Vorwort | 5 |
Inhaltsverzeichnis | 7 |
1 Einleitung und „Checkliste“ | 13 |
1.1 Gesetzgeberischer Hintergrund und bisherige Rechtslage | 13 |
1.1.1 Die EG-Datenschutzrichtlinie | 13 |
1.1.2 Die Datenschutz-Grundverordnung | 14 |
1.1.3 Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU | 15 |
1.2 Checkliste – Die wichtigsten datenschutzrechtlichen Pflichten | 16 |
1.2.1 Datenschutzorganisation | 16 |
1.2.2 Rechtmäßigkeit der Datenverarbeitung | 19 |
Referenzen | 21 |
2 Anwendungsbereich der DSGVO | 22 |
2.1 In welchen Fällen ist die Verordnung anwendbar? – sachlicher Anwendungsbereich | 22 |
2.1.1 „Verarbeitung“ | 22 |
2.1.2 „Personenbezogene Daten“ | 24 |
2.1.3 Ausnahmen vom sachlichen Anwendungsbereich | 30 |
2.2 Auf wen ist die Verordnung anwendbar? – persönlicher Anwendungsbereich | 31 |
2.2.1 „Verantwortlicher“ | 32 |
2.2.2 „Auftragsverarbeiter“ | 35 |
2.2.3 Von der DSGVO geschützte Personen | 36 |
2.3 Wo ist die Verordnung anwendbar? – räumlicher Anwendungsbereich | 36 |
2.3.1 Datenverarbeitung im Rahmen der Tätigkeiten einerEU-Niederlassung | 38 |
2.3.2 Verarbeitung personenbezogener Daten von innerhalb der EU befindlichen betroffenen Personen | 42 |
2.4 Anwendungsbereich des BDSG-neu | 45 |
Referenzen | 47 |
3 Anforderungen an die Datenschutzorganisation | 49 |
3.1 Rechenschaftspflicht | 49 |
3.2 Allgemeine Pflichten | 51 |
3.2.1 Verantwortlichkeit, Haftung und allgemeine Pflichten des Verantwortlichen | 51 |
3.2.2 Die Verteilung von Verantwortlichkeiten zwischen gemeinsam für die Verarbeitung Verantwortlichen („Joint controllers“) | 53 |
3.2.3 Zusammenarbeit mit den Aufsichtsbehörden | 56 |
3.3 Technische und organisatorische Maßnahmen | 57 |
3.3.1 Angemessenes Datenschutzniveau | 58 |
3.3.2 Mindestanforderungen | 58 |
3.3.3 Risikobasierter Ansatz bezüglich Datenschutz | 60 |
3.3.4 Die NIS-Richtlinie | 62 |
3.4 Verzeichnisse über Verarbeitungstätigkeiten | 64 |
3.4.1 Inhalt und Zweck der Verzeichnisse | 64 |
3.4.2 Dokumentation der Zwecke der Datenverarbeitung | 65 |
3.4.3 Ausnahme von der Pflicht zum Führen der Verzeichnisse | 66 |
3.5 Datenschutz-Folgenabschätzung („Data Protection Impact Assessment“) | 68 |
3.5.1 Betroffene Arten von Verarbeitungstätigkeiten | 69 |
3.5.2 Vornahme der Folgenabschätzung | 70 |
3.6 Datenschutzbeauftragter | 75 |
3.6.1 Pflicht zur Benennung | 76 |
3.6.2 Anforderungen an den Datenschutzbeauftragten | 82 |
3.6.3 Stellung des Datenschutzbeauftragten | 85 |
3.6.4 Aufgaben des Datenschutzbeauftragten | 88 |
3.7 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“) | 91 |
3.8 Verletzungen des Schutzes personenbezogener Daten („Data Breach Notification“) | 94 |
3.8.1 Verletzung des Schutzes personenbezogener Daten | 94 |
3.8.2 Meldung an die Aufsichtsbehörde | 95 |
3.8.3 Benachrichtigung der betroffenen Personen | 99 |
3.9 Verhaltensregeln, Zertifizierungen, Siegel, etc. | 102 |
3.9.1 Verhältnis zwischen Verhaltensregeln und Zertifizierungen | 102 |
3.9.2 Verhaltensregeln („Codes of Conduct“) | 104 |
3.9.3 Zertifizierungen, Datenschutzsiegel und –prüfzeichen („Certifications, seals and marks“) | 109 |
3.10 Auftragsverarbeiter | 113 |
3.10.1 Privilegierte Stellung des Auftragsverarbeiters | 113 |
3.10.2 Verpflichtung des Verantwortlichen bei der Auswahl eines Auftragsverarbeiters | 114 |
3.10.3 Pflichten des Auftragsverarbeiters | 116 |
3.10.4 Hinzuziehung eines „Unter-Auftragsverarbeiters“ | 118 |
Referenzen | 118 |
