Praxishandbuch DSGVO E-Book

Inhaltsverzeichnis

Deckblatt

Titel

Impressum

Vorwort

Autorenverzeichnis

Inhaltsübersicht

Inhaltsverzeichnis

Abkürzungsverzeichnis

Literaturverzeichnis

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze

1. Stand der Umsetzung in den Unternehmen

2. Zeitliche Geltung

3. Unmittelbare Geltung

4. Zusammenspiel mit anderen Regelwerken

a) Begleitgesetze auf Basis von Öffnungsklauseln

b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen

c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO

d) Zwischenergebnis

II. Parallelität von DSGVO und „Altgesetzen“

III. Auslegung der DSGVO und der Begleitgesetze

1. Auslegung der DSGVO

a) Autonome Auslegung des Unionsrechts

b) Auslegungsmethoden

c) Relevanz existierender Rechtsprechung

2. Auslegung der Begleitgesetze

a) Auslegungsmethoden

b) Relevanz existierender Rechtsprechung

Kapitel 2 Grundlagen des Datenschutzrechts

I. Datenschutz im Anwendungsbereich des EU-Rechts

II. Schutzgut des Datenschutzrechts

1. Schutz der natürlichen Personen

2. Schutz des freien Datenverkehrs

III. Grundbegriffe des Datenschutzrechts

1. Personenbezug

2. Datenverarbeitung

3. Verantwortlicher

IV. Zusammenspiel mit anderen Rechtsmaterien

1. Wettbewerbsrecht

2. Kartellrecht

a) Missbräuchliche Nutzung von Kundendaten

b) Missbräuchliche Zugangsverweigerung zu Daten

c) AGB-Recht

3. Besonderer Geheimnisschutz

a) Berufsrechtliche Schweigepflichten

b) Strafrechtliche Schweigepflichten

c) Fernmeldegeheimnis

d) Schutz von Geschäftsgeheimnissen

4. Arbeits- und Mitbestimmungsrecht

a) Umfang von Datenerhebungen im Bewerbungsgespräch

b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift

c) Einsicht in Personalakten

d) Kündigungsschutz für Datenschutzbeauftragte

Kapitel 3 Anwendungsbereich des Datenschutzrechts

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Sachlicher Anwendungsbereich

1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO

2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO

III. Räumlicher Anwendungsbereich, Art. 3 DSGVO

1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO

a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen

b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters

2. Marktortprinzip, Art. 3 Abs. 2 DSGVO

a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO

b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO

c) Betroffene Person in der EU

3. Räumlicher Anwendungsbereich bei mehreren Beteiligten

4. Räumliche Reichweite der Betroffenenrechte

5. Geltung der DSGVO im EWR

IV. Anwendungsbereich mitgliedstaatlicher Regelungen

V. Anwendungsbereich sonstiger ausfüllender Normen

Kapitel 4 Datenschutzrechtliche Grundsätze

I. Bedeutung und Funktion der Datenschutzgrundsätze

II. Die Grundsätze im Einzelnen

1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben

2. Transparenz

3. Zweckbindung

4. Datenminimierung

5. Datenrichtigkeit

6. Speicherbegrenzung

7. Integrität und Vertraulichkeit

III. Die Rechenschaftspflicht

Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Gesetzliche Erlaubnisvorschriften

1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen

a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung

b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen

c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke

2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung

3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung

a) Berechtigte Interessen des Verantwortlichen oder eines Dritten

b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen

c) Keine überwiegenden Interessen/Rechte der betroffenen Person am Ausschluss der Datenverarbeitung

4. Verarbeitung personenbezogener Daten zu Zwecken der Werbung

5. Verhältnis der Alternativen des Art. 6 Abs. 1 DSGVO zueinander

6. Verhältnis zwischen besonders praxisrelevanten nationalen Vorschriften und der DSGVO

a) Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG

b) Scoring und Bonitätsauskünfte gem. § 31 BDSG

c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO

7. Zweckänderung – Verarbeitung personenbezogener Daten zu einem anderen Zweck

a) Zweckänderung auf Basis einer Rechtsvorschrift

b) Zweckänderung auf Basis einer Einwilligung

c) Zweckänderung auf Basis des Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO

d) Weitere datenschutzrechtliche Pflichten im Fall der Zweckänderung

8. Verarbeitung besonderer Kategorien personenbezogener Daten

a) Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)

b) Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten

c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)

9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO

10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO

a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen

b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO

11. Besondere Verarbeitungssituationen

12. Zulässigkeit der Verarbeitung personenbezogener Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

13. Sanktionierung

III. Einwilligung der Betroffenen

1. Überblick über die einschlägigen Regelungen

2. Allgemeine Voraussetzungen der Einwilligung

a) Form der Willensbekundung

b) Freiwilligkeit

c) Erteilung für den bestimmten Fall

d) Transparenzgebot

e) Einwilligungen als Gegenstand von AGB

f) Widerruflichkeit

g) Nachweisbarkeit

h) Gültigkeitsdauer

3. Einwilligung von Kindern

a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten

b) Vergewisserungspflicht des Verantwortlichen

4. Einwilligung bei sensiblen Datenkategorien

5. Wirksamkeit von Alt-Einwilligungen

Kapitel 6 Umgang mit Betroffenen

I. Einführung

II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO

III. Informationspflichten (Art. 13 und 14 DSGVO)

1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO)

a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVO

b) Systematik von Art. 13 DSGVO

c) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVO

d) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVO

e) Zeitpunkt der Information

f) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO)

g) Information im Fall der Änderung der Datenverarbeitung

h) Ausnahmen von der Informationspflicht (Art. 13 Abs. 4 DSGVO)

i) Keine Pflicht zur „Nachinformation“ im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

j) Erfüllung der Informationspflichten als Zulässigkeitsvoraussetzung?

2. Informationspflichten bei der Erhebung von Daten aus anderen Quellen als von der betroffenen Person (Art. 14)

a) Voraussetzungen der Informationspflicht nach Art. 14 DSGVO

b) Inhalte der Informationspflichten nach Art. 14 Abs. 1 DSGVO

c) Inhalte der Informationspflichten nach Art. 14 Abs. 2 DSGVO

d) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werden

e) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVO

f) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitung

g) Ausnahmen von der Informationspflicht nach Art. 14 DSGVO

h) „Nachinformation“ und keine Zulässigkeitsvoraussetzung

3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO)

a) Formulierung der Information

b) Information in leicht zugänglicher Form

c) Form

d) Unentgeltlichkeit

e) Kombination mit standardisierten Bildsymbolen

4. Rechenschaftspflicht

5. Beispiele für Möglichkeiten zur Darstellung der Informationen

a) Gestaltung als Checkliste

b) Gruppierung von Informationen

c) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitung

d) Gestaltung unter Einsatz von Tabellen

e) Multilayered notice/Mehrebenenansatz

IV. Recht auf Auskunft (Art. 15 DSGVO)

1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO

a) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO

b) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO

c) Umfang des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO

2. Ausnahmen vom Auskunftsrecht

a) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO in der DSGVO

b) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO im nationalen Recht

3. Modalitäten der Auskunftserteilung (Art. 12 DSGVO)

a) Antragserfordernis

b) Erleichterung der Rechtsausübung (Art. 12 Abs. 2 S. 1 DSGVO)

c) Identifizierung des Antragstellers (Art. 12 Abs. 6 DSGVO)

d) Formulierung der Auskunft (Art. 12 Abs. 1 DSGVO)

e) Form der Auskunft

f) Unentgeltlichkeit (Art. 12 Abs. 5 S. 2 lit. a DSGVO)

g) Frist zur Erteilung der Auskunft sowie von Informationen über das Auskunftsverlangen und ggf. über dessen Ablehnung (Art. 12 Abs. 3 und Abs. 4 DSGVO)

h) Zweckbindung von Daten im Zusammenhang mit der Auskunftserteilung

4. Recht der betroffenen Person, eine Kopie ihrer Daten zu erhalten (Art. 15 Abs. 3 und 4 DSGVO)

a) Inhalte und Umfang der Kopie nach Art. 15 Abs. 3 DSGVO

b) Ausnahmen vom Recht auf Erhalt einer Kopie in der DSGVO

c) Modalitäten im Hinblick auf die Aushändigung der Kopie gem. Art. 15 Abs. 3 DSGVO

d) Praktischer Umgang mit Anträgen auf Erhalt einer Kopie

5. Auskunft im Hinblick auf Daten bzw. Erhalt von Kopien von Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

V. Recht auf Berichtigung (Art. 16 DSGVO)

1. Inhalte des Berichtigungsrechts nach Art. 16 DSGVO

a) Berichtigung unrichtiger personenbezogener Daten (S. 1)

b) Vervollständigung unvollständiger personenbezogener Daten (S. 2)

c) Darlegungs- und Beweislast

2. Ausnahmen vom Berichtigungsrecht

3. Modalitäten des Berichtigungs- bzw. Vervollständigungsanspruchs (Art. 12 DSGVO)

4. Mitteilungspflicht nach Art. 19 DSGVO

5. Berichtigung/Vervollständigung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

VI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO)

