EU-Datenschutz-Grundverordnung

Transkript

1 Schriftenreihe Kommunikation und Recht EU-Datenschutz-Grundverordnung Bearbeitet von Von: Tim Wybitul 1. Auflage Buch. 807 S. Gebunden ISBN Format (B x L): 16.4 x 22.3 cm Gewicht: 1264 g Recht > Handelsrecht, Wirtschaftsrecht > Telekommunikationsrecht, Postrecht, IT- Recht > Datenschutz, Postrecht Zu Leseprobe schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

2 Handbuch EU-Datenschutz- Grundverordnung Herausgegeben von Tim Wybitul Rechtsanwalt, Frankfurt am Main Mit Beiträgen von Dr. Christoph Bausewein; Dr. Wolf-Tassilo Böhm; Dr. Oliver Draf; Dr. Diana Ettig, LL.M.; Armin Fladung; Dr. Henrik Hanßen; Dr. Stefan Krätschmer; Dr. Martin Pflüger; Dr. Stephan Pötters, LL.M. (Cambridge); Dr. Nils Rauer, MJI; Dr. Marcus Schreibauer; Dr. Stefan Schuppert, LL.M. (Harvard); Paul Sigel; Jan Spittka; Jörg Steinhaus, M.A., LL.M.; Dr. Lukas Ströbel; Dr. Christian Tinnefeld Fachmedien Recht und Wirtschaft dfv Mediengruppe Frankfurt am Main

3 Zitiervorschlag: Bearbeiter, in: Wybitul, Handbuch DSGVO, 1. Aufl. 2017, Art., Rn. Wybitul, Handbuch DSGVO, 1. Aufl. 2017, Einl., Rn. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN i 2017 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Satzkonvertierung: Lichtsatz Michael Glaese GmbH, Hemsbach Druck und Verarbeitung: Kösel GmbH & Co. KG, Altusried-Krugzell Printed in Germany

4 Vorwort Bearbeiterverzeichnis Abkürzungsverzeichnis V VII XXI Teil 1 Einleitung I. Ziele, Umsetzung und Anwendung der DSGVO Ziele der Verordnung Inkrafttreten der DSGVO Von der DSGVO verwendete Begriffe Anwendungsbereich der DSGVO a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen? b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?. 8 II. Überblick über die Vorschriften der DSGVO Was steht wo? Allgemeine Bestimmungen (Kapitel 1, Art. 1 bis Art. 4 DSGVO) Grundsätze der Verordnung (Kapitel 2, Art. 5 bis Art. 11 DSGVO) Rechte der betroffenen Person (Kapitel 3, Art. 12 bis Art. 23 DSGVO) Verantwortlicher und Auftragsverarbeiter (Kapitel 4, Art. 24 bis Art. 43 DSGVO) Übermittlung personenbezogener Daten in Drittländer (Kapitel 5, Art. 44 bis Art. 50 DSGVO) Aufsichtsbehörden (Kapitel 6 und 7, Art. 51 bis 76 DSGVO) Rechtsbehelfe, Haftung, Sanktionen (Kapitel 8, Art. 77 bis Art. 84 DSGVO) Besondere Datenverarbeitungssituationen (Kapitel 9, Art. 85 bis Art. 91 DSGVO) Delegierte Rechtsakte und Durchführungsrechtsakte (Kapitel 10, Art. 92 und 93 DSGVO) Schlussbestimmungen (Kapitel 11, Art. 94 bis Art. 99 DSGVO) 17 III. Grundsätze der DSGVO Bedeutung der Grundsätze der DSGVO für die Praxis IX

5 2. Die einzelnen Prinzipien der DSGVO a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) (Art. 5 Abs. 1 lit. a) DSGVO) b) Treu und Glauben (Fairness) (Art. 5 Abs. 1 lit. a) DSGVO).. 20 c) Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) d) Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) e) Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) f) Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO) g) Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) h) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO). 22 i) Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) IV. Praktische Folgen Wichtige ¾nderungen auf einen Blick Grundlagen der DSGVO a) Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedstaaten b) Globale Anwendung der DSGVO c) Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter d) Höhere Bußgelder Neue Pflichten für Unternehmen a) Erweiterte Dokumentations- und Nachweispflichten b) Risikobasierter Datenschutz c) Informationspflichten des Verantwortlichen bei Datenerhebung d) Datenschutz-Folgenabschätzung e) Striktere Löschpflichten und Recht auf Vergessenwerden f) Erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen g) Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen h) Verzeichnis von Verarbeitungstätigkeiten i) Datensicherheit j) Zusätzliche Verantwortung für Datenschutzbeauftragte Betroffenenrechte (Art. 15ff. DSGVO) a) Recht auf Auskunft (Art. 15 DSGVO) b) Recht auf Berichtigung (Art. 16 DSGVO) c) Pflicht zur Löschung von Daten (Art. 17 DSGVO) d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO) e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) g) Widerspruchsrecht X

