Inhaltsverzeichnis
- Vorwort
- Abkürzungsverzeichnis
- Einleitung
- I. Ziele, Umsetzung und Anwendung der DSGVO
- 1. Ziele der Verordnung
- 2. Inkrafttreten der DSGVO
- 3. Von der DSGVO verwendete Begriffe
- 4. Anwendungsbereich der DSGVO
- a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?
- b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?
- II. Überblick über die Vorschriften der DSGVO – Was steht wo?
- 1. Allgemeine Bestimmungen, Kapitel 1, Art. 1 bis Art. 4 DSGVO
- 2. Grundsätze der Verordnung, Kapitel 2, Art. 5 bis Art. 11 DSGVO
- 3. Rechte der betroffenen Person, Kapitel 3, Art. 12 bis Art. 23 DSGVO
- 4. Verantwortlicher und Auftragsverarbeiter, Kapitel 4, Art. 24 bis Art. 43 DSGVO
- 5. Übermittlung personenbezogener Daten in Drittländer, Kapitel 5, Art. 44 bis Art. 50 DSGVO
- 6. Aufsichtsbehörden, Kapitel 6 und 7, Art. 51 bis 76 DSGVO
- 7. Rechtsbehelfe, Haftung, Sanktionen, Kapitel 8, Art. 77 bis Art. 84 DSGVO
- 8. Besondere Datenverarbeitungssituationen, Kapitel 9, Art. 85 bis Art. 91 DSGVO
- 9. Delegierte Rechtsakte und Durchführungsrechtsakte, Kapitel 10, Art. 92 und 93 DSGVO
- 10. Schlussbestimmungen, Kapitel 11, Art 94 bis Art. 99 DSGVO
- III. Grundsätze der DSGVO
- 1. Bedeutung der Grundsätze der DSGVO für die Praxis
- 2. Die einzelnen Prinzipien der DSGVO
- a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt), Art. 5 Abs. 1 lit. (a) DSGVO
- b) Treu und Glauben (Verhältnismäßigkeit), Art. 5 Abs. 1 lit. (a) DSGVO
- c) Transparenz, Art. 5 Abs. 1 lit. (a) DSGVO
- d) Zweckbindung, Art. 5 Abs. 1 lit. (b) DSGVO
- e) Datenminimierung, Art. 5 Abs. 1 lit. (c) DSGVO
- f) Richtigkeit, Art. 5 Abs. 1 lit. (d) DSGVO
- g) Speicherbegrenzung, Art. 5 Abs. 1 lit. (e) DSGVO
- h) Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. (f) DSGVO
- i) Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
- IV. Praktische Folgen – Wichtige Änderungen auf einen Blick
- 1. Grundlagen der DSGVO
- a) Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedstaaten
- b) Globale Anwendung der DSGVO
- c) Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter
- d) Höhere Bußgelder
- 2. Neue Pflichten für Unternehmen
- a) Erweiterte Dokumentations- und Nachweispflichten
- b) Risikobasierter Datenschutz
- c) Informationspflichten des Verantwortlichen bei Datenerhebung
- aa) Informationspflichten bei Datenerhebung beim Betroffenen, Art. 13 DSGVO
- bb) Informationspflichten bei Datenerhebung bei Dritten, Art. 14 DSGVO
- d) Datenschutz-Folgenabschätzung
- e) Striktere Löschpflichten und Recht auf Vergessenwerden
- f) Erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
- g) Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen
- h) Verzeichnis von Verarbeitungstätigkeiten
- i) Datensicherheit
- j) Zusätzliche Verantwortung für Datenschutzbeauftragte
- 3. Betroffenenrechte (Art. 15ff. DSGVO)
- a) Recht auf Auskunft, Art. 15 DSGVO
- aa) Umfang der Auskunft, Art. 15 Abs. 1 DSGVO
- (1) Recht auf Überlassung einer Kopie der verarbeiteter Daten, Art. 15 Abs. 3 DSGVO
- (2) Praxisfolgen von Art. 15 DSGVO
- b) Recht auf Berichtigung, Art. 16 DSGVO
- c) Pflicht zur Löschung von Daten, Art. 17 DSGVO
- d) Recht auf Vergessenwerden, Art. 17 Abs. 2 DSGVO
- e) Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
- f) Recht auf Datenübertragbarkeit, Art. 20 DSGVO
- g) Widerspruchsrecht
- h) Automatisierte Entscheidung im Einzelfall (einschließlich Profiling)
- 4. Gemeinsam für Verarbeitungen Verantwortliche
- 5. Auftragsverarbeitung
- 6. Datenaustausch im Konzern
- 7. Übermittlung personenbezogener Daten in Drittländer
- a) Voraussetzungen grenzüberschreitender Datenübermittlungen in Drittländer
- aa) Allgemeine Anforderungen an Übermittlungen in Drittländer
- bb) Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses
- cc) „Privacy Shield“
- dd) Datenübermittlungen auf der Grundlage geeigneter Garantien nach Art. 45 DSGVO
