Lehrbuch für Datenschutzbeauftragte

acqueline Vogel hatte bereits 2002 erste Berührungen mit dem Datenschutz. Sie war verantwortlich für die fachliche Beratung von Führungskräften zu Themen des Datenschutzes in einer behördlichen Einrichtung. Ihre kaufmännischen Aus- und Weiterbildung bis zur Betriebswirtin legten den Grundstein ihrer Arbeit. Durch ihre betriebswirtschaftlichen Kenntnisse kann sie unternehmerische Prozesse leichter verstehen, um die Datenflüsse rechtlich beurteilen zu können. Seit 2015 berät Sie Unternehmen und Einrichtungen in ganz Deutschland im Datenschutz und der IT-Sicherheit. Als zertifizierte Datenschutzberaterin und Datenschutzauditorin begegnen ihr täglich neue Herausforderungen, besonders im Zeitalter der Digitalisierung und KI. Diese neuen Erfahrungen bringt Sie auch in verschiedenen Lehraufträgen für Industrie- und Handelskammer, TÜV oder der Fernschule Weber ein.

Lehrbuch Teil 1

Inhaltsverzeichnis
Abkürzungen .................................................................................... 6
1. Einführung .................................................................................... 9
Die Datenschutzgrundverordnung ................................................... 9
1.2 Was sind Daten? ....................................................................... 19
1.3 Datenschutz vs. Datensicherheit .............................................. 28
1.4 Datenflüsse in Unternehmen ................................................... 29
1.5 Wie wird der Datenschutz kontrolliert? ................................... 32
1.6 Kontrollfragen zu Kapitel 1 ....................................................... 36
2. Aufbau der Gesetze und wichtige Begriffe .................................... 39
2.1 Gesetzessystematik .................................................................. 39
2.2 Aufbau der EU-Datenschutzgrundverordnung ........................ 45
2.3 Aufbau des Bundesdatenschutzgesetzes ................................. 47
2.4 Die ersten wichtigen Begriffe ................................................... 50
2.5 Kontrollfragen zum Kapitel 2 ................................................... 70
3. Die Grundlagen des Datenschutzes .............................................. 74
3.1 Gegenstand und Ziele der DSGVO ............................................ 74
3.2 Für wen gilt die DSGVO und das BDSG? ................................... 75
3.1.1 Sachlicher Anwendungsbereich der DSGVO: .................... 76
3.1.2 Räumlicher Anwendungsbereich der DSGVO: .................. 80
3.1.3 Sachlicher Anwendungsbereich des BDSG: ...................... 84
3.1.4 Räumlicher Anwendungsbereich des BDSG: .................... 85
3.2. Die wichtigsten Grundsätze des Datenschutzes ..................... 87
3.3 Wann dürfen Daten erhoben und genutzt werden? ............... 97
3.3.1 Rechtsgrundlage - Vertrag .............................................. 100
3.3.2 Rechtsgrundlage - Gesetz ............................................... 101
3.3.3 Rechtsgrundlage – Berechtigtes Interesse ..................... 102
3.3.4 Rechtsgrundlage – Einwilligung ...................................... 105
2
3.3.5 Sonstige Rechtsgrundlagen im Art. 6 DSGVO ................. 106
3.3.6 Rechtsgrundlagen im Zusammenhang mit besonderen personenbezogenen Daten ...................................................... 107
3.3.7 Rechtsgrundlagen im Zusammenhang mit Beschäftigten110
3.4 Wie sieht eine rechtskonforme Einwilligung aus? ................. 117
3.4.1 Wie sollte nun eine schriftliche Einwilligung konkret formuliert und aufgebaut sein? ................................................................ 123
3.4.2 Was muss bei einer elektronischen Einwilligung berücksichtigt werden? ................................................................................... 124
3.4.3 Was muss bei Einwilligungen von Kindern berücksichtigt werden? ................................................................................... 126
3.4.4 Was muss bei Einwilligungen von Beschäftigten berücksichtigt werden? ................................................................................... 130
3.4.5 Was muss bei Einwilligungen im Zusammenhang mit besonderen personenbezogenen Daten beachtet werden? ....................... 131
3.5 Rechtsgrundlagen Überblick .................................................. 132
3.6 Kontrollfragen zum Kapitel 3 .................................................. 133
4. Rechte der Betroffenen ..............................................................138
4.1 Welche Rechte haben Betroffene und welche Forderungen müssen in diesem Zusammenhang beachtet werden? ................................. 139
4.2 Allgemeine Grundsätze der Betroffenenrechte ..................... 140
