EU-Datenschutz-Grundverordnung (DSGVO) - Praktikerhandbuch
von: Paul Voigt, Axel von dem Bussche
Springer-Verlag, 2018
ISBN: 9783662561874
Sprache: Deutsch
538 Seiten, Download: 5182 KB
Format: PDF, auch als Online-Lesen
Vorwort | 5 | ||
Inhaltsverzeichnis | 7 | ||
1 Einleitung und „Checkliste“ | 13 | ||
1.1 Gesetzgeberischer Hintergrund und bisherige Rechtslage | 13 | ||
1.1.1 Die EG-Datenschutzrichtlinie | 13 | ||
1.1.2 Die Datenschutz-Grundverordnung | 14 | ||
1.1.3 Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU | 15 | ||
1.2 Checkliste – Die wichtigsten datenschutzrechtlichen Pflichten | 16 | ||
1.2.1 Datenschutzorganisation | 16 | ||
1.2.2 Rechtmäßigkeit der Datenverarbeitung | 19 | ||
Referenzen | 21 | ||
2 Anwendungsbereich der DSGVO | 22 | ||
2.1 In welchen Fällen ist die Verordnung anwendbar? – sachlicher Anwendungsbereich | 22 | ||
2.1.1 „Verarbeitung“ | 22 | ||
2.1.2 „Personenbezogene Daten“ | 24 | ||
2.1.3 Ausnahmen vom sachlichen Anwendungsbereich | 30 | ||
2.2 Auf wen ist die Verordnung anwendbar? – persönlicher Anwendungsbereich | 31 | ||
2.2.1 „Verantwortlicher“ | 32 | ||
2.2.2 „Auftragsverarbeiter“ | 35 | ||
2.2.3 Von der DSGVO geschützte Personen | 36 | ||
2.3 Wo ist die Verordnung anwendbar? – räumlicher Anwendungsbereich | 36 | ||
2.3.1 Datenverarbeitung im Rahmen der Tätigkeiten einerEU-Niederlassung | 38 | ||
2.3.2 Verarbeitung personenbezogener Daten von innerhalb der EU befindlichen betroffenen Personen | 42 | ||
2.4 Anwendungsbereich des BDSG-neu | 45 | ||
Referenzen | 47 | ||
3 Anforderungen an die Datenschutzorganisation | 49 | ||
3.1 Rechenschaftspflicht | 49 | ||
3.2 Allgemeine Pflichten | 51 | ||
3.2.1 Verantwortlichkeit, Haftung und allgemeine Pflichten des Verantwortlichen | 51 | ||
3.2.2 Die Verteilung von Verantwortlichkeiten zwischen gemeinsam für die Verarbeitung Verantwortlichen („Joint controllers“) | 53 | ||
3.2.3 Zusammenarbeit mit den Aufsichtsbehörden | 56 | ||
3.3 Technische und organisatorische Maßnahmen | 57 | ||
3.3.1 Angemessenes Datenschutzniveau | 58 | ||
3.3.2 Mindestanforderungen | 58 | ||
3.3.3 Risikobasierter Ansatz bezüglich Datenschutz | 60 | ||
3.3.4 Die NIS-Richtlinie | 62 | ||
3.4 Verzeichnisse über Verarbeitungstätigkeiten | 64 | ||
3.4.1 Inhalt und Zweck der Verzeichnisse | 64 | ||
3.4.2 Dokumentation der Zwecke der Datenverarbeitung | 65 | ||
3.4.3 Ausnahme von der Pflicht zum Führen der Verzeichnisse | 66 | ||
3.5 Datenschutz-Folgenabschätzung („Data Protection Impact Assessment“) | 68 | ||
3.5.1 Betroffene Arten von Verarbeitungstätigkeiten | 69 | ||
3.5.2 Vornahme der Folgenabschätzung | 70 | ||
3.6 Datenschutzbeauftragter | 75 | ||
3.6.1 Pflicht zur Benennung | 76 | ||
3.6.2 Anforderungen an den Datenschutzbeauftragten | 82 | ||
