Inhaltsverzeichnis Inhaltsverzeichnis

Transkript

1 XI Revision Vorwort... V Bearbeiterverzeichnis... XLV Abkürzungsverzeichnis... XLIX Teil I. Allgemeine datenschutzrechtliche Grundlagen und Strukturen Kapitel 1. Entwicklung des Datenschutzes in der Informationsgesellschaft A. Entwicklung des Datenschutzes... 4 I. BDSG... 4 II. Weitere Kodifikationen und europäische Regelungen Kompetenz Errungenschaften... 9 III. Recht auf informationelle Selbstbestimmung... 9 B. Zum Stand des Datenschutzrechts I. Allgemeines II. BDSG Anwendung Adressat Begriffe, Definitionen Verbotsprinzip Aufgabe und Zweck des BDSG C. Modernisierungsbedarf I. Modernisierungsbedarf aufgrund der Rechtsprechung Innerer Bereich der Zurückgezogenheit Zweckbindung Recht auf informationelle Selbstbestimmung II. Modernisierungsbedarf aufgrund der sonstigen Entwicklung Ansätze, Materialien EU: Digitale Agenda USA-Impulse Europarat III. Unvollständiger Ansatz zum Beschäftigtendatenschutz (2009) IV. Entwurf der Datenschutz-Grundverordnung vom Grundbausteine Neue Instrumente Nicht eingelöste Vorgaben vom Kritik... 27

2 XII V. Einzelne Aspekte der Defizite geltenden Rechts Intransparenz Technisch veraltet Keine Berücksichtigung der Rechtsprechung(sentwicklung) Zahnloses Gesetz, schwache Sanktion BDSG keine Marktverhaltensregelung? Nebeneinander der diversen Rechtsinstitute D. Grundrecht auf Netzzugang E. Informationsethik und Datenschutz Kapitel 2. Datenschutz im öffentlichen und nicht-öffentlichen Bereich A. Datenschutzrechtlicher Regelungszweck und Normadressaten I. Verfassungsrechtliches Differenzierungsgebot Grundrechtliche Konkordanz Normadressaten II. Sachzusammenhang und Regelungskompetenz Sachzusammenhang Regelungskompetenz B. Öffentliche und nicht-öffentliche Stellen als Normadressaten I. Begriff der öffentlichen und nicht-öffentlichen Stelle Abgrenzungsfragen Öffentliche Unternehmen Religionsgemeinschaften Nicht-öffentliche Stellen II. Auswirkungen auf die datenschutzrechtliche Regelungssystematik C. Subsidiaritätsprinzip im Datenschutz I. BDSG als Auffangregelung II. Bereichsspezifische Vorschriften Öffentlicher Bereich Nicht-öffentlicher Bereich Kapitel 3. Die Europäische Dimension des Datenschutzes A. Europarechtlicher Rahmen I. Motivation II. Gegenwärtiger Rechtszustand Richtlinien Sonstiges Sekundärrecht Primärrecht Weitere Normen und Softlaw III. Sekundärrechtlich determinierte europäische datenschutzrechtliche Grundsätze Anwendbarkeit nur bei Personenbezug und nur bei natürlichen Personen... 57

3 XIII 2. Verarbeitung nach Treu und Glauben (Art. 6 Abs. 1a DSRL) Zweckbindungsgrundsatz (Art. 6 Abs. 1a und 1b DSRL) Richtigkeit (Art. 6 Abs. 1d DSRL) Datenvermeidung und Datensparsamkeit (Art. 6 Abs. 1c und 1e DSRL) Unterscheidung sensible/nicht sensible Daten (Art. 7 und 8 DSRL) Verbot mit Erlaubnisvorbehalt Betroffenenrechte Unabhängige Vorabkontrolle IV. Aktuelle Entwicklungen de lege ferenda Datenschutzgrundverordnung (DS-GVO) Richtlinie B. Judikatur I. Lindqvist (C-101/01) II. Österreichischer Rundfunk (C-465/00, C-138/01, C-139/01) III. Vorratsdatenspeicherung (C-201/06) IV. Markkinapörssi (C-73/07) V. Datenschutzbeauftragter I (C-518/07) VI. Rijkeboer (C-553/07) VII. Datenschutzbeauftragter II (C-614/10) VIII. Bavarian Lager (C-28/08 P) IX. Agrarbeihilfen (C-92/09, 93/09) X. ASNEF (C-468/10, C-469/10) XI. Promusicae (C-275/06) XII. Scarlet (C-70/10) XIII. Vorratsdatenspeicherung (C-293/12, C-594/12, C-46/13) C. Internationale Vorgaben D. Internationaler Datentransfer I. De lege lata Datenverarbeitung durch eine inländische verantwortliche Stelle Datenverarbeitung durch eine ausländische Stelle mit Sitz im EU-Ausland Datenverarbeitung durch eine ausländische Stelle mit Sitz in einem Drittstaat Übermittlung in einen Drittstaat II. De lege ferenda Kapitel 4. Internationaler Datenschutz A. Einführung B. Nordamerika I. USA... 71