1. Voraussetzungen des Rechts der betroffenen Person auf Löschung sowie der Löschpflicht des Verantwortlichen (Art. 17 Abs. 1 DSGVO)

a) Recht der betroffenen Person auf Löschung ihrer Daten

b) Pflicht des Verantwortlichen zur Datenlöschung

c) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO

2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO

3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO)

a) Voraussetzungen des Rechts auf Vergessenwerden

b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen

4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO)

a) Ausnahmen nach Art. 17 Abs. 3 DSGVO

b) Weitere Ausnahmen in der DSGVO

c) Ausnahmen im nationalen Recht

5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO)

a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht

b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person

c) Frist für die Information nach Art. 17 Abs. 2 DSGVO

6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO

7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)

1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung

a) Voraussetzungen (Art. 18 Abs. 1 DSGVO)

b) Rechtsfolge: Einschränkung der Datenverarbeitung

c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO)

d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO)

2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung

3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO)

4. Mitteilungspflicht nach Art. 19 DSGVO

5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

1. Voraussetzungen der Mitteilungspflicht

2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung

3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO)

4. Weitere Ausnahmen von der Mitteilungspflicht

5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO)

6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

1. Inhalte des Rechts auf Datenübertragbarkeit

a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)

b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen

c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO)

2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO)

a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO)

b) Weitere Ausnahmen

3. Modalitäten des Rechts auf Datenübertragbarkeit

4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

X. Widerspruchsrecht (Art. 21 DSGVO)

1. Inhalte des Widerspruchsrechts

a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO

b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO

c) Informationspflichten nach Art. 21 Abs. 4 DSGVO

2. Weitere Ausnahmen vom Widerspruchsrecht

3. Modalitäten des Widerspruchsrechts

4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)

1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden

a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden

b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO

c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO)

d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten

2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden

3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden

XII. Sanktionierung

Kapitel 7 Auftragsverarbeitung

I. Begriff und Gegenstand der Auftragsverarbeitung

II. Abgrenzung zum Verantwortlichen und zur gemeinsamen Verantwortlichkeit

1. Abgrenzung zum Verantwortlichen

a) Entscheidungsbefugnis über Zwecke

b) Entscheidungsbefugnis über Mittel

2. Abgrenzung zur gemeinsamen Verantwortlichkeit

III. Rechtsnatur der Auftragsverarbeitung

IV. Typische Fallkonstellationen einer Auftragsverarbeitung

V. Rechte und Pflichten aus einer Auftragsverarbeitung

1. Pflichten des Auftragsverarbeiters

2. Rechte und Pflichten des Verantwortlichen

a) Erteilung von Weisungen

b) Dokumentation der Weisungen

VI. Begründung einer Auftragsverarbeitung

1. Auswahl des Auftragsverarbeiters

2. Abschluss eines Auftragsverarbeitungsvertrages

a) Form des Auftragsverarbeitungsvertrages

b) Inhalt des Auftragsverarbeitungsvertrages

c) Umstellung von alten Auftragsverarbeitungsverträgen auf die DSGVO

VII. Auftragsverarbeitung innerhalb von Unternehmensgruppen

VIII. Unterbeauftragungen

1. Zustimmungspflicht des Verantwortlichen

a) Art der Erteilung

b) Einspruchsrecht bei Allgemeinzustimmung

2. Begründung des Unterauftragsverhältnisses

IX. Haftung von Auftragsverarbeitern

1. Haftung auf Schadensersatz

a) Haftung für eigenes Verschulden

b) Haftung von Unterauftragsverarbeitern

c) Beweislastumkehr

d) Gesamtschuldnerische Haftung

2. Sanktionen gegen Auftragsverarbeiter

X. Kontrolle von Auftragsverarbeitern

1. Recht zur Kontrolle

2. Pflicht zur Kontrolle

3. Art und Häufigkeit der Kontrolle

a) Art der Kontrolle

b) Häufigkeit der Kontrolle

XI. Dokumentation der Kontrollen

XII. Kontrollergebnis

Kapitel 8 Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Gemeinsam für die Verarbeitung Verantwortliche

1. Der Begriff der gemeinsamen Verantwortlichkeit (Art. 4 Nr. 7 DSGVO)

a) Gemeinsame Entscheidung mehrerer Stellen

b) Entscheidung über Zwecke und Mittel der Verarbeitung

c) Entscheidungshilfen für die Unternehmenspraxis

d) Abgrenzung von der Auftragsverarbeitung

2. Reichweite der gemeinsamen Verantwortlichkeit

3. Zulässigkeit der Verarbeitungen durch gemeinsam Verantwortliche

4. Rechte und Pflichten der gemeinsam Verantwortlichen

a) Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit

b) Geltendmachung der Rechte der Betroffenen

c) Zurverfügungstellung der wesentlichen Teile der Vereinbarung

d) Mitteilung der erforderlichen Informationen nach Art. 13 und Art. 14 DSGVO

5. Haftung und Sanktionen

III. Getrennte Verantwortlichkeiten

1. Begriff der Übermittlung

2. Zulässigkeit von Datenübermittlungen an Dritte

3. Typische Fallkonstellationen getrennter Verantwortlichkeiten

4. Besondere Aspekte von Datenübermittlungen im Konzern

a) Fehlendes Konzernprivileg

b) Erlaubnis durch Interessenabwägung

c) Öffnungsklausel für nationale Sonderregelungen

d) Internationale Datenübermittlungen

IV. Niederlassungsübergreifende Verarbeitungen

1. Die Bestimmung einer Hauptniederlassung für eine niederlassungsübergreifende Verantwortlichkeit

2. Die Spezifizierung der Verarbeitungsverfahren

Kapitel 9 Internationale Datenübermittlungen

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Einführung in den Regelungsbereich

1. Sonderregelungen für „Drittlands-Übermittlungen“

a) Begriff des Drittlands

b) Geltung auch für internationale Organisationen

c) Begriff der „Übermittlung“

d) Geltung auch für Weiterübermittlungen

2. Anforderungen an Drittlands-Übermittlungen

a) Einhaltung der allgemeinen DSGVO-Anforderungen

b) Gewährleistung eines angemessenen Schutzniveaus

c) Verantwortlicher und Auftragsverarbeiter als Regelungsadressat

3. Fortgeltung etablierter Sicherungsinstrumente

III. Länder mit angemessenem Schutzniveau

1. Bestehende Angemessenheitsbeschlüsse

a) Einschränkungen bei Datentransfers nach Kanada

b) Einschränkungen bei Datentransfers nach Israel

c) Der Sonderfall USA: Ungültigkeit des EU-US Privacy Shield

2. Neue Angemessenheitsentscheidungen unter der DSGVO

a) Anforderungen an Angemessenheitsfeststellungen der Kommission

b) Das Verfahren der Angemessenheitsfeststellung

3. Fortlaufende Überwachung der Angemessenheit

IV. Geeignete Garantien für Drittlandtransfers

1. Standarddatenschutzklauseln

a) Existierende Standardvertragsklauseln nach Maßgabe der RL 95/46/EG

b) Neue Standarddatenschutzklauseln nach DSGVO

c) Standarddatenschutzklauseln einer Aufsichtsbehörde

d) Verwendung der Standarddatenschutzklauseln

2. Verbindliche interne Datenschutzvorschriften (BCRs)

a) Anforderungen an BCRs

b) Arbeitsdokumente der Artikel-29-Datenschutzgruppe

c) Existierende BCR

d) Genehmigungsverfahren für BCR

e) Integration von BCR in ein Datenschutz-Managementsystem nach DSGVO

3. Genehmigte Verhaltensregeln

4. Zertifizierungen

5. Sonstige behördlich genehmigte Vertragsklauseln

V. Ausnahmen für bestimmte Fälle

1. Einwilligung der Betroffenen

a) Ausdrückliche Erteilung der Einwilligung

b) Notwendigkeit gesonderter Erteilung

c) Informiertheit der Einwilligung

2. Erforderlichkeit für die Vertragserfüllung

3. Sonstige Ausnahmefälle

a) Im Interesse der betroffenen Person geschlossener Vertrag

b) Wichtige Gründe des öffentlichen Interesses

c) Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

d) Schutz lebenswichtiger Interessen

e) Übermittlungen aus einem Register

4. Auffangregelung für Einzelübermittlungen

a) Keine wiederholte Übermittlung

b) Begrenzte Zahl betroffener Personen

c) Zwingende berechtigte Interessen

d) Keine überwiegenden Interessen der betroffenen Person

e) Umfassende Beurteilung und angemessene Garantien

f) Information der Aufsichtsbehörde

Kapitel 10 Datenschutzmanagement

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Terminologie

III. Anforderungen an das Datenschutzmanagement

IV. Risikoadäquates Datenschutzmanagement

1. Risikobewertung grundlegend

2. Risikoprofil eines Unternehmens

3. Konkrete Maßnahmen hängen vom Einzelfall ab

V. Konkrete Maßnahmen hängen vom Einzelfall ab

VI. Grundlegende Maßnahmen des Datenschutzmanagements

1. Einführung

2. Unternehmensrichtlinie zum Datenschutz

3. Datenschutzorganisation

4. Datenschutzstrategie

5. Meldewege und Whistleblowing

6. Auditierungen

7. Einzelfallprüfungen und -beratung

8. Schulungen

9. Sonstige Maßnahmen

VII. Datenschutzmanagementsystem

1. Sinn eines Datenschutzmanagementsystems

2. Gestaltung eines Datenschutzmanagementsystems

a) Orientierung an ähnlichen Systemen bzw. Standards

b) Drei Säulen

c) Schematische Darstellung eines Datenschutzmanagementsystems

3. Aufbau eines Datenschutzmanagementsystems

4. Messung des Erfolgs eines Datenschutzmanagementsystems

Kapitel 11 Datenschutzorganisation

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Ergänzende Regelungen des BDSG

