Skip to main content

2024 | Buch

EU-Datenschutz-Grundverordnung (DSGVO)

Praktikerhandbuch

verfasst von: Paul Voigt, Axel von dem Bussche

Verlag: Springer Berlin Heidelberg

insite
SUCHEN

Über dieses Buch

Dieses Praktikerhandbuch gibt einen praxisnahen Überblick über die Vorgaben der DSGVO und das deutsche Datenschutzrecht. Das Handbuch widmet sich unter anderem den organisatorischen und materiellen Datenschutzanforderungen, den Rechten der betroffenen Personen, der Rolle der Aufsichtsbehörden, den Schadensersatzanspüchen und den Bußgeldern nach der Verordnung, sowie deutschen nationalen Besonderheiten. Es enthält zahlreiche Praxishinweise und Anwendungsbeispiele sowie eine kompakte Übersicht zu den datenschutzrechtlichen Vorgaben für ausgewählte Verarbeitungssituationen mit hoher Praxisrelevanz, wie Cloud Computing, Big Data und Künstliche Intelligenz.

Das Handbuch wurde für die zweite Auflage vollständig überarbeitet und berücksichtigt umfangreich neue datenschutzrechtliche Rechtsprechung und Behördenstellungnahmen.

Inhaltsverzeichnis

Frontmatter
1. Einleitung und „Checkliste“
Zusammenfassung
Obwohl die EG-Datenschutzrichtlinie bereits 1995 zum Zweck der Harmonisierung des Datenschutzniveaus in Europa verabschiedet wurde, variierten die Datenschutzstandards innerhalb der einzelnen EU-Mitgliedstaaten noch immer stark. Um dieses Problem zu lösen hat der europäische Gesetzgeber im April 2016 die Datenschutz-Grundverordnung (DSGVO) verabschiedet. Sie trat am 25. Mai 2018 in Kraft und ist seitdem in allen EU-Mitgliedstaaten unmittelbar anzuwenden. Die DSGVO besitzt einen grenzüberschreitenden Anwendungsbereich und sieht zahlreiche neue bzw. verstärkte Datenschutzpflichten vor. Dieses Kapitel enthält eine „Checkliste“, welche die wichtigsten Verpflichtungen nach der Verordnung aufzeigt.
Paul Voigt, Axel von dem Bussche
2. Anwendungsbereich der DSGVO
Zusammenfassung
Die DSGVO hat, sowohl sachlich als auch räumlich, einen sehr weiten Anwendungsbereich. Daher ist sie auch auf zahlreiche Unternehmen ohne Niederlassung in der EU anwendbar. Unternehmen, die Büros in der EU unterhalten oder Angestellte in der EU beschäftigen zuvorderst sollten prüfen, ob diese Geschäftsaktivitäten als Niederlassung im Sinne der Verordnung zu qualifizieren sind, dies könnte zur Anwendbarkeit der DSGVO führen. Aber der räumliche Anwendungsbereich der DSGVO geht auch über die EU-Außengrenzen und erfasst auch Unternehmen, die – sogar unabhängig von ihrem Niederlassungsort – lediglich mit ihren Angeboten oder Tätigkeiten im europäischen Binnenmarkt aktiv sind. Dieses Kapitel erläutert, welche Unternehmen den Vorgaben der DSGVO unterliegen, weil aufgrund ihrer Geschäftstätigkeit der persönliche, sachliche und räumliche Anwendungsbereich der Verordnung eröffnet ist.
Paul Voigt, Axel von dem Bussche
3. Anforderungen an die Datenschutzorganisation
Zusammenfassung
Die DSGVO stellt hohe Anforderungen an die Datenschutzorganisation. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der DSGVO zu bringen, müssen Unternehmen Schritte einleiten, um diese Anforderungen vollständig zu erfüllen. Obwohl die Verantwortlichen vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus werden auch die Verteilung der Zuständigkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.
Paul Voigt, Axel von dem Bussche
4. Materielle Anforderungen
Zusammenfassung
