Betrieblicher Datenschutz

Transkript

1 Betrieblicher Datenschutz Rechtshandbuch von Prof. Dr. Nikolaus Forgó, Prof. Dr. Marcus Helfrich, Prof. Dr. Jochen Schneider, Marian Arning, Till Baer, Benno Barnitzke, Dr. Christiane Bierekoven, Dr. Dirk Bieresborn, Prof. Dr. Georg Borges, Tobias Born, Isabell Conrad, Dr. Kai Cornelius, Dr. Eugen Ehmann, Dr. Sandro Gaycken, Dr. Uwe Günther, Dr. Nils Christian Haag, Dr. Oliver M. Habel, Dr. Stefan Hanloser, Dominik Hausen, Christian Hawellek, Joerg Heidrich, Dr. Michael Karger, Lars Klatte, JProf. Dr. Timoleon Kosmides, Dr. Jens Lütcke, Dr. Flemming Moos, Eckart C. Müller, Dr. Stephan Ott, Hans- Hermann Schild, Dr. Fabian Schmieder, Jörn Schoof, Dr. Christian Schröder, Georg F. Schröder, Dr. Axel Spies, Dr. Christoph Wegener, Hans Peter Wiesemann, Dr. Anna Zeiter 1. Auflage Betrieblicher Datenschutz Forgó / Helfrich / Schneider / et al. schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Datenschutz- und Melderecht Verlag C.H. Beck München 2014 Verlag C.H. Beck im Internet: ISBN

2 Forgó/Helfrich/Schneider Betrieblicher Datenschutz

3

4 Betrieblicher Datenschutz Revision Rechtshandbuch Herausgegeben von Prof. Dr. Nikolaus Forgó Hannover Prof. Dr. Marcus Helfrich München Prof. Dr. Jochen Schneider München Bearbeitet von den Herausgebern und von Marian Arning LL. M., Hamburg; Till Baer, München; Benno Barnitzke LL. M., Hannover; Dr. Christiane Bierekoven, Nürnberg; Dr. Dirk Bieresborn, Kassel; Prof. Dr. Georg Borges, Bochum; Tobias Born, Düsseldorf; Isabell Conrad, München; Dr. Kai Cornelius LL. M., Frankfurt a. M.; Dr. Eugen Ehmann, Ansbach; Dr. Sandro Gaycken, Berlin; Dr. Uwe Günther, München; Dr. Nils Christian Haag, Hamburg; Dr. Oliver M. Habel, München; Dr. Stefan Hanloser, München; Dominik Hausen, München; Christian Hawellek, Hannover; Joerg Heidrich, Hannover; Dr. Michael Karger, München; Lars Klatte, Köln; JProf. Dr. Timoleon Kosmides LL. M. Eur., München/Thessaloniki; Dr. Jens Lütcke M.B.L.-HSG, Gauting; Dr. Flemming Moos, Hamburg; Eckart C. Müller, München; Dr. Stephan Ott, München; Laura Schabmair LL. B., München; Hans-Herrmann Schild, Wiesbaden; Dr. Fabian Schmieder, Hannover; Jörn Schoof, Nürnberg; Dr. Christian Schröder, Düsseldorf; Dr. Georg F. Schröder LL. M., München; Dr. Axel Spies, Washington DC/Frankfurt a. M.; Dr. Christoph Wegener, Gevelsberg; Dr. Hans Peter Wiesemann, München; Dr. Anna Zeiter, Hamburg/Stanford 2014

5 Zitiervorschlag: Forgó/Helfrich/Schneider/Bearbeiter ISBN Verlag C. H. Beck ohg Wilhelmstraße 9, München Druck: Beltz Bad Langensalza Neustädter Straße 1 4, Bad Langensalza Satz: Druckerei C. H. Beck Nördlingen Gedruckt auf säurefreiem, alterungsbeständigem Papier (hergestellt aus chlorfrei gebleichtem Zellstoff)

