R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
Praxishandbuch DSGVO – einschließlich BDSG und spezifischer Anwendungsfälle (2021), S. XVII 
Inhaltsverzeichnis 
Flemming Moos, Jens Schefzig, Marian Alexander Arning 

XVII Inhaltsverzeichnis

  1. Vorwort
  2. Autorenverzeichnis
  3. Inhaltsübersicht
  4. Abkürzungsverzeichnis
  5. Literaturverzeichnis
  6. Kapitel 1 Grundlagen des Umgangs mit der DSGVO
    1. I. Die Anwendung der DSGVO und der nationalen Begleitgesetze
      1. 1. Stand der Umsetzung in den Unternehmen
      2. 2. Zeitliche Geltung
      3. 3. Unmittelbare Geltung
      4. 4. Zusammenspiel mit anderen Regelwerken
        1. a) Begleitgesetze auf Basis von Öffnungsklauseln
        2. b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen
        3. c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO
        4. d) Zwischenergebnis
    2. II. Parallelität von DSGVO und „Altgesetzen“
    3. III. Auslegung der DSGVO und der Begleitgesetze
      1. 1. Auslegung der DSGVO
        1. a) Autonome Auslegung des Unionsrechts
        2. b) Auslegungsmethoden
        3. c) Relevanz existierender Rechtsprechung
      2. 2. Auslegung der Begleitgesetze
        1. a) Auslegungsmethoden
        2. b) Relevanz existierender Rechtsprechung
  7. Kapitel 2 Grundlagen des Datenschutzrechts
    1. I. Datenschutz im Anwendungsbereich des EU-Rechts
    2. II. Schutzgut des Datenschutzrechts
      1. 1. Schutz der natürlichen Personen
      2. 2. Schutz des freien Datenverkehrs
    3. III. Grundbegriffe des Datenschutzrechts
      1. 1. Personenbezug
      2. 2. Datenverarbeitung
      3. 3. Verantwortlicher
    4. IV. Zusammenspiel mit anderen Rechtsmaterien
      1. 1. Wettbewerbsrecht
      2. 2. Kartellrecht
        1. a) Missbräuchliche Nutzung von Kundendaten
        2. b) Missbräuchliche Zugangsverweigerung zu Daten
        3. c) AGB-Recht
      3. 3. Besonderer Geheimnisschutz
        1. a) Berufsrechtliche Schweigepflichten
        2. b) Strafrechtliche Schweigepflichten
        3. c) Fernmeldegeheimnis
        4. d) Schutz von Geschäftsgeheimnissen
      4. 4. Arbeits- und Mitbestimmungsrecht
        1. a) Umfang von Datenerhebungen im Bewerbungsgespräch
        2. b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift
        3. c) Einsicht in Personalakten
        4. d) Kündigungsschutz für Datenschutzbeauftragte
  8. Kapitel 3 Anwendungsbereich des Datenschutzrechts
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Sachlicher Anwendungsbereich
      1. 1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO
      2. 2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO
    3. III. Räumlicher Anwendungsbereich, Art. 3 DSGVO
      1. 1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO
        1. a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen
        2. b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters
      2. 2. Marktortprinzip, Art. 3 Abs. 2 DSGVO
        1. a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO
        2. b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO
        3. c) Betroffene Person in der EU
      3. 3. Räumlicher Anwendungsbereich bei mehreren Beteiligten
      4. 4. Räumliche Reichweite der Betroffenenrechte
      5. 5. Geltung der DSGVO im EWR
    4. IV. Anwendungsbereich mitgliedstaatlicher Regelungen
    5. V. Anwendungsbereich sonstiger ausfüllender Normen
  9. Kapitel 4 Datenschutzrechtliche Grundsätze
    1. I. Bedeutung und Funktion der Datenschutzgrundsätze
    2. II. Die Grundsätze im Einzelnen
      1. 1. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
      2. 2. Transparenz
      3. 3. Zweckbindung
      4. 4. Datenminimierung
      5. 5. Datenrichtigkeit
      6. 6. Speicherbegrenzung
      7. 7. Integrität und Vertraulichkeit
    3. III. Die Rechenschaftspflicht
  10. Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Gesetzliche Erlaubnisvorschriften
      1. 1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen
        1. a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung
        2. b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen
        3. c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke
      2. 2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung
      3. 3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung
        1. a) Berechtigte Interessen des Verantwortlichen oder eines Dritten
        2. b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen
        3. c) Keine überwiegenden Interessen/Rechte der betroffenen Person am Ausschluss der Datenverarbeitung
      4. 4. Verarbeitung personenbezogener Daten zu Zwecken der Werbung
      5. 5. Verhältnis der Alternativen des Art. 6 Abs. 1 DSGVO zueinander
      6. 6. Verhältnis zwischen besonders praxisrelevanten nationalen Vorschriften und der DSGVO
        1. a) Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG
        2. b) Scoring und Bonitätsauskünfte gem. § 31 BDSG
        3. c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO
      7. 7. Zweckänderung – Verarbeitung personenbezogener Daten zu einem anderen Zweck
        1. a) Zweckänderung auf Basis einer Rechtsvorschrift
        2. b) Zweckänderung auf Basis einer Einwilligung
        3. c) Zweckänderung auf Basis des Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO
        4. d) Weitere datenschutzrechtliche Pflichten im Fall der Zweckänderung
      8. 8. Verarbeitung besonderer Kategorien personenbezogener Daten
        1. a) Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)
        2. b) Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten
        3. c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)
      9. 9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO
      10. 10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO
        1. a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen
        2. b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO
      11. 11. Besondere Verarbeitungssituationen
      12. 12. Zulässigkeit der Verarbeitung personenbezogener Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
      13. 13. Sanktionierung
    3. III. Einwilligung der Betroffenen
      1. 1. Überblick über die einschlägigen Regelungen
      2. 2. Allgemeine Voraussetzungen der Einwilligung
        1. a) Form der Willensbekundung
        2. b) Freiwilligkeit
        3. c) Erteilung für den bestimmten Fall
        4. d) Transparenzgebot
        5. e) Einwilligungen als Gegenstand von AGB
        6. f) Widerruflichkeit
        7. g) Nachweisbarkeit
        8. h) Gültigkeitsdauer
      3. 3. Einwilligung von Kindern
        1. a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten
        2. b) Vergewisserungspflicht des Verantwortlichen
      4. 4. Einwilligung bei sensiblen Datenkategorien
      5. 5. Wirksamkeit von Alt-Einwilligungen
  11. Kapitel 6 Umgang mit Betroffenen
    1. I. Einführung
    2. II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO
    3. III. Informationspflichten (Art. 13 und 14 DSGVO)
      1. 1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO)
        1. a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVO
        2. b) Systematik von Art. 13 DSGVO
        3. c) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVO
        4. d) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVO
        5. e) Zeitpunkt der Information
        6. f) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO)
        7. g) Information im Fall der Änderung der Datenverarbeitung
        8. h) Ausnahmen von der Informationspflicht (Art. 13 Abs. 4 DSGVO)
        9. i) Keine Pflicht zur „Nachinformation“ im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
        10. j) Erfüllung der Informationspflichten als Zulässigkeitsvoraussetzung?
