Buch lesen: «Praxishandbuch DSGVO»
Inhaltsverzeichnis
1 Deckblatt
2 Titel
3 Impressum
4 Vorwort
5 Autorenverzeichnis
6 Inhaltsübersicht
7 Inhaltsverzeichnis
8 Abkürzungsverzeichnis
9 Literaturverzeichnis
10 Kapitel 1 Grundlagen des Umgangs mit der DSGVO I. Die Anwendung der DSGVO und der nationalen Begleitgesetze 1. Stand der Umsetzung in den Unternehmen 2. Zeitliche Geltung 3. Unmittelbare Geltung 4. Zusammenspiel mit anderen Regelwerken a) Begleitgesetze auf Basis von Öffnungsklauseln b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO d) Zwischenergebnis II. Parallelität von DSGVO und „Altgesetzen“ III. Auslegung der DSGVO und der Begleitgesetze 1. Auslegung der DSGVO a) Autonome Auslegung des Unionsrechts b) Auslegungsmethoden c) Relevanz existierender Rechtsprechung 2. Auslegung der Begleitgesetze a) Auslegungsmethoden b) Relevanz existierender Rechtsprechung
11 Kapitel 2 Grundlagen des Datenschutzrechts I. Datenschutz im Anwendungsbereich des EU-Rechts II. Schutzgut des Datenschutzrechts 1. Schutz der natürlichen Personen 2. Schutz des freien Datenverkehrs III. Grundbegriffe des Datenschutzrechts 1. Personenbezug 2. Datenverarbeitung 3. Verantwortlicher IV. Zusammenspiel mit anderen Rechtsmaterien 1. Wettbewerbsrecht 2. Kartellrecht a) Missbräuchliche Nutzung von Kundendaten b) Missbräuchliche Zugangsverweigerung zu Daten c) AGB-Recht 3. Besonderer Geheimnisschutz a) Berufsrechtliche Schweigepflichten b) Strafrechtliche Schweigepflichten c) Fernmeldegeheimnis d) Schutz von Geschäftsgeheimnissen 4. Arbeits- und Mitbestimmungsrecht a) Umfang von Datenerhebungen im Bewerbungsgespräch b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift c) Einsicht in Personalakten d) Kündigungsschutz für Datenschutzbeauftragte
12 Kapitel 3 Anwendungsbereich des Datenschutzrechts I. Überblick über die einschlägigen Regelungen der DSGVO II. Sachlicher Anwendungsbereich 1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO 2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO III. Räumlicher Anwendungsbereich, Art. 3 DSGVO 1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters 2. Marktortprinzip, Art. 3 Abs. 2 DSGVO a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO c) Betroffene Person in der EU 3. Räumlicher Anwendungsbereich bei mehreren Beteiligten 4. Räumliche Reichweite der Betroffenenrechte 5. Geltung der DSGVO im EWR IV. Anwendungsbereich mitgliedstaatlicher Regelungen V. Anwendungsbereich sonstiger ausfüllender Normen
13 Kapitel 4 Datenschutzrechtliche Grundsätze I. Bedeutung und Funktion der Datenschutzgrundsätze II. Die Grundsätze im Einzelnen 1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben 2. Transparenz 3. Zweckbindung 4. Datenminimierung 5. Datenrichtigkeit 6. Speicherbegrenzung 7. Integrität und Vertraulichkeit III. Die Rechenschaftspflicht
14 Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten I. Überblick über die einschlägigen Regelungen der DSGVO II. Gesetzliche Erlaubnisvorschriften 1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke 2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung 3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung a) Berechtigte Interessen des Verantwortlichen oder eines Dritten b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen c) Keine überwiegenden Interessen/Rechte der betroffenen Person am Ausschluss der Datenverarbeitung 4. Verarbeitung personenbezogener Daten zu Zwecken der Werbung 5. Verhältnis der Alternativen des Art. 6 Abs. 1 DSGVO zueinander 6. Verhältnis zwischen besonders praxisrelevanten nationalen Vorschriften und der DSGVO a) Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG b) Scoring und Bonitätsauskünfte gem. § 31 BDSG c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO 7. Zweckänderung – Verarbeitung personenbezogener Daten zu einem anderen Zweck a) Zweckänderung auf Basis einer Rechtsvorschrift b) Zweckänderung auf Basis einer Einwilligung c) Zweckänderung auf Basis des Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO d) Weitere datenschutzrechtliche Pflichten im Fall der Zweckänderung 8. Verarbeitung besonderer Kategorien personenbezogener Daten a) Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) b) Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO) 9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO 10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO 11. Besondere Verarbeitungssituationen 12. Zulässigkeit der Verarbeitung personenbezogener Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden 13. Sanktionierung III. Einwilligung der Betroffenen 1. Überblick über die einschlägigen Regelungen 2. Allgemeine Voraussetzungen der Einwilligung a) Form der Willensbekundung b) Freiwilligkeit c) Erteilung für den bestimmten Fall d) Transparenzgebot e) Einwilligungen als Gegenstand von AGB f) Widerruflichkeit g) Nachweisbarkeit h) Gültigkeitsdauer 3. Einwilligung von Kindern a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten b) Vergewisserungspflicht des Verantwortlichen 4. Einwilligung bei sensiblen Datenkategorien 5. Wirksamkeit von Alt-Einwilligungen
