Konzerndatenschutz. Rechtshandbuch

Transkript

1 Konzerndatenschutz Rechtshandbuch von Axel Bussche, Freiherr von dem, Paul Voigt, Monika Egle, Nils Hullen, Meike Kamp, Dr. Flemming Moos, Hannes Oenning, Jana Oenning, Dr. Kai-Uwe Plath, Dr. Axel Spies, Prof. Dr. Peter Wedde, Andreas Zeller 1. Auflage Konzerndatenschutz Bussche, Freiherr von dem / Voigt / Egle / et al. schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Datenschutz- und Melderecht Verlag C.H. Beck München 2014 Verlag C.H. Beck im Internet: ISBN

2 von dem Bussche/Voigt Konzerndatenschutz I Revision

3 II VAKAT

4 Konzerndatenschutz III Rechtshandbuch Herausgegeben von Dr. Axel Frhr. von dem Bussche, LL. M. (L. S. E.) Hamburg Paul Voigt, Lic. en Derecho Hamburg Bearbeitet von den Herausgebern und von Monika Egle, Ulm; Nils Hullen, LL. M., Brüssel; Meike Kamp, LL. M., Berlin; Dr. Flemming Moos, Hamburg; Hannes Oenning, Frankfurt a. M.; Jana Oenning, Gütersloh; Dr. Kai-Uwe Plath, LL. M. (N. Y.), Hamburg; Dr. Axel Spies, C. E. P. (Paris), Washington; Prof. Dr. Peter Wedde, Frankfurt a. M.; Andreas Zeller, Ulm 2014

5 IV Zitiervorschlag: von dem Bussche/Voigt/Bearbeiter ISBN Verlag C. H. Beck ohg Wilhelmstraße 9, München Druck: Beltz Bad Langensalza GmbH Neustädter Straße 1 4, Bad Langensalza Satz: Druckerei C. H. Beck Nördlingen Gedruckt auf säurefreiem, alterungsbeständigem Papier (hergestellt aus chlorfrei gebleichtem Zellstoff)

6 Die innerhalb von Unternehmensgruppen auftretenden datenschutzrechtlichen Besonderheiten nehmen in der Beratungspraxis einen immer größeren Raum ein. Dies gilt nicht nur in Bezug auf große Konzerne, sondern auch bezüglich der Unternehmensverbünde des Mittelstands. Kernproblem ist das Fehlen eines datenschutzrechtlichen Konzernprivilegs. Aus diesem Grund werden Datenübermittlungen innerhalb von Konzernstrukturen obwohl Konzerne strukturell häufig wie Einzelunternehmen organisiert sind genauso restriktiv behandelt wie die Datenübermittlung zwischen unabhängigen Unternehmen. Es bleibt folglich unberücksichtigt, dass Konzerne regelmäßig auf eine gemeinsame Datenverarbeitung angewiesen sind, beispielsweise bei der Personalverwaltung oder der Zurverfügungstellung von IT-Dienstleistungen. Auch aus organisatorischer Sicht sind in Konzernen komplexe datenschutzrechtliche Probleme zu bewältigen: So werden häufig spezielle Konzerndatenschutzbeauftragte bestellt, welche die Datenschutzanforderungen unternehmensübergreifend koordinieren. Zudem üben Betriebsräte zunehmend ihre Mitbestimmungsrechte bezüglich des Datenschutzes aus und nehmen so teilweise erheblichen Einfluss auf die Umsetzung des Datenschutzrechts im Konzern. Auch die in internationalen Konzernstrukturen häufig vorkommenden landesübergreifenden Datenverarbeitungen stellen die Unternehmen vor besondere Herausforderungen. Dieses Handbuch soll Unternehmen mit Konzernstrukturen und deren Beratern praxisorientierte, fundierte und verständliche Hinweise und Hilfestellungen zur Bewältigung der datenschutzrechtlichen Problemstellungen geben. Der Schwerpunkt liegt dabei auf den konzerndatenschutzrechtlichen Besonderheiten; aber auch allgemeine datenschutzrechtliche Themen mit besonderer Relevanz für Konzerne werden ebenso erläutert wie die konzernrelevanten Änderungsvorschläge aus den Entwürfen für die EU-Datenschutz-Grundverordnung. Dem Handbuch vorangestellt ist eine Checkliste der wichtigsten datenschutzrechtlichen Pflichten. Diese Checkliste zeigt in Kurzform auf, welche Datenschutzthemen in Konzernen in jedem Fall beachtet werden sollten. Die Checkliste verweist dann in die entsprechenden Kapitel des Handbuchs, in denen sich praxisnahe Lösungen für die in der Checkliste aufgeworfenen Problemstellungen finden. Die Autoren dieses Handbuches sind ausschließlich Praktiker, die im Rahmen ihrer Tätigkeiten als Berater von Unternehmen, als Beschäftigtenvertreter oder im Rahmen der behördlichen Datenschutzaufsicht langjährig Erfahrungen im Konzerndatenschutz gesammelt haben. Die Autoren lassen den Leser in ihren Beiträgen in erheblichem Maße an ihrem Praxis-Know-how teilhaben, wofür wir ihnen an dieser Stelle ebenso wie für die verlässliche und vertrauensvolle Zusammenarbeit ganz herzlich danken möchten. Unser Dank geht auch an die wissenschaftlichen Mitarbeiter, die uns bei der Vorbereitung der Beitragserstellung und bei den organisatorischen Herausgebertätigkeibeck-shop.de Vorwort Revision V Vorwort Vorwort

