Handbuch
E-Book, Deutsch, 489 Seiten
Reihe: Recht Wirtschaft Steuern - Handbuch
ISBN: 978-3-8005-9032-2
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Die zweite Auflage dieses Werkes ist vollständig überarbeitet und bildet vor allem auch die aktuelle Rechtsprechung der Arbeitsgerichte zum Arbeitnehmerdatenschutz ab. Die Autoren, selbst erfahrene Rechtsberater und Trainer bei einschlägigen Seminaren und Workshops, beschreiben u.a. die Risiken beim Umgang mit Daten und geben Tipps zur Abstimmung konkret geplanter Maßnahmen mit Datenschutz-Aufsichtsbehörden.
Zudem bietet die Neuauflage ein neues umfangreiches Praktiker-Glossar, in dem wesentliche Begriffe des Datenschutzes in den Kontext gestellt und anschaulich erklärt werden. Neu hinzugekommen sind weiterhin übersichtliche Handlungshilfen für Datenschutz-Praktiker, die die operative und strategische Implementierung des Datenschutzes im Unternehmen erleichtern.
Zielgruppe
In-House-Juristen, Rechtsanwälte, Datenschutzbeauftragte, Mitarbeiter in Compliance-Abteilungen, internen Revisionsabteilungen und Wirtschaftsprüfungsunternehmen, Studenten, Vorstände, Geschäftsführer und Manager, in deren Verantwortungsbereich Datenschutz, IT, Compliance und Revision fallen
Autoren/Hrsg.
Weitere Infos & Material
1;Cover;1
2;Titel;3
3;Impressum;4
4;Vorwort zur zweiten Auflage;5
5;Vorwort zur ersten Auflage;6
6;Inhaltsverzeichnis;8
7;Teil 1: Grundzüge des BDSG;19
7.1;Kapitel 1: Einführung;19
7.1.1;I. Einleitung;19
7.1.2;II. Was sollte man zur Entwicklung des BDSG von 1977 – 2014 wissen?;20
7.1.2.1;1. Verkündung 1977;21
7.1.2.2;2. Volkszählungsurteil von 1983;21
7.1.2.3;3. Erste Neufassung 1990;22
7.1.2.4;4. BDSG-Reform von 2001;22
7.1.2.5;5. BDSG-Novelle von 2009;23
7.1.2.6;6. Entwurf eines „Gesetzes zur Regelung des Beschäftigtendatenschutzes“;23
7.1.3;III. Welche europäischen Entwicklungen haben Auswirkungen auf die Anwendung des BDSG?;24
7.1.3.1;1. Relevante EuGH-Rechtsprechung zum BDSG;24
7.1.3.1.1;a) Entscheidung vom 6.3.2003 (Rs. C-101 / 01);24
7.1.3.1.2;b) Urteil vom 20.5.2003 (Rs. T-179 / 02);25
7.1.3.1.3;c) Urteil vom 8.11.2007 (Rs. T-194 / 04);25
7.1.3.1.4;d) Urteil vom 16.12.2008 (C-524 / 06);25
7.1.3.1.5;e) Entscheidung vom 9.3.2010 (Rs. C-518 / 07);26
7.1.3.1.6;f) Entscheidung vom 24.11.2011 (verb. Rs. C-468 / 10, C-469 / 10);26
7.1.3.2;2. Die EU-Datenschutz-Grundverordnung;27
7.1.4;IV. Mit welchen Problemen muss man beim Umgang mit dem BDSG in der Praxis rechnen?;28
7.1.4.1;1. Sprachliche Schwächen des BDSG;28
7.1.4.2;2. Verwendung unbestimmter Rechtsbegriffe;29
7.1.4.3;3. Fehlende Vorgaben von Gerichten und Aufsichtsbehörden;29
7.1.4.4;4. Verschachtelter Aufbau des BDSG;31
7.1.5;V. Warum sollten Unternehmen das BDSG beachten?;33
7.2;Kapitel 2: Welche Grundprinzipien des BDSG sollte man kennen?;35
7.2.1;I. Was bedeuten Begriffe wie Verhältnismäßigkeitsgrundsatz, Datenvermeidung oder Datensparsamkeit?;35
7.2.1.1;1. Recht auf informationelle Selbstbestimmung;35
7.2.1.2;2. Interessenabwägung;36
7.2.1.3;3. Datenvermeidung und Datensparsamkeit, § 3a BDSG;37
7.2.1.4;4. Prüfung der Verhältnismäßigkeit einer konkreten Maßnahme;38
7.2.1.4.1;a) Geeignetheit;38
7.2.1.4.2;b) Erforderlichkeit;39
7.2.1.4.3;c) Angemessenheit;40
7.2.2;II. Was hat es mit dem Verbot mit Erlaubnisvorbehalt auf sich?;40
7.2.3;III. Was besagt der Grundsatz der Zweckbindung bei der Verarbeitung personenbezogener Daten?;41
