Vorwort Teil I Einleitung 15

Transkript

1 Vorwort Teil I Einleitung 15 1 Einführung in die Datenschutz-Grundverordnung (DS-GVO) Die Ausgangslage Neuregelungen des Datenschutzes durch die DS-GVO Allgemeines Geltungsbereich Normadressaten Zulässigkeit der Verarbeitung Transparenzpflichten Korrekturrechte Fazit Häufig gestellte Fragen und Irrtümer zur DS-GVO Die Datenschutz-Grundverordnung gilt nicht für kleine Unternehmen Vereine sind von der DS-GVO nicht betroffen Der deutsche Gesetzgeber wird für Ausnahmen sorgen Mit der DS-GVO ändert sich nichts Die Einhaltung kontrolliert doch keiner Wir verarbeiten keine personenbezogenen Daten Warum Datenschutzverstöße kein Kavaliersdelikt (mehr) sind Einleitung Die Datenschutz-Grundverordnung Was sich ändern wird Rechtsgrundlagen: Wann dürfen Daten verarbeitet werden? Betroffenenrechte: mehr Transparenz Dokumentationspflichten IT-Sicherheit Neuerungen im Outsourcing Haftung & Bußgelder Datenschutzaufsicht Paradigmenwechsel: Beweise die Unschuld Fazit: erste Schritte zur Umsetzung

2 4 Neue Aufgaben für (HR-)Fach- und Führungskräfte Erweiterung des Aufgabenspektrums Prozessanforderungen Einkauf von Produkten und Dienstleistungen Zusammenarbeit mit dem Betriebsrat Fazit Assessment-Tool zur DS-GVO-Readiness Merkblatt Projektorganisation: Einführung der Datenschutz- Grundverordnung im Unternehmen Hintergrundwissen: Projektorganisation Phase: Awareness schaffen Phase: Projekt strukturieren Phase: Projekt planen Phase: Projekt beginnt Argumentationshilfen Teil II Von der Rechenschaftspflicht zur Dokumentation 63 7 Dokumentationspflichten in der DS-GVO Einleitung Anforderungen an ein Dokumentationssystem Inhalte der Dokumentation Phase Planung Zwecke und Rechtsgrundlagen Interessenabwägung Sicherheitskonzept Beschreibung der Unternehmensprozesse Phase Umsetzung Phase Kontrolle Phase Mängelbeseitigung Das Verzeichnis von Verarbeitungstätigkeiten Fazit Teil III Die Arbeit des Datenschutzbeauftragten 77 8 Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben Bestellung eines Datenschutzbeauftragten Voraussetzungen der Bestellpflicht nach der DS-GVO Reichweite der Öffnungsklausel nach Art. 37 Abs. 4 DS-GVO

3 8.1.3 Anforderungen an die Bestellung Rechtsstellung des Datenschutzbeauftragten Unabhängigkeit und Stellung Abberufungsschutz Einbindung und Unterstützung des Datenschutzbeauftragten Datenschutzbeauftragter als Anwalt der Betroffenen / Pflicht zur Geheimhaltung bzw. Vertraulichkeit Publizität der Person des Datenschutzbeauftragten/ Kontaktdaten Aufgaben des Datenschutzbeauftragten Grundsätzliches zur DS-GVO Unterrichtung und Beratung Überwachung der Einhaltung des Datenschutzes Aufgaben des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung Zusammenarbeit mit der Datenschutzaufsichtsbehörde Pflicht zur risikoorientierten Tätigkeit Wegfall der Ermächtigungen zum Erlass delegierter Rechtsakte Fazit Die grundrechtskonforme Ausgestaltung der Datenschutz- Folgenabschätzung nach der neuen europäischen Datenschutz- Grundverordnung Eine grundrechtskonforme Datenschutz-Folgenabschätzung Vorbereitungsphase Bewertungsphase Maßnahmenphase Berichtsphase Überwachung und Fortschreibung Übergang in die neue Welt der DS-GVO Fazit Teil IV Spezialgebiete: Werbung und Gesundheitswesen Datenverarbeitung zu Werbezwecken nach der Datenschutz- Grundverordnung Ausgangslage und Grundbedingungen der Rechtsanwendung unter der DS-GVO Der (voraussichtliche) Normenbestand ab dem Bewertung Grundprinzipien des werbewirtschaftlichen Datenschutzes nach DS-GVO