6 V Revision Vorwort Vorwort Das Datenschutzrecht bildete in seinen Anfängen eine Randmaterie und fand lange Zeit als Sonderbereich des öffentlichen Rechts wenig Beachtung in privatrechtlichen Zusammenhängen. Mit der wachsenden Bedeutung der Informationsgesellschaft im Wirtschafts- und Rechtsleben kommt dem Datenschutz jedoch auch für private Unternehmen eine besondere Rolle zu. Die Beachtung des Datenschutzes ist inzwischen eine unternehmenskritische Aufgabe, deren Erfüllung Priorität beanspruchen muss. Vom Datenschutzbeauftragten bis zum Datensicherheitsrecht, von der Zusammenarbeit mit Aufsichtsbehörden und dem Betriebsrat bis zur Präsentation des Unternehmens in sozialen Netzwerken reicht das Spektrum relevanter Rechtsfragen. Diese treten häufig und in unterschiedlichen Zusammenhängen auf, sie sind für den Nichtfachmann durchaus schwierig zu durchschauen und erfahren gleichzeitig starke Beachtung durch Kunden und Öffentlichkeit. Das Datenschutzrecht ist auch Gegenstand der rechtspolitischen Diskussion und gesetzgeberischen Arbeit. In diesem Werk wird zwar stets auf den aktuellen Rechtsstand abgestellt. Darüber hinaus wird aber auch versucht, die europäischen Anstrengungen, insbesondere der EU-Kommission, bei der Weiterentwicklung des Rechtsgebiets zu berücksichtigen und darauf hinzuweisen. Das vorliegende Werk breitet das Spektrum der Aufgaben- und Problemfelder, die sich im Zusammenhang mit der Verarbeitung personenbezogener Daten im Betrieb ergeben, aus und deckt dieses durch die Beiträge von Autorinnen und Autoren mit unterschiedlichem Blickwinkel ab. Die praktische Verwertbarkeit des Dargestellten für die Rechtsberatung des Unternehmens ist das gemeinsame Anliegen. Es folgt daher dem Anspruch, ein Instrument zur Bewältigung des datenschutzrechtlichen Alltags eben ein Handbuch zu sein, mit dem typische Probleme rasch und zuverlässig erkannt und damit zusammenhängende Fragen beantwortet werden können. Es soll dazu dienen, das Datenschutzrecht im Unternehmen proaktiv zu gestalten und nicht nur darauf zu hoffen, dass schon nichts geschehen werde, um dann erst reaktiv tätig zu werden. Die Herausgeber danken den Autorinnen und Autoren für die angenehme Zusammenarbeit und Frau Ruth Schrödl als zuständiger Lektorin für die große Geduld, Umsicht und fördernde Begleitung des Vorhabens. Hannover/München, Oktober 2013 Nikolaus Forgó Marcus Helfrich Jochen Schneider

7 VI Vorwort

8 Inhaltsübersicht VII Revision Inhaltsübersicht Inhaltsübersicht Vorwort... V Bearbeiterverzeichnis... XLV Abkürzungsverzeichnis... XLIX Teil I. Allgemeine datenschutzrechtliche Grundlagen und Strukturen Kapitel 1. Entwicklung des Datenschutzes in der Informationsgesellschaft... 1 Kapitel 2. Datenschutz im öffentlichen und nicht-öffentlichen Bereich Kapitel 3. Die Europäische Dimension des Datenschutzes Kapitel 4. Internationaler Datenschutz Kapitel 5. Der internationale Anwendungsbereich des BDSG Teil II. Datenschutzorganisation Kapitel 1. Betrieblicher Datenschutzbeauftragter Kapitel 2. Datenschutzmanagement und Datenschutzprozesse Kapitel 3. Selbstkontrolle und Datenschutzaufsicht. 142 Kapitel 4. Datenschutz und Zertifizierung Teil III. Archivierung und Entsorgung Kapitel 1. Datenschutzkonzepte Kapitel 2. Technische und organisatorische Maßnahmen Kapitel 3. Archivierung und Protokollierung als Problem des betrieblichen Datenschutzes Teil IV. Datenschutz und Personal: Arbeitnehmer-/ Beschäftigtendatenschutz Kapitel 1. Beschäftigtendatenschutz Kapitel 2. Bring Your Own Device und Datenschutz Kapitel 3. Datenschutz und Mitbestimmung Kapitel 4. Sozialdatenschutz Kapitel 5. Compliance und Datenschutz Teil V. Datenschutz in Betrieb, Unternehmen und Konzern Kapitel 1. Konzerndatenschutz Kapitel 2. Internationaler Datenverkehr Kapitel 3. Compliance-Organisation und Whistleblowing im Konzern Kapitel 4. Datenschutz in der Unternehmenstransaktion