15 Kapitel 6 Umgang mit BetroffenenI. EinführungII. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVOIII. Informationspflichten (Art. 13 und 14 DSGVO)1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO)a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVOb) Systematik von Art. 13 DSGVOc) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVOd) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVOe) Zeitpunkt der Informationf) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO)g) Information im Fall der Änderung der Datenverarbeitungh) Ausnahmen von der Informationspflicht (Art. 13 Abs. 4 DSGVO)i) Keine Pflicht zur „Nachinformation“ im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenj) Erfüllung der Informationspflichten als Zulässigkeitsvoraussetzung?2. Informationspflichten bei der Erhebung von Daten aus anderen Quellen als von der betroffenen Person (Art. 14)a) Voraussetzungen der Informationspflicht nach Art. 14 DSGVOb) Inhalte der Informationspflichten nach Art. 14 Abs. 1 DSGVOc) Inhalte der Informationspflichten nach Art. 14 Abs. 2 DSGVOd) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werdene) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVOf) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitungg) Ausnahmen von der Informationspflicht nach Art. 14 DSGVOh) „Nachinformation“ und keine Zulässigkeitsvoraussetzung3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO)a) Formulierung der Informationb) Information in leicht zugänglicher Formc) Formd) Unentgeltlichkeite) Kombination mit standardisierten Bildsymbolen4. Rechenschaftspflicht5. Beispiele für Möglichkeiten zur Darstellung der Informationena) Gestaltung als Checklisteb) Gruppierung von Informationenc) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitungd) Gestaltung unter Einsatz von Tabellene) Multilayered notice/MehrebenenansatzIV. Recht auf Auskunft (Art. 15 DSGVO)1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVOa) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVOb) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVOc) Umfang des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO2. Ausnahmen vom Auskunftsrechta) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO in der DSGVOb) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO im nationalen Recht3. Modalitäten der Auskunftserteilung (Art. 12 DSGVO)a) Antragserfordernisb) Erleichterung der Rechtsausübung (Art. 12 Abs. 2 S. 1 DSGVO)c) Identifizierung des Antragstellers (Art. 12 Abs. 6 DSGVO)d) Formulierung der Auskunft (Art. 12 Abs. 1 DSGVO)e) Form der Auskunftf) Unentgeltlichkeit (Art. 12 Abs. 5 S. 2 lit. a DSGVO)g) Frist zur Erteilung der Auskunft sowie von Informationen über das Auskunftsverlangen und ggf. über dessen Ablehnung (Art. 12 Abs. 3 und Abs. 4 DSGVO)h) Zweckbindung von Daten im Zusammenhang mit der Auskunftserteilung4. Recht der betroffenen Person, eine Kopie ihrer Daten zu erhalten (Art. 15 Abs. 3 und 4 DSGVO)a) Inhalte und Umfang der Kopie nach Art. 15 Abs. 3 DSGVOb) Ausnahmen vom Recht auf Erhalt einer Kopie in der DSGVOc) Modalitäten im Hinblick auf die Aushändigung der Kopie gem. Art. 15 Abs. 3 DSGVOd) Praktischer Umgang mit Anträgen auf Erhalt einer Kopie5. Auskunft im Hinblick auf Daten bzw. Erhalt von Kopien von Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenV. Recht auf Berichtigung (Art. 16 DSGVO)1. Inhalte des Berichtigungsrechts nach Art. 16 DSGVOa) Berichtigung unrichtiger personenbezogener Daten (S. 1)b) Vervollständigung unvollständiger personenbezogener Daten (S. 2)c) Darlegungs- und Beweislast2. Ausnahmen vom Berichtigungsrecht3. Modalitäten des Berichtigungs- bzw. Vervollständigungsanspruchs (Art. 12 DSGVO)4. Mitteilungspflicht nach Art. 19 DSGVO5. Berichtigung/Vervollständigung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenVI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO)1. Voraussetzungen des Rechts der betroffenen Person auf Löschung sowie der Löschpflicht des Verantwortlichen (Art. 17 Abs. 1 DSGVO)a) Recht der betroffenen Person auf Löschung ihrer Datenb) Pflicht des Verantwortlichen zur Datenlöschungc) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO)a) Voraussetzungen des Rechts auf Vergessenwerdenb) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO)a) Ausnahmen nach Art. 17 Abs. 3 DSGVOb) Weitere Ausnahmen in der DSGVOc) Ausnahmen im nationalen Recht5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO)a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflichtb) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Personc) Frist für die Information nach Art. 17 Abs. 2 DSGVO6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenVII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)1. Inhalte des Rechts auf Einschränkung der Datenverarbeitunga) Voraussetzungen (Art. 18 Abs. 1 DSGVO)b) Rechtsfolge: Einschränkung der