19,99 €
Mehr erfahren.
- Herausgeber: C. H. Beck
- Kategorie: Fachliteratur
- Sprache: Deutsch
- Veröffentlichungsjahr: 2023
Inhalt Das Buch bereitet die praktisch wichtigen Aspekte des Datenschutzrechts auf, so dass Nutzer, die keine juristische Ausbildung haben, die Anforderungen in ihrer beruflichen Praxis umsetzen können:
- Alles was ein Unternehmen (und damit der Datenschutzbeauftragte) wissen muss, damit es datenschutzkonform arbeiten kann
- Alle erforderlichen Vertragsvorlagen/Dokumente hierfür
- In bewährter Aufmachung: Optisch sind die entscheidenden Elemente der Darstellung hervorgehoben, also
- anschaulich gemacht mit vielen praktischen Beispielen
- leicht umzusetzen mit zahlreichen Mustern und Praxis-Tipps
- gut verständlich mit einfachen Definitionen komplizierter Rechtsbegriffe
- neuer Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA
- ChatGPT und Datenschutz
- Einsatz von MS 365 nach Stellungnahme der DSK
- Trackinglösungen ohne Cookies
- Hinweisgeber-Systeme und Datenschutz
- Neue Schnittstellen: Erfahrungen mit dem TTDSG
- Cyberangriffe als Datenschutzrisiko
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Ähnliche
Zum Buch
Aus dem Inhalt
Datenschutzrechtliche Grundlagen (Verarbeitungstatbestände, Auskunfts- und Korrekturrechte des Betroffenen, Datensicherheit, Datenvermeidung und Datensparsamkeit, Datenschutzbeauftragte etc), Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz (Bewerbung, Personalakte, Nutzung von Internet und E-Mail, Telefondaten, Videoüberwachung, Ortungssysteme usw), Marketing und Werbung (Kunden- und Interessentendaten, Online-Marketing, Adressbroking, Web 2.0 und Social Media, Künstliche Intelligenz und ChatGPT etc), Datenverarbeitung im Auftrag und Technische Organisatorische Maßnahmen/Datensicherheit sowie Datenschutz-Grundverordnung (DS-GVO) und datenschutzkonforme Unternehmensdokumentation nach der DS-GVO.
Das nötige Wissen für den Datenschutzbeauftragten
Im Zeitalter der Digitalisierung und Künstlichen Intelligenz (KI) ist das Datenschutzrecht für jedes Unternehmen wichtig: Kein Unternehmen kann es sich leisten, die Compliance im Datenschutz nicht sicherzustellen, da ansonsten Bußgelder drohen. Es wird aber auch zunehmend schwerer Kunden zu gewinnen, da diese ihrerseits die Compliance im Datenschutz bei ihren Zulieferern kontrollieren.
Das Buch verfolgt das Ziel, Sie dabei zu unterstützen, die richtigen Datenschutz-Entscheidungen in Ihrem Unternehmen zu treffen. Mit einer praxisnahen Darstellung, die durch ihre Klarheit und Verständlichkeit besticht, erhalten Sie wertvolle Einblicke in die Komplexität des Datenschutzes im digitalen Zeitalter. Mit den hier angeführten Tipps und Empfehlungen, werden Sie in der Lage sein, potenzielle Fallstricke zu vermeiden und Ihr Unternehmen in Übereinstimmung mit den aktuellen Datenschutzbestimmungen auszurichten.
Es wird detailliert auf die Besonderheiten und Herausforderungen eingegangen, die Künstliche Intelligenz im Datenschutz mit sich bringt sowie ein umfassender Überblick über das EU-Data Privacy Framework gegeben, sodass Sie stets auf dem neuesten Stand der europäischen Datenschutzbestimmungen sind.
Zum Autor
Dr. Georg F. Schröder ist Rechtsanwalt in München (www.legaldata.law). Er hat sich vor allem auf Datenschutzrecht, Internetrecht und Cyberlaw spezialisiert. Daneben ist er in allen Bereichen des EDVRechts, mit Schwerpunkt in der Vertragsgestaltung von Lizenzenund Projektverträgen tätig.
Beck im dtv
Datenschutzrecht
für die Praxis
Grundlagen · Datenschutzbeauftragte Audit · Handbuch · Haftung etc
Von Dr. Georg F. Schröder, LL.M., Rechtsanwalt in München
5. Auflage
dtv
VVorwort – Datenschutz eine dynamische Rechtsmaterie am Puls der Zeit
Kaum ein anderes Rechtsgebiet hat in den letzten Jahren mehr an Bedeutung gewonnen als das Datenschutzrecht. Während dieses Spezialgebiet früher ein gewisses Schattendasein geführt hat, kommt heute kein Unternehmen mehr ohne ein solides Fundament im Datenschutz aus. Hierfür gibt es im Wesentlichen drei Gründe.