      2. 2. Informationspflichten bei der Erhebung von Daten aus anderen Quellen als von der betroffenen Person (Art. 14)
        1. a) Voraussetzungen der Informationspflicht nach Art. 14 DSGVO
        2. b) Inhalte der Informationspflichten nach Art. 14 Abs. 1 DSGVO
        3. c) Inhalte der Informationspflichten nach Art. 14 Abs. 2 DSGVO
        4. d) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werden
        5. e) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVO
        6. f) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitung
        7. g) Ausnahmen von der Informationspflicht nach Art. 14 DSGVO
        8. h) „Nachinformation“ und keine Zulässigkeitsvoraussetzung
      3. 3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO)
        1. a) Formulierung der Information
        2. b) Information in leicht zugänglicher Form
        3. c) Form
        4. d) Unentgeltlichkeit
        5. e) Kombination mit standardisierten Bildsymbolen
      4. 4. Rechenschaftspflicht
      5. 5. Beispiele für Möglichkeiten zur Darstellung der Informationen
        1. a) Gestaltung als Checkliste
        2. b) Gruppierung von Informationen
        3. c) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitung
        4. d) Gestaltung unter Einsatz von Tabellen
        5. e) Multilayered notice/Mehrebenenansatz
    4. IV. Recht auf Auskunft (Art. 15 DSGVO)
      1. 1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO
        1. a) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
        2. b) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
        3. c) Umfang des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO
      2. 2. Ausnahmen vom Auskunftsrecht
        1. a) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO in der DSGVO
        2. b) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO im nationalen Recht
      3. 3. Modalitäten der Auskunftserteilung (Art. 12 DSGVO)
        1. a) Antragserfordernis
        2. b) Erleichterung der Rechtsausübung (Art. 12 Abs. 2 S. 1 DSGVO)
        3. c) Identifizierung des Antragstellers (Art. 12 Abs. 6 DSGVO)
        4. d) Formulierung der Auskunft (Art. 12 Abs. 1 DSGVO)
        5. e) Form der Auskunft
        6. f) Unentgeltlichkeit (Art. 12 Abs. 5 S. 2 lit. a DSGVO)
        7. g) Frist zur Erteilung der Auskunft sowie von Informationen über das Auskunftsverlangen und ggf. über dessen Ablehnung (Art. 12 Abs. 3 und Abs. 4 DSGVO)
        8. h) Zweckbindung von Daten im Zusammenhang mit der Auskunftserteilung
      4. 4. Recht der betroffenen Person, eine Kopie ihrer Daten zu erhalten (Art. 15 Abs. 3 und 4 DSGVO)
        1. a) Inhalte und Umfang der Kopie nach Art. 15 Abs. 3 DSGVO
        2. b) Ausnahmen vom Recht auf Erhalt einer Kopie in der DSGVO
        3. c) Modalitäten im Hinblick auf die Aushändigung der Kopie gem. Art. 15 Abs. 3 DSGVO
        4. d) Praktischer Umgang mit Anträgen auf Erhalt einer Kopie
      5. 5. Auskunft im Hinblick auf Daten bzw. Erhalt von Kopien von Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    5. V. Recht auf Berichtigung (Art. 16 DSGVO)
      1. 1. Inhalte des Berichtigungsrechts nach Art. 16 DSGVO
        1. a) Berichtigung unrichtiger personenbezogener Daten (S. 1)
        2. b) Vervollständigung unvollständiger personenbezogener Daten (S. 2)
        3. c) Darlegungs- und Beweislast
      2. 2. Ausnahmen vom Berichtigungsrecht
      3. 3. Modalitäten des Berichtigungs- bzw. Vervollständigungsanspruchs (Art. 12 DSGVO)
      4. 4. Mitteilungspflicht nach Art. 19 DSGVO
      5. 5. Berichtigung/Vervollständigung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    6. VI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO)
      1. 1. Voraussetzungen des Rechts der betroffenen Person auf Löschung sowie der Löschpflicht des Verantwortlichen (Art. 17 Abs. 1 DSGVO)
        1. a) Recht der betroffenen Person auf Löschung ihrer Daten
        2. b) Pflicht des Verantwortlichen zur Datenlöschung
        3. c) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO
      2. 2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO
      3. 3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO)
        1. a) Voraussetzungen des Rechts auf Vergessenwerden
        2. b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen
      4. 4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO)
        1. a) Ausnahmen nach Art. 17 Abs. 3 DSGVO
        2. b) Weitere Ausnahmen in der DSGVO
        3. c) Ausnahmen im nationalen Recht
      5. 5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO)
        1. a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht
        2. b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person
        3. c) Frist für die Information nach Art. 17 Abs. 2 DSGVO
      6. 6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO
      7. 7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    7. VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
      1. 1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung
        1. a) Voraussetzungen (Art. 18 Abs. 1 DSGVO)
        2. b) Rechtsfolge: Einschränkung der Datenverarbeitung
        3. c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO)
        4. d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO)
      2. 2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung
      3. 3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO)
      4. 4. Mitteilungspflicht nach Art. 19 DSGVO
      5. 5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    8. VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
      1. 1. Voraussetzungen der Mitteilungspflicht
      2. 2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung
      3. 3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO)
      4. 4. Weitere Ausnahmen von der Mitteilungspflicht
      5. 5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO)
      6. 6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    9. IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
      1. 1. Inhalte des Rechts auf Datenübertragbarkeit
        1. a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)
        2. b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen
        3. c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO)
      2. 2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO)
