Suchen und Finden
Service
EU-Datenschutz-Grundverordnung (DSGVO) - Praktikerhandbuch
Paul Voigt, Axel von dem Bussche
Verlag Springer-Verlag, 2018
ISBN 9783662561874 , 538 Seiten
Format PDF, OL
Kopierschutz Wasserzeichen
Vorwort
5
Inhaltsverzeichnis
7
1 Einleitung und „Checkliste“
13
1.1 Gesetzgeberischer Hintergrund und bisherige Rechtslage
13
1.1.1 Die EG-Datenschutzrichtlinie
13
1.1.2 Die Datenschutz-Grundverordnung
14
1.1.3 Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU
15
1.2 Checkliste – Die wichtigsten datenschutzrechtlichen Pflichten
16
1.2.1 Datenschutzorganisation
16
1.2.2 Rechtmäßigkeit der Datenverarbeitung
19
Referenzen
21
2 Anwendungsbereich der DSGVO
22
2.1 In welchen Fällen ist die Verordnung anwendbar? – sachlicher Anwendungsbereich
22
2.1.1 „Verarbeitung“
22
2.1.2 „Personenbezogene Daten“
24
2.1.3 Ausnahmen vom sachlichen Anwendungsbereich
30
2.2 Auf wen ist die Verordnung anwendbar? – persönlicher Anwendungsbereich
31
2.2.1 „Verantwortlicher“
32
2.2.2 „Auftragsverarbeiter“
35
2.2.3 Von der DSGVO geschützte Personen
36
2.3 Wo ist die Verordnung anwendbar? – räumlicher Anwendungsbereich
36
2.3.1 Datenverarbeitung im Rahmen der Tätigkeiten einerEU-Niederlassung
38
2.3.2 Verarbeitung personenbezogener Daten von innerhalb der EU befindlichen betroffenen Personen
42
2.4 Anwendungsbereich des BDSG-neu
45
Referenzen
47
3 Anforderungen an die Datenschutzorganisation
49
3.1 Rechenschaftspflicht
49
3.2 Allgemeine Pflichten
51
3.2.1 Verantwortlichkeit, Haftung und allgemeine Pflichten des Verantwortlichen
51
3.2.2 Die Verteilung von Verantwortlichkeiten zwischen gemeinsam für die Verarbeitung Verantwortlichen („Joint controllers“)
53
3.2.3 Zusammenarbeit mit den Aufsichtsbehörden
56
3.3 Technische und organisatorische Maßnahmen
57
3.3.1 Angemessenes Datenschutzniveau
58
3.3.2 Mindestanforderungen
58
3.3.3 Risikobasierter Ansatz bezüglich Datenschutz
60
3.3.4 Die NIS-Richtlinie
62
3.4 Verzeichnisse über Verarbeitungstätigkeiten
64
3.4.1 Inhalt und Zweck der Verzeichnisse
64
3.4.2 Dokumentation der Zwecke der Datenverarbeitung
65
3.4.3 Ausnahme von der Pflicht zum Führen der Verzeichnisse
66
3.5 Datenschutz-Folgenabschätzung („Data Protection Impact Assessment“)
68
3.5.1 Betroffene Arten von Verarbeitungstätigkeiten
69
3.5.2 Vornahme der Folgenabschätzung
70
3.6 Datenschutzbeauftragter
75
3.6.1 Pflicht zur Benennung
76
3.6.2 Anforderungen an den Datenschutzbeauftragten
82
3.6.3 Stellung des Datenschutzbeauftragten
85
3.6.4 Aufgaben des Datenschutzbeauftragten
88
3.7 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“)
