Vorwort... Hinweis Das neue neue EU-Datenschutzregime... Abkürzungsverzeichnis...

Transkript

1 Inhalt Vorwort... Hinweis Das neue neue EU-Datenschutzregime... Abkürzungsverzeichnis... VII IX XIX 1. Schnelleinstieg die wichtigsten Fragen im Überblick Besteht Meldepflicht der Datenverarbeitung beim Datenverarbeitungsregister? Ist die Verarbeitung und Übermittlung von Kunden- und Mitarbeiterdaten zulässig? Entspricht die Zustimmungserklärung zur Datenverarbeitung der aktuellen Judikatur? Sind die durchgeführten Marketingmaßnahmen zulässig? Outsourcing: Wurde ein Dienstleistervertrag abgeschlossen? Ist unser Unternehmensnetzwerk ein genehmigungspflichtiges Informationsverbundsystem? Wir haben eine Videoüberwachung im Betrieb. Was ist zu tun? Wie weit darf man seine Mitarbeiter im Betrieb kontrollieren? Benötigen wir einen betrieblichen Datenschutzbeauftragten? Was ist zur Daten- und Informationssicherheit zu beachten? Hilfe, wir haben einen Datenmissbrauchsfall! Datenschutzrecht interessiert mich nicht? Grundbegriffe und Definitionen des Datenschutzgesetzes Entwicklung und Struktur des Datenschutzrechts Das künftige EU-Datenschutzrecht Grundrecht auf Datenschutz und Grundprinzipien Grundrecht auf Datenschutz Grundprinzipien des Datenschutzes Trennung öffentlicher/privater Bereich Sachlicher Anwendungsbereich des DSG Natürliche und juristische Personen, Personengemeinschaften Automationsunterstützte und manuelle Dateien Räumlicher Anwendungsbereich des DSG Definitionen Daten und sensible Daten Datenanwendung Die drei Akteure : Betroffener, Auftraggeber, Dienstleister Informationsverbundsystem Zustimmung Meldung beim DVR Das Datenverarbeitungsregister Wann besteht Meldepflicht? Grundregel Ausnahmen XIII

2 3.2.3 Ausnahme Standardanwendungen Vereinfachte Meldung: Musteranwendungen DVR-Meldungen Registrierung und Anmeldung bei DVR-Online Meldung des Auftraggebers Meldung der Datenverarbeitung Angaben zu den ergriffenen Datensicherheitsmaßnahmen Meldung Musteranwendung Ablauf des Meldeverfahrens Sofortiger Vollbetrieb Ausnahme: Vorabkontrollverfahren Prüfungs- und Verbesserungsverfahren Eintragung der Meldung Richtigstellung des Registers Führen der DVR-Nummer, Offenlegungspflicht Meldepflichtige Datenanwendungen Nicht-meldepflichtige Datenanwendungen Zulässigkeit der Verarbeitung von Daten Einleitung Grundsätze jeder Datenverwendung Grundsatz von Treu und Glauben und Rechtmäßigkeit Zweckbindungsgrundsatz Wesentlichkeitsgrundsatz Grundsatz der sachlichen Richtigkeit und Aktualität Grundsatz der Datenlöschung Zusammenfassung der Grundsätze, Checkliste Zulässigkeit der Verwendung von Daten Grundsatz: Verbot der Datenverarbeitung Zweck und Inhalt der Datenanwendung Gesetzliche Zuständigkeiten/rechtliche Befugnisse Schutzwürdige Geheimhaltungsinteressen Erforderliches Ausmaß/gelindestes Mittel Prüfschema Zulässigkeit der Datenverarbeitung Zulässigkeit der Datenübermittlung Übermittlung innerhalb des Unternehmens, Österreichs und der EU Arten von Übermittlungen Zulässigkeit der Übermittlung Prüfschema Zulässigkeit der Datenübermittlung innerhalb des Unternehmens, Österreichs und der EU Übermittlung außerhalb der EU Materielle Ausnahmen von der Meldepflicht Gleichgestellte Drittstaaten Safe Harbor Standardvertragsklauseln Standardvertragsklauseln Verarbeiter XIV

3 5.4.2 Standardvertragsklauseln der ICC Einschaltung von Sub-Dienstleistern Zusammenfassung Verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules) Genehmigung durch Datenschutzkommission Genehmigungsvoraussetzungen Genehmigungsverfahren Gesamtprüfschema Problem Zustimmungserklärung Notwendigkeit einer Zustimmung Formulierung der Zustimmungserklärung Gesetzliche Bestimmungen Rechtsentwicklung Lösungsvorschläge Zusammenfassung Judikatur Musterklausel Exkurs: Einwilligung im Massengeschäftsverkehr in Deutschland Outsourcing: Einsatz von Dienstleistern Definition Dienstleister Zulässigkeit der Datenüberlassung an Dienstleister Dienstleisterpflichten, Dienstleistervertrag Dienstleisterpflichten Cloud Computing Dienstleistervertrag Prüfschema Datenüberlassung an Dienstleister Videoüberwachung Definition Videoüberwachung Meldepflichtige Videoüberwachungssysteme Ausnahmen von der Meldepflicht Verschlüsselung der Daten Standardanwendung Sonstige Bestimmungen Protokollierungspflicht Kennzeichnungspflicht Auskunftspflicht Übergangsbestimmung Prüfschema Meldung einer Videoüberwachung nach dem DSG Arbeitnehmerdatenverarbeitung Arbeitnehmerdatenverarbeitung und Arbeitsverfassungsrecht Allgemeines Mitwirkung und Mitbestimmung der Belegschaft im Unternehmen XV