Erstens: Unsere Welt wird immer digitaler. Während früher noch klassische Papierakten und Karteikarten geführt wurden, kommt heute kaum ein Unternehmen mehr ohne Datenbanken und Customer Relationship Management Systeme aus: Spätestens mit dem iPhone haben datengestützte Dienste Einzug in unseren Alltag gefunden. Mit Beginn des Zeitalters der künstlichen Intelligenz, die spätestens mit der Markteinführung von ChatGBT Ende 2022 auch auf breiter Ebene begann, scheint die vollständige Digitalisierung unsers Alltags nicht mehr zu stoppen. . Zweitens: Personenbezogene Daten stellen einen wesentlichen Unternehmenswert dar. Die Detailtiefe, mit der personenbezogene Kundendaten analysiert und ausgewertet werden können, hat ein bislang nie bekanntes Maß erreicht. Das gilt auch und gerade für personenbezogene Daten und lässt sich gut am Unternehmenswert von Facebook verstehen, der insbesondere wegen dieser Daten im Jahr 2023 mit ca. 96 Mrd. EUR bewertet wurde. Kunden von amazon wissen: Es ist fast beängstigend, wie anhand der Daten des Kaufverhaltens eines Kunden Produktempfehlungen für zukünftige Kaufempfehlungen ausgesprochen werden. Viele der empfohlenen Bücher und CDs hat man in Echt schon längst im Schrank stehen! Drittens: In unserer digitalen Welt wird das Wirtschaftsgut Daten immer öfter mit krimineller Energie angegriffen und ausgespäht. Mittlerweile vergeht fast kein Tag, an dem nicht über einen neuen Datenschutzskandal berichtet wird. Unternehmen zahlen an höchst professionell organisierte Clans hohe Millionenbeträge um nach einem Ransomware Angriff wieder an Ihre Daten zu kommen und einer Offenlegung dieser Daten in im Internet zu entgehen.
VINeue Entwicklungen in der Rechtsprechung des Europäischen Gerichtshofs, wie etwa das Schrems II Urteil (Rechtssache C-311/18 „Schrems II“) führen zu einer sich ständig verändernden dynamischen Rechtslage und erfordern eine ständige Prüfung und Anpassung der betrieblichen Datenschutzkonzepte.
Deshalb ist die Beurteilung vieler aktueller und gesetzlich nicht im Detail geregelter Fragen der Auslegung durch die Datenschutzbehörden überlassen. Kommt ein Unternehmen bei diesen Behörden zB durch viele Kundenbeschwerden im Bereich Datenschutz in den Fokus, drohen mittlerweile empfindliche Bußgelder, die bei den bislang größten Verfahren in Deutschland bei notebooksbilliger.de AG, Deutsche Wohnen SE und H&M bei Bußgeldbeträgen in zweistelliger Millionenhöhe lagen. In den letzten Jahren wurden in Europa sogar noch höhere Bußgelder gegen große Technologieunternehmen verhängt. Ein Beispiel dafür ist Amazon Europe Core S.à r.l, das in Belgien mit einer Strafe von 746 Mio. EUR belegt wurde. Ein weiteres Beispiel ist der Facebook-Konzern, der 2023 in Irland sogar mit einer Strafe von 1,2 Mrd. EUR bestraft wurde.
Um dies bei Ihrem Unternehmen zu vermeiden, soll Ihnen das vorliegende Werk helfen. Es wurde dabei bewusst eine praxisnahe Darstellung gewählt, die auch für den Nichtfachmann und Neuling im Datenschutz verständlich und nachvollziehbar ist. Konsequent angewandt werden Ihnen die Tipps und Empfehlungen dabei helfen, die schwersten Fehler im Datenschutz zu vermeiden und Ihr Unternehmen datenschutzkonform auszurichten. Dabei wünsche ich Ihnen und Ihrem Unternehmen viel Erfolg in einer digitalen Zukunft!
München, im Juni 2023
Georg Schröder
VIIInhaltsübersicht
Vorwort
Inhaltsverzeichnis
1. Kapitel Einleitung
2. Kapitel Datenschutzrechtliche Grundlagen
3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz
4. Kapitel Marketing und Werbung
5. Kapitel Datenverarbeitung im Auftrag
6. Kapitel Technische Organisatorische Maßnahmen/Datensicherheit
7. Kapitel Die Datenschutz-Grundverordnung (DS-GVO)
8. Kapitel Die datenschutzkonforme Unternehmens- dokumentation nach der DS-GVO
Sachverzeichnis
IXInhaltsverzeichnis
Vorwort
Inhaltsübersicht
1. Kapitel Einleitung
I. Datenschutz – Historie und Ausblick
1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil
2. Datenschutzskandale
3. Ausblick
II. Wie Ihnen dieses Buch hilft
1. Aufbau
2. Checklisten/Muster und Beispiele
3. Datenschutzrechtliche Musterdokumentation
2. Kapitel Datenschutzrechtliche Grundlagen
I. Was ist Datenschutz?
1. Datensubjekt und Informationelle Selbstbestimmung
2. Personenbezogene Daten – was zählt dazu?
3. Verarbeitungstatbestände
4. Gesetzliche Grundlagen
5. Datenschutzrechtliche Grundsätze
a) Verbot mit Erlaubnisvorbehalt
b) Auskunfts- und Korrekturrechte des Betroffenen
c) Datensicherheit
d) Rechtliche Risiken und Sanktionen
e) Datenvermeidung und Datensparsamkeit / Privacy by Default und Privacy by Design
