Inhaltsübersicht Vorwort... Inhaltsverzeichnis... V IX 1. Kapitel Einleitung... 1 2. Kapitel Datenschutzrechtliche G ru n d la g en... 9 3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz... 31 4. Kapitel Marketing und Werbung... 127 5. Kapitel Datenverarbeitung im A u ftrag... 167 6. Kapitel Technische Organisatorische M aßnahm en/d atensicherheit... 187 7. Kapitel Die neue Datenschutz Grundverordnung (DS-GVO)... 203 Sachverzeichnis... 215
Inhaltsverzeichnis Vorwort... V Inhaltsübersicht... VII 1. Kapitel Einleitung... 1 I. Datenschutz - Historie und Ausblick... 1 1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil... 1 2. Datenschutzskandale... 4 3. Ausblick... 6 II. Wie Ihnen dieses Buch hilft... 7 1. Aufbau... 7 2. Checklisten/Muster und Beispiele... 8 2. Kapitel: Datenschutzrechtliche Grundlagen... 9 I. Was ist Datenschutz?... 9 1. Datensubjekt und Informationeile Selbstbestimmung... 9 2. Personenbezogene Daten - was zählt dazu?... 10 3. Verarbeitungstatbestände... 11 4. Gesetzliche Grundlagen... 12 5. Datenschutzrechtliche Grundsätze... 13 a) Verbot mit Erlaubnisvorbehalt... 13 b) Auskunfts- und Korrekturrechte des Betroffenen... 14 c) Datensicherheit... 15 d) Rechtliche Risiken und Sanktionen... 16 e) Datenvermeidung und Datensparsamkeit... 17 f) Kontrolle/Der Datenschutzbeauftragte... 18 g) Verfahrensverzeichnisse... 18
II. Gesetzgeberische Aktivitäten... 20 1. Datenschutzreform 2009... 20 a) Informationspflichten gemäß 42a BDSG: Datenschutzpranger... 21 b) Datensparsamkeit und Anonymisierung... 24 c) Datenschutzbeauftragter... 25 d) Auftragsdatenverarbeitung... 25 e) Direktmarketing ohne Einwilligung... 26 f) Direktmarketing mit Einwilligung... 28 g) Scoring und Auskunfteien... 28 h) Stärkung der Position der Aufsichtsbehörden... 29 2. Arbeitnehmerdatenschutz... 29 3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz... 31 I. Bewerberdaten und Bewerbungsprozess... 31 1. Welche Daten dürfen erhoben werden?... 31 a) Immer zulässig: Stammdaten... 31 b) Schutzwürdige D aten... 34 c) Vorstrafen... 35 d) Schwerbehinderung und Krankheiten... 36 e) Gewerkschaftszugehörigkeit... 38 f) Religiöse Überzeugung... 39 g) Soziale Netzwerke... 39 2. Medizinische Untersuchungen und Eignungstests... 41 a) Medizinische Untersuchungen... 41 b) Eignungstests... 42 3. Speicherdauer... 43 4. Weitergabe im Konzern... 45 5. Online-Bewerbungen... 46 6. Personalberater... 48 II. Arbeitsvertrag/Erforderliche Unterlagen... 50 1. Zwingend: Verpflichtung auf das Datengeheimnis... 50 2. Konzernprivileg... 52 3. Merkblatt Datenschutz... 53
III. Datenspeicherung im Arbeitsverhältnis... 54 1. Umfang der Verarbeitung... 54 a) Grundsätze... 54 b) Einzelfälle... 55 2. Übermittlung an Dritte... 57 3. Übermittlung ins Ausland... 59 4. Löschung und Sperrung... 60 5. Löschung nach Beendigung des Arbeitsverhältnisses... 61 IV. Personalakte... 63 1. Gesetzliche Rahmenbedingungen... 63 2. Datenschutzrechtlich zu beachten... 64 a) Zugriff auf die Personalakte... 64 b) Inhalte... 66 c) Rechte des Arbeitnehmers... 67 V. Nutzung von Internet und E-Mail... 70 1. Rechtslage bei Gestattung privater Internet und E-Mail- Nutzung... 71 a) Telekommunikationsgesetz... 71 b) Bundesdatenschutzgesetz... 73 2. Rechtslage bei Verbot privater Internet- und E-Mail- Nutzung... 75 3. Ansprüche des Arbeitnehmers... 75 4. Wichtig: Regeln der Internet und E-Mail Nutzung... 76 a) Regelung in Internet und E-Mail Policy... 77 b) Regelung in einer Betriebsvereinbarung... 82 c) Checkliste: Internet- und E-Mail Policy... 84 VI. Nutzung von Telefondaten... 87 1. Allgemeine Grundsätze sowie Gespräche mit einer Interessenvertretung... 87 2. Call-Center und telefonische Kundenbetreuung... 87 VII. Datenschutz und Betriebsrat... 89 1. Geltung des BDSG für den Betriebsrat... 89 2. Datenschutz im Betriebsrat... 89
