Suchen und Finden
Datenschutz im Unternehmen - Handbuch
von: Tim Wybitul, Jyn Schultze-Melling
Fachmedien Recht und Wirtschaft, 2016
ISBN: 9783800590315 , 489 Seiten
2. Auflage
Format: PDF, ePUB, OL
Kopierschutz: Wasserzeichen
Preis: 97,99 EUR
Cover
1
Titel
3
Impressum
4
Vorwort zur zweiten Auflage
5
Vorwort zur ersten Auflage
6
Inhaltsverzeichnis
8
Teil 1: Grundzüge des BDSG
19
Kapitel 1: Einführung
19
I. Einleitung
19
II. Was sollte man zur Entwicklung des BDSG von 1977 – 2014 wissen?
20
1. Verkündung 1977
21
2. Volkszählungsurteil von 1983
21
3. Erste Neufassung 1990
22
4. BDSG-Reform von 2001
22
5. BDSG-Novelle von 2009
23
6. Entwurf eines „Gesetzes zur Regelung des Beschäftigtendatenschutzes“
23
III. Welche europäischen Entwicklungen haben Auswirkungen auf die Anwendung des BDSG?
24
1. Relevante EuGH-Rechtsprechung zum BDSG
24
a) Entscheidung vom 6.3.2003 (Rs. C-101 / 01)
24
b) Urteil vom 20.5.2003 (Rs. T-179 / 02)
25
c) Urteil vom 8.11.2007 (Rs. T-194 / 04)
25
d) Urteil vom 16.12.2008 (C-524 / 06)
25
e) Entscheidung vom 9.3.2010 (Rs. C-518 / 07)
26
f) Entscheidung vom 24.11.2011 (verb. Rs. C-468 / 10, C-469 / 10)
26
2. Die EU-Datenschutz-Grundverordnung
27
IV. Mit welchen Problemen muss man beim Umgang mit dem BDSG in der Praxis rechnen?
28
1. Sprachliche Schwächen des BDSG
28
2. Verwendung unbestimmter Rechtsbegriffe
29
3. Fehlende Vorgaben von Gerichten und Aufsichtsbehörden
29
4. Verschachtelter Aufbau des BDSG
31
V. Warum sollten Unternehmen das BDSG beachten?
33
Kapitel 2: Welche Grundprinzipien des BDSG sollte man kennen?
35
I. Was bedeuten Begriffe wie Verhältnismäßigkeitsgrundsatz, Datenvermeidung oder Datensparsamkeit?
35
1. Recht auf informationelle Selbstbestimmung
35
2. Interessenabwägung
36
3. Datenvermeidung und Datensparsamkeit, § 3a BDSG
37
4. Prüfung der Verhältnismäßigkeit einer konkreten Maßnahme
38
a) Geeignetheit
38
b) Erforderlichkeit
39
c) Angemessenheit
40
II. Was hat es mit dem Verbot mit Erlaubnisvorbehalt auf sich?
40
III. Was besagt der Grundsatz der Zweckbindung bei der Verarbeitung personenbezogener Daten?
41
IV. Was bedeutet Transparenz gegenüber dem Betroffenen im deutschen Datenschutzrecht?
42
Kapitel 3: Was gehört zum Basiswissen bei der praktischen Anwendung des BDSG?
