelder gegenüber einzelnen Personen innerhalb eines Unternehmens
c) Bußgelder gegenüber Behörden
V. Gerichtlicher Rechtsschutz. 1. Überblick über die einschlägigen Normen
2. Verhältnis Betroffener – Verantwortlicher bzw. Auftragsverarbeiter
a) Auskunftsanspruch und weitere subjektive Rechte
b) Unterlassungsanspruch
c) Schadensersatzanspruch
3. Verhältnis Verantwortlicher bzw. Auftragsverarbeiter – Aufsichtsbehörde
a) Rechtsschutzgarantie unter der DSGVO
b) Konkreter Rechtsschutz nach deutschem Verfahrensrecht
4. Sonderfall: Beschlüsse des Europäischen Datenschutzausschusses
5. Vorgehen gegen öffentliche Äußerungen der Datenschutzbehörden
VI. Verbandsklage. 1. Überblick über die einschlägigen Normen
2. Verbandsklagen auf Grundlage der DSGVO (Art. 80 DSGVO) a) Unter Mitwirkung des Betroffenen (Art. 80 Abs. 1 DSGVO) aa) Grundgedanke der Norm
bb) Erfasste Rechte
cc) Durchsetzungsberechtigte Stellen
b) Ohne Mitwirkung des Betroffenen (Art. 80 Abs. 2 DSGVO)
3. Möglichkeiten zur Verbandsklage nach deutschem Recht
a) UKlaG. aa) Inhalt der Regelung
bb) Klagemöglichkeit seit Einführung der DSGVO
b) Anwendbarkeit des UWG und AGB-Rechts seit Einführung der DSGVO
Kapitel 17 Besondere Themenkomplexe
A. Web Tracking und Online Advertising
I. Technische Abläufe
1. Der Einsatz von Cookies zum Web Tracking
2. Das Ausspielen von Werbung (Online Advertising)
3. Weitere Methoden zum Web Tracking
a) Tracking Pixel
b) Social Plugins
c) Andere dynamische Websiteinhalte Dritter
d) Fingerprinting
e) Server to Server Tracking
II. Zulässigkeit des Web Tracking und des Online Advertising
1. Anwendbare Regelungen auf das Web Tracking und Online Advertising
a) Rechtsunklarheit aufgrund fehlender ePrivacy-Verordnung
b) Das Zusammenspiel zwischen der DSGVO und der ePrivacy-Richtlinie
c) Das einschlägige Regelungsregime für einzelne Trackingmethoden
d) Anwendbarkeit der DSGVO für die (weitere) Verarbeitung
aa) Reichweite von Art. 5 Abs. 3 ePrivacy-Richtlinie
bb) Verarbeitung personenbezogener Daten
2. Zulässigkeit des Web Tracking für einzelne Zwecke
a) Zulässigkeit zu Zwecken des Online Advertising
aa) Zulässigkeit auf Basis einer Einwilligung und einzelne Voraussetzungen der Einwilligung
(1) Art der Erklärungsabgabe und Form der Erklärung
(2) Erklärung für den bestimmten Fall
(3) Informiertheit der Einwilligung vs. allgemeine Informationserteilung
(4) Freiwilligkeit und Kopplung der Einwilligung
(5) Rechtskonforme Gestaltung gestufter Einwilligungen
bb) Zulässigkeit auf Basis einer Rechtsvorschrift (1) Trackingmethode im Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-Richtlinie/§ 15 Abs. 3 TMG/§ 24 Abs. 1 TTDSG-BRegE
(2) Trackingmethode im Anwendungsbereich der DSGVO
b) Zulässigkeit der Datenverarbeitung zu anderen Zwecken als dem Online Advertising
aa) Tracking zu Zwecken der Erbringung eines Dienstes
bb) Tracking zu Zwecken der „bedarfsgerechten Gestaltung“ des Dienstes
bb) Tracking zu Zwecken der Reichweiten- und Nutzungsmessung
III. Verantwortlichkeit für Web Tracking und Online Advertising
1. Verpflichteter nach Art. 5 Abs. 3 ePrivacy-Richtlinie
2. Datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO
IV. Zusätzliche Pflichten
V. Bußgeldrahmen bei Verstößen
B. Customer-Relationship-Management
I. Überblick über die einschlägigen Regelungen
II. Datenquellen
III. Profiling zu Werbezwecken
1. Interessenabwägung
2. Zweckändernde Verarbeitung
3. Keine Anwendung von Art. 22 DSGVO
