Inhaltsverzeichnis

1. Deckblatt
2. Titel
3. Impressum
4. Vorwort
5. Bearbeiterverzeichnis
6. Inhaltsverzeichnis
7. Abkürzungsverzeichnis
8. Teil 1 Einleitung
   1. I. Ziele, Umsetzung und Anwendung der DSGVO
      1. 1. Ziele der Verordnung
      2. 2. Inkrafttreten der DSGVO
      3. 3. Von der DSGVO verwendete Begriffe
      4. 4. Anwendungsbereich der DSGVO
         1. a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?
         2. b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?
   2. II. Überblick über die Vorschriften der DSGVO – Was steht wo?
      1. 1. Allgemeine Bestimmungen (Kapitel 1, Art. 1 bis Art. 4 DSGVO)
      2. 2. Grundsätze der Verordnung (Kapitel 2, Art. 5 bis Art. 11 DSGVO)
      3. 3. Rechte der betroffenen Person (Kapitel 3, Art. 12 bis Art. 23 DSGVO)
      4. 4. Verantwortlicher und Auftragsverarbeiter (Kapitel 4, Art. 24 bis Art. 43 DSGVO)
      5. 5. Übermittlung personenbezogener Daten in Drittländer (Kapitel 5, Art. 44 bis Art. 50 DSGVO)
      6. 6. Aufsichtsbehörden (Kapitel 6 und 7, Art. 51 bis 76 DSGVO)
      7. 7. Rechtsbehelfe, Haftung, Sanktionen (Kapitel 8, Art. 77 bis Art. 84 DSGVO)
      8. 8. Besondere Datenverarbeitungssituationen (Kapitel 9, Art. 85 bis Art. 91 DSGVO)
      9. 9. Delegierte Rechtsakte und Durchführungsrechtsakte (Kapitel 10, Art. 92 und 93 DSGVO)
      10. 10. Schlussbestimmungen (Kapitel 11, Art. 94 bis Art. 99 DSGVO)
   3. III. Grundsätze der DSGVO
      1. 1. Bedeutung der Grundsätze der DSGVO für die Praxis
      2. 2. Die einzelnen Prinzipien der DSGVO
         1. a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) (Art. 5 Abs. 1 lit. a) DSGVO)
         2. b) Treu und Glauben (Fairness) (Art. 5 Abs. 1 lit. a) DSGVO)
         3. c) Transparenz (Art. 5 Abs. 1 lit. a) DSGVO)
         4. d) Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO)
         5. e) Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO)
         6. f) Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO)
         7. g) Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO)
         8. h) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO)
         9. i) Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
   4. IV. Praktische Folgen – Wichtige Änderungen auf einen Blick
      1. 1. Grundlagen der DSGVO
         1. a) Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedstaaten
         2. b) Globale Anwendung der DSGVO
         3. c) Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter
         4. d) Höhere Bußgelder
      2. 2. Neue Pflichten für Unternehmen
         1. a) Erweiterte Dokumentations- und Nachweispflichten
         2. b) Risikobasierter Datenschutz
         3. c) Informationspflichten des Verantwortlichen bei Datenerhebung
         4. d) Datenschutz-Folgenabschätzung
         5. e) Striktere Löschpflichten und Recht auf Vergessenwerden
         6. f) Erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
         7. g) Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen
         8. h) Verzeichnis von Verarbeitungstätigkeiten
         9. i) Datensicherheit
         10. j) Zusätzliche Verantwortung für Datenschutzbeauftragte
      3. 3. Betroffenenrechte (Art. 15 ff. DSGVO)
         1. a) Recht auf Auskunft (Art. 15 DSGVO)
         2. b) Recht auf Berichtigung (Art. 16 DSGVO)
         3. c) Pflicht zur Löschung von Daten (Art. 17 DSGVO)
         4. d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)
         5. e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
         6. f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
         7. g) Widerspruchsrecht
         8. h) Automatisierte Entscheidung im Einzelfall (einschließlich Profiling)
      4. 4. Gemeinsam für Verarbeitungen Verantwortliche
      5. 5. Auftragsverarbeitung
      6. 6. Datenaustausch im Konzern
      7. 7. Übermittlung personenbezogener Daten in Drittländer
         1. a) Voraussetzungen grenzüberschreitender Datenübermittlungen in Drittländer