f) Kontrolle/Der Datenschutzbeauftragte
XII. Gesetzgeberische Aktivitäten
1. Datenschutzreform 2009 / Inkrafttreten der DS-GVO 2018
a) Informationspflichten gemäß Art. 33 DS-GVO
b) Datensparsamkeit und Anonymisierung
c) Datenschutzbeauftragter
d) Auftragsdatenverarbeitung
e) Direktmarketing ohne Einwilligung
f) Direktmarketing mit Einwilligung
g) Stärkung der Position der Aufsichtsbehörden
2. Arbeitnehmerdatenschutz
3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz
I. Bewerberdaten und Bewerbungsprozess
1. Welche Daten dürfen erhoben werden?
a) Immer zulässig: Stammdaten
b) Verarbeitung besonderer Kategorien personenbezogener Daten
c) Vorstrafen
d) Schwerbehinderung und Krankheiten
e) Gewerkschaftszugehörigkeit
f) Religiöse Überzeugung
g) Soziale Netzwerke
h) COVID-Impfstatus
2. Medizinische Untersuchungen und Eignungstests
a) Medizinische Untersuchungen
b) Eignungstests
3. Speicherdauer/Regelfristen
Im Arbeitsverhältnis gelten nach der vorgenannten Systematik die folgenden Regelfristen:
4. Weitergabe personenbezogener Daten im Konzern
5. Online-Bewerbungen / Software für Bewerbermanagement
6. Personalberater
II. Arbeitsvertrag/Erforderliche Unterlagen
1. Zwingend: Verpflichtung auf das Datengeheimnis
2. Konzernprivileg
3. Merkblatt Datenschutz
XIIII. Datenspeicherung im Arbeitsverhältnis
1. Umfang der Verarbeitung
a) Grundsätze
b) Einzelfälle
2. Übermittlung an Dritte
3. Übermittlung ins Ausland
4. Löschung und Sperrung
5. Löschung nach Beendigung des Arbeitsverhältnisses
IV. Personalakte
1. Gesetzliche Rahmenbedingungen
2. Datenschutzrechtlich zu beachten
a) Zugriff auf die Personalakte
b) Inhalte
c) Rechte des Arbeitnehmers
d) Datensicherheit
V. Nutzung von Internet und E-Mail
1. Rechtslage bei Gestattung privater Internet- und E-Mail-Nutzung
a) TTDSG
b) Zusätzlich: Arbeitnehmerdatenschutz nach der DS-GVO
2. Rechtslage bei Verbot privater Internet- und E-Mail- Nutzung
3. Ansprüche des Arbeitnehmers
4. Wichtig: Regeln der Internet- und E-Mail-Nutzung
a) Regelung in Internet- und E-Mail-Policy
b) Muster einer Internet-Policy
c) Regelung in einer Betriebsvereinbarung
d) Muster einer Betriebsvereinbarung Internet- und E-Mail-Nutzung
e) Checkliste: Internet- und E-Mail-Policy
VI. Nutzung von Telefondaten
1. Allgemeine Grundsätze sowie Gespräche mit einer Interessenvertretung
2. Call-Center und telefonische Kundenbetreuung
XIIVII. Datenschutz und Betriebsrat
1. Geltung der DS-GVO für den Betriebsrat
2. Datenschutz im Betriebsrat
VIII. Videoüberwachung
1. Videoüberwachung im öffentlichen Betriebsgelände
2. Videoüberwachung im nicht-öffentlichen Betriebsgelände
3. Videoüberwachung in Rückzugsflächen
4. Aufbewahrungsfristen
IX. Ortungssysteme
X. Biometrische Verfahren
XI. Datenerhebung bei Straftaten und Pflichtverletzungen
1. Grundsatz: Erhebung von Daten nur mit Kenntnis
2. Voraussetzungen der Datenerhebung
3. Zweckgebundenheit/Verhältnismäßigkeit
4. Zeitliche und technische Einschränkungen
XII. Datenschutzrechtliche Haftung und Strafbarkeit
XIII. Anonymisierter Abgleich von Daten
1. Straftaten und Pflichtverletzungen
2. Anonymisierte oder pseudonymisierte Nutzung
XIV. Unterrichtungspflicht bei Datenpannen sowie Beschwerderecht
XV. Mitarbeiterschulungen
XVI. Der Datenschutzbeauftragte
1. Pflicht zur Bestellung
2. Fachkunde und Zuverlässigkeit
3. Datenschutzbeauftragter und Betriebsrat
4. Datenschutzbeauftragter und Führungspositionen
5. Bestellung des Datenschutzbeauftragten
6. Aufgaben des Datenschutzbeauftragten
7. Abberufung
8. Haftung
9. Interner und externer Datenschutzbeauftragter
XIIIXVII. Datenschutz bei Unternehmensverkäufen
XVIII. Praxischeckliste
4. Kapitel Marketing und Werbung
I. Kunden- und Interessentendaten
1. Grundsätze
2. Informationspflichten
3. Möglichkeiten und Grenzen des CRM
a) Nutzungsprofile
b) CRM in der Praxis
II. Online-Marketing
1. Internetauftritt
a) Impressum
b) Cookie Hinweis/Consent Management zu Cookies
c) Consent Management/Cookie Einwilligung
d) Konkrete Umsetzung
e) Datenschutzerklärung
2. Leadgenerierung
a) Datenschutzrechtliche Einwilligung immer erforderlich
b) Inhalt
c) Koppelungsverbot
d) Wettbewerbsrechtliche Einwilligung
e) Confirmed Opt-In
3. Analyse des Nutzerverhaltens im Internet
a) Online Nutzungsprofile/Düsseldorfer Kreis
b) Google Analytics
III. Adressbroking
1. Grundsätze
2. Widerspruchsrecht/Hinweispflicht
3. Verträge mit Adressbrokern
IV. Dienstleister und Agenturen
1. Verpflichtung auf das Datengeheimnis