III. Terminologie

IV. Datenschutzorganisation als Voraussetzung von Datenschutzcompliance

V. Pflicht zur Errichtung einer Datenschutzorganisation

1. Datenschutz-Grundverordnung

a) Gesetzliche Vorgaben

b) Konkrete Wertung

2. Gesellschaftsrechtliche Verpflichtung in Deutschland

3. Ordnungswidrigkeitenrecht

4. Fazit

VI. Gestaltung einer Datenschutzorganisation

1. Der Zweck einer Datenschutzorganisation

2. Aufgaben einer Datenschutzorganisation

a) Vier grundlegende Aufgaben

b) Beachtung und Anwendung des Datenschutzrechts im operativen Geschäft

c) Beratung

d) Richtlinienkompetenz

e) Auditierung und Überwachung

3. Elemente einer Datenschutzorganisation

a) Einführung

b) Die Geschäftsleitung

c) Der Datenschutzbeauftragte

d) Datenschutzberater

e) Datenschutzmanager

f) Datenschutzexperten

g) Datenschutzkoordinatoren

h) Sonstige Mitarbeiter des Unternehmens

i) (Inländischer) Vertreter

4. Entwicklung einer Datenschutzorganisation

VII. Beispiele

1. Verwendung der Beispiele

2. Datenschutzorganisation in kleinen Unternehmen

3. Datenschutzorganisation in mittleren Unternehmen

4. Datenschutzorganisation im Großkonzern

Kapitel 12 Datenschutzprozesse

I. Prozessuale Umsetzung datenschutzrechtlicher Vorgaben

II. Privacy by Design und by Default, Art. 25 DSGVO

1. Überblick über die einschlägigen Regelungen der DSGVO

2. Wer ist für Privacy by Design und by Default verantwortlich?

3. Was bedeutet Privacy by Design und by Default?

a) Datenschutz durch Technikgestaltung, Art. 25 Abs. 1 DSGVO

b) Datenschutz durch datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO

c) Genehmigte Zertifizierungsverfahren, Art. 25 Abs. 3 DSGVO

III. Datenlöschung

1. Allgemeines

2. Geschäftliche Relevanz

3. Löschkonzept

4. Praktische Hinweise für die Implementierung

IV. Verzeichnis von Verarbeitungstätigkeiten

1. Überblick über die einschlägigen Regelungen der DSGVO

2. Aufzeichnungspflichten statt Meldepflicht und Verfahrensverzeichnis

3. Verarbeitungsverzeichnis des Verantwortlichen

a) Wer ist zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO verpflichtet?

b) Inhalt des Verarbeitungsverzeichnisses

c) Form des Verarbeitungsverzeichnisses

4. Verarbeitungsverzeichnis des Auftragsverarbeiters

5. Praktische Hinweise zur Implementierung

V. Datenschutz-Folgenabschätzung

1. Überblick über die einschlägigen Regelungen der DSGVO

2. Wer ist für eine Datenschutz-Folgenabschätzung verantwortlich?

3. Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

a) Voraussichtlich hohes Risiko (Art. 35 Abs. 1 S. 1 DSGVO)

b) Regelbeispiele (Art. 35 Abs. 3 DSGVO)

c) Positivliste der Aufsichtsbehörden (Art. 35 Abs. 4 DSGVO)

d) Mögliche Befreiung von der Folgenabschätzung aufgrund bestimmter Verarbeitungszwecke (Art. 35 Abs. 10 DSGVO)

4. Was muss im Rahmen der Folgenabschätzung passieren?

a) Welche hohen Risiken sind zu adressieren (Art. 35 Abs. 1 DSGVO)?

b) Welche technischen und organisatorischen Maßnahmen sind geeignet, um das Risiko zu minimieren?

c) Welche Dokumentation der Folgenabschätzung ist erforderlich (Art. 35 Abs. 7 DSGVO)?

d) Bedarf es der Beratung durch den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)?

e) Müssen betroffene Personen oder Vertreter (Art. 35 Abs. 9 DSGVO) eingebunden werden?

f) Wann bedarf es der erneuten Überprüfung?

g) Welche Rolle spielt die Aufsichtsbehörde bei der Folgenabschätzung (Art. 36 Abs. 2 DSGVO)?

5. Praktische Hinweise zur Implementierung

VI. Umgang mit Datenlecks

1. Überblick über die einschlägigen Regelungen der DSGVO

2. Meldepflichten (Art. 33 DSGVO)

a) Was muss gemeldet werden? (Art. 33 Abs. 1 DSGVO)

b) Bis wann muss gemeldet werden? (Art. 33 Abs. 1 S. 1 und 2 DSGVO)

c) Wie muss gemeldet werden? (Art. 33 Abs. 3 DSGVO)

d) Was tun bei Verzögerung? (Art. 33 Abs. 4 DSGVO)

e) Was muss in jedem Fall dokumentiert werden? (Art. 33 Abs. 5 DSGVO)

f) Welche Pflichten treffen den Auftragsverarbeiter? (Art. 33 Abs. 2 DSGVO)

3. Benachrichtigungspflichten (Art. 34 DSGVO)

a) Wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)

b) Bis wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)

c) Was muss die Benachrichtigung beinhalten und wie muss sie erfolgen? (Art. 34 Abs. 2 DSGVO)

d) Wann kann auf eine Benachrichtigung verzichtet werden? (Art. 34 Abs. 3 DSGVO)

4. Praktische Hinweise zur Implementierung

VII. Integration des Datenschutzes in allgemeine Unternehmensprozesse

1. Aufgaben der Datenschutzorganisation – eine Chance für vielfältige Integration in die Unternehmensprozesse

a) Governance

b) Hinwirken auf den Datenschutz

c) Überwachung und Auditierung

2. Definition von Unternehmensprozessen, in denen Datenschutzprozesse integriert werden

a) Datenschutzprozesse

b) Risikobetrachtung

c) Typische Hüter der Anforderungen des Datenschutzes

3. Praktische Hinweise zur Implementierung

Kapitel 13 Technischer Datenschutz und Risikomanagement

I. Überblick über die einschlägigen Regelungen

1. Art. 24, 32 DSGVO und Erwägungsgrund 83

2. Art. 24, 25 DSGVO und Erwägungsgrund 78

3. §§ 64, 65, 76 BDSG

II. Allgemeine Grundlagen des technischen Datenschutzrisikomanagements

1. Auswahl eines Vorgehensmodells

2. Anwendung etablierter Methoden und Verfahren

a) Anwendung PDCA und Eingliederung in Managementsysteme

b) Anwendung eines risikobasierten Verfahrens

III. Nutzung der Standards und Vorgehen der Informationssicherheit

1. Grundlegende Begriffe und Standards der Informationssicherheit

a) Terminologie

b) Zentrale Standards der Informationssicherheit

2. Risikobasiertes Verfahren zur Herstellung der Informationssicherheit

a) Schutzbedarfsfeststellung

b) Soll-Ist-Vergleich/Risiko-Assessment

c) Schutzmaßnahmen

d) Dokumentation und Nachweis

e) Kontrolle und Prüfung

f) Behandlung von Sicherheitsvorfällen

g) Zertifizierung

3. Zusammenfassung und Fazit

IV. Technische Maßnahmen zur datenschutzkonformen

1. Datenschutzziele

a) Schutzziele der Datensicherheit nach der DSGVO

b) Weitere Schutzziele des Datenschutzes

2. Risikobasiertes Verfahren für den Datenschutz

a) Schutzbedarfsfeststellung des Datenschutzes

b) Soll-Ist-Vergleich des Datenschutzes

c) Risiko-Assessment des Datenschutzes

d) Auswahl von Datenschutzmaßnahmen

3. Dokumentation und Nachweis

4. Kontrolle und Prüfung

5. Behandlung von Datenschutzvorfällen

6. Zertifizierung

7. Zusammenfassung und Fazit

V. Privacy by Design und Privacy by Default

1. Privacy Enhancing Technologies

2. Privacy by Design/Privacy by Default als Ergänzung des IT-Sicherheits- und IT-Risikomanagements

VI. Ausblick

1. Anpassung des risikobasierten Verfahrens mit Auditierung/Zertifizierung

2. Entwicklung von Verhaltensregeln

3. Datenschutzeignung von Software

4. Datenschutzkonformes Design von Datenbeständen

Kapitel 14 Verhaltensregeln und Zertifizierungen

I. Einleitung

II. Grundsätzliche Unterscheidung und Komplementarität

III. Mehrwert für Unternehmen

1. Einhaltung und Nachweis datenschutzkonformen Handelns

2. Rechtskonkretisierungsfunktion

3. Absicherung von Drittlandübermittlungen

4. Berücksichtigung bei der Bemessung von Sanktionen

IV. Genehmigung von Verhaltensregeln

1. Vorlageberechtigte Stellen

2. Verhaltensregeln mit rein nationaler Wirkung

3. Verhaltensregeln mit landesübergreifender Wirkung

4. Allgemeingültigkeitserklärung

5. Gültigkeitsdauer

6. Bindungswirkung genehmigter Verhaltensregeln

a) Bindungswirkung gegenüber Aufsichtsbehörden

b) Bindungswirkung gegenüber Gerichten

c) Bindungswirkung gegenüber Unternehmen

V. Überwachung genehmigter Verhaltensregeln/Sanktionen im Falle von Verstößen

VI. Inhalte und Gestaltung von Verhaltensregeln

1. Regelungsinhalte von Verhaltensregeln

2. Gestaltungsprozess in der Praxis

a) Bedarfs- und Maßnahmenermittlung

b) Ausarbeitung unter Beteiligung betroffener Interessenträger

VII. Zertifizierungsverfahren

1. Ablauf des Zertifizierungsverfahrens/Beteiligte Stellen

2. Regelungsinhalte und Prüfmaßstab

3. Bindungswirkung

Kapitel 15 Beschäftigtendatenschutz

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Handlungsoptionen des Gesetzgebers

