Datenschutz – leicht gemacht. E-Book

[1]

Datenschutz – leicht gemacht

[2]

GELBE SERIE – leicht gemacht

Herausgegeben von Helwig Hassenpflug

Die leicht gemacht-Lehrbücher führen Studierende erfolgreich in die Fächer Recht (GELBE SERIE) und Steuern / Rechnungswesen (BLAUE SERIE) ein, indem sie besonderes Augenmerk auf didaktische Erfordernisse legen und die wichtigsten Grundlagen vermitteln. Die Bände richten sich insbesondere an Anfängerinnen und Anfänger ohne Vorkenntnisse und sind daher ideal für den Einstieg und zur Prüfungsvorbereitung.

Weitere spannende Bände unter:

www.leicht-gemacht.de

[3]

Datenschutz leicht gemacht

Management personenbezogener Daten im Unternehmen: EU-DSGVO, BDSG & DSMS

von Alexander Deicke und Leonie Schönhagen

Edition Wissenschaft & Praxis

[4]

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Umschlagbild: © Sean Pavone – iStock

Alle Rechte vorbehalten

©2024 Edition Wissenschaft & Praxis

bei Duncker & Humblot GmbH, Berlin

Satz: Michael Haas

Druck: Prime Rate Kft., Budapest, Ungarn

Gedruckt auf FSC-zertifiziertem Papier

leicht gemacht® ist ein eingetragenes Warenzeichen

ISBN 978-3-87440-389-4 (Print)

ISBN 978-3-87440-789-2 (E-Book)

www.duncker-humblot.de

[5]

Inhalt

Abkürzungen

I.Management Summary

II.Datenschutzrecht

Lektion 1: Was ist Datenschutz?

Lektion 2: Was ist der gesetzliche Rahmen?

Lektion 3: Definitionen

Lektion 4: Grundsätze des Datenschutzes

Lektion 5: Rechtsgrundlagen der Verarbeitung

Lektion 6: Drittparteien und Datentransfer

Lektion 7: Das Verarbeitungsverzeichnis, VVT

Lektion 8: Sanktionen und Bußgelder

Lektion 9: Weitere Aspekte, die im Datenschutz eine Rolle spielen

III.Managementsysteme

Lektion 10: Was ist ein Managementsystem?

Lektion 11: Die Implementierung eines Managementsystems

Lektion 12: Das Compliance Management System (CMS)

Lektion 13: Das Datenschutzmanagementsystem

Lektion 14: Interdisziplinarität

Lektion 15: Sensibilisierung ist das Herz aller Systeme

IV.Zukunft des Datenschutzes

Lektion 16: Was passiert, wenn ich mich nicht an den Datenschutz halte?

Lektion 17: Frühzeitig Risiken erkennen und managen

Lektion 18: Mehrwert generieren und Vertrauen aufbauen

Lektion 19: Noch ein kleiner Ausblick

Sachregister

[6]

Leitsätze und Übersichten

Leitsatz 1 Datenschutz – Wer hat’s erfunden?

Übersicht 1 Entwicklung des BDSG

Übersicht 2 Übersicht über die Datenschutzgesetze in Deutschland

Übersicht 3 Struktur der Gesetzgebung zum Datenschutz in Deutschland

Übersicht 4 Struktur der Datenschutzaufsicht in Deutschland

Leitsatz 2 Datenschutzrecht als Querschnittsmaterie

Leitsatz 3 Der räumliche Anwendungsbereich der DSGVO

Übersicht 5 Was sind personenbezogene Daten?

Übersicht 6 Übersicht über den Begriff der Verarbeitung

Übersicht 7 Vergleich zwischen anonymisierten, pseudonymisierten und personenbezogenen Daten

Leitsatz 4 Verarbeitung von Daten

Übersicht 8 Grundsätze der DSGVO

Leitsatz 5 Grundsätze der Datenverarbeitung

Übersicht 9 Grundlagen rechtmäßiger Verarbeitung

Übersicht 10 Auszug Ermächtigungsgrundlagen aus Artikel 6 der DSGVO

Übersicht 11 Was zählt zu personenbezogenen Daten?

Leitsatz 6 Verbot mit Erlaubnisvorbehalt

Leitsatz 7 Rechte der Betroffenen

Übersicht 12 Betroffenenrechte aus der DSGVO

Leitsatz 8 Betroffene müssen informiert werden

Übersicht 13 Checkliste für die Datenschutzerklärung

Übersicht 14 Ablauf eines Auskunftsprozesses

Leitsatz 9 Anspruch auf Auskunft

[7]

Übersicht 15 Bearbeitung eines Antrags auf Löschung

Übersicht 16 Erstellung eines Löschkonzepts nach DSGVO

Übersicht 17 Exemplarisches Löschkonzept

Leitsatz 10 Recht auf Löschung

Übersicht 18 Muster eines Widerspruchs gegen die Datenverarbeitung

Leitsatz 11 Recht auf Widerspruch

Übersicht 19 Muster einer Auftragsverarbeitungsvereinbarung

Übersicht 20 Verhältnis zwischen den Personen bei der Auftragsverarbeitung

Übersicht 21 Bestandteile einer Auftragsverarbeitungsvereinbarung

Leitsatz 12 Mittel der parteiübergreifenden Datenverarbeitung

Übersicht 22 Modelle und Rollen im Datenverarbeitungsprozess

Leitsatz 13 Internationale Datenübermittlung

Übersicht 23 Das Verarbeitungsverzeichnis gemäß Artikel 30 der DSGVO

Leitsatz 14 Folgen von Verstößen

Übersicht 24 Beispiele für technische und organisatorische Maßnahmen („TOMs“)