4 XIV II. Einige Konsequenzen III. Kanada C. Asien I. Indien II. Volksrepublik China/Hongkong III. Japan D. Südamerika E. Australien/Neuseeland Kapitel 5. Der internationale Anwendungsbereich des BDSG A. Einführung I. Die kollisionsrechtliche Regelung des BDSG II. Die Vorgaben der Datenschutzrichtlinie III. Die Reform des europäischen Datenschutzrechts IV. Anknüpfungsmerkmale und Kollisionsnorm des BDSG B. Unternehmen mit Sitz im EWR I. Sitz der verantwortlichen Stelle Verantwortliche Stelle Die Bestimmung des Sitzes der verantwortlichen Stelle Die Maßgeblichkeit des Rechts am Sitz der verantwortlichen Stelle II. Die Maßgeblichkeit der Niederlassung Die Bedeutung der Belegenheit der Niederlassung Begriff und Belegenheit der Niederlassung Einzelfälle Niederlassung und Websites Niederlassungsbegriff und Cloud Computing Datenverarbeitung durch Niederlassungen in Drittstaaten C. Unternehmen mit Sitz außerhalb des EWR I. Ort der Datenverarbeitung und anwendbares Datenschutzrecht II. Belegenheit von Niederlassungen oder Rechnern im Inland III. Datenverarbeitung über Websites IV. Fremdgesteuerte Datenverarbeitung auf dem Rechner des Internetnutzers V. Erhebung von Daten im Inland bei grenzüberschreitender Kommunikation VI. Nichtanwendung des BDSG auf Datentransit D. Überblick: Anwendbarkeit des BDSG in Fallgruppen I. Sitz des Unternehmens in Deutschland II. Sitz des Unternehmens in einem anderen EWR-Staat III. Sitz des Unternehmens in einem Drittstaat

5 XV Teil II. Datenschutzorganisation Kapitel 1. Betrieblicher Datenschutzbeauftragter A. Bestellung des betrieblichen Datenschutzbeauftragten I. Bestellungspflicht Allgemeines Voraussetzungen II. Ordnungsgemäße Bestellung durch Bestellungsurkunde Schriftlicher Vertrag Zeitpunkt der Bestellung Inhaltliche Gestaltung Bestellung eines externen Datenschutzbeauftragten Bestellung zum Konzerndatenschutzbeauftragten Befristung der Bestellung Mitbestimmung des Betriebsrats III. Abberufung eines Datenschutzbeauftragten Wichtiger Grund für die Abberufung Arbeitsrechtliche Anforderungen an die Abberufung Sonderfall: Fusionen und Übernahmen (M&A) Abberufung eines externen Datenschutzbeauftragten Abberufung auf Verlangen der Aufsichtsbehörde IV. Sanktionen B. Anforderungen an den betrieblichen Datenschutzbeauftragten I. Erforderliche Fachkunde Allgemeines Juristische Kenntnisse IT-Kenntnisse Sonstige Fähigkeiten II. Erforderliche Zuverlässigkeit Allgemeines Subjektive Kriterien Objektive Kriterien/Interessenkollisionen C. Die rechtliche Stellung des Datenschutzbeauftragten im Unternehmen I. Weisungsfreiheit II. Anbindung an die Unternehmensleitung III. Benachteiligungsverbot IV. Unterstützungspflicht V. Besonderer Kündigungsschutz D. Aufgaben und Pflichten des betrieblichen Datenschutzbeauftragten I. Hinwirken II. Unterstützung durch die Aufsichtsbehörde III. Einzelne Aufgaben IV. Verschwiegenheitspflicht E. Haftung des betrieblichen Datenschutzbeauftragten