4 9.1.3 Betriebsvereinbarungen Zustimmungspflichtige Maßnahmen Whistleblowing-Hotlines Allgemeines Richtlinien zur Einführung von Whistleblowing-Hotlines Kontrolle von und Internet am Arbeitsplatz Allgemeines Kontrolle durch den Arbeitgeber Verbot der Privatnutzung Zulässige Privatnutzung Drei-Stufen-Modell Zusammenfassung IT-Policy Social Networks Werbemaßnahmen und Datenschutz Bewerbung eigener Kunden Allgemeiner rechtlicher Rahmen Besondere gesetzliche Bestimmungen für Werbung durch Telekommunikationsmittel Einsatz von Dienstleistern Bewerbung fremder Kunden mittels Adressverlagen und Direktmarketingunternehmen Begriff Adressverlag und Direktmarketingunternehmen Tätigkeit von Adressverlagen und Direktmarketingunternehmen Verkauf der eigenen Kundendaten Standesregeln für Adressverlage und Direktmarketingunternehmen Strukturierung von Marketingdatenbanken Rechte, Pflichten, und Sanktionen nach dem Datenschutzgesetz Pflichten des Auftraggebers und Dienstleisters Datensicherheitsmaßnahmen ( 14 DSG) Datengeheimnis ( 15 DSG) Informationspflicht bei Datenmissbrauch ( 24 Abs 2a DSG) Betroffenenrechte Auskunftsrecht ( 26 DSG) Richtigstellungs- und Löschungsverpflichtung ( 27 DSG) Widerspruchsrecht ( 28 DSG) Rechtsschutz Kontrollbefugnisse der Datenschutzkommission Beschwerde an die Datenschutzkommission Anrufung der Gerichte Schadenersatz Strafen Strafen nach dem Strafgesetzbuch Strafen nach dem DSG XVI

5 Verwaltungsstrafbestimmungen nach dem DSG Sonstige Risiken Klage wegen unlauterem Wettbewerb Negative Publicity European Privacy Seal (EuroPriSe) Einleitung Zertifizierungsprozess Zweck und Nutzen von EuroPriSe Kosten der Zertifizierung Betrieblicher Datenschutzbeauftragter Position und Qualifikation Aufgabenbereich Aus- und Weiterbildung Literatur Nationale und internationale Seminare und Konferenzen Websites und Newsletter mit einschlägigen Informationen Behörden, Verbände und Interessenvertretungen Aufbau der Datenschutzorganisation Interner Datenschutzbeirat Top-Down-Modell Bottom-Up-Modell Kombinationsmodell Vorschlag für die inhaltliche Arbeit des DSB Wichtige Fragen, die immer vom DSB zu stellen sind Anlaufstelle für Betroffenenrechte Gestaltung von Mitarbeiterschulungen Das erste Jahr als Datenschutzbeauftragter Aufbau der rechtlichen Prüfung Informationen über sämtliche Datenanwendungen beschaffen und auswerten Mit beschafften Informationen DVR-Meldepflicht prüfen Für DVR-Meldung notwendige Beilagen prüfen Für internationalen Datenverkehr notwendige Unterlagen prüfen Informationen, die zu Dienstleistern beschafft wurden, aufarbeiten Sonstige Prüfung Für die Zukunft Datenschutzhandbuch Datenschutz und Informationssicherheit Begriff der Informationssicherheit Datenschutzanforderungen an die Informationssicherheit Wie viel Know-how über Informationssicherheit benötigt der Datenschutzbeauftragte? Grundlagen der Informationssicherheit Einführung in das Thema Informationssicherheits-Management XVII

6 Ziele der Informationssicherheit Die wichtigsten Bausteine der Informationssicherheit Technik und Organisation Physische Sicherheit Zugriffsberechtigungskonzepte Datenarten Protokollierung Schadprogramme Verschlüsselung Datensicherung Archivierung versus Backup Datenschutz- und Sicherheits-Bewusstsein Zusammenarbeit Datenschutzbeauftragter Informationssicherheits- Manager Anhang Standardanwendungen SA001 Rechnungswesen und Logistik SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse SA003 Mitgliederverwaltung SA007 Verwaltung von Benutzerkennzeichen SA022 Kundenbetreuung und Marketing für eigene Zwecke SA032 Videoüberwachung Literatur Stichwortverzeichnis XVIII