3.6.3 Stellung des Datenschutzbeauftragten | 85 | ||
3.6.4 Aufgaben des Datenschutzbeauftragten | 88 | ||
3.7 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“) | 91 | ||
3.8 Verletzungen des Schutzes personenbezogener Daten („Data Breach Notification“) | 94 | ||
3.8.1 Verletzung des Schutzes personenbezogener Daten | 94 | ||
3.8.2 Meldung an die Aufsichtsbehörde | 95 | ||
3.8.3 Benachrichtigung der betroffenen Personen | 99 | ||
3.9 Verhaltensregeln, Zertifizierungen, Siegel, etc. | 102 | ||
3.9.1 Verhältnis zwischen Verhaltensregeln und Zertifizierungen | 102 | ||
3.9.2 Verhaltensregeln („Codes of Conduct“) | 104 | ||
3.9.3 Zertifizierungen, Datenschutzsiegel und –prüfzeichen („Certifications, seals and marks“) | 109 | ||
3.10 Auftragsverarbeiter | 113 | ||
3.10.1 Privilegierte Stellung des Auftragsverarbeiters | 113 | ||
3.10.2 Verpflichtung des Verantwortlichen bei der Auswahl eines Auftragsverarbeiters | 114 | ||
3.10.3 Pflichten des Auftragsverarbeiters | 116 | ||
3.10.4 Hinzuziehung eines „Unter-Auftragsverarbeiters“ | 118 | ||
Referenzen | 118 | ||
4 Materielle Anforderungen | 122 | ||
4.1 Verarbeitungsgrundsätze | 122 | ||
4.1.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | 123 | ||
4.1.2 Zweckbindung | 124 | ||
4.1.3 Datenminimierung | 126 | ||
4.1.4 Richtigkeit | 127 | ||
4.1.5 Speicherbegrenzung | 127 | ||
4.1.6 Integrität und Vertraulichkeit | 128 | ||
4.2 Rechtsgrundlagen für die Datenverarbeitung | 128 | ||
4.2.1 Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person | 128 | ||
4.2.2 Verarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestandes | 138 | ||
4.2.3 Verarbeitung besonderer Kategorien personenbezogener Daten | 154 | ||
4.3 Datenübermittlungen an Drittländer | 164 | ||
4.3.1 Angemessenheitsbeschlüsse | 166 | ||
4.3.2 Einwilligung | 167 | ||
4.3.3 Standardvertragsklauseln | 168 | ||
4.3.4 EU-U.S. Privacy Shield | 172 | ||
4.3.5 Binding Corporate Rules | 175 | ||
4.3.6 Verhaltensregeln, Zertifizierungsverfahren, etc. | 180 | ||
4.3.7 Ausnahmen für bestimmte Fälle | 181 | ||
4.3.8 Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen | 185 | ||
4.4 Eingeschränktes „Konzernprivileg “ | 187 | ||
4.4.1 Eigenständige Datenschutzverantwortlichkeit jedes Gruppenunternehmens | 188 | ||
4.4.2 Erleichterungen in Bezug auf die materiellen Anforderungen | 189 | ||
4.4.3 Erleichterungen in Bezug auf die Datenschutzorganisation | 190 | ||
Referenzen | 191 | ||
5 Rechte der betroffenen Personen | 194 | ||
5.1 Transparenz und Modalitäten | 194 | ||
5.1.1 Die Art und Weise der Kommunikation mit den betroffenen Personen | 195 | ||
5.1.2 Die Form der Kommunikation | 196 | ||
5.2 Informationspflicht des Verantwortlichen bei Erhebung der personenbezogenen Daten | 197 | ||
5.2.1 Zeitpunkt der Information | 198 | ||