        1. a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO)
        2. b) Weitere Ausnahmen
      3. 3. Modalitäten des Rechts auf Datenübertragbarkeit
      4. 4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    10. X. Widerspruchsrecht (Art. 21 DSGVO)
      1. 1. Inhalte des Widerspruchsrechts
        1. a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO
        2. b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO
        3. c) Informationspflichten nach Art. 21 Abs. 4 DSGVO
      2. 2. Weitere Ausnahmen vom Widerspruchsrecht
      3. 3. Modalitäten des Widerspruchsrechts
      4. 4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    11. XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
      1. 1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
        1. a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
        2. b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO
        3. c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO)
        4. d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten
      2. 2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
      3. 3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
    12. XII. Sanktionierung
  12. Kapitel 7 Auftragsverarbeitung
    1. I. Begriff und Gegenstand der Auftragsverarbeitung
    2. II. Abgrenzung zum Verantwortlichen und zur gemeinsamen Verantwortlichkeit
      1. 1. Abgrenzung zum Verantwortlichen
        1. a) Entscheidungsbefugnis über Zwecke
        2. b) Entscheidungsbefugnis über Mittel
      2. 2. Abgrenzung zur gemeinsamen Verantwortlichkeit
    3. III. Rechtsnatur der Auftragsverarbeitung
    4. IV. Typische Fallkonstellationen einer Auftragsverarbeitung
    5. V. Rechte und Pflichten aus einer Auftragsverarbeitung
      1. 1. Pflichten des Auftragsverarbeiters
      2. 2. Rechte und Pflichten des Verantwortlichen
        1. a) Erteilung von Weisungen
        2. b) Dokumentation der Weisungen
    6. VI. Begründung einer Auftragsverarbeitung
      1. 1. Auswahl des Auftragsverarbeiters
      2. 2. Abschluss eines Auftragsverarbeitungsvertrages
        1. a) Form des Auftragsverarbeitungsvertrages
        2. b) Inhalt des Auftragsverarbeitungsvertrages
        3. c) Umstellung von alten Auftragsverarbeitungsverträgen auf die DSGVO
    7. VII. Auftragsverarbeitung innerhalb von Unternehmensgruppen
    8. VIII. Unterbeauftragungen
      1. 1. Zustimmungspflicht des Verantwortlichen
        1. a) Art der Erteilung
        2. b) Einspruchsrecht bei Allgemeinzustimmung
      2. 2. Begründung des Unterauftragsverhältnisses
    9. IX. Haftung von Auftragsverarbeitern
      1. 1. Haftung auf Schadensersatz
        1. a) Haftung für eigenes Verschulden
        2. b) Haftung von Unterauftragsverarbeitern
        3. c) Beweislastumkehr
        4. d) Gesamtschuldnerische Haftung
      2. 2. Sanktionen gegen Auftragsverarbeiter
    10. X. Kontrolle von Auftragsverarbeitern
      1. 1. Recht zur Kontrolle
      2. 2. Pflicht zur Kontrolle
      3. 3. Art und Häufigkeit der Kontrolle
        1. a) Art der Kontrolle
        2. b) Häufigkeit der Kontrolle
    11. XI. Dokumentation der Kontrollen
    12. XII. Kontrollergebnis
  13. Kapitel 8 Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Gemeinsam für die Verarbeitung Verantwortliche
      1. 1. Der Begriff der gemeinsamen Verantwortlichkeit (Art. 4 Nr. 7 DSGVO)
        1. a) Gemeinsame Entscheidung mehrerer Stellen
        2. b) Entscheidung über Zwecke und Mittel der Verarbeitung
        3. c) Entscheidungshilfen für die Unternehmenspraxis
        4. d) Abgrenzung von der Auftragsverarbeitung
      2. 2. Reichweite der gemeinsamen Verantwortlichkeit
      3. 3. Zulässigkeit der Verarbeitungen durch gemeinsam Verantwortliche
      4. 4. Rechte und Pflichten der gemeinsam Verantwortlichen
        1. a) Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit
        2. b) Geltendmachung der Rechte der Betroffenen
        3. c) Zurverfügungstellung der wesentlichen Teile der Vereinbarung
        4. d) Mitteilung der erforderlichen Informationen nach Art. 13 und Art. 14 DSGVO
      5. 5. Haftung und Sanktionen
    3. III. Getrennte Verantwortlichkeiten
      1. 1. Begriff der Übermittlung
      2. 2. Zulässigkeit von Datenübermittlungen an Dritte
      3. 3. Typische Fallkonstellationen getrennter Verantwortlichkeiten
      4. 4. Besondere Aspekte von Datenübermittlungen im Konzern
        1. a) Fehlendes Konzernprivileg
        2. b) Erlaubnis durch Interessenabwägung
        3. c) Öffnungsklausel für nationale Sonderregelungen
        4. d) Internationale Datenübermittlungen
    4. IV. Niederlassungsübergreifende Verarbeitungen
      1. 1. Die Bestimmung einer Hauptniederlassung für eine niederlassungsübergreifende Verantwortlichkeit
      2. 2. Die Spezifizierung der Verarbeitungsverfahren
  14. Kapitel 9 Internationale Datenübermittlungen
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Einführung in den Regelungsbereich
      1. 1. Sonderregelungen für „Drittlands-Übermittlungen“
        1. a) Begriff des Drittlands
        2. b) Geltung auch für internationale Organisationen
        3. c) Begriff der „Übermittlung“
        4. d) Geltung auch für Weiterübermittlungen
      2. 2. Anforderungen an Drittlands-Übermittlungen
        1. a) Einhaltung der allgemeinen DSGVO-Anforderungen
        2. b) Gewährleistung eines angemessenen Schutzniveaus
        3. c) Verantwortlicher und Auftragsverarbeiter als Regelungsadressat
      3. 3. Fortgeltung etablierter Sicherungsinstrumente
    3. III. Länder mit angemessenem Schutzniveau
      1. 1. Bestehende Angemessenheitsbeschlüsse
        1. a) Einschränkungen bei Datentransfers nach Kanada
        2. b) Einschränkungen bei Datentransfers nach Israel
        3. c) Der Sonderfall USA: Ungültigkeit des EU-US Privacy Shield
      2. 2. Neue Angemessenheitsentscheidungen unter der DSGVO
        1. a) Anforderungen an Angemessenheitsfeststellungen der Kommission
        2. b) Das Verfahren der Angemessenheitsfeststellung
      3. 3. Fortlaufende Überwachung der Angemessenheit
    4. IV. Geeignete Garantien für Drittlandtransfers
      1. 1. Standarddatenschutzklauseln
        1. a) Existierende Standardvertragsklauseln nach Maßgabe der RL 95/46/EG
