E-Book, Deutsch, 316 Seiten, DG
Reihe: Datenschutzberater
ISBN: 978-3-8005-9297-5
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: EPUB
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Hierfür ist aktuelles Praxiswissen erforderlich. Das vorliegende Werk hilft beim Einstieg in die Aufgabe des Datenschutzbeauftragten und bei der Strukturierung der täglichen Arbeit. Grundlage hierfür sind die Regelungen der DSGVO wie auch die der aktuellen nationalen datenschutzrechtlichen Normen. Dabei wird Wert auf eine verständliche Darstellung eines recht komplexen Datenschutzrechts gelegt, die auch Nicht-Juristen die Erschließung der Materie erlauben soll.
Zielgruppe
Betriebliche Datenschutzbeauftragte, Unternehmensjuristen, externe Datenschutzexperten, Rechtsanwälte, Mitarbeiter in Compliance-Abteilungen, Geschäftsführer und Manager, in deren Verantwortungsbereich Datenschutz und IT fallen, Unternehmen, Vereine
Autoren/Hrsg.
Weitere Infos & Material
5.3. Struktur der DSGVO
Die DSGVO hat einen gut strukturierten Aufbau. Die 11 Kapitel sind wie folgt aufgebaut: Schon anhand der Überschriften der Kapitel können wir leicht erkennen, dass wir uns nicht mit jedem Kapitel gleichermaßen viel beschäftigen müssen. Noch besser: Mit einigen Kapiteln brauchen wir uns gar nicht zu beschäftigen. Die Schlussbestimmungen in Kapitel 11 und auch die Durchführungsrechtsakte in Kapitel 10 sind praktisch für Einsteiger nicht von Bedeutung. Und was ist mit den Kapiteln zu den Aufsichtsbehörden und deren Zusammenarbeit (Kapitel 6 und 7)? Nun, da müssen wir uns zunächst auch nur merken, dass die Aufsichtsbehörden eine Menge Befugnisse gegenüber Verantwortlichen haben und auf komplizierte Weise miteinander zusammenzuarbeiten haben. Zumindest wenn es um Datenverarbeitung mit grenzüberschreitenden Bezügen geht („One Stop Shop“ (OSS)). Dann sieht es schon einfacher aus: Da es für Einsteiger zunächst beim Wissenserwerb darum gehen sollte, wie ich Datenschutzrecht einzuhalten habe und nicht wie Verstöße geahndet werden können, können wir auch das Kapitel 8 streichen. Wir merken uns hier nur, dass Aufsichtsbehörden Bußgelder und andere Sanktionen verhängen können und dass es einen Schadensersatzanspruch von Betroffenen gibt. Und auch das Kapitel 9 brauchen wir als Einsteiger nicht. Denn dort sind im Wesentlichen Öffnungsklauseln enthalten, die den Mitgliedsstaaten eröffnen, z.B. im Bereich der Meinungsfreiheit oder auch auf dem Gebiet des Arbeitsrechts eigene gesetzliche Regelungen zu treffen. Dann sieht das Ganze doch noch übersichtlicher aus: Es verbleiben dann also zunächst noch fünf Kapitel. Und wenn wir uns dann vor Augen führen, dass wir in der Praxis nur sehr selten das Kapitel 1 mit den allgemeinen Bestimmungen benötigen und schließlich auch das Thema „Drittlandsverarbeitung“ zunächst ausklammern, dann bleiben letztlich nur drei Kapitel übrig: Auch diese drei Kapitel sind für Einsteiger schon ausreichend „Stoff“. Es bringt Einsteigern nur nichts, wenn sie gleich am Anfang überfordert sind. Daher beschäftigen wir uns zunächst nur mit diesen drei Kapiteln und schauen uns dann später noch die Drittlandsverarbeitung an, um die praktisch relevantesten Fälle in diesem Gebiet zumindest grob kennenzulernen. Die drei Kapitel, mit denen wir uns beschäftigen sind wie folgt aufgebaut: – Kapitel 2 – Grundsätze
– Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
– Art. 6 Rechtmäßigkeit der Verarbeitung
– Art. 7 Bedingungen für die Einwilligung
– Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
– Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten
– Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