5.2.2 Erhebung der Daten bei der betroffenen Person | 198 | ||
5.2.3 Erhebung der Daten von einer anderen Quelle | 200 | ||
5.2.4 Einschränkung der Informationspflichten nach dem BDSG-neu | 201 | ||
5.2.5 Praxishinweise | 204 | ||
5.3 Informationen über auf den Antrag der betroffenen Personen hin ergriffene Maßnahmen | 205 | ||
5.3.1 Art und Weise der Bereitstellung der Informationen | 205 | ||
5.3.2 Frist für die Bereitstellung der Informationen | 207 | ||
5.3.3 Unterrichtung im Falle Nicht-Tätigwerdens | 207 | ||
5.3.4 Bestätigung der Identität der betroffenen Person | 208 | ||
5.4 Auskunftsrecht | 208 | ||
5.4.1 Umfang des Auskunftsrechts | 208 | ||
5.4.2 Einschränkungen des Auskunftsrechts nach dem BDSG-neu | 210 | ||
5.4.3 Zurverfügungstellen der personenbezogenen Daten | 212 | ||
5.4.4 Praxishinweise | 214 | ||
5.5 Recht auf Löschung, auf Berichtung und auf Einschränkung der Verarbeitung | 215 | ||
5.5.1 Recht auf Berichtigung | 215 | ||
5.5.2 Recht auf Löschung | 217 | ||
5.5.3 Recht auf Einschränkung der Verarbeitung | 229 | ||
5.5.4 Mitteilungspflicht gegenüber Dritten im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Art. 19 | 233 | ||
5.6 Recht auf Datenübertragbarkeit | 234 | ||
5.6.1 Anwendungsbereich & Ausübung des Rechts auf Datenübertragbarkeit | 235 | ||
5.6.2 Technische Spezifikationen | 241 | ||
5.6.3 Übermittlung der Daten | 242 | ||
5.6.4 Verhältnis zum Recht auf Löschung | 242 | ||
5.6.5 Ausschluss des Rechts auf Datenübertragbarkeit | 243 | ||
5.7 Widerspruchsrecht | 244 | ||
5.7.1 Gründe für einen Widerspruch gegen die Verarbeitung | 245 | ||
5.7.2 Einschränkungen im BDSG-neu | 247 | ||
5.7.3 Ausübung des Rechts & Rechtsfolgen | 248 | ||
5.7.4 Informationspflicht | 249 | ||
5.8 Automatisierte Entscheidungsfindung | 249 | ||
5.8.1 Anwendungsbereich des Verbots | 250 | ||
5.8.2 Ausnahmen vom Verbot nach der DSGVO | 252 | ||
5.8.3 Ausnahme vom Verbot nach dem BDSG-neu | 253 | ||
5.8.4 Angemessene Schutzmaßnahmen | 254 | ||
5.9 Beschränkungen der Betroffenenrechte | 255 | ||
Referenzen | 256 | ||
6 Zusammenarbeit mit den Aufsichtsbehörden | 259 | ||
6.1 Bestimmung der zuständigen Aufsichtsbehörde | 259 | ||
6.2 One-Stop-Shop | 260 | ||
6.3 Bestimmung der federführenden Aufsichtsbehörde | 262 | ||
6.3.1 Bestimmung anhand der Hauptniederlassung des Unternehmens | 262 | ||
6.3.2 Bestimmung bei Fehlen einer Niederlassung des Unternehmens in der EU | 265 | ||
6.3.3 Ausnahme: lokale Zuständigkeit | 266 | ||
6.3.4 One-Stop-Shop auf nationaler Ebene nach dem BDSG-neu | 267 | ||
6.4 Zusammenarbeit und Kohärenzverfahren | 268 | ||
6.4.1 Europäischer Datenschutzausschuss | 269 | ||
6.4.2 Verfahren zur Zusammenarbeit | 269 | ||
6.4.3 Kohärenzverfahren | 270 | ||
Referenzen | 270 | ||
7 Rechtsdurchsetzung und Sanktionen nach der DSGVO | 272 | ||