        2. b) Neue Standarddatenschutzklauseln nach DSGVO
        3. c) Standarddatenschutzklauseln einer Aufsichtsbehörde
        4. d) Verwendung der Standarddatenschutzklauseln
      2. 2. Verbindliche interne Datenschutzvorschriften (BCRs)
        1. a) Anforderungen an BCRs
        2. b) Arbeitsdokumente der Artikel-29-Datenschutzgruppe
        3. c) Existierende BCR
        4. d) Genehmigungsverfahren für BCR
        5. e) Integration von BCR in ein Datenschutz-Managementsystem nach DSGVO
      3. 3. Genehmigte Verhaltensregeln
      4. 4. Zertifizierungen
      5. 5. Sonstige behördlich genehmigte Vertragsklauseln
    5. V. Ausnahmen für bestimmte Fälle
      1. 1. Einwilligung der Betroffenen
        1. a) Ausdrückliche Erteilung der Einwilligung
        2. b) Notwendigkeit gesonderter Erteilung
        3. c) Informiertheit der Einwilligung
      2. 2. Erforderlichkeit für die Vertragserfüllung
      3. 3. Sonstige Ausnahmefälle
        1. a) Im Interesse der betroffenen Person geschlossener Vertrag
        2. b) Wichtige Gründe des öffentlichen Interesses
        3. c) Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen
        4. d) Schutz lebenswichtiger Interessen
        5. e) Übermittlungen aus einem Register
      4. 4. Auffangregelung für Einzelübermittlungen
        1. a) Keine wiederholte Übermittlung
        2. b) Begrenzte Zahl betroffener Personen
        3. c) Zwingende berechtigte Interessen
        4. d) Keine überwiegenden Interessen der betroffenen Person
        5. e) Umfassende Beurteilung und angemessene Garantien
        6. f) Information der Aufsichtsbehörde
  15. Kapitel 10 Datenschutzmanagement
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Terminologie
    3. III. Anforderungen an das Datenschutzmanagement
    4. IV. Risikoadäquates Datenschutzmanagement
      1. 1. Risikobewertung grundlegend
      2. 2. Risikoprofil eines Unternehmens
      3. 3. Konkrete Maßnahmen hängen vom Einzelfall ab
    5. V. Konkrete Maßnahmen hängen vom Einzelfall ab
    6. VI. Grundlegende Maßnahmen des Datenschutzmanagements
      1. 1. Einführung
      2. 2. Unternehmensrichtlinie zum Datenschutz
      3. 3. Datenschutzorganisation
      4. 4. Datenschutzstrategie
      5. 5. Meldewege und Whistleblowing
      6. 6. Auditierungen
      7. 7. Einzelfallprüfungen und -beratung
      8. 8. Schulungen
      9. 9. Sonstige Maßnahmen
    7. VII. Datenschutzmanagementsystem
      1. 1. Sinn eines Datenschutzmanagementsystems
      2. 2. Gestaltung eines Datenschutzmanagementsystems
        1. a) Orientierung an ähnlichen Systemen bzw. Standards
        2. b) Drei Säulen
        3. c) Schematische Darstellung eines Datenschutzmanagementsystems
      3. 3. Aufbau eines Datenschutzmanagementsystems
      4. 4. Messung des Erfolgs eines Datenschutzmanagementsystems
  16. Kapitel 11 Datenschutzorganisation
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Ergänzende Regelungen des BDSG
    3. III. Terminologie
    4. IV. Datenschutzorganisation als Voraussetzung von Datenschutzcompliance
    5. V. Pflicht zur Errichtung einer Datenschutzorganisation
      1. 1. Datenschutz-Grundverordnung
        1. a) Gesetzliche Vorgaben
        2. b) Konkrete Wertung
      2. 2. Gesellschaftsrechtliche Verpflichtung in Deutschland
      3. 3. Ordnungswidrigkeitenrecht
      4. 4. Fazit
    6. VI. Gestaltung einer Datenschutzorganisation
      1. 1. Der Zweck einer Datenschutzorganisation
      2. 2. Aufgaben einer Datenschutzorganisation
        1. a) Vier grundlegende Aufgaben
        2. b) Beachtung und Anwendung des Datenschutzrechts im operativen Geschäft
        3. c) Beratung
        4. d) Richtlinienkompetenz
        5. e) Auditierung und Überwachung
      3. 3. Elemente einer Datenschutzorganisation
        1. a) Einführung
        2. b) Die Geschäftsleitung
        3. c) Der Datenschutzbeauftragte
        4. d) Datenschutzberater
        5. e) Datenschutzmanager
        6. f) Datenschutzexperten
        7. g) Datenschutzkoordinatoren
        8. h) Sonstige Mitarbeiter des Unternehmens
        9. i) (Inländischer) Vertreter
      4. 4. Entwicklung einer Datenschutzorganisation
    7. VII. Beispiele
      1. 1. Verwendung der Beispiele
      2. 2. Datenschutzorganisation in kleinen Unternehmen
      3. 3. Datenschutzorganisation in mittleren Unternehmen
      4. 4. Datenschutzorganisation im Großkonzern
  17. Kapitel 12 Datenschutzprozesse
    1. I. Prozessuale Umsetzung datenschutzrechtlicher Vorgaben
    2. II. Privacy by Design und by Default, Art. 25 DSGVO
      1. 1. Überblick über die einschlägigen Regelungen der DSGVO
      2. 2. Wer ist für Privacy by Design und by Default verantwortlich?
      3. 3. Was bedeutet Privacy by Design und by Default?
        1. a) Datenschutz durch Technikgestaltung, Art. 25 Abs. 1 DSGVO
        2. b) Datenschutz durch datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
        3. c) Genehmigte Zertifizierungsverfahren, Art. 25 Abs. 3 DSGVO
    3. III. Datenlöschung
      1. 1. Allgemeines
      2. 2. Geschäftliche Relevanz
      3. 3. Löschkonzept
      4. 4. Praktische Hinweise für die Implementierung
    4. IV. Verzeichnis von Verarbeitungstätigkeiten
      1. 1. Überblick über die einschlägigen Regelungen der DSGVO
      2. 2. Aufzeichnungspflichten statt Meldepflicht und Verfahrensverzeichnis
      3. 3. Verarbeitungsverzeichnis des Verantwortlichen
        1. a) Wer ist zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO verpflichtet?
        2. b) Inhalt des Verarbeitungsverzeichnisses
        3. c) Form des Verarbeitungsverzeichnisses
      4. 4. Verarbeitungsverzeichnis des Auftragsverarbeiters
      5. 5. Praktische Hinweise zur Implementierung
    5. V. Datenschutz-Folgenabschätzung
      1. 1. Überblick über die einschlägigen Regelungen der DSGVO
      2. 2. Wer ist für eine Datenschutz-Folgenabschätzung verantwortlich?
      3. 3. Wann muss eine Datenschutz-Folgenabschätzung erfolgen?
        1. a) Voraussichtlich hohes Risiko (Art. 35 Abs. 1 S. 1 DSGVO)
        2. b) Regelbeispiele (Art. 35 Abs. 3 DSGVO)
        3. c) Positivliste der Aufsichtsbehörden (Art. 35 Abs. 4 DSGVO)
        4. d) Mögliche Befreiung von der Folgenabschätzung aufgrund bestimmter Verarbeitungszwecke (Art. 35 Abs. 10 DSGVO)
      4. 4. Was muss im Rahmen der Folgenabschätzung passieren?