9 VIII Inhaltsübersicht Teil VI. Outsourcing und neue Technologien als Herausforderung für den Datenschutz Kapitel 1. Outsourcing Kapitel 2. Auftragsdatenverarbeitung Kapitel 3. Customer Relationship Management und Datenschutz Kapitel 4. Nachweispflicht für die Datenherkunft Kapitel 5. Cloud Computing Kapitel 6. Cyberwar und Datenschutz Kapitel 7. Smart Metering und E-Mobility Teil VII. Datenschutz in Telemediendiensten, Telekommunikation, Internet und anderen Kommunikationsformen Kapitel 1. Datenschutz im Internet Kapitel 2. Web 2.0, Mobile Apps und die datenschutzrechtlichen Anforderungen Kapitel 3. Social Communities und deren datenschutzrechtliche Auswirkungen auf die Unternehmenspraxis Kapitel 4. Datenschutz in der Telekommunikation Kapitel 5. Pflichten zur Herausgabe von und zur Auskunftserteilung über Daten Teil VIII. E-Commerce Kapitel 1. Kundendatenschutz Kapitel 2. Bonitätsbewertung Kapitel 3. Opt-in/Opt-out Kapitel 4. Datenweitergabe an Handelspartner und Offenlegungspflichten; Shophosting Kapitel 5. Online-Zahlungsverkehr Teil IX. Datenschutz im Gesundheitssektor Kapitel 1. Umgang mit Patientendaten Kapitel 2. Elektronische Patientenakte Kapitel 3. Telemonitoring Teil X. Information als Wirtschaftsgut Kapitel 1. Adresshandel Kapitel 2. RFID, Smartcards und Cookies Kapitel 3. Werbung im Internet Kapitel 4. Bewertungsportale Kapitel 5. Datenschutzkonformer Einsatz von Suchmaschinen und ihrer Zusatzdienste im Unternehmen

10 Inhaltsübersicht IX Teil XI. Datensicherheit Kapitel 1. Technische und organisatorische Maßnahmen Kapitel 2. Schutz von Betriebs- und Geschäftsgeheimnissen Teil XII. Konfliktmanagement im Datenschutz Kapitel 1. Strategie und Taktik im Umgang mit Datenschutzverletzungen Kapitel 2. E-Discovery Kapitel 3. Haftungsrisiken und deren Versicherung. 956 Teil XIII. Straftaten und Ordnungswidrigkeiten Sachverzeichnis

11 X Inhaltsübersicht

12 XI Revision Vorwort... V Bearbeiterverzeichnis... XLV Abkürzungsverzeichnis... XLIX Teil I. Allgemeine datenschutzrechtliche Grundlagen und Strukturen Kapitel 1. Entwicklung des Datenschutzes in der Informationsgesellschaft A. Entwicklung des Datenschutzes... 4 I. BDSG... 4 II. Weitere Kodifikationen und europäische Regelungen Kompetenz Errungenschaften... 9 III. Recht auf informationelle Selbstbestimmung... 9 B. Zum Stand des Datenschutzrechts I. Allgemeines II. BDSG Anwendung Adressat Begriffe, Definitionen Verbotsprinzip Aufgabe und Zweck des BDSG C. Modernisierungsbedarf I. Modernisierungsbedarf aufgrund der Rechtsprechung Innerer Bereich der Zurückgezogenheit Zweckbindung Recht auf informationelle Selbstbestimmung 16 II. Modernisierungsbedarf aufgrund der sonstigen Entwicklung Ansätze, Materialien EU: Digitale Agenda USA-Impulse Europarat III. Unvollständiger Ansatz zum Beschäftigtendatenschutz (2009) IV. Entwurf der Datenschutz-Grundverordnung vom Grundbausteine Neue Instrumente Nicht eingelöste Vorgaben vom Kritik... 27