Datenverarbeitungc) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO)d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO)2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO)4. Mitteilungspflicht nach Art. 19 DSGVO5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenVIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)1. Voraussetzungen der Mitteilungspflicht2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO)4. Weitere Ausnahmen von der Mitteilungspflicht5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO)6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenIX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)1. Inhalte des Rechts auf Datenübertragbarkeita) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichenc) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO)2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO)a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO)b) Weitere Ausnahmen3. Modalitäten des Rechts auf Datenübertragbarkeit4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenX. Widerspruchsrecht (Art. 21 DSGVO)1. Inhalte des Widerspruchsrechtsa) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVOb) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVOc) Informationspflichten nach Art. 21 Abs. 4 DSGVO2. Weitere Ausnahmen vom Widerspruchsrecht3. Modalitäten des Widerspruchsrechts4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenXI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werdena) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werdenb) Rechtsfolgen aus Art. 22 Abs. 1 DSGVOc) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO)d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurdenXII. Sanktionierung
16 Kapitel 7 Auftragsverarbeitung I. Begriff und Gegenstand der Auftragsverarbeitung II. Abgrenzung zum Verantwortlichen und zur gemeinsamen Verantwortlichkeit 1. Abgrenzung zum Verantwortlichen a) Entscheidungsbefugnis über Zwecke b) Entscheidungsbefugnis über Mittel 2. Abgrenzung zur gemeinsamen Verantwortlichkeit III. Rechtsnatur der Auftragsverarbeitung IV. Typische Fallkonstellationen einer Auftragsverarbeitung V. Rechte und Pflichten aus einer Auftragsverarbeitung 1. Pflichten des Auftragsverarbeiters 2. Rechte und Pflichten des Verantwortlichen a) Erteilung von Weisungen b) Dokumentation der Weisungen VI. Begründung einer Auftragsverarbeitung 1. Auswahl des Auftragsverarbeiters 2. Abschluss eines Auftragsverarbeitungsvertrages a) Form des Auftragsverarbeitungsvertrages b) Inhalt des Auftragsverarbeitungsvertrages c) Umstellung von alten Auftragsverarbeitungsverträgen auf die DSGVO VII. Auftragsverarbeitung innerhalb von Unternehmensgruppen VIII. Unterbeauftragungen 1. Zustimmungspflicht des Verantwortlichen a) Art der Erteilung b) Einspruchsrecht bei Allgemeinzustimmung 2. Begründung des Unterauftragsverhältnisses IX. Haftung von Auftragsverarbeitern 1. Haftung auf Schadensersatz a) Haftung für eigenes Verschulden b) Haftung von Unterauftragsverarbeitern c) Beweislastumkehr d) Gesamtschuldnerische Haftung 2. Sanktionen gegen Auftragsverarbeiter X. Kontrolle von Auftragsverarbeitern 1. Recht zur Kontrolle 2. Pflicht zur Kontrolle 3. Art und Häufigkeit der Kontrolle a) Art der Kontrolle b) Häufigkeit der Kontrolle XI. Dokumentation der Kontrollen XII. Kontrollergebnis
17 Kapitel 8 Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit I. Überblick über die einschlägigen Regelungen der DSGVO II. Gemeinsam für die Verarbeitung Verantwortliche 1. Der Begriff der gemeinsamen Verantwortlichkeit (Art. 4 Nr. 7 DSGVO) a) Gemeinsame Entscheidung mehrerer Stellen b) Entscheidung über Zwecke und Mittel der Verarbeitung c) Entscheidungshilfen für die Unternehmenspraxis d) Abgrenzung von der Auftragsverarbeitung 2. Reichweite der gemeinsamen Verantwortlichkeit 3. Zulässigkeit der Verarbeitungen durch gemeinsam Verantwortliche 4. Rechte und Pflichten der gemeinsam Verantwortlichen a) Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit b) Geltendmachung der Rechte der Betroffenen c) Zurverfügungstellung der wesentlichen Teile der Vereinbarung d) Mitteilung der erforderlichen Informationen nach Art. 13 und Art. 14 DSGVO 5. Haftung und Sanktionen III. Getrennte Verantwortlichkeiten 1. Begriff der Übermittlung 2. Zulässigkeit von Datenübermittlungen an Dritte 3. Typische Fallkonstellationen getrennter Verantwortlichkeiten 4. Besondere Aspekte von Datenübermittlungen im Konzern a) Fehlendes Konzernprivileg b) Erlaubnis durch Interessenabwägung c) Öffnungsklausel für nationale Sonderregelungen d) Internationale Datenübermittlungen IV. Niederlassungsübergreifende Verarbeitungen 1. Die Bestimmung einer Hauptniederlassung für eine niederlassungsübergreifende Verantwortlichkeit 2. Die Spezifizierung der Verarbeitungsverfahren