6 XVI Kapitel 2. Datenschutzmanagement und Datenschutzprozesse A. Datenschutzmanagement und Datenschutzprozesse B. Auswahl des Datenschutzbeauftragen: intern oder extern? C. Datenschutzaudit und Bewertung des Datenschutzrisikos I. Erfassung aller datenschutzrelevanten Prozesse II. Rechtliche Bewertung und Risikoanalyse D. Verfahrensverzeichnisse I. Öffentliches Verfahrensverzeichnis II. Interne Verfahrensübersichten E. Implementierung von Datenschutzprozessen I. Prozess: Einbindung des Datenschutzbeauftragten bei neuen Verfahren II. Prozess: Datenschutzrechtliche Prüfung III. Prozess: Schulungen und Verpflichtung auf das Datengeheimnis IV. Weitere Prozesse Kapitel 3. Selbstkontrolle und Datenschutzaufsicht A. Allgemeines, Aufgaben B. Verhältnis der beiden Einrichtungen zueinander I. Unterstützung des Beauftragten II. Befugnis der Aufsichtsbehörde zu Anordnungen III. Abberufung IV. Betretungsrechte C. Weitere Formen der Selbstkontrolle und der Fremdkontrolle I. Audit II. DS-GVO D. Grundsätze, Instrumente E. Der Betriebsrat als datenschutzrechtliche Kontrollinstanz Kapitel 4. Datenschutz und Zertifizierung A. Einführung B. Selbstregulierung C. Datenschutzaudit im BDSG D. Besonderheiten bei Cloud Computing E. Verhaltensregeln, Branchenregeln F. Safe Harbor eine Art Test

7 XVII G. Pläne/Entwürfe I. DS-GVO (E) II. Datenschutzstiftung Teil III. Archivierung und Entsorgung Kapitel 1. Datenschutzkonzepte A. Speicherpraxis zwischen Aufbewahrungs- und Löschpflicht I. Fortschreitende Digitalisierung, billiger Speicherplatz und Auslagerung als Herausforderungen an die betriebliche Gedächtnisorganisation II. Begriffe: Aufbewahrung, Archivierung, Speicherung, Ablage, Löschung, Vernichtung, Entsorgung III. Schwierigkeiten der Phasenabgrenzung IV. Praxis der Datenschutzbehörden B. Archivierung I. Bedeutung: Revisions- und IT-Sicherheit, IT-Compliance, E-Discovery, Beweisqualität von s II. Rechtsgrundlagen Datenschutzrechtliche Speicherbefugnis ( 28, 29, 9, 31 BDSG) Handels- und steuerrechtliche Anforderungen, GoB, GoBS, GdPDU Papierloses Büro, ersetzendes Scannen Betriebliche Mitbestimmung C. Entsorgung I. Bedeutung II. Gesetzliche Anforderungen an Löschung und Entsorgung von personenbezogenen Daten Begriff des Löschens Differenzierung nach Art des Datenträgers Datenschutzrechtlicher Löschanspruch Kapitel 2. Technische und organisatorische Maßnahmen A. Archivierung I. Zentrale/dezentrale Archivierung II. Langzeitarchivierung Archivierung von Arbeitsprozessdaten Archivierung digitaler Signaturen III. Dokumentenmanagementsysteme IV. Externe Archivierung B. Entsorgung I. Technische Löschverfahren Löschen durch Überschreiben

8 XVIII 2. Magnetische Durchflutung und thermische Zerstörung Mechanische Zerstörung Unterstützung durch neue DIN II. Datenschutzgerechte Entsorgungskonzepte III. Entsorgung durch Dienstleister Kapitel 3. Archivierung und Protokollierung als Problem des betrieblichen Datenschutzes A. Konflikt zwischen IT-Sicherheit/Revisionssicherheit und Datenschutz I. Erlaubte Privatnutzung II. Rückgabe von Firmengeräten/Ausscheidensregelung B. Urheberrechtliche Zulässigkeit der Archivierung C. Umgang mit Datenbeständen, insbesondere mit Altbeständen I. Cloud-Storage und Dokumentenmanagementsysteme in der Cloud II. Big Data Teil IV. Datenschutz und Personal: Arbeitnehmer-/Beschäftigtendatenschutz Kapitel 1. Beschäftigtendatenschutz A. Einleitung B. Kodifikation des Beschäftigtendatenschutzes C. Datenschutzbezogene Betriebsvereinbarungen I. Datenschutzbezogene Betriebsvereinbarungen de lege lata II. Datenschutzbezogene Betriebsvereinbarungen de lege ferenda III. Kritik D. Fragerecht des Arbeitgebers I. Fragerecht des Arbeitgebers de lege lata Arbeitsrecht Datenschutzrecht II. Fragerecht des Arbeitgebers de lege ferenda Namen und Kontaktdaten Fachliche und persönliche Qualifikation Politische Meinungen und Gewerkschaftszugehörigkeit Geschlecht, insbesondere Schwangerschaft Gesundheit, Vermögensverhältnisse und Vorstrafen bzw. laufende Ermittlungsverfahren Schwerbehinderten- und Gleichstellungseigenschaft III. Kritik E. Datenabgleich zu Compliance-Zwecken I. Datenabgleich de lege lata