7.2.4;IV. Was bedeutet Transparenz gegenüber dem Betroffenen im deutschen Datenschutzrecht?;42
7.3;Kapitel 3: Was gehört zum Basiswissen bei der praktischen Anwendung des BDSG?;44
7.3.1;I. Wer ist für die Einhaltung der Regeln des BDSG verantwortlich?;44
7.3.2;II. Für welche Formen der Datenverarbeitung gilt das BDSG?;46
7.3.2.1;1. Einsatz von Datenverarbeitungsanlagen oder dateimäßige Verarbeitung;46
7.3.2.2;2. Keine Anwendung des BDSG für ausschließlich persönliche oder familiäre Tätigkeiten;48
7.3.2.3;3. Keine Anwendung des BDSG, wenn es durch Spezialgesetze verdrängt wird;49
7.3.3;III. Was sind personenbezogene Daten?;50
7.3.3.1;1. Einzelangaben;50
7.3.3.2;2. Persönliche oder sachliche Angaben;51
7.3.3.3;3. Bestimmbarkeit einer natürlichen Person durch die fraglichen Daten;52
7.3.4;IV. Was sind besondere Arten personenbezogener Daten?;52
7.3.5;V. Was bedeutet das Erheben personenbezogener Daten?;52
7.3.5.1;1. Bedeutung des Begriffs „Erheben“;53
7.3.5.2;2. Grundsatz der Direkterhebung;54
7.3.5.3;3. Ausnahmen vom Grundsatz der Direkterhebung;55
7.3.5.4;4. Information des Betroffenen bei der Direkterhebung;57
7.3.6;VI. Was ist das Verarbeiten personenbezogener Daten?;58
7.3.6.1;1. Bedeutung des Begriffs „Speichern“;58
7.3.6.2;2. Bedeutung des Begriffs „Verändern“;58
7.3.6.2.1;a) Anonymisieren von Daten;60
7.3.6.2.2;b) Pseudonymisieren von Daten;62
7.3.6.3;3. Bedeutung des Begriffs „Übermitteln“;63
7.3.6.4;4. Bedeutung des Begriffs „Löschen“;65
7.3.6.5;5. Bedeutung des Begriffs „Sperren“;66
7.3.7;VII. Was versteht man unter dem Nutzen von personenbezogenen Daten?;67
7.3.8;VIII. Was ist eine Auftragsdatenverarbeitung?;68
7.3.8.1;1. Anwendungsbereich von § 11 BDSG;68
7.3.8.2;2. Wesentliche Voraussetzung einer Auftragsdatenverarbeitung: Weisungsgebundenheit des Auftragnehmers;70
7.3.8.3;3. Auftragsdatenverarbeitung nur innerhalb der EU oder EWR;71
7.3.8.4;4. Auswahl und Überwachung des Auftragnehmers;72
7.3.8.5;5. Sonderfall: Cloud Computing;72
7.4;Kapitel 4: Was muss man zur Verwendung von Einwilligungen wissen?;75
7.4.1;I. Kann man Einwilligungen der Betroffenen auch neben gesetzlichen Erlaubnistatbeständen einsetzen?;76
7.4.2;II. Welche praktischen Probleme müssen bei der Verwendung von Einwilligungen berücksichtigt werden?;78
7.4.2.1;1. Zeitpunkt;80
7.4.2.2;2. Widerrufbarkeit;80
7.4.2.3;3. Inhaltliche und formelle Anforderungen an eine Einwilligung des Betroffenen;81
7.4.2.3.1;a) Transparenz der Einwilligung;81
7.4.2.3.2;b) Freiwilligkeit der Einwilligung;82
7.4.2.3.3;c) Informierte Einwilligung;84
7.4.2.3.4;d) Formelle Anforderungen an Einwilligungserklärungen;85
7.5;Kapitel 5: Gesetzliche Erlaubnisnormen des BDSG;89
7.5.1;I. Datenverarbeitung aufgrund gesetzlicher Anordnung;90
7.5.1.1;1. Beispiele für anordnende Gesetzesnormen;90
7.5.1.2;2. Inhaltliche Anforderungen an derartige Spezialnormen;91
7.5.1.3;3. Reichweite derartiger Spezialvorschriften;93
7.5.2;II. Datenverarbeitung aufgrund gesetzlicher Erlaubnis(§ 28 BDSG);93
7.5.2.1;1. Datenverarbeitung zur Begründung, Durchführung oder Beendigung von Schuldverhältnissen, § 28 Abs. 1 Satz 1 Nr. 1 BDSG;94
7.5.2.1.1;a) Das Schuldverhältnis im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG;95
7.5.2.1.2;b) Erforderlichkeit im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG;96
7.5.2.1.3;c) Angemessene Berücksichtigung der schutzwürdigen Interessen des Betroffenen;97