44
I. Wer ist für die Einhaltung der Regeln des BDSG verantwortlich?
44
II. Für welche Formen der Datenverarbeitung gilt das BDSG?
46
1. Einsatz von Datenverarbeitungsanlagen oder dateimäßige Verarbeitung
46
2. Keine Anwendung des BDSG für ausschließlich persönliche oder familiäre Tätigkeiten
48
3. Keine Anwendung des BDSG, wenn es durch Spezialgesetze verdrängt wird
49
III. Was sind personenbezogene Daten?
50
1. Einzelangaben
50
2. Persönliche oder sachliche Angaben
51
3. Bestimmbarkeit einer natürlichen Person durch die fraglichen Daten
52
IV. Was sind besondere Arten personenbezogener Daten?
52
V. Was bedeutet das Erheben personenbezogener Daten?
52
1. Bedeutung des Begriffs „Erheben“
53
2. Grundsatz der Direkterhebung
54
3. Ausnahmen vom Grundsatz der Direkterhebung
55
4. Information des Betroffenen bei der Direkterhebung
57
VI. Was ist das Verarbeiten personenbezogener Daten?
58
1. Bedeutung des Begriffs „Speichern“
58
2. Bedeutung des Begriffs „Verändern“
58
a) Anonymisieren von Daten
60
b) Pseudonymisieren von Daten
62
3. Bedeutung des Begriffs „Übermitteln“
63
4. Bedeutung des Begriffs „Löschen“
65
5. Bedeutung des Begriffs „Sperren“
66
VII. Was versteht man unter dem Nutzen von personenbezogenen Daten?
67
VIII. Was ist eine Auftragsdatenverarbeitung?
68
1. Anwendungsbereich von § 11 BDSG
68
2. Wesentliche Voraussetzung einer Auftragsdatenverarbeitung: Weisungsgebundenheit des Auftragnehmers
70
3. Auftragsdatenverarbeitung nur innerhalb der EU oder EWR
71
4. Auswahl und Überwachung des Auftragnehmers
72
5. Sonderfall: Cloud Computing
72
Kapitel 4: Was muss man zur Verwendung von Einwilligungen wissen?
75
I. Kann man Einwilligungen der Betroffenen auch neben gesetzlichen Erlaubnistatbeständen einsetzen?
76
II. Welche praktischen Probleme müssen bei der Verwendung von Einwilligungen berücksichtigt werden?
78
1. Zeitpunkt
80
2. Widerrufbarkeit
80
3. Inhaltliche und formelle Anforderungen an eine Einwilligung des Betroffenen
81
a) Transparenz der Einwilligung
81
b) Freiwilligkeit der Einwilligung
82
c) Informierte Einwilligung
84
d) Formelle Anforderungen an Einwilligungserklärungen
85
Kapitel 5: Gesetzliche Erlaubnisnormen des BDSG
89
I. Datenverarbeitung aufgrund gesetzlicher Anordnung
90
1. Beispiele für anordnende Gesetzesnormen
90
2. Inhaltliche Anforderungen an derartige Spezialnormen
91
3. Reichweite derartiger Spezialvorschriften
93
II. Datenverarbeitung aufgrund gesetzlicher Erlaubnis(§ 28 BDSG)
93
1. Datenverarbeitung zur Begründung, Durchführung oder Beendigung von Schuldverhältnissen, § 28 Abs. 1 Satz 1 Nr. 1 BDSG
94
a) Das Schuldverhältnis im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG
95
b) Erforderlichkeit im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG
96
c) Angemessene Berücksichtigung der schutzwürdigen Interessen des Betroffenen
97
2. Datenverarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Stelle, § 28 Abs. 1 Satz 1 Nr. 2 BDSG
97
a) Erfüllung eigener Geschäftszwecke
98
b) Wahrung berechtigter Interessen
100
c) Überwiegende schutzwürdige Interessen des Betroffenen
101
3. Datenverarbeiten für Zwecke des Adresshandels oder der Werbung, § 28 Abs. 3 BDSG
105
4. Verarbeitung sensibler Daten, § 28 Abs. 6-9 BDSG
107
III. Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses (§ 32 BDSG)
108
1. Umgang mit Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, § 32 Abs. 1 Satz 1 BDSG
114
a) Geeignet für Zwecke des Beschäftigungsverhältnisses
114
b) Erforderlich für Zwecke des Beschäftigungsverhältnisses
117
c) Berücksichtigung schutzwürdiger Interessen des Betroffenen (Angemessenheit)
118
d) Sonderfall: „Whistleblowing“ (Hinweisgebersysteme) und § 32 Abs. 1 Satz 1 BDSG
121
e) Sonderfall: Kontrolle der E-Mails von Beschäftigten
125
aa) Bei verbotener Privatnutzung der E-Mail-Systeme
125
