Skip to main content

2018 | Buch

EU-Datenschutz-Grundverordnung (DSGVO)

Praktikerhandbuch

verfasst von: Paul Voigt, Dr. Axel von dem Bussche

Verlag: Springer Berlin Heidelberg

insite
SUCHEN

Über dieses Buch

Dieses Praktikerhandbuch enthält Hinweise zur praktischen Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) sowie eine systematische Analyse der neuen Vorschriften. Das Handbuch widmet sich unter anderem den organisatorischen und materiellen Datenschutzanforderungen, den Rechten der betroffenen Personen, der Rolle der Aufsichtsbehörden, der Rechtsdurchsetzung und den Bußgeldern nach der Verordnung, sowie nationalen Besonderheiten. Das deutsche Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) wurde bereits umfassend berücksichtigt. Zusätzlich gewährt das Handbuch einen kompakten Überblick zu den Konsequenzen der Neuregelung für ausgewählte Verarbeitungssituationen mit hoher Praxisrelevanz, wie Cloud Computing, Big Data und Internet of Things. Die im Jahr 2016 verabschiedete DSGVO tritt im Mai 2018 in Kraft. Sie sieht zahlreiche neue bzw. verstärkte Datenschutzpflichten sowie eine deutliche Erhöhung der Bußgelder (auf bis zu 20 Mio. Euro) vor. Nicht nur in der Europäischen Union ansässige Unternehmen werden daher ihre Datenschutz-Compliance auf den Prüfstand stellen müssen; aufgrund des weiten, grenzüberschreitenden Anwendungsbereichs der Verordnung wird ihr Inkrafttreten Auswirkungen auf zahlreiche Unternehmen weltweit haben.

