Die Arbeit greift die wichtigsten Grundbestandteile für Unternehmen innerhalb der neuen Datenschutz-Grundverordnung auf und analysiert die Umsetzung aus Unternehmenssicht. Ab dem 25.05.2018 gilt die DSGVO innerhalb der Europäischen Union. Für Unternehmen bedeutet dies eine Anpassung ihrer Datenschutzmanagementsysteme an die neuen Anforderungen der DSGVO. Für deutsche Unternehmen ergeben sich zudem ergänzende Zusatznormen aus dem neuen BDSG, die durch Öffnungsklauseln im DSGVO vom nationalen Gesetzgeber geschaffen wurden.
Die Publikation greift auf die alten Regelungen nach der DS-RL und dem BDSG (alt) zurück, um Neuerungen zu identifizieren. Gleichzeitig werden die Erwägungsgründe der DSGVO und die aktuelle Literatur genutzt, um eine rechtssichere Darstellung der Anforderungen des neuen Datenschutzrechts herzustellen.
Zusätzlich sorgen statistische Daten zum aktuellen Umsetzungstand der neuen Datenschutzregelungen unterschiedlicher Branchen sowie eine Expertenmeinung für die Sensibilisierung der Managementebenen von Unternehmen. Schlussendlich wird mit kritischem Blick auf die DSGVO und auf das BDSG (neu) ein Ausblick in die Zukunft des Datenschutzrechts gegeben und ein abschließendes Fazit gezogen.
Die Ausarbeitung enthält ein Experteninterview.
Inhaltsverzeichnis
A. Einleitung
I. Problemstellung
II. Gang der Darstellung und Analyse
B. Grundlagen des Datenschutzrechts
I. Hintergrund des Datenschutzrechts
1. Das europäische Datenschutzrecht
2. Die Datenschutzrichtlinie 95/46/EG
3. Das Bundesdatenschutzgesetz (neu)
II. Die Grundprinzipien der DSGVO
1. Rechtmäßigkeit, Treu und Glaube, Transparenz, Art. 5 Abs. 1 a) DSGVO
2. Zweckbindung, Art. 1 Abs. 2 b) DSGVO
3. Datenminimierung, Art. 5 Abs. 1 c) DSGVO
4. Richtigkeit, Art. 5 Abs. 1 d) DSGVO
5. Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO
6. Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO
7. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
III. Sachlicher Anwendungsbereich
1. Sachlicher Anwendungsbereich der DSGVO
2. Sachlicher Anwendungsbereich des BDSG (neu)
IV. Räumlicher Anwendungsbereich
1. Das Marktortprinzip, Art. 3 Abs. 2 DSGVO
a) Angebot von Waren oder Dienstleistungen, Art. 3 Abs. 2 a) DSGVO
b) Verhaltensbeobachtung und Profiling, Art. 3 Abs. 2 b) DSGVO
C. Datenschutzrecht aus Unternehmenssicht
I. Die Rolle des Datenschutzbeauftragten
1. Stellung des Datenschutzbeauftragten, Art. 38 DSGVO
2. Öffnungsklausel zur Benennung des Datenschutzbeauftragten
3. Aufgaben und Befugnisse des Datenschutzbeauftragten
4. Erweitertes Haftungsrisiko des Datenschutzbeauftragten
II. Das Verarbeitungsverzeichnis
1. Das Verarbeitungsverzeichnis des Verantwortlichen
2. Das Verarbeitungsverzeichnis des Auftragsverarbeiters
3. Das Verarbeitungsverzeichnis in der Praxis
III. Die Datenschutz-Folgenabschätzung
1. Der Begriff des „hohen Risikos“
2. Der Begriff der „neuen Technologien“ gem. Art. 35 Abs. 1 DSGVO
3. Fallgruppen der Datenschutz-Folgenabschätzung
4. Anforderungen an die Datenschutz-Folgenabschätzung
5. Modell der Datenschutz-Folgenabschätzung
a) Die Risikobewertung („risk assessment“)
b) Die Risikobehandlung („risk treatment“)