7.5.2.2;2. Datenverarbeitung zur Wahrung berechtigter Interessen der verantwortlichen Stelle, § 28 Abs. 1 Satz 1 Nr. 2 BDSG;97
7.5.2.2.1;a) Erfüllung eigener Geschäftszwecke;98
7.5.2.2.2;b) Wahrung berechtigter Interessen;100
7.5.2.2.3;c) Überwiegende schutzwürdige Interessen des Betroffenen;101
7.5.2.3;3. Datenverarbeiten für Zwecke des Adresshandels oder der Werbung, § 28 Abs. 3 BDSG;105
7.5.2.4;4. Verarbeitung sensibler Daten, § 28 Abs. 6-9 BDSG;107
7.5.3;III. Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses (§ 32 BDSG);108
7.5.3.1;1. Umgang mit Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses, § 32 Abs. 1 Satz 1 BDSG;114
7.5.3.1.1;a) Geeignet für Zwecke des Beschäftigungsverhältnisses;114
7.5.3.1.2;b) Erforderlich für Zwecke des Beschäftigungsverhältnisses;117
7.5.3.1.3;c) Berücksichtigung schutzwürdiger Interessen des Betroffenen (Angemessenheit);118
7.5.3.1.4;d) Sonderfall: „Whistleblowing“ (Hinweisgebersysteme) und § 32 Abs. 1 Satz 1 BDSG;121
7.5.3.1.5;e) Sonderfall: Kontrolle der E-Mails von Beschäftigten;125
7.5.3.1.5.1;aa) Bei verbotener Privatnutzung der E-Mail-Systeme;125
7.5.3.1.5.2;bb) Bei erlaubter Privatnutzung der E-Mail-Systeme;126
7.5.3.1.5.3;cc) Regelungen zur Nutzung betrieblicher IT-Systeme;129
7.5.3.1.5.4;dd) Durchführung von E-Mail-Kontrollen;131
7.5.3.2;2. Aufdeckung von Straftaten im Beschäftigungsverhältnis, § 32 Abs. 1 Satz 2 BDSG;133
7.5.3.2.1;a) Anwendungsbereich von § 32 Abs. 1 Satz 2 BDSG;133
7.5.3.2.2;b) Anforderungen an den Umgang mit Beschäftigtendaten zur Aufdeckung von Straftaten;136
7.5.3.2.2.1;aa) Geeignet für Zwecke der Aufdeckung von Straftaten;136
7.5.3.2.2.2;bb) Erforderlich zum Zweck der Aufdeckung von Straftaten;137
7.5.3.2.2.3;cc) Angemessene Berücksichtigung schutzwürdiger Interessen des Betroffenen;137
7.5.3.2.3;c) Vorgaben der Rechtsprechung;140
7.5.3.2.4;d) Allgemeine Empfehlungen zum Umgang mit Beschäftigtendaten;141
7.5.3.2.5;e) Mitbestimmungsrechte des Betriebsrats;143
7.5.3.2.5.1;aa) Gesetzliche Aufgaben des Betriebsrats;144
7.5.3.2.5.2;bb) Information des Betriebsrats;144
7.5.3.2.5.3;cc) Mitbestimmungsrechte des Betriebsrats;145
7.5.3.2.6;f) Betriebsvereinbarungen als Rechtsgrundlage für Datenumgang;146
7.5.3.2.6.1;aa) Regelungsrahmen von Betriebsvereinbarungen;146
7.5.3.2.6.2;bb) Beispielsfall: Betriebsvereinbarung zur Videoüberwachung;148
7.6;Kapitel 6: Der Datenschutzbeauftragte im Unternehmen;159
7.6.1;I. Wann müssen Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen?;161
7.6.1.1;1. Unternehmen, die 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen;163
7.6.1.2;2. Unternehmen, die 20 oder mehr Personen mit der nicht-automatisierten Verarbeitung personenbezogener Daten beschäftigen;165
7.6.1.3;3. Unternehmen, die besondere Voraussetzungen erfüllen;166
7.6.1.3.1;a) Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung oder der Markt- oder Meinungsforschung;167
7.6.1.3.2;b) Verarbeitungen, die einer Vorabkontrolle unterliegen;167
7.6.2;II. Welche Stellung und Rechte muss der Datenschutzbeauftragte im Unternehmen haben?;167
7.6.2.1;1. Erforderliche Fachkunde;168
7.6.2.2;2. Erforderliche Zuverlässigkeit;168
7.6.3;III. Welche Aufgaben hat der Datenschutzbeauftragte?;169
7.6.3.1;1. Hinwirken auf die Befolgung der Vorschriften über den Datenschutz;169
7.6.3.2;2. Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen;170