        1. a) Welche hohen Risiken sind zu adressieren (Art. 35 Abs. 1 DSGVO)?
        2. b) Welche technischen und organisatorischen Maßnahmen sind geeignet, um das Risiko zu minimieren?
        3. c) Welche Dokumentation der Folgenabschätzung ist erforderlich (Art. 35 Abs. 7 DSGVO)?
        4. d) Bedarf es der Beratung durch den Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)?
        5. e) Müssen betroffene Personen oder Vertreter (Art. 35 Abs. 9 DSGVO) eingebunden werden?
        6. f) Wann bedarf es der erneuten Überprüfung?
        7. g) Welche Rolle spielt die Aufsichtsbehörde bei der Folgenabschätzung (Art. 36 Abs. 2 DSGVO)?
      5. 5. Praktische Hinweise zur Implementierung
    6. VI. Umgang mit Datenlecks
      1. 1. Überblick über die einschlägigen Regelungen der DSGVO
      2. 2. Meldepflichten (Art. 33 DSGVO)
        1. a) Was muss gemeldet werden? (Art. 33 Abs. 1 DSGVO)
        2. b) Bis wann muss gemeldet werden? (Art. 33 Abs. 1 S. 1 und 2 DSGVO)
        3. c) Wie muss gemeldet werden? (Art. 33 Abs. 3 DSGVO)
        4. d) Was tun bei Verzögerung? (Art. 33 Abs. 4 DSGVO)
        5. e) Was muss in jedem Fall dokumentiert werden? (Art. 33 Abs. 5 DSGVO)
        6. f) Welche Pflichten treffen den Auftragsverarbeiter? (Art. 33 Abs. 2 DSGVO)
      3. 3. Benachrichtigungspflichten (Art. 34 DSGVO)
        1. a) Wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)
        2. b) Bis wann müssen betroffene Personen benachrichtigt werden? (Art. 34 Abs. 1 DSGVO)
        3. c) Was muss die Benachrichtigung beinhalten und wie muss sie erfolgen? (Art. 34 Abs. 2 DSGVO)
        4. d) Wann kann auf eine Benachrichtigung verzichtet werden? (Art. 34 Abs. 3 DSGVO)
      4. 4. Praktische Hinweise zur Implementierung
    7. VII. Integration des Datenschutzes in allgemeine Unternehmensprozesse
      1. 1. Aufgaben der Datenschutzorganisation – eine Chance für vielfältige Integration in die Unternehmensprozesse
        1. a) Governance
        2. b) Hinwirken auf den Datenschutz
        3. c) Überwachung und Auditierung
      2. 2. Definition von Unternehmensprozessen, in denen Datenschutzprozesse integriert werden
        1. a) Datenschutzprozesse
        2. b) Risikobetrachtung
        3. c) Typische Hüter der Anforderungen des Datenschutzes
      3. 3. Praktische Hinweise zur Implementierung
  18. Kapitel 13 Technischer Datenschutz und Risikomanagement
    1. I. Überblick über die einschlägigen Regelungen
      1. 1. Art. 24, 32 DSGVO und Erwägungsgrund 83
      2. 2. Art. 24, 25 DSGVO und Erwägungsgrund 78
      3. 3. §§ 64, 65, 76 BDSG
    2. II. Allgemeine Grundlagen des technischen Datenschutzrisikomanagements
      1. 1. Auswahl eines Vorgehensmodells
      2. 2. Anwendung etablierter Methoden und Verfahren
        1. a) Anwendung PDCA und Eingliederung in Managementsysteme
        2. b) Anwendung eines risikobasierten Verfahrens
    3. III. Nutzung der Standards und Vorgehen der Informationssicherheit
      1. 1. Grundlegende Begriffe und Standards der Informationssicherheit
        1. a) Terminologie
        2. b) Zentrale Standards der Informationssicherheit
      2. 2. Risikobasiertes Verfahren zur Herstellung der Informationssicherheit
        1. a) Schutzbedarfsfeststellung
        2. b) Soll-Ist-Vergleich/Risiko-Assessment
        3. c) Schutzmaßnahmen
        4. d) Dokumentation und Nachweis
        5. e) Kontrolle und Prüfung
        6. f) Behandlung von Sicherheitsvorfällen
        7. g) Zertifizierung
      3. 3. Zusammenfassung und Fazit
    4. IV. Technische Maßnahmen zur datenschutzkonformen
      1. 1. Datenschutzziele
        1. a) Schutzziele der Datensicherheit nach der DSGVO
        2. b) Weitere Schutzziele des Datenschutzes
      2. 2. Risikobasiertes Verfahren für den Datenschutz
        1. a) Schutzbedarfsfeststellung des Datenschutzes
        2. b) Soll-Ist-Vergleich des Datenschutzes
        3. c) Risiko-Assessment des Datenschutzes
        4. d) Auswahl von Datenschutzmaßnahmen
      3. 3. Dokumentation und Nachweis
      4. 4. Kontrolle und Prüfung
      5. 5. Behandlung von Datenschutzvorfällen
      6. 6. Zertifizierung
      7. 7. Zusammenfassung und Fazit
    5. V. Privacy by Design und Privacy by Default
      1. 1. Privacy Enhancing Technologies
      2. 2. Privacy by Design/Privacy by Default als Ergänzung des IT-Sicherheits- und IT-Risikomanagements
    6. VI. Ausblick
      1. 1. Anpassung des risikobasierten Verfahrens mit Auditierung/Zertifizierung
      2. 2. Entwicklung von Verhaltensregeln
      3. 3. Datenschutzeignung von Software
      4. 4. Datenschutzkonformes Design von Datenbeständen
  19. Kapitel 14 Verhaltensregeln und Zertifizierungen
    1. I. Einleitung
    2. II. Grundsätzliche Unterscheidung und Komplementarität
    3. III. Mehrwert für Unternehmen
      1. 1. Einhaltung und Nachweis datenschutzkonformen Handelns
      2. 2. Rechtskonkretisierungsfunktion
      3. 3. Absicherung von Drittlandübermittlungen
      4. 4. Berücksichtigung bei der Bemessung von Sanktionen
    4. IV. Genehmigung von Verhaltensregeln
      1. 1. Vorlageberechtigte Stellen
      2. 2. Verhaltensregeln mit rein nationaler Wirkung
      3. 3. Verhaltensregeln mit landesübergreifender Wirkung
      4. 4. Allgemeingültigkeitserklärung
      5. 5. Gültigkeitsdauer
      6. 6. Bindungswirkung genehmigter Verhaltensregeln
        1. a) Bindungswirkung gegenüber Aufsichtsbehörden
        2. b) Bindungswirkung gegenüber Gerichten
        3. c) Bindungswirkung gegenüber Unternehmen
    5. V. Überwachung genehmigter Verhaltensregeln/Sanktionen im Falle von Verstößen
    6. VI. Inhalte und Gestaltung von Verhaltensregeln