2. Datenauftragsverarbeitung
XIVV. Web 2.0 und Social Media
1. Datenschutzniveau der jeweiligen Netzwerke
2. Datenschutzrechtliche Aspekte im Unternehmen
3. Social-Media-Policy
4. Facebook Fanpages / EUGH Urteil
VI. Künstliche Intelligenz und ChatGPT
1. Ausgangssituation
2. Empfehlung aus Praxissicht
a) Umgang mit vertraulichen Informationen / Betriebsgeheim- nissen
b) Umgang mit personenbezogenen Daten
c) Umgang mit diskriminierenden, schädlichen und irreführenden Antworten
d) Urheberrechtsverletzungen
e) KI-Scanner
f) Persönlichkeitsrechte
g) Schulung der Mitarbeiter
VII. Praxischeckliste
5. Kapitel Datenverarbeitung im Auftrag
I. Überblick
II. Definition/Vorliegen der Datenverarbeitung im Auftrag
III. Rechtsfolgen
1. Überprüfung der technischen organisatorischen Maßnahmen
a) Erstauswahl
b) Erstkontrolle/Vorabkontrolle
c) Regelmäßige Kontrolle
2. Vertragsinhalte
Checkliste Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO
IV. Auslandsbezug
1. Systematik
XV2. Kein Drittland (Beispiel Frankreich)
3. Drittland mit angemessenem Datenschutzniveau (Beispiel Schweiz)
4. Sonderfall USA
a) Vor dem Safe-Harbor-Urteil / Schrems I
b) Privacy Shield
c) Schrems II Urteil
d) Aktuelle Entwicklungen: Bußgeld gegen Meta
e) TADAP-Framework
5. Drittland ohne angemessenes Datenschutzniveau (Beispiel Russland)
6. EU-Standardvertragsklausel
7. Überblick
V. Cloud-Computing
1. Technische Hintergründe und Begriffsdefinition
2. Datenschutzrechtliche Bewertung
6. Kapitel Technische Organisatorische Maßnahmen/Datensicherheit
I. Datenschutz und Datensicherheit
1. Grundsätze
2. Zunahme der Cyberkriminalität
3. Gesetzliche Rahmenbedingungen
II. Auditierungen
1. Alternativen
2. Einzelne IT-Sicherheitskonzepte
a) IT-Grundschutzkatalog
b) CobiT
c) ISO 9000
d) ISO/IEC 17799 und BS 7799
III. Umsetzung in der Praxis
1. Dokumentation technisch-organisatorischer Maßnahmen
2. IT-Security-Policy
XVI7. Kapitel Die Datenschutz-Grundverordnung (DS-GVO)
I. Überblick
1. Sinn und Zweck
2. Systematik: Ein einheitlicher Rechtsrahmen
3. Öffnungsklauseln
II. Wichtigste Änderungen und Neuregelungen
1. Ausweitung der Interessenabwägung
2. Internationale Datentransfers und EU-Standardvertragsklauseln
3. Datenschutzbeauftragter
4. Auftragsverarbeitung
5. Datenschutz-Folgenabschätzung
6. Technisch-organisatorische Maßnahmen nach der DS-GVO
7. Meldepflichten
8. Hohe Geldbußen nach der DS-GVO
III. Öffnungsklauseln und nationale Umsetzung
8. Kapitel Die datenschutzkonforme Unternehmens- dokumentation nach der DS-GVO
I. Überblick und Problemstellung
II. Verzeichnis von Verarbeitungstätigkeiten
1. Gesetzliche Voraussetzungen
2. Umsetzung in der Praxis
III. Datenschutzrichtline/Löschkonzept
IV. Datenschutz-Folgenabschätzung
V. Sonstige Dokumentation
Sachverzeichnis
11. Kapitel Einleitung
I. Datenschutz – Historie und Ausblick
1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil
Bereits im Jahr 1970 wurde das erste deutsche Gesetz zum Datenschutz erlassen: das 1. Hessische Datenschutzgesetz (HDSG , GVBl. I 1970, 625). Auch wenn es bereits in den sechziger Jahren in den USA unter der Regierung von John F. Kennedy Diskussionen zum Thema „Privacy“ gab, stellte das HDSG das auch weltweit erste Gesetz zum Datenschutz dar. Deutschland war auf dem Gebiet der Gesetzgebung also weltweiter Vorreiter, auch wenn der praktische Anwendungsbereich dieses Gesetzes sich damals noch auf die öffentliche Hand beschränkte. Das war wohl auch darauf zurückzuführen, dass die elektronische Datenverarbeitung im privaten Bereich de facto noch nicht vorhanden war und ein damit bestehendes Bedrohungs- und Missbrauchspotential überwiegend im Bereich der öffentlichen Verwaltung vermutet wurde.
Nachdem weitere Bundesländer eigene Datenschutzgesetze erlassen hatten, sah sich der Gesetzgeber auf Bundesebene veranlasst, einen einheitlichen Rahmen für den Regelungsbereich des Datenschutzes zu schaffen und erließ im Jahr 1977 das erste Bundesdatenschutzgesetz (BDSG). Deutschland hatte somit lange Zeit vor der Ausbreitung 2der elektronischen Datenverarbeitung ein umfassendes Regelwerk zum Datenschutz. Die Anwendung dieses Gesetzes in der Praxis, aber auch die öffentliche Wahrnehmung war jedoch trotz dieser gesetzgeberischen Pionierarbeit sehr gering: Computer, Netzwerke und (erst recht) das Internet waren in Privathaushalten so gut wie noch nicht vorhanden. Im großen Stile erfolgte die elektronische Datenverarbeitung lediglich im Bankensektor und der öffentlichen Hand.
