Datenschutz im Unternehmen

Transkript

1 Aktuelles Recht für die Praxis Datenschutz im Unternehmen von Michael Wächter 3., neu bearbeitete Auflage Datenschutz im Unternehmen Wächter schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Datenschutz- und Melderecht Verlag C.H. Beck München 2003 Verlag C.H. Beck im Internet: ISBN

2 Abkürzungsverzeichnis... Literaturhinweise für den Einstieg... Literaturverzeichnis... XV XIX XXI A. Datenschutz im Unternehmen I. Datenschutz als Unternehmensaufgabe 1. Querschnittsmaterie Datenschutzrecht Datenschutzbeauftragte als Kontrollinstanz Aufgabenstellung des Datenschutzbeauftragten Zielsetzungen des Datenschutzrechts Neue Aufgabenstellungen des Datenschutzes Neue Schutzbedürftigkeit der Betroffenen Neue Wirtschaftsmechanismen II. BDSG als Regelungsvorgabe im Datenschutz 1. Entwicklungslinien des BDSG seit Künftige Entwicklungslinien des BDSG III. Datenschutz im Arbeitsverhältnis 1. Arbeitsrecht und Schutz der Privatheit Arbeitsrecht und Nutzung des Internets Arbeitsrecht und Schutz der Arbeitsergebnisse Arbeitnehmerdatenschutz im Konzern Arbeitsrecht und Sozialdatenschutz IV. Datenschutz in der Telekommunikation 1. Telekommunikationsdatenschutz als bereichsspezifisches Datenschutzrecht Datenschutz bei Telekommunikationsdiensten Datenschutzvorschriften im Telekommunikationsgesetz Gestaltung des Vertragsverhältnisses Verarbeitung von Verbindungs- und Abrechnungsdaten Staatsaufsicht in der Telekommunikation Datenschutz bei Tele- und Mediendiensten Dienste der Informationsvermittlung Informationsangebote als Teledienste oder Mediendienste... 60

3 VIII Informationsangebote als Teledienst Informationsangebote als Mediendienst Inhaltsverantwortung im Teledienstegesetz Teledienstedatenschutzgesetz Datenschutzgrundsätze im Teledienstegesetz Zulässigkeitsregelungen im Teledienstedatenschutzgesetz Spezialproblem Datenschutz-Aufsicht V. Datenschutz im E-Commerce 1. E-Commerce als datenschutzrechtliche Herausforderung Zu behandelnde Sachverhalte im E-Commerce Datenschutzrechtliche Lösungsansätze für E-Commerce Datenschutzrechtliche Zulässigkeiten im E-Commerce Datenverarbeitung zu Vertragszwecken Datenverarbeitung auf Grund einer Einwilligung Spezialthema Datenschutzaufsicht B. Datenschutzkontrolle I. Selbst-, Eigen-, Fremdkontrolle 1. Anwendung des Datenschutzrechts Das nach BDSG zu schützende Rechtsgut BDSG und Unternehmensdatenschutz nach Verfassungsrecht Qualitätsmanagement und Datenschutzaudit Kybernetisches Modell der Rechtsfindung Zulässigkeit der Datenverarbeitung und Datenverwendung Geltungsumfang und Anwendungsbereich des BDSG Räumlicher Anwendungsbereich des BDSG Sachlicher Anwendungsbereich des BDSG Zulässigkeitsrahmen des BDSG Steuerungsinstrument Datenschutzkontrolle Steuerungsinstrument Einwilligung des Betroffenen Steuerungsinstrument betriebliche Mitbestimmung Selbstkontrolle der Betroffenen Aktive Rolle der Betroffenen Auskunftsrecht und Datenkorrekturrechte Rechte der Arbeitnehmer Rechte der Geschäftspartner Mitwirkung der Betroffenen