         2. b) Datenschutzrechtliche Folgen des „Brexit“
      8. 8. Aufsichtsbehörden
      9. 9. Bewertung der Veränderungen durch die DSGVO – Folgen für Unternehmen
   5. V. Erlaubnistatbestände der DSGVO
      1. 1. Überblick
         1. a) Datenverarbeitungen nach Art. 6 DSGVO
         2. b) Datenverarbeitungen auf der Grundlage von Einwilligungen
         3. c) Verarbeitung besonderer Kategorien personenbezogener Daten
         4. d) Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten
         5. e) Besondere Verarbeitungssituationen
      2. 2. Erfüllung einer vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b) DSGVO)
         1. a) Erfüllung einer vertraglichen Pflicht
         2. b) Sonstige Anforderungen aus Art. 5 DSGVO
      3. 3. Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO)
         1. a) Funktion von Art. 6 Abs. 1 lit. f) DSGVO
         2. b) Interessenabwägung
      4. 4. Zweckänderungen (Art. 6 Abs. 4 DSGVO)
      5. 5. Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)
         1. a) Anforderungen an Rechtsvorschriften nach Art. 6 Abs. 3 DSGVO
      6. 6. Lebenswichtiges Interesse, öffentliches Interesse oder Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. d), e) DSGVO)
      7. 7. Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
         1. a) Anforderungen an Einwilligungen
         2. b) Koppelungsverbot bei Einwilligungen
         3. c) Einwilligungen in der Praxis
      8. 8. Verarbeitung besonderer Kategorien personenbezogener Daten
         1. a) Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten
         2. b) Erlaubnistatbestände zur Verarbeitung von Daten nach Art. 9 Abs. 2 DSGVO
      9. 9. Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)
         1. a) Anwendungsbereich von Art. 10 DSGVO
         2. b) Sonderfall: Datenverarbeitung für Compliance-Zwecke
      10. 10. Besondere Verarbeitungssituationen – insbesondere Beschäftigtendatenschutz
          1. a) Beschäftigtendatenschutz nach Art. 88 DSGVO
          2. b) Regelung durch Rechtsvorschriften
          3. c) Regelung durch Kollektivvereinbarungen
          4. d) Folgen des Anwendungsvorrangs der Verordnung für Informationsrechte des Betriebsrats
   6. VI. Projektplanung und Checkliste zur Umsetzung der DSGVO im Unternehmen
      1. 1. Überblick zur Implementierung der DSGVO
         1. a) Projektteam
         2. b) Festlegung von Projektzielen
         3. c) Ressourcenplanung
         4. d) Budgetplanung
         5. e) Bestandsaufnahme bestehender Datenschutzstrukturen
         6. f) Verarbeitungsverzeichnis
         7. g) Rechtmäßigkeitsgrundlagen
         8. h) Gap-Analyse
         9. i) Lösungsoptionen
         10. j) Einbindung Datenschutzbeauftragter
         11. k) Risikoanalyse DSGVO
         12. l) Datenschutzkommunikation
         13. m) Datenschutzberatung
         14. n) Betriebsrat
         15. o) Betriebsvereinbarungen
         16. p) Datenschutzschulung und -sensibilisierung
         17. q) Datenschutz-Management-System
         18. r) Auftragsverarbeitung
         19. s) Gemeinsam Verantwortliche
         20. t) Beschwerdemanagement
         21. u) Überprüfung bestehender Verträge
         22. v) Einwilligungsmanagement
      2. 2. Projektplanung der Umsetzung
         1. a) Vorphase
         2. b) Voruntersuchung
         3. c) Umsetzungsphase
      3. 3. Besondere Herausforderungen
         1. a) Organisation
         2. b) IT-Prozesse und Anwendungen
      4. 4. Regelbetrieb
      5. 5. Fazit und Ausblick
   7. VII. Gesetzentwurf zur Anpassung des BDSG
      1. 1. Entstehungsgeschichte
      2. 2. Die für die Praxis wichtigsten Änderungen
      3. 3. Zusammenfassung und Ausblick
   8. Anhang: Mustersammlung
      1. Muster 1 Maßnahmen zur Umsetzung der DSGVO im Unternehmen
      2. Grobschema für einen Ablaufplan zur Umsetzung der DSGVO
      3. Anlage Priorisierung der Maßnahmen (Beispiel)
      4. Muster 2 Verarbeitungsverzeichnis für Unternehmen (Art. 30 Abs. 1 DSGVO)