1. Reichweite des Art. 88 Abs. 1 DSGVO

a) Spezifischere Vorschriften

b) Personenbezogene Beschäftigtendaten

c) Zwecke der Datenverarbeitung

2. Mindestanforderungen gem. Art. 88 Abs. 2 DSGVO

a) Transparenz der Verarbeitung

b) Datenübermittlung innerhalb einer Unternehmensgruppe

c) Überwachungssysteme am Arbeitsplatz

3. Mitteilung gem. Art. 88 Abs. 3 DSGVO

4. Nationale Regelungen in Deutschland

a) Zentrale Vorschrift zum Beschäftigtendatenschutz

b) Verhältnis zu den Vorgaben des Art. 88 DSGVO

III. Datenschutzrechtliche Erlaubnistatbestände

1. Einwilligung im Beschäftigungsverhältnis

a) Allgemeine Voraussetzungen einer wirksamen Einwilligung

b) Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis

c) Form der Einwilligung im Beschäftigungsverhältnis

2. Gesetzliche Erlaubnistatbestände

a) Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)

b) Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)

d) Besondere Kategorien von personenbezogenen Daten (Art. 9 Abs. 2 lit. b DSGVO)

3. Betriebsvereinbarungen

a) Angemessene und besondere Schutzmaßnahmen

b) Betriebsvereinbarung als Erlaubnistatbestand

c) Weitere Regelungen in Betriebsvereinbarungen

d) Bereits abgeschlossene Betriebsvereinbarungen

4. Datenaustausch in Matrixorganisationen

a) Erlaubnistatbestände

b) Gemeinsame Verantwortlichkeit

IV. Informationspflichten und Betroffenenrechte

1. Informationspflichten des Arbeitgebers

2. Betroffenenrechte

3. Automatisierte Entscheidungen einschließlich Profiling

V. Überwachungsmaßnahmen – Rechtslage in Deutschland

1. Kontrolle der Internet- und E-Mail-Nutzung

a) Erlaubnistatbestand

b) Kontrolle der dienstlichen Internet- und E-Mail-Nutzung

c) Arbeitgeber als Diensteanbieter

d) Beweisverwertungsverbote

2. Videoüberwachung

VI. Handlungsempfehlung

Kapitel 16 Behördliche und gerichtliche Verfahren

I. Aufsichtsbehörden

1. Überblick über die einschlägigen Normen

2. Einleitung

3. Zuständigkeit innerhalb der Europäischen Union

4. Zuständigkeit innerhalb Deutschlands

5. Europäischer Datenschutzausschuss

6. Aufgaben und Befugnisse

a) Aufgaben der Aufsichtsbehörden

b) Befugnisse der Aufsichtsbehörden

II. Aufsichtsverfahren

1. Aufsichtsverfahren in Deutschland

2. Zusammenarbeit der Aufsichtsbehörden auf europäischer Ebene

a) Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden

b) Kohärenzverfahren im Falle von Unstimmigkeiten

3. Öffentliche Äußerungen von Behörden/Mediale Aufmerksamkeit

a) Die namentliche Nennung des sanktionierten Unternehmens

b) Pressemitteilungen und Stellungnahmen zu aktuellen Geschehnissen

III. Umgang mit Aufsichtsbehörden

1. Gründe für den Kontakt mit Aufsichtsbehörden

a) Kontrolldichte

b) Anfragen durch Aufsichtsbehörden

2. Bedeutung von Rechtspositionen der Datenschutzbehörden

3. Erste Maßnahmen nach Anfrage einer Aufsichtsbehörde

4. Sofortige Korrektur von festgestellten Rechtsverstößen

5. Generelle Hinweise zur Interaktion mit Aufsichtsbehörden

6. Kooperation und Selbstbelastung

IV. Bußgelder

1. Überblick über die einschlägigen Normen

2. Bußgeldvorschriften der DSGVO

a) Kategorisierung der Bußgelder und Strafvorschriften

b) Referenztechnik

c) Einzelne Tatbestände

d) Bisher bekannte und nennenswerte Bußgelder

3. Bemessung des Bußgeldes

a) Allgemeine Vorgaben nach der DSGVO

b) Das Bußgeldmodell der Datenschutzkonferenz in Deutschland

4. Straf- und Bußgeldvorschriften des BDSG

a) Strafvorschriften

b) Bußgeldvorschriften

5. Adressat des Bußgeldes

a) Verantwortliche Stelle, Auftragsverarbeiter und spezielle Stellen

b) Bußgelder gegenüber einzelnen Personen innerhalb eines Unternehmens

c) Bußgelder gegenüber Behörden

V. Gerichtlicher Rechtsschutz

1. Überblick über die einschlägigen Normen

2. Verhältnis Betroffener – Verantwortlicher bzw. Auftragsverarbeiter

a) Auskunftsanspruch und weitere subjektive Rechte

b) Unterlassungsanspruch

c) Schadensersatzanspruch

3. Verhältnis Verantwortlicher bzw. Auftragsverarbeiter – Aufsichtsbehörde

a) Rechtsschutzgarantie unter der DSGVO

b) Konkreter Rechtsschutz nach deutschem Verfahrensrecht

4. Sonderfall: Beschlüsse des Europäischen Datenschutzausschusses

5. Vorgehen gegen öffentliche Äußerungen der Datenschutzbehörden

VI. Verbandsklage

1. Überblick über die einschlägigen Normen

2. Verbandsklagen auf Grundlage der DSGVO (Art. 80 DSGVO)

a) Unter Mitwirkung des Betroffenen (Art. 80 Abs. 1 DSGVO)

b) Ohne Mitwirkung des Betroffenen (Art. 80 Abs. 2 DSGVO)

3. Möglichkeiten zur Verbandsklage nach deutschem Recht

a) UKlaG

b) Anwendbarkeit des UWG und AGB-Rechts seit Einführung der DSGVO

Kapitel 17 Besondere Themenkomplexe

A. Web Tracking und Online Advertising

I. Technische Abläufe

1. Der Einsatz von Cookies zum Web Tracking

2. Das Ausspielen von Werbung (Online Advertising)

3. Weitere Methoden zum Web Tracking

a) Tracking Pixel

b) Social Plugins

c) Andere dynamische Websiteinhalte Dritter

d) Fingerprinting

e) Server to Server Tracking

II. Zulässigkeit des Web Tracking und des Online Advertising

1. Anwendbare Regelungen auf das Web Tracking und Online Advertising

a) Rechtsunklarheit aufgrund fehlender ePrivacy-Verordnung

b) Das Zusammenspiel zwischen der DSGVO und der ePrivacy-Richtlinie

c) Das einschlägige Regelungsregime für einzelne Trackingmethoden

d) Anwendbarkeit der DSGVO für die (weitere) Verarbeitung

2. Zulässigkeit des Web Tracking für einzelne Zwecke

a) Zulässigkeit zu Zwecken des Online Advertising

b) Zulässigkeit der Datenverarbeitung zu anderen Zwecken als dem Online Advertising

III. Verantwortlichkeit für Web Tracking und Online Advertising

1. Verpflichteter nach Art. 5 Abs. 3 ePrivacy-Richtlinie

2. Datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO

IV. Zusätzliche Pflichten

V. Bußgeldrahmen bei Verstößen

B. Customer-Relationship-Management

I. Überblick über die einschlägigen Regelungen

II. Datenquellen

III. Profiling zu Werbezwecken

1. Interessenabwägung

2. Zweckändernde Verarbeitung

3. Keine Anwendung von Art. 22 DSGVO

4. Einwilligung

IV. Werbliche Kommunikation mit Kunden

1. Briefwerbung

a) Interessenabwägung/Zweckänderung

b) Einwilligung

2. Direktwerbung über elektronische Post, Anrufautomaten und Fax

3. Persönliche Telefonwerbung

4. Vorrang der ePrivacy-Bestimmungen

5. Zusammenfassung

C. E-Discovery

I. Ausgewählte Rahmenbedingungen

1. Federal Rule of Civil Procedure der Vereinigten Staaten

2. Sedona Konferenzen, Frameworks und Arbeitsgruppen

3. Leitlinien der Artikel-29-Datenschutzgruppe

II. Kollision mit dem Datenschutz im Beweissicherungsprozess

1. Grundlage: Das e-Discovery Referenzmodell (EDRM)

2. Grundlage: Information Management und Governance

3. Durchführung des e-Discovery-Prozesses mit dem Referenzmodell

a) Identifikationsphase (Identification)

b) Phase der Extraktion und Sicherung (Collection and Preservation)

c) Phase der Bearbeitung (Processing, Review and Analysis)

d) Phase der Weitergabe und Nutzung (Production and Presentation)