Inhaltsverzeichnis

Frontmatter
1. Einleitung und „Checkliste“
Zusammenfassung
Obwohl die EG-Datenschutzrichtlinie bereits 1995 zum Zweck der Harmonisierung des Datenschutzniveaus in Europa verabschiedet wurde, variieren die Datenschutzstandards innerhalb der einzelnen EU-Mitgliedstaaten noch immer stark. Um dieses Problem zu lösen hat der europäische Gesetzgeber im April 2016 die Datenschutz-Grundverordnung verabschiedet. Sie ist in allen EU-Mitgliedstaaten unmittelbar anzuwenden, besitzt einen grenzüberschreitenden Anwendungsbereich und sieht zahlreiche neue bzw. verstärkte Datenschutzpflichten vor. Dieses Kapitel enthält eine „Checkliste“, welche die wichtigsten Verpflichtungen nach der Verordnung aufzeigt.
Paul Voigt, Axel von dem Bussche
2. Anwendungsbereich der DSGVO
Zusammenfassung
Datenschutz-GrundverordnungAnwendungsbereichDie DSGVO hat, sowohl sachlich als auch räumlich, einen sehr weiten Anwendungsbereich. Daher wird sie auch auf zahlreiche Unternehmen mit Sitz außerhalb der EU anwendbar sein. Unternehmen, die Büros in der EU unterhalten oder Angestellte in der EU beschäftigen sollten prüfen, ob diese Geschäftsaktivitäten als Niederlassung im Sinne der Verordnung zu qualifizieren sind. Dies würde zur Anwendbarkeit der DSGVO führen. Zudem macht der räumliche Anwendungsbereich der DSGVO an den EU-Außengrenzen keineswegs halt, sondern erfasst auch Unternehmen, die – unabhängig von ihrem Niederlassungsort – mit ihren Angeboten oder Tätigkeiten den europäischen Binnenmarkt anvisieren. Dieses Kapitel enthält Informationen darüber, welche Unternehmen Pflichten nach der DSGVO treffen, weil aufgrund ihrer Geschäftstätigkeit der persönliche, sachliche und räumliche Anwendungsbereich der Verordnung als eröffnet gilt.
Paul Voigt, Axel von dem Bussche
3. Anforderungen an die Datenschutzorganisation
Zusammenfassung
DatenschutzorganisationDie DSGVO stellt neue Anforderungen an die Datenschutzorganisation und bildet die bereits nach der EG-Datenschutzrichtlinie bestehenden Verpflichtungen weiter fort. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der Verordnung zu bringen werden Unternehmen einige Anstrengungen unternehmen müssen. Obwohl die Verantwortlichen noch immer vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO erstmalig auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus wird auch die Verteilung der Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.
Paul Voigt, Axel von dem Bussche
4. Materielle Anforderungen
Zusammenfassung
Die Verarbeitung personenbezogener Daten unterliegt einem Verbot mit Erlaubnisvorbehalt und bedarf daher stets einer wirksamen Rechtsgrundlage. Unternehmen müssen daher im Vorfeld einer Datenverarbeitung sorgfältig prüfen, welche der bestehenden Rechtsgrundlagen in der konkreten Situation einschlägig sind. Diese Prüfung muss auch bei konzerninternen Datentransfers erfolgen, da die DSGVO diese Transfers rechtlich nicht privilegiert. Unternehmen müssen zudem beachten, dass in bestimmten Verarbeitungskonstellationen zusätzliche materielle Anforderungen zu erfüllen sind, z. B. bei der Verarbeitung besonderer Kategorien personenbezogener Daten oder bei einer Änderung des Verarbeitungszwecks. Dieses Kapitel enthält Ausführungen und Praxishinweise zu den zur Verfügung stehenden Rechtsgrundlagen sowie dazu, wie zusätzliche materielle Anforderungen, z. B. bei Datentransfers in Drittländer, erfüllt werden können.
Paul Voigt, Axel von dem Bussche
5. Rechte der betroffenen Personen
Zusammenfassung
BetroffenenrechtUm den Schutz natürlicher Personen effektiv zu gewährleisten, werden den betroffenen Personen durch die DSGVO verschiedene Rechte gewährt. Im Vergleich zur EG-Datenschutzrichtlinie treffen den Verantwortlichen nicht nur verstärkte Informationspflichten, sondern er wird auch neue oder gestärkte Rechte der betroffenen Personen gewährleisten müssen, wie bspw. das Recht auf Datenübertragbarkeit oder das „Recht auf Vergessenwerden“. Unternehmen sollten sich ihre neuen Verpflichtungen zeitnah vergegenwärtigen und effektive Mechanismen und interne Prozesse zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte umsetzen. Die Nichtbeantwortung einer solchen Anfrage kann nach der DSGVO zur Verhängung von erheblichen Bußgeldern führen. Dieses Kapitel enthält Einzelheiten zu den verschiedenen Betroffenenrechten, einschließlich Praxishinweisen. Dabei wurden auch die nationalen Einschränkungen der Betroffenenrechte im BDSG-neu berücksichtigt.
Paul Voigt, Axel von dem Bussche
6. Zusammenarbeit mit den Aufsichtsbehörden
Zusammenfassung