Die Verarbeitung personenbezogener Daten unterliegt einem Verbot mit Erlaubnisvorbehalt und bedarf stets einer wirksamen Rechtsgrundlage. Unternehmen müssen daher im Vorfeld einer Datenverarbeitung sorgfältig prüfen, welche der bestehenden Rechtsgrundlagen in der konkreten Situation einschlägig sind. Diese Prüfung muss auch bei konzerninternen Datentransfers erfolgen, da die DSGVO diese Transfers rechtlich nicht privilegiert. Unternehmen müssen zudem beachten, dass in bestimmten Verarbeitungskonstellationen zusätzliche materielle Anforderungen zu erfüllen sind, z. B. bei der Verarbeitung besonderer Kategorien personenbezogener Daten oder bei einer Änderung des Verarbeitungszwecks. Dieses Kapitel enthält Ausführungen und Praxishinweise zu den zur Verfügung stehenden Rechtsgrundlagen sowie dazu, wie zusätzliche materielle Anforderungen, z. B. bei Datentransfers in Drittländer, erfüllt werden können.
Paul Voigt, Axel von dem Bussche
5. Rechte der betroffenen Personen
Zusammenfassung
Um den Schutz natürlicher Personen effektiv zu gewährleisten, werden den betroffenen Personen durch die DSGVO verschiedene Rechte gewährt. Die Nichtbeantwortung einer Betroffenenanfrage kann zur Verhängung von erheblichen Bußgeldern führen. Dieses Kapitel enthält Einzelheiten zu den verschiedenen Betroffenenrechten, einschließlich Praxishinweisen zur Erfüllung der rechtlichen Anforderungen. Dabei wurden auch die nationalen Einschränkungen der Betroffenenrechte im BDSG berücksichtigt.
Paul Voigt, Axel von dem Bussche
6. Zusammenarbeit mit den Aufsichtsbehörden
Zusammenfassung
Um grenzüberschreitend tätigen Unternehmen von der Belastung zu befreien, sich mit lokal zuständigen Aufsichtsbehörden in der EU auseinandersetzen zu müssen, enthält die DSGVO einen One-Stop-Shop-Mechanismus, gemäß dem eine federführende Aufsichtsbehörde aus dem Kreis der zuständigen Aufsichtsbehörden bestimmt wird, die dem Unternehmen als ausschließliche Anlaufstelle dienen soll. Um Interessenkonflikte zwischen den betroffenen Aufsichtsbehörden zu vermeiden und das Risiko einer inkohärenten Anwendung der DSGVO innerhalb der EU zu minimieren, werden Mechanismen zur Zusammenarbeit und Kohärenz eingeführt. Dieses Kapitel beschreibt, nach welchen Kriterien die zuständige Aufsichtsbehörde bestimmt wird, wie der One-Stop-Shop die Zusammenarbeit zwischen und mit den Behörden sowie das Kohärenzverfahren funktionieren.
Paul Voigt, Axel von dem Bussche
7. Rechtsdurchsetzung und Sanktionen nach der DSGVO
Zusammenfassung
Es obliegt grundsätzlich den Aufsichtsbehörden, die Einhaltung der DSGVO sicherzustellen. Um diese Aufgabe erfüllen zu können, haben sie verschiedene Untersuchungs- und Abhilfebefugnisse. Die schwerwiegendste Sanktionsmaßnahme liegt aus Unternehmenssicht häufig in der Verhängung von Bußgeldern. Deren Maximalbetrag liegt bei EUR 20.000.000,00 oder bis zu 4 % des weltweiten Jahresumsatzes. Abgesehen von Verwaltungssanktionen können Unternehmen auch von betroffenen Personen in Anspruch genommen werden. In diesem Kapitel werden die Aufgaben und Befugnisse der Aufsichtsbehörden, die zivilrechtliche Haftung von Unternehmen, verwaltungsrechtliche Sanktionen und verfügbare Rechtsbehelfe dargestellt.
Paul Voigt, Axel von dem Bussche
8. Nationale Besonderheiten
Zusammenfassung