III. Fazit

D. Cloud Computing

I. Eigenschaften und Terminologie

II. Cloud-spezifische Problemfelder

E. Big Data

I. Eigenschaften und Terminologie

II. Big Data-spezifische Problemfelder

1. Personenbezug

2. Zweckbindung

3. Datenminimierung

4. Betroffenenrechte

a) Informationspflichten

b) Auskunftsrecht

F. Gesundheitsdatenschutz

I. Definition „Gesundheitsdaten“

II. Systematik der datenschutzrechtlichen Regelungen im Gesundheitsbereich

III. Zulässigkeit der Verarbeitung von Gesundheitsdaten auf Basis von Vorschriften aus der DSGVO/dem BDSG

1. Verarbeitung von Gesundheitsdaten auf Basis einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)

a) Allgemeine Anforderungen an die Einwilligung

b) Freiwilligkeit der Einwilligung gem. Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO

c) Ausschluss der Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO

2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG)

a) Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung gem. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 lit. b BDSG

b) Angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gem. Art. 9 Abs. 4 DSGVO i.V.m. § 22 Abs. 2 BDSG

3. Verarbeitung von Gesundheitsdaten im Beschäftigungskontext (Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 und 4 BDSG)

IV. Weitere Besonderheiten nach der DSGVO/dem BDSG bei der Verarbeitung von Gesundheitsdaten

V. (Berufsrechtliche) Schweigepflicht

VI. Verarbeitung zu wissenschaftlichen Forschungszwecken

1. Zulässigkeit der Verarbeitung von Gesundheitsdaten zu Zwecken der wissenschaftlichen Forschung

a) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken gem. Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG

b) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken auf Basis einer Einwilligung

2. Weitere Besonderheiten bei der Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken

Kapitel 18 Österreichisches Datenschutzrecht

I. Gesetzliche Grundlagen

II. Nutzung von Öffnungsklauseln

III. Grundrecht auf Datenschutz

IV. Marketing und Kontaktaufnahme zu Werbezwecken

V. Österreichische Spezialregelungen

1. Verarbeitung von Bilddaten (Bildaufnahmen)

2. Verarbeitung von Strafdaten

3. Back-Up-Privileg

4. Verwarnung durch die Datenschutzbehörde

5. Datengeheimnis

6. Datenschutz-Folgenabschätzungen

7. Regelungen in Materiengesetzen

VI. Arbeitnehmer-Datenschutz

1. Einwilligungen im Arbeitsverhältnis, Tracking von Mitarbeitern

2. Betriebsverfassungsrecht und DSGVO

3. Betriebsrat

VII. Österreichische Entscheidungen

1. Anwendbarkeit der DSGVO

2. Sensible Daten

3. Verwendung öffentlich zugänglicher Registerdaten

4. Automatische Erfassung von Daten

5. Speicherung von Daten

6. Datenschutzbeauftragter

7. Einwilligung

8. Informationsrecht

9. Auskunftsrecht

10. Löschung

11. Kreditauskunft

12. Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO

VIII. Rechtsdurchsetzung und Verfahrensrecht

1. Verwaltungsverfahren

a) Beschwerde an die Datenschutzbehörde

b) Amtswegiges Prüfungsverfahren der Datenschutzbehörde

c) Rechtsmittel und Rechtsbehelfe gegen Entscheidungen der Datenschutzbehörde

d) Vollstreckung von Entscheidungen im Verwaltungsverfahren

2. Verwaltungsstrafverfahren

3. Verfahren vor ordentlichen Gerichten und parallele Verfahrensführung

Kapitel 19 Leitentscheidungen des EuGH zur DSGVO

I. Einleitung

II. Leitentscheidungen des EuGH

1. Anwendungsbereich des europäischen Datenschutzrechts (EuGH, Urt. v. 13.5.2014 – C-131/12 – Google Spain)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

2. Personenbezug von Daten (EuGH, Urt. v. 6.12.2016 – C-582/14 – Breyer)

a) Sachverhalt

b) Entscheidungsgründe – der Personenbezug dynamischer IP-Adressen

c) Implikationen für die Unternehmenspraxis

3. Gemeinsame Verantwortlichkeit I (EuGH, Urt. v. 5.6.2018 – C-210/16 – Facebook Fanpages)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

4. Gemeinsame Verantwortlichkeit II (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

5. Gemeinsame Verantwortlichkeit III (EuGH, Urt. v. 29.7.2019 – C-40/17 – Fashion ID)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

6. Verlinkung auf besondere personenbezogene Daten (EuGH, Urt. v. 14.9.2019 – C-136/17)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

7. Keine extraterritoriale Auslistung (EuGH, Urt. v. 14.9.2019 – C-507/17)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

8. Anforderungen an eine wirksame Einwilligung (EuGH, Urt. v. 1.10.2019 – C-673/17 – Planet49)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

9. Die Rechtfertigung von Drittlandtransfers (EuGH, Urt. v 16.7.2020 – C-311/18 – Schrems II)

a) Sachverhalt

b) Entscheidungsgründe

c) Implikationen für die Unternehmenspraxis

Kapitel 20 Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen

I. Anpassungsbedarf im Unternehmen

II. Leitbild zur Umsetzung der DSGVO im Unternehmen

III. Ausgestaltung eines Umsetzungsprojekts

1. Vorbereitung

a) Welche Abteilung bzw. welche Person ist unternehmensintern für die Umstellung auf die DSGVO verantwortlich?

b) Welche datenschutzrechtlichen Vorschriften sollen konkret umgesetzt werden?

c) Auf welche verantwortlichen Stellen bezieht sich das Umsetzungsprojekt genau?

d) Sollte die DSGVO im Unternehmen global umgesetzt werden?

e) Welche Ressourcen stehen zur Verfügung?

f) Soll die Implementierung durch interne oder externe Ressourcen erfolgen?

g) Welche Abteilungen sollten involviert bzw. informiert werden?

h) Bis wann sollte die DSGVO im Unternehmen umgesetzt sein?

i) Kann die Umsetzung der DSGVO im Unternehmen auch als Chance wahrgenommen werden?

2. Anforderungsspezifizierung

3. Gap-Analyse

a) Vorbereitung der Gap-Analyse

b) Durchführung der Gap-Analyse

c) Ergebnis der Gap-Analyse

4. Planung von Ressourcen

a) Planung von Budget

b) Planung von Mitarbeitern

c) Zeitplan

5. Implementierung

a) Definition von Unterprojekten

b) Bestimmung von Meilensteinen und Abhängigkeiten

c) Durchführung der Unterprojekte

6. Testing und Monitoring

7. Kommunikation und Training

a) Interne Unternehmenskommunikation

b) Mitarbeiterschulungen

IV. Erste Erfahrungen aus der Umsetzungspraxis

V. Fazit

Kapitel 21 Weitere rechtliche Entwicklungen und Ausblick

I. Datenschutzrecht als dynamisches Rechtsgebiet

II. Gesetzgeber

1. Rechtsakte der Europäischen Kommission

a) Delegierte Rechtsakte

b) Durchführungsrechtsakte

2. Begleitgesetze der Mitgliedstaaten

3. ePrivacy

III. Datenschutzbehörden

1. Europäischer Datenschutzausschuss

2. Black- und Whitelists für Datenschutz-Folgenabschätzung

3. Musterverträge

4. Konkretisierung von Pflichten nach der DSGVO

IV. Rechtsprechung

V. Entwicklung der Datenschutzpraxis

VI. Ausblick

Sachregister

Sachregister A

Sachregister B

Sachregister C

Sachregister D

Sachregister E

Sachregister F

Sachregister G

Sachregister H

Sachregister I

Sachregister J

Sachregister K

Sachregister L

Sachregister M

Sachregister N

Sachregister O

Sachregister P

Sachregister Q

Sachregister R

Sachregister S

Sachregister T

Sachregister U

Sachregister V

Sachregister W

Sachregister Z

ISBN: 978-3-8005-1728-2

© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Satzkonvertierung: Lichtsatz Michael Glaese GmbH, 69502 Hemsbach

Druck und Verarbeitung: Eberl & Koesel GmbH & Co. KG, 87452 Altusried-Krugzell

Printed in Germany

Vorwort

Die Europäische Datenschutz-Grundverordnung (DSGVO) und das „neue“ BDSG sind nunmehr seit drei Jahren in Kraft. Trotzdem bleibt ihre Umsetzung eine laufende Herausforderung für Unternehmen. Denn einerseits haben viele Unternehmen die DSGVO noch lange nicht in alle Unternehmensprozesse und -bereiche integriert. Andererseits sind laufend neue Gerichtsurteile sowie Beschlüsse und Leitlinien der Datenschutzbehörden zu berücksichtigen. Schließlich können auch andere Entwicklungen, wie beispielsweise die globale Covid-19-Pandemie, die weiter fortschreitende digitale Transformation oder auch der Brexit, neue Fragestellungen mit sich bringen, die Unternehmen auch in datenschutzrechtlicher Hinsicht lösen müssen. Auch nach drei Jahren Geltungsdauer ist der Rechtsrahmen noch nicht so konkretisiert, dass zu allen Datenschutzfragen im Unternehmen einfach ableitbare Lösungen vorliegen. Hinzu kommt, dass die Datenschutzbehörden häufig besonders strenge Positionen vertreten, denen Unternehmen nicht ohne Weiteres folgen wollen. Es bleibt aktuell also weitgehend den Unternehmen selbst überlassen, pragmatische und praxistaugliche Lösungen zur Umsetzung der DSGVO-Vorgaben zu entwickeln.