– Art. 11 Verarbeitungen, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
– Kapitel 3 – Recht der betroffenen Person
– Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
– Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
– Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
– Art. 15 Auskunftsrecht der betroffenen Person
– Art. 16 Recht auf Berichtigung
– Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)
– Art. 18 Recht auf Einschränkung der Verarbeitung
– Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
– Art. 20 Recht auf Datenübertragbarkeit
– Art. 21 Widerspruchsrecht
– Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
– Art. 23 Beschränkungen
– Kapitel 4 – Verantwortliche und Auftragsverarbeiter
– Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen
– Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
– Art. 26 Gemeinsame Verantwortliche
– Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
– Art. 28 Auftragsverarbeiter
– Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
– Art. 30 Verzeichnis von Verarbeitungstätigkeiten
– Art. 31 Zusammenarbeit mit der Aufsichtsbehörde
– Art. 32 Sicherheit der Verarbeitung
– Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
– Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
– Art. 35 Datenschutz-Folgenabschätzung
– Art. 36 Vorherige Konsultation
– Art. 37 Benennung eines Datenschutzbeauftragten
– Art. 38 Stellung des Datenschutzbeauftragten
– Art. 39 Aufgaben des Datenschutzbeauftragten
– Art. 40 Verhaltensregeln
– Art. 41 Überwachung der genehmigten Verhaltensregeln
– Art. 42 Zertifizierung
– Art. 43 Zertifizierungsstellen
Um ganz ehrlich zu sein, ist das für Einsteiger in die datenschutzrechtliche Materie immer noch viel zu viel „Stoff“. Und daher werden wir bedeutende Kürzungen vornehmen und uns mit den Inhalten beschäftigen, die ich für Einsteiger für vornehmlich relevant halte. Ich bin der festen Überzeugung, dass du nur dann ein guter DSB wirst, wenn du mit den „Basics“ beginnst und diese „sitzen“. Ich habe oft bei langjährigen Datenschutzbeauftragten die Erfahrung gemacht, dass manchmal die „Basics“ einfach verinnerlicht waren. Es bringt eben nichts, wenn ich mich mit irgendwelchen Details der Drittlandsverarbeitung in Sub-Unterauftragnehmer-Konstellationen auskenne, aber passen muss, wenn es um eine Datenverarbeitung auf Basis einer Interessenabwägung geht, weil ich nicht weiß, wie eine Interessenabwägung funktioniert. Wenn es nur eine Norm gibt, deren Inhalt (nicht Wortlaut) du sofort wiedergeben würdest, wenn ich dich um 3 Uhr nachts aus dem Schlaf reißen würde, dann wäre es Art. 6 Abs. 1 DSGVO. Das ist die Norm, die du einfach beherrschen darfst. Ich nenne diese Norm Gemüsenorm. Früher hieß die bei mir „Brot-und-Butter“-Norm. Aber seitdem mich mein Ernährungsmediziner auf „Low Carb“ mit Schwerpunkt Gemüse eingeschworen hat, ist es halt meine Gemüsenorm. Aber Spaß beiseite. Art. 6 Abs. 1 DSGVO enthält die Normen, in denen geregelt ist, ob und in welchem Umfang ich personenbezogene Daten verarbeiten darf. Es gibt keine Norm in der DSGVO, die wichtiger ist, als diese. Die angesprochenen „Basics“, die DSB als Einstieg kennenlernen sollten, sind diese: – Grundsätze für die Verarbeitung personenbezogener Daten
– Art. 6 Abs. 1 DSGVO – die Gemüsenorm
– Einwilligung („ALTernative“)
– Datenverarbeitung zur Erfüllung von Verträgen („Dickes B“)
– Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung („Caesar“)
– Verarbeitung für lebenswichtige Interessen („Dead“)
– Verarbeitung für Wahrnehmung öffentlicher Aufgaben („Echt jetzt“)
– Verarbeitung auf Basis einer Interessenabwägung...