9 XIX 1. Präventive Kontrollen; Verhinderung statt Aufdeckung Aufdeckung von Ordnungswidrigkeiten und Vertragsverletzungen II. Datenabgleich de lege ferenda III. Kritik F. Videoüberwachung am Arbeitsplatz I. Videoüberwachung de lege lata Videoüberwachung von Arbeitsplätzen in öffentlich zugänglichen Bereichen Videoüberwachung von Arbeitsplätzen in öffentlich nicht zugänglichen Betriebsbereichen II. Videoüberwachung de lege ferenda III. Kritik Kapitel 2. Bring Your Own Device und Datenschutz A. Einleitung B. BYOD und die rechtlichen Implikationen I. Erscheinungsformen des BYOD Nutzung privater IT zu dienstlichen Zwecken Unechtes BYOD II. BYOD im rechtlichen Kontext Gewerbliche Schutzrechte Arbeitsrecht Handels- und steuerrechtliche Dokumentations- und Aufbewahrungspflichten Datenschutz III. BYOD und Datenschutz Anwendbarkeit datenschutzrechtlicher Vorschriften Kontrollrechte und -pflichten Einführung des BYOD im Unternehmen Skandalisierungspflicht C. Zusammenfassung Kapitel 3. Datenschutz und Mitbestimmung A. Einleitung B. Datenschutz und Mitbestimmung I. Der Schutz des allgemeinen Persönlichkeitsrechts als mitbestimmungsrechtliche Aufgabe Datenschutzrechtliche Anknüpfungspunkte Mitbestimmungsrechtliche Tatbestände II. 87 Abs. 1 Nr. 6 BetrVG als tatbestandliche Grundlage für die mitbestimmungsrechtliche Verankerung des Datenschutzes III. Datenschutz innerhalb der Arbeitnehmervertretung

10 XX IV. Verhältnis des Arbeitnehmerdatenschutzes nach dem BetrVG zum BDSG Anwendbarkeit des BDSG Subsidiaritätsgrundsatz Möglichkeit der Verschlechterung V. Betrieblicher Datenschutzbeauftragter und das Verhältnis zur Mitbestimmung VI. Typische Regelungsmaterien für datenschutzrechtliche Betriebsvereinbarungen Kapitel 4. Sozialdatenschutz A. Bedeutung des Sozialdatenschutzes für Arbeitnehmer B. Das System des Sozialdatenschutzes I. Rechtsgrundlagen II. Sozialgeheimnis III. Begriff der Sozialdaten Allgemeines In 35 SGB I genannte Stellen Zweckbindung Betriebs- und Geschäftsgeheimnisse Anonymisierte und pseudonymisierte Daten Gutachten als Sozialdaten IV. Verlängerter Sozialdatenschutz V. Technische Vorkehrungen C. Erheben von Daten I. Begriff des Erhebens II. Erhebung auf Grundlage einer Einwilligung III. Erforderlichkeit der Erhebung Allgemeines Erhebung auf Vorrat Die Erhebung spezifischer Daten Unzulässige Erhebungsmethoden D. Auswirkungen auf Mitwirkungspflichten E. Die Nutzung und Verarbeitung von Daten I. Speichern, Verändern, Nutzen von Daten II. Übermitteln von Daten Abgrenzung Übermittlung/Nutzung Voraussetzungen einer Übermittlungsbefugnis Verhältnismäßigkeit der Übermittlung Aktenübersendung an Sozialgerichte Übermittlungsbefugnis durch Einwilligung? Übermittlung ohne Einwilligung oder normative Befugnis Verantwortung für die Übermittlung Übermittlungen ohne Ersuchen