4.3 Recht auf Information ............................................................ 149
4.4 Recht auf Auskunft ................................................................. 167
4.5 Recht auf Berichtigung, Löschung und Einschränkung .......... 171
4.5.1 Was ist das Recht auf Vergessenwerden? ...................... 173
4.6 Recht auf Datenübertragbarkeit ............................................ 174
4.7 Recht auf Widerspruch ........................................................... 177
4.8 Rechte bei automatisierten Einzelfallentscheidungen........... 178
4.9 Recht auf Beschwerde ............................................................ 179
4.10 Kontrollfragen zu Kapitel 4 ................................................... 184
5. Der Datenschutzbeauftragte ......................................................188
3
5.1 Wann benötigen Unternehmen, Vereine oder sonstige Einrichtungen einen Datenschutzbeauftragten?................................................. 189
5.2 Wer kann zum Datenschutzbeauftragten benannt werden? 198
5.3 Welche Aufgaben und Rechte hat ein Datenschutzbeauftragter? 202
5.4 Welche Stellung hat der Datenschutzbeauftragte? ............... 207
5.5 Kann ein Datenschutzbeauftragter abberufen werden? ....... 211
5.6 Was ist der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten? ........................................... 211
5.7 Mit welchen Stellen muss der Datenschutzbeauftragte zusammenarbeiten?..................................................................... 213
5.8 Kontrollfragen zum Kapitel 5 ................................................. 216
6. Organisation des Datenschutzes ................................................ 220
6.1 Was ist der PDCA-Zyklus ........................................................ 221
6.2 Wann sind Mitarbeiter auf das Datengeheimnis zu verpflichten? 224
6.3 Was ist das Verzeichnis der Verarbeitungstätigkeiten? ......... 227
6.4 Wie bemerkt man eine Datenschutzverletzung und was ist zu tun? ...................................................................................................... 234
6.5 Welche Strafen haben Verantwortliche zu erwarten? .......... 244
6.5.1 Bußgelder nach der DSGVO ............................................ 247
6.5.2 Schadenersatz nach der DSGVO ..................................... 253
6.5.3 Bußgelder und Freiheitsstrafen nach dem BDSG ........... 254
6.6 Durchführung von Datenschutzaudits ................................... 256
6.7 Jahresbericht des Datenschutzbeauftragten ......................... 261
6.8 Erste hilfreiche Schritte .......................................................... 262
6.9 Kontrollfragen zu Kapitel 6 ..................................................... 266
Anlage 1: Muster/Beispiel einer Einwilligung ................................. 270
Anlage 2: Muster/Beispiel für Datenschutzhinweise....................... 272
Anlage 3: Mustervorlage Auskunftsersuchen der Verbraucherzentrale276
Anlage 4: Ablauf eines Auskunftsersuchens ................................... 277
Anlage 5: Benennung eines Datenschutzbeauftragten .................... 278
4
Anlage 6: Benennungsmuster Datenschutzbeauftragter ..................279
Anlage 7: PDCA am Beispiel Prozessgestaltung für den „Umgang mit Datenpannen“ ...............................................................................281
Anlage 8: Musterverpflichtung auf Vertraulichkeit ..........................283
Anlage 9: Verhaltensregeln für Mitarbeiter ....................................288
Anlage 10: Formular „Verzeichnis von Verarbeitungstätigkeiten“ ....289
Anlage 11: Aufsichtsbehörden in Deutschland ................................292
Anlage 12: Beispiel einer Abschlussprüfung ....................................293
Anlage 13: Nützliche Links ..............................................................298
Anlage 14: Auszug aus einer Audit-Checkliste (HR) ..........................300
Anlage 15: Lösungen zu den Übungsaufgaben.................................301
15.1. Lösung Kontrollfragen Kapitel 1 .......................................... 301
15.2. Lösung Kontrollfragen Kapitel 2 .......................................... 304
15.3. Lösung Kontrollfragen Kapitel 3 .......................................... 309
15.4. Lösung Kontrollfragen Kapitel 4 .......................................... 317
15.5 Lösung Kontrollfragen Kapitel 5 ........................................... 322
15.8 Lösung Kontrollfragen Kapitel 6 ........................................... 328
15.9 Lösung der Abschlussprüfung .............................................. 333
Abbildungsverzeichnis ...................................................................339
STICHWORTVERZEICHNIS ...............................................................341