Vor diesem Hintergrund richtet sich das vorliegende Handbuch an alle Datenschutzpraktiker, also Datenschutzverantwortliche in Unternehmen, Datenschutzbeauftragte, Syndizi, Datenschutzberater, Mitarbeiter in Datenschutzbehörden sowie Rechtsanwälte. Es soll umfassende Lösungen für die Vielzahl an Fragestellungen liefern, die sich im Unternehmen ganz praktisch bei der Einhaltung der DSGVO ergeben. Das vorliegende Handbuch dient als kontinuierlicher Ratgeber bei datenschutzrechtlichen Fragestellungen, sowohl im täglichen Geschäft als auch um gewisse Themenbereiche grundsätzlich zu adressieren. Statt einer Aneinanderreihung verschiedener Beiträge war es dabei das Anliegen, eine systematische Darstellung der Rechtslage zu gewährleisten, die auch eine Einarbeitung ermöglicht. Gleichzeitig sollen die zahlreichen Praxishinweise bei der Umsetzung der abstrakten Vorgaben helfen.

Einige besondere Themenkomplexe – wie etwa Fragen des Web Trackings oder Customer Relationship Managements – haben für den Datenschutzpraktiker regelmäßig und fortwährend eine überragende Bedeutung. Sie erfordern unseres Erachtens eine in sich geschlossene Darstellung, um ihre praktischen Implikationen zu erfassen. Diese Themenkomplexe werden in Kapitel 17 erläutert. Darüber hinaus haben wir in der 2. Auflage nunmehr ein eigenes Kapitel zum Datenschutzrecht in Österreich aufgenommen, um auch diese Facette des praktischen Datenschutzes zu beleuchten.

Um der Bedeutung des Case Law für die Auslegung und Anwendung der DSGVO gerecht zu werden, haben wir einen für deutsche Praxishandbücher ungewöhnlichen Teil in dieses Handbuch aufgenommen: Wir haben die relevantesten Urteile zum Datenschutzrecht in einem eigenen Kapitel aufbereitet. Der Datenschutzpraktiker hat so eine Quelle, um sich alle Leitentscheidungen zu vergegenwärtigen.

Bei den Autoren dieses Handbuchs handelt es sich ausnahmslos um erfahrene Datenschutzpraktiker, die sich in ihrer Arbeit laufend mit den adressierten Themen auseinandersetzen. Wir danken diesen Autoren, dass sie in einer durch eine Pandemie geprägten, beruflich und familiär belastenden Zeit den Enthusiasmus und Einsatz gezeigt haben, um dieses Werk zu ermöglichen. Ihre in der Praxis gewonnenen Erfahrungen stellen einen unschätzbaren Mehrwert dieses Werks dar.

Über sämtliche Anregungen zu diesem Handbuch sind wir dankbar.

Flemming Moos

Jens Schefzig

Marian Arning

im April 2021

Autorenverzeichnis

Dr. Marian Alexander Arning, LL.M., Dozent an der Türkisch-Deutschen Universität in Istanbul u.a. für Datenschutz- und IT-Recht. Zudem ist er seit 2011 als Rechtsanwalt in Deutschland zugelassen und war in der Folge im Bereich des Datenschutz- und IT-Rechts bei den internationalen Wirtschaftsrechtskanzleien Norton Rose Fulbright und Osborne Clarke in Hamburg tätig. In diesem Zusammenhang hat er internationale Großkonzerne, Mittelständler, aber auch Start-Ups zu allen Aspekten des Datenschutzrechts beraten. Ein besonderer Schwerpunkt liegt im Bereich Life Science & Healthcare. Er hat seinen Master im IT-Recht am Institut für Rechtsinformatik der Leibniz Universität Hannover und an der Katholieke Universiteit Leuven (Belgien) absolviert. Dr. Arning hat eine Vielzahl von Buch- und Zeitschriftenbeiträgen zum Datenschutzrecht veröffentlicht.

Dr. Ulrich Baumgartner, LL.M. (King’s College London), Partner der Kanzlei BAUMGARTNER BAUMANN am Standort München, zuvor Partner der Kanzleien Allen & Overy und Osborne Clarke. Er berät seit 2003 im deutschen und europäischen Datenschutzrecht sowie im IT-Recht. Einen Schwerpunkt seiner Beratung bildet die Onlinebranche sowie der Sektor Digital Business. Neben seiner Anwaltstätigkeit leitet Ulrich Baumgartner als Region Leader die Aktivitäten der International Association of Privacy Professionals (IAPP) in Deutschland, Österreich und der Schweiz und ist Co-Chair der lokalen Münchener Gruppe der IAPP. Er ist regelmäßiger Referent zu Datenschutzthemen und Autor verschiedener Kommentare, Fachbücher und Beiträge zum Datenschutzrecht.

Ingo Braun, Rechtsanwalt und Partner in der Kanzlei bpv Hügel in Österreich. Er ist seit 2004 als Rechtsanwalt in Österreich zugelassen und war seither mit einem Schwerpunkt im Bereich des IT- und Datenschutzrechts in unterschiedlichen internationalen Kanzleien tätig. Er hält Vorträge und verfasst Beiträge zum Datenschutzrecht.

Cay Lennart Cornelius, Justiziar und Referent insbesondere im Bereich Sanktionen bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Vor dem Wechsel zur Aufsichtsbehörde war er unter anderem als selbstständiger externer Datenschutzbeauftragter und mehrere Jahre als wissenschaftlicher Mitarbeiter im IT- und Datenschutzrecht im Team von Dr. Flemming Moos in der Kanzlei Osborne Clarke an den Standorten Berlin und Hamburg tätig. Die International Association of Privacy Professionals (IAPP) verlieh ihm die Zertifikate des Certified Information Privacy Professional/Europe (CIPP/E) und des Certified Information Privacy Manager (CIPM).

Eva Gardyan-Eisenlohr, Rechtsanwältin und Absolventin der Ecole Nationale d’Administration, Frankreich. Nach langjähriger Tätigkeit als in-house counsel in der AgroScience und Pharmaindustrie, leitete sie als General Counsel und Compliance Officer von 2009–2015 die Rechtsfunktion der Bayer Pharma AG und verantwortete von 2016–2020 als Group Data Privacy Officer die weltweite Datenschutzfunktion der Bayer AG. Für die Rechtsfunktion war sie Mitglied im Bayer Digital Excellence Council. Zum 1. Januar 2021 wechselte Eva Gardyan-Eisenlohr zur Olympus Corporation, Tokio. Seit dem 1. April 2021 ist sie für das Unternehmen Global Chief Compliance Officer und verantwortet die Bereiche Compliance, Ethics und Data Privacy berichtend an den Vorstandsvorsitzenden.

Dr. Tina Gausling, LL.M. (Columbia University), Fachanwältin für IT-Recht und zertifizierte Datenschutzexpertin (CIPP/E) in der Kanzlei Allen & Overy LLP am Standort München. Nach einem Masterstudium an der Columbia Law School in New York war sie in führenden internationalen Wirtschaftskanzleien in Berlin, Hamburg und München tätig. Sie berät nationale und internationale Unternehmen im IT- und Datenschutzrecht vorrangig zu grenzüberschreitenden Fragestellungen und mit einem besonderen Fokus auf aktuellen technologischen Entwicklungen, u.a. in den Bereichen Online-Marketing und AdTech, IoT und Künstliche Intelligenz. Dr. Gausling wirkt als Mitglied des European Advisory Board der IAPP (International Association of Privacy Professionals) intensiv an der rechtlichen Weiterentwicklung dieser Themen mit, publiziert regelmäßig in Fachzeitschriften und internationalen Journals und tritt als Referentin auf fachspezifischen Tagungen, Konferenzen und in Seminaren auf.

Stephan Hansen-Oest, Rechtsanwalt und Fachanwalt für IT-Recht in Flensburg. Er ist seit 2002 Rechtsanwalt und Inhaber einer Kanzlei für Datenschutzrecht. Neben der anwaltlichen Beratung ist Rechtsanwalt Hansen-Oest zudem auch als rechtlicher Sachverständiger für das Gütesiegel für IT-Produkte des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und auch als Legal Expert für das European Privacy Seal (EuroPriSe) akkreditiert gewesen. Er ist Certified Information Privacy Professional/Europe (CIPP/E) und Geschäftsführer der Datenschutz-Guru GmbH.

