EU-Datenschutz-Grundverordnung (DSGVO) (eBook)

​Axel Freiherr von dem Bussche ist Head der Practice Area Technology, Media & Telecoms und koordiniert zudem Taylor Wessings internationale US Group für Deutschland. Er ist spezialisiert auf die Technologie-Branche und den Bereich Datenschutz. Seine Beratungsschwerpunkte sind die Begleitung von Transaktionen, Software-Lizenzierung, Outsourcing, F&E-Projekte, branchenspezifische Vertragsgestaltungen, Internet- und Glücksspielrecht sowie Fragen der Regulierung. Er begleitet interne Prozesse im Bereich Konzerndatenschutz, einschließlich Verhandlungen mit Betriebsräten. Ein besonderer Schwerpunkt ist die Beratung in Angelegenheiten mit Auslandsbezug sowie die Betreuung expandierender ausländischer Mandanten in Deutschland. Axel Freiherr von dem Bussche ist Fachanwalt für Informationstechnologierecht.Paul Voigt ist Mitglied der Practice Area Technology, Media & Telecoms. Er verfügt über ausgewiesene Expertise im IT-Vertragsrecht, im Datenschutzrecht, im IT-Sicherheitsrecht sowie im E-Commerce. Paul Voigt berät praxisnah und businessorientiert sowohl Start-Up-Unternehmen als auch Mittelständler und globale Konzerne. Seine Mandate haben meist einen internationalen Bezug: So betreut er regelmäßig Mandanten aus Übersee bei ihrem Markteintritt in Europa. Daneben unterstützt er mehrere internationale Unternehmensgruppen bei der konzernweiten Implementierung von Software und IT-Sicherheitssystemen und koordiniert hierbei die Rechtsberatung in mehr als 40 Ländern weltweit.

Vorwort 5
Inhaltsverzeichnis 7
1 Einleitung und „Checkliste“ 13
1.1 Gesetzgeberischer Hintergrund und bisherige Rechtslage 13
1.1.1 Die EG-Datenschutzrichtlinie 13
1.1.2 Die Datenschutz-Grundverordnung 14
1.1.3 Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU 15
1.2 Checkliste – Die wichtigsten datenschutzrechtlichen Pflichten 16
1.2.1 Datenschutzorganisation 16
1.2.2 Rechtmäßigkeit der Datenverarbeitung 19
Referenzen 21
2 Anwendungsbereich der DSGVO 22
2.1 In welchen Fällen ist die Verordnung anwendbar? – sachlicher Anwendungsbereich 22
2.1.1 „Verarbeitung“ 22
2.1.2 „Personenbezogene Daten“ 24
2.1.3 Ausnahmen vom sachlichen Anwendungsbereich 30
2.2 Auf wen ist die Verordnung anwendbar? – persönlicher Anwendungsbereich 31
2.2.1 „Verantwortlicher“ 32
2.2.2 „Auftragsverarbeiter“ 35
2.2.3 Von der DSGVO geschützte Personen 36
2.3 Wo ist die Verordnung anwendbar? – räumlicher Anwendungsbereich 36
2.3.1 Datenverarbeitung im Rahmen der Tätigkeiten einerEU-Niederlassung 38
2.3.2 Verarbeitung personenbezogener Daten von innerhalb der EU befindlichen betroffenen Personen 42
2.4 Anwendungsbereich des BDSG-neu 45
Referenzen 47
3 Anforderungen an die Datenschutzorganisation 49
3.1 Rechenschaftspflicht 49
3.2 Allgemeine Pflichten 51
3.2.1 Verantwortlichkeit, Haftung und allgemeine Pflichten des Verantwortlichen 51
3.2.2 Die Verteilung von Verantwortlichkeiten zwischen gemeinsam für die Verarbeitung Verantwortlichen („Joint controllers“) 53
3.2.3 Zusammenarbeit mit den Aufsichtsbehörden 56
3.3 Technische und organisatorische Maßnahmen 57
3.3.1 Angemessenes Datenschutzniveau 58
3.3.2 Mindestanforderungen 58
3.3.3 Risikobasierter Ansatz bezüglich Datenschutz 60
3.3.4 Die NIS-Richtlinie 62
3.4 Verzeichnisse über Verarbeitungstätigkeiten 64
3.4.1 Inhalt und Zweck der Verzeichnisse 64
3.4.2 Dokumentation der Zwecke der Datenverarbeitung 65
3.4.3 Ausnahme von der Pflicht zum Führen der Verzeichnisse 66
3.5 Datenschutz-Folgenabschätzung („Data Protection Impact Assessment“) 68
3.5.1 Betroffene Arten von Verarbeitungstätigkeiten 69
3.5.2 Vornahme der Folgenabschätzung 70
3.6 Datenschutzbeauftragter 75
3.6.1 Pflicht zur Benennung 76