4 10.3 Die materiellen Regelungen des werbewirtschaftlichen Datenschutzes nach der DS-GVO Verhältnis der Erlaubnistatbestände zueinander Einwilligungsbasierte Datenverarbeitung Zwischenfazit Datenverarbeitung zu Vertragszwecken oder für die Durchführung vorvertraglicher Maßnahmen Datenverarbeitung aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten unter Abwägung mit den Interessen der betroffenen Person Das berechtigte Interesse Abwägung mit den Interessen der betroffenen Person Informationspflichten nach der DS-GVO Ausgewählte Pflichten nach dem Informationsprogramm der Art. 13, Informationszeitpunkte Die Modalitäten der Informationsvermittlung Folgen von Transparenzverstößen Werbewiderspruch Szenarien werbewirtschaftlicher Datenverarbeitung unter der DS-GVO Bestandkundenwerbung Selektionsmaßnahmen und Werbescoring Werbung für fremde Angebote (Nutzung oder Übermittlung von Daten zu Werbezwecken Dritter) Nutzungsbasierte Online-Werbung (Targeting) Fazit DS-GVO Was ändert sich im Gesundheitswesen? Begriffsbestimmungen Rechtsgrundlagen für die Verarbeitung Betroffenenrechte Berufsgeheimnisträger Vorgaben für das Unternehmen Krankenhaus bzw. die ambulante Versorgung Rechenschaftspflicht Data protection by design and by default Verarbeitungstätigkeitenverzeichnis Datensicherheit Datenschutz-Folgenabschätzung Auftragsverarbeitung Meldepflichten Forschung

5 11.7 Sanktionen/Strafregelungen Fazit Teil V Betroffenenrechte Das System der Betroffenenrechte nach DS-GVO Überblick Betroffenenrechte nach Zielen Permission Intervention Information Petition Kompensation Zusammenfassung und Ausblick Warum die neuen Betroffenenrechte im Datenschutz zur Falle werden können Einleitung Das Recht auf Datenübertragbarkeit in der Praxis Verhinderung automatischer Entscheidungen Fazit Wie sag ich s nur? Informationspflichten Einleitung Direkte und indirekte Erhebung Zeitpunkt Direkterhebung Indirekte Erhebung Form und Sprache Inhalt Ausnahmen Informationspflichten bei neuen Zwecken Notwendige Vorarbeiten Folgen bei einem Verstoß Fazit Teil VI Auswirkungen auf die Personalwirtschaft Was bleibt und was ist neu? Die EU-DS-GVO und der Beschäftigtendatenschutz Die Ausgangslage Nationale Beschäftigtendatenschutzregelungen Die Öffnungsklausel des Art. 88 Abs. 1 DS-GVO

6 Subsidiarität der DS-GVO gegenüber sonstigen auch die Beschäftigtendatenverarbeitung betreffenden Normen Neuregelungen der DS-GVO für den Beschäftigtendatenschutz Allgemeines Geltungsbereich Räumlicher Anwendungsbereich Normadressaten Zulässigkeit der Verarbeitung Transparenzpflichten Korrekturrechte Fazit Maßgeschneiderte Lösungen durch Kollektivvereinbarung? Möglichkeiten und Risiken des Art. 88 Abs. 1 DS-GVO Verhältnis von DS-GVO, BetrVG und TVG Erste Schranke: Art. 88 Abs. 1 DS-GVO Sachliche und persönliche Reichweite des Art. 88 DS-GVO Spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten Gestaltungsdirektiven für Spezifizierungsakte Partielle Regelung durch Spezifizierungsrechtsakte und Weitergeltung der DS-GVO Einschätzungsprärogative auch der Betriebspartner? Zweite Schranke: Nationales Recht (insb. BetrVG) Was geschieht am ? Risiken und Nebenwirkungen: Verstoß gegen die Schranken, Sanktionen Fazit Personalrecruiting (bald) ein risikoreiches Geschäft? Auswirkungen der DS-GVO im Bereich des Personalrecruitings Zwei Jahre bis zum Vollzug eine knappe Zeitspanne Insolvenz durch Recruiting? Informationspflichten im Bewerbungsprozess Informationspflichten bei neuen Zwecken Sicherheitsüberprüfungen und polizeiliche Führungszeugnisse Automatisierte Entscheidungen und Profiling Neue Rechte für Bewerber ( Betroffenenrechte ) Recht auf Vervollständigung Recht auf Beschränkung der Verarbeitung Recht auf Datenportabilität Fazit