13 XII V. Einzelne Aspekte der Defizite geltenden Rechts Intransparenz Technisch veraltet Keine Berücksichtigung der Rechtsprechung(sentwicklung) Zahnloses Gesetz, schwache Sanktion BDSG keine Marktverhaltensregelung? Nebeneinander der diversen Rechtsinstitute.. 30 D. Grundrecht auf Netzzugang E. Informationsethik und Datenschutz Kapitel 2. Datenschutz im öffentlichen und nicht-öffentlichen Bereich A. Datenschutzrechtlicher Regelungszweck und Normadressaten I. Verfassungsrechtliches Differenzierungsgebot Grundrechtliche Konkordanz Normadressaten II. Sachzusammenhang und Regelungskompetenz Sachzusammenhang Regelungskompetenz 42 B. Öffentliche und nicht-öffentliche Stellen als Normadressaten I. Begriff der öffentlichen und nicht-öffentlichen Stelle Abgrenzungsfragen Öffentliche Unternehmen Religionsgemeinschaften Nicht-öffentliche Stellen II. Auswirkungen auf die datenschutzrechtliche Regelungssystematik C. Subsidiaritätsprinzip im Datenschutz I. BDSG als Auffangregelung II. Bereichsspezifische Vorschriften Öffentlicher Bereich Nicht-öffentlicher Bereich Kapitel 3. Die Europäische Dimension des Datenschutzes A. Europarechtlicher Rahmen 51 I. Motivation II. Gegenwärtiger Rechtszustand Richtlinien Sonstiges Sekundärrecht Primärrecht Weitere Normen und Softlaw III. Sekundärrechtlich determinierte europäische datenschutzrechtliche Grundsätze Anwendbarkeit nur bei Personenbezug und nur bei natürlichen Personen... 57

14 XIII 2. Verarbeitung nach Treu und Glauben (Art. 6 Abs. 1a DSRL) Zweckbindungsgrundsatz (Art. 6 Abs. 1a und 1b DSRL) Richtigkeit (Art. 6 Abs. 1d DSRL) Datenvermeidung und Datensparsamkeit (Art. 6 Abs. 1c und 1e DSRL) Unterscheidung sensible/nicht sensible Daten (Art. 7 und 8 DSRL) Verbot mit Erlaubnisvorbehalt Betroffenenrechte Unabhängige Vorabkontrolle IV. Aktuelle Entwicklungen de lege ferenda Datenschutzgrundverordnung (DS-GVO) Richtlinie B. Judikatur I. Lindqvist (C-101/01) II. Österreichischer Rundfunk (C-465/00, C-138/01, C-139/01) III. Vorratsdatenspeicherung (C-201/06) IV. Markkinapörssi (C-73/07) V. Datenschutzbeauftragter I (C-518/07) VI. Rijkeboer (C-553/07) VII. Datenschutzbeauftragter II (C-614/10) VIII. Bavarian Lager (C-28/08 P) IX. Agrarbeihilfen (C-92/09, 93/09) X. ASNEF (C-468/10, C-469/10) XI. Promusicae (C-275/06).. 64 XII. Scarlet (C-70/10) XIII. Vorratsdatenspeicherung (C-293/12, C-594/12, C-46/13) C. Internationale Vorgaben D. Internationaler Datentransfer I. De lege lata Datenverarbeitung durch eine inländische verantwortliche Stelle Datenverarbeitung durch eine ausländische Stelle mit Sitz im EU-Ausland Datenverarbeitung durch eine ausländische Stelle mit Sitz in einem Drittstaat Übermittlung in einen Drittstaat II. De lege ferenda Kapitel 4. Internationaler Datenschutz A. Einführung B. Nordamerika I. USA... 71