7 VI Vorwort ten unterstützt haben. Ebenso möchten wir uns bei Herrn Dr. Johannes Wasmuth und Frau Ruth Schrödl für die effiziente, freundliche und sehr hilfreiche Unterstützung von n des Verlags C. H. Beck bedanken. Über Anregungen und Kritik freuen wir uns jederzeit. Hamburg, März 2014 Axel von dem Bussche Paul Voigt

8 Inhaltsübersicht Revision Inhaltsübersicht Inhaltsübersicht VII Vorwort... V Bearbeiterverzeichnis... XXV Abkürzungsverzeichnis... XXVII Allgemeines Literaturverzeichnis... XXXVII Teil 1. Einführung und Checkliste... 1 Teil 2. Datenschutzorganisation im Konzern Kapitel 1. Der Datenschutzbeauftragte. 7 Kapitel 2. Datenschutzmanagement im Konzern Kapitel 3. Verarbeitungsübersicht und Verfahrensverzeichnis Kapitel 4. Verarbeitungsübersicht im Konzern Kapitel 5. Vorabkontrolle Kapitel 6. Verpflichtung auf das Datengeheimnis Kapitel 7. Informations- und Einwirkungsrechte der Betroffenen 73 Teil 3. Datenverarbeitung im Konzern Kapitel 1. Einleitung: Fehlendes Konzernprivileg Kapitel 2. Rechtliche Anforderungen an Datenverarbeitungen Kapitel 3. Auftragsdatenverarbeitung im Konzern Kapitel 4. Verträge für den konzerninternen Datentransfer Kapitel 5. Beschäftigtendatenschutz und Mitbestimmungsrechte des Betriebsrats Teil 4. Internationale Aspekte des deutschen Datenschutzrechts Kapitel 1. Räumliche Anwendbarkeit des BDSG Kapitel 2. Datenübermittlungen in Drittländer Kapitel 3. Standardvertragsklauseln Kapitel 4. Safe Harbor Principles Kapitel 5. Binding Corporate Rules Teil 5. Spannungsfeld zwischen Datenschutz und Compliance-Anforderungen Kapitel 1. Datenschutzrecht und Compliance Kapitel 2. E-Discovery Teil 6. Datenschutz bei M&A-Transaktionen Teil 7. Cloud Computing Teil 8. Ausblick auf die EU-Datenschutz-Grundverordnung 373 Sachverzeichnis 405

9 VIII Inhaltsübersicht

10 Revision IX Vorwort... V Bearbeiterverzeichnis... XXV Abkürzungsverzeichnis... XXVII Allgemeines Literaturverzeichnis... XXXVII Teil 1. Einführung und Checkliste A. Datenschutzorganisation. 1 B. Rechtmäßigkeit der Datenverarbeitung... 3 C. Wichtige Spezialthemen... 5 D. Ausblick auf die EU-Datenschutz-Grundverordnung... 6 Teil 2. Datenschutzorganisation im Konzern Kapitel 1. Der Datenschutzbeauftragte A. Grundlegende Funktion des Datenschutzbeauftragten... 8 B. Grundsätzliche Bestellungspflicht; verpflichtete Stelle... 9 I. Grundsatz der Bestellungspflicht II. Die zur Bestellung verpflichtete Stelle; insbesondere innerhalb von Konzernstrukturen C. Die Person des Datenschutzbeauftragten I. Interner vs. externer Datenschutzbeauftragter II. Fachliche und persönliche Anforderungen Fachkunde Zuverlässigkeit, insbesondere Interessenkonflikt D. Ordnungsgemäße Bestellung des Datenschutzbeauftragten; vertragliches Verhältnis zwischen Datenschutzbeauftragten und verantwortlicher Stelle I. Ordnungsgemäße Bestellung als Datenschutzbeauftragter II. Vertragsverhältnis, gegebenenfalls erforderliche Abänderung III. Rechtsfolgen fehlerhafter oder unterlassener Bestellung E. Organisatorische Stellung des Datenschutzbeauftragten; zentrale konzernweite Organisation des Datenschutzes I. Position in der Unternehmensstruktur II. Organisation innerhalb von Konzernstrukturen III. Unabhängigkeit und Weisungsfreiheit des Datenschutzbeauftragten.. 19