      1. 1. Regelungsinhalte von Verhaltensregeln
      2. 2. Gestaltungsprozess in der Praxis
        1. a) Bedarfs- und Maßnahmenermittlung
        2. b) Ausarbeitung unter Beteiligung betroffener Interessenträger
    7. VII. Zertifizierungsverfahren
      1. 1. Ablauf des Zertifizierungsverfahrens/Beteiligte Stellen
      2. 2. Regelungsinhalte und Prüfmaßstab
      3. 3. Bindungswirkung
  20. Kapitel 15 Beschäftigtendatenschutz
    1. I. Überblick über die einschlägigen Regelungen der DSGVO
    2. II. Handlungsoptionen des Gesetzgebers
      1. 1. Reichweite des Art. 88 Abs. 1 DSGVO
        1. a) Spezifischere Vorschriften
        2. b) Personenbezogene Beschäftigtendaten
        3. c) Zwecke der Datenverarbeitung
      2. 2. Mindestanforderungen gem. Art. 88 Abs. 2 DSGVO
        1. a) Transparenz der Verarbeitung
        2. b) Datenübermittlung innerhalb einer Unternehmensgruppe
        3. c) Überwachungssysteme am Arbeitsplatz
      3. 3. Mitteilung gem. Art. 88 Abs. 3 DSGVO
      4. 4. Nationale Regelungen in Deutschland
        1. a) Zentrale Vorschrift zum Beschäftigtendatenschutz
        2. b) Verhältnis zu den Vorgaben des Art. 88 DSGVO
    3. III. Datenschutzrechtliche Erlaubnistatbestände
      1. 1. Einwilligung im Beschäftigungsverhältnis
        1. a) Allgemeine Voraussetzungen einer wirksamen Einwilligung
        2. b) Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis
        3. c) Form der Einwilligung im Beschäftigungsverhältnis
      2. 2. Gesetzliche Erlaubnistatbestände
        1. a) Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)
        2. b) Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
        3. c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
        4. d) Besondere Kategorien von personenbezogenen Daten (Art. 9 Abs. 2 lit. b DSGVO)
      3. 3. Betriebsvereinbarungen
        1. a) Angemessene und besondere Schutzmaßnahmen
        2. b) Betriebsvereinbarung als Erlaubnistatbestand
        3. c) Weitere Regelungen in Betriebsvereinbarungen
        4. d) Bereits abgeschlossene Betriebsvereinbarungen
      4. 4. Datenaustausch in Matrixorganisationen
        1. a) Erlaubnistatbestände
        2. b) Gemeinsame Verantwortlichkeit
    4. IV. Informationspflichten und Betroffenenrechte
      1. 1. Informationspflichten des Arbeitgebers
      2. 2. Betroffenenrechte
      3. 3. Automatisierte Entscheidungen einschließlich Profiling
    5. V. Überwachungsmaßnahmen – Rechtslage in Deutschland
      1. 1. Kontrolle der Internet- und E-Mail-Nutzung
        1. a) Erlaubnistatbestand
        2. b) Kontrolle der dienstlichen Internet- und E-Mail-Nutzung
        3. c) Arbeitgeber als Diensteanbieter
        4. d) Beweisverwertungsverbote
      2. 2. Videoüberwachung
    6. VI. Handlungsempfehlung
  21. Kapitel 16 Behördliche und gerichtliche Verfahren
    1. I. Aufsichtsbehörden
      1. 1. Überblick über die einschlägigen Normen
      2. 2. Einleitung
      3. 3. Zuständigkeit innerhalb der Europäischen Union
      4. 4. Zuständigkeit innerhalb Deutschlands
      5. 5. Europäischer Datenschutzausschuss
      6. 6. Aufgaben und Befugnisse
        1. a) Aufgaben der Aufsichtsbehörden
        2. b) Befugnisse der Aufsichtsbehörden
    2. II. Aufsichtsverfahren
      1. 1. Aufsichtsverfahren in Deutschland
      2. 2. Zusammenarbeit der Aufsichtsbehörden auf europäischer Ebene
        1. a) Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden
        2. b) Kohärenzverfahren im Falle von Unstimmigkeiten
      3. 3. Öffentliche Äußerungen von Behörden/Mediale Aufmerksamkeit
        1. a) Die namentliche Nennung des sanktionierten Unternehmens
        2. b) Pressemitteilungen und Stellungnahmen zu aktuellen Geschehnissen
    3. III. Umgang mit Aufsichtsbehörden
      1. 1. Gründe für den Kontakt mit Aufsichtsbehörden
        1. a) Kontrolldichte
        2. b) Anfragen durch Aufsichtsbehörden
      2. 2. Bedeutung von Rechtspositionen der Datenschutzbehörden
      3. 3. Erste Maßnahmen nach Anfrage einer Aufsichtsbehörde
      4. 4. Sofortige Korrektur von festgestellten Rechtsverstößen
      5. 5. Generelle Hinweise zur Interaktion mit Aufsichtsbehörden
      6. 6. Kooperation und Selbstbelastung
    4. IV. Bußgelder
      1. 1. Überblick über die einschlägigen Normen
      2. 2. Bußgeldvorschriften der DSGVO
        1. a) Kategorisierung der Bußgelder und Strafvorschriften
        2. b) Referenztechnik
        3. c) Einzelne Tatbestände
        4. d) Bisher bekannte und nennenswerte Bußgelder
      3. 3. Bemessung des Bußgeldes
        1. a) Allgemeine Vorgaben nach der DSGVO
        2. b) Das Bußgeldmodell der Datenschutzkonferenz in Deutschland
      4. 4. Straf- und Bußgeldvorschriften des BDSG
        1. a) Strafvorschriften
        2. b) Bußgeldvorschriften
      5. 5. Adressat des Bußgeldes
        1. a) Verantwortliche Stelle, Auftragsverarbeiter und spezielle Stellen
        2. b) Bußgelder gegenüber einzelnen Personen innerhalb eines Unternehmens
        3. c) Bußgelder gegenüber Behörden
    5. V. Gerichtlicher Rechtsschutz
      1. 1. Überblick über die einschlägigen Normen
      2. 2. Verhältnis Betroffener – Verantwortlicher bzw. Auftragsverarbeiter
        1. a) Auskunftsanspruch und weitere subjektive Rechte
        2. b) Unterlassungsanspruch
        3. c) Schadensersatzanspruch
      3. 3. Verhältnis Verantwortlicher bzw. Auftragsverarbeiter – Aufsichtsbehörde
        1. a) Rechtsschutzgarantie unter der DSGVO
        2. b) Konkreter Rechtsschutz nach deutschem Verfahrensrecht
      4. 4. Sonderfall: Beschlüsse des Europäischen Datenschutzausschusses
      5. 5. Vorgehen gegen öffentliche Äußerungen der Datenschutzbehörden