15 XIV II. Einige Konsequenzen III. Kanada C. Asien I. Indien II. Volksrepublik China/Hongkong III. Japan D. Südamerika E. Australien/Neuseeland Kapitel 5. Der internationale Anwendungsbereich des BDSG A. Einführung I. Die kollisionsrechtliche Regelung des BDSG II. Die Vorgaben der Datenschutzrichtlinie III. Die Reform des europäischen Datenschutzrechts 84 IV. Anknüpfungsmerkmale und Kollisionsnorm des BDSG B. Unternehmen mit Sitz im EWR I. Sitz der verantwortlichen Stelle Verantwortliche Stelle Die Bestimmung des Sitzes der verantwortlichen Stelle Die Maßgeblichkeit des Rechts am Sitz der verantwortlichen Stelle II. Die Maßgeblichkeit der Niederlassung Die Bedeutung der Belegenheit der Niederlassung Begriff und Belegenheit der Niederlassung Einzelfälle Niederlassung und Websites Niederlassungsbegriff und Cloud Computing Datenverarbeitung durch Niederlassungen in Drittstaaten C. Unternehmen mit Sitz außerhalb des EWR I. Ort der Datenverarbeitung und anwendbares Datenschutzrecht II. Belegenheit von Niederlassungen oder Rechnern im Inland III. Datenverarbeitung über Websites IV. Fremdgesteuerte Datenverarbeitung auf dem Rechner des Internetnutzers V. Erhebung von Daten im Inland bei grenzüberschreitender Kommunikation VI. Nichtanwendung des BDSG auf Datentransit D. Überblick: Anwendbarkeit des BDSG in Fallgruppen I. Sitz des Unternehmens in Deutschland II. Sitz des Unternehmens in einem anderen EWR-Staat III. Sitz des Unternehmens in einem Drittstaat

16 XV Teil II. Datenschutzorganisation Kapitel 1. Betrieblicher Datenschutzbeauftragter A. Bestellung des betrieblichen Datenschutzbeauftragten I. Bestellungspflicht Allgemeines Voraussetzungen II. Ordnungsgemäße Bestellung durch Bestellungsurkunde Schriftlicher Vertrag Zeitpunkt der Bestellung Inhaltliche Gestaltung Bestellung eines externen Datenschutzbeauftragten Bestellung zum Konzerndatenschutzbeauftragten Befristung der Bestellung Mitbestimmung des Betriebsrats III. Abberufung eines Datenschutzbeauftragten Wichtiger Grund für die Abberufung Arbeitsrechtliche Anforderungen an die Abberufung Sonderfall: Fusionen und Übernahmen (M&A) Abberufung eines externen Datenschutzbeauftragten Abberufung auf Verlangen der Aufsichtsbehörde IV. Sanktionen B. Anforderungen an den betrieblichen Datenschutzbeauftragten I. Erforderliche Fachkunde Allgemeines Juristische Kenntnisse IT-Kenntnisse Sonstige Fähigkeiten 120 II. Erforderliche Zuverlässigkeit Allgemeines Subjektive Kriterien Objektive Kriterien/Interessenkollisionen C. Die rechtliche Stellung des Datenschutzbeauftragten im Unternehmen I. Weisungsfreiheit II. Anbindung an die Unternehmensleitung III. Benachteiligungsverbot IV. Unterstützungspflicht V. Besonderer Kündigungsschutz D. Aufgaben und Pflichten des betrieblichen Datenschutzbeauftragten I. Hinwirken II. Unterstützung durch die Aufsichtsbehörde III. Einzelne Aufgaben IV. Verschwiegenheitspflicht 128 E. Haftung des betrieblichen Datenschutzbeauftragten

17 XVI Kapitel 2. Datenschutzmanagement und Datenschutzprozesse A. Datenschutzmanagement und Datenschutzprozesse B. Auswahl des Datenschutzbeauftragen: intern oder extern? C. Datenschutzaudit und Bewertung des Datenschutzrisikos I. Erfassung aller datenschutzrelevanten Prozesse II. Rechtliche Bewertung und Risikoanalyse D. Verfahrensverzeichnisse I. Öffentliches Verfahrensverzeichnis II. Interne Verfahrensübersichten E. Implementierung von Datenschutzprozessen I. Prozess: Einbindung des Datenschutzbeauftragten bei neuen Verfahren II. Prozess: Datenschutzrechtliche Prüfung III. Prozess: Schulungen und Verpflichtung auf das Datengeheimnis IV. Weitere Prozesse Kapitel 3. Selbstkontrolle und Datenschutzaufsicht A. Allgemeines, Aufgaben B. Verhältnis der beiden Einrichtungen zueinander I. Unterstützung des Beauftragten II. Befugnis der Aufsichtsbehörde zu Anordnungen. 145 III. Abberufung IV. Betretungsrechte C. Weitere Formen der Selbstkontrolle und der Fremdkontrolle I. Audit II. DS-GVO D. Grundsätze, Instrumente E. Der Betriebsrat als datenschutzrechtliche Kontrollinstanz Kapitel 4. Datenschutz und Zertifizierung A. Einführung B. Selbstregulierung C. Datenschutzaudit im BDSG D. Besonderheiten bei Cloud Computing E. Verhaltensregeln, Branchenregeln F. Safe Harbor eine Art Test

