Teil 1: Grundzüge des BDSG

Transkript

1 Vorwort zur zweiten Auflage.... Vorwort zur ersten Auflage... V VI Teil 1: Grundzüge des BDSG Kapitel 1: Einführung I. Einleitung II. Was sollte man zur Entwicklung des BDSG von wissen? Verkündung Volkszählungsurteil von Erste Neufassung BDSG-Reform von BDSG-Novelle von Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes... 5 III. Welche europäischen Entwicklungen haben Auswirkungen auf die Anwendung des BDSG? Relevante EuGH-Rechtsprechung zum BDSG... 6 a) Entscheidung vom (Rs. C-101 / 01)... 6 b) Urteil vom (Rs. T-179 / 02) c) Urteil vom (Rs. T-194 / 04) d) Urteil vom (C-524/ 06)... 7 e) Entscheidung vom (Rs. C-518 / 07)... 8 f) Entscheidung vom (verb. Rs. C-468 / 10, C-469 / 10) 8 2. Die EU-Datenschutz-Grundverordnung... 9 IV. Mit welchen Problemen muss man beim Umgang mit dem BDSG in der Praxis rechnen? Sprachliche Schwächen des BDSG Verwendung unbestimmter Rechtsbegriffe Fehlende Vorgaben von Gerichten und Aufsichtsbehörden Verschachtelter Aufbau des BDSG V. Warum sollten Unternehmen das BDSG beachten? Kapitel 2: Welche Grundprinzipien des BDSG sollte man kennen? IX

2 I. Was bedeuten Begriffe wie Verhältnismäßigkeits grundsatz, Datenvermeidung oder Datensparsamkeit? Recht auf informationelle Selbstbestimmung Interessenabwägung Datenvermeidung und Datensparsamkeit, 3a BDSG Prüfung der Verhältnismäßigkeit einer konkreten Maßnahme.. 20 a) Geeignetheit b) Erforderlichkeit c) Angemessenheit II. Was hat es mit dem Verbot mit Erlaubnisvorbehalt auf sich? III. Was besagt der Grundsatz der Zweckbindung bei der Verarbeitung personenbezogener Daten? IV. Was bedeutet Transparenz gegenüber dem Betroffenen im deutschen Datenschutzrecht? Kapitel 3: Was gehört zum Basiswissen bei der praktischen Anwendung des BDSG? I. Wer ist für die Einhaltung der Regeln des BDSG verantwortlich? II. Für welche Formen der Datenverarbeitung gilt das BDSG? Einsatz von Datenverarbeitungsanlagen oder dateimäßige Verarbeitung Keine Anwendung des BDSG für ausschließlich persönliche oder familiäre Tätigkeiten Keine Anwendung des BDSG, wenn es durch Spezialgesetze verdrängt wird III. Was sind personenbezogene Daten? Einzelangaben Persönliche oder sachliche Angaben Bestimmbarkeit einer natürlichen Person durch die fraglichen Daten IV. Was sind besondere Arten personenbezogener Daten? V. Was bedeutet das Erheben personenbezogener Daten? Bedeutung des Begriffs Erheben Grundsatz der Direkterhebung Ausnahmen vom Grundsatz der Direkterhebung Information des Betroffenen bei der Direkterhebung X

3 VI. Was ist das Verarbeiten personenbezogener Daten? Bedeutung des Begriffs Speichern Bedeutung des Begriffs Verändern a) Anonymisieren von Daten b) Pseudonymisieren von Daten Bedeutung des Begriffs Übermitteln Bedeutung des Begriffs Löschen Bedeutung des Begriffs Sperren VII. Was versteht man unter dem Nutzen von personenbezogenen Daten? VIII. Was ist eine Auftragsdatenverarbeitung? Anwendungsbereich von 11 BDSG Wesentliche Voraussetzung einer Auftragsdatenverarbeitung: Weisungsgebundenheit des Auftragnehmers Auftragsdatenverarbeitung nur innerhalb der EU oder EWR Auswahl und Überwachung des Auftragnehmers Sonderfall: Cloud Computing Kapitel 4: Was muss man zur Verwendung von Einwilligungen wissen? I. Kann man Einwilligungen der Betroffenen auch neben gesetzlichen Erlaubnistatbeständen einsetzen? II. Welche praktischen Probleme müssen bei der Verwendung von Einwilligungen berücksichtigt werden? Zeitpunkt Widerrufbarkeit Inhaltliche und formelle Anforderungen an eine Einwilligung des Betroffenen a) Transparenz der Einwilligung b) Freiwilligkeit der Einwilligung c) Informierte Einwilligung d) Formelle Anforderungen an Einwilligungserklärungen Kapitel 5: Gesetzliche Erlaubnisnormen des BDSG I. Datenverarbeitung aufgrund gesetzlicher Anordnung Beispiele für anordnende Gesetzesnormen Inhaltliche Anforderungen an derartige Spezialnormen Reichweite derartiger Spezialvorschriften XI