Dieser Zustand änderte sich schlagartig mit dem sogenannten „Volkszählungsurteil “, welches vom Bundesverfassungsgericht am 15.12.1983 verkündet wurde (BVerfGE 65, 1). Zu Recht wird dieses Urteil, dessen Grundsätze bis heute Auswirkungen auf das Datenschutzrecht in Deutschland haben, als „Geburtsstunde des Datenschutzes“ bezeichnet:
Gegenstand des Volkszählungsurteils war eine vom deutschen Gesetzgeber geplante umfassende Volks-, Berufs-, Wohnung- und Arbeitsstättenzählung auf Grundlage des sogenannten Volkszählungsgesetzes (BGBl. I 1982, 369). Da die elektronische Datenverarbeitung in den 80er Jahren bereits recht fortgeschritten war und eine vermehrte Ausbreitung auch im privaten Bereich prognostiziert wurde, regte sich gegen die geplante Volkszählung weitreichender Widerstand.
Dieser war nicht nur auf politische Randgruppen beschränkt, sondern zog sich durch weite Bereiche der gesamten Öffentlichkeit, was wohl auch darauf zurückzuführen war, dass durch die Volkszählung erstmals jeder Bundesbürger betroffen war und befragt wurde. Zu Protesten führte dabei vor allem, dass der Gesetzgeber nicht nur eine bloße Zählung der Bevölkerung vornehmen wollte, sondern darüber hinaus weitreichende, zum Teil sehr private Informationen abfragen wollte. Hierzu zählten unter anderem:
die Zugehörigkeit oder Nichtzugehörigkeit zu einer Religionsgemeinschaft;
die Quelle des überwiegenden Lebensunterhaltes;
Beteiligung am Erwerbsleben, Eigenschaft als Hausfrau;
die Stellung im Beruf und die ausgeübte Tätigkeit;
3die Förderung der Wohnung mit Mitteln des sozialen Wohnungsbaus;
(bei Betrieben) die Summe der Bruttolöhne und Gehälter des vorhergehenden Kalenderjahres.
Da sowohl die Bundes-, als auch die Länderregierungen das Gesetz und die Volkszählung als solche für zulässig und rechtmäßig hielten, war die Überraschung groß, als das Verfassungsgericht mit einem weitreichenden Grundsatzurteil auf zahlreiche eingegangene Verfassungsbeschwerden reagierte. Im Kern wurden weite Bereiche der geplanten Volkszählung für verfassungsrechtlich unzulässig erklärt. Neu war: Das Bundesverfassungsgericht sah erstmals im Datenschutz ein eigenes grundgesetzlich geschütztes Recht, in dem es die sogenannte informationelle Selbstbestimmung als verfassungsrechtliches Gut erkannte und umfassend begründete: Die Möglichkeiten der modernen Datenverarbeitung seien weithin nur noch für Fachleute durchschaubar und können beim Staatsbürger die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung selbst dann auslösen, wenn der Gesetzgeber lediglich solche Angaben verlangt, die erforderlich und unzumutbar sind. Deshalb steht dem Bürger ein Recht auf informationelle Selbstbestimmung zu, welches verfassungsrechtlich im Recht auf das allgemeine Persönlichkeitsrecht (APR), also Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet ist.
In den deutlichen Worten des Bundesverfassungsgerichts:
„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, 4Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“
Das Volkszählungsurteil führte zu weitreichenden Veränderungen in der Gesetzgebung und später auch zu einer Novellierung des Bundesdatenschutzgesetzes im Jahre 1995. Der Datenschutz ist seit diesem Zeitpunkt ein wichtiger Bestandteil der Gesetzgebung und es ist auch für das heutige Verständnis und der Interpretation datenschutzrechtlicher Vorschriften hilfreich, zu verstehen, worauf wesentliche Teile unserer datenschutzrechtlichen Bestimmungen beruhen: dem Widerstand der Bürger gegen eine extensive Erhebung von Daten durch den Staat und einer hierauf ergangenen Entscheidung des Bundesverfassungsgerichts, welches jedem einzelnen Bürger ein Recht auf informationelle Selbstbestimmung einräumt.
2. Datenschutzskandale
Auch wenn das Bundesdatenschutzgesetz und weitere Spezialregelungen zum Datenschutz (zB im Bereich des Internets das damalige Teledienstedatenschutzgesetz) in der Gesetzgebung fest verankert waren, führte der Datenschutz in den neunziger Jahren in der unternehmerischen Praxis eher ein Schattendasein. Selbst wenn den Unternehmen bewusst war, dass datenschutzrechtliche Vorgaben erfüllt werden müssen, wurden diese zum Teil lediglich pro forma oder auch überhaupt nicht umgesetzt. Grund hierfür war auch, dass die Datenaufsichtsbehörden zum Teil personell nicht sehr stark besetzt waren, eine Verfolgung von Ordnungswidrigkeiten nicht sehr wahrscheinlich war und eine derartige Verfolgung sich im Regelfall auf gravierende und vorsätzlich begangene Verstöße beschränkte.