4 Materielle Anforderungen | 122 |
4.1 Verarbeitungsgrundsätze | 122 |
4.1.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | 123 |
4.1.2 Zweckbindung | 124 |
4.1.3 Datenminimierung | 126 |
4.1.4 Richtigkeit | 127 |
4.1.5 Speicherbegrenzung | 127 |
4.1.6 Integrität und Vertraulichkeit | 128 |
4.2 Rechtsgrundlagen für die Datenverarbeitung | 128 |
4.2.1 Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person | 128 |
4.2.2 Verarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestandes | 138 |
4.2.3 Verarbeitung besonderer Kategorien personenbezogener Daten | 154 |
4.3 Datenübermittlungen an Drittländer | 164 |
4.3.1 Angemessenheitsbeschlüsse | 166 |
4.3.2 Einwilligung | 167 |
4.3.3 Standardvertragsklauseln | 168 |
4.3.4 EU-U.S. Privacy Shield | 172 |
4.3.5 Binding Corporate Rules | 175 |
4.3.6 Verhaltensregeln, Zertifizierungsverfahren, etc. | 180 |
4.3.7 Ausnahmen für bestimmte Fälle | 181 |
4.3.8 Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen | 185 |
4.4 Eingeschränktes „Konzernprivileg “ | 187 |
4.4.1 Eigenständige Datenschutzverantwortlichkeit jedes Gruppenunternehmens | 188 |
4.4.2 Erleichterungen in Bezug auf die materiellen Anforderungen | 189 |
4.4.3 Erleichterungen in Bezug auf die Datenschutzorganisation | 190 |
Referenzen | 191 |
5 Rechte der betroffenen Personen | 194 |
5.1 Transparenz und Modalitäten | 194 |
5.1.1 Die Art und Weise der Kommunikation mit den betroffenen Personen | 195 |
5.1.2 Die Form der Kommunikation | 196 |
5.2 Informationspflicht des Verantwortlichen bei Erhebung der personenbezogenen Daten | 197 |
5.2.1 Zeitpunkt der Information | 198 |
5.2.2 Erhebung der Daten bei der betroffenen Person | 198 |
5.2.3 Erhebung der Daten von einer anderen Quelle | 200 |
5.2.4 Einschränkung der Informationspflichten nach dem BDSG-neu | 201 |
5.2.5 Praxishinweise | 204 |
5.3 Informationen über auf den Antrag der betroffenen Personen hin ergriffene Maßnahmen | 205 |
5.3.1 Art und Weise der Bereitstellung der Informationen | 205 |
5.3.2 Frist für die Bereitstellung der Informationen | 207 |
5.3.3 Unterrichtung im Falle Nicht-Tätigwerdens | 207 |
5.3.4 Bestätigung der Identität der betroffenen Person | 208 |
5.4 Auskunftsrecht | 208 |
5.4.1 Umfang des Auskunftsrechts | 208 |
5.4.2 Einschränkungen des Auskunftsrechts nach dem BDSG-neu | 210 |
5.4.3 Zurverfügungstellen der personenbezogenen Daten | 212 |
5.4.4 Praxishinweise | 214 |
5.5 Recht auf Löschung, auf Berichtung und auf Einschränkung der Verarbeitung | 215 |
5.5.1 Recht auf Berichtigung | 215 |
5.5.2 Recht auf Löschung | 217 |
5.5.3 Recht auf Einschränkung der Verarbeitung | 229 |
5.5.4 Mitteilungspflicht gegenüber Dritten im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Art. 19 | 233 |
5.6 Recht auf Datenübertragbarkeit | 234 |
5.6.1 Anwendungsbereich & Ausübung des Rechts auf Datenübertragbarkeit | 235 |
5.6.2 Technische Spezifikationen | 241 |
5.6.3 Übermittlung der Daten | 242 |
5.6.4 Verhältnis zum Recht auf Löschung | 242 |
5.6.5 Ausschluss des Rechts auf Datenübertragbarkeit | 243 |
5.7 Widerspruchsrecht | 244 |
5.7.1 Gründe für einen Widerspruch gegen die Verarbeitung | 245 |
5.7.2 Einschränkungen im BDSG-neu | 247 |
5.7.3 Ausübung des Rechts & Rechtsfolgen | 248 |
5.7.4 Informationspflicht | 249 |
5.8 Automatisierte Entscheidungsfindung | 249 |
5.8.1 Anwendungsbereich des Verbots | 250 |
5.8.2 Ausnahmen vom Verbot nach der DSGVO | 252 |
5.8.3 Ausnahme vom Verbot nach dem BDSG-neu | 253 |