4 II. Datenverarbeitung aufgrund gesetzlicher Erlaubnis ( 28 BDSG) Datenverarbeitung zur Begründung, Durchführung oder Beendigung von Schuldverhältnissen, 28 Abs. 1 Satz 1 Nr. 1 BDSG a) Das Schuldverhältnis im Sinne von 28 Abs. 1 Satz 1 Nr. 1 BDSG b) Erforderlichkeit im Sinne von 28 Abs. 1 Satz 1 Nr. 1 BDSG 78 c) Angemessene Berücksichtigung der schutzwürdigen Interessen des Betroffenen Datenverarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Stelle, 28 Abs. 1 Satz 1 Nr. 2 BDSG a) Erfüllung eigener Geschäftszwecke b) Wahrung berechtigter Interessen c) Überwiegende schutzwürdige Interessen des Betroffenen Datenverarbeiten für Zwecke des Adresshandels oder der Werbung, 28 Abs. 3 BDSG Verarbeitung sensibler Daten, 28 Abs. 6 9 BDSG III. Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses ( 32 BDSG) Umgang mit Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, 32 Abs. 1 Satz 1 BDSG a) Geeignet für Zwecke des Beschäftigungsverhältnisses b) Erforderlich für Zwecke des Beschäftigungsverhältnisses.. 99 c) Berücksichtigung schutzwürdiger Interessen des Betroffenen (Angemessenheit) d) Sonderfall: Whistleblowing (Hinweisgebersysteme) und 32 Abs. 1 Satz 1 BDSG e) Sonderfall: Kontrolle der s von Beschäftigten aa) Bei verbotener Privatnutzung der -Systeme bb) Bei erlaubter Privatnutzung der -Systeme cc) Regelungen zur Nutzung betrieblicher IT-Systeme dd) Durchführung von -Kontrollen Aufdeckung von Straftaten im Beschäftigungsverhältnis, 32 Abs. 1 Satz 2 BDSG a) Anwendungsbereich von 32 Abs. 1 Satz 2 BDSG b) Anforderungen an den Umgang mit Beschäftigtendaten zur Aufdeckung von Straftaten aa) Geeignet für Zwecke der Aufdeckung von Straftaten bb) Erforderlich zum Zweck der Aufdeckung von Straftaten 119 cc) Angemessene Berücksichtigung schutzwürdiger Interessen des Betroffenen XII

5 c) Vorgaben der Rechtsprechung d) Allgemeine Empfehlungen zum Umgang mit Beschäftigtendaten e) Mitbestimmungsrechte des Betriebsrats aa) Gesetzliche Aufgaben des Betriebsrats bb) Information des Betriebsrats cc) Mitbestimmungsrechte des Betriebsrats f) Betriebsvereinbarungen als Rechtsgrundlage für Datenumgang aa) Regelungsrahmen von Betriebsvereinbarungen bb) Beispielsfall: Betriebsvereinbarung zur Videoüberwachung Kapitel 6: Der Datenschutzbeauftragte im Unternehmen I. Wann müssen Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen? Unternehmen, die 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen Unternehmen, die 20 oder mehr Personen mit der nicht-automatisierten Verarbeitung personenbezogener Daten beschäftigen Unternehmen, die besondere Voraussetzungen erfüllen a) Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung oder der Markt- oder Meinungsforschung b) Verarbeitungen, die einer Vorabkontrolle unterliegen II. Welche Stellung und Rechte muss der Datenschutzbeauftragte im Unternehmen haben? Erforderliche Fachkunde Erforderliche Zuverlässigkeit III. Welche Aufgaben hat der Datenschutzbeauftragte? Hinwirken auf die Befolgung der Vorschriften über den Datenschutz Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen Bekanntmachung des Verfahrensverzeichnisses Durchführung einer Vorabkontrolle a) Besonders riskante automatisierte Verfahren XIII