AufsichtsbehördeDie DSGVO führt Verfahrensänderungen ein, die Unternehmen bei der Zusammenarbeit mit den Aufsichtsbehörden berücksichtigen sollten. Bisher konnte es der Fall sein, dass Unternehmen mit mehreren Aufsichtsbehörden gleichzeitig interagieren mussten. Um die Unternehmen von dieser Belastung zu befreien, führt die DSGVO einen One-Stop-Shop ein, gemäß dem eine federführende Aufsichtsbehörde aus dem Kreis der betroffenen Aufsichtsbehörden bestimmt wird, die dem Unternehmen als ausschließliche Anlaufstelle dienen soll. Um Interessenkonflikte zwischen den betroffenen Aufsichtsbehörden zu vermeiden und das Risiko einer inkohärenten Anwendung der DSGVO innerhalb der EU zu minimieren, werden Mechanismen zur Zusammenarbeit und Kohärenz in der Verordnung eingeführt. Dieses Kapitel beschreibt, nach welchen Kriterien die zuständige Aufsichtsbehörde bestimmt wird und wie der One-Stop-Shop, die Zusammenarbeit sowie das Kohärenzverfahren funktionieren.
Paul Voigt, Axel von dem Bussche
7. Rechtsdurchsetzung und Sanktionennach der DSGVO
Zusammenfassung
Hinsichtlich der Rechtsdurchsetzung führt die DSGVO tief greifende Änderungen im Vergleich zur EG-Datenschutzrichtlinie ein. Es obliegt den Aufsichtsbehörden, die Einhaltung der DSGVO sicherzustellen und um diese Aufgabe erfüllen zu können, haben sie verschiedenste Untersuchungs- und Abhilfebefugnisse. Die schwerwiegendste Sanktionsmaßnahme liegt aus Unternehmenssicht in der Verhängung von Bußgeldern. Deren Maximalbetrag wurde auf bis zu EUR 20.000.000,00 oder bis zu 4 % des weltweiten Jahresumsatzes signifikant erhöht. Abgesehen von Verwaltungssanktionen sind Unternehmen ggf. auch den betroffenen Personen gegenüber schadensersatzpflichtig. Den Auftragsverarbeiter trifft nach der DSGVO erstmals eine eigene zivilrechtliche Haftung für Verletzungen der Verordnung. In diesem Kapitel werden die Aufgaben und Befugnisse der Aufsichtsbehörden, die zivilrechtliche Haftung, verwaltungsrechtliche Sanktionen und verfügbare Rechtsbehelfe dargestellt.
Paul Voigt, Axel von dem Bussche
8. Nationale Besonderheiten
Zusammenfassung
Die DSGVO eröffnet den EU-Mitgliedstaaten einen erheblichen Spielraum zur Schaffung nationaler Datenschutzregelungen, sowohl was die Spezifikation der Vorschriften der Verordnung, als auch was bereichsspezifischen Datenschutz betrifft. Dadurch werden zusätzliche Datenschutzverpflichtungen wahrscheinlich, bspw. hinsichtlich der Voraussetzungen für die wirksame Einwilligung von Kindern in die Verarbeitung oder hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten. Zudem könnte es zu erheblichen Unterschieden zwischen den Datenschutzstandards in den EU-Mitgliedstaaten in Bezug auf den Beschäftigten- oder Telemediendatenschutz kommen.
Paul Voigt, Axel von dem Bussche
9. Besondere Verarbeitungssituationen
Zusammenfassung
Bestimmte Verarbeitungsvorgänge eröffnen Unternehmen neue Geschäftsmodelle. Dieses Kapitel gibt einen kursorischen Überblick zu den datenschutzrechtlichen Kernfragen in drei besonderen Verarbeitungssituationen mit hoher Praxisrelevanz. Zum einen behandelt das Kapitel Big Data-Techniken, die eine Verarbeitung großer Datenmengen ermöglichen und, ausgehend von den umfassenden verwendeten Datensätzen, häufig in den Anwendungsbereich der DSGVO fallen. Weiterhin werden Cloud Computing-Dienste thematisiert, bei denen die Anbieter der Cloud-Dienste häufig als Auftragsverarbeiter in Erscheinung treten. Zuletzt wird das Internet of Things thematisiert, welches Alltagsgegenstände mit auf Datenanalysen basierenden Services verknüpft, wodurch häufig die Privatsphäre der betroffenen Personen beeinträchtigt werden kann, sodass es sich um risikoreiche Verarbeitungsvorgänge handeln dürfte.
Paul Voigt, Axel von dem Bussche
10. Praktische Umsetzung der Vorgaben der DSGVO
Zusammenfassung
In diesem Kapitel wird eine schrittweise Herangehensweise zur Implementierung interner Datenschutzstandards, die den Vorgaben der DSGVO entsprechen, vorgestellt, um die organisatorischen und materiellen Verpflichtungen aus der DSGVO zeitnah und effektiv umzusetzen. Risikoreiche Verarbeitungsvorgänge müssen identifiziert und vorrangig behandelt werden, um hohe Bußgelder für Verletzungen der DSGVO zu vermeiden. Nationale Zusatzanforderungen werden für viele Unternehmen relevant und müssen Berücksichtigung finden. Wo das Budget und die Ressourcen eines Unternehmens es ermöglichen, kann ein Datenschutz-Managementsystem eine sinnvolle Lösung zur durchgehenden Gewährleistung des Datenschutzes sein.
Paul Voigt, Axel von dem Bussche
Backmatter
Metadaten
Titel
EU-Datenschutz-Grundverordnung (DSGVO)
verfasst von
Paul Voigt
Dr. Axel von dem Bussche
Copyright-Jahr
2018
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-56187-4
Print ISBN
978-3-662-56186-7
DOI
https://doi.org/10.1007/978-3-662-56187-4