11 XXI F. Erhebung, Verarbeitung und Nutzung von Sozialdaten im Auftrag G. Der Anspruch auf Berichtigung, Löschung und Sperrung gemäß 84 SGB X H. Auskunftsanspruch I. Der Datenschutzbeauftragte J. Sanktionsnormen K. Schadensersatz I. Allgemeines II. Haftung nach 82 Satz 1 SGB X III. Haftung nach 82 Satz 2 SGB X L. Datenschutz im sozialgerichtlichen Verfahren I. Geltung des Datenschutzes auch im Gerichtsverfahren II. Die in Betracht kommenden Datenschutznormen III. Datenschutz innerhalb desselben Gerichts IV. Übermittlung von Daten außerhalb des Sozialgerichtsprozesses V. Konsequenzen von Verstößen gegen das Recht auf informationelle Selbstbestimmung Kapitel 5. Compliance und Datenschutz A. Einführung B. Der Begriff Compliance I. Verwendung in Normen II. Definition Compliance und Abgrenzung zu Governance C. Compliance und Datenschutz I. Rechtsgrundlagen II. Verantwortlichkeit Meldung Verfahrensverzeichnis Vorabkontrolle Betrieblicher Datenschutzbeauftragter Auftragsdatenverarbeitung D. Datenschutz bei Governance E. Folgen fehlender Beachtung datenschutzrechtlicher Regelungen Teil V. Datenschutz in Betrieb, Unternehmen und Konzern Kapitel 1. Konzerndatenschutz A. Einleitung B. Grundlagen des Konzerndatenschutzes

12 XXII I. Fehlendes Konzernprivileg II. Datenübermittlungsverbot mit Erlaubnisvorbehalt C. Datenschutzkonforme Ausgestaltung von Datenweitergaben im Konzern I. Auftragsdatenverarbeitung II. Datenübermittlungen im Rahmen von Funktionsübertragungen Übermittlung von Beschäftigtendaten im konzerndimensionalen Arbeitsverhältnis Übermittlung von Beschäftigtendaten im Rahmen von Funktionsübertragungen Übermittlung besonderer Arten personenbezogener Daten III. Datenübermittlungen auf Basis von Betriebsvereinbarungen IV. Datenübermittlungen auf Basis von Einwilligungen D. Datenweitergaben bei Umstrukturierungen und Umwandlungen I. Betriebsübergang II. Due Diligence-Prüfungen III. Umwandlungen (Verschmelzung, Abspaltung etc.) E. Fallgruppen praxisrelevanter Datenübermittlungen und -verarbeitungen im Konzern I. Organisationsbezogene Datenübermittlungen Konzernweites Kommunikationsverzeichnis Matrix-Strukturen Aufteilung von Produktions- und Arbeitsprozessen Zentralisierung von Compliance-Funktionen II. Zentralisierung von Human Resources-Aufgaben Lohn- und Gehaltsabrechnung Zentrale Personalverwaltung Konzernübergreifende Skill-Datenbanken III. Sonstige Shared Services IT-Leistungen Werbe- und Marketingleistungen Übermittlung von Kundendaten F. Internationale Datentransfers Kapitel 2. Internationaler Datenverkehr A. EU-Datenschutz für den Datentransfer ins Ausland B. Datenschutz im Geschäftsverkehr mit den Vereinigten Staaten/außerhalb der EU Safe Harbor Framework Standardvertragsklauseln Binding Corporate Rules (BCR)

13 XXIII C. Outsourcing D. Vertragsgestaltung im internationalen Datenverkehr Kapitel 3. Compliance-Organisation und Whistleblowing im Konzern A. Einleitung B. Allgemeine Vorgaben für eine Compliance-Organisation C. Elektronische Systeme zur präventiven Compliance I. Verpflichtung zur Vorhaltung von Systemen und Daten? Allgemeine Compliance-Vorgaben Vorgaben für Banken, Versicherungen und Wertpapierdienstleistungsunternehmen II. Allgemeine Vorgaben zum Zugriff auf Daten bei Datenabgleichen Vorgaben des BDSG zur präventiven Compliance Datenabgleiche beschränkende Sondernormen Mitbestimmungsrecht des Betriebsrats Pflicht zur Information des betrieblichen Datenschutzbeauftragten Pflicht zur Information des/der betroffenen Arbeitnehmer(s) Sanktionen bei Verletzung des Datenschutzrechts III. Empfehlungen für die Praxis Begrenzungen des automatisierten Datenabgleichs Trennung von dienstlichen und privaten s Abschluss von Betriebsvereinbarungen D. Whistleblowing-Systeme I. Einleitung II. Aufbau eines Whistleblowing-Systems III. Inhaltlicher Anwendungsbereich IV. Datenschutzrechtliche Vorgaben Einwilligung Grundsätzliche Anforderungen an Aufnahme und Verarbeitung von Hinweisen Anonymität des Hinweisgebers Einbindung eines externen Ombudsmanns Übermittlung an andere Konzerngesellschaften Sonstige datenschutzrechtliche Anforderungen Einbindung des Datenschutzbeauftragten Einbindung des Betriebsrats und Betriebsvereinbarung V. Empfehlungen für die Praxis E. System zur Security Breach Notification nach 42a BDSG F. Stellung des Datenschutzbeauftragten im Verhältnis zum Compliance- Beauftragten I. Einleitung