4 IX 4. Eigenkontrolle der verantwortlichen Stelle Aufgabenstellung des Datenschutzbeauftragten Richtlinien und Beratung durch den Datenschutzbeauftragten Datenschutzbeauftragter und Realisierung des Datenschutzaudits Fremdkontrolle der Aufsichtsbehörden Öffentliche Kontrollinstanzen im Unternehmensdatenschutz Kontrollrecht und Befugnisse der Aufsichtsbehörden Kontroll- und Zugriffsrechte der Finanzbehörden II. Führung der Übersicht über meldepflichtige Angaben 1. Datenschutzbeauftragter und Meldepflicht Erfassung und Pflege der Übersicht Erfassung der automatisierten Verfahren Beteiligung der Unternehmensfunktionen und Fachabteilungen Besonderheiten bei Personal Computern Elektronische Notizbücher Zusammenfassung zur individuellen Datenverarbeitung Erfassung der Datenübermittlung Richtlinie zur Verfahrens-/Übermittlungs-Erfassung Datenarten- statt Datenelemente-Angaben Erfassungsbogen zu automatisierten Verfahren III. Datengeheimnis und Vertraulichkeit 1. Wahrung des Datengeheimnisses Datengeheimnis und vertraglicher Geheimnisschutz Auf das Datengeheimnis zu verpflichtende Personen Abgrenzung der einzelnen Verpflichtungen Verpflichtung fest angestellter Mitarbeiter Verpflichtung teilzeitbeschäftigter Mitarbeiter Verpflichtung von Fremdpersonal Verpflichtung des Wartungspersonals Austausch vertraulicher Informationen mit Dritten IV. Datenschutz und Betriebsrat 1. Betriebsratsarbeit beim Datenschutz Datenschutzbeauftragter und kollektiver Datenschutz Mitwirkungs- und Mitbestimmungrechte des Betriebsrats Subsidiarität des BDSG im Verhältnis zum BetrVG Arbeitnehmervertretung als Teil der verantwortlichen Stelle

5 X 6. Verpflichtung der Betriebsräte auf das Datengeheimnis Beratung des Betriebsrats durch den Datenschutzbeauftragten Technologieorientierte Betriebsvereinbarungen C. Pflichten der verantwortlichen Stelle I. Zulässigkeit der Speicherung personenbezogener Daten 1. Die Datenspeicherung als datenschutzrechtlicher Grundtatbestand Die Speicherung von Kundendaten der verantwortlichen Stelle Geschäftsanbahnung und Vertrauensverhältnis Durchführung von Vertragsverhältnissen Geschäftsgrundsätze für Kundendaten Nachvertraglicher Zustand Die Speicherung von Lieferantendaten der verantwortlichen Stelle Geschäftsanbahnung und Vertrauensverhältnis Durchführung von Vertragsverhältnissen Geschäftsgrundsätze für Lieferantendaten Nachvertraglicher Zustand Marktanalyse der verantwortlichen Stelle Die Speicherung von Mitarbeiterdaten der verantwortlichen Stelle Erhebung von Bewerber- und Mitarbeiterdaten Erfassung von Mitarbeiterdaten Betriebsärztlicher Dienst und medizinische Daten Betriebliche Telefondatenerfassung und Internetnutzung Löschung und Sperrung von Mitarbeiterdaten Geschäftsgrundsätze zur Speicherung von Mitarbeiterdaten Sonderfälle der Zulässigkeitsbetrachtung Besonderes Berufsgeheimnis Wissenschaftliche Forschung Medien und Werkszeitung Sozialdaten Rahmenrichtlinie zur Zulässigkeitsprüfung Regeln für die Zulässigkeitsprüfung Organisationsvorschlag zur Zulässigkeitsprüfung Dynamik der Phasen der Datenverarbeitung

6 XI II. Zulässigkeit der Übermittlung personenbezogener Daten 1. Die Datenübermittlung als datenschutzrechtlicher Tatbestand Datenübermittlung bei Datenverarbeitung für eigene Zwecke Übermittlung wegen berechtigter Interessen Lieferanten der verantwortlichen Stelle Mitarbeiter der verantwortlichen Stelle Datenübermittlung ins Ausland Rechtliche Grundstrukturen des Datentransfers Datenübermittlung in Drittländer Datenübermittlung bei Datenverarbeitung im Auftrag Rahmenrichtlinie zur Realisierung von Geschäftsgrundsätzen III. Benachrichtigung der Betroffenen 1. Benachrichtigungspflicht der verantwortlichen Stelle Umsetzung der Benachrichtigungspflicht in Unternehmen Muster einer Richtlinie zur Benachrichtigung Benachrichtigung neuer Mitarbeiter D. IT-Sicherheit I. Maßnahmen zur Datensicherheit im Unternehmen 1. Datensicherheit bei personenbezogener Datenverarbeitung Abwicklung des Geschäftsverkehrs und elektronische Signatur Handhabung und Ablage von Geschäftsvorgängen Anforderungen an ein System zur Datensicherheit Integrität des Systems und der personenbezogenen Daten Einsatz und Nutzen von Firewall-Systemen Richtlinien zur Datensicherheit im Unternehmen Zielsetzungen für Richtlinien und Organisationsanweisungen Organisationsanweisung Intranet Internet- Zugang Organisationsanweisung zur Verpflichtung nach 5 BDSG Organisationsanweisung zur Benutzung von PCs Organisationsanweisung zur gesamten IT-Sicherheit Anwendungsentwicklung und Programmwartung Schwachstellenanalyse und Revision