11 X IV. Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen V. Unterstützungspflicht des Arbeitgebers F. Aufgaben des Datenschutzbeauftragten I. Allgemeine Hinwirkungspflicht II. Programmüberwachung III. Schulungs- und Fortbildungsfunktion IV. Anrufungsrecht der Betroffenen; Verschwiegenheitspflicht V. Sonstige Pflichten des Datenschutzbeauftragten G. Einschaltung der Aufsichtsbehörde H. Abberufung, Kündigung, sonstige Beendigung I. Abberufung und Abberufungsschutz Abberufung auf Verlangen der Aufsichtsbehörde Abberufung durch die verantwortliche Stelle II. Kündigung des zugrundeliegenden Vertragsverhältnisses III. Verhältnis zwischen Widerruf und Kündigung Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter IV. Fortbestand bzw. Wegfall des Amts bei gesellschaftsrechtlichen Umstrukturierungen V. Sonstige Beendigungstatbestände I. Haftung des Datenschutzbeauftragten I. Ansprüche der verantwortlichen Stelle II. Ansprüche der Betroffenen J. Aussicht auf die EU-Datenschutz-Grundverordnung Kapitel 2. Datenschutzmanagement im Konzern A. Einleitung B. Vorgehensweise beim Aufbau eines Datenschutzmanagements I. Vorgehensmodell zur Implementierung konzernweit gültiger technischer und organisatorischer Maßnahmen II. Vorgehensmodell zum Aufbau eines Datenschutzmanagementsystems Analyse Konzeption Einführung Betrieb C. Datenschutzmanagement in Konzernstrukturen I. Grundsätzliche Ziele Erfüllung rechtlicher Vorgaben... 44

12 XI 2. Transparentes Risikomanagement durch Integration des Datenschutzes in das interne Kontrollsystem Konzernübergreifendes und effizientes Datenschutzmanagement.. 45 II. Datenschutzmanagementsystem III. Datenschutzorganisation Konzernleitung Konzerndatenschutzbeauftragter Leitung der Einzelgesellschaft Lokaler Datenschutzbeauftragter einer Einzelgesellschaft Datenschutzkoordinatoren Geschäftsprozessverantwortliche Entscheider/Führungskräfte Benutzer IV. Einbettung der Datenschutzorganisation in Konzernstrukturen Zentrale Struktur Dezentrale Struktur Kapitel 3. Verarbeitungsübersicht und Verfahrensverzeichnis A. Einleitung B. Die interne Verarbeitungsübersicht I. Verpflichtung zur Erstellung II. Inhalt der internen Verarbeitungsübersicht C. Externes Verfahrensverzeichnis Kapitel 4. Verarbeitungsübersicht im Konzern A. Einleitung B. Struktur einer konzernweiten internen Verarbeitungsübersicht C. Aufbau und Betrieb einer konzernweiten internen Verarbeitungsübersicht.. 60 I. Analyse II. Konzeption III. Einführung Stufe 1: Erstellung einer Verfahrensübersicht Stufe 2: Erstellung der Verfahrensbeschreibungen a) Variante 1: Erstellung der Verfahrensbeschreibungen durch die jeweiligen Benutzer/Entscheider b) Variante 2: Erstellung der Verfahrensbeschreibungen durch einen Beauftragten IV. Betrieb Kapitel 5. Vorabkontrolle A. Einleitung B. Anwendungsbereich der Vorabkontrolle... 68