18 Kapitel 9 Internationale Datenübermittlungen I. Überblick über die einschlägigen Regelungen der DSGVO II. Einführung in den Regelungsbereich 1. Sonderregelungen für „Drittlands-Übermittlungen“ a) Begriff des Drittlands b) Geltung auch für internationale Organisationen c) Begriff der „Übermittlung“ d) Geltung auch für Weiterübermittlungen 2. Anforderungen an Drittlands-Übermittlungen a) Einhaltung der allgemeinen DSGVO-Anforderungen b) Gewährleistung eines angemessenen Schutzniveaus c) Verantwortlicher und Auftragsverarbeiter als Regelungsadressat 3. Fortgeltung etablierter Sicherungsinstrumente III. Länder mit angemessenem Schutzniveau 1. Bestehende Angemessenheitsbeschlüsse a) Einschränkungen bei Datentransfers nach Kanada b) Einschränkungen bei Datentransfers nach Israel c) Der Sonderfall USA: Ungültigkeit des EU-US Privacy Shield 2. Neue Angemessenheitsentscheidungen unter der DSGVO a) Anforderungen an Angemessenheitsfeststellungen der Kommission b) Das Verfahren der Angemessenheitsfeststellung 3. Fortlaufende Überwachung der Angemessenheit IV. Geeignete Garantien für Drittlandtransfers 1. Standarddatenschutzklauseln a) Existierende Standardvertragsklauseln nach Maßgabe der RL 95/46/EG b) Neue Standarddatenschutzklauseln nach DSGVO c) Standarddatenschutzklauseln einer Aufsichtsbehörde d) Verwendung der Standarddatenschutzklauseln 2. Verbindliche interne Datenschutzvorschriften (BCRs) a) Anforderungen an BCRs b) Arbeitsdokumente der Artikel-29-Datenschutzgruppe c) Existierende BCR d) Genehmigungsverfahren für BCR e) Integration von BCR in ein Datenschutz-Managementsystem nach DSGVO 3. Genehmigte Verhaltensregeln 4. Zertifizierungen 5. Sonstige behördlich genehmigte Vertragsklauseln V. Ausnahmen für bestimmte Fälle 1. Einwilligung der Betroffenen a) Ausdrückliche Erteilung der Einwilligung b) Notwendigkeit gesonderter Erteilung c) Informiertheit der Einwilligung 2. Erforderlichkeit für die Vertragserfüllung 3. Sonstige Ausnahmefälle a) Im Interesse der betroffenen Person geschlossener Vertrag b) Wichtige Gründe des öffentlichen Interesses c) Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen d) Schutz lebenswichtiger Interessen e) Übermittlungen aus einem Register 4. Auffangregelung für Einzelübermittlungen a) Keine wiederholte Übermittlung b) Begrenzte Zahl betroffener Personen c) Zwingende berechtigte Interessen d) Keine überwiegenden Interessen der betroffenen Person e) Umfassende Beurteilung und angemessene Garantien f) Information der Aufsichtsbehörde
19 Kapitel 10 Datenschutzmanagement I. Überblick über die einschlägigen Regelungen der DSGVO II. Terminologie III. Anforderungen an das Datenschutzmanagement IV. Risikoadäquates Datenschutzmanagement 1. Risikobewertung grundlegend 2. Risikoprofil eines Unternehmens 3. Konkrete Maßnahmen hängen vom Einzelfall ab V. Konkrete Maßnahmen hängen vom Einzelfall ab VI. Grundlegende Maßnahmen des Datenschutzmanagements 1. Einführung 2. Unternehmensrichtlinie zum Datenschutz 3. Datenschutzorganisation 4. Datenschutzstrategie 5. Meldewege und Whistleblowing 6. Auditierungen 7. Einzelfallprüfungen und -beratung 8. Schulungen 9. Sonstige Maßnahmen VII. Datenschutzmanagementsystem 1. Sinn eines Datenschutzmanagementsystems 2. Gestaltung eines Datenschutzmanagementsystems a) Orientierung an ähnlichen Systemen bzw. Standards b) Drei Säulen c) Schematische Darstellung eines Datenschutzmanagementsystems 3. Aufbau eines Datenschutzmanagementsystems 4. Messung des Erfolgs eines Datenschutzmanagementsystems
20 Kapitel 11 Datenschutzorganisation I. Überblick über die einschlägigen Regelungen der DSGVO II. Ergänzende Regelungen des BDSG III. Terminologie IV. Datenschutzorganisation als Voraussetzung von Datenschutzcompliance V. Pflicht zur Errichtung einer Datenschutzorganisation 1. Datenschutz-Grundverordnung a) Gesetzliche Vorgaben b) Konkrete Wertung 2. Gesellschaftsrechtliche Verpflichtung in Deutschland 3. Ordnungswidrigkeitenrecht 4. Fazit VI. Gestaltung einer Datenschutzorganisation 1. Der Zweck einer Datenschutzorganisation 2. Aufgaben einer Datenschutzorganisation a) Vier grundlegende Aufgaben b) Beachtung und Anwendung des Datenschutzrechts im operativen Geschäft c) Beratung d) Richtlinienkompetenz e) Auditierung und Überwachung 3. Elemente einer Datenschutzorganisation a) Einführung b) Die Geschäftsleitung c) Der Datenschutzbeauftragte d) Datenschutzberater e) Datenschutzmanager f) Datenschutzexperten g) Datenschutzkoordinatoren h) Sonstige Mitarbeiter des Unternehmens i) (Inländischer) Vertreter 4. Entwicklung einer Datenschutzorganisation VII. Beispiele 1. Verwendung der Beispiele 2. Datenschutzorganisation in kleinen Unternehmen 3. Datenschutzorganisation in mittleren Unternehmen 4. Datenschutzorganisation im Großkonzern