5.8.4 Angemessene Schutzmaßnahmen | 254 |
5.9 Beschränkungen der Betroffenenrechte | 255 |
Referenzen | 256 |
6 Zusammenarbeit mit den Aufsichtsbehörden | 259 |
6.1 Bestimmung der zuständigen Aufsichtsbehörde | 259 |
6.2 One-Stop-Shop | 260 |
6.3 Bestimmung der federführenden Aufsichtsbehörde | 262 |
6.3.1 Bestimmung anhand der Hauptniederlassung des Unternehmens | 262 |
6.3.2 Bestimmung bei Fehlen einer Niederlassung des Unternehmens in der EU | 265 |
6.3.3 Ausnahme: lokale Zuständigkeit | 266 |
6.3.4 One-Stop-Shop auf nationaler Ebene nach dem BDSG-neu | 267 |
6.4 Zusammenarbeit und Kohärenzverfahren | 268 |
6.4.1 Europäischer Datenschutzausschuss | 269 |
6.4.2 Verfahren zur Zusammenarbeit | 269 |
6.4.3 Kohärenzverfahren | 270 |
Referenzen | 270 |
7 Rechtsdurchsetzung und Sanktionen nach der DSGVO | 272 |
7.1 Aufgaben und Untersuchungsbefugnisse der Aufsichtsbehörden | 272 |
7.1.1 Größere Konsistenz der Untersuchungsbefugnisse innerhalb der EU | 273 |
7.1.2 Regelungen zu aufsichtsbehördlichen Befugnissen im BDSG-neu | 273 |
7.1.3 Umfang der Untersuchungsbefugnisse | 275 |
7.1.4 Ausübung der Befugnisse | 277 |
7.2 Zivilrechtliche Haftung | 277 |
7.2.1 Recht auf Schadensersatz | 278 |
7.2.2 Schadensersatzpflichtige | 280 |
7.2.3 Exkulpationsmöglichkeit | 281 |
7.3 Sanktionen | 282 |
7.3.1 Abhilfebefugnisse der Aufsichtsbehörden | 283 |
7.3.2 Gründe für Bußgelder und Bußgeldbeträge | 284 |
7.3.3 Verhängung von Bußgeldern, inkl. mildernden Umständen | 285 |
7.3.4 Sanktionierung von Unternehmensgruppen | 286 |
7.3.5 Sanktionen und Verfahrensvorschriften des BDSG-neu | 287 |
7.3.6 Praxishinweise | 289 |
7.4 Rechtsbehelfe | 289 |
7.4.1 Rechtsbehelfe von datenverarbeitenden Unternehmen | 289 |
7.4.2 Rechtsbehelfe von betroffenen Personen | 291 |
Referenzen | 294 |
8 Nationale Besonderheiten | 296 |
8.1 Vielzahl von Öffnungsklauseln | 296 |
8.1.1 Öffnungsklauseln innerhalb der allgemeinen Bestimmungen der DSGVO | 296 |
8.1.2 Gesetzgebungskompetenz der EU-Mitgliedstaaten in besonderen Verarbeitungssituationen | 301 |
8.1.3 Regelungen im BDSG-neu zu besonderen Verarbeitungssituationen | 302 |
8.2 Beschäftigtendatenschutz | 304 |
8.2.1 Öffnungsklausel | 304 |
8.2.2 Regelungen des § 26 BDSG-neu | 306 |
8.2.3 Arbeitnehmervertretungsorgan in Deutschland (Betriebsrat) | 311 |
8.3 Telemediendatenschutz | 313 |
Referenzen | 316 |
9 Besondere Verarbeitungssituationen | 318 |
9.1 Big Data | 318 |
9.1.1 Anwendbarkeit der DSGVO | 319 |
9.1.2 Rechenschaftspflicht | 320 |
9.1.3 Einhaltung der Verarbeitungsgrundsätze | 321 |
9.2 Cloud Computing | 322 |
9.2.1 Verteilung der Verantwortlichkeiten | 322 |
9.2.2 Auswahl eines geeigneten Cloud-Serviceanbieters | 323 |
9.2.3 Cloud-Serviceanbieter in Drittländern | 324 |
9.3 Internet of Things | 324 |
9.3.1 Rechtsgrundlage für Datenverarbeitungen im IoT | 324 |
9.3.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen | 326 |
Referenzen | 327 |
10 Praktische Umsetzung der Vorgaben der DSGVO | 328 |
10.1 Schritt 1: „Lücken“-Analyse | 329 |
10.2 Schritt 2: Risikoanalyse | 330 |
10.3 Schritt 3: Projektkonzeption und Ressourcen-/Budgetplanung | 330 |
10.4 Schritt 4: Implementierung | 331 |
10.5 Schritt 5: Nationale Zusatzanforderungen | 332 |
Referenzen | 333 |
Annex I – Gegenüberstellung der Vorschriften und entsprechenden Erwägungsgründe der DSGVO sowieder korrespondierenden Vorschriften des BDSG-neu | 334 |
Stichwortverzeichnis | 536 |