7.6.3.3;3. Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen;171
7.6.3.4;4. Bekanntmachung des Verfahrensverzeichnisses;171
7.6.3.5;5. Durchführung einer Vorabkontrolle;173
7.6.3.5.1;a) Besonders riskante automatisierte Verfahren;173
7.6.3.5.2;b) Durchführung der Vorabkontrolle durch den Datenschutzbeauftragten;175
7.6.3.5.3;c) Umfang der Vorabkontrolle;175
7.6.4;IV. Welche Stellung und Befugnisse hat der betriebliche Datenschutzbeauftragte?;176
7.6.4.1;1. Direkte Berichtslinie zur Unternehmensleitung;176
7.6.4.2;2. Kündigungsschutz, Widerruf der Bestellung und Benachteiligungsverbot;177
7.6.4.3;3. Unterstützung, Kontrollbefugnisse und Fortbildung;177
7.6.4.3.1;a) Unterstützung bei Kontrollaufgaben des Datenschutzbeauftragten;177
7.6.4.3.2;b) Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten;178
7.6.4.3.3;c) Fort- und Weiterbildung des Datenschutzbeauftragten;179
7.6.4.4;4. Verschwiegenheitspflichten des betrieblichen Datenschutzbeauftragten;179
7.7;Kapitel 7: Anforderungen an den grenzüberschreitenden Datenverkehr;180
7.7.1;I. Wie prüft man in der ersten Stufe die Zulässigkeit der Übermittlung an sich?;182
7.7.2;II. Wie wird in der zweiten Stufe die Zulässigkeit der grenzüberschreitenden Datenübermittlung geprüft?;182
7.7.2.1;1. Der Sitz des Datenempfängers als Ausgangspunkt;182
7.7.2.2;2. Entgegenstehende schutzwürdige Interessen;183
7.7.2.2.1;a) Drittstaaten mit anerkanntem angemessenen Schutzniveau;184
7.7.2.2.2;b) Sonderregelung für Datenempfänger in den USA: Safe Harbor-Abkommen;184
7.7.2.2.3;c) Ausnahmen vom Verbot der Übermittlung an Stellen ohne angemessenes Schutzniveau;186
7.7.2.2.3.1;aa) Einwilligungen;187
7.7.2.2.3.2;bb) Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;188
7.7.2.2.4;d) Sonderfälle: Standardvertragsklauseln oder verbindliche Unternehmensregelungen („Binding Corporate Rules“);189
7.7.2.2.4.1;aa) Verwendung der EU-Standard-Vertragsklauseln;189
7.7.2.2.4.2;bb) Verbindliche Unternehmensregelungen („Binding Corporate Rules“);190
7.7.2.2.4.3;cc) Verbindliche Unternehmensregelungen für Auftragsverarbeiter („Binding Corporate Rules for Processors“);191
7.8;Kapitel 8: Umgang mit Datenpannen nach § 42a BDSG;193
7.8.1;I. Wozu dient § 42a BDSG?;193
7.8.2;II. Welche Voraussetzungen hat § 42a Satz 1 BDSG?;195
7.8.2.1;1. Unrechtmäßige Kenntniserlangung durch Dritte;195
7.8.2.2;2. Feststellung der Datenpanne;197
7.8.2.3;3. Relevante Datenarten nach § 42a Satz 1 Nr. 1– 4 BDSG;197
7.8.2.3.1;a) Besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG;198
7.8.2.3.2;b) Personenbezogene Daten, die einem Berufsgeheimnis unterliegen;198
7.8.2.3.3;c) Personenbezogene Daten, die im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten stehen;198
7.8.2.3.4;d) Personenbezogene Daten zu Bank- oder Kreditkartenkonten;199
7.8.2.4;4. Drohende schwerwiegende Beeinträchtigungen;199
7.8.2.4.1;a) Schwere der drohenden Beeinträchtigungen;199
7.8.2.4.2;b) Beurteilungsspielraum des Unternehmens;200
7.8.3;III. Was sind die Rechtsfolgen von § 42a Satz 1 BDSG?;201
7.8.3.1;1. Information der Aufsichtsbehörde;201
7.8.3.2;2. Information der Betroffenen;202
7.9;Kapitel 9: Organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten;205
7.9.1;I. Was umfassen Zutritts-, Zugangs- und Zugriffskontrollen?;206
7.9.2;II. Worum geht es bei Weitergabe-, Eingabe-, Auftrags und Verfügbarkeitskontrollen?;208
7.9.3;III. Was verlangt das Trennungsgebot?;209