18 XVII G. Pläne/Entwürfe I. DS-GVO (E) II. Datenschutzstiftung Teil III. Archivierung und Entsorgung Kapitel 1. Datenschutzkonzepte A. Speicherpraxis zwischen Aufbewahrungs- und Löschpflicht I. Fortschreitende Digitalisierung, billiger Speicherplatz und Auslagerung als Herausforderungen an die betriebliche Gedächtnisorganisation II. Begriffe: Aufbewahrung, Archivierung, Speicherung, Ablage, Löschung, Vernichtung, Entsorgung III. Schwierigkeiten der Phasenabgrenzung IV. Praxis der Datenschutzbehörden B. Archivierung I. Bedeutung: Revisions- und IT-Sicherheit, IT-Compliance, E-Discovery, Beweisqualität von s II. Rechtsgrundlagen Datenschutzrechtliche Speicherbefugnis ( 28, 29, 9, 31 BDSG) Handels- und steuerrechtliche Anforderungen, GoB, GoBS, GdPDU Papierloses Büro, ersetzendes Scannen Betriebliche Mitbestimmung C. Entsorgung I. Bedeutung II. Gesetzliche Anforderungen an Löschung und Entsorgung von personenbezogenen Daten Begriff des Löschens Differenzierung nach Art des Datenträgers Datenschutzrechtlicher Löschanspruch Kapitel 2. Technische und organisatorische Maßnahmen A. Archivierung I. Zentrale/dezentrale Archivierung II. Langzeitarchivierung Archivierung von Arbeitsprozessdaten Archivierung digitaler Signaturen III. Dokumentenmanagementsysteme IV. Externe Archivierung B. Entsorgung I. Technische Löschverfahren Löschen durch Überschreiben

19 XVIII 2. Magnetische Durchflutung und thermische Zerstörung Mechanische Zerstörung Unterstützung durch neue DIN II. Datenschutzgerechte Entsorgungskonzepte III. Entsorgung durch Dienstleister Kapitel 3. Archivierung und Protokollierung als Problem des betrieblichen Datenschutzes A. Konflikt zwischen IT-Sicherheit/Revisionssicherheit und Datenschutz I. Erlaubte Privatnutzung II. Rückgabe von Firmengeräten/Ausscheidensregelung B. Urheberrechtliche Zulässigkeit der Archivierung C. Umgang mit Datenbeständen, insbesondere mit Altbeständen I. Cloud-Storage und Dokumentenmanagementsysteme in der Cloud II. Big Data Teil IV. Datenschutz und Personal: Arbeitnehmer-/Beschäftigtendatenschutz Kapitel 1. Beschäftigtendatenschutz A. Einleitung B. Kodifikation des Beschäftigtendatenschutzes C. Datenschutzbezogene Betriebsvereinbarungen I. Datenschutzbezogene Betriebsvereinbarungen de lege lata II. Datenschutzbezogene Betriebsvereinbarungen de lege ferenda III. Kritik D. Fragerecht des Arbeitgebers I. Fragerecht des Arbeitgebers de lege lata Arbeitsrecht Datenschutzrecht II. Fragerecht des Arbeitgebers de lege ferenda Namen und Kontaktdaten Fachliche und persönliche Qualifikation Politische Meinungen und Gewerkschaftszugehörigkeit Geschlecht, insbesondere Schwangerschaft Gesundheit, Vermögensverhältnisse und Vorstrafen bzw. laufende Ermittlungsverfahren Schwerbehinderten- und Gleichstellungseigenschaft III. Kritik E. Datenabgleich zu Compliance-Zwecken I. Datenabgleich de lege lata