7 18 E-Learning in der Cloud der Datenschutzcheck Glossar Teil VII Auswirkungen auf die IT-Administration und IT-Sicherheit Mehr gesetzliche Pflichten für IT-Verantwortliche Auswirkungen auf die IT-Sicherheitsorganisation/IT-Sicherheitsmanagement Gesetzliche Vorgaben zur Sicherheitsorganisation Sicherheitskonzeption Wirksamkeitstest Melde- und Dokumentationspflichten bei Sicherheitsvorfällen Dokumentation von Sicherheitsvorfällen Meldepflicht als Auftragnehmer Meldepflicht gegenüber der Datenschutzaufsichtsbehörde Information betroffener Personen Gesetzliche Erlaubnis zur Datenverarbeitung Informationspflichten über Datenverarbeitung Gesetzliche Einkaufshilfe Gesetzliche Konfigurationshilfe Zertifizierung und Standards Erste Schritte zur Umsetzung Fazit Neue Dokumentationspflichten in der IT Einleitung Anforderungen an eine Dokumentation Inhalte der Dokumentation Phase Planung Sicherheitskonzept Beschreibung der Unternehmensprozesse Phase Umsetzung Phase Kontrolle Phase Mängelbeseitigung Fazit Am Anfang steht das Sicherheitskonzept Einleitung Neue Datenschutzanforderungen an ein Sicherheitskonzept in vier Schritten zum Sicherheitskonzept Auswahl einer Methode Strukturanalyse Risikoanalyse Auswahl geeigneter Maßnahmen

8 21.3 Diese Prozesse dürfen nicht fehlen Neue Pflicht: Wirksamkeitstest Fazit Biometrische Zutrittskontrollen: ein Auslaufmodell? Einleitung Zulässiger Einsatz Gestaltung des Zutrittskontrollsystems Sicherheit Informationspflichten Fazit Teil VIII Auftragsdatenverarbeitung und Softwareanbieter ADV 5.0 Neugestaltung der Auftragsdatenverarbeitung in Deutschland Zur Auftragsverarbeitung Vergleich der Definitionen Anforderungen an den Auftraggeber Anforderungen an den Auftragnehmer Haftung Organisationsregeln Technische und organisatorische Maßnahmen (TOM)/Sicherheit der Verarbeitung Dokumentationspflicht Unterauftragnehmer Wartung/Fernwartung ( 11 Abs. 5 BDSG) Auftragsdatenverarbeitung in Drittländern Funktionsübertragung Aufsichtsbehörden Umsetzung von Standards Zertifizierung Fazit (Fehlende) Privilegierung der Auftragsverarbeitung unter der Datenschutz-Grundverordnung? Einleitung Privilegierungswirkung der Auftragsdatenverarbeitung nach Datenschutzrichtlinie und BDSG Datenweitergabe vom Auftraggeber an den Auftragnehmer nach der Datenschutz-Grundverordnung Rückgriff auf die allgemeinen Erlaubnistatbestände

9 Art. 28 DS-GVO als Rechtfertigung für die Datenverarbeitung im Rahmen der Auftragsverarbeitung Einheitliche Bewertung des Vorgangs der Datenverarbeitung bei der Auftragsverarbeitung Fazit Datenschutz-Compliance bei der Auswahl von Dienstleistern Einleitung Gesetzliche Mindestinhalte des Vertrags Formerfordernisse des Vertrags Beauftragung von Unterauftragnehmern Garantien zur Einhaltung von geeigneten technischen und organisatorischen Maßnahmen Ort der Datenverarbeitung Fazit das Jahr der Entscheidung für Softwareanbieter? Einleitung Steckbrief der gesetzlichen Anforderungen HCM: Vorteile integrierter Produkte Besonderheiten Cloud Zertifizierungen als Compliance-Nachweise Fazit Teil IX Compliance-Kosten vs. Nutzen Wann kostet ein Personenbezug zu viel? Einleitung Welche Daten dürfen verarbeitet werden? Compliance-Kosten vs. Nutzen Fazit Index Mitwirkende an diesem Buch