7.10;Kapitel 10: Die Unterrichtung des Betroffenen;210
7.10.1;I. Wann muss man den Betroffenen nach § 33 BDSG informieren?;210
7.10.1.1;1. Voraussetzungen der Benachrichtigungspflicht;211
7.10.1.2;2. Umfang der Benachrichtigungspflicht;211
7.10.1.3;3. Ausnahmen von der Benachrichtigungspflicht;212
7.10.1.4;4. Folgen einer Nichtbeachtung der Benachrichtigungspflicht;212
7.10.2;II. Wann muss dem Betroffenen Auskunft erteilt werden?;213
7.10.2.1;1. Voraussetzungen der Auskunftspflicht nach § 34 BDSG;213
7.10.2.2;2. Umfang der Auskunftspflicht;214
7.10.2.3;3. Ausnahmen von der Auskunftspflicht;216
7.10.2.4;4. Folgen bei Nichtbeachtung der Auskunftspflicht;216
7.11;Kapitel 11: Folgen von Verstößen gegen das BDSG;217
7.11.1;I. Wen trifft die Verantwortung für Datenschutzverstöße im Unternehmen?;217
7.11.2;II. Welche strafrechtlichen Risiken drohen bei Datenschutzverstößen?;218
7.11.2.1;1. Anforderungen an eine Strafbarkeit nach § 44 BDSG;218
7.11.2.1.1;a) Begehung einer vorsätzlichen Ordnungswidrigkeit nach § 43 Abs. 2 BDSG;219
7.11.2.1.2;b) Handeln gegen Entgelt;219
7.11.2.1.3;c) Handeln in (Selbst- oder Fremd-)Bereicherungsabsicht;221
7.11.2.1.4;d) Handeln mit Schädigungsabsicht;221
7.11.2.1.5;e) Strafantrag nach § 44 Abs. 2 BDSG;224
7.11.2.2;2. Kritik an dem geltenden § 44 BDSG;224
7.11.2.3;3. Weitere Strafnormen zur Verletzung des persönlichen Lebens- und Geheimbereichs;225
7.11.2.4;4. Von Strafbarkeitsrisiken bedrohte Betroffene im Unternehmen;225
7.11.2.4.1;a) Strafbarkeit des Datenschutzbeauftragten;226
7.11.2.4.2;b) Strafbarkeit der Unternehmensleitung;228
7.11.3;III. Welche ordnungsrechtlichen Sanktionen drohen bei Datenschutzverstößen?;229
7.11.4;IV. Welche zivilrechtlichen Risiken drohen beiDatenschutzverstößen?;230
7.11.4.1;1. Ansprüche nach § 7 BDSG;230
7.11.4.1.1;a) Vermögensschaden;230
7.11.4.1.2;b) Kausalität;231
7.11.4.1.3;c) Verschulden;231
7.11.4.2;2. Sonstige zivilrechtliche Ansprüche wegen Verstößen gegen das BDSG;232
7.12;Kapitel 12: Welche Aufgaben und Rechte die Aufsichtsbehörden für den Datenschutz?;233
7.12.1;I. Wie ist die Datenschutzaufsicht in Deutschland organisiert?;233
7.12.2;II. Wie kontrollieren die Aufsichtsbehörden die Einhaltung des Datenschutzes in Unternehmen?;234
7.12.2.1;1. Anlässe für die Durchführung von Datenschutz-Kontrollen;234
7.12.2.2;2. Ablauf einer Datenschutz-Kontrolle;235
7.12.3;III. Was passiert, wenn die Aufsichtsbehörde anlässlich der Kontrolle tatsächlich Mängel feststellt?;237
7.12.3.1;1. Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße;237
7.12.3.2;2. Untersagung schwerwiegender Verstöße;238
7.12.3.2.1;a) Schwerwiegende Verstöße oder Mängel;238
7.12.3.2.2;b) Erfolglose Anordnung zur Beseitigung;238
7.12.3.3;3. Zuständigkeit für die Ahndung von Ordnungswidrigkeiten;239
7.12.4;IV. Wann kann die Aufsicht den betrieblichen Datenschutzbeauftragten abberufen?;239
7.12.5;V. Welche weiteren Aufgaben haben Aufsichtsbehörden?;241
7.12.5.1;1. Veröffentlichen von Tätigkeitsberichten;241
7.12.5.2;2. Beratung und Unterstützung der Unternehmen;241
8;Teil 2: Abdruck und Kurzkommentierung der wichtigsten Vorschriften des BDSG;244
8.1;Einleitung;244
8.2;Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen;245
8.2.1;§ 1 Zweck und Anwendungsbereich des Gesetzes;245
8.2.2;§ 2 Öffentliche und nicht-öffentliche Stellen;248
8.2.3;§ 3 Weitere Begriffsbestimmungen;250