Mit Einführung der DS-GVO im Jahr 2018 erhöhte sich der Bußgeldrahmen für Datenschutzverstöße aber erheblich: Für die im Gesetz unter Art. 83 Abs. 5 DS-GVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Mio. EUR 5oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
In jüngster Vergangenheit rückte das Thema der Bußgelder im datenschutzrechtlichen Bereich jedoch vermehrt in den Blickpunkt der Öffentlichkeit: Zahlreiche Datenschutzskandale mit zum Teil hohen Bußgeldern und verheerender Außenwirkung auf die betroffenen Unternehmen führten dazu, dass das Thema nunmehr auch von den Unternehmen selbst als essenzielle Unternehmensaufgabe wahrgenommen wurde.
notebooksbilliger.de AG (Bußgeld in Höhe von 10,4 Mio. EUR):
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat am 8.1.2021 eine Geldbuße über 10,4 Mio. EUR gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte nach der Auffassung der Behörde über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die vermeintlich unzulässigen Kameras erfassten dabei unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.
Das Unternehmen hatte sich im Verfahren darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss ein Unternehmen nach der Auffassung der Behörde aber zunächst mildere Mittel prüfen (zB stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten sei zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber nach Ansicht der Behörde weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.
H&M (Bußgeld in Höhe von 35,4 Mio. EUR):
Auch die weltweit agierende Modefirma H&M verstrickte sich im vergangenen Jahr in einen weitreichenden Datenschutzskandal:
6Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 1.10.2020 einen Bußgeldbescheid in Höhe von 35.258.707,95 EUR gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.
Nach der Ansicht der Behörde kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich nach Angabe der Behörde einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung unter anderem genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen, weswegen die Behörde sich veranlasst das bislang höchste Bußgeld in Deutschland zu verhängen.
Deutsche Wohnen SE (Bußgeld in Höhe von 14,5 Mio. EUR):
Am 30.10.2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Mio. EUR wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene 7Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie zB Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Meta/FACEBOOK:
Die Firma Facebook hat der Firma Cambridge Analytica im Jahr 2016 unerlaubt Zugang zu Daten von Mio. Facebook-Profilen verschafft. Mit Hilfe dieser Daten sollen Wähler im US-Präsidentschaftswahlkampf zugunsten von Donald Trump mit unerlaubter Wahlwerbung beeinflusst worden sein – was jedoch auch nach den neuesten Enthüllungen nicht endgültig bewiesen werden konnte. Facebook hatte sich nach einem Verhör des Gründer Mark Zuckerberg vor dem US-Kongress für den Skandal entschuldigt und versprochen, Konsequenzen zu ziehen. Wegen dieses Vorfalls wurde im Mai 2023 ein Bußgeld gegen den Mutterkonzern Meta in Höhe 1,2 Mrd. EUR erlassen: Die irische Datenschutzkommission (DPC) ist hier der Ansicht, dass Meta große Mengen personenbezogener Daten europäischer Facebook-Nutzer in die Vereinigten Staaten übertragen hat, ohne angemessene Schutzmaßnahmen gegen die datenüberwachenden Praktiken der US-Regierung zu ergreifen. Diese Verletzung der Datenschutzbestimmungen hat zur bisher höchsten Geldstrafe im Rahmen der DS-GVO geführt. Die irische Datenschutzbeauftragte erklärte, dass die Verwendung von Standardvertragsklauseln durch Meta zur Übertragung von Daten in die USA nicht ausreicht, um die Risiken für die Grundrechte und -freiheiten der europäischen Facebook-Nutzer zu beseitigen, wie sie durch das Schrems II Grundsatzurteil des höchsten Gerichts der Europäischen Union aufgeworfen wurden. Es wurde festgestellt, dass Meta personenbezogene Daten, darunter auch an US-Sicherheitsdienste, weitergeleitet hat.
81&1 Telecom GmbH (Bußgeld in Höhe von 900.000 EUR):
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH am 9.12.2019 mit einer Geldbuße in Höhe von 900.000 EUR belegt. Das Bußgeld betrug ursprünglich sogar 10 Mio. EUR wurde aber später vom Landgericht Bonn auf 900.000 EUR reduziert.
Das Unternehmen hatte nach Ansicht der Behörde keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 EUR gegen die Rapidata GmbH aus.
Im Fall von 1&1 Telecom GmbH hatte die Behörde davon Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sah die Behörde einen Verstoß gegen Art. 32 DS-GVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Auch in Europa sind in den letzten beiden Jahren die Bußgelder stark angestiegen, was ein Blick auf die Top 10 der europäischen Bußgelder für Datenschutzverstöße zeigt:
Top 10 – Bußgelder in Europa
Rang
Land
Datum
Höhe Bußgeld
Empfänger
Vor-schrift
1
IRLAND
12.5.2023
1.200.000.000 EUR
Meta Platforms Ireland Limited
Art. 46 (1) DS-GVO
2
LUXEM-BURG
16.7.2021
746.000.000 EUR
Amazon Europe Core S.à.r.l.
Art. 46 (1) DS-GVO
3
IRLAND
5.9.2022
405.000.000 EUR
Meta Platforms, Inc.
Art. 5 (1) a), c) DS--GVO, Art. 6 (1) DS-GVO, u.a.
4
IRLAND
4.1.2023
390.000.000 EUR
Meta Platforms Ireland Limited
Art. 5 (1) a) DS-GVO, Art. 6 (1) DS-GVO, u.a.