- ee) Ausnahmen für bestimmte Fälle, Art. 49 DSGVO
- ff) Übermittlung zur Wahrung zwingender berechtigter Interessen
- b) Datenschutzrechtliche Folgen des „Brexit“
- aa) Fortgeltung des bisherigen Rechts
- bb) Rechtskraft der Datenschutzgrundverordnung
- cc) Ausscheiden des Vereinigten Königreichs aus der EU („Brexit“)
- dd) Praktische Folgen des Brexit
- 8. Aufsichtsbehörden
- 9. Bewertung der Veränderungen durch die DSGVO – Folgen für Unternehmen
- V. Erlaubnistatbestände der DSGVO
- 1. Überblick
- a) Datenverarbeitungen nach Art. 6 DSGVO
- b) Datenverarbeitungen auf der Grundlage von Einwilligungen
- c) Verarbeitung besonderer Kategorien personenbezogener Daten
- d) Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten
- e) Besondere Verarbeitungssituationen
- 2. Erfüllung einer vertraglichen Verpflichtung, Art. 6 Abs. 1 lit. (b) DSGVO
- a) Erfüllung einer vertraglichen Pflicht
- b) Sonstige Anforderungen aus Art. 5 DSGVO
- 3. Wahrung berechtigter Interessen, Art. 6 Abs. 1 lit. (f) DSGVO
- a) Funktion von Art. 6 Abs. 1 lit. (f) DSGVO
- b) Interessenabwägung
- aa) Vernünftige Erwartungen der betroffenen Person
- bb) Näheverhältnis zwischen betroffener Person und Verantwortlichem
- cc) Datenverarbeitung für Compliance-Zwecke
- dd) Datenübermittlungen im Konzern
- ee) Sonstige für die Interessenabwägung relevante Belange
- 4. Zweckänderungen, Art. 6 Abs. 4 DSGVO
- 5. Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. (c) DSGVO
- a) Anforderungen an Rechtsvorschriften nach Art. 6 Abs. 3 DSGVO
- aa) Zweckfestlegung, Art. 6 Abs. 3 Satz 2 DSGVO
- bb) Spezifischere Bestimmungen möglich, Art. 6 Abs. 3 Satz 3 DSGVO
- cc) Ziel der Rechtsvorschrift, Art. 6 Abs. 3 Satz 3 DSGVO
- 6. Lebenswichtiges Interesse, öffentliches Interesse oder Ausübung öffentlicher Gewalt, Art. 6 Abs. 1 lit. (d), (e) DSGVO
- 7. Einwilligung, Art. 6 Abs. 1 lit. (a) DSGVO
- a) Anforderungen an Einwilligungen
- aa) Informiertheit
- bb) Freiwilligkeit
- cc) Eindeutigkeit
- dd) Widerruflichkeit
- ee) Einwilligungen von Kindern in Bezug auf Dienste der
- b) Koppelungsverbot bei Einwilligungen
- c) Einwilligungen in der Praxis
- 8. Verarbeitung besonderer Kategorien personenbezogener Daten
- a) Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten
- b) Erlaubnistatbestände zur Verarbeitung von Daten nach Art. 9 Abs. 2 DSGVO
- 9. Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten, Art. 10 DSGVO
- a) Anwendungsbereich von Art. 10 DSGVO
- aa) Strafrechtliche Verurteilungen
- bb) Mit Straftaten zusammenhängende Sicherungsmaßregeln
- cc) Straftaten
- b) Sonderfall: Datenverarbeitung für Compliance-Zwecke
- 10. Besondere Verarbeitungssituationen – insbesondere Beschäftigtendatenschutz
- a) Beschäftigtendatenschutz nach Art. 88 DSGVO
- b) Regelung durch Rechtsvorschriften
- c) Regelung durch Kollektivvereinbarungen
- d) Folgen des Anwendungsvorrangs der Verordnung für Informationsrechte des Betriebsrats
- VI. Projektplanung und Checkliste zur Umsetzung der DSGVO im Unternehmen
- 1. Leitfaden zur Implementierung der DSGVO
- a) Projektteam
- b) Festlegung von Projektzielen
- c) Ressourcenplanung
- d) Budgetplanung
- e) Risikoanalyse DSGVO
- f) Risiken für betroffene Personen
- aa) Mögliche Bußgelder
- bb) Zivilrechtliche Haftungsrisiken
- cc) Rufschäden
- dd) Arbeitsrechtliche Aspekte
- ee) Sonstige Nachteile
- g) Bestandsaufnahme
- h) Gap-Analyse
- i) Einbindung Datenschutzbeauftragter
- j) Datenschutzkommunikation
- k) Datenschutztrainings
- l) Datenschutzberatung
- m) Information und Abstimmung mit den Datenschutzaufsichtsbehörden
- n) Betriebsrat
- o) Betriebsvereinbarungen
- p) Planung der in der DSGVO geforderten Prozesse und Strukturen
- q) Beschwerdemanagement
- r) Vertragsmanagement
- s) Einwilligungsmanagement
- t) Dokumentation
- 2. Fazit und Ausblick
- Anhang 1: Praktiker-Glossar
- Anhang 2: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
- Sachregister