    6. VI. Verbandsklage
      1. 1. Überblick über die einschlägigen Normen
      2. 2. Verbandsklagen auf Grundlage der DSGVO (Art. 80 DSGVO)
        1. a) Unter Mitwirkung des Betroffenen (Art. 80 Abs. 1 DSGVO)
        2. b) Ohne Mitwirkung des Betroffenen (Art. 80 Abs. 2 DSGVO)
      3. 3. Möglichkeiten zur Verbandsklage nach deutschem Recht
        1. a) UKlaG
        2. b) Anwendbarkeit des UWG und AGB-Rechts seit Einführung der DSGVO
  22. Kapitel 17 Besondere Themenkomplexe
    1. A. Web Tracking und Online Advertising
      1. I. Technische Abläufe
        1. 1. Der Einsatz von Cookies zum Web Tracking
        2. 2. Das Ausspielen von Werbung (Online Advertising)
        3. 3. Weitere Methoden zum Web Tracking
          1. a) Tracking Pixel
          2. b) Social Plugins
          3. c) Andere dynamische Websiteinhalte Dritter
          4. d) Fingerprinting
          5. e) Server to Server Tracking
      2. II. Zulässigkeit des Web Tracking und des Online Advertising
        1. 1. Anwendbare Regelungen auf das Web Tracking und Online Advertising
          1. a) Rechtsunklarheit aufgrund fehlender ePrivacy-Verordnung
          2. b) Das Zusammenspiel zwischen der DSGVO und der ePrivacy-Richtlinie
          3. c) Das einschlägige Regelungsregime für einzelne Trackingmethoden
          4. d) Anwendbarkeit der DSGVO für die (weitere) Verarbeitung
        2. 2. Zulässigkeit des Web Tracking für einzelne Zwecke
          1. a) Zulässigkeit zu Zwecken des Online Advertising
          2. b) Zulässigkeit der Datenverarbeitung zu anderen Zwecken als dem Online Advertising
      3. III. Verantwortlichkeit für Web Tracking und Online Advertising
        1. 1. Verpflichteter nach Art. 5 Abs. 3 ePrivacy-Richtlinie
        2. 2. Datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO
      4. IV. Zusätzliche Pflichten
      5. V. Bußgeldrahmen bei Verstößen
    2. B. Customer-Relationship-Management
      1. I. Überblick über die einschlägigen Regelungen
      2. II. Datenquellen
      3. III. Profiling zu Werbezwecken
        1. 1. Interessenabwägung
        2. 2. Zweckändernde Verarbeitung
        3. 3. Keine Anwendung von Art. 22 DSGVO
        4. 4. Einwilligung
      4. IV. Werbliche Kommunikation mit Kunden
        1. 1. Briefwerbung
          1. a) Interessenabwägung/Zweckänderung
          2. b) Einwilligung
        2. 2. Direktwerbung über elektronische Post, Anrufautomaten und Fax
        3. 3. Persönliche Telefonwerbung
        4. 4. Vorrang der ePrivacy-Bestimmungen
        5. 5. Zusammenfassung
    3. C. E-Discovery
      1. I. Ausgewählte Rahmenbedingungen
        1. 1. Federal Rule of Civil Procedure der Vereinigten Staaten
        2. 2. Sedona Konferenzen, Frameworks und Arbeitsgruppen
        3. 3. Leitlinien der Artikel-29-Datenschutzgruppe
      2. II. Kollision mit dem Datenschutz im Beweissicherungsprozess
        1. 1. Grundlage: Das e-Discovery Referenzmodell (EDRM)
        2. 2. Grundlage: Information Management und Governance
        3. 3. Durchführung des e-Discovery-Prozesses mit dem Referenzmodell
          1. a) Identifikationsphase (Identification)
          2. b) Phase der Extraktion und Sicherung (Collection and Preservation)
          3. c) Phase der Bearbeitung (Processing, Review and Analysis)
          4. d) Phase der Weitergabe und Nutzung (Production and Presentation)
      3. III. Fazit
    4. D. Cloud Computing
      1. I. Eigenschaften und Terminologie
      2. II. Cloud-spezifische Problemfelder
    5. E. Big Data
      1. I. Eigenschaften und Terminologie
      2. II. Big Data-spezifische Problemfelder
        1. 1. Personenbezug
        2. 2. Zweckbindung
        3. 3. Datenminimierung
        4. 4. Betroffenenrechte
          1. a) Informationspflichten
          2. b) Auskunftsrecht
    6. F. Gesundheitsdatenschutz
      1. I. Definition „Gesundheitsdaten“
      2. II. Systematik der datenschutzrechtlichen Regelungen im Gesundheitsbereich
      3. III. Zulässigkeit der Verarbeitung von Gesundheitsdaten auf Basis von Vorschriften aus der DSGVO/dem BDSG
        1. 1. Verarbeitung von Gesundheitsdaten auf Basis einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)
          1. a) Allgemeine Anforderungen an die Einwilligung
          2. b) Freiwilligkeit der Einwilligung gem. Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO
          3. c) Ausschluss der Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO
        2. 2. Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b, Abs. 2 BDSG)
          1. a) Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsversorgung gem. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 lit. b BDSG
          2. b) Angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gem. Art. 9 Abs. 4 DSGVO i.V.m. § 22 Abs. 2 BDSG
        3. 3. Verarbeitung von Gesundheitsdaten im Beschäftigungskontext (Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 und 4 BDSG)
      4. IV. Weitere Besonderheiten nach der DSGVO/dem BDSG bei der Verarbeitung von Gesundheitsdaten
      5. V. (Berufsrechtliche) Schweigepflicht
      6. VI. Verarbeitung zu wissenschaftlichen Forschungszwecken
        1. 1. Zulässigkeit der Verarbeitung von Gesundheitsdaten zu Zwecken der wissenschaftlichen Forschung
          1. a) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken gem. Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG
          2. b) Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken auf Basis einer Einwilligung
        2. 2. Weitere Besonderheiten bei der Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken
  23. Kapitel 18 Österreichisches Datenschutzrecht