14 XXIV II. Rechtliche Anforderungen an Aufgabe und Stellung des Datenschutzbeauftragten III. Rechtliche Anforderungen an Aufgabe und Stellung des Compliance-Beauftragten IV. Bewertung Kapitel 4. Datenschutz in der Unternehmenstransaktion A. Einleitung B. Datenschutzrechtlicher Rahmen für die Übermittlung von personenbezogenen Daten an Interessenten und deren Berater I. Beschäftigtendaten Einwilligung Betriebsvereinbarungen Zulässigkeit nach 28, 32 BDSG II. Kunden- und Lieferantendaten III. Besondere personenbezogene Daten IV. Durch Sondernormen geschützte Daten V. Sanktionen bei Verletzung des Datenschutzrechts C. Übermittlung von personenbezogenen Daten im Rahmen der Due Diligence und Verhandlungen I. Grundsätze der Zulässigkeitsprüfung II. Daten der Vorstände bzw. Geschäftsführer III. Beschäftigtendaten IV. Kunden- und Lieferantendaten D. Übermittlung von personenbezogenen Daten in der Phase zwischen Signing und Closing E. Übermittlungen von personenbezogenen Daten nach dem Closing I. Share Deal II. Asset Deal III. Unternehmenserwerb durch Verschmelzung oder Abspaltung F. Vorbereitung der Unternehmenstransaktion I. Vorbereitung von Listen II. Abschluss von Vertraulichkeitsvereinbarungen Allgemeines Drittlandstransfer III. Abschluss eines Auftragsdatenverarbeitungsvertrags mit Datenraumanbietern IV. Einbindung des betrieblichen Datenschutzbeauftragten V. Einbindung des Betriebsrats VI. Benachrichtigung der Betroffenen

15 Teil VI. Outsourcing und neue Technologien als Herausforderung für den Datenschutz XXV Kapitel 1. Outsourcing A. Ausschreibung und Vergabe von Aufträgen I. Begriff II. Formen III. Verhandlung, Auftragserteilung, Vergabe IV. Cloud-Besonderheiten V. Big Data B. SLA-Gestaltung im Hinblick auf den Datenschutz C. Transition und Betriebsübergang, Retransition Kapitel 2. Auftragsdatenverarbeitung A. Nationale Auftragsdatenverarbeitung I. Privilegierung nach 11 i. V. m. 3 Abs. 8 BDSG II. Funktionsübertragung III. Voraussetzungen, Maßgaben, Durchführung Vertragsvorgaben BDSG Maßgaben Vertrag Zehn Punkte Vertragsformulierung Aufgaben und Formen IV. Ausführungen zu den zehn Vertragspunkten im Einzelnen Gegenstand und Dauer Umfang, Art und Zweck Technische und organisatorische Maßnahmen Berichtigung, Löschung und Sperrung Nach Abs. 4 bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen Berechtigung zur Begründung von Unterauftragsverhältnissen Kontrollrechte des Auftraggebers Mitzuteilende Verstöße Umfang der Weisungsbefugnisse Rückgabe überlassener Datenträger V. Auswahl, Kontrolle VI. Entsprechende Geltung von 11 Abs. 1 bis 4 BDSG VII. Beauftragter für den Datenschutz B. Internationale Auftragsdatenverarbeitung I. EU-Standardvertragsklauseln II. BCR