bb) Bei erlaubter Privatnutzung der E-Mail-Systeme
126
cc) Regelungen zur Nutzung betrieblicher IT-Systeme
129
dd) Durchführung von E-Mail-Kontrollen
131
2. Aufdeckung von Straftaten im Beschäftigungsverhältnis, § 32 Abs. 1 Satz 2 BDSG
133
a) Anwendungsbereich von § 32 Abs. 1 Satz 2 BDSG
133
b) Anforderungen an den Umgang mit Beschäftigtendaten zur Aufdeckung von Straftaten
136
aa) Geeignet für Zwecke der Aufdeckung von Straftaten
136
bb) Erforderlich zum Zweck der Aufdeckung von Straftaten
137
cc) Angemessene Berücksichtigung schutzwürdiger Interessen des Betroffenen
137
c) Vorgaben der Rechtsprechung
140
d) Allgemeine Empfehlungen zum Umgang mit Beschäftigtendaten
141
e) Mitbestimmungsrechte des Betriebsrats
143
aa) Gesetzliche Aufgaben des Betriebsrats
144
bb) Information des Betriebsrats
144
cc) Mitbestimmungsrechte des Betriebsrats
145
f) Betriebsvereinbarungen als Rechtsgrundlage für Datenumgang
146
aa) Regelungsrahmen von Betriebsvereinbarungen
146
bb) Beispielsfall: Betriebsvereinbarung zur Videoüberwachung
148
Kapitel 6: Der Datenschutzbeauftragte im Unternehmen
159
I. Wann müssen Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen?
161
1. Unternehmen, die 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen
163
2. Unternehmen, die 20 oder mehr Personen mit der nicht-automatisierten Verarbeitung personenbezogener Daten beschäftigen
165
3. Unternehmen, die besondere Voraussetzungen erfüllen
166
a) Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung oder der Markt- oder Meinungsforschung
167
b) Verarbeitungen, die einer Vorabkontrolle unterliegen
167
II. Welche Stellung und Rechte muss der Datenschutzbeauftragte im Unternehmen haben?
167
1. Erforderliche Fachkunde
168
2. Erforderliche Zuverlässigkeit
168
III. Welche Aufgaben hat der Datenschutzbeauftragte?
169
1. Hinwirken auf die Befolgung der Vorschriften über den Datenschutz
169
2. Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen
170
3. Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen
171
4. Bekanntmachung des Verfahrensverzeichnisses
171
5. Durchführung einer Vorabkontrolle
173
a) Besonders riskante automatisierte Verfahren
173
b) Durchführung der Vorabkontrolle durch den Datenschutzbeauftragten
175
c) Umfang der Vorabkontrolle
175
IV. Welche Stellung und Befugnisse hat der betriebliche Datenschutzbeauftragte?
176
1. Direkte Berichtslinie zur Unternehmensleitung
176
2. Kündigungsschutz, Widerruf der Bestellung und Benachteiligungsverbot
177
3. Unterstützung, Kontrollbefugnisse und Fortbildung
177
a) Unterstützung bei Kontrollaufgaben des Datenschutzbeauftragten
177
b) Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten
178
c) Fort- und Weiterbildung des Datenschutzbeauftragten
179
4. Verschwiegenheitspflichten des betrieblichen Datenschutzbeauftragten
179
Kapitel 7: Anforderungen an den grenzüberschreitenden Datenverkehr
180
I. Wie prüft man in der ersten Stufe die Zulässigkeit der Übermittlung an sich?
182
II. Wie wird in der zweiten Stufe die Zulässigkeit der grenzüberschreitenden Datenübermittlung geprüft?
182
1. Der Sitz des Datenempfängers als Ausgangspunkt
182
2. Entgegenstehende schutzwürdige Interessen
183
a) Drittstaaten mit anerkanntem angemessenen Schutzniveau
184
b) Sonderregelung für Datenempfänger in den USA: Safe Harbor-Abkommen
184
c) Ausnahmen vom Verbot der Übermittlung an Stellen ohne angemessenes Schutzniveau
186
aa) Einwilligungen
187
bb) Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
188
d) Sonderfälle: Standardvertragsklauseln oder verbindliche Unternehmensregelungen („Binding Corporate Rules“)
189
aa) Verwendung der EU-Standard-Vertragsklauseln
189
bb) Verbindliche Unternehmensregelungen („Binding Corporate Rules“)
190
cc) Verbindliche Unternehmensregelungen für Auftragsverarbeiter („Binding Corporate Rules for Processors“)