Lehrbuch Teil 2

Abkürzungen .................................................................................9
1. Einführung ............................................................................... 13
2. Auftragsverarbeitung ............................................................... 14
2.1 Der Auftragsverarbeiter ........................................................... 14
2.2 Beziehungen zwischen Verantwortlichen und Auftragsverarbeitern ..... 16
2.3 Pflichten des Verantwortlichen ................................................ 21
2.4 Pflichten des Auftragsverarbeiters ........................................... 25
2.4.1 Vertraulichkeitsverpflichtung ........................................... 26
2.4.2 Führen eines Verzeichnisses der Verarbeitungstätigkeiten ............... 26
2.4.3 Schutz der ihm überlassenen Daten ................................. 27
2.4.4 Meldung einer Datenpanne .............................................. 28
2.4.4 Zustimmung bei Unterauftragnehmern ........................... 29
2.5. Kontrollfragen zum Kapitel 2 .................................................. 30
3. Die gemeinsame Verantwortung ............................................... 33
3.1 Kontrollfragen zum Kapitel 3 ................................................... 36
4. Datenschutz-Folgenabschätzungen ........................................... 37
4.1. Kriterien der Datenschutz-Folgenabschätzung ....................... 38
4.2 Inhalte der Datenschutz-Folgenabschätzung ........................... 46
4.3 Die Risikobewertung ................................................................ 47
4.4 Kontrollfragen zu Kapitel 4 ....................................................... 50
5. Datenübermittlungen ............................................................... 52
5.1 Safe Harbor und EU-US Privacy-Shield ..................................... 54
5.2 Data Privacy Framework .......................................................... 56
5.3 Erlaubnisnormen der DSGVO ................................................... 57
5.3.1 Angemessenheitsbeschlüsse ............................................ 59
5.3.2 Geeignete Garantien ......................................................... 60
5.3.3 Ausnahmeregelungen ....................................................... 62
5.4 One Stop Shop .................................................................... 65
5.5 Kontrollfragen zum Kapitel 5 .............................................. 67
6. Videoüberwachung .................................................................. 69
6.1 Rechtmäßigkeit einer Videoüberwachung ............................... 70
6.2 Erforderlichkeit einer Videoüberwachung ............................... 72
6.3 Geeignetheit einer Videoüberwachung ................................... 75
6.4 Kennzeichnung der Videoüberwachung .................................. 76
6.5 Technische und Organisatorische Maßnahmen zum Schutz der Videodaten ...... 78
6.6 Kontrollfragen zu Kapitel 6....................................................... 80
7. Sonstige Rechtsnormen ........................................................... 81
7.1 Das Telekommunikationsgesetz (TKG) ..................................... 83
7.2 Das alte Telemediengesetz (TMG) ........................................... 85
7.3 Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ... 87
7.4 Der Digital-Service-Act (DSA) und das Digitale-Dienste-Gesetz (DDG) ...... 93
7.5 Das Post- und Fernmeldegeheimnis ........................................ 94
7.6 Kontrollfragen zu Kapitel 7....................................................... 99
8. Datenschutz in Konzernen ...................................................... 100
8.1 Gemeinsamer Datenschutzbeauftragter ............................... 101
8.2 Gemeinsame Datennutzung .................................................. 104
8.3 Kontrollfragen zu Kapitel 8..................................................... 107
9. Datensicherheit ...................................................................... 108
9.1 Was ist Datensicherheit? ....................................................... 108
9.2 Gesetzliche Anforderungen ................................................... 109
9.2.1 Was sind technische Maßnahmen? ................................ 110
9.2.2 Was sind organisatorische Maßnahmen? ...................... 110
9.2.3 Wie viele Schutzmaßnahmen müssen ergriffen werden? ...... 111
9.2.4 Was ist der Stand der Technik? ...................................... 113
9.3 Die Schutzziele der DSGVO .................................................... 115
9.3.1 Was ist eine Pseudonymisierung? .................................. 116
9.3.2 Was ist Verschlüsselung? ................................................ 118
9.3.3 Schutzmaßnahmen zur Vertraulichkeit .......................... 119
9.3.4 Schutzmaßnahmen der Integrität ................................... 125
9.3.5 Schutzmaßnahmen zur Verfügbarkeit und Belastbarkeit ...... 131
9.3.6 Schutzmaßnahmen zur Wiederherstellung .................... 134
9.3.7 Schutzmaßnahmen zum Test der Wirksamkeit .............. 135
9.4 Wie werden Daten richtig vernichtet? ................................... 135
9.5 Welchen Gefahren sind Daten ausgesetzt? ........................... 137
9.6 Privacy-by-Design & Privacy-by-Default ................................. 141
9.7 Kontrollfragen zu Kapitel 9 ..................................................... 144
10. Quellen im Datenschutz .................................................. 149
11. Vorbereitung zur Abschlussprüfung ................................. 155
Anlage 1: Entscheidungshilfe zur Auftragsverarbeitung ............... 158
Anlage 2: Ablauf Datenschutz-Folgenabschätzung ....................... 159
Anlage 3: Prüfschema Datenübermittlung................................... 160
Anlage 4: Hinweisschild der Videoüberwachung ......................... 161
Anlage 5: Basissicherheit für kleine Unternehmen ...................... 162
Anlage 6: Nützliche Links ............................................................ 166
Anlage 7: Lösungen zu den Übungsaufgaben ............................... 168
7.1. Lösung Kontrollfragen Kapitel 2 ............................................ 168
7.2. Lösung Kontrollfragen Kapitel 3 ............................................ 171
7.3. Lösung Kontrollfragen Kapitel 4 ............................................ 172
7.4. Lösung Kontrollfragen Kapitel 5 ............................................ 174
7.5 Lösung Kontrollfragen Kapitel 6 ............................................. 176
7.6 Lösung Kontrollfragen Kapitel 7 ............................................. 177
7.7 Lösung Kontrollfragen Kapitel 8 ............................................. 178
7.8 Lösung Kontrollfragen Kapitel 9 ............................................. 179

Lehrbuch Teil 2