8.2.4;§ 3a Datenvermeidung und Datensparsamkeit;255
8.2.5;§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung;256
8.2.6;§ 4a Einwilligung;259
8.2.7;§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen;262
8.2.8;§ 4c Ausnahmen;267
8.2.9;§ 4d Meldepflicht;271
8.2.10;§ 4e Inhalt der Meldepflicht;275
8.2.11;§ 4f Beauftragter für den Datenschutz;276
8.2.12;§ 4g Aufgaben des Beauftragten für den Datenschutz;282
8.2.13;§ 5 Datengeheimnis;284
8.2.14;§ 6 Rechte des Betroffenen;286
8.2.15;§ 6a Automatisierte Einzelentscheidung;288
8.2.16;§ 6b Beobachtung öffentlich zugänglicher Räume mit optischel ektronischen Einrichtungen;289
8.2.17;§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien;292
8.2.18;§ 7 Schadensersatz;294
8.2.19;§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen;295
8.2.20;§ 9 Technische und organisatorische Maßnahmen;295
8.2.21;§ 9a Datenschutzaudit;299
8.2.22;§ 10 Einrichtung automatisierter Abrufverfahren;299
8.2.23;§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag;301
8.3;Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen;304
8.3.1;§ 12 Anwendungsbereich;304
8.3.2;§ 13 Datenerhebung;305
8.3.3;§ 14 Datenspeicherung, -veränderung und -nutzung;306
8.3.4;§ 15 Datenübermittlung an öffentliche Stellen;308
8.3.5;§ 16 Datenübermittlung an nicht-öffentliche Stellen;309
8.3.6;§ 17 (weggefallen);309
8.3.7;§ 18 Durchführung des Datenschutzes in der Bundesverwaltung;309
8.3.8;§ 19 Auskunft an den Betroffenen;310
8.3.9;§ 19a Benachrichtigung;311
8.3.10;§ 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht;312
8.3.11;§ 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;313
8.3.12;§ 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;314
8.3.13;§ 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;315
8.3.14;§ 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;317
8.3.15;§ 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;318
8.3.16;§ 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit;319
8.4;Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen;320
8.4.1;§ 27 Anwendungsbereich;320
8.4.2;§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke;321
8.4.3;§ 28a Datenübermittlung an Auskunfteien;331
8.4.4;§ 28b Scoring;333
8.4.5;§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung;335
8.4.6;§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form;338
8.4.7;§ 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung;340
8.4.8;§ 31 Besondere Zweckbindung;341
8.4.9;§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses;343
8.4.10;§ 33 Benachrichtigung des Betroffenen;347
8.4.11;§ 34 Auskunft an den Betroffenen;349
8.4.12;§ 35 Berichtigung, Löschung und Sperrung von Daten;354
8.4.13;§§ 36 und 37 (weggefallen);357
8.4.14;§ 38 Aufsichtsbehörde;357
8.4.15;§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen;361
8.5;Vierter Abschnitt: Sondervorschriften;362
8.5.1;§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen;362
8.5.2;§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen;364
8.5.3;§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien;364
8.5.4;§ 42 Datenschutzbeauftragter der Deutschen Welle;365
8.5.5;§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten;366
8.6;Fünfter Abschnitt: Schlussvorschriften;368
8.6.1;§ 43 Bußgeldvorschriften;368
8.6.2;§ 44 Strafvorschriften;371
8.7;Sechster Abschnitt: Übergangsvorschriften;372
8.7.1;§ 45 Laufende Verwendungen;372