95
IRLAND
25.11.2022
265.000.000 EUR
Meta Platforms Ireland Limited
Art. 25 (1), (2) DS-GVO
6
IRLAND
2.9.2021
225.000.000 EUR
WhatsApp Ireland Ltd.
Art. 5 (1) a) DS-GVO, Art. 12 DS-GVO, u.a.
7
FRANK-REICH
31.12.2021
90.000.000 EUR
Google LLC
Art. 82 loi Informatique et Libertés
8
FRANK-REICH
31.12.2021
60.000.000 EUR
Facebook Ireland Ltd.
Art. 82 loi Informatique et Libertés
9
FRANK-REICH
21.1.2019
50.000.000 EUR
Google LLC
Art. 13 DS-GVO, Art. 14 DS-GVO, u.a.
10
DEUTSCH-LAND
1.10.2020
35.258.708 EUR
H&M Hennes & Mauritz Online Shop A.B. & Co. KG
Art. 5 DS-GVO, Art. 6 DS-GVO
3. Ausblick
Aktuell wird in den Medien nahezu wöchentlich über neue Datenschutzskandale berichtet. Das Thema ist seit dem Inkrafttreten der DS-GVO in weiten Teilen der Öffentlichkeit präsent und auch der Gesetzgeber versucht, mit der Digitalisierung Schritt zu halten.
Im Wesentlichen sprechen drei Gründe dafür, dass der Bereich Datenschutz in der Zukunft immer mehr an Bedeutung für Unternehmen gewinnen wird.
Erstens: In einer zunehmend digitalisierten Welt wird der Missbrauch von Daten immer größer werden. Hierzu zählen nicht nur fahrlässig begangene Ordnungswidrigkeiten von Unternehmen (wie in den oben gezeigten Datenschutzskandalen), sondern auch Cyber-Crime, wie zB das Ausspionieren von Kontodaten (Phishing ) und vor allem aktuell die immer größere werdende Bedrohung im Bereich der Ransomware Attacken .
10Zweitens: Durch diesen zunehmenden Missbrauch und die damit einhergehenden Datenschutzskandale wird die Sensibilität in der Öffentlichkeit für das Thema Datenschutz immer größer werden. Ein gutes Beispiel ist hier der Dienst Google-Street View , welcher in Medien, Politik und Öffentlichkeit ausgiebig diskutiert wurde. Der Wandel in der öffentlichen Wahrnehmung ist auch auf Unternehmerseite von Bedeutung: Es wird dort immer wichtiger werden, das eigene Unternehmen als datenschutzkonform am Markt zu präsentieren. Dies gilt insbesondere für internetbasierte Geschäftsmodelle, bei denen es unerlässlich ist, das Vertrauen der User zu gewinnen. Die Praxis zeigt hier vor allem wegen der stark angestiegenen Bußgelder, dass gerade größere Unternehmen keine Aufträge an Zulieferer ohne eine intensive Complianceprüfung im Datenschutz mehr vergeben.
Drittens: Im Ergebnis wird der Gesetzgeber durch den Missbrauch und eine veränderte mediale Wahrnehmung neue Regelungen im Bereich Datenschutz erlassen.
Als Ausblick lässt sich somit festhalten, dass es für Unternehmen in der Zukunft immer wichtiger sein wird, datenschutzkonform zu arbeiten und alle gesetzlichen Voraussetzungen im Bereich Datenschutz zu erfüllen. Diese Anforderungen werden in Zukunft aufgrund einer höheren Regelungsdichte immer umfassender und komplexer werden. Gleichzeitig wird die Überwachung durch die Datenschutzbehörden zunehmen. Zusammen mit einer wachsenden Zahl an Beschwerden bei den Datenschutzbehörden führt dies zu einem erhöhten Bußgeldrisiko für Unternehmen.
Zusammengefasst:
Ein hohes Niveau im Datenschutz wird zukünftig nicht mehr lästiger Formalismus, sondern wesentliche Kernaufgabe eines jeden Unternehmens sein. Größere Unternehmen vergeben Aufträge an oft nur noch nach einer intensiven Prüfung des Datenschutzes beim Zulieferer. Aus diesem Grunde ist es auch für kleinere und mittelständische Unternehmen unerlässlich die Einhaltung datenschutzrechtlicher Regelungen sicherzustellen.
11II. Wie Ihnen dieses Buch hilft
1. Aufbau
Es ist nahezu in allen Unternehmensbereichen erforderlich, auf die Umsetzung der einschlägigen Gesetze zum Datenschutz zu achten. An einem Beispiel verdeutlicht: Es ist offensichtlich, dass beim Adressbroking der Datenschutz eine Rolle spielt. Oftmals ist aber der Anwendungsbereich einer Vorschrift nicht unmittelbar erkennbar und die Behörden legen datenschutzrechtliche Vorschriften eng aus. So wurde das weit verbreitete Tool Google-Analytics von den Datenschutzbehörden oft als datenschutzwidrig angesehen, wenn es nicht den gesetzlichen Anforderungen entsprechend umgesetzt eingesetzt wurde.
Für den datenschutzrechtlichen Laien ist es deshalb extrem schwer, sich in der Vielzahl der spezifischen Gesetze zurecht zu finden und ein Großteil der Literatur (vor allem Gesetzeskommentare) orientiert sich in Aufbau und Struktur an den jeweiligen Gesetzestexten.