c) Das Konsultationsverfahren („risk consultation“)
IV. Die technischen und organisatorischen Maßnahmen
1. Datenschutz durch Technikgestaltung „privacy by design“
2. Datenschutz durch datenschutzfreundliche Voreinstellungen „privacy by default“
3. Orientierungshilfen für Lösch- und Sperrkonzepte
a) Einwilligung bei der Erhebung von Daten
b) Ein Vertrag kommt zustande
c) Zusatzleistungen
d) Sonstige Löschfristen
V. Die Betroffenenrechte
1. Informationspflichten, Art. 13, 14 DSGVO
a) Ausnahmenkatalog, Art. 13 Abs. 4 DSGVO i.V.m. § 32 BDSG (neu)
b) Ausnahmenkatalog, Art. 14 Abs. 5 a) DSGVO i.V.m. § 33 BDSG (neu)
2. Auskunftsansprüche, Art. 15 DSGVO
3. Berichtigungsansprüche, Art. 16 DSGVO
4. Löschungsansprüche, Art. 17 DSGVO
5. Das Recht auf Datenübertragbarkeit, Art. 20 DSGVO
VI. Die Auftragsverarbeitung
1. Inhalt einer Auftragsverarbeitungsvereinbarung
2. Abgrenzung Auftragsverarbeitung vs. Joint Controllership
3. Abgrenzung Auftragsverarbeitung vs. Funktionsübertragung
VII. Die Datenübertragung in Drittländer
1. Der Angemessenheitsbeschluss
a) Das Beispiel EU-US-Privacy Shield
2. Die Garantien
a) Binding Corporate Rules (BCR), Art. 46 Abs. 2 b) DSGVO
b) Standarddatenschutzklauseln, Art. 46 Abs. 2 c) DSGVO
c) Codes of Conduct, Art. 46 Abs. 2 e) DSGVO
d) Vertragsklauseln, Art. 46 Abs. 3 a) DSGVO
3. Brexit: Großbritannien und Nordirland als Drittländer
D. Ausblick & Fazit
I. Ausblick auf das Datenschutzrecht aus Unternehmenssicht
II. Ausblick auf das Datenschutzrecht aus Expertensicht
1. Interview mit Herrn Tim Wybitul
2. Resümee zum Interview
III. Fazit
Zielsetzung & Themen
Die Masterthesis verfolgt das Ziel, die durch die DSGVO und das neu gefasste BDSG entstandene Rechtsunsicherheit in Unternehmen zu adressieren. Dabei wird der aktuelle Rechtsstand kritisch analysiert, um Unternehmen konkrete Handlungsempfehlungen für die praktische Umsetzung eines konformen Datenschutzmanagements an die Hand zu geben.
- Analyse der DSGVO-Grundprinzipien und deren Auswirkungen auf die betriebliche Praxis.
- Untersuchung des sachlichen und räumlichen Anwendungsbereichs inklusive Marktortprinzip.
- Detaillierte Erläuterung der Pflichten von Datenschutzbeauftragten und Verarbeitungsverzeichnissen.
- Systematik der Datenschutz-Folgenabschätzung sowie technische und organisatorische Maßnahmen.
- Bewertung von Betroffenenrechten und Mechanismen zur Datenübertragung in Drittländer.
Auszug aus dem Buch
3. Orientierungshilfen für Lösch- und Sperrkonzepte
Um das besagte Lösch- und Sperrkonzept möglichst datenschutzkonform auszugestalten, empfiehlt es sich zunächst eine Auflistung der rechtlichen Tatbestände zu ermitteln, die eine Erhebung, Aufbewahrung und Verarbeitung personenbezogener Daten rechtfertigen. Daran anknüpfend ist zusätzlich das gesetzliche Fristenmanagement zu beachten, um zu analysieren, wann eine Rechtsgrundlage entfällt und der entsprechende Lösch- oder Sperrvorgang angestoßen werden muss. Dies erfolgt im Idealfall systemseitig durch das vorhandene CRM-System eines Unternehmens. Um das Konzept für Unternehmen in der Allgemeinheit zu halten, werden keine Branchenspezifikationen berücksichtigt.