21 Kapitel 12 Datenschutzprozesse I. Prozessuale Umsetzung datenschutzrechtlicher Vorgaben II. Privacy by Design und by Default, Art. 25 DSGVO 1. Überblick über die einschlägigen Regelungen der DSGVO 2. Wer ist für Privacy by Design und by Default verantwortlich? 3. Was bedeutet Privacy by Design und by Default? a) Datenschutz durch Technikgestaltung, Art. 25 Abs. 1 DSGVO b) Datenschutz durch datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO c) Genehmigte Zertifizierungsverfahren, Art. 25 Abs. 3 DSGVO III. Datenlöschung 1. Allgemeines 2. Geschäftliche Relevanz 3. Löschkonzept 4. Praktische Hinweise für die Implementierung IV. Verzeichnis von Verarbeitungstätigkeiten 1. Überblick über die einschlägigen Regelungen der DSGVO 2. Aufzeichnungspflichten statt Meldepflicht und Verfahrensverzeichnis 3. Verarbeitungsverzeichnis des Verantwortlichen a) Wer ist zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO verpflichtet? b) Inhalt des Verarbeitungsverzeichnisses c) Form des Verarbeitungsverzeichnisses 4. Verarbeitungsverzeichnis des Auftragsverarbeiters 5. Praktische Hinweise zur Implementierung V. Datenschutz-Folgenabschätzung 1. Überblick über die einschlägigen Regelungen der DSGVO 2. Wer ist für eine Datenschutz-Folgenabschätzung verantwortlich? 3. Wann muss eine Datenschutz-Folgenabschätzung erfolgen? a) Voraussichtlich hohes Risiko (Art. 35 Abs. 1 S. 1 DSGVO) b) Regelbeispiele (Art. 35 Abs. 3 DSGVO) c) Positivliste der Aufsichtsbehörden (Art. 35 Abs. 4 DSGVO) d) Mögliche Befreiung von der Folgenabschätzung aufgrund bestimmter Verarbeitungszwecke (Art. 35 Abs. 10 DSGVO) 4. Was muss im Rahmen der Folgenabschätzung passieren? a) Welche hohen Risiken sind zu adressieren (Art. 35 Abs. 1 DSGVO)? b) Welche technischen und organisatorischen Maßnahmen sind geeignet, um das Risiko zu minimieren? c) Welche Dokumentation der Folgenabschätzung ist erforderlich (Art. 35 Abs. 7 DSGVO)? d) Bedarf es der Beratung durch den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)? e) Müssen betroffene Personen oder Vertreter (Art. 35 Abs. 9 DSGVO) eingebunden werden? f) Wann bedarf es der erneuten Überprüfung? g) Welche Rolle spielt die Aufsichtsbehörde bei der Folgenabschätzung (Art. 36 Abs. 2 DSGVO)? 5. Praktische Hinweise zur Implementierung VI. Umgang mit Datenlecks 1. Überblick über die einschlägigen Regelungen der DSGVO 2. Meldepflichten (Art. 33 DSGVO) a) Was muss gemeldet werden? (Art. 33 Abs. 1 DSGVO) b) Bis wann muss gemeldet werden? (Art. 33 Abs. 1 S. 1 und 2 DSGVO) c) Wie muss gemeldet werden? (Art. 33 Abs. 3 DSGVO) d) Was tun bei Verzögerung? (Art. 33 Abs. 4 DSGVO) e) Was muss in jedem Fall dokumentiert werden? (Art. 33 Abs. 5 DSGVO) f) Welche Pflichten treffen den Auftragsverarbeiter? (Art. 33 Abs. 2 DSGVO) 3. Benachrichtigungspflichten (Art. 34 DSGVO) a) Wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO) b) Bis wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO) c) Was muss die Benachrichtigung beinhalten und wie muss sie erfolgen? (Art. 34 Abs. 2 DSGVO) d) Wann kann auf eine Benachrichtigung verzichtet werden? (Art. 34 Abs. 3 DSGVO) 4. Praktische Hinweise zur Implementierung VII. Integration des Datenschutzes in allgemeine Unternehmensprozesse 1. Aufgaben der Datenschutzorganisation – eine Chance für vielfältige Integration in die Unternehmensprozesse a) Governance b) Hinwirken auf den Datenschutz c) Überwachung und Auditierung 2. Definition von Unternehmensprozessen, in denen Datenschutzprozesse integriert werden a) Datenschutzprozesse b) Risikobetrachtung c) Typische Hüter der Anforderungen des Datenschutzes 3. Praktische Hinweise zur Implementierung
22 Kapitel 13 Technischer Datenschutz und Risikomanagement I. Überblick über die einschlägigen Regelungen 1. Art. 24, 32 DSGVO und Erwägungsgrund 83 2. Art. 24, 25 DSGVO und Erwägungsgrund 78 3. §§ 64, 65, 76 BDSG II. Allgemeine Grundlagen des technischen Datenschutzrisikomanagements 1. Auswahl eines Vorgehensmodells 2. Anwendung etablierter Methoden und Verfahren a) Anwendung PDCA und Eingliederung in Managementsysteme b) Anwendung eines risikobasierten Verfahrens III. Nutzung der Standards und Vorgehen der Informationssicherheit 1. Grundlegende Begriffe und Standards der Informationssicherheit a) Terminologie b) Zentrale Standards der Informationssicherheit 2. Risikobasiertes Verfahren zur Herstellung der Informationssicherheit a) Schutzbedarfsfeststellung b) Soll-Ist-Vergleich/Risiko-Assessment c) Schutzmaßnahmen d) Dokumentation und Nachweis e) Kontrolle und Prüfung f) Behandlung von Sicherheitsvorfällen g) Zertifizierung 3. Zusammenfassung und Fazit IV. Technische Maßnahmen zur datenschutzkonformen 1. Datenschutzziele a) Schutzziele der Datensicherheit nach der DSGVO b) Weitere Schutzziele des Datenschutzes 2. Risikobasiertes Verfahren für den Datenschutz a) Schutzbedarfsfeststellung des Datenschutzes b) Soll-Ist-Vergleich des Datenschutzes c) Risiko-Assessment des Datenschutzes d) Auswahl von Datenschutzmaßnahmen 3. Dokumentation und Nachweis 4. Kontrolle und Prüfung 5. Behandlung von Datenschutzvorfällen 6. Zertifizierung 7. Zusammenfassung und Fazit V. Privacy by Design und Privacy by Default 1. Privacy Enhancing Technologies 2. Privacy by Design/Privacy by Default als Ergänzung des IT-Sicherheits- und IT-Risikomanagements VI. Ausblick 1. Anpassung des risikobasierten Verfahrens mit Auditierung/Zertifizierung 2. Entwicklung von Verhaltensregeln 3. Datenschutzeignung von Software 4. Datenschutzkonformes Design von Datenbeständen