4. Einwilligung
IV. Werbliche Kommunikation mit Kunden
1. Briefwerbung
a) Interessenabwägung/Zweckänderung
b) Einwilligung
2. Direktwerbung über elektronische Post, Anrufautomaten und Fax
3. Persönliche Telefonwerbung
4. Vorrang der ePrivacy-Bestimmungen
5. Zusammenfassung
C. E-Discovery*
I. Ausgewählte Rahmenbedingungen
1. Federal Rule of Civil Procedure der Vereinigten Staaten
2. Sedona Konferenzen, Frameworks und Arbeitsgruppen
3. Leitlinien der Artikel-29-Datenschutzgruppe
II. Kollision mit dem Datenschutz im Beweissicherungsprozess
1. Grundlage: Das e-Discovery Referenzmodell (EDRM)
2. Grundlage: Information Management und Governance
3. Durchführung des e-Discovery-Prozesses mit dem Referenzmodell
a) Identifikationsphase (Identification)
b) Phase der Extraktion und Sicherung (Collection and Preservation)
aa) Identifikation der Risiken und der risikobehafteten Daten
bb) Entwicklung der Suchstrategie, Suche, Prüfung, Qualitätskontrolle und Aussonderung
cc) Überprüfung der Verletzung von Löschverpflichtungen
c) Phase der Bearbeitung (Processing, Review and Analysis)
d) Phase der Weitergabe und Nutzung (Production and Presentation)
III. Fazit
D. Cloud Computing
I. Eigenschaften und Terminologie
II. Cloud-spezifische Problemfelder
E. Big Data
I. Eigenschaften und Terminologie
II. Big Data-spezifische Problemfelder
1. Personenbezug
2. Zweckbindung
3. Datenminimierung
4. Betroffenenrechte
a) Informationspflichten
b) Auskunftsrecht
F. Gesundheitsdatenschutz
I. Definition „Gesundheitsdaten“
II. Systematik der datenschutzrechtlichen Regelungen im Gesundheitsbereich
III. Zulässigkeit der Verarbeitung von Gesundheitsdaten auf Basis von Vorschriften aus der DSGVO/dem BDSG
1. Verarbeitung von Gesundheitsdaten auf Basis einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)
a) Allgemeine Anforderungen an die Einwilligung
b) Freiwilligkeit der Einwilligung gem. Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO
c) Ausschluss der Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO
2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG)
a) Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung gem. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 lit. b BDSG
aa) Verarbeitungszwecke gem. Art. 9 Abs. 2 lit. h i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG
(1) Vertrag der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs
(2) Gesundheitsvorsorge
(3) Medizinische Diagnostik
(4) Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
(5) Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich
bb) Verarbeitung durch ärztliches Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder wenn sie unter deren Verantwortung erfolgt
b) Angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gem. Art. 9 Abs. 4 DSGVO i.V.m. § 22 Abs. 2 BDSG
3. Verarbeitung von Gesundheitsdaten im Beschäftigungskontext (Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 und 4 BDSG)
IV. Weitere Besonderheiten nach der DSGVO/dem BDSG bei der Verarbeitung von Gesundheitsdaten
V. (Berufsrechtliche) Schweigepflicht
VI. Verarbeitung zu wissenschaftlichen Forschungszwecken
1. Zulässigkeit der Verarbeitung von Gesundheitsdaten zu Zwecken der wissenschaftlichen Forschung
a) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken gem. Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG
b) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken auf Basis einer Einwilligung