16 XXVI III. Safe Harbor IV. Spezialprobleme Kapitel 3. Customer Relationship Management und Datenschutz A. Customer Relationship Management Pflege und Profilbildung als betriebswirtschaftliches Instrument B. CRM und Datenschutz I. Grundsatz II. Gegenstand des CRM personenbezogene Daten III. Erfordernis der Einwilligung IV. Hinweispflicht V. Gesetzlicher Erlaubnistatbestand Eigene geschäftliche Zwecke Wahrung berechtigter Interessen der verantwortlichen Stelle Allgemein zugängliche Daten VI. Verarbeitung oder Nutzung zu Werbezwecken CRM als Kundenbindungs- und Akquisemittel Listenprivileg Besondere Zweckbindung VII. Datenpflege und -veredelung Hinzuspeichern Besondere Anforderungen an den Datenbestand infolge erweiterter Auskunftspflichten C. CRM im Konzern I. Konzernbegriff und fehlendes Konzernprivileg II. Datenarten und Datenherkunft bei Übermittlungen im Konzern III. Zusammenfassung Kapitel 4. Nachweispflicht für die Datenherkunft A. Herkunftsnachweis im Zusammenhang mit Auskunftsansprüchen I. Sinn und Zweck der Regelung Herkunft der personenbezogenen Daten Speicherverpflichtung aus 34 Abs. 1 BDSG II. Sonderregelung bei geschäftsmäßiger Übermittlung ( 34 Abs. 1 Satz 3, 4 BDSG) Auskunfts- und Speicherpflicht Sonderregelung ( 34 Abs. 1 Satz 4 BDSG) B. Herkunftsnachweis nach 34 Abs. 1 lit. a BDSG I. Inhalt der Regelung II. Problematik der Regelung die Rijkeboer-Entscheidung des EuGH III. Übergangsfrist ( 47 BDSG)

17 XXVII 1. Inhalt der Regelung Beschluss des Düsseldorfer Kreises vom C. Herkunftsnachweis gemäß 9 BDSG I. Regelungsinhalt II. Rechtsprechung und Bewertung D. Fazit Kapitel 5. Cloud Computing A. Cloud Computing und Datenschutz I. Einführung, Definition, technische Hintergründe Definition und Abgrenzung Basis des Cloud Computing: Virtualisierung Cloud-Modelle Cloud Service-Typen Aspekte der Datensicherheit II. Cloud Computing und Datenschutz Anwendbares Datenschutzrecht Verlagerung von personenbezogenen Daten in die Cloud Übermittlung der Daten ins Ausland III. Lösungsansätze Verschlüsselung von personenbezogenen Daten in der Cloud Nutzung von Trusted Computing-Technologien Nutzung von Private Clouds IV. Fazit B. Transnationale Clouds I. Die transnationale Dimension des Cloud Computing II. Anwendbares Datenschutzrecht bei transnationalen Clouds Anwendbarkeit des BDSG auf Cloud Provider mit Niederlassung im Inland In einem anderen EU-Mitgliedstaat belegener Cloud Provider In einem Drittland belegener Cloud Provider III. Auftragsdatenverarbeitung unter Beteiligung von Cloud Providern in Drittländern Cloud Provider als Auftragnehmer in einem Drittland Cloud Provider als Auftraggeber in einem Drittland IV. Weitergabe personenbezogener Daten an Cloud Provider im Ausland Voraussetzungen Angemessenes Datenschutzniveau im Empfängerland Kein angemessenes Datenschutzniveau im Empfängerland Zulässigkeit der Übermittlung C. Entnetzung I. Grundsätzliche Erwägungen

18 XXVIII 1. Zunehmendes Bedrohungspotential durch die zunehmende Vernetzung Abschottung und Entnetzung als technisch-organisatorische Gegenstrategie II. Abschottung und Entnetzung von Systemen als datenschutzrechtlich gebotene Maßnahme Gesetzliche Bestimmungen zur IT-Sicherheit Schutz und Entnetzung unternehmensinterner Systeme Vernetzung mit externen Systemen, Outsourcing, Cloud Computing Kapitel 6. Cyberwar und Datenschutz A. Vernetzung I. Einführung II. Gesetzliche Grundlagen III. Code is Law IV. Cyber-Terrorismus B. Der Datenschutzbezug, vor allem über Sicherheit und Prävention I. Informationssicherheit II. Datenbevorratung III. Cyberwar- und Spionageabwehr IV. Aufgabenstellung V. Sensible Schwachstellen VI. Mitarbeiter VII. Whistleblowing VIII. Funktionsübertragung IX. Sicherheitsüberprüfungen C. Haftung Kapitel 7. Smart Metering und E-Mobility A. Einleitung B. Grundlagen des Smart Metering und der E-Mobility I. Technische Grundlagen des Smart Metering und der E-Mobility II. Wesentliche Anwendungsgebiete des Smart Metering und der E-Mobility III. Sektorspezifische rechtliche Grundlagen des Smart Metering und der E-Mobility C. Datenschutz beim Smart Metering und der E-Mobility I. Art und Umfang der betroffenen personenbezogenen Daten Art der betroffenen personenbezogenen Daten Umfang der betroffenen personenbezogenen Daten II. Mögliche Beteiligte und zum Datenumgang berechtige Stellen