23 Kapitel 14 Verhaltensregeln und Zertifizierungen I. Einleitung II. Grundsätzliche Unterscheidung und Komplementarität III. Mehrwert für Unternehmen 1. Einhaltung und Nachweis datenschutzkonformen Handelns 2. Rechtskonkretisierungsfunktion 3. Absicherung von Drittlandübermittlungen 4. Berücksichtigung bei der Bemessung von Sanktionen IV. Genehmigung von Verhaltensregeln 1. Vorlageberechtigte Stellen 2. Verhaltensregeln mit rein nationaler Wirkung 3. Verhaltensregeln mit landesübergreifender Wirkung 4. Allgemeingültigkeitserklärung 5. Gültigkeitsdauer 6. Bindungswirkung genehmigter Verhaltensregeln a) Bindungswirkung gegenüber Aufsichtsbehörden b) Bindungswirkung gegenüber Gerichten c) Bindungswirkung gegenüber Unternehmen V. Überwachung genehmigter Verhaltensregeln/Sanktionen im Falle von Verstößen VI. Inhalte und Gestaltung von Verhaltensregeln 1. Regelungsinhalte von Verhaltensregeln 2. Gestaltungsprozess in der Praxis a) Bedarfs- und Maßnahmenermittlung b) Ausarbeitung unter Beteiligung betroffener Interessenträger VII. Zertifizierungsverfahren 1. Ablauf des Zertifizierungsverfahrens/Beteiligte Stellen 2. Regelungsinhalte und Prüfmaßstab 3. Bindungswirkung
24 Kapitel 15 Beschäftigtendatenschutz I. Überblick über die einschlägigen Regelungen der DSGVO II. Handlungsoptionen des Gesetzgebers 1. Reichweite des Art. 88 Abs. 1 DSGVO a) Spezifischere Vorschriften b) Personenbezogene Beschäftigtendaten c) Zwecke der Datenverarbeitung 2. Mindestanforderungen gem. Art. 88 Abs. 2 DSGVO a) Transparenz der Verarbeitung b) Datenübermittlung innerhalb einer Unternehmensgruppe c) Überwachungssysteme am Arbeitsplatz 3. Mitteilung gem. Art. 88 Abs. 3 DSGVO 4. Nationale Regelungen in Deutschland a) Zentrale Vorschrift zum Beschäftigtendatenschutz b) Verhältnis zu den Vorgaben des Art. 88 DSGVO III. Datenschutzrechtliche Erlaubnistatbestände 1. Einwilligung im Beschäftigungsverhältnis a) Allgemeine Voraussetzungen einer wirksamen Einwilligung b) Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis c) Form der Einwilligung im Beschäftigungsverhältnis 2. Gesetzliche Erlaubnistatbestände a) Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) b) Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) d) Besondere Kategorien von personenbezogenen Daten (Art. 9 Abs. 2 lit. b DSGVO) 3. Betriebsvereinbarungen a) Angemessene und besondere Schutzmaßnahmen b) Betriebsvereinbarung als Erlaubnistatbestand c) Weitere Regelungen in Betriebsvereinbarungen d) Bereits abgeschlossene Betriebsvereinbarungen 4. Datenaustausch in Matrixorganisationen a) Erlaubnistatbestände b) Gemeinsame Verantwortlichkeit IV. Informationspflichten und Betroffenenrechte 1. Informationspflichten des Arbeitgebers 2. Betroffenenrechte 3. Automatisierte Entscheidungen einschließlich Profiling V. Überwachungsmaßnahmen – Rechtslage in Deutschland 1. Kontrolle der Internet- und E-Mail-Nutzung a) Erlaubnistatbestand b) Kontrolle der dienstlichen Internet- und E-Mail-Nutzung c) Arbeitgeber als Diensteanbieter d) Beweisverwertungsverbote 2. Videoüberwachung VI. Handlungsempfehlung
25 Kapitel 16 Behördliche und gerichtliche Verfahren I. Aufsichtsbehörden 1. Überblick über die einschlägigen Normen 2. Einleitung 3. Zuständigkeit innerhalb der Europäischen Union 4. Zuständigkeit innerhalb Deutschlands 5. Europäischer Datenschutzausschuss 6. Aufgaben und Befugnisse a) Aufgaben der Aufsichtsbehörden b) Befugnisse der Aufsichtsbehörden II. Aufsichtsverfahren 1. Aufsichtsverfahren in Deutschland 2. Zusammenarbeit der Aufsichtsbehörden auf europäischer Ebene a) Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden b) Kohärenzverfahren im Falle von Unstimmigkeiten 3. Öffentliche Äußerungen von Behörden/Mediale Aufmerksamkeit a) Die namentliche Nennung des sanktionierten Unternehmens b) Pressemitteilungen und Stellungnahmen zu aktuellen Geschehnissen III. Umgang mit Aufsichtsbehörden 1. Gründe für den Kontakt mit Aufsichtsbehörden a) Kontrolldichte b) Anfragen durch Aufsichtsbehörden 2. Bedeutung von Rechtspositionen der Datenschutzbehörden 3. Erste Maßnahmen nach Anfrage einer Aufsichtsbehörde 4. Sofortige Korrektur von festgestellten Rechtsverstößen 5. Generelle Hinweise zur Interaktion mit Aufsichtsbehörden 6. Kooperation und Selbstbelastung IV. Bußgelder 1. Überblick über die einschlägigen Normen 2. Bußgeldvorschriften der DSGVO a) Kategorisierung der Bußgelder und Strafvorschriften b) Referenztechnik c) Einzelne Tatbestände d) Bisher bekannte und nennenswerte Bußgelder 3. Bemessung des Bußgeldes a) Allgemeine Vorgaben nach der DSGVO b) Das Bußgeldmodell der Datenschutzkonferenz in Deutschland 4. Straf- und Bußgeldvorschriften des BDSG a) Strafvorschriften b) Bußgeldvorschriften 5. Adressat des Bußgeldes a) Verantwortliche Stelle, Auftragsverarbeiter und spezielle Stellen b) Bußgelder gegenüber einzelnen Personen innerhalb eines Unternehmens c) Bußgelder gegenüber Behörden V. Gerichtlicher Rechtsschutz 1. Überblick über die einschlägigen Normen 2. Verhältnis Betroffener – Verantwortlicher bzw. Auftragsverarbeiter a) Auskunftsanspruch und weitere subjektive Rechte b) Unterlassungsanspruch c) Schadensersatzanspruch 3. Verhältnis Verantwortlicher bzw. Auftragsverarbeiter – Aufsichtsbehörde a) Rechtsschutzgarantie unter der DSGVO b) Konkreter Rechtsschutz nach deutschem Verfahrensrecht 4. Sonderfall: Beschlüsse des Europäischen Datenschutzausschusses 5. Vorgehen gegen öffentliche Äußerungen der Datenschutzbehörden VI. Verbandsklage 1. Überblick über die einschlägigen Normen 2. Verbandsklagen auf Grundlage der DSGVO (Art. 80 DSGVO) a) Unter Mitwirkung des Betroffenen (Art. 80 Abs. 1 DSGVO) b) Ohne Mitwirkung des Betroffenen (Art. 80 Abs. 2 DSGVO) 3. Möglichkeiten zur Verbandsklage nach deutschem Recht a) UKlaG b) Anwendbarkeit des UWG und AGB-Rechts seit Einführung der DSGVO