91
3.8 Verletzungen des Schutzes personenbezogener Daten („Data Breach Notification“)
94
3.8.1 Verletzung des Schutzes personenbezogener Daten
94
3.8.2 Meldung an die Aufsichtsbehörde
95
3.8.3 Benachrichtigung der betroffenen Personen
99
3.9 Verhaltensregeln, Zertifizierungen, Siegel, etc.
102
3.9.1 Verhältnis zwischen Verhaltensregeln und Zertifizierungen
102
3.9.2 Verhaltensregeln („Codes of Conduct“)
104
3.9.3 Zertifizierungen, Datenschutzsiegel und –prüfzeichen („Certifications, seals and marks“)
109
3.10 Auftragsverarbeiter
113
3.10.1 Privilegierte Stellung des Auftragsverarbeiters
113
3.10.2 Verpflichtung des Verantwortlichen bei der Auswahl eines Auftragsverarbeiters
114
3.10.3 Pflichten des Auftragsverarbeiters
116
3.10.4 Hinzuziehung eines „Unter-Auftragsverarbeiters“
118
Referenzen
118
4 Materielle Anforderungen
122
4.1 Verarbeitungsgrundsätze
122
4.1.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
123
4.1.2 Zweckbindung
124
4.1.3 Datenminimierung
126
4.1.4 Richtigkeit
127
4.1.5 Speicherbegrenzung
127
4.1.6 Integrität und Vertraulichkeit
128
4.2 Rechtsgrundlagen für die Datenverarbeitung
128
4.2.1 Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person
128
4.2.2 Verarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestandes
138
4.2.3 Verarbeitung besonderer Kategorien personenbezogener Daten
154
4.3 Datenübermittlungen an Drittländer
164
4.3.1 Angemessenheitsbeschlüsse
166
4.3.2 Einwilligung
167
4.3.3 Standardvertragsklauseln
168
4.3.4 EU-U.S. Privacy Shield
172
4.3.5 Binding Corporate Rules
175
4.3.6 Verhaltensregeln, Zertifizierungsverfahren, etc.
180
4.3.7 Ausnahmen für bestimmte Fälle
181
4.3.8 Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen
185
4.4 Eingeschränktes „Konzernprivileg “
187
4.4.1 Eigenständige Datenschutzverantwortlichkeit jedes Gruppenunternehmens
188
4.4.2 Erleichterungen in Bezug auf die materiellen Anforderungen
189
4.4.3 Erleichterungen in Bezug auf die Datenschutzorganisation
190
Referenzen
191
5 Rechte der betroffenen Personen
194
5.1 Transparenz und Modalitäten
194
5.1.1 Die Art und Weise der Kommunikation mit den betroffenen Personen
195
5.1.2 Die Form der Kommunikation
196
5.2 Informationspflicht des Verantwortlichen bei Erhebung der personenbezogenen Daten
197
5.2.1 Zeitpunkt der Information
198
5.2.2 Erhebung der Daten bei der betroffenen Person
198
5.2.3 Erhebung der Daten von einer anderen Quelle
200
5.2.4 Einschränkung der Informationspflichten nach dem BDSG-neu
201
5.2.5 Praxishinweise
204
5.3 Informationen über auf den Antrag der betroffenen Personen hin ergriffene Maßnahmen
205
5.3.1 Art und Weise der Bereitstellung der Informationen
205
5.3.2 Frist für die Bereitstellung der Informationen
207
5.3.3 Unterrichtung im Falle Nicht-Tätigwerdens
207
5.3.4 Bestätigung der Identität der betroffenen Person
208
5.4 Auskunftsrecht
208
5.4.1 Umfang des Auskunftsrechts
208
5.4.2 Einschränkungen des Auskunftsrechts nach dem BDSG-neu
210
5.4.3 Zurverfügungstellen der personenbezogenen Daten
212
5.4.4 Praxishinweise
214
5.5 Recht auf Löschung, auf Berichtung und auf Einschränkung der Verarbeitung
215
5.5.1 Recht auf Berichtigung
215
5.5.2 Recht auf Löschung
217
5.5.3 Recht auf Einschränkung der Verarbeitung
229
5.5.4 Mitteilungspflicht gegenüber Dritten im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Art. 19
233
5.6 Recht auf Datenübertragbarkeit
234
5.6.1 Anwendungsbereich & Ausübung des Rechts auf Datenübertragbarkeit
235
5.6.2 Technische Spezifikationen
241
5.6.3 Übermittlung der Daten
242
5.6.4 Verhältnis zum Recht auf Löschung
242