Um dem Leser eine möglichst praxisnahe Lösung an die Hand zu geben, weicht der vorliegende dtv-Rechtsberater hiervon ab, indem er sich ausschließlich an den Unternehmensprozessen in den jeweiligen Fachabteilungen orientiert. Dies sind:
Datenschutz in der Personalabteilung/Mitarbeiterdatenschutz,
Marketing und Werbung,
IT-Abteilung,
Einkauf und
Organisation/Verwaltung.
2. Checklisten/Muster und Beispiele
Innerhalb der jeweiligen Abteilung des Unternehmens werden die wichtigsten gesetzlichen datenschutzrechtlichen Anforderungen im Überblick dargestellt. Um eine möglichst praxisnahe Anwendung dieser Gesetze zu gewährleisten, endet jedes einzelne Kapitel mit einem Überblick der Anforderungen und Inhalte („Auf einen Blick“).
12Sofern erforderlich und hilfreich, werden konkrete Formulierungsvorschläge für ein Vertragsmuster (zB für ein einzusetzendes Vertragsmuster beim Adressbroking) innerhalb des jeweiligen Kapitels vorgestellt.
Praxischecklisten, mit denen ein Unternehmen vollständig datenschutzrechtlich geprüft werden kann, schließen die jeweiligen Kapitel ab.
3. Datenschutzrechtliche Musterdokumentation
Schließlich finden Sie in Kapitel 8 eine vollständige Musterdokumentation, die Sie zur Umsetzung aller gesetzlichen Vorschriften in Ihrem Unternehmen benötigen.
132. Kapitel Datenschutzrechtliche Grundlagen
I. Was ist Datenschutz?
1. Datensubjekt und Informationelle Selbstbestimmung
Grundlage des Datenschutzes ist der Schutz des sogenannten Datensubjekts in seinem Recht auf Informationelle Selbstbestimmung. Unter Datensubjekt kann man dabei – einfach gesagt – jeden Menschen aus „Fleisch und Blut“ verstehen. Nicht geschützt sind damit reine Unternehmensdaten, wie etwa Bilanzdaten einer Aktiengesellschaft oder GmbH.
Sinn und Zweck des Datenschutzes ist es damit, den Einzelnen vor einer missbräuchlichen Nutzung seiner personenbezogenen Daten zu schützen. Dies gilt insbesondere im Verhältnis zwischen Staat und Bürger („gläserner Bürger“). Das vorgenannte Verhältnis zur öffentlichen Hand wird in den sogenannten Landesdatenschutzgesetzen (zB Bayerisches Landesdatenschutzgesetz) geregelt. Der Missbrauch von Daten soll jedoch auch zwischen den Bürgern verhindert werden. Aus diesem Grund besteht eine Vielzahl von einfachgesetzlichen Regelungen, welche den Datenschutz, dh den Umgang mit personenbezogenen Daten zum Gegenstand haben. Das wichtigste Gesetz ist dabei die DS-GVO und das Bundesdatenschutzgesetz (BDSG). Es gibt aber noch zahlreiche weitere Spezialvorschriften, die den Datenschutz regeln, wie zB im Bereich der neuen Medien das Telemediengesetz (TMG ).
14Wie bereits einleitend erwähnt, wird dieses Recht des Bürgers auf beschränkten Umgang mit seinen personenbezogenen Daten mit dem sogenannten Recht auf Informationelle Selbstbestimmung begründet, welches seinerseits auf das Volkszählungsurteil zurückgeht.
Gegenstand des Datenschutzrechts ist also das Recht des Einzelnen, über die Verarbeitung, Erhebung und Speicherung seiner Daten frei zu bestimmen.
2. Personenbezogene Daten – was zählt dazu?
Der Begriff „personenbezogene Daten“ wird in Art. 4 Nr. 1 DS-GVO definiert: Hierunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zu verstehen. Diese Person wird im Datenschutz auch als Betroffener bezeichnet. Eine Person ist immer dann bestimmbar, wenn die hierfür erforderlichen Daten aus allgemein zugänglichen Quellen ermittelt werden können.
An einem Beispiel verdeutlicht: Eine Unternehmens-E-Mail-Adresse stellt ein personenbezogenes Datum dar, da von der namentlichen Bezeichnung ausgehend und dem betreffenden Unternehmen aus allgemein zugänglichen Quellen (zB dem Internet) eine Person bestimmt werden kann.
Beispiele für personenbezogene Daten sind Name, Geburtstag, Adresse, Telefon- und Faxnummern , Kfz-Kennzeichen, Kontonummer, Versicherungs- oder Personalnummern , Berufsangaben oder Einkommensdaten.
Nicht in den Anwendungsbereich des Art. 4 Nr. 1 DS-GVO fallen Daten, die einer Person nicht zuzuordnen sind. Dies sind wie gesagt reine Unternehmensdaten (zB Umsatzzahlen eines Unternehmens). Diese Daten besitzen datenschutzrechtlich keinen Schutz. Es kann natürlich sein, dass diese Daten durch andere als die hier dargestellten datenschutzrechtlichen Vorschriften geschützt werden, beispielsweise als Betriebs- und Geschäftsgeheimnisse. Diese unterliegen zB dem strafrechtlichen Schutz nach § 203, § 204 Strafgesetzbuch und des Gesetzes zum Schutz von Geschäftsgeheimnissen 15(GeschGehG), welches die Richtlinie 2016/943/EU zum Schutz von Geschäftsgeheimnissen umsetzt.