Carmen Heinemann, Diplom-Informationsjuristin (FH), arbeitet als Beraterin für IT-Compliance, Prozessmanagement, Business Intelligence und Digitalisierung in der Hessischen Landesbank an der Schnittstelle zwischen IT, Informationssicherheit und Datenschutz. Neben ihrer langjährigen Tätigkeit als IT-Projektmanagerin, u.a. bei der Deutschen Bank, IBM und Microsoft, hat Frau Heinemann Informationsrecht studiert, um die zunehmenden Compliance-Anforderungen bei der Einführung von IT-Lösungen optimal berücksichtigen zu können. Nebenberuflich lehrt und schreibt Frau Heinemann zu Praxisfragen des IT-Rechts und des IT-Projektmanagements. Frau Heinemann ist zertifizierte IT-Security Beauftragte (TÜV) und zertifizierte IT-Compliance Managerin (TÜV).

Per Meyerdierks, Senior Privacy Counsel und Syndikusrechtsanwalt bei Google in Hamburg. Er ist seit 2005 als Rechtsanwalt und seit 2017 als Syndikusrechtsanwalt zugelassen. Nachdem er zunächst in der Rechtsabteilung der Lycos Europe GmbH tätig war, berät er seit 2007 Google in allen Fragen des Datenschutzrechts mit Fokus auf die an Unternehmen gerichteten Cloud-Dienste. Er ist zudem Ansprechpartner für die Datenschutzaufsichtsbehörden in mehreren Ländern einschließlich Deutschlands. Per Meyerdierks hat diverse Fachbeiträge zum Datenschutzrecht verfasst und tritt regelmäßig als Referent zu diesem Thema auf.

Dr. Flemming Moos, Fachanwalt für IT-Recht und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und war seither im Bereich des IT- und Datenschutzrechts in unterschiedlichen internationalen Kanzleien tätig. Dr. Moos leitet die internationale Data Privacy Service Line bei Osborne Clarke und hat im Datenschutzrecht einen Branchenfokus in den Bereichen Retail, Digital Business sowie Life Science & Healthcare. Schwerpunkte seiner Beratung liegen in Datenschutz-Complianceprojekten, in der Vertretung in komplexen Gerichts- und Behördenverfahren und in der Begleitung datengetriebener Digitalisierungsvorhaben. Er ist Mitglied der International Association of Privacy Professionals (IAPP) und leitet aktuell deren Hamburg KnowledgeNet. Dr. Moos hat diverse Bücher und Fachbeiträge zum Datenschutzrecht verfasst; er tritt regelmäßig als Referent auf den führenden Datenschutzkongressen auf.

Leif Rohwedder, Rechtsanwalt und Senior Legal Counsel in der Konzernrechtsabteilung von Telefónica Deutschland am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und schwerpunktmäßig im Gewerblichen Rechtsschutz, Datenschutzrecht und Vertragsrecht tätig. Bei Telefónica zählt die Vertragsgestaltung und rechtliche Beratung bei der Konzeption von Werbemaßnahmen für die Marke O2 zu seinen Aufgaben. Daneben doziert er seit 2009 als Referent für Lehrgänge zum Datenschutz in den Gebieten Permission-Management und Datenschutz bei Telemedien. Leif Rohwedder ist außerdem Mitautor eines Formularhandbuchs für Datennutzungs- und Datenschutzverträge.

Dr. Tobias Rothkegel, Rechtsanwalt in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2016 als Rechtsanwalt zugelassen und im Bereich des IT- und Datenschutzrechts tätig. Ferner berät er zu den rechtlichen Aspekten von Cyber-Security und Blockchain. Herr Rothkegel hat einen Branchenfokus in den Bereichen Life Science und Financial Services und berät dabei internationale Großkonzerne, mittelständische Unternehmen als auch Start-Ups zu sämtlichen Aspekten des Datenschutzrechts und -managements und der Datennutzung sowie rechtlichen Fragenstellungen rund um Cyber-Security und Blockchain. Er hat an zahlreichen Veröffentlichungen im Bereich des Datenschutzrechts sowohl in führenden Fachzeitschriften als auch in juristischen Handbüchern und Kommentaren mitgewirkt.

Dr. Jens Schefzig, Rechtsanwalt und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Nachdem er zuvor für eine andere internationale Kanzlei tätig war, ist er seit 2014 Rechtsanwalt bei Osborne Clarke. Er berät ausschließlich zu Rechtsfragen rund um Daten. Vor seiner Tätigkeit als Rechtsanwalt war Dr. Schefzig als Unternehmensberater bei McKinsey & Company tätig. Er befasst sich deshalb insbesondere auch mit Fragen des Datenschutzmanagements. Dr. Schefzig hat zahlreiche Buch- und Zeitschriftenbeiträge zum Datenschutzrecht verfasst und ist regelmäßiger Referent auf Fachtagungen und -kongressen.

Laurenz Strassemeyer, Diplom-Jurist und Doktorand an der Universität Bonn. Er lässt sich zur datenschutzrechtlichen Regulierung von Künstlicher Intelligenz von Prof. Dr. Specht-Riemenschneider promovieren. Seit Januar 2021 ist er Visiting Student Researcher an der UC Berkeley School of Law am Berkeley Center for Law & Technology. Zuvor arbeitete Herr Strassemeyer zwei Jahre als wissenschaftlicher Mitarbeiter bei Osborne Clarke in der Praxisgruppe IT-Recht & Datenschutz in Hamburg. Nach Abschluss seines Studiums 2018 absolvierte er ein mehrmonatiges Client Secondment für eine Boutique-Kanzlei für Datenschutz und IT-Recht bei einem weltweit führenden Textildiscounter, den er bei der Umsetzung der DSGVO-Vorgaben unterstützte. Herr Strassemeyer ist seit August 2019 zudem Mitglied der Redaktion der Fachzeitschrift Datenschutz-Berater (DSB).

Dr. Anna Zeiter, LL.M. (Stanford), ist Associate General Counsel und Chief Privacy Officer von eBay Inc. Vor ihrer Tätigkeit bei eBay hat Anna Zeiter in Hamburg im Bereich Medienrecht promoviert und war anschließend als Rechtsanwältin bei zwei internationalen Großkanzleien im Bereich Datenschutz-, IT- und eCommerce-Recht tätig. Anschließend hat sie das LL.M.-Programm in Law, Science and Technology Recht an der der Stanford Law School absolviert. Neben ihrer beruflichen Tätigkeit ist Anna Zeiter regelmäßig Referentin bei internationalen Datenschutzkonferenzen und unterrichtet als Dozentin an verschiedenen Universitäten, u.a. in Bern, St. Gallen und Göttingen. Daneben veröffentlicht Frau Dr. Zeiter regelmäßig Beiträge zu datenschutzrechtlichen Themen, beispielsweise im Stanford Transatlantic Technology Law Forum sowie im European Data Protection Law Review. Darüber hinaus ist Anna Zeiter Board Member der International Association of Privacy Professionals (IAPP), Committee Member des Data Protection Officer Networks in Dublin sowie Mitglied des World Economic Forums (WEF).

Die Beiträge geben die persönlichen Meinungen der Autoren wieder.

Inhaltsübersicht

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze

II. Parallelität von DSGVO und „Altgesetzen“

III. Auslegung der DSGVO und der Begleitgesetze

Kapitel 2 Grundlagen des Datenschutzrechts

I. Datenschutz im Anwendungsbereich des EU-Rechts

II. Schutzgut des Datenschutzrechts

III. Grundbegriffe des Datenschutzrechts

IV. Zusammenspiel mit anderen Rechtsmaterien

Kapitel 3 Anwendungsbereich des Datenschutzrechts

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Sachlicher Anwendungsbereich

III. Räumlicher Anwendungsbereich, Art. 3 DSGVO

IV. Anwendungsbereich mitgliedstaatlicher Regelungen

V. Anwendungsbereich sonstiger ausfüllender Normen

Kapitel 4 Datenschutzrechtliche Grundsätze

I. Bedeutung und Funktion der Datenschutzgrundsätze

II. Die Grundsätze im Einzelnen

III. Die Rechenschaftspflicht

Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Gesetzliche Erlaubnisvorschriften

III. Einwilligung der Betroffenen

Kapitel 6 Umgang mit Betroffenen

I. Einführung

II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO

III. Informationspflichten (Art. 13 und 14 DSGVO)

IV. Recht auf Auskunft (Art. 15 DSGVO)

V. Recht auf Berichtigung (Art. 16 DSGVO)

VI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO)

VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)

VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

X. Widerspruchsrecht (Art. 21 DSGVO)

XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)

XII. Sanktionierung

Kapitel 7 Auftragsverarbeitung

I. Begriff und Gegenstand der Auftragsverarbeitung

II. Abgrenzung zum Verantwortlichen und zur gemeinsamen Verantwortlichkeit

III. Rechtsnatur der Auftragsverarbeitung

IV. Typische Fallkonstellationen einer Auftragsverarbeitung

V. Rechte und Pflichten aus einer Auftragsverarbeitung

VI. Begründung einer Auftragsverarbeitung

VII. Auftragsverarbeitung innerhalb von Unternehmensgruppen

VIII. Unterbeauftragungen

IX. Haftung von Auftragsverarbeitern

X. Kontrolle von Auftragsverarbeitern

XI. Dokumentation der Kontrollen

XII. Kontrollergebnis

Kapitel 8 Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Gemeinsam für die Verarbeitung Verantwortliche