26 Kapitel 17 Besondere Themenkomplexe A. Web Tracking und Online Advertising I. Technische Abläufe 1. Der Einsatz von Cookies zum Web Tracking 2. Das Ausspielen von Werbung (Online Advertising) 3. Weitere Methoden zum Web Tracking a) Tracking Pixel b) Social Plugins c) Andere dynamische Websiteinhalte Dritter d) Fingerprinting e) Server to Server Tracking II. Zulässigkeit des Web Tracking und des Online Advertising 1. Anwendbare Regelungen auf das Web Tracking und Online Advertising a) Rechtsunklarheit aufgrund fehlender ePrivacy-Verordnung b) Das Zusammenspiel zwischen der DSGVO und der ePrivacy-Richtlinie c) Das einschlägige Regelungsregime für einzelne Trackingmethoden d) Anwendbarkeit der DSGVO für die (weitere) Verarbeitung 2. Zulässigkeit des Web Tracking für einzelne Zwecke a) Zulässigkeit zu Zwecken des Online Advertising b) Zulässigkeit der Datenverarbeitung zu anderen Zwecken als dem Online Advertising III. Verantwortlichkeit für Web Tracking und Online Advertising 1. Verpflichteter nach Art. 5 Abs. 3 ePrivacy-Richtlinie 2. Datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO IV. Zusätzliche Pflichten V. Bußgeldrahmen bei Verstößen B. Customer-Relationship-Management I. Überblick über die einschlägigen Regelungen II. Datenquellen III. Profiling zu Werbezwecken 1. Interessenabwägung 2. Zweckändernde Verarbeitung 3. Keine Anwendung von Art. 22 DSGVO 4. Einwilligung IV. Werbliche Kommunikation mit Kunden 1. Briefwerbung a) Interessenabwägung/Zweckänderung b) Einwilligung 2. Direktwerbung über elektronische Post, Anrufautomaten und Fax 3. Persönliche Telefonwerbung 4. Vorrang der ePrivacy-Bestimmungen 5. Zusammenfassung C. E-Discovery I. Ausgewählte Rahmenbedingungen 1. Federal Rule of Civil Procedure der Vereinigten Staaten 2. Sedona Konferenzen, Frameworks und Arbeitsgruppen 3. Leitlinien der Artikel-29-Datenschutzgruppe II. Kollision mit dem Datenschutz im Beweissicherungsprozess 1. Grundlage: Das e-Discovery Referenzmodell (EDRM) 2. Grundlage: Information Management und Governance 3. Durchführung des e-Discovery-Prozesses mit dem Referenzmodell a) Identifikationsphase (Identification) b) Phase der Extraktion und Sicherung (Collection and Preservation) c) Phase der Bearbeitung (Processing, Review and Analysis) d) Phase der Weitergabe und Nutzung (Production and Presentation) III. Fazit D. Cloud Computing I. Eigenschaften und Terminologie II. Cloud-spezifische Problemfelder E. Big Data I. Eigenschaften und Terminologie II. Big Data-spezifische Problemfelder 1. Personenbezug 2. Zweckbindung 3. Datenminimierung 4. Betroffenenrechte a) Informationspflichten b) Auskunftsrecht F. Gesundheitsdatenschutz I. Definition „Gesundheitsdaten“ II. Systematik der datenschutzrechtlichen Regelungen im Gesundheitsbereich III. Zulässigkeit der Verarbeitung von Gesundheitsdaten auf Basis von Vorschriften aus der DSGVO/dem BDSG 1. Verarbeitung von Gesundheitsdaten auf Basis einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) a) Allgemeine Anforderungen an die Einwilligung b) Freiwilligkeit der Einwilligung gem. Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO c) Ausschluss der Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO 2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG) a) Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung gem. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 lit. b BDSG b) Angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gem. Art. 9 Abs. 4 DSGVO i.V.m. § 22 Abs. 2 BDSG 3. Verarbeitung von Gesundheitsdaten im Beschäftigungskontext (Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 und 4 BDSG) IV. Weitere Besonderheiten nach der DSGVO/dem BDSG bei der Verarbeitung von Gesundheitsdaten V. (Berufsrechtliche) Schweigepflicht VI. Verarbeitung zu wissenschaftlichen Forschungszwecken 1. Zulässigkeit der Verarbeitung von Gesundheitsdaten zu Zwecken der wissenschaftlichen Forschung a) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken gem. Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG b) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken auf Basis einer Einwilligung 2. Weitere Besonderheiten bei der Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken
27 Kapitel 18 Österreichisches Datenschutzrecht I. Gesetzliche Grundlagen II. Nutzung von Öffnungsklauseln III. Grundrecht auf Datenschutz IV. Marketing und Kontaktaufnahme zu Werbezwecken V. Österreichische Spezialregelungen 1. Verarbeitung von Bilddaten (Bildaufnahmen) 2. Verarbeitung von Strafdaten 3. Back-Up-Privileg 4. Verwarnung durch die Datenschutzbehörde 5. Datengeheimnis 6. Datenschutz-Folgenabschätzungen 7. Regelungen in Materiengesetzen VI. Arbeitnehmer-Datenschutz 1. Einwilligungen im Arbeitsverhältnis, Tracking von Mitarbeitern 2. Betriebsverfassungsrecht und DSGVO 3. Betriebsrat VII. Österreichische Entscheidungen 1. Anwendbarkeit der DSGVO 2. Sensible Daten 3. Verwendung öffentlich zugänglicher Registerdaten 4. Automatische Erfassung von Daten 5. Speicherung von Daten 6. Datenschutzbeauftragter 7. Einwilligung 8. Informationsrecht 9. Auskunftsrecht 10. Löschung 11. Kreditauskunft 12. Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO VIII. Rechtsdurchsetzung und Verfahrensrecht 1. Verwaltungsverfahren a) Beschwerde an die Datenschutzbehörde b) Amtswegiges Prüfungsverfahren der Datenschutzbehörde c) Rechtsmittel und Rechtsbehelfe gegen Entscheidungen der Datenschutzbehörde d) Vollstreckung von Entscheidungen im Verwaltungsverfahren 2. Verwaltungsstrafverfahren 3. Verfahren vor ordentlichen Gerichten und parallele Verfahrensführung
28 Kapitel 19 Leitentscheidungen des EuGH zur DSGVO I. Einleitung II. Leitentscheidungen des EuGH 1. Anwendungsbereich des europäischen Datenschutzrechts (EuGH, Urt. v. 13.5.2014 – C-131/12 – Google Spain) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 2. Personenbezug von Daten (EuGH, Urt. v. 6.12.2016 – C-582/14 – Breyer) a) Sachverhalt b) Entscheidungsgründe – der Personenbezug dynamischer IP-Adressen c) Implikationen für die Unternehmenspraxis 3. Gemeinsame Verantwortlichkeit I (EuGH, Urt. v. 5.6.2018 – C-210/16 – Facebook Fanpages) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 4. Gemeinsame Verantwortlichkeit II (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 5. Gemeinsame Verantwortlichkeit III (EuGH, Urt. v. 29.7.2019 – C-40/17 – Fashion ID) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 6. Verlinkung auf besondere personenbezogene Daten (EuGH, Urt. v. 14.9.2019 – C-136/17) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 7. Keine extraterritoriale Auslistung (EuGH, Urt. v. 14.9.2019 – C-507/17) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 8. Anforderungen an eine wirksame Einwilligung (EuGH, Urt. v. 1.10.2019 – C-673/17 – Planet49) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis 9. Die Rechtfertigung von Drittlandtransfers (EuGH, Urt. v 16.7.2020 – C-311/18 – Schrems II) a) Sachverhalt b) Entscheidungsgründe c) Implikationen für die Unternehmenspraxis
29 Kapitel 20 Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen I. Anpassungsbedarf im Unternehmen II. Leitbild zur Umsetzung der DSGVO im Unternehmen III. Ausgestaltung eines Umsetzungsprojekts 1. Vorbereitung a) Welche Abteilung bzw. welche Person ist unternehmensintern für die Umstellung auf die DSGVO verantwortlich? b) Welche datenschutzrechtlichen Vorschriften sollen konkret umgesetzt werden? c) Auf welche verantwortlichen Stellen bezieht sich das Umsetzungsprojekt genau? d) Sollte die DSGVO im Unternehmen global umgesetzt werden? e) Welche Ressourcen stehen zur Verfügung? f) Soll die Implementierung durch interne oder externe Ressourcen erfolgen? g) Welche Abteilungen sollten involviert bzw. informiert werden? h) Bis wann sollte die DSGVO im Unternehmen umgesetzt sein? i) Kann die Umsetzung der DSGVO im Unternehmen auch als Chance wahrgenommen werden? 2. Anforderungsspezifizierung 3. Gap-Analyse a) Vorbereitung der Gap-Analyse b) Durchführung der Gap-Analyse c) Ergebnis der Gap-Analyse 4. Planung von Ressourcen a) Planung von Budget b) Planung von Mitarbeitern c) Zeitplan 5. Implementierung a) Definition von Unterprojekten b) Bestimmung von Meilensteinen und Abhängigkeiten c) Durchführung der Unterprojekte 6. Testing und Monitoring 7. Kommunikation und Training a) Interne Unternehmenskommunikation b) Mitarbeiterschulungen IV. Erste Erfahrungen aus der Umsetzungspraxis V. Fazit
30 Kapitel 21 Weitere rechtliche Entwicklungen und Ausblick I. Datenschutzrecht als dynamisches Rechtsgebiet II. Gesetzgeber 1. Rechtsakte der Europäischen Kommission a) Delegierte Rechtsakte b) Durchführungsrechtsakte 2. Begleitgesetze der Mitgliedstaaten 3. ePrivacy III. Datenschutzbehörden 1. Europäischer Datenschutzausschuss 2. Black- und Whitelists für Datenschutz-Folgenabschätzung 3. Musterverträge 4. Konkretisierung von Pflichten nach der DSGVO IV. Rechtsprechung V. Entwicklung der Datenschutzpraxis VI. Ausblick
31 Sachregister Sachregister A Sachregister B Sachregister C Sachregister D Sachregister E Sachregister F Sachregister G Sachregister H Sachregister I Sachregister J Sachregister K Sachregister L Sachregister M Sachregister N Sachregister O Sachregister P Sachregister Q Sachregister R Sachregister S Sachregister T Sachregister U Sachregister V Sachregister W Sachregister Z