13 XII C.Prüfungsmaßstab und -umfang D. Rechtsfolgen Kapitel 6. Verpflichtung auf das Datengeheimnis Kapitel 7. Informations- und Einwirkungsrechte der Betroffenen A. Einleitung B. Benachrichtigungspflichten gegenüber dem Betroffenen I. Bei der Direkterhebung II. Bei Erhebung ohne Kenntnis des Betroffenen C. Auskunftsrechte des Betroffenen D. Ansprüche des Betroffenen auf Berichtigung, Löschung und Sperrung I. Berichtigung II. Löschung III. Sperrung IV. Widerspruchsrecht des Betroffenen V. Nachberichtspflicht. 84 VI. Sonstiges E. Informationspflicht bei Datenpannen I. Verpflichtete Stellen. 85 II. Informationspflicht nur bei Risikodaten III. Unrechtmäßige Kenntniserlangung durch Dritte IV. Schwerwiegende Beeinträchtigung V. Informationspflicht gegenüber Betroffenen.. 87 VI. Informationspflicht gegenüber der Aufsichtsbehörde F. Unterrichtungs- und Auskunftspflichten von Telemediendiensteanbietern I. Unterrichtungspflicht II. Auskunftspflicht Teil 3. Datenverarbeitung im Konzern Kapitel 1. Einleitung: Fehlendes Konzernprivileg Kapitel 2. Rechtliche Anforderungen an Datenverarbeitungen A. Grundbegriffe I. Personenbezogene Daten, Betroffener und verantwortliche Stelle II. Der Umgang mit personenbezogenen Daten. 97 B. Anwendbarkeit des BDSG... 97

14 XIII C.Verbot mit Erlaubnisvorbehalt I. Einwilligung Wirksamkeitsvoraussetzungen a) Form und Zeitpunkt der Einwilligung. 99 b) Informierte Einwilligung c) Freiwillige Einwilligung d) Widerruf Probleme des konzerninternen Datenumgangs auf Grundlage einer Einwilligung II. Erlaubnistatbestände nach 28 BDSG Datenerhebung, -verarbeitung und -nutzung im Rahmen von Verträgen gemäß 28 Abs. 1 Satz 1 Nr. 1 BDSG Datenerhebung, -verarbeitung und -nutzung nach Interessenabwägung gemäß 28 Abs. 1 Satz 1 Nr. 2 BDSG Datenerhebung, -verarbeitung und -nutzung von allgemein zugänglichen Daten gemäß 28 Abs. 1 Satz 1 Nr. 3 BDSG Datenerhebung, -verarbeitung und -nutzung bei Zweckänderung gemäß 28 Abs. 2 BDSG Erhebung, -verarbeitung und -nutzung besonderer Arten personenbezogener Daten gemäß 28 Abs. 6 bis 9 BDSG Datenverarbeitung oder -nutzung zu Zwecken der Werbung und des Adresshandels gemäß 28 Abs. 3 BDSG a) Einwilligung b) Das Listenprivileg gemäß 28 Abs. 3 Satz 2 BDSG III. Geschäftsmäßige Datenerhebung, -verarbeitung und -nutzung zum Zweck der Übermittlung gemäß 29 BDSG Abgrenzung zu den übrigen Erlaubnisnormen Zulässigkeit der Erhebung, Speicherung, Veränderung und Nutzung IV. Datenübermittlung an Auskunfteien gemäß 28 a BDSG V. Erhebung, Verarbeitung oder Nutzung von Beschäftigtendaten gemäß 32 BDSG VI. Auftragsdatenverarbeitung Kapitel 3. Auftragsdatenverarbeitung im Konzern A. Allgemeines zur Auftragsdatenverarbeitung I. Besonderheiten der Auftragsdatenverarbeitung Privilegierung der Auftragsdatenverarbeitung Voraussetzung: Auftragsdatenverarbeitungsvereinbarung Verhältnis der Auftragsdatenverarbeitung zu Berufsgeheimnissen II. Sachlicher Anwendungsbereich der Auftragsdatenverarbeitung/ Abgrenzung zur sog. Funktionsübertragung III. Checkliste zur Abgrenzung Auftragsdatenverarbeitung/ Funktionsübertragung

15 XIV B. Einsatzmöglichkeiten der Auftragsdatenverarbeitung im Konzern I. Call-Center II. -System Anwendungsbereich des TKG Auftragsdatenverarbeitung im Rahmen des TKG III. Personaldatenverwaltung IV. Adressverwaltung V. Lohn- und Gehaltsabrechnung VI. IT-Dienste C. Gesetzliche Voraussetzungen der Auftragsdatenverarbeitung I. Auftragsdatenverarbeitungsvertrag II. Pflichten des Auftraggebers III. Pflichten des Auftragnehmers IV. Technische und organisatorische Maßnahmen D. Auftragsdatenverarbeitung mit Auslandsbezug I. Anwendbarkeit des BDSG II. Auftragsdatenverarbeitung bei Nutzung ausländischer Auftragnehmer Auftragnehmer in EU/EWR Auftragnehmer im Drittland III. USA PATRIOT Act Grundsätzliche Zulässigkeit der Weitergabe Zulässigkeit der Übermittlung in die USA Das BDSG als Verbotsgesetz zur Verhinderung der Datenweitergabe Handlungsempfehlungen Kapitel 4. Verträge für den konzerninternen Datentransfer A. Das Modell einer Vertragslösung für Konzern-Datentransfers B. Ansatzpunkte für Datentransferverträge im Konzern I. Zulässigkeit von Datentransfers auf 1. und 2. Stufe II. Rechtsgrundlagen für die Übermittlungen personenbezogener Daten im Konzern Einwilligung der Betroffenen Gesetzliche Erlaubnisvorschriften a) Datenübermittlungen im Rahmen von konzerndimensionalen Arbeitsverhältnissen b) Datenübermittlungen im Rahmen von Funktionsübertragungen c) Datenübermittlungen zu sonstigen Zwecken