Die DSGVO eröffnet den EU-Mitgliedstaaten einen erheblichen Spielraum zur Schaffung nationaler Datenschutzregelungen, sowohl was die Spezifikation der Vorschriften der Verordnung, als auch was bereichsspezifischen Datenschutz betrifft. Dadurch wurden zusätzliche Datenschutzverpflichtungen eingeführt, bspw. hinsichtlich der Voraussetzungen für die wirksame Einwilligung von Kindern in die Verarbeitung oder hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten. Zudem kann es zu erheblichen Unterschieden zwischen den Datenschutzstandards in den EU-Mitgliedstaaten in Bezug auf den Beschäftigten- oder Telemediendatenschutz bzw. Telekommunikationsdatenschutz kommen.
Paul Voigt, Axel von dem Bussche
9. Besondere Verarbeitungssituationen
Zusammenfassung
Bestimmte Verarbeitungsvorgänge eröffnen Unternehmen neue Geschäftsmodelle. Dieses Kapitel gibt einen kursorischen Überblick zu den datenschutzrechtlichen Kernfragen in vier besonderen Verarbeitungssituationen mit hoher Praxisrelevanz. Zum einen behandelt das Kapitel Big Data-Techniken, die eine Verarbeitung großer Datenmengen ermöglichen und, ausgehend von den umfassenden verwendeten Datensätzen, häufig in den Anwendungsbereich der DSGVO fallen. In diesem Kontext wird auch auf Systeme Künstlicher Intelligenz (KI) eingegangen, welche regelmäßig aufbauend auf Big Data zum Einsatz kommen. Weiterhin werden Cloud-Computing-Dienste thematisiert, bei denen die Anbieter der Cloud-Dienste häufig als Auftragsverarbeiter in Erscheinung treten. Zuletzt wird das Internet of Things erörtert, welches Alltagsgegenstände mit auf Datenanalysen basierenden Services verknüpft, wodurch häufig die Privatsphäre der betroffenen Personen beeinträchtigt werden kann, sodass es sich um risikoreiche Verarbeitungsvorgänge handeln dürfte.
Paul Voigt, Axel von dem Bussche
10. Audits als Mittel zur Selbstkontrolle
Zusammenfassung
Der europäische Gesetzgeber setzt zur Gewährleistung eines hohen Datenschutzniveaus innerhalb der EU auf eine starke Eigenverantwortung der datenverarbeitenden Unternehmen. Gesetzlich trifft die für die Datenverarbeitung Verantwortlichen eine Rechenschaftspflicht (siehe Abschn. 3.​1). Das bedeutet, dass Verantwortliche nicht nur die Einhaltung der DSGVO sicherstellen, sondern ihre Rechtskonformität nachweisen müssen. Sowohl anlassbezogene als auch anlasslose Prüfungen durch die Aufsichtsbehörde sind denkbar (siehe Abschn. 7.​1.​3). Gelingt Unternehmen der Konformitätsnachweis nicht, so drohen hohe Bußgelder (siehe Abschn. 7.​3.​3). Rekordverdächtige Bußgeldsummen zeigen die große Relevanz der Einhaltung der DSGVO für Unternehmen. Mit einer einmaligen Anpassung der (internen) Prozesse an die gesetzlichen Vorgaben ist es allerdings nicht getan. Vielmehr müssen Unternehmen den geschaffenen Datenschutzstandard ständig aufrechterhalten und anpassen. Das gilt umso mehr, als es sich bei der DSGVO um ein „dynamisches“ Regelwerk handelt. Ihre Regelungen werden regelmäßig durch Stellungnahmen der Aufsichtsbehörden oder Entscheidungen der Gerichte präzisiert. Demnach verändert sich die Auslegung sowie die Priorisierung einzelner Verpflichtungen aus der DSGVO ständig.
Paul Voigt, Axel von dem Bussche
Backmatter
Metadaten
Titel
EU-Datenschutz-Grundverordnung (DSGVO)
verfasst von
Paul Voigt
Axel von dem Bussche
Copyright-Jahr
2024
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-68820-5
Print ISBN
978-3-662-68819-9
DOI
https://doi.org/10.1007/978-3-662-68820-5