6 h) Automatisierte Entscheidung im Einzelfall (einschließlich Profiling) Gemeinsam für Verarbeitungen Verantwortliche Auftragsverarbeitung Datenaustausch im Konzern Übermittlung personenbezogener Daten in Drittländer a) Voraussetzungen grenzüberschreitender Datenübermittlungen in Drittländer b) Datenschutzrechtliche Folgen des Brexit Aufsichtsbehörden Bewertung der Veränderungen durch die DSGVO Folgen für Unternehmen V. Erlaubnistatbestände der DSGVO Überblick a) Datenverarbeitungen nach Art. 6 DSGVO b) Datenverarbeitungen auf der Grundlage von Einwilligungen 85 c) Verarbeitung besonderer Kategorien personenbezogener Daten d) Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten e) Besondere Verarbeitungssituationen Erfüllung einer vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b) DSGVO) a) Erfüllung einer vertraglichen Pflicht b) Sonstige Anforderungen aus Art. 5 DSGVO Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO). 88 a) Funktion von Art. 6 Abs. 1 lit. f) DSGVO b) Interessenabwägung Zweckänderungen (Art. 6 Abs. 4 DSGVO) Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO) a) Anforderungen an Rechtsvorschriften nach Art. 6 Abs. 3 DSGVO Lebenswichtiges Interesse, öffentliches Interesse oder Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. d), e) DSGVO) Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) a) Anforderungen an Einwilligungen b) Koppelungsverbot bei Einwilligungen c) Einwilligungen in der Praxis Verarbeitung besonderer Kategorien personenbezogener Daten. 99 a) Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten XI

7 VI. b) Erlaubnistatbestände zur Verarbeitung von Daten nach Art. 9 Abs. 2 DSGVO Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) a) Anwendungsbereich von Art. 10 DSGVO b) Sonderfall: Datenverarbeitung für Compliance-Zwecke Besondere Verarbeitungssituationen insbesondere Beschäftigtendatenschutz a) Beschäftigtendatenschutz nach Art. 88 DSGVO b) Regelung durch Rechtsvorschriften c) Regelung durch Kollektivvereinbarungen d) Folgen des Anwendungsvorrangs der Verordnung für Informationsrechte des Betriebsrats Projektplanung und Checkliste zur Umsetzung der DSGVO im Unternehmen Überblick zur Implementierung der DSGVO a) Projektteam b) Festlegung von Projektzielen c) Ressourcenplanung d) Budgetplanung e) Bestandsaufnahme bestehender Datenschutzstrukturen f) Verarbeitungsverzeichnis g) Rechtmäßigkeitsgrundlagen h) Gap-Analyse i) Lösungsoptionen j) Einbindung Datenschutzbeauftragter k) Risikoanalyse DSGVO l) Datenschutzkommunikation m) Datenschutzberatung n) Betriebsrat o) Betriebsvereinbarungen p) Datenschutzschulung und -sensibilisierung q) Datenschutz-Management-System r) Auftragsverarbeitung s) Gemeinsam Verantwortliche t) Beschwerdemanagement u) Überprüfung bestehender Verträge v) Einwilligungsmanagement Projektplanung der Umsetzung a) Vorphase b) Voruntersuchung c) Umsetzungsphase XII

8 3. Besondere Herausforderungen a) Organisation b) IT-Prozesse und Anwendungen Regelbetrieb Fazit und Ausblick VII. Gesetzentwurf zur Anpassung des BDSG Entstehungsgeschichte Die für die Praxis wichtigsten ¾nderungen Zusammenfassung und Ausblick Anhang: Mustersammlung Muster 1 Maßnahmen zur Umsetzung der DSGVO im Unternehmen Grobschema für einen Ablaufplan zur Umsetzung der DSGVO. 126 Anlage: Priorisierung der Maßnahmen (Beispiel) Muster 2 Verarbeitungsverzeichnis für Unternehmen (Art. 30 Abs. 1 DSGVO) Kontaktdaten Verantwortlicher Verzeichnis der Verarbeitungstätigkeiten Beispiel für die Anlage zur Beschreibung einzelner Verarbeitungen Muster 3 Datenschutz-Folgenabschätzung für Unternehmen, Art. 35 DSGVO Muster 4 Anlage Auftragsverarbeitung zum Vertrag Anhang 1: Angaben zur Datenverarbeitung Anhang 2: Datenschutzbeauftragter, Weisungsberechtigte, Weisungsempfänger Anhang 3: Technische und organisatorische Maßnahmen zum Datenschutz Anhang 4: Auflistung der für den Auftragnehmer tätigen Subunternehmer Muster 5 Ablaufplan bei Datenschutzverletzungen in Unternehmen Anlage: Mitarbeiteranweisung für Datenschutzverletzungen XIII