7 XII II. Unterlagensicherung 1. Behandlung von Unterlagen und Datenträgern Klassifikation der Unterlagen und Datenträger Interner Gebrauch Vertraulich Streng Vertraulich Persönlich Registriert Persönlich Zusammenfassende Hinweise Behandlung der klassifizierten Unterlagen und Datenträger Behandlung Interner Gebrauch Behandlung Vertraulich Behandlung Streng Vertraulich Behandlung Persönlich Registriert Behandlung Persönlich III. Gesamtheit und Angemessenheit der Maßnahmen 1. Gesamtheit der Maßnahmen Angemessenheit der Maßnahmen Abwägung des Aufwandes gegen den Schutzzweck Angemessenheit ohne Kostenbetrachtung Angemessenheit mit Kostenbetrachtung E. Rechte der Betroffenen I. Das Auskunftsrecht 1. Auskunft als Basisrecht für Betroffene Ausgestaltung des Individualrechtes Ausübung des Individualrechtes Auskunftsbearbeitung Formale Erfordernisse der Auskunftserteilung Koordination durch den Datenschutzbeauftragten Generelle organisatorische Erfordernisse Inhaltliche Beschränkung der Auskunftserteilung Beschränkung der Auskunftspflicht nach Dateitypen Beschränkung der Auskunftspflicht nach Datenkategorien Muster einer Richtlinie zur Auskunftsbearbeitung II. Die Datenkorrekturrechte 1. Datenkorrektur als Gestaltungsrecht Das Recht auf Datenberichtigung Das Recht auf Datensperrung Die Datenfeldsperre

8 XIII 3.2 Die Datensatzsperre Die Sammelsperre Datenentsperrung Datenanonymisierung Datenpseudonymisierung Das Recht auf Datenlöschung F. Datenverarbeitung außer Haus I. Datenverarbeitung im Auftrag 1. Datenfernbetreuung und Application Service Providing Grundstrukturen der Datenverarbeitung im Auftrag Besondere Pflichten des Auftraggebers Besondere Pflichten des Auftragnehmers Überblick zu den einzelnen Pflichten Meldepflichtige Verarbeitungen Weisungsgebundene Datenverarbeitung Wahrung des Datengeheimnisses Auswahl von Unterauftragnehmern Datensicherung des Auftragnehmers Bestellung eines Datenschutzbeauftragten Zusammenfassung des gesamten Pflichtenspektrums Beseitigung und Löschung von Datenträgern durch Beauftragte Überblick zu den einzelnen Maßnahmen Maßnahmen beim Entsorgungsunternehmen II. Funktionsübertragung oder Datenverarbeitung im Auftrag 1. Kriterien der Funktionsübertragung Betriebskrankenkasse und Unterstützungskasse G. Haftung für Datenschutzverstöße I. Funktion der Haftung im Datenschutz 1. Haftung im allgemeinen Datenschutzrecht Haftung nach Urheber- und Wettbewerbsrecht II. Haftungsansprüche im Datenschutzrecht 1. Haftungsansprüche im Überblick Haftungsansprüche im Vertragsverhältnis Haftungsansprüche im vertragsähnlichen Vertrauensverhältnis Haftungsansprüche ohne Vertragsverhältnis Haftung bei Tätigwerden von Angestellten Außergerichtliche Einigungsmöglichkeiten

9 XIV III. Hinweise zur Datenschutzversicherung Anhang 1: Bestellung, Aufgabenstellung und Stellenbeschreibung des Datenschutzbeauftragten Anhang 2: Kombinierte Richtlinie zu Datenschutz und Datensicherheit Anhang 3: Prinzipien zur Anwendung des Datenschutzes Sachverzeichnis