19 XXIX 1. Mögliche Beteiligte Zum Datenumgang berechtigte Stellen III. Anwendbare allgemeine datenschutzrechtliche Grundsätze, insbesondere Direkterhebung sowie Datenvermeidung und -sparsamkeit IV. Sektorspezifische datenschutzrechtliche Regelungen im Bereich des Smart Metering Erhebung, Verarbeitung und Nutzung personenbezogener Daten Auskunfts-, Einsichts- und Informationspflichten Löschungspflichten und weitere Betroffenenrechte Sanktionen V. Besondere datenschutzrechtliche Probleme der E-Mobility Bewegungsprofile Authentifizierung und Datenübermittlung D. Datensicherheit beim Smart Metering und der E-Mobility I. Allgemein zu berücksichtigende Grundsätze der Datensicherheit II. Spezielle Anforderungen an das Smart Meter Gateway III. Spezielle Anforderungen an das Sicherheitsmodul Teil VII. Datenschutz in Telemediendiensten, Telekommunikation, Internet und anderen Kommunikationsformen Kapitel 1. Datenschutz im Internet A. Internetregulierung in Deutschland I. Vom IuKDG zum TMG II. Personenbezug von IP-Adressen Objektiver Personenbezug Relativität des Personenbezugs Infektionstheorie Bewertung bei IPv B. Das Telemediengesetz I. Überblick II. Anwendungsbereich Begriff der Telemedien Ausnahme für dienstliche Telemediennutzungen III. Verhältnis zum BDSG IV. Zentrale Vorschriften Datenverarbeitungsverbot mit Erlaubnisvorbehalt Spezielle Erlaubnisvorschriften Einwilligung des Nutzers Sonstige Sonderregelungen

20 XXX Kapitel 2. Web 2.0, Mobile Apps und die datenschutzrechtlichen Anforderungen A. Einführung Datenschutzrechtliche Besonderheit des Web B. Rechtsverhältnisse und Konstellationen C. Rechtsgrundlagen I. Europäische Rechtsgrundlagen II. Deutsche Rechtsgrundlagen Allgemeines Datenschutzrecht Besonderes Datenschutzrecht D. Rechtliche Einordnung von Web 2.0-Diensten I. Telemediendienste II. Telekommunikationsdienste Übertragung lediglich beim selben Provider Aufspaltung von Web 2.0-Dienstebündeln in Einzeldienste Klassifizierung einzelner Dienste im Web III. Telekommunikationsgestützte Dienste ( 3 Nr. 25 TKG) IV. Rundfunk und telemedienrechtliche Vorschriften im RStV V. Zusammenfassende Einordnung VI. Zivilrechtliche Regelungen E. Personenbezogene Daten im Web F. Datenschutzrechtliche Verantwortlichkeit im Web I. Erwägungen der Art.-29-Datenschutzgruppe II. Einzelfälle im Web Plattformbetreiber Plattformnutzer Dritte (Anbieter von Software/Apps) G. Das datenschutzrechtliche Verhältnis zwischen Plattformbetreiber und Nutzer I. Die telemedienrechtlichen Anforderungen Zulässigkeit der Datenverarbeitung durch den Plattformbetreiber Einwilligung Nutzungsvertrag, AGB und Privacy Policy (Datenschutzerklärung) Sonstige Pflichten des Plattformbetreibers II. Die telekommunikationsrechtlichen Anforderungen III. Pflichten des Plattformbetreibers gegenüber Dritten (Betroffenen) H. Das datenschutzrechtliche Verhältnis zwischen Nutzern und anderen Nutzern/Dritten I. Das datenschutzrechtliche Verhältnis zwischen Dritten und Nutzern (Apps und Mobile Apps) J. Ausblick und Würdigung