16 XV d) Datenübermittlungen zur Durchführung von Betriebsvereinbarungen III. Zulassung einer Ausnahme vom angemessenen Datenschutzniveau nach 4 c BDSG C. Anforderungen an konzerninterne Verträge zum Datentransfer I. Vorgaben für konzerninterne Datenübermittlungsverträge auf 1. Stufe Orientierung am Maßstab für Auftragsdatenverarbeitungsverträge Orientierung am Maßstab für Erlaubnisvorschriften in Betriebsvereinbarungen Sonderregelungen nach dem Code of Conduct für die Versicherungswirtschaft II. Vorgaben für Verträge über Datenübermittlungen ins Ausland (2. Stufe) III. Beachtung der Wechselwirkungen zwischen Anforderungen der 1. und 2. Stufe Ergänzung des Standardvertrages II bei der Verwendung von Beschäftigtendaten Ergänzungen wegen Datenzugriffen ausländischer Behörden Ergänzungen wegen sonstiger weitergehender Verpflichtungen auf 1. Stufe Ergänzungen wegen Verpflichtungen aus Betriebsvereinbarungen Sonstige Änderungen D. Modelle zur Umsetzung: Rahmen- und Einzelverträge I. Die Strukturierung des Vertrages II. Umsetzung in Mehrparteien-Konstellationen Einzelvertragslösung Rahmenvertragslösung III. Lösung über eine Garantieerklärung E. Mögliche Auswirkungen der EU-Datenschutz-Grundverordnung Kapitel 5. Beschäftigtendatenschutz und Mitbestimmungsrechte des Betriebsrats A. Einleitung B. Datenschutzrechtliche Rahmenbedingungen I. Datenschutzrechtliche Zulässigkeit unternehmensübergreifender Datenverarbeitungen nach dem BDSG Erforderlichkeit von Datenerhebungen, -verarbeitungen und -nutzungen nach 32 Abs. 1 BDSG Konzernweite Datenverarbeitung für eigene Geschäftszwecke auf der Grundlage von 28 Abs. 1 Satz 1 Nr. 2 BDSG Konzernweite Datenverarbeitung zur Wahrung berechtigter Interessen eines Dritten

17 XVI 4. Unternehmensübergreifende Datenverarbeitung auf der Grundlage von Betriebsvereinbarungen Konzernweite Erhebung, Verarbeitung oder Nutzung personenbezogener Daten auf der Grundlage einer Einwilligung gemäß 4 a BDSG Allgemeine datenschutzrechtliche Vorgaben mit Relevanz zu konzernweiten Datenverarbeitungen Auftragsdatenverarbeitung von Arbeitnehmerdaten im Konzernrahmen II. Datenschutzrechtliche Vorgaben im TKG bzw. im TMG Datenschutzvorgaben des TKG TMG C.Kollektivrechtlicher Rahmen für Konzerndatenverarbeitung Mitwirkungs- und Mitbestimmungsrechte I. Kollektivrechtliche Zuständigkeit II. Mitwirkungs- und Mitbestimmungsrechte III. Allgemeine Überwachungspflichten nach 80 Abs. 1 Nr. 1 BetrVG IV. Weitere Mitwirkungsrechte V. Mitbestimmungsrechte Abs. 1 Nr. 6 BetrVG: Mitbestimmung bei der Einführung und Anwendung von technischen Einrichtungen Abs. 1 Nr. 7 BetrVG: Mitbestimmung im Bereich des Arbeits- und Gesundheitsschutzes a) Allgemeine Ausführungen b) Auswirkungen des Mitbestimmungsrechts innerhalb eines Konzerns Abs. 1 Nr. 1 BetrVG: Ordnung des Betriebes und Verhalten der Arbeitnehmer 197 a) Allgemeine Ausführungen b) Umsetzung von verbindlichen Richtlinien zur konzernweiten Datenverarbeitung D. Umsetzung in konzernweite Regelungen Teil 4. Internationale Aspekte des deutschen Datenschutzrechts Kapitel 1. Räumliche Anwendbarkeit des BDSG A. Einleitung B. Datenverarbeitung durch die verantwortliche Stelle selbst I. Datenverarbeitung in Deutschland durch deutsche verantwortliche Stelle II. Datenverarbeitung in Deutschland durch verantwortliche Stelle mit Sitz in der EU/dem EWR Eigenständige Verarbeitung durch die verantwortliche Stelle Verarbeitung durch eine Niederlassung in Deutschland