VIII. Videoüberwachung... 90 1. Videoüberwachung im öffentlichen Betriebsgelände... 90 2. Videoüberwachung im nicht-öffentlichen Betriebsgelände 93 3. Videoüberwachung in Rückzugsflächen... 95 IX. Ortungssysteme... 96 X. Biometrische Verfahren... 98 XI. Datenerhebung bei Straftaten und Pflichtverletzungen.. 99 1. Grundsatz: Erhebung von Daten nur mit Kenntnis... 99 2. Voraussetzungen der Datenerhebung... 100 3. Zweckgebundenheit/Verhältnismäßigkeit... 101 4. Zeitliche und technische Einschränkungen... 103 XII. Datenschutzrechtliche Haftung und Strafbarkeit... 104 XIII. Anonymisierter Abgleich von D a ten... 106 1. Straftaten und Pflichtverletzungen... 107 2. Anonymisierte oder pseudonymisierte Nutzung... 108 XIV. Unterrichtungspflicht bei Datenpannen sowie Beschwerderecht... 109 XV. Mitarbeiterschulungen... 111 XVI. Der Datenschutzbeauftragte... 112 1. Pflicht zur Bestellung... 112 2. Fachkunde und Zuverlässigkeit... 113 3. Datenschutzbeauftragter und Betriebsrat... 114 4. Bestellung des Datenschutzbeauftragten... 115 5. Aufgaben des Datenschutzbeauftragten... 117 6. Abberufung... 119 7. Haftung... 120 8. Interner und externer Datenschutzbeauftragter... 121 XVII. Datenschutz bei Unternehmensverkäufen... 123 XVIII. Praxischeckliste... 124
4. Kapitel Marketing und Werbung... 127 I. Kunden- und Interessentendaten... 127 1. Grundsätze... 127 2. Direkterhebung/Unterrichtungspflicht... 128 3. Möglichkeiten und Grenzen des CRM... 129 a) Nutzungsprofile... 129 b) CRM in der Praxis... 131 II. Online-Marketing... 131 1. Internetauftritt... 132 a) Impressum... 132 b) Datenschutzhinweis... 134 2. Leadgenerierung... 136 a) Datenschutzrechtliche Einwilligung immer erforderlich 136 b) Inhalt... 137 c) Koppelungsverbot... 138 d) Wettbewerbsrechtliche Einwilligung... 139 e) Confirmed-Opt I n... 141 3. Analyse des Nutzerverhaltens im Internet... 142 a) Online Nutzungsprofile/Düsseldorfer Kreis... 142 b) Google Analytics... 144 III. Adressbroking... 149 1. Grundsätze... 149 2. Adressbroking business to business... 150 3. Adressbroking bei Verbrauchern... 151 4. Spendenwerbung... 152 5. Widerspruchsrecht/Hinweispflicht... 153 6. Verträge mit Adressbrokern... 154 IV. Dienstleister und Agenturen... 156 1. Verpflichtung auf das Datengeheimnis... 156 2. Datenauftragsverarbeitung... 158 V. Web 2.0 und Social M edia... 159 1. Datenschutzniveau der jeweiligen Netzwerke... 159 2. Datenschutzrechtliche Aspekte im Unternehmen... 161
3. Social Media Policy... VI. Praxischeckliste... 5. Kapitel Datenverarbeitung im Auftrag... I. Überblick... II. Definition/Vorliegen der Datenverarbeitung im Auftrag.. III. Rechtsfolgen... 1. Überprüfung der technischen organisatorischen Maßnahmen... a) Erstauswahl... b) Erstkontrolle/Vorabkontrolle... c) Regelmäßige Kontrolle... 2. Vertragsinhalte... IV. Auslandsbezug... 1. Systematik... 2. Kein Drittland (Beispiel Frankreich)... 3. Drittland mit angemessenem Datenschutzniveau (Beispiel Schweiz)... 4. Sonderfall USA... a) Vor dem Safe-Habor-Urteil... b) Privacy Shield... 5. Drittland ohne angemessenes Datenschutzniveau (Beispiel Russland)... 6. EU-Standardvertragsklausel... 7. Überblick... V. Cloud-Computing... 1. Technische Hintergründe und Begriffsdefinition... 2. Datenschutzrechtliche Bewertung... 6. Kapitel Technische Organisatorische Maßnahmen/Datensicherheit.. I. Datenschutz und Datensicherheit... 1. Grundsätze... 162 164 167 167 168 170 170 170 171 172 173 174 174 174 175 176 176 179 181 182 183 183 183 184 187 187 187
2. Gesetzliche Rahmenbedingungen... 188 II. Auditierungen... 190 1. Alternativen... 190 2. Einzelne IT-Sicherheitskonzepte... 191 a) IT-Grundschutzkatalog... 191 b) C obit... 193 c) ISO 9000... 194 d) ISO/IEC 17799 und BS 7799... 194 III. Umsetzung in der Praxis... 195 1. Dokumentation technisch-organisatorischer Maßnahmen 195 2. IT-Security Policy... 198 7. Kapitel Die neue Datenschutz Grundverordnung (DS-GVO)... 203 I. Überblick... 203 1. Sinn und Zweck... 203 2. Systematik: Ein einheitlicher Rechtsrahmen... 204 3. Öffnungsklauseln... 205 II. Wichtigste Änderungen und Neuregelungen... 205 1. Ausweitung der Interessenabwägung... 205 2. Internationale Datentransfers und EU-Standardvertragsklauseln... 206 3. Datenschutzbeauftragter... 207 4. Auftragsverarbeitung... 208 5. Datenschutzfolgenabschätzung... 208 6. Technisch-organisatorische Maßnahmen nach der DS-GVO... 209 7. Meldepflichten... 210 8. Hohe Geldbußen nach der DS-GVO... 211 III. Die Zeit läuft: Umsetzungsfrist zwei Jahre... 212 IV. Öffnungsklauseln und nationale Umsetzung... 213 Sachverzeichnis... 215