a) Einwilligung bei der Erhebung von Daten
Das Unternehmen hat sich bei der Erhebung personenbezogener Daten die Einwilligung der Betroffenen gemäß Art. 6 Abs. 1 a) DSGVO einzuholen. Dies ist dem Umstand geschuldet, dass sich bei der ersten Kontaktaufnahme regelmäßig noch kein vertragliches Schuldverhältnis ergibt, dass einen anderen Erlaubnistatbestand nach Art. 6 DSGVO rechtfertigen könnte. Im Rahmen des „Accountability“-Ansatzes des Art. 5 Abs. 2 DSGVO muss der Verantwortliche dafür Sorge tragen, dass die Grundsätze des Art. 5 DSGVO eingehalten werden und darüber hinaus die Einhaltung der Grundsätze vom Verantwortlichen nachgewiesen werden können. Der Verantwortliche hat also primär die Aufgabe bei Erstkontakt mit potenziellen Kunden die Informationspflichten nach Art. 13, 14 DSGVO in Form von Mailings oder Schriftverkehr einzuhalten und dies innerhalb seiner CRM-Strukturen zu dokumentieren. In Bezug auf die Beweislast für die Einwilligung erfolgt so eine, für die Praxis gängige, Absicherung des Unternehmens.
Zusammenfassung der Kapitel
A. Einleitung: Darstellung der Problemstellung und Einführung in die Forschungsfrage sowie den methodischen Aufbau der Arbeit.
B. Grundlagen des Datenschutzrechts: Erörterung der historischen Entwicklung, der DSGVO-Grundprinzipien sowie der Anwendungsbereiche (sachlich/räumlich).
C. Datenschutzrecht aus Unternehmenssicht: Detaillierte Untersuchung der betrieblichen Praxis, inklusive Datenschutzbeauftragter, Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzung, Betroffenenrechte und Datentransfer.
D. Ausblick & Fazit: Zusammenfassende Bewertung der Umsetzungsbereitschaft von Unternehmen und Expertenmeinung zur zukünftigen Entwicklung des Datenschutzes.
Schlüsselwörter
DSGVO, BDSG, Datenschutz, Datenschutzbeauftragter, Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, Marktortprinzip, Betroffenenrechte, Auftragsverarbeitung, Drittlandtransfer, Privacy by Design, Privacy by Default, Löschkonzept, Rechtssicherheit, Datenverarbeitung.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit?
Die Arbeit analysiert die Auswirkungen der europäischen Datenschutz-Grundverordnung (DSGVO) und des novellierten Bundesdatenschutzgesetzes (BDSG) aus der Perspektive von Unternehmen.
Was sind die zentralen Themenfelder?
Schwerpunkte liegen auf den Grundprinzipien der DSGVO, dem betrieblichen Datenschutzmanagement, der Datenschutz-Folgenabschätzung sowie dem Datentransfer in Drittländer.
Welches Ziel verfolgt die Forschungsarbeit?
Ziel ist es, die herrschende Rechtsunsicherheit bei der Implementierung der neuen Vorgaben zu mindern und praxisorientierte Handlungshinweise für Unternehmen zu entwickeln.
Welche wissenschaftliche Methode kommt zum Einsatz?
Es wird eine juristische Analyse der neuen Rechtsnormen durchgeführt, ergänzt durch eine Expertenmeinung (Interview) und eine Einordnung mittels Statistiken zur Umsetzungspraxis.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in Grundlagen, den Anwendungsbereich der Normen sowie die konkrete Ausgestaltung der betrieblichen Prozesse, wie etwa die Rolle des Datenschutzbeauftragten.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zentrale Begriffe sind DSGVO, BDSG, Verarbeitungsverzeichnis, Auftragsverarbeitung, Datenschutz-Folgenabschätzung und Marktortprinzip.
Welche Rolle spielt das neue Marktortprinzip?
Das Marktortprinzip weitet den Anwendungsbereich der DSGVO auf Unternehmen außerhalb der EU aus, sofern sie Waren oder Dienstleistungen innerhalb der Union anbieten.
Wie bewerten Experten die Umsetzung der DSGVO in der Praxis?
Die befragten Experten sehen die DSGVO als ein komplexes, aber notwendiges Regelungswerk, mahnen jedoch eine zu weite Auslegung von Öffnungsklauseln an.
Warum ist die Datenschutz-Folgenabschätzung für Unternehmen so relevant?
Sie dient als Risikomanagement-Instrument, um bei risikoreichen Datenverarbeitungsvorgängen die Rechte und Freiheiten der Betroffenen zu schützen.
- Quote paper
- Cagatay Bilgic (Author), 2018, Die europäische Datenschutz-Grundverordnung und das reformierte BDSG. Das neue Datenschutzrecht aus Unternehmenssicht, Munich, GRIN Verlag, https://www.grin.com/document/445059