8.7.2;§ 46 Weitergeltung von Begriffsbestimmungen;373
8.7.3;§ 47 Übergangsregelung;373
8.7.4;§ 48 Bericht der Bundesregierung;373
9;Anhang;375
9.1;1. German Federal Data Protection Act (BDSG);375
9.2;2. Praktiker-Glossar;433
9.3;3. Ausgewählte Beschlüsse des Düsseldorfer Kreises von 2006 bis 2014;471
9.4;4. Ausgewählte Stellungnahmen und Entscheidungen der Artikel 29 Datenschutzgruppe von 2008 – 2014;473
10;Sachregister;481
Kapitel 1: Einführung
I. Einleitung
1 Das deutsche Datenschutzrecht stellt Praktiker vor einige Herausforderungen. Zum einen wird es international als eine der strengsten Umsetzungen der EU-Datenschutzrichtlinie gesehen. Daher wird das Bundesdatenschutzgesetz (BDSG) in der Unternehmenspraxis häufig als Messlatte für europaweite Lösungen verwendet.1 Zum anderen wird es zu Recht als wenig anwenderfreundlich kritisiert.2 Dies liegt unter anderem an der schwer verständlichen Sprache des BDSG und an seiner Unübersichtlichkeit.3 Wer zum ersten Mal einen Blick in das Gesetz wirft, hat Mühe, das zugrunde liegende System zu erkennen oder gar zu verstehen.4 Gleichzeitig hat die Bedeutung des Datenschutzes in Deutschland in den vergangenen Jahren enorm zugenommen. Das zeigt sich unter anderem an den vielen Gesetzesvorhaben in diesem Bereich. Die bislang letzten Änderungen des BDSG sind 2010 in Kraft getreten und auch der Gesetzgeber hat sich in mehreren Anläufen an neuen Regelungen für den Beschäftigtendatenschutz versucht, ohne dass es dabei bisher jedoch zu einer Novellierung gekommen ist.5 2 Die aktuelle Rechtsprechung macht deutlich, wie schwerwiegend die Folgen von Fehlern beim Umgang mit personenbezogenen Daten sein können. Beispielsweise hat der Bundesgerichtshof erst kürzlich zwei Privatermittler wegen datenschutzwidriger Überwachungsmaßnahmen zu Haftstrafen verurteilt.6 In einer anderen Entscheidung hat das BAG eine Kündigung als unwirksam beurteilt, weil der Arbeitgeber maßgebliche Informationen unter Verstoß gegen § 32 BDSG erhoben hatte. Das BAG nahm bezüglich der so gesammelten Kündigungsgründe ein Beweisverwertungsverbot an.7 3 Dieses Handbuch soll Praktikern einen verständlichen Überblick darüber geben, wie man die Regelungen des BDSG schnell versteht und sie in der Praxis sicher anwendet. Damit richtet es sich an Leser, die einen leichten Einstieg in ein komplexes Thema suchen. Das Buch bietet eine knappe Zusammenfassung der in der Praxis wichtigen Bestimmungen und Mechanismen.8 Es ist keine abschließende Darstellung aller denkbaren Probleme und sämtlicher in der Fachliteratur diskutierten Streitigkeiten, sondern soll dem Praktiker einen alltagstauglichen Überblick über Probleme des Datenschutzes geben – und vor allem über deren mögliche Lösungen. Themen, die nur wenige Unternehmen betreffen, werden bewusst umfangreicheren Darstellungen des gesamten Datenschutzrechts überlassen.9 4 Das Handbuch zielt in erster Linie darauf ab, Entscheidungsträgern in Unternehmen bei der Anwendung der Regeln des Datenschutzes zu helfen. Allerdings lassen sich viele Grundsätze und Überlegungen auch auf den Umgang mit Daten bei öffentlichen Stellen (vgl. § 2 Abs. 1 – 3 BDSG) übertragen. Zudem gelten die meisten der in den nachstehenden Kapiteln dargestellten Prinzipien und Begriffsbestimmungen sowohl für private Unternehmen10 als auch für öffentliche Stellen. II. Was sollte man zur Entwicklung des BDSG von 1977 – 2014 wissen?