III. Getrennte Verantwortlichkeiten

IV. Niederlassungsübergreifende Verarbeitungen

Kapitel 9 Internationale Datenübermittlungen

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Einführung in den Regelungsbereich

III. Länder mit angemessenem Schutzniveau

IV. Geeignete Garantien für Drittlandtransfers

V. Ausnahmen für bestimmte Fälle

Kapitel 10 Datenschutzmanagement

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Terminologie

III. Anforderungen an das Datenschutzmanagement

IV. Risikoadäquates Datenschutzmanagement

V. Konkrete Maßnahmen hängen vom Einzelfall ab

VI. Grundlegende Maßnahmen des Datenschutzmanagements

VII. Datenschutzmanagementsystem

Kapitel 11 Datenschutzorganisation

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Ergänzende Regelungen des BDSG

III. Terminologie

IV. Datenschutzorganisation als Voraussetzung von Datenschutzcompliance

V. Pflicht zur Errichtung einer Datenschutzorganisation

VI. Gestaltung einer Datenschutzorganisation

VII. Beispiele

Kapitel 12 Datenschutzprozesse

I. Prozessuale Umsetzung datenschutzrechtlicher Vorgaben

II. Privacy by Design und by Default, Art. 25 DSGVO

III. Datenlöschung

IV. Verzeichnis von Verarbeitungstätigkeiten

V. Datenschutz-Folgenabschätzung

VI. Umgang mit Datenlecks

VII. Integration des Datenschutzes in allgemeine Unternehmensprozesse

Kapitel 13 Technischer Datenschutz und Risikomanagement

I. Überblick über die einschlägigen Regelungen

II. Allgemeine Grundlagen des technischen Datenschutzrisikomanagements

III. Nutzung der Standards und Vorgehen der Informationssicherheit

IV. Technische Maßnahmen zur datenschutzkonformen

V. Privacy by Design und Privacy by Default

VI. Ausblick

Kapitel 14 Verhaltensregeln und Zertifizierungen

I. Einleitung

II. Grundsätzliche Unterscheidung und Komplementarität

III. Mehrwert für Unternehmen

IV. Genehmigung von Verhaltensregeln

V. Überwachung genehmigter Verhaltensregeln/Sanktionen im Falle von Verstößen

VI. Inhalte und Gestaltung von Verhaltensregeln

VII. Zertifizierungsverfahren

Kapitel 15 Beschäftigtendatenschutz

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Handlungsoptionen des Gesetzgebers

III. Datenschutzrechtliche Erlaubnistatbestände

IV. Informationspflichten und Betroffenenrechte

V. Überwachungsmaßnahmen – Rechtslage in Deutschland

VI. Handlungsempfehlung

Kapitel 16 Behördliche und gerichtliche Verfahren

I. Aufsichtsbehörden

II. Aufsichtsverfahren

III. Umgang mit Aufsichtsbehörden

IV. Bußgelder

V. Gerichtlicher Rechtsschutz

VI. Verbandsklage

Kapitel 17 Besondere Themenkomplexe

A. Web Tracking und Online Advertising

I. Technische Abläufe

II. Zulässigkeit des Web Tracking und des Online Advertising

III. Verantwortlichkeit für Web Tracking und Online Advertising

IV. Zusätzliche Pflichten

V. Bußgeldrahmen bei Verstößen

B. Customer-Relationship-Management

I. Überblick über die einschlägigen Regelungen

II. Datenquellen

III. Profiling zu Werbezwecken

IV. Werbliche Kommunikation mit Kunden

C. E-Discovery

I. Ausgewählte Rahmenbedingungen

II. Kollision mit dem Datenschutz im Beweissicherungsprozess

III. Fazit

D. Cloud Computing

I. Eigenschaften und Terminologie

II. Cloud-spezifische Problemfelder

E. Big Data

I. Eigenschaften und Terminologie

II. Big Data-spezifische Problemfelder

F. Gesundheitsdatenschutz

I. Definition „Gesundheitsdaten“

II. Systematik der datenschutzrechtlichen Regelungen im Gesundheitsbereich

III. Zulässigkeit der Verarbeitung von Gesundheitsdaten auf Basis von Vorschriften aus der DSGVO/dem BDSG

IV. Weitere Besonderheiten nach der DSGVO/dem BDSG bei der Verarbeitung von Gesundheitsdaten

V. (Berufsrechtliche) Schweigepflicht

VI. Verarbeitung zu wissenschaftlichen Forschungszwecken

Kapitel 18 Österreichisches Datenschutzrecht

I. Gesetzliche Grundlagen

II. Nutzung von Öffnungsklauseln

III. Grundrecht auf Datenschutz

IV. Marketing und Kontaktaufnahme zu Werbezwecken

V. Österreichische Spezialregelungen

VI. Arbeitnehmer-Datenschutz

VII. Österreichische Entscheidungen

VIII. Rechtsdurchsetzung und Verfahrensrecht

Kapitel 19 Leitentscheidungen des EuGH zur DSGVO

I. Einleitung

II. Leitentscheidungen des EuGH

Kapitel 20 Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen

I. Anpassungsbedarf im Unternehmen

II. Leitbild zur Umsetzung der DSGVO im Unternehmen

III. Ausgestaltung eines Umsetzungsprojekts

IV. Erste Erfahrungen aus der Umsetzungspraxis

V. Fazit

Kapitel 21 Weitere rechtliche Entwicklungen und Ausblick

I. Datenschutzrecht als dynamisches Rechtsgebiet

II. Gesetzgeber

III. Datenschutzbehörden

IV. Rechtsprechung

V. Entwicklung der Datenschutzpraxis

VI. Ausblick

Inhaltsverzeichnis

Vorwort

Autorenverzeichnis

Inhaltsübersicht

Abkürzungsverzeichnis

Literaturverzeichnis

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze

1. Stand der Umsetzung in den Unternehmen

2. Zeitliche Geltung

3. Unmittelbare Geltung

4. Zusammenspiel mit anderen Regelwerken

a) Begleitgesetze auf Basis von Öffnungsklauseln

b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen

c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO

d) Zwischenergebnis

II. Parallelität von DSGVO und „Altgesetzen“

III. Auslegung der DSGVO und der Begleitgesetze

1. Auslegung der DSGVO

a) Autonome Auslegung des Unionsrechts

b) Auslegungsmethoden

c) Relevanz existierender Rechtsprechung

2. Auslegung der Begleitgesetze

a) Auslegungsmethoden

b) Relevanz existierender Rechtsprechung

Kapitel 2 Grundlagen des Datenschutzrechts

I. Datenschutz im Anwendungsbereich des EU-Rechts

II. Schutzgut des Datenschutzrechts

1. Schutz der natürlichen Personen

2. Schutz des freien Datenverkehrs

III. Grundbegriffe des Datenschutzrechts

1. Personenbezug

2. Datenverarbeitung

3. Verantwortlicher

IV. Zusammenspiel mit anderen Rechtsmaterien

1. Wettbewerbsrecht

2. Kartellrecht

a) Missbräuchliche Nutzung von Kundendaten

b) Missbräuchliche Zugangsverweigerung zu Daten

c) AGB-Recht

3. Besonderer Geheimnisschutz

a) Berufsrechtliche Schweigepflichten

b) Strafrechtliche Schweigepflichten

c) Fernmeldegeheimnis

d) Schutz von Geschäftsgeheimnissen

4. Arbeits- und Mitbestimmungsrecht

a) Umfang von Datenerhebungen im Bewerbungsgespräch

b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift

c) Einsicht in Personalakten

d) Kündigungsschutz für Datenschutzbeauftragte

Kapitel 3 Anwendungsbereich des Datenschutzrechts

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Sachlicher Anwendungsbereich

1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO

2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO

III. Räumlicher Anwendungsbereich, Art. 3 DSGVO

1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO

a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen

b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters

2. Marktortprinzip, Art. 3 Abs. 2 DSGVO

a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO

b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO

c) Betroffene Person in der EU

3. Räumlicher Anwendungsbereich bei mehreren Beteiligten

4. Räumliche Reichweite der Betroffenenrechte

5. Geltung der DSGVO im EWR

IV. Anwendungsbereich mitgliedstaatlicher Regelungen

V. Anwendungsbereich sonstiger ausfüllender Normen

Kapitel 4 Datenschutzrechtliche Grundsätze

I. Bedeutung und Funktion der Datenschutzgrundsätze

II. Die Grundsätze im Einzelnen

1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben

2. Transparenz

3. Zweckbindung

4. Datenminimierung

5. Datenrichtigkeit

6. Speicherbegrenzung

7. Integrität und Vertraulichkeit

III. Die Rechenschaftspflicht

Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten

I. Überblick über die einschlägigen Regelungen der DSGVO

II. Gesetzliche Erlaubnisvorschriften

1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen

a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung

b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen

c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke

2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung

3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung

a) Berechtigte Interessen des Verantwortlichen oder eines Dritten

b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen