Die vorliegende Arbeit befasst sich mit den Auswirkungen der Datenschutz-Grundverordnung auf die Pflichten des Verantwortlichen im nicht-öffentlichen Bereich.
Ziel dieser Arbeit ist es, die Auswirkungen der DSGVO auf die Pflichten des Verantwortlichen im außeröffentlichen Bereich, sprich von privatrechtlichen Unternehmen, aufzuzeigen und anhand dessen darzustellen, was Unternehmen im Rahmen der Einführung der Verordnung verändern, beachten oder umsetzen müssen. Da der gesetzliche Status quo vor Einführung der DSGVO dem der Datenschutzrichtlinie aus dem Jahr 1995 sowie dem zugehörigen Bundesdatenschutzgesetz entsprach, werden hierfür insbesondere die sich im Vergleich zu diesen beiden Regelwerken ergebenden Änderungen untersucht.
Eine Ausnahme bildet in diesem Kontext nur die eigentliche Datenverarbeitung, genauer: die Grundsätze der Datenverarbeitung aus Art. 5 ff. DSGVO, bei denen eben nicht nur die Änderungen betrachtet werden sollen. Diese sollen, da sie bei jeder Datenverarbeitung berücksichtigt werden müssen und ihnen deshalb eine besondere Bedeutung zukommt, vielmehr in ihrer Gesamtheit untersucht werden um damit anschaulich zu machen, was der Verantwortliche bei der Datenverarbeitung berücksichtigen muss. Zu Beginn jedoch sollen zunächst einmal die wichtigsten Grundlagen der Verordnung, die für den Rest der Untersuchung notwendig sind, kurz und knapp dargestellt werden.
Daraus folgt, dass diese Arbeit in drei Hauptteile gegliedert wird: Erstens die Grundlagen der Verordnung (Gegenstand, Anwendungsbereich, Umsetzung), zweitens die Grundsätze der Datenverarbeitung (hier insb. die Einwilligung, die als Herzstück der Datenverarbeitung gilt) und drittens die wesentlichsten Änderungen der Verordnung im Vergleich zur DSRL, die Auswirkungen auf die Pflichten des Verantwortlichen bei der Handhabung von personenbezogenen Daten im nicht-öffentlichen Bereich haben.
Inhaltsverzeichnis
A EINLEITUNG
I RÜCKBLICK
II EU-DATENSCHUTZREFORM
III ZIELSETZUNG
B GRUNDLAGEN DER DATENSCHUTZGRUNDVERORDNUNG
I ZIELE UND GEGENSTAND
II TERRITORIALER ANWENDUNGSBEREICH – EINFÜHRUNG DES MARKTORTPRINZIPS
III SACHLICHER ANWENDUNGSBEREICH
IV UMSETZUNG: ÖFFNUNGSKLAUSELN, DSANPUG & BDSG-NEU
C DIE GRUNDSÄTZE DER DATENVERARBEITUNG
I GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung
3. Datenminimierung
4. Richtigkeit
5. Speicherbegrenzung
6. Integrität und Vertraulichkeit
7. Rechenschaftspflicht
II RECHTMÄßIGKEIT DER VERARBEITUNG
1. Verarbeitung aufgrund Einwilligung
2. Verarbeitung zur Vertragserfüllung
III BEDINGUNGEN AN DIE EINWILLIGUNG
1. Voraussetzungen
a) Freiwilligkeit
b) Informiertheit (Art. 12 i.V.m. Art. 13, 14 DSGVO)
aa) Informationspflichten
bb) Besonderheiten zusammengesetzter Erklärungen
cc) Zeitpunkt und Umstände der Informationspflicht
dd) Entfallen der Informationspflicht
c) Bestimmtheit
d) Form
e) Zeitpunkt und Dauer
f) Einwilligungsfähigkeit
g) Vertretung
2. Beweislast
3. Widerruf
4. Fortgeltung von Alteinwilligungen
D AUSWIRKUNGEN DER DATENSCHUTZGRUNDVERORDNUNG AUF DIE PFLICHTEN DES VERANTWORTLICHEN
I TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
1. Sicherheit der Verarbeitung
2. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
a) Datenschutz durch Technikgestaltung (Privacy by Design)
b) Datenschutz durch Voreinstellungen (Privacy by Default)
II DIE DATENSCHUTZ-FOLGENABSCHÄTZUNG
1. Erforderlichkeit einer Datenschutz-Folgenabschätzung
a) Relevanzschwelle „voraussichtlich hohes Risiko“
b) Positiv- & Negativliste der Aufsichtsbehörden
c) Fälle zwingender Datenschutz-Folgenabschätzungen
2. Ablauf & Inhalt der Datenschutz-Folgenabschätzung
a) Die 4 Phasen der Datenschutz-Folgenabschätzung
b) Weitere organisatorische Informationen zum Ablauf der DSFA
c) Konsultationspflicht
III DER DATENSCHUTZBEAUFTRAGTE
1. Benennung eines Datenschutzbeauftragten
a) Bestellpflicht
b) Konzerndatenschutzbeauftragter
c) Anforderungsprofil des Datenschutzbeauftragten
2. Stellung und Aufgaben des Datenschutzbeauftragten
IV DAS VERARBEITUNGSVERZEICHNIS
1. Bisherige Rechtslage
2. Änderungen nach der DSGVO
V SICHERSTELLUNG DER BETROFFENEN-RECHTE
1. Auskunftsrecht der betroffenen Person
a) Recht auf Auskunft und auf Erhalt einer Kopie
b) Beschränkung durch das BDSG
2. Recht auf Berichtigung und Vervollständigung
3. Recht auf Löschung und „Recht auf Vergessenwerden“
a) Recht auf Löschung
b) Recht auf „Vergessenwerden“
c) Ausnahmen vom Löschungsanspruch und Beschränkungen durch das BDSG
4. Recht auf Einschränkung der Verarbeitung
5. Recht auf Datenübertragbarkeit
6. Widerspruchsrecht
a) Widerspruchsrechte nach Art. 21 Abs. 1, 2 und 6 DSGVO
b) Hinweispflicht des Verantwortlichen
7. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
a) Verbot automatisierter Entscheidungen
b) Ausnahmen vom Verbot unter strengen Voraussetzungen
8. Rahmenregelungen im Zusammenhang mit den Betroffenenrechten
a) Form und Sprache
b) Pflicht zur Erleichterung der Ausübung der Betroffenenrechte
c) Fristen zur Unterrichtung
d) Entgelt für Betroffenenrechte und Missbrauchsabwehr
e) Identifizierungszweifel und Verweigerungsrecht
VI MELDEPFLICHT BEI VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
1. Meldung an Aufsichtsbehörde
a) Voraussetzungen und Frist der Meldung
b) Inhalt der Meldung und Dokumentationspflicht des Verantwortlichen
2. Benachrichtigung an die betroffene Person
E ZUSAMMENFASSUNG UND ABSCHLIEßENDE BETRACHTUNGEN
Zielsetzung & Themen
Die Arbeit untersucht die Auswirkungen der Datenschutzgrundverordnung (DSGVO) auf die Pflichten Verantwortlicher im nicht-öffentlichen Bereich, insbesondere privatrechtlicher Unternehmen. Der Fokus liegt dabei auf den wesentlichen Änderungen durch die DSGVO im Vergleich zur bisherigen Rechtslage (Datenschutzrichtlinie 1995 und BDSG a.F.) sowie der detaillierten Betrachtung der Grundsätze der Datenverarbeitung und deren Umsetzung in die betriebliche Praxis.
- Grundlagen und Ziele der DSGVO im Vergleich zur Datenschutzrichtlinie
- Die Grundsätze der Datenverarbeitung (insbesondere die Einwilligung als Herzstück)
- Technische und organisatorische Maßnahmen zur Datensicherheit
- Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
- Die neue Rolle und Aufgaben des Datenschutzbeauftragten sowie das Verarbeitungsverzeichnis
- Stärkung und Konkretisierung der Rechte betroffener Personen
Auszug aus dem Buch
Die Rolle des Datenschutzes
Die Rolle des Datenschutzes nimmt seit der Entwicklung der Digitaltechnik und der damit verbundenen Datenerfassung, -speicherung und -übertragung stets an Bedeutung zu und ist in der heutigen Zeit nicht mehr wegzudenken. Dabei sind es vor allem Begriffe wie „Vorratsdatenspeicherung“, „Whistleblower“ oder „Hackerangriff“, die zuletzt des Öfteren in unseren Medien zu hören waren. All diese Begriffe haben gemein, dass bestimmte Daten von einer Partei – meist gegen den Willen einer anderen Partei – verarbeitet werden. Daten allein sind dabei jedoch zunächst völlig bedeutungslos, sie stellen lediglich eine Folge von Zeichen dar. Und dennoch, oder gerade deshalb, sind sie so schützenswert. Sie werden benötigt, um aus ihnen Informationen zu gewinnen. Sie stellen gewissermaßen das erste Glied und damit den Ursprung in der Kette der Verarbeitung dar, in deren weiteren Verlauf die Informationen, Wissen und schließlich auch damit verbundene Handlungen folgen können.
Wie wichtig Daten und ihre Verarbeitung zu Informationen sein können, zeigt ein Blick in die Geschichtsbücher, als zu Beginn der 30er Jahre Franzosen, Briten und Polen versuchten, die deutsche „Enigma“-Maschine zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs zu entschlüsseln. Zwar konnten die verschlüsselten Nachrichten – also die Daten – abgefangen werden, jedoch konnten sie aufgrund der Verschlüsselungsqualität der Maschine nicht zu einem Text und somit auch nicht zu Informationen verarbeitet werden. Erst als es den Briten unter der Führung des heute berühmten Alan Turing 1942 gelang, sämtliche Verschlüsselungssysteme der Enigma zu knacken, konnten die Alliierten entscheidend in den Kriegsverlauf eingreifen.
Zusammenfassung der Kapitel
A EINLEITUNG: Die Einleitung beleuchtet die steigende Bedeutung des Datenschutzes im digitalen Zeitalter und definiert die Zielsetzung der Arbeit, die Änderungen durch die DSGVO für nicht-öffentliche Stellen aufzuzeigen.
B GRUNDLAGEN DER DATENSCHUTZGRUNDVERORDNUNG: Dieses Kapitel erläutert die Ziele, den territorialen und sachlichen Anwendungsbereich sowie die Umsetzung der DSGVO durch Öffnungsklauseln und das DSAnpUG.
C DIE GRUNDSÄTZE DER DATENVERARBEITUNG: Das Kapitel behandelt die zentralen Grundsätze wie Rechtmäßigkeit, Zweckbindung und Datenminimierung und analysiert detailliert die Bedingungen an eine wirksame Einwilligung.
D AUSWIRKUNGEN DER DATENSCHUTZGRUNDVERORDNUNG AUF DIE PFLICHTEN DES VERANTWORTLICHEN: Der Hauptteil analysiert die konkreten Pflichten wie technische Maßnahmen (TOM), die Datenschutz-Folgenabschätzung (DSFA), die Rolle des Datenschutzbeauftragten sowie die erweiterten Betroffenenrechte.
E ZUSAMMENFASSUNG UND ABSCHLIEßENDE BETRACHTUNGEN: Das Fazit fasst die Herausforderungen für Unternehmen bei der Umsetzung der DSGVO zusammen und bewertet die Auswirkungen der Verordnung auf die unternehmerische Praxis.
Schlüsselwörter
Datenschutzgrundverordnung, DSGVO, Personenbezogene Daten, Verantwortlicher, Datenverarbeitung, Datenschutzbeauftragter, Datenschutz-Folgenabschätzung, DSFA, Betroffenenrechte, Einwilligung, Zweckbindung, Datensicherheit, BDSG-neu, Marktortprinzip, Verarbeitungsverzeichnis.
Häufig gestellte Fragen
Worum geht es in dieser Master-Thesis grundlegend?
Die Arbeit analysiert, wie sich die Anforderungen der DSGVO auf die Pflichten von nicht-öffentlichen Stellen, also privatrechtlichen Unternehmen, auswirken und welche praktischen Konsequenzen dies für die Datenverarbeitung hat.
Welche Themenfelder stehen im Mittelpunkt der Untersuchung?
Zentral sind die Grundlagen der DSGVO, die Grundsätze der Datenverarbeitung, technische und organisatorische Sicherheitsmaßnahmen sowie die erweiterten Rechte der betroffenen Personen.
Was ist das primäre Ziel der Forschungsarbeit?
Ziel ist es, die Auswirkungen der DSGVO auf die Pflichten Verantwortlicher aufzuzeigen und anhand der Änderungen gegenüber der DSRL und dem BDSG a.F. darzustellen, welche praktischen Anpassungen Unternehmen vornehmen müssen.
Welche wissenschaftliche Methodik wird in der Arbeit verwendet?
Die Arbeit basiert auf einer juristischen Analyse der DSGVO-Regelungen im Vergleich zur bisherigen Rechtslage (DSRL/BDSG a.F.) unter Einbeziehung relevanter Fachliteratur und Erwägungsgründe.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil widmet sich den Pflichten des Verantwortlichen, insbesondere technischen Maßnahmen (TOM), der Datenschutz-Folgenabschätzung (DSFA), der Bestellung und Rolle des Datenschutzbeauftragten sowie dem Verarbeitungsverzeichnis und dem Schutz der Betroffenenrechte.
Welche Schlüsselwörter charakterisieren die vorliegende Arbeit?
Die wichtigsten Begriffe sind DSGVO, personenbezogene Daten, Einwilligung, Datenschutz-Folgenabschätzung (DSFA), Verantwortlicher, Datensicherheit und Betroffenenrechte.
Welche besondere Bedeutung hat die "Einwilligung" in der Arbeit?
Die Einwilligung gilt als Herzstück der Datenverarbeitung und wird im Kapitel C detailliert auf ihre rechtlichen Voraussetzungen, wie Freiwilligkeit, Informiertheit und Bestimmtheit, untersucht.
Wie unterscheidet sich die "Datenschutz-Folgenabschätzung" (DSFA) von bisherigen Verfahren?
Die DSFA wird als eine der wenigen echten regulatorischen Innovationen der DSGVO hervorgehoben, die die frühere Vorabkontrolle ersetzt und einen risikoorientierten Ansatz zur präventiven Risikoeinschätzung darstellt.
- Citar trabajo
- LL.B. Paul Frommholz (Autor), 2018, Auswirkungen der Datenschutzgrundverordnung auf die Pflichten des Verantwortlichen im nicht-öffentlichen Bereich, Múnich, GRIN Verlag, https://www.grin.com/document/457792