18 XVII III. Datenverarbeitung in Deutschland durch verantwortliche Stelle in Drittland Eigenständige Verarbeitung durch die verantwortliche Stelle Verarbeitung durch eine Niederlassung in Deutschland Verarbeitung durch eine Niederlassung im EU-/EWR-Ausland IV. Datenverarbeitung in der EU/dem EWR durch eine deutsche verantwortliche Stelle Eigenständige Verarbeitung durch die verantwortliche Stelle Verarbeitung durch eine Niederlassung im EU-/EWR-Ausland V. Datenverarbeitung in einem Drittland durch eine deutsche verantwortliche Stelle Eigenständige Verarbeitung durch die verantwortliche Stelle Verarbeitung durch eine selbstständige Niederlassung im Drittland Verarbeitung durch eine unselbstständige Niederlassung im Drittland C. Verarbeitung durch einen Auftragsdatenverarbeiter I. Auftraggeber in Deutschland Auftragnehmer in Deutschland Auftragnehmer im Ausland II. Auftraggeber in der EU/dem EWR und Auftragnehmer in Deutschland III. Auftraggeber im Drittland und Auftragnehmer in Deutschland Kapitel 2. Datenübermittlungen in Drittländer A. Einleitung B. Anforderungen an die Datenübermittlung in Drittländer I. Die Übermittlung personenbezogener Daten ins Ausland nach 4 b BDSG Besondere Anforderungen an die Drittlandübermittlung a) Angemessenes Schutzniveau b) Pflichten und Verantwortung der übermittelnden Stelle Sonderfall: Der Datentransfer in die USA Safe Harbor- Principles II. Die Ausnahmen nach 4 c BDSG Die gesetzlichen Ausnahmen nach 4 c Abs. 1 BDSG Einzelfallbezogene behördliche Ausnahmegenehmigungen nach 4 c Abs. 2 BDSG Kapitel 3. Standardvertragsklauseln A. Allgemeine Grundlagen I. Vertragsparteien II. Unterschiedliche Varianten der Standardvertragsklauseln B. Standardvertragsklauseln Set I und Set II

19 XVIII C. Standardvertragsklauseln zur Auftragsdatenverarbeitung I. Abgrenzung zu den Standardvertragsklauseln aus dem Jahr II. Zulässigkeit der Auftragsdatenverarbeitung im Drittland III. Notwendige Ergänzungen der Standardvertragsklauseln gemäß 11 Abs. 2 BDSG IV. Räumlicher Anwendungsbereich der Standardvertragsklauseln zur Auftragsdatenverarbeitung Kapitel 4. Safe Harbor Principles A. Einleitung B. Verpflichtung auf die Safe Harbor-Grundsätze I. Anwendungsbereich 236 II. Befugnisse der FTC und des DoT III. Safe Harbor-Grundsätze Grundsatz der Wahlmöglichkeit Grundsatz der Weitergabe Grundsatz der Informationspflicht und des Auskunftsrechts Grundsatz der Datenintegrität und der Sicherheit Grundsatz der Durchsetzung a) Schlichtungsverfahren b) Anlassunabhängige Prüfung und Kontrolle c) Abhilfe und Sanktionen IV. Safe Harbor-FAQ V. Beitritt zu den Safe Harbor-Grundsätzen Mitteilung gegenüber dem DoC Safe Harbor-Liste 243 C. Datenübermittlung an ein Safe Harbor-Unternehmen I. Allgemeines II. Datenübermittlung als Auftragsdatenverarbeitung III. Übermittlung von Personaldaten D. Safe Harbor aus Sicht der Aufsichtsbehörde I. Kritische Sicht auf Safe Harbor II. Anforderung an eine Mindestprüfung nach dem Safe Harbor-Beschluss des Düsseldorfer Kreises III. Aussetzungsbefugnis der Datenschutzbehörden Kapitel 5. Binding Corporate Rules A. Einleitung B. Rechtliche Aspekte des Drittstaatenverkehrs C. Vorüberlegungen I. Einsatzszenarien für BCR II. BCR als ausreichende Garantien