20 XIX 1. Präventive Kontrollen; Verhinderung statt Aufdeckung Aufdeckung von Ordnungswidrigkeiten und Vertragsverletzungen II. Datenabgleich de lege ferenda III. Kritik F. Videoüberwachung am Arbeitsplatz I. Videoüberwachung de lege lata Videoüberwachung von Arbeitsplätzen in öffentlich zugänglichen Bereichen Videoüberwachung von Arbeitsplätzen in öffentlich nicht zugänglichen Betriebsbereichen II. Videoüberwachung de lege ferenda III. Kritik Kapitel 2. Bring Your Own Device und Datenschutz A. Einleitung B. BYOD und die rechtlichen Implikationen I. Erscheinungsformen des BYOD Nutzung privater IT zu dienstlichen Zwecken Unechtes BYOD II. BYOD im rechtlichen Kontext Gewerbliche Schutzrechte Arbeitsrecht Handels- und steuerrechtliche Dokumentations- und Aufbewahrungspflichten Datenschutz III. BYOD und Datenschutz Anwendbarkeit datenschutzrechtlicher Vorschriften Kontrollrechte und -pflichten Einführung des BYOD im Unternehmen Skandalisierungspflicht C. Zusammenfassung Kapitel 3. Datenschutz und Mitbestimmung A. Einleitung B. Datenschutz und Mitbestimmung I. Der Schutz des allgemeinen Persönlichkeitsrechts als mitbestimmungsrechtliche Aufgabe Datenschutzrechtliche Anknüpfungspunkte Mitbestimmungsrechtliche Tatbestände II. 87 Abs. 1 Nr. 6 BetrVG als tatbestandliche Grundlage für die mitbestimmungsrechtliche Verankerung des Datenschutzes III. Datenschutz innerhalb der Arbeitnehmervertretung

21 XX IV. Verhältnis des Arbeitnehmerdatenschutzes nach dem BetrVG zum BDSG Anwendbarkeit des BDSG Subsidiaritätsgrundsatz Möglichkeit der Verschlechterung V. Betrieblicher Datenschutzbeauftragter und das Verhältnis zur Mitbestimmung VI. Typische Regelungsmaterien für datenschutzrechtliche Betriebsvereinbarungen Kapitel 4. Sozialdatenschutz A. Bedeutung des Sozialdatenschutzes für Arbeitnehmer B. Das System des Sozialdatenschutzes I. Rechtsgrundlagen II. Sozialgeheimnis III. Begriff der Sozialdaten Allgemeines In 35 SGB I genannte Stellen Zweckbindung Betriebs- und Geschäftsgeheimnisse Anonymisierte und pseudonymisierte Daten Gutachten als Sozialdaten IV. Verlängerter Sozialdatenschutz V. Technische Vorkehrungen C. Erheben von Daten I. Begriff des Erhebens II. Erhebung auf Grundlage einer Einwilligung III. Erforderlichkeit der Erhebung Allgemeines Erhebung auf Vorrat Die Erhebung spezifischer Daten Unzulässige Erhebungsmethoden D. Auswirkungen auf Mitwirkungspflichten E. Die Nutzung und Verarbeitung von Daten I. Speichern, Verändern, Nutzen von Daten II. Übermitteln von Daten Abgrenzung Übermittlung/Nutzung Voraussetzungen einer Übermittlungsbefugnis Verhältnismäßigkeit der Übermittlung Aktenübersendung an Sozialgerichte Übermittlungsbefugnis durch Einwilligung? Übermittlung ohne Einwilligung oder normative Befugnis Verantwortung für die Übermittlung Übermittlungen ohne Ersuchen

22 XXI F. Erhebung, Verarbeitung und Nutzung von Sozialdaten im Auftrag G. Der Anspruch auf Berichtigung, Löschung und Sperrung gemäß 84 SGB X H. Auskunftsanspruch I. Der Datenschutzbeauftragte J. Sanktionsnormen K. Schadensersatz I. Allgemeines II. Haftung nach 82 Satz 1 SGB X III. Haftung nach 82 Satz 2 SGB X L. Datenschutz im sozialgerichtlichen Verfahren I. Geltung des Datenschutzes auch im Gerichtsverfahren II. Die in Betracht kommenden Datenschutznormen III. Datenschutz innerhalb desselben Gerichts IV. Übermittlung von Daten außerhalb des Sozialgerichtsprozesses V. Konsequenzen von Verstößen gegen das Recht auf informationelle Selbstbestimmung Kapitel 5. Compliance und Datenschutz A. Einführung B. Der Begriff Compliance I. Verwendung in Normen 313 II. Definition Compliance und Abgrenzung zu Governance C. Compliance und Datenschutz I. Rechtsgrundlagen II. Verantwortlichkeit Meldung Verfahrensverzeichnis Vorabkontrolle Betrieblicher Datenschutzbeauftragter Auftragsdatenverarbeitung D. Datenschutz bei Governance E. Folgen fehlender Beachtung datenschutzrechtlicher Regelungen Teil V. Datenschutz in Betrieb, Unternehmen und Konzern Kapitel 1. Konzerndatenschutz A. Einleitung B. Grundlagen des Konzerndatenschutzes