5.6.5 Ausschluss des Rechts auf Datenübertragbarkeit
243
5.7 Widerspruchsrecht
244
5.7.1 Gründe für einen Widerspruch gegen die Verarbeitung
245
5.7.2 Einschränkungen im BDSG-neu
247
5.7.3 Ausübung des Rechts & Rechtsfolgen
248
5.7.4 Informationspflicht
249
5.8 Automatisierte Entscheidungsfindung
249
5.8.1 Anwendungsbereich des Verbots
250
5.8.2 Ausnahmen vom Verbot nach der DSGVO
252
5.8.3 Ausnahme vom Verbot nach dem BDSG-neu
253
5.8.4 Angemessene Schutzmaßnahmen
254
5.9 Beschränkungen der Betroffenenrechte
255
Referenzen
256
6 Zusammenarbeit mit den Aufsichtsbehörden
259
6.1 Bestimmung der zuständigen Aufsichtsbehörde
259
6.2 One-Stop-Shop
260
6.3 Bestimmung der federführenden Aufsichtsbehörde
262
6.3.1 Bestimmung anhand der Hauptniederlassung des Unternehmens
262
6.3.2 Bestimmung bei Fehlen einer Niederlassung des Unternehmens in der EU
265
6.3.3 Ausnahme: lokale Zuständigkeit
266
6.3.4 One-Stop-Shop auf nationaler Ebene nach dem BDSG-neu
267
6.4 Zusammenarbeit und Kohärenzverfahren
268
6.4.1 Europäischer Datenschutzausschuss
269
6.4.2 Verfahren zur Zusammenarbeit
269
6.4.3 Kohärenzverfahren
270
Referenzen
270
7 Rechtsdurchsetzung und Sanktionen nach der DSGVO
272
7.1 Aufgaben und Untersuchungsbefugnisse der Aufsichtsbehörden
272
7.1.1 Größere Konsistenz der Untersuchungsbefugnisse innerhalb der EU
273
7.1.2 Regelungen zu aufsichtsbehördlichen Befugnissen im BDSG-neu
273
7.1.3 Umfang der Untersuchungsbefugnisse
275
7.1.4 Ausübung der Befugnisse
277
7.2 Zivilrechtliche Haftung
277
7.2.1 Recht auf Schadensersatz
278
7.2.2 Schadensersatzpflichtige
280
7.2.3 Exkulpationsmöglichkeit
281
7.3 Sanktionen
282
7.3.1 Abhilfebefugnisse der Aufsichtsbehörden
283
7.3.2 Gründe für Bußgelder und Bußgeldbeträge
284
7.3.3 Verhängung von Bußgeldern, inkl. mildernden Umständen
285
7.3.4 Sanktionierung von Unternehmensgruppen
286
7.3.5 Sanktionen und Verfahrensvorschriften des BDSG-neu
287
7.3.6 Praxishinweise
289
7.4 Rechtsbehelfe
289
7.4.1 Rechtsbehelfe von datenverarbeitenden Unternehmen
289
7.4.2 Rechtsbehelfe von betroffenen Personen
291
Referenzen
294
8 Nationale Besonderheiten
296
8.1 Vielzahl von Öffnungsklauseln
296
8.1.1 Öffnungsklauseln innerhalb der allgemeinen Bestimmungen der DSGVO
296
8.1.2 Gesetzgebungskompetenz der EU-Mitgliedstaaten in besonderen Verarbeitungssituationen
301
8.1.3 Regelungen im BDSG-neu zu besonderen Verarbeitungssituationen
302
8.2 Beschäftigtendatenschutz
304
8.2.1 Öffnungsklausel
304
8.2.2 Regelungen des § 26 BDSG-neu
306
8.2.3 Arbeitnehmervertretungsorgan in Deutschland (Betriebsrat)
311
8.3 Telemediendatenschutz
313
Referenzen
316
9 Besondere Verarbeitungssituationen
318
9.1 Big Data
318
9.1.1 Anwendbarkeit der DSGVO
319
9.1.2 Rechenschaftspflicht
320
9.1.3 Einhaltung der Verarbeitungsgrundsätze
321
9.2 Cloud Computing
322
9.2.1 Verteilung der Verantwortlichkeiten
322
9.2.2 Auswahl eines geeigneten Cloud-Serviceanbieters
323
9.2.3 Cloud-Serviceanbieter in Drittländern
324
9.3 Internet of Things
324
9.3.1 Rechtsgrundlage für Datenverarbeitungen im IoT
324
9.3.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
326
Referenzen
327
10 Praktische Umsetzung der Vorgaben der DSGVO
328
10.1 Schritt 1: „Lücken“-Analyse
329
10.2 Schritt 2: Risikoanalyse
330
10.3 Schritt 3: Projektkonzeption und Ressourcen-/Budgetplanung
330
10.4 Schritt 4: Implementierung
331
10.5 Schritt 5: Nationale Zusatzanforderungen
332
Referenzen
333
Annex I – Gegenüberstellung der Vorschriften und entsprechenden Erwägungsgründe der DSGVO sowieder korrespondierenden Vorschriften des BDSG-neu
334
Stichwortverzeichnis
536