Übersicht 25 Aufgaben eines Datenschutzbeauftragten

Übersicht 26 Bestellungsurkunde eines Datenschutzbeauftragten

Leitsatz 15 Datenschutzvorfälle

Übersicht 27 Meldung eines Datenschutzvorfalls

Übersicht 28 Implementieren eines Datenschutzmanagementsystemsgaben

Leitsatz 16 Managementsysteme

Übersicht 29 Compliance Management System (IDW PS 980)

[8]

Übersicht 30 Ebenen eines Datenschutzmanagementsystems

Leitsatz 17 Die Pyramide eines Managementsystems

Leitsatz 18 Der Datenschutzbeauftragte als Bindeglied

Leitsatz 19 Der Datenschutzbeauftragte als Risikomanager

Übersicht 31 Datenschutzbeauftragter nach Artikel 37 der DSGVO

Leitsatz 20 Segregation of Duties

Übersicht 32 Aufbau eines ISMS

Leitsatz 21 Datenschutzmanagementsysteme

Übersicht 33 Verhältnis von Compliance, DSMS und ISMS

Leitsatz 22 Prozessorientierung

Übersicht 34 Beantwortung eines Auskunftsverlangens Artikel 15 der DSGVO

Leitsatz 23 Informationssicherheit

Übersicht 35 Der BCM-Kreislauf

Leitsatz 24 Handlungsanweisungen

Übersicht 36 Implementierung der DSGVO

Übersicht 37 Internationale Koordination des Datenschutzes in einem Unternehmen

Leitsatz 25 Koordinatoren für den Datenschutz

Leitsatz 26 Digitales Dokumentenmanagement

Leitsatz 27 Haftungsszenarien

Übersicht 38 Vermeidung von Haftungsfällen

Leitsatz 28 Musterstruktur für regulatorische Funktionen

Leitsatz 29 Prozessorientierung in Unternehmen

Übersicht 39 Was ist Legal Tech?

Leitsatz 30 Nachhaltigkeit

Leitsatz 31 Komplexität des Datenschutzes

[9]

Abkürzungen

Abs.

Absatz

AGB

Allgemeine Geschäftsbedingungen

AI

Artificial Intelligence

AO

Abgabenordnung

APPI

Act on the Protection of Personal Information

Art.

Artikel

Aufb.Pflicht

Aufbewahrungspflicht

AVV

Auftragsverarbeitungsvereinbarung

Bay DB

Bayerischer Datenschutzbeauftragter

BCM

Business Continuity Management

BCP

Business Continuity Plans

BDSG

Bundesdatenschutzgesetz

BfDI

Bundesbeauftragte für Datenschutz und Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BIA

Business Impact Analyse

BW

Baden-Württemberg

BY

Bayern

bzw.

beziehungsweise

C-C

Controller zu Controller

CCPA

California Consumer Privacy Act

CMS

Compliance Management System

DE

Deutschland

DPIA

Data Protection Impact Assessment

DS

Datenschutz

DSB

Datenschutzbeauftragter

[10] DSGVO

Datenschutzgrundverordnung

DSK

Datenschutzkonferenz

DSMS

Datenschutzmanagementsystem

DV

Datenverarbeitung

ESG

Environmental Social Governance

EU

Europäische Union

EuGH

Europäischer Gerichtshof

ev.

evangelisch

EWR

Europäischer Wirtschaftsraum

f.

folgende

ff.

fortfolgende

GF

Geschäftsführer

ggf.

gegebenenfalls

GRC

Governance, Risk und Compliance

HDSG

Hessisches Datenschutzgesetz

HGB

Handelsgesetzbuch

HH

Hansestadt Hamburg

HR

Human Resources

i.d.R.

in der Regel

ID

Identifier

IDW

Institut der Wirtschaftsprüfer

IP-Adresse

Internet-Protokoll-Adresse

IPO

Initial Public Offering

ISMS

Informationssicherheitsmanagementsystem

ISO

International Organization for Standardization

[11] IT

Information Technology

JC

Joint Controller

kath.

katholisch

KI

Künstliche Intelligenz

KVP

Kontinuierlicher Verbesserungsprozess

LDSG

Landesdatenschutzgesetz

LfD

Landesbeauftragter für Datenschutz

LfDI

Landesbeauftragter für Datenschutz und Informationsfreiheit

LGPD

brasilianisches Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais)

Lit.

Literatur

LkSG

Lieferkettensorgfaltspflichtengesetz

M&A

Mergers and Acquisitions

MA

Mitarbeiter

max.

maximal

Meck-Pomm.

Mecklenburg-Vorpommern

NDS

Niedersachsen

Nr.