2. Weitere Besonderheiten bei der Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken
Kapitel 18 Österreichisches Datenschutzrecht
I. Gesetzliche Grundlagen
II. Nutzung von Öffnungsklauseln
III. Grundrecht auf Datenschutz
IV. Marketing und Kontaktaufnahme zu Werbezwecken
V. Österreichische Spezialregelungen. 1. Verarbeitung von Bilddaten (Bildaufnahmen)
2. Verarbeitung von Strafdaten
3. Back-Up-Privileg
4. Verwarnung durch die Datenschutzbehörde
5. Datengeheimnis
6. Datenschutz-Folgenabschätzungen
7. Regelungen in Materiengesetzen
VI. Arbeitnehmer-Datenschutz
1. Einwilligungen im Arbeitsverhältnis, Tracking von Mitarbeitern
2. Betriebsverfassungsrecht und DSGVO
3. Betriebsrat
VII. Österreichische Entscheidungen
1. Anwendbarkeit der DSGVO
2. Sensible Daten
3. Verwendung öffentlich zugänglicher Registerdaten
4. Automatische Erfassung von Daten
5. Speicherung von Daten
6. Datenschutzbeauftragter
7. Einwilligung
8. Informationsrecht
9. Auskunftsrecht
10. Löschung
11. Kreditauskunft
12. Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO
VIII. Rechtsdurchsetzung und Verfahrensrecht
1. Verwaltungsverfahren
a) Beschwerde an die Datenschutzbehörde
b) Amtswegiges Prüfungsverfahren der Datenschutzbehörde
c) Rechtsmittel und Rechtsbehelfe gegen Entscheidungen der Datenschutzbehörde
d) Vollstreckung von Entscheidungen im Verwaltungsverfahren
2. Verwaltungsstrafverfahren
3. Verfahren vor ordentlichen Gerichten und parallele Verfahrensführung
Kapitel 19 Leitentscheidungen des EuGH zur DSGVO
I. Einleitung
II. Leitentscheidungen des EuGH. 1. Anwendungsbereich des europäischen Datenschutzrechts (EuGH, Urt. v. 13.5.2014 – C-131/12 – Google Spain)
a) Sachverhalt
b) Entscheidungsgründe. aa) Der sachliche Anwendungsbereich des europäischen Datenschutzrechts
bb) Der territoriale Anwendungsbereich des europäischen Datenschutzrechts
cc) Anspruch auf Auslistung
c) Implikationen für die Unternehmenspraxis
aa) Anwendungsbereich der DSGVO
bb) Anspruch auf Auslistung
2. Personenbezug von Daten (EuGH, Urt. v. 6.12.2016 – C-582/14 – Breyer)
a) Sachverhalt
b) Entscheidungsgründe – der Personenbezug dynamischer IP-Adressen
c) Implikationen für die Unternehmenspraxis
3. Gemeinsame Verantwortlichkeit I (EuGH, Urt. v. 5.6.2018 – C-210/16 – Facebook Fanpages)
a) Sachverhalt
b) Entscheidungsgründe
c) Implikationen für die Unternehmenspraxis
4. Gemeinsame Verantwortlichkeit II (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas)
a) Sachverhalt
b) Entscheidungsgründe
c) Implikationen für die Unternehmenspraxis
5. Gemeinsame Verantwortlichkeit III (EuGH, Urt. v. 29.7.2019 – C-40/17 – Fashion ID)
a) Sachverhalt
b) Entscheidungsgründe. aa) Die gemeinsame Verantwortlichkeit für einzelne Verarbeitungsvorgänge
bb) Berechtigtes Interesse bei allen Verantwortlichen oder nur einem
cc) Pflichten im Zeitpunkt der Datenerhebung
c) Implikationen für die Unternehmenspraxis
aa) Die vorgangsbezogene gemeinsame Verantwortlichkeit
bb) Rechtsgrundlage bei allen Verantwortlichen
cc) Rechtfertigung der Verarbeitung und Pflichten im Zeitpunkt der Datenerhebung
6. Verlinkung auf besondere personenbezogene Daten (EuGH, Urt. v. 14.9.2019 – C-136/17)
a) Sachverhalt
b) Entscheidungsgründe
c) Implikationen für die Unternehmenspraxis
7. Keine extraterritoriale Auslistung (EuGH, Urt. v. 14.9.2019 – C-507/17)
a) Sachverhalt
b) Entscheidungsgründe
c) Implikationen für die Unternehmenspraxis