3.6.2 Anforderungen an den Datenschutzbeauftragten 82
3.6.3 Stellung des Datenschutzbeauftragten 85
3.6.4 Aufgaben des Datenschutzbeauftragten 88
3.7 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“) 91
3.8 Verletzungen des Schutzes personenbezogener Daten („Data Breach Notification“) 94
3.8.1 Verletzung des Schutzes personenbezogener Daten 94
3.8.2 Meldung an die Aufsichtsbehörde 95
3.8.3 Benachrichtigung der betroffenen Personen 99
3.9 Verhaltensregeln, Zertifizierungen, Siegel, etc. 102
3.9.1 Verhältnis zwischen Verhaltensregeln und Zertifizierungen 102
3.9.2 Verhaltensregeln („Codes of Conduct“) 104
3.9.3 Zertifizierungen, Datenschutzsiegel und –prüfzeichen („Certifications, seals and marks“) 109
3.10 Auftragsverarbeiter 113
3.10.1 Privilegierte Stellung des Auftragsverarbeiters 113
3.10.2 Verpflichtung des Verantwortlichen bei der Auswahl eines Auftragsverarbeiters 114
3.10.3 Pflichten des Auftragsverarbeiters 116
3.10.4 Hinzuziehung eines „Unter-Auftragsverarbeiters“ 118
Referenzen 118
4 Materielle Anforderungen 122
4.1 Verarbeitungsgrundsätze 122
4.1.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 123
4.1.2 Zweckbindung 124
4.1.3 Datenminimierung 126
4.1.4 Richtigkeit 127
4.1.5 Speicherbegrenzung 127
4.1.6 Integrität und Vertraulichkeit 128
4.2 Rechtsgrundlagen für die Datenverarbeitung 128
4.2.1 Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person 128
4.2.2 Verarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestandes 138
4.2.3 Verarbeitung besonderer Kategorien personenbezogener Daten 154
4.3 Datenübermittlungen an Drittländer 164
4.3.1 Angemessenheitsbeschlüsse 166
4.3.2 Einwilligung 167
4.3.3 Standardvertragsklauseln 168
4.3.4 EU-U.S. Privacy Shield 172
4.3.5 Binding Corporate Rules 175
4.3.6 Verhaltensregeln, Zertifizierungsverfahren, etc. 180
4.3.7 Ausnahmen für bestimmte Fälle 181
4.3.8 Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen 185
4.4 Eingeschränktes „Konzernprivileg “ 187
4.4.1 Eigenständige Datenschutzverantwortlichkeit jedes Gruppenunternehmens 188
4.4.2 Erleichterungen in Bezug auf die materiellen Anforderungen 189
4.4.3 Erleichterungen in Bezug auf die Datenschutzorganisation 190
Referenzen 191
5 Rechte der betroffenen Personen 194
5.1 Transparenz und Modalitäten 194
5.1.1 Die Art und Weise der Kommunikation mit den betroffenen Personen 195
5.1.2 Die Form der Kommunikation 196
5.2 Informationspflicht des Verantwortlichen bei Erhebung der personenbezogenen Daten 197
5.2.1 Zeitpunkt der Information 198
5.2.2 Erhebung der Daten bei der betroffenen Person 198
5.2.3 Erhebung der Daten von einer anderen Quelle 200
5.2.4 Einschränkung der Informationspflichten nach dem BDSG-neu 201
5.2.5 Praxishinweise 204
5.3 Informationen über auf den Antrag der betroffenen Personen hin ergriffene Maßnahmen 205
5.3.1 Art und Weise der Bereitstellung der Informationen 205
5.3.2 Frist für die Bereitstellung der Informationen 207
5.3.3 Unterrichtung im Falle Nicht-Tätigwerdens 207
5.3.4 Bestätigung der Identität der betroffenen Person 208
5.4 Auskunftsrecht 208
5.4.1 Umfang des Auskunftsrechts 208
5.4.2 Einschränkungen des Auskunftsrechts nach dem BDSG-neu 210
5.4.3 Zurverfügungstellen der personenbezogenen Daten 212
5.4.4 Praxishinweise 214
5.5 Recht auf Löschung, auf Berichtung und auf Einschränkung der Verarbeitung 215
5.5.1 Recht auf Berichtigung 215
5.5.2 Recht auf Löschung 217
5.5.3 Recht auf Einschränkung der Verarbeitung 229
5.5.4 Mitteilungspflicht gegenüber Dritten im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Art. 19 233
5.6 Recht auf Datenübertragbarkeit 234
5.6.1 Anwendungsbereich & Ausübung des Rechts auf Datenübertragbarkeit