191
Kapitel 8: Umgang mit Datenpannen nach § 42a BDSG
193
I. Wozu dient § 42a BDSG?
193
II. Welche Voraussetzungen hat § 42a Satz 1 BDSG?
195
1. Unrechtmäßige Kenntniserlangung durch Dritte
195
2. Feststellung der Datenpanne
197
3. Relevante Datenarten nach § 42a Satz 1 Nr. 1– 4 BDSG
197
a) Besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG
198
b) Personenbezogene Daten, die einem Berufsgeheimnis unterliegen
198
c) Personenbezogene Daten, die im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten stehen
198
d) Personenbezogene Daten zu Bank- oder Kreditkartenkonten
199
4. Drohende schwerwiegende Beeinträchtigungen
199
a) Schwere der drohenden Beeinträchtigungen
199
b) Beurteilungsspielraum des Unternehmens
200
III. Was sind die Rechtsfolgen von § 42a Satz 1 BDSG?
201
1. Information der Aufsichtsbehörde
201
2. Information der Betroffenen
202
Kapitel 9: Organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten
205
I. Was umfassen Zutritts-, Zugangs- und Zugriffskontrollen?
206
II. Worum geht es bei Weitergabe-, Eingabe-, Auftrags und Verfügbarkeitskontrollen?
208
III. Was verlangt das Trennungsgebot?
209
Kapitel 10: Die Unterrichtung des Betroffenen
210
I. Wann muss man den Betroffenen nach § 33 BDSG informieren?
210
1. Voraussetzungen der Benachrichtigungspflicht
211
2. Umfang der Benachrichtigungspflicht
211
3. Ausnahmen von der Benachrichtigungspflicht
212
4. Folgen einer Nichtbeachtung der Benachrichtigungspflicht
212
II. Wann muss dem Betroffenen Auskunft erteilt werden?
213
1. Voraussetzungen der Auskunftspflicht nach § 34 BDSG
213
2. Umfang der Auskunftspflicht
214
3. Ausnahmen von der Auskunftspflicht
216
4. Folgen bei Nichtbeachtung der Auskunftspflicht
216
Kapitel 11: Folgen von Verstößen gegen das BDSG
217
I. Wen trifft die Verantwortung für Datenschutzverstöße im Unternehmen?
217
II. Welche strafrechtlichen Risiken drohen bei Datenschutzverstößen?
218
1. Anforderungen an eine Strafbarkeit nach § 44 BDSG
218
a) Begehung einer vorsätzlichen Ordnungswidrigkeit nach § 43 Abs. 2 BDSG
219
b) Handeln gegen Entgelt
219
c) Handeln in (Selbst- oder Fremd-)Bereicherungsabsicht
221
d) Handeln mit Schädigungsabsicht
221
e) Strafantrag nach § 44 Abs. 2 BDSG
224
2. Kritik an dem geltenden § 44 BDSG
224
3. Weitere Strafnormen zur Verletzung des persönlichen Lebens- und Geheimbereichs
225
4. Von Strafbarkeitsrisiken bedrohte Betroffene im Unternehmen
225
a) Strafbarkeit des Datenschutzbeauftragten
226
b) Strafbarkeit der Unternehmensleitung
228
III. Welche ordnungsrechtlichen Sanktionen drohen bei Datenschutzverstößen?
229
IV. Welche zivilrechtlichen Risiken drohen beiDatenschutzverstößen?
230
1. Ansprüche nach § 7 BDSG
230
a) Vermögensschaden
230
b) Kausalität
231
c) Verschulden
231
2. Sonstige zivilrechtliche Ansprüche wegen Verstößen gegen das BDSG
232
Kapitel 12: Welche Aufgaben und Rechte die Aufsichtsbehörden für den Datenschutz?