23 XXII I. Fehlendes Konzernprivileg II. Datenübermittlungsverbot mit Erlaubnisvorbehalt C. Datenschutzkonforme Ausgestaltung von Datenweitergaben im Konzern I. Auftragsdatenverarbeitung II. Datenübermittlungen im Rahmen von Funktionsübertragungen Übermittlung von Beschäftigtendaten im konzerndimensionalen Arbeitsverhältnis Übermittlung von Beschäftigtendaten im Rahmen von Funktionsübertragungen Übermittlung besonderer Arten personenbezogener Daten III. Datenübermittlungen auf Basis von Betriebsvereinbarungen IV. Datenübermittlungen auf Basis von Einwilligungen D. Datenweitergaben bei Umstrukturierungen und Umwandlungen I. Betriebsübergang II. Due Diligence-Prüfungen III. Umwandlungen (Verschmelzung, Abspaltung etc.) E. Fallgruppen praxisrelevanter Datenübermittlungen und -verarbeitungen im Konzern I. Organisationsbezogene Datenübermittlungen Konzernweites Kommunikationsverzeichnis Matrix-Strukturen Aufteilung von Produktions- und Arbeitsprozessen Zentralisierung von Compliance-Funktionen 340 II. Zentralisierung von Human Resources-Aufgaben Lohn- und Gehaltsabrechnung Zentrale Personalverwaltung Konzernübergreifende Skill-Datenbanken III. Sonstige Shared Services IT-Leistungen Werbe- und Marketingleistungen Übermittlung von Kundendaten F. Internationale Datentransfers Kapitel 2. Internationaler Datenverkehr A. EU-Datenschutz für den Datentransfer ins Ausland 347 B. Datenschutz im Geschäftsverkehr mit den Vereinigten Staaten/außerhalb der EU Safe Harbor Framework Standardvertragsklauseln Binding Corporate Rules (BCR)

24 XXIII C. Outsourcing D. Vertragsgestaltung im internationalen Datenverkehr Kapitel 3. Compliance-Organisation und Whistleblowing im Konzern A. Einleitung B. Allgemeine Vorgaben für eine Compliance-Organisation C. Elektronische Systeme zur präventiven Compliance 365 I. Verpflichtung zur Vorhaltung von Systemen und Daten? Allgemeine Compliance-Vorgaben Vorgaben für Banken, Versicherungen und Wertpapierdienstleistungsunternehmen II. Allgemeine Vorgaben zum Zugriff auf Daten bei Datenabgleichen Vorgaben des BDSG zur präventiven Compliance Datenabgleiche beschränkende Sondernormen Mitbestimmungsrecht des Betriebsrats Pflicht zur Information des betrieblichen Datenschutzbeauftragten Pflicht zur Information des/der betroffenen Arbeitnehmer(s) Sanktionen bei Verletzung des Datenschutzrechts III. Empfehlungen für die Praxis Begrenzungen des automatisierten Datenabgleichs Trennung von dienstlichen und privaten s Abschluss von Betriebsvereinbarungen D. Whistleblowing-Systeme I. Einleitung II. Aufbau eines Whistleblowing-Systems III. Inhaltlicher Anwendungsbereich IV. Datenschutzrechtliche Vorgaben Einwilligung Grundsätzliche Anforderungen an Aufnahme und Verarbeitung von Hinweisen Anonymität des Hinweisgebers Einbindung eines externen Ombudsmanns Übermittlung an andere Konzerngesellschaften Sonstige datenschutzrechtliche Anforderungen Einbindung des Datenschutzbeauftragten Einbindung des Betriebsrats und Betriebsvereinbarung V. Empfehlungen für die Praxis E. System zur Security Breach Notification nach 42a BDSG F. Stellung des Datenschutzbeauftragten im Verhältnis zum Compliance- Beauftragten I. Einleitung