9 Teil 2 Abdruck und Kurzkommentierung der für Unternehmen wichtigsten Vorschriften der DSGVO KAPITEL I Allgemeine Bestimmungen Art. 1 Gegenstand und Ziele Art. 2 Sachlicher Anwendungsbereich Art. 3 Räumlicher Anwendungsbereich Art. 4 Begriffsbestimmungen KAPITEL II Grundsätze Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten Art. 6 Rechtmäßigkeit der Verarbeitung Art. 7 Bedingungen für die Einwilligung Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten 265 Art. 10 Art. 11 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist Art. 12 Art. 13 KAPITEL III Rechte der betroffenen Person Abschnitt 1 Transparenz und Modalitäten Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person XIV

10 Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Art. 15 Auskunftsrecht der betroffenen Person Abschnitt 3 Berichtigung und Löschung Art. 16 Recht auf Berichtigung Art. 17 Recht auf Löschung ( Recht auf Vergessenwerden ) Art. 18 Recht auf Einschränkung der Verarbeitung Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Art. 20 Recht auf Datenübertragbarkeit Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall Art. 21 Widerspruchsrecht Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Abschnitt 5 Beschränkungen Art. 23 Beschränkungen KAPITEL IV Verantwortlicher und Auftragsverarbeiter Abschnitt 1 Allgemeine Pflichten Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen Art. 25 Inhaltsverzeichnis Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Art. 26 Gemeinsam für die Verarbeitung Verantwortliche XV

11 Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern Art. 28 Auftragsverarbeiter Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Art. 30 Verzeichnis von Verarbeitungstätigkeiten Art. 31 Zusammenarbeit mit der Aufsichtsbehörde Abschnitt 2 Sicherheit personenbezogener Daten Art. 32 Sicherheit der Verarbeitung Art. 33 Art. 34 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation Art. 35 Datenschutz-Folgenabschätzung Art. 36 Vorherige Konsultation Abschnitt 4 Datenschutzbeauftragter Vor Art Art. 37 Benennung eines Datenschutzbeauftragten Art. 38 Stellung des Datenschutzbeauftragten Art. 39 Aufgaben des Datenschutzbeauftragten Abschnitt 5 Verhaltensregeln und Zertifizierung Art. 40 Verhaltensregeln Art. 41 Überwachung der genehmigten Verhaltensregeln Art. 42 Zertifizierung Art. 43 Zertifizierungsstellen XVI

12 KAPITELV Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisation Art. 44 Allgemeine Grundsätze der Datenübermittlung Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien Art. 47 Verbindliche interne Datenschutzvorschriften Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen Art. 49 Ausnahmen für bestimmte Fälle Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten KAPITELVI Unabhängige Aufsichtsbehörden Abschnitt 1 Unabhängigkeit Art. 51 Aufsichtsbehörde Art. 52 Unabhängigkeit Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde Art. 54 Errichtung der Aufsichtsbehörde Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse Inhaltsverzeichnis Art. 55 Zuständigkeit Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde Art. 57 Aufgaben Art. 58 Befugnisse Art. 59 Tätigkeitsbericht XVII

13 Art. 60 KAPITELVII Zusammenarbeit und Kohärenz Abschnitt 1 Zusammenarbeit Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden Art. 61 Gegenseitige Amtshilfe Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden Abschnitt 2 Kohärenz Art. 63 Kohärenzverfahren Art. 64 Stellungnahme des Ausschusses Art. 65 Streitbeilegung durch den Ausschuss Art. 66 Dringlichkeitsverfahren Art. 67 Informationsaustausch Abschnitt 3 Europäischer Datenschutzausschuss Art. 68 Europäischer Datenschutzausschuss Art. 69 Unabhängigkeit Art. 70 Aufgaben des Ausschusses Art. 71 Berichterstattung Art. 72 Verfahrensweise Art. 73 Vorsitz Art. 74 Aufgaben des Vorsitzes Art. 75 Sekretariat Art. 76 Vertraulichkeit KAPITELVIII Rechtsbehelfe, Haftung und Sanktionen Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde Art. 78 XVIII Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

14 Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter Art. 80 Vertretung von betroffenen Personen Art. 81 Aussetzung des Verfahrens Art. 82 Haftung und Recht auf Schadensersatz Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen. 721 Art. 84 Sanktionen Art. 85 Art. 86 KAPITEL IX Vorschriften für besondere Verarbeitungssituationen Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten Art. 87 Verarbeitung der nationalen Kennziffer Art. 88 Datenverarbeitung im Beschäftigungskontext Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken Art. 90 Geheimhaltungspflichten Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte Art. 92 Ausübung der Befugnisübertragung Art. 93 Ausschussverfahren KAPITEL XI Schlussbestimmungen Inhaltsverzeichnis Art. 94 Aufhebung der Richtlinie 95/46/EG Art. 95 Verhältnis zur Richtlinie 2002/58/EG Art. 96 Verhältnis zu bereits geschlossenen Übereinkünften XIX

15 Art. 97 Berichte der Kommission Art. 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz Art. 99 Inkrafttreten und Anwendung Literaturverzeichnis Sachregister XX