      5. Kontaktdaten Verantwortlicher
      6. Verzeichnis der Verarbeitungstätigkeiten
      7. Beispiel für eine Anlage zur Beschreibung einzelner Verarbeitungen
      8. Muster 3 Datenschutz-Folgenabschätzung für Unternehmen, Art. 35 DSGVO
      9. Muster 4 Anlage Auftragsverarbeitung zum Vertrag
      10. Anhang 1 Angaben zur Datenverarbeitung
      11. Anhang 2 Datenschutzbeauftragter, Weisungsberechtigte, Weisungsempfänger
      12. Anhang 3 Technische und organisatorische Maßnahmen zum Datenschutz
      13. Anhang 4 Auflistung der für den Auftragnehmer tätigen Subunternehmer
      14. Muster 5 Ablaufplan bei Datenschutzverletzungen in Unternehmen
      15. Anlage Mitarbeiteranweisung für Datenschutzverletzungen
9. Teil 2 Abdruck und Kurzkommentierung der für Unternehmen wichtigsten Vorschriften der DSGVO
   1. KAPITEL I Allgemeine Bestimmungen
      1. Art. 1 Gegenstand und Ziele
      2. Art. 2 Sachlicher Anwendungsbereich
      3. Art. 3 Räumlicher Anwendungsbereich
      4. Art. 4 Begriffsbestimmungen
   2. KAPITEL II Grundsätze
      1. Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
      2. Art. 6 Rechtmäßigkeit der Verarbeitung
      3. Art. 7 Bedingungen für die Einwilligung
      4. Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
      5. Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten
      6. Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
      7. Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
   3. KAPITEL III Rechte der betroffenen Person
      1. Abschnitt 1 Transparenz und Modalitäten
         1. Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
      2. Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
         1. Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
         2. Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
         3. Art. 15 Auskunftsrecht der betroffenen Person
      3. Abschnitt 3 Berichtigung und Löschung
         1. Art. 16 Recht auf Berichtigung
         2. Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)
         3. Art. 18 Recht auf Einschränkung der Verarbeitung
         4. Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
         5. Art. 20 Recht auf Datenübertragbarkeit
      4. Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
         1. Art. 21 Widerspruchsrecht
         2. Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
      5. Abschnitt 5 Beschränkungen
         1. Art. 23 Beschränkungen
   4. KAPITEL IV Verantwortlicher und Auftragsverarbeiter
      1. Abschnitt 1 Allgemeine Pflichten
         1. Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen
         2. Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
         3. Art. 26 Gemeinsam für die Verarbeitung Verantwortliche
         4. Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
         5. Art. 28 Auftragsverarbeiter
         6. Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
         7. Art. 30 Verzeichnis von Verarbeitungstätigkeiten
         8. Art. 31 Zusammenarbeit mit der Aufsichtsbehörde
      2. Abschnitt 2 Sicherheit personenbezogener Daten
         1. Art. 32 Sicherheit der Verarbeitung
         2. Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
         3. Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
      3. Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation
         1. Art. 35 Datenschutz-Folgenabschätzung
         2. Art. 36 Vorherige Konsultation
      4. Abschnitt 4 Datenschutzbeauftragter
         1. Vor Art. 37
         2. Art. 37 Benennung eines Datenschutzbeauftragten
         3. Art. 38 Stellung des Datenschutzbeauftragten
         4. Art. 39 Aufgaben des Datenschutzbeauftragten
      5. Abschnitt 5 Verhaltensregeln und Zertifizierung
         1. Art. 40 Verhaltensregeln
         2. Art. 41 Überwachung der genehmigten Verhaltensregeln
         3. Art. 42 Zertifizierung
         4. Art. 43 Zertifizierungsstellen
   5. KAPITEL V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisation
      1. Art. 44 Allgemeine Grundsätze der Datenübermittlung
      2. Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
      3. Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien
      4. Art. 47 Verbindliche interne Datenschutzvorschriften
      5. Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen
      6. Art. 49 Ausnahmen für bestimmte Fälle
      7. Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten
   6. KAPITEL VI Unabhängige Aufsichtsbehörden
      1. Abschnitt 1 Unabhängigkeit
         1. Art. 51 Aufsichtsbehörde
         2. Art. 52 Unabhängigkeit
         3. Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
         4. Art. 54 Errichtung der Aufsichtsbehörde
      2. Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse
         1. Art. 55 Zuständigkeit
         2. Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde
         3. Art. 57 Aufgaben
         4. Art. 58 Befugnisse
         5. Art. 59 Tätigkeitsbericht
   7. KAPITEL VII Zusammenarbeit und Kohärenz
      1. Abschnitt 1 Zusammenarbeit
         1. Art. 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
         2. Art. 61 Gegenseitige Amtshilfe
         3. Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden
      2. Abschnitt 2 Kohärenz
         1. Art. 63 Kohärenzverfahren
         2. Art. 64 Stellungnahme des Ausschusses
         3. Art. 65 Streitbeilegung durch den Ausschuss
         4. Art. 66 Dringlichkeitsverfahren
         5. Art. 67 Informationsaustausch
      3. Abschnitt 3 Europäischer Datenschutzausschuss
         1. Art. 68 Europäischer Datenschutzausschuss
         2. Art. 69 Unabhängigkeit
         3. Art. 70 Aufgaben des Ausschusses
         4. Art. 71 Berichterstattung
         5. Art. 72 Verfahrensweise
         6. Art. 73 Vorsitz
         7. Art. 74 Aufgaben des Vorsitzes
         8. Art. 75 Sekretariat
         9. Art. 76 Vertraulichkeit
   8. KAPITEL VIII Rechtsbehelfe, Haftung und Sanktionen
      1. Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde
      2. Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
      3. Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
      4. Art. 80 Vertretung von betroffenen Personen
      5. Art. 81 Aussetzung des Verfahrens
      6. Art. 82 Haftung und Recht auf Schadensersatz
      7. Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
      8. Art. 84 Sanktionen
   9. KAPITEL IX Vorschriften für besondere Verarbeitungssituationen
      1. Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
      2. Art. 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
      3. Art. 87 Verarbeitung der nationalen Kennziffer
      4. Art. 88 Datenverarbeitung im Beschäftigungskontext
      5. Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
      6. Art. 90 Geheimhaltungspflichten
      7. Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
   10. KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte
       1. Art. 92 Ausübung der Befugnisübertragung
       2. Art. 93 Ausschussverfahren
   11. KAPITEL XI Schlussbestimmungen
       1. Art. 94 Aufhebung der Richtlinie 95/46/EG
       2. Art. 95 Verhältnis zur Richtlinie 2002/58/EG
       3. Art. 96 Verhältnis zu bereits geschlossenen Übereinkünften
       4. Art. 97 Berichte der Kommission
       5. Art. 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz
       6. Art. 99 Inkrafttreten und Anwendung
10. Literaturverzeichnis
11. Sachregister
    1. Sachregister A
    2. Sachregister B
    3. Sachregister C
    4. Sachregister D
    5. Sachregister E
    6. Sachregister F
    7. Sachregister G
    8. Sachregister H
    9. Sachregister I
    10. Sachregister J
    11. Sachregister K
    12. Sachregister L
    13. Sachregister M
    14. Sachregister N
    15. Sachregister O
    16. Sachregister P
    17. Sachregister R
    18. Sachregister S
    19. Sachregister T
    20. Sachregister U
    21. Sachregister V
    22. Sachregister W
    23. Sachregister Z