6 b) Durchführung der Vorabkontrolle durch den Datenschutzbeauftragten c) Umfang der Vorabkontrolle IV. Welche Stellung und Befugnisse hat der betriebliche Datenschutzbeauftragte? Direkte Berichtslinie zur Unternehmensleitung Kündigungsschutz, Widerruf der Bestellung und Benachteiligungsverbot Unterstützung, Kontrollbefugnisse und Fortbildung a) Unterstützung bei Kontrollaufgaben des Datenschutzbeauftragten b) Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten c) Fort- und Weiterbildung des Datenschutzbeauftragten Verschwiegenheitspflichten des betrieblichen Datenschutzbeauftragten Kapitel 7: Anforderungen an den grenzüberschreitenden Datenverkehr I. Wie prüft man in der ersten Stufe die Zulässigkeit der Übermittlung an sich? II. Wie wird in der zweiten Stufe die Zulässigkeit der grenzüberschreitenden Datenübermittlung geprüft? Der Sitz des Datenempfängers als Ausgangspunkt Entgegenstehende schutzwürdige Interessen a) Drittstaaten mit anerkanntem angemessenen Schutzniveau. 166 b) Sonderregelung für Datenempfänger in den USA: Safe Harbor Abkommen c) Ausnahmen vom Verbot der Übermittlung an Stellen ohne angemessenes Schutzniveau aa) Einwilligungen bb) Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen d) Sonderfälle: Standardvertragsklauseln oder verbindliche Unternehmensregelungen ( Binding Corporate Rules ) aa) Verwendung der EU-Standard-Vertragsklauseln bb) Verbindliche Unternehmensregelungen ( Binding Corporate Rules ) cc) Verbindliche Unternehmensregelungen für Auftragsverarbeiter ( Binding Corporate Rules for Processors ) XIV

7 Kapitel 8: Umgang mit Datenpannen nach 42a BDSG I. Wozu dient 42a BDSG? II. Welche Voraussetzungen hat 42a Satz 1 BDSG? Unrechtmäßige Kenntniserlangung durch Dritte Feststellung der Datenpanne Relevante Datenarten nach 42a Satz 1 Nr. 1 4 BDSG a) Besondere Arten personenbezogener Daten nach 3 Abs. 9 BDSG b) Personenbezogene Daten, die einem Berufsgeheimnis unterliegen c) Personenbezogene Daten, die im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten stehen d) Personenbezogene Daten zu Bank- oder Kreditkartenkonten Drohende schwerwiegende Beeinträchtigungen a) Schwere der drohenden Beeinträchtigungen b) Beurteilungsspielraum des Unternehmens III. Was sind die Rechtsfolgen von 42a Satz 1 BDSG? Information der Aufsichtsbehörde Information der Betroffenen Kapitel 9: Organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten I. Was umfassen Zutritts-, Zugangs- und Zugriffskontrollen? II. Worum geht es bei Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrollen? III. Was verlangt das Trennungsgebot? Kapitel 10: Die Unterrichtung des Betroffenen I. Wann muss man den Betroffenen nach 33 BDSG informieren? Voraussetzungen der Benachrichtigungspflicht Umfang der Benachrichtigungspflicht Ausnahmen von der Benachrichtigungspflicht Folgen einer Nichtbeachtung der Benachrichtigungspflicht II. Wann muss dem Betroffenen Auskunft erteilt werden? Voraussetzungen der Auskunftspflicht nach 34 BDSG Umfang der Auskunftspflicht Ausnahmen von der Auskunftspflicht Folgen bei Nichtbeachtung der Auskunftspflicht XV