7.1 Aufgaben und Untersuchungsbefugnisse der Aufsichtsbehörden | 272 | ||
7.1.1 Größere Konsistenz der Untersuchungsbefugnisse innerhalb der EU | 273 | ||
7.1.2 Regelungen zu aufsichtsbehördlichen Befugnissen im BDSG-neu | 273 | ||
7.1.3 Umfang der Untersuchungsbefugnisse | 275 | ||
7.1.4 Ausübung der Befugnisse | 277 | ||
7.2 Zivilrechtliche Haftung | 277 | ||
7.2.1 Recht auf Schadensersatz | 278 | ||
7.2.2 Schadensersatzpflichtige | 280 | ||
7.2.3 Exkulpationsmöglichkeit | 281 | ||
7.3 Sanktionen | 282 | ||
7.3.1 Abhilfebefugnisse der Aufsichtsbehörden | 283 | ||
7.3.2 Gründe für Bußgelder und Bußgeldbeträge | 284 | ||
7.3.3 Verhängung von Bußgeldern, inkl. mildernden Umständen | 285 | ||
7.3.4 Sanktionierung von Unternehmensgruppen | 286 | ||
7.3.5 Sanktionen und Verfahrensvorschriften des BDSG-neu | 287 | ||
7.3.6 Praxishinweise | 289 | ||
7.4 Rechtsbehelfe | 289 | ||
7.4.1 Rechtsbehelfe von datenverarbeitenden Unternehmen | 289 | ||
7.4.2 Rechtsbehelfe von betroffenen Personen | 291 | ||
Referenzen | 294 | ||
8 Nationale Besonderheiten | 296 | ||
8.1 Vielzahl von Öffnungsklauseln | 296 | ||
8.1.1 Öffnungsklauseln innerhalb der allgemeinen Bestimmungen der DSGVO | 296 | ||
8.1.2 Gesetzgebungskompetenz der EU-Mitgliedstaaten in besonderen Verarbeitungssituationen | 301 | ||
8.1.3 Regelungen im BDSG-neu zu besonderen Verarbeitungssituationen | 302 | ||
8.2 Beschäftigtendatenschutz | 304 | ||
8.2.1 Öffnungsklausel | 304 | ||
8.2.2 Regelungen des § 26 BDSG-neu | 306 | ||
8.2.3 Arbeitnehmervertretungsorgan in Deutschland (Betriebsrat) | 311 | ||
8.3 Telemediendatenschutz | 313 | ||
Referenzen | 316 | ||
9 Besondere Verarbeitungssituationen | 318 | ||
9.1 Big Data | 318 | ||
9.1.1 Anwendbarkeit der DSGVO | 319 | ||
9.1.2 Rechenschaftspflicht | 320 | ||
9.1.3 Einhaltung der Verarbeitungsgrundsätze | 321 | ||
9.2 Cloud Computing | 322 | ||
9.2.1 Verteilung der Verantwortlichkeiten | 322 | ||
9.2.2 Auswahl eines geeigneten Cloud-Serviceanbieters | 323 | ||
9.2.3 Cloud-Serviceanbieter in Drittländern | 324 | ||
9.3 Internet of Things | 324 | ||
9.3.1 Rechtsgrundlage für Datenverarbeitungen im IoT | 324 | ||
9.3.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen | 326 | ||
Referenzen | 327 | ||
10 Praktische Umsetzung der Vorgaben der DSGVO | 328 | ||
10.1 Schritt 1: „Lücken“-Analyse | 329 | ||
10.2 Schritt 2: Risikoanalyse | 330 | ||
10.3 Schritt 3: Projektkonzeption und Ressourcen-/Budgetplanung | 330 | ||
10.4 Schritt 4: Implementierung | 331 | ||
10.5 Schritt 5: Nationale Zusatzanforderungen | 332 | ||
Referenzen | 333 | ||
Annex I – Gegenüberstellung der Vorschriften und entsprechenden Erwägungsgründe der DSGVO sowieder korrespondierenden Vorschriften des BDSG-neu | 334 | ||
Stichwortverzeichnis | 536 |