5 Dieser Abschnitt gibt einen kurzen Überblick über die Entstehung des BDSG in seiner heutigen Form. Für das Verständnis der wesentlichen Regelungen des Datenschutzes ist diese Entwicklung des Gesetzes zwar nicht zwingend erforderlich. Allerdings hilft die Lektüre dieses Abschnitts durchaus dabei, zu verstehen, wieso das BDSG in seiner heutigen Form existiert. 6 Beispielsweise sind die vielen sogenannten „Buchstabenparagrafen“ (z.B. §§ 4a–4g BDSG) Folge vieler Überarbeitungen des BDSG. Das Gesetz wurde stets nur in einzelnen Teilen, aber niemals gründlich und vollständig reformiert. Um nicht auch die Nummerierung der nachfolgenden Paragrafen des Gesetzes ändern zu müssen, fügte der Gesetzgeber eine Vielzahl solcher Buchstabenparagrafen ein. Leser, die neben der reinen Beschreibung des aktuellen Gesetzes daran interessiert sind, die Hintergründe einzelner Regelungen und Strukturen zu verstehen, können beim Lesen dieses Abschnitts zudem interessante Hintergrundinformationen erfahren.11 1. Verkündung 1977 7 Das BDSG wurde bislang vielfach geändert – aber niemals im Hinblick auf Einfachheit und klare Struktur. Das Gesetz wurde bereits bei seiner Verkündung im Jahr 197712 als praxisfern, formalistisch und schwer verständlich kritisiert.13 Seitdem wurden viele Regelungen des BDSG unstrukturiert geändert;14 man kann durchaus von einem „Patchwork-Gesetz“ sprechen.15 2. Volkszählungsurteil von 1983 8 In seinem Urteil zum Volkszählungsgesetz stellte das Bundesverfassungsgericht am 15.12.1983 fest, dass staatliche Eingriffe in das Recht der Bürger auf informationelle Selbstbestimmung einer verfassungsgemäßen gesetzlichen Grundlage bedürfen, „die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“16 Damit erteilte das höchste Gericht Deutschlands dem umfassenden Informationsverlangen des deutschen Staats gegenüber seinen Bürgern eine klare Absage.17 Wenn der Gesetzgeber das Recht seiner Bürger auf informationelle Selbstbestimmung durch umfassende Datenerhebung und Verarbeitung im Rahmen einer Volkszählung einschränke, so müsse er hierfür hinreichend klare und transparente Normen schaffen,18 den Verhältnismäßigkeitsgrundsatz angemessen berücksichtigen19 und die Daten nur für den Zweck verwenden, zu dem sie auch erhoben wurden.20 9 Das Urteil des Bundesverfassungsgerichts richtete sich nicht direkt an Unternehmen, sondern an den Gesetzgeber, also an den Staat. Dennoch sind Unternehmen gut beraten, sich im Rahmen ihrer täglichen Arbeit mit dem Datenschutz an den Grundsätzen zu orientieren, die das Gericht 1983 aufgestellt hat.21 Denn auch private Wirtschaftsunternehmen sind bei der Anwendung (und Auslegung) des BDSG und anderer Gesetze an die von der Verfassung vorgegebenen Grundsätze nach der sogenannten mittelbaren Drittwirkung der Grundrechte gebunden.22 3. Erste Neufassung 1990 10 1990 verabschiedete der Gesetzgeber eine erste Neufassung des BDSG.23 Diese Gesetzesänderung wurde teilweise scharf kritisiert.24 Nach Inkrafttreten der EG-Datenschutzrichtlinie 95/46/EG25 im Jahre 1995 war der deutsche Gesetzgeber verpflichtet, das BDSG innerhalb von drei Jahren den Vorgaben des Europarechts anzupassen. 4. BDSG-Reform von 2001 11 Im Jahre 2001 trat eine neue Fassung des BDSG in Kraft, die um die europarechtlichen Vorgaben aus der EG-Datenschutzrichtlinie 95/46/EG ergänzt war.26 Ein bekannter Kommentar beschrieb die Neuregelung zutreffend so: „Insgesamt hat das Gesetz an Umfang und Regelungsdichte erheblich zugenommen, so dass die ebenfalls als Kernpunkt modernen Datenschutzrechts angestrebte Rückkehr zu lesbaren und für Betroffene und Praxis noch überschaubaren Regelungen weitgehend konterkariert wird.“27 5. BDSG-Novelle von 2009 12 In erster Linie als Reaktion auf Datenschutzskandale bei einer Reihe von Großunternehmen28 beschloss der Gesetzgeber 2009 eine weitere Novelle zum BDSG. Das neue Datenschutzrecht führte unter anderem zu einer Ausweitung der Rechte der Aufsichtsbehörden, zu höheren Bußgeldern und Regelungen zur Abschöpfung von Gewinnen und zu einem neuen Beschäftigtendatenschutz.29 6. Entwurf eines „Gesetzes zur Regelung des Beschäftigtendatenschutzes“ 13 Am 31.3.2010 legte das Bundesinnenministerium ein Eckpunktepapier vor, in dem es zeitnahe weitere Änderungen des Gesetzes im Bereich des Beschäftigtendatenschutzes ankündigte. Kurz darauf kursierte bereits ein Referentenentwurf zu einem neuen Beschäftigtendatenschutzgesetz, dessen einzelne Regelungen teilweise kontrovers diskutiert wurden und werden.30 14 Knapp ein Jahr nach Inkrafttreten des derzeit nach wie vor geltenden § 32 BDSG hat sich das Bundeskabinett am 25.8.2010 auf einen „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ verständigt. Ein neuer Unterabschnitt des Bundesdatenschutzgesetzes sollte künftig den erlaubten Umgang mit den Daten von Beschäftigten umfassend regeln. Die politischen Gespräche hierzu führten jedoch zu keinem...