5.6.2 Technische Spezifikationen 241
5.6.3 Übermittlung der Daten 242
5.6.4 Verhältnis zum Recht auf Löschung 242
5.6.5 Ausschluss des Rechts auf Datenübertragbarkeit 243
5.7 Widerspruchsrecht 244
5.7.1 Gründe für einen Widerspruch gegen die Verarbeitung 245
5.7.2 Einschränkungen im BDSG-neu 247
5.7.3 Ausübung des Rechts & Rechtsfolgen
5.7.4 Informationspflicht 249
5.8 Automatisierte Entscheidungsfindung 249
5.8.1 Anwendungsbereich des Verbots 250
5.8.2 Ausnahmen vom Verbot nach der DSGVO 252
5.8.3 Ausnahme vom Verbot nach dem BDSG-neu 253
5.8.4 Angemessene Schutzmaßnahmen 254
5.9 Beschränkungen der Betroffenenrechte 255
Referenzen 256
6 Zusammenarbeit mit den Aufsichtsbehörden 259
6.1 Bestimmung der zuständigen Aufsichtsbehörde 259
6.2 One-Stop-Shop 260
6.3 Bestimmung der federführenden Aufsichtsbehörde 262
6.3.1 Bestimmung anhand der Hauptniederlassung des Unternehmens 262
6.3.2 Bestimmung bei Fehlen einer Niederlassung des Unternehmens in der EU 265
6.3.3 Ausnahme: lokale Zuständigkeit 266
6.3.4 One-Stop-Shop auf nationaler Ebene nach dem BDSG-neu 267
6.4 Zusammenarbeit und Kohärenzverfahren 268
6.4.1 Europäischer Datenschutzausschuss 269
6.4.2 Verfahren zur Zusammenarbeit 269
6.4.3 Kohärenzverfahren 270
Referenzen 270
7 Rechtsdurchsetzung und Sanktionen nach der DSGVO 272
7.1 Aufgaben und Untersuchungsbefugnisse der Aufsichtsbehörden 272
7.1.1 Größere Konsistenz der Untersuchungsbefugnisse innerhalb der EU 273
7.1.2 Regelungen zu aufsichtsbehördlichen Befugnissen im BDSG-neu 273
7.1.3 Umfang der Untersuchungsbefugnisse 275
7.1.4 Ausübung der Befugnisse 277
7.2 Zivilrechtliche Haftung 277
7.2.1 Recht auf Schadensersatz 278
7.2.2 Schadensersatzpflichtige 280
7.2.3 Exkulpationsmöglichkeit 281
7.3 Sanktionen 282
7.3.1 Abhilfebefugnisse der Aufsichtsbehörden 283
7.3.2 Gründe für Bußgelder und Bußgeldbeträge 284
7.3.3 Verhängung von Bußgeldern, inkl. mildernden Umständen 285
7.3.4 Sanktionierung von Unternehmensgruppen 286
7.3.5 Sanktionen und Verfahrensvorschriften des BDSG-neu 287
7.3.6 Praxishinweise 289
7.4 Rechtsbehelfe 289
7.4.1 Rechtsbehelfe von datenverarbeitenden Unternehmen 289
7.4.2 Rechtsbehelfe von betroffenen Personen 291
Referenzen 294
8 Nationale Besonderheiten 296
8.1 Vielzahl von Öffnungsklauseln 296
8.1.1 Öffnungsklauseln innerhalb der allgemeinen Bestimmungen der DSGVO 296
8.1.2 Gesetzgebungskompetenz der EU-Mitgliedstaaten in besonderen Verarbeitungssituationen 301
8.1.3 Regelungen im BDSG-neu zu besonderen Verarbeitungssituationen 302
8.2 Beschäftigtendatenschutz 304
8.2.1 Öffnungsklausel 304
8.2.2 Regelungen des § 26 BDSG-neu 306
8.2.3 Arbeitnehmervertretungsorgan in Deutschland (Betriebsrat) 311
8.3 Telemediendatenschutz 313
Referenzen 316
9 Besondere Verarbeitungssituationen 318
9.1 Big Data 318
9.1.1 Anwendbarkeit der DSGVO 319
9.1.2 Rechenschaftspflicht 320
9.1.3 Einhaltung der Verarbeitungsgrundsätze 321
9.2 Cloud Computing 322
9.2.1 Verteilung der Verantwortlichkeiten 322
9.2.2 Auswahl eines geeigneten Cloud-Serviceanbieters 323
9.2.3 Cloud-Serviceanbieter in Drittländern 324
9.3 Internet of Things 324
9.3.1 Rechtsgrundlage für Datenverarbeitungen im IoT 324
9.3.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 326
Referenzen 327
10 Praktische Umsetzung der Vorgaben der DSGVO 328
10.1 Schritt 1: „Lücken“-Analyse 329
10.2 Schritt 2: Risikoanalyse 330
10.3 Schritt 3: Projektkonzeption und Ressourcen-/Budgetplanung 330
10.4 Schritt 4: Implementierung 331
10.5 Schritt 5: Nationale Zusatzanforderungen 332
Referenzen 333
Annex I – Gegenüberstellung der Vorschriften und entsprechenden Erwägungsgründe der DSGVO sowieder korrespondierenden Vorschriften des BDSG-neu 334
Stichwortverzeichnis 536