20 XIX D. Verbindlichkeit der BCR. 257 I. Unterscheidung zwischen interner und externer Verbindlichkeit II. Mechanismen zur Herstellung von Verbindlichkeit Vertragliche Lösungen Konzernrichtlinie bzw. konzerninterne Weisung Einseitige Erklärung ( Unilateral Declaration ) III. Herstellung der Verbindlichkeit gegenüber den Mitarbeitern IV. Rechtliche Durchsetzbarkeit E. Bestandteile verbindlicher Unternehmensregelungen I. Sprache II. Festlegung des Anwendungsbereichs III. Beschreibung der Datenflüsse Detaillierungsgrad der Beschreibungen Prüfungsgrundlage für Aufsichtsbehörden 265 IV. Definitionen EG-Datenschutzrichtlinie als Vorlage für die Definitionen Definition des Datenexporteurs und Datenimporteurs V. Datenschutzgarantien Begrenzung der Zwecke und Zweckbestimmung Datenqualität und -aktualität Erforderlichkeit Rechtsgrundlage für die Datenverarbeitung Transparenz, Fairness, Unterrichtung und Benachrichtigung Betroffenenrechte Datensicherheit Beschränkung der Weiterübermittlung VI. Auftragsdatenverarbeitung innerhalb der Unternehmensgruppe VII. Auftragsdatenverarbeitung außerhalb des Konzerns und Weiterübermittlungen ( onward transfers ) Auftragsdatenverarbeitung außerhalb der Gruppe aber innerhalb der EU/des EWR Auftragsdatenverarbeitung außerhalb der Gruppe im Drittstaat Weiterübermittlungen ( onward transfers ) VIII. Konflikte mit dem nationalen Recht IX. Sicherstellung der Befolgung Schaffung eines Mitarbeiterstabs Verfahren zur Gewährleistung von Betroffenenrechten Schulungen der Beschäftigten Durchführung von Audits Beschwerdeverfahren Kooperation mit den Datenschutzbehörden X. Drittbegünstigung XI. Haftung

21 XX XII. Gerichtsstand XIII. Aktualisierungen und Änderungen XIV. Übergangsfrist F. Verfahren zur Anerkennung der BCR als ausreichende Garantien I. Mutual Recognition-Verfahren (MR-Verfahren) Vorarbeiten und erforderliche Unterlagen Antragsteller Identifizierung der federführenden Behörde (Lead Authority) Weiteres Verfahren Nationale Anforderungen für die Autorisierung Bisher abgeschlossene Verfahren II. Autorisierungen in Deutschland G. BCR für Auftragsverarbeiter Teil 5. Spannungsfeld zwischen Datenschutz und Compliance-Anforderungen Kapitel 1. Datenschutzrecht und Compliance A. Einleitung B. Begriff und Bedeutung von Compliance C. Rechtlicher Hintergrund der Compliance I. Gesetzliche Verpflichtung zur Einrichtung von Compliance-Systemen 291 II. Sonstige Gründe zur Einrichtung von Compliance-Maßnahmen Vertragliche Verpflichtungen Freiwillig auferlegte Verpflichtungen Prüfungsstandards D. Datenschutzrechtliche Ausgestaltung von Compliance-Maßnahmen I. Datenschutzrechtliche Voraussetzungen Einwilligung als Erlaubnistatbestand Gesetzliche Grundlagen a) Rechtsgrundlage für repressive Maßnahmen b) Präventive Maßnahmen c) Zwischenresümee Allgemeine datenschutzrechtliche Anforderungen a) Benachrichtigungspflichten b) Löschpflichten 300 c) Dokumentationspflichten II. Pre-Employment-Screening Überprüfung der fachlichen Qualifikationen Überprüfung der kriminellen Vergangenheit Überprüfung der finanziellen Situation E. Kooperation bei Anfragen der öffentlichen Verwaltung I. Auskunftsverlangen der Finanzbehörden