8 Kapitel 11: Folgen von Verstößen gegen das BDSG I. Wen trifft die Verantwortung für Datenschutzverstöße im Unternehmen? II. Welche strafrechtlichen Risiken drohen bei Datenschutzverstößen? Anforderungen an eine Strafbarkeit nach 44 BDSG a) Begehung einer vorsätzlichen Ordnungswidrigkeit nach 43 Abs. 2 BDSG b) Handeln gegen Entgelt c) Handeln in (Selbst- oder Fremd-)Bereicherungsabsicht d) Handeln mit Schädigungsabsicht e) Strafantrag nach 44 Abs. 2 BDSG Kritik an dem geltenden 44 BDSG Weitere Strafnormen zur Verletzung des persönlichen Lebensund Geheimbereichs Von Strafbarkeitsrisiken bedrohte Betroffene im Unternehmen. 207 a) Strafbarkeit des Datenschutzbeauftragten b) Strafbarkeit der Unternehmensleitung III. Welche ordnungsrechtlichen Sanktionen drohen bei Datenschutzverstößen? IV. Welche zivilrechtlichen Risiken drohen bei Datenschutzverstößen? Ansprüche nach 7 BDSG a) Vermögensschaden b) Kausalität c) Verschulden Sonstige zivilrechtliche Ansprüche wegen Verstößen gegen das BDSG Kapitel 12: Welche Aufgaben und Rechte haben die Aufsichtsbehörden für den Datenschutz? I. Wie ist die Datenschutzaufsicht in Deutschland organisiert? II. Wie kontrollieren die Aufsichtsbehörden die Einhaltung des Datenschutzes in Unternehmen? Anlässe für die Durchführung von Datenschutz-Kontrollen Ablauf einer Datenschutz-Kontrolle III. Was passiert, wenn die Aufsichtsbehörde anlässlich der Kontrolle tatsächlich Mängel feststellt? XVI

9 1. Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße Untersagung schwerwiegender Verstöße a) Schwerwiegende Verstöße oder Mängel b) Erfolglose Anordnung zur Beseitigung Zuständigkeit für die Ahndung von Ordnungswidrigkeiten IV. Wann kann die Aufsicht den betrieblichen Datenschutzbeauftragten abberufen? V. Welche weiteren Aufgaben haben Aufsichtsbehörden? Veröffentlichen von Tätigkeitsberichten Beratung und Unterstützung der Unternehmen Teil 2: Abdruck und Kurzkommentierung der wichtigsten Vorschriften des BDSG Einleitung Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen 1 Zweck und Anwendungsbereich des Gesetzes Öffentliche und nicht-öffentliche Stellen Weitere Begriffsbestimmungen a Datenvermeidung und Datensparsamkeit Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung a Einwilligung b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen c Ausnahmen d Meldepflicht e Inhalt der Meldepflicht f Beauftragter für den Datenschutz g Aufgaben des Beauftragten für den Datenschutz Datengeheimnis Rechte des Betroffenen a Automatisierte Einzelentscheidung b Beobachtung öffentlich zugänglicher Räume mit optischelektronischen Einrichtungen c Mobile personenbezogene Speicher- und Verarbeitungsmedien Schadensersatz Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen Technische und organisatorische Maßnahmen XVII

10 9a Datenschutzaudit Einrichtung automatisierter Abrufverfahren Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen 12 Anwendungsbereich Datenerhebung Datenspeicherung, -veränderung und -nutzung Datenübermittlung an öffentliche Stellen Datenübermittlung an nicht-öffentliche Stellen (weggefallen) Durchführung des Datenschutzes in der Bundesverwaltung Auskunft an den Betroffenen a Benachrichtigung Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen 27 Anwendungsbereich Datenerhebung und -speicherung für eigene Geschäftszwecke a Datenübermittlung an Auskunfteien b Scoring Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung Besondere Zweckbindung XVIII

11 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses Benachrichtigung des Betroffenen Auskunft an den Betroffenen Berichtigung, Löschung und Sperrung von Daten und 37 (weggefallen) Aufsichtsbehörde a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen Vierter Abschnitt: Sondervorschriften 39 Zweckbindung bei personenbezogenen Daten, die einem Berufsoder besonderen Amtsgeheimnis unterliegen Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien Datenschutzbeauftragter der Deutschen Welle a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Fünfter Abschnitt: Schlussvorschriften 43 Bußgeldvorschriften Strafvorschriften Sechster Abschnitt: Übergangsvorschriften 45 Laufende Verwendungen Weitergeltung von Begriffsbestimmungen Übergangsregelung Bericht der Bundesregierung Anhang 1. German Federal Data Protection Act (BDSG) Praktiker-Glossar Ausgewählte Beschlüsse des Düsseldorfer Kreises von 2006 bis Ausgewählte Stellungnahmen und Entscheidungen der Artikel 29 Datenschutzgruppe von Sachregister XIX