Nummer

NRW

Nordrhein-Westfalen

o.

oder

ö.-r.

öffentlich-rechtlich

PDCA-Modell

Plan-Do-Check-Act Modell

PDPA

Personal Data Protection Act 2012

PDPB

Personal Data Protection Bill

pers.bez.

personenbezogene

[12] PIPEDA

Personal Information Protection and Electronic Documents Act

PIPL

Personal Information Protection Law

POPIA

Protection of Personal Information Act

priv.

privat

Rh.-Pf.

Rheinland-Pfalz

Sa.-Anh.

Sachsen-Anhalt

SCCs

Standard Contractual Clauses

SH

Schleswig-Holstein

s.u.

siehe unten

THÜ

Thüringen

TIA

Transfer Impact Assessment

TKG

Telekommunikationsgesetz

TMG

Telemediengesetz

TOMs

Technische und organisatorische Maßnahmen

TQM

Total Quality Management

TTDSG

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien

u.

und

u.U.

unter Umständen

USA

United States of America

usw.

und so weiter

VO

Verordnung

VV

Verarbeitungsverzeichnis

VVT

Verzeichnis über Verarbeitungstätigkeiten

z.B.

zum Beispiel

[13]

I. Management Summary

Karla Krake ist Unternehmerin und möchte mit Ihrem Hyperscaler Start-Up möglichst alle für ihr Unternehmen zugänglichen Daten maximal effizient nutzen. Sie verspricht sich damit großes Wachstumspotential für ihr jetzt schon erfolgreiches Start-Up. Weil sie weiß, dass es den Datenschutz gibt und auch schon von allgemeinen Persönlichkeitsrechten gelesen hat, bittet sie ihren alten Studienfreund Peter Pingel, ihr einige Fragen zum Thema Datenschutz zu beantworten. Peter nimmt es mit allen regulatorischen Vorgaben nämlich sehr genau, und gerade, weil sie etwas Sorge vor der persönlichen Haftung hat, will sie sich auch mal seine Ansichten anhören.

Nachfolgend fließen zusätzlich auch noch die praktischen Erfahrungen der Autorin und des Autors, als Juristen und Datenschutzbeauftragte mit ein, damit das hier vorliegende Buch den ersten Einstieg in das Thema Datenschutz erleichtert und an der einen oder anderen Stelle Impulse für mehr gibt.

[14]

II. Datenschutzrecht

Lektion 1: Was ist Datenschutz?

Fall 1Was ist Datenschutz, woher kommt er und warum ist er wichtig?

Karla Krake und Peter Pingel treffen sich zu einem ersten Gespräch über das Thema Datenschutz: „Kannst du mir, Peter, bitte einmal erklären, was Datenschutz eigentlich wirklich ist? Ständig höre ich diesen Begriff überall und habe den Eindruck, dass das Wort recht inflationär verwendet wird.“ - „Ja, den Eindruck habe ich manchmal auch, Karla. Also lass mich von vorne beginnen: Es kommt …“, Karla springt gleich auf und ruft: „Und bitte verständlich erklären und lass dabei dieses ‚Es kommt darauf an‘ weg“. Peter Pingel muss schmunzeln. „Das ist wohl eine Berufskrankheit von Jurist:innen“, meint er und fängt langsam an.

„Also erstmal ganz allgemein: Datenschutz umfasst alle Verarbeitungen von personenbezogenen Daten.“

„Wie bitte?“, fragt Karla. „Nun ja, das war ja nur die Einleitung“, grinst Peter und fährt fort.

„Zum Hintergrund: Der Sinn und Zweck vom Datenschutz liegt darin, die Privatsphäre natürlicher Personen zu schützen und sicherzustellen, dass sie die Hoheit und Kontrolle über ihre Daten haben und weiterhin behalten. Diesen Grundsatz sollten wir immer im Hinterkopf behalten.

Die Verarbeitung von personenbezogenen Daten findet in allen Lebensbereichen statt. Ich behaupte, es gibt kein Unternehmen, keine juristische Person, Behörde oder sonstige öffentliche Stelle, die nicht in irgendeiner Form personenbezogene Daten verarbeitet: wenn sich jemand nach einem Umzug beim Einwohnermeldeamt mit dem Wohnort anmeldet; wenn jemand an der Kasse im Supermarkt mit einer EC-Karte bezahlt oder Bonuspunkte sammelt; beim Besuch fast jeder Webseite usw. In all diesen Situationen werden personenbezogene Daten verarbeitet.

Um den Missbrauch von personenbezogenen Daten zu verhindern, wird die Datenverarbeitung reguliert. Die regulatorischen Gesetze umfassen [15] zum Beispiel die Datenschutzgrundverordnung (die „DSGVO“) und das Bundesdatenschutzgesetz (das „BDSG“), aber dazu später mehr.“

Wie ist die historische Entwicklung?

„Aber wo kommt denn dieser Datenschutz jetzt her? Gibt es hierzu Gründe oder Ursachen in der Vergangenheit? Ich bin ja nicht zwingend ein Fan von Geschichte, aber vielleicht verstehe ich dann alles etwas besser?“