22 XXI II. Auskunftsverlangen der Strafermittlungsbehörden Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit ( 28 Abs. 2 Nr. 2 lit. b BDSG) Zur Wahrung berechtigter Interessen der verantwortlichen Stelle ( 28 Abs. 2 Nr. 1 ivm Abs. 1 Nr 2 BDSG) Kapitel 2. E-Discovery A. Einführung und Begriff B. Herausgabeansprüche durch die andere Partei I. Schritt 1: Identifizierung der Custodians II. Schritt 2: Sicherung und Sichtung der Dokumente III. Schritt 3: Sortierung der Dokumente IV. Schritt 4: Vorlegung der Dokumente C. Mögliche Strategien der Konzernunternehmen zur Vermeidung der Herausgabe D. Datenschutzrechtliche Implikationen Teil 6. Datenschutz bei M&A-Transaktionen A. Einleitung B. Kategorisierung von Unternehmenstransaktionen. 324 C. Datenschutzrechtliche Anforderungen an Due Diligence-Prüfungen I. Gegenstand und Ablauf der Due Diligence-Prüfung II. Rechtsgrundlage für die Offenlegung von Daten im Rahmen der Due Diligence-Prüfung Rechtsgrundlage für die Offenlegung beim Asset Deal a) Anwendbarkeit des BDSG b) Einwilligung c) Betriebsvereinbarung d) Gesetzliche Erlaubnisnorm Rechtsgrundlage für die Offenlegung beim Share Deal Rechtsgrundlage für die Offenlegung bei der Umwandlung Rechtsgrundlage für die Offenlegung anonymisierter und pseudonymisierter Daten im Rahmen von Unternehmenstransaktionen III. Typische Fallkonstellationen bei der Offenlegung von Daten im Rahmen der Due Diligence-Prüfung Mitarbeiterdaten Kundendaten Personenbezogene Daten in Vertragsdokumenten Einschaltung von Service-Providern Datentransfer in Drittstaaten außerhalb der EU Benachrichtigungspflichten Vertraulichkeitsvereinbarungen

23 XXII D. Datenschutzrechtliche Anforderungen an den Vollzug von Unternehmenstransaktionen I. Datenschutzrechtliche Anforderungen an den Vollzug von Share Deals II. Datenschutzrechtliche Anforderungen an den Vollzug von Asset Deals III. Datenschutzrechtliche Anforderungen an den Vollzug von Transaktionen nach dem UmwG IV. Datenschutzrechtliche Anforderungen an den Vollzug von Transaktionen über den Erwerb von Arztpraxen und Kanzleien Teil 7. Cloud Computing A. Vor- und Nachteile des Cloud Computing I. Relevanz des Themas für Konzerne II. Risiken von Cloud Computing B. Formen von Cloud-Diensten (Übersicht) I. Bereitstellungsmodelle (Deployment Models) II. Dienstleistungsmodelle (Service-Models) C. Allgemeine datenschutzrechtliche Konfliktbereiche des Cloud Computing D. EU-datenschutzrechtliche Grundlagen des Cloud Computing I. Rechtsgrundlagen II. Stellungnahme 05/2012 der Art.-29-Datenschutzgruppe Anwendbarkeit des EU-Rechts Cloud-Anwender und Cloud-Anbieter Sicherheitsmaßnahmen und Organisation Audits/Zertifizierungen durch unabhängige Dritte Datenweitergabe aus der EU/dem EWR heraus Cloud-Dienste und außereuropäische Sicherheitsbehörden Ausgestaltung des Vertrags zwischen Anbieter und Anwender III. Strategiepapier der EU-Kommission zum Cloud Computing E. Stellungnahmen und Vorschläge einiger nationaler Datenschutzbehörden/ -gremien I. Dänemark II. Deutschland Cloud-Anbieter und Cloud-Anwender, Sondergesetze Pflichten innerhalb des Cloud-Auftragsverhältnisses Ausgestaltung des Cloud Computing-Vertrages Technische und organisatorische Sicherheitsmaßnahmen Verschlüsselung von Daten Cloud Computing und unsichere Drittländer III. Frankreich

24 XXIII IV. Großbritannien V. Vereinigte Staaten F. Ratschläge für Cloud-Nutzer zur Ausgestaltung des Cloud Computing Teil 8. Ausblick auf die EU-Datenschutz-Grundverordnung A. Auf dem Weg zu einer EU-Datenschutz-Grundverordnung B. Der Entwurf der EU-Datenschutz-Grundverordnung im Überblick I. Anwendungsbereich 377 II. Einwilligung III. Erlaubnistatbestände IV. Profilbildung V. Verhaltensregeln und Zertifizierung VI. Recht auf Vergessenwerden VII. Recht auf Datenübertragbarkeit VIII. Delegierte Rechtsakte IX. Sanktionen C. Regelungen zum Konzerndatenschutz I. One-Stop-Shop und Kohärenzverfahren II. Übermittlung personenbezogener Daten in Drittländer Übersicht Binding Corporate Rules a) Verfahren b) Inhaltliche Anforderungen Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses Standarddatenschutzklauseln Übermittlung oder Weitergabe, die nicht im Einklang mit dem Unionsrecht stehen III. Auftragsdatenverarbeitung Rechtliche Ausgestaltung Auswirkungen in der Praxis IV. Datenschutzbeauftragter Der Datenschutzbeauftragte im europäischen Kontext Die Regelungen zum Datenschutzbeauftragten im Überblick a) Benennung eines Datenschutzbeauftragten b) Stellung des Datenschutzbeauftragten c) Aufgaben des Datenschutzbeauftragten Auswirkungen auf die Praxis Sachverzeichnis

25