233
I. Wie ist die Datenschutzaufsicht in Deutschland organisiert?
233
II. Wie kontrollieren die Aufsichtsbehörden die Einhaltung des Datenschutzes in Unternehmen?
234
1. Anlässe für die Durchführung von Datenschutz-Kontrollen
234
2. Ablauf einer Datenschutz-Kontrolle
235
III. Was passiert, wenn die Aufsichtsbehörde anlässlich der Kontrolle tatsächlich Mängel feststellt?
237
1. Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße
237
2. Untersagung schwerwiegender Verstöße
238
a) Schwerwiegende Verstöße oder Mängel
238
b) Erfolglose Anordnung zur Beseitigung
238
3. Zuständigkeit für die Ahndung von Ordnungswidrigkeiten
239
IV. Wann kann die Aufsicht den betrieblichen Datenschutzbeauftragten abberufen?
239
V. Welche weiteren Aufgaben haben Aufsichtsbehörden?
241
1. Veröffentlichen von Tätigkeitsberichten
241
2. Beratung und Unterstützung der Unternehmen
241
Teil 2: Abdruck und Kurzkommentierung der wichtigsten Vorschriften des BDSG
244
Einleitung
244
Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen
245
§ 1 Zweck und Anwendungsbereich des Gesetzes
245
§ 2 Öffentliche und nicht-öffentliche Stellen
248
§ 3 Weitere Begriffsbestimmungen
250
§ 3a Datenvermeidung und Datensparsamkeit
255
§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
256
§ 4a Einwilligung
259
§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen
262
§ 4c Ausnahmen
267
§ 4d Meldepflicht
271
§ 4e Inhalt der Meldepflicht
275
§ 4f Beauftragter für den Datenschutz
276
§ 4g Aufgaben des Beauftragten für den Datenschutz
282
§ 5 Datengeheimnis
284
§ 6 Rechte des Betroffenen
286
§ 6a Automatisierte Einzelentscheidung
288
§ 6b Beobachtung öffentlich zugänglicher Räume mit optischel ektronischen Einrichtungen
289
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien
292
§ 7 Schadensersatz
294
§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen
295
§ 9 Technische und organisatorische Maßnahmen
295
§ 9a Datenschutzaudit
299
§ 10 Einrichtung automatisierter Abrufverfahren
299
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
301
Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen
304
§ 12 Anwendungsbereich
304
§ 13 Datenerhebung
305
§ 14 Datenspeicherung, -veränderung und -nutzung
306
§ 15 Datenübermittlung an öffentliche Stellen
308
§ 16 Datenübermittlung an nicht-öffentliche Stellen
309
§ 17 (weggefallen)
309
§ 18 Durchführung des Datenschutzes in der Bundesverwaltung
309
§ 19 Auskunft an den Betroffenen
310
§ 19a Benachrichtigung
311
§ 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht
312
§ 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
313
§ 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
314
§ 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
315
§ 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
317
§ 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
318
§ 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
319
Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
320
§ 27 Anwendungsbereich
320
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke
321
§ 28a Datenübermittlung an Auskunfteien
331
§ 28b Scoring
333
§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung
335
§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form
338
§ 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung
340
§ 31 Besondere Zweckbindung
341
§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses
343
§ 33 Benachrichtigung des Betroffenen
347
§ 34 Auskunft an den Betroffenen
349
§ 35 Berichtigung, Löschung und Sperrung von Daten
354
§§ 36 und 37 (weggefallen)
357
§ 38 Aufsichtsbehörde
357
§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
361
Vierter Abschnitt: Sondervorschriften
362
§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
362
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
364
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien
364
§ 42 Datenschutzbeauftragter der Deutschen Welle
365
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
366
Fünfter Abschnitt: Schlussvorschriften
368
§ 43 Bußgeldvorschriften
368
§ 44 Strafvorschriften
371
Sechster Abschnitt: Übergangsvorschriften
372
§ 45 Laufende Verwendungen
372
§ 46 Weitergeltung von Begriffsbestimmungen
373
§ 47 Übergangsregelung
373
§ 48 Bericht der Bundesregierung
373
Anhang
375
1. German Federal Data Protection Act (BDSG)
375
2. Praktiker-Glossar
433
3. Ausgewählte Beschlüsse des Düsseldorfer Kreises von 2006 bis 2014
471
4. Ausgewählte Stellungnahmen und Entscheidungen der Artikel 29 Datenschutzgruppe von 2008 – 2014
473
Sachregister
481
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.