8. Anforderungen an eine wirksame Einwilligung (EuGH, Urt. v. 1.10.2019 – C-673/17 – Planet49)
a) Sachverhalt
b) Entscheidungsgründe. aa) Die Abgabe einer wirksamen Einwilligungserklärung
bb) Keine Differenzierung zwischen personenbezogenen und nichtpersonenbezogenen Informationen
cc) Umfang der mitzuteilenden Informationen beim Einsatz von Cookies
c) Implikationen für die Unternehmenspraxis
aa) Einwilligung nur für „nicht unbedingt erforderliche“ Cookies („ob“)
bb) Anforderungen an die Gestaltung der Einwilligungserklärung („wie“)
cc) Der Umfang der Informationspflichten
dd) Auswirkung auf die Rechtslage in Deutschland, § 15 Abs. 3 TMG
9. Die Rechtfertigung von Drittlandtransfers (EuGH, Urt. v 16.7.2020 – C-311/18 – Schrems II)
a) Sachverhalt
b) Entscheidungsgründe
aa) Ungültigkeit des Angemessenheitsbeschluss zum EU-US Privacy Shield
bb) EU-Standardvertragsklauseln
c) Implikationen für die Unternehmenspraxis
aa) Die Ungültigkeit des EU-US Privacy Shields
bb) Übermittlungen auf Basis der EU-Standarddatenschutzklauseln
Kapitel 20 Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen
I. Anpassungsbedarf im Unternehmen
II. Leitbild zur Umsetzung der DSGVO im Unternehmen
III. Ausgestaltung eines Umsetzungsprojekts
1. Vorbereitung
a) Welche Abteilung bzw. welche Person ist unternehmensintern für die Umstellung auf die DSGVO verantwortlich?
b) Welche datenschutzrechtlichen Vorschriften sollen konkret umgesetzt werden?
c) Auf welche verantwortlichen Stellen bezieht sich das Umsetzungsprojekt genau?
d) Sollte die DSGVO im Unternehmen global umgesetzt werden?
e) Welche Ressourcen stehen zur Verfügung?
f) Soll die Implementierung durch interne oder externe Ressourcen erfolgen?
g) Welche Abteilungen sollten involviert bzw. informiert werden?
h) Bis wann sollte die DSGVO im Unternehmen umgesetzt sein?
i) Kann die Umsetzung der DSGVO im Unternehmen auch als Chance wahrgenommen werden?
2. Anforderungsspezifizierung
3. Gap-Analyse
a) Vorbereitung der Gap-Analyse
b) Durchführung der Gap-Analyse
c) Ergebnis der Gap-Analyse
4. Planung von Ressourcen
a) Planung von Budget
b) Planung von Mitarbeitern
c) Zeitplan
5. Implementierung
a) Definition von Unterprojekten
b) Bestimmung von Meilensteinen und Abhängigkeiten
c) Durchführung der Unterprojekte
6. Testing und Monitoring
7. Kommunikation und Training
a) Interne Unternehmenskommunikation
b) Mitarbeiterschulungen
IV. Erste Erfahrungen aus der Umsetzungspraxis
V. Fazit
Kapitel 21 Weitere rechtliche Entwicklungen und Ausblick
I. Datenschutzrecht als dynamisches Rechtsgebiet
II. Gesetzgeber
1. Rechtsakte der Europäischen Kommission
a) Delegierte Rechtsakte
b) Durchführungsrechtsakte
aa) Prüfung von Angemessenheitsbeschlüssen
bb) Neufassung von Standarddatenschutzklauseln
2. Begleitgesetze der Mitgliedstaaten
3. ePrivacy
III. Datenschutzbehörden
1. Europäischer Datenschutzausschuss
2. Black- und Whitelists für Datenschutz-Folgenabschätzung
3. Musterverträge
4. Konkretisierung von Pflichten nach der DSGVO
IV. Rechtsprechung
V. Entwicklung der Datenschutzpraxis
VI. Ausblick
Sachregister A
Sachregister B
Sachregister C
Sachregister D
Sachregister E
Sachregister F
Sachregister G
Sachregister H
Sachregister I
Sachregister J
Sachregister K
Sachregister L
Sachregister M
Sachregister N
Sachregister O
Sachregister P
Sachregister Q
Sachregister R
Sachregister S
Sachregister T
Sachregister U
Sachregister V
Sachregister W
Sachregister Z