    1. I. Gesetzliche Grundlagen
    2. II. Nutzung von Öffnungsklauseln
    3. III. Grundrecht auf Datenschutz
    4. IV. Marketing und Kontaktaufnahme zu Werbezwecken
    5. V. Österreichische Spezialregelungen
      1. 1. Verarbeitung von Bilddaten (Bildaufnahmen)
      2. 2. Verarbeitung von Strafdaten
      3. 3. Back-Up-Privileg
      4. 4. Verwarnung durch die Datenschutzbehörde
      5. 5. Datengeheimnis
      6. 6. Datenschutz-Folgenabschätzungen
      7. 7. Regelungen in Materiengesetzen
    6. VI. Arbeitnehmer-Datenschutz
      1. 1. Einwilligungen im Arbeitsverhältnis, Tracking von Mitarbeitern
      2. 2. Betriebsverfassungsrecht und DSGVO
      3. 3. Betriebsrat
    7. VII. Österreichische Entscheidungen
      1. 1. Anwendbarkeit der DSGVO
      2. 2. Sensible Daten
      3. 3. Verwendung öffentlich zugänglicher Registerdaten
      4. 4. Automatische Erfassung von Daten
      5. 5. Speicherung von Daten
      6. 6. Datenschutzbeauftragter
      7. 7. Einwilligung
      8. 8. Informationsrecht
      9. 9. Auskunftsrecht
      10. 10. Löschung
      11. 11. Kreditauskunft
      12. 12. Datensicherheitsmaßnahmen gemäß Art. 32 DSGVO
    8. VIII. Rechtsdurchsetzung und Verfahrensrecht
      1. 1. Verwaltungsverfahren
        1. a) Beschwerde an die Datenschutzbehörde
        2. b) Amtswegiges Prüfungsverfahren der Datenschutzbehörde
        3. c) Rechtsmittel und Rechtsbehelfe gegen Entscheidungen der Datenschutzbehörde
        4. d) Vollstreckung von Entscheidungen im Verwaltungsverfahren
      2. 2. Verwaltungsstrafverfahren
      3. 3. Verfahren vor ordentlichen Gerichten und parallele Verfahrensführung
  24. Kapitel 19 Leitentscheidungen des EuGH zur DSGVO
    1. I. Einleitung
    2. II. Leitentscheidungen des EuGH
      1. 1. Anwendungsbereich des europäischen Datenschutzrechts (EuGH, Urt. v. 13.5.2014 – C-131/12 – Google Spain)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      2. 2. Personenbezug von Daten (EuGH, Urt. v. 6.12.2016 – C-582/14 – Breyer)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe – der Personenbezug dynamischer IP-Adressen
        3. c) Implikationen für die Unternehmenspraxis
      3. 3. Gemeinsame Verantwortlichkeit I (EuGH, Urt. v. 5.6.2018 – C-210/16 – Facebook Fanpages)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      4. 4. Gemeinsame Verantwortlichkeit II (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      5. 5. Gemeinsame Verantwortlichkeit III (EuGH, Urt. v. 29.7.2019 – C-40/17 – Fashion ID)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      6. 6. Verlinkung auf besondere personenbezogene Daten (EuGH, Urt. v. 14.9.2019 – C-136/17)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      7. 7. Keine extraterritoriale Auslistung (EuGH, Urt. v. 14.9.2019 – C-507/17)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      8. 8. Anforderungen an eine wirksame Einwilligung (EuGH, Urt. v. 1.10.2019 – C-673/17 – Planet49)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
      9. 9. Die Rechtfertigung von Drittlandtransfers (EuGH, Urt. v 16.7.2020 – C-311/18 – Schrems II)
        1. a) Sachverhalt
        2. b) Entscheidungsgründe
        3. c) Implikationen für die Unternehmenspraxis
  25. Kapitel 20 Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen
    1. I. Anpassungsbedarf im Unternehmen
    2. II. Leitbild zur Umsetzung der DSGVO im Unternehmen
    3. III. Ausgestaltung eines Umsetzungsprojekts
      1. 1. Vorbereitung
        1. a) Welche Abteilung bzw. welche Person ist unternehmensintern für die Umstellung auf die DSGVO verantwortlich?
        2. b) Welche datenschutzrechtlichen Vorschriften sollen konkret umgesetzt werden?
        3. c) Auf welche verantwortlichen Stellen bezieht sich das Umsetzungsprojekt genau?
        4. d) Sollte die DSGVO im Unternehmen global umgesetzt werden?
        5. e) Welche Ressourcen stehen zur Verfügung?
        6. f) Soll die Implementierung durch interne oder externe Ressourcen erfolgen?
        7. g) Welche Abteilungen sollten involviert bzw. informiert werden?
        8. h) Bis wann sollte die DSGVO im Unternehmen umgesetzt sein?
        9. i) Kann die Umsetzung der DSGVO im Unternehmen auch als Chance wahrgenommen werden?
      2. 2. Anforderungsspezifizierung
      3. 3. Gap-Analyse
        1. a) Vorbereitung der Gap-Analyse
        2. b) Durchführung der Gap-Analyse
        3. c) Ergebnis der Gap-Analyse
      4. 4. Planung von Ressourcen
        1. a) Planung von Budget
        2. b) Planung von Mitarbeitern
        3. c) Zeitplan
      5. 5. Implementierung
        1. a) Definition von Unterprojekten
        2. b) Bestimmung von Meilensteinen und Abhängigkeiten
        3. c) Durchführung der Unterprojekte
      6. 6. Testing und Monitoring
      7. 7. Kommunikation und Training
        1. a) Interne Unternehmenskommunikation
        2. b) Mitarbeiterschulungen
    4. IV. Erste Erfahrungen aus der Umsetzungspraxis
    5. V. Fazit
  26. Kapitel 21 Weitere rechtliche Entwicklungen und Ausblick
    1. I. Datenschutzrecht als dynamisches Rechtsgebiet
    2. II. Gesetzgeber
      1. 1. Rechtsakte der Europäischen Kommission
        1. a) Delegierte Rechtsakte
        2. b) Durchführungsrechtsakte
      2. 2. Begleitgesetze der Mitgliedstaaten
      3. 3. ePrivacy
    3. III. Datenschutzbehörden
      1. 1. Europäischer Datenschutzausschuss
      2. 2. Black- und Whitelists für Datenschutz-Folgenabschätzung
      3. 3. Musterverträge
      4. 4. Konkretisierung von Pflichten nach der DSGVO
    4. IV. Rechtsprechung
    5. V. Entwicklung der Datenschutzpraxis
    6. VI. Ausblick
  27. Sachregister
 
stats