Datenschutz – leicht gemacht
BOOK
Cite BOOK
Style
Deicke, A., Schönhagen, L. (2024). Datenschutz – leicht gemacht. Management personenbezogener Daten im Unternehmen: EU-DSGVO, BDSG & DSMS. Edition Wissenschaft & Praxis - leicht gemacht. https://doi.org/10.3790/978-3-87440-789-2
Deicke, Alexander and Schönhagen, Leonie. Datenschutz – leicht gemacht: Management personenbezogener Daten im Unternehmen: EU-DSGVO, BDSG & DSMS. Edition Wissenschaft & Praxis - leicht gemacht, 2024. Book. https://doi.org/10.3790/978-3-87440-789-2
Deicke, A and Schönhagen, L (2024): Datenschutz – leicht gemacht: Management personenbezogener Daten im Unternehmen: EU-DSGVO, BDSG & DSMS, Edition Wissenschaft & Praxis - leicht gemacht, [online] https://doi.org/10.3790/978-3-87440-789-2
Format
Datenschutz – leicht gemacht
Management personenbezogener Daten im Unternehmen: EU-DSGVO, BDSG & DSMS
Deicke, Alexander | Schönhagen, Leonie
(2024)
Additional Information
Book Details
Pricing
About The Author
Dr. Alexander Deicke ist ein selbständiger Anwalt für Bank- u. Kapitalmarktrecht und nebenbei Datenschutzbeauftragter. Nach dem Studium an der Universität Tübingen sammelte er Erfahrungen in den Bereichen Marketing, M&A, Interim Management, Datenschutz und Compliance. Im Jahr 2016 schloss er seine Promotion an der Privaten Universität Fürstentum in Lichtenstein erfolgreich ab. Nach kurzer Tätigkeit in einer größeren Einheit baute er seine auf wirtschaftsrechtliche Fragestellungen ausgerichtete Kanzlei und Unternehmensberatung in Ludwigsburg auf. Seine Schwerpunkte sind Datenschutz, Interim Management und Wirtschaftsrecht. Daneben veröffentlichte er und lehrt an den Hochschulen Heilbronn und Heidelberg.Leonie Schönhagen ist Rechtsanwältin für IT und Datenschutz und arbeitet als Managerin im Bereich Technologierecht bei der KPMG Law Rechtsanwaltsgesellschaft in Frankfurt am Main. Sie berät hauptsächlich bei umfangreichen Compliance-Projekten, im Rahmen von Transaktionen und insbesondere bei laufenden komplexen rechtlichen Fragestellungen jeweils zu IT-, Datenschutz- und Technologierecht. Ihre Mandanten sind hauptsächlich international agierende Finanzinstitute, Konzerne sowie auch die öffentliche Hand.Abstract
Was ist eigentlich Datenschutz? Diese komplexe Frage ist nicht immer leicht zu beantworten ‒ aus juristischer Sicht ist damit zunächst jegliche Art der Verarbeitung personenbezogener Daten gemeint. Dieses Buch bietet eine Einführung in das vielfältige Thema, indem es den Gegenstands- und Anwendungsbereich definiert, den gesetzlichen Rahmen von EU-DSGVO, BDSG & globaler Gesetze erläutert sowie die praktische Anwendung durch Datenschutzmanagementsysteme veranschaulicht. Neben einem historischen Überblick erhält der Leser eine umfangreiche und sorgfältige Einführung in die nationale, europäische und internationale Gesetzeslage und darüber hinaus ein fundiertes Wissen über unterschiedliche Richtlinien, Prozesse und Handlungsanweisungen. Das Buch zeigt damit den Weg zum perfekten Datenschutzmanagementsystem auf: interdisziplinär integriert, global vernetzt und toolgeführt.»Data Protection ‒ leicht gemacht«: What is data protection? ‒ A complex question with no simple answer. From a legal point of view, it means any type of processing of personal data. This book offers an introduction to the diverse topic by defining the subject and scope, explaining the legal framework of EU-GDPR, BDSG & global initiatives, and illustrating the practical implementation of data protection management systems.
Table of Contents
| Section Title | Page | Action | Price |
|---|---|---|---|
| Inhalt | 5 | ||
| Leitsätze und Übersichten | 6 | ||
| Leitsatz 1: Datenschutz – Wer hat’s erfunden? | 17 | ||
| Übersicht 1: Entwicklung des BDSG | 18 | ||
| Übersicht 2: Übersicht über die Datenschutzgesetze in Deutschland | 19 | ||
| Übersicht 3: Struktur der Gesetzgebung zum Datenschutz in Deutschland | 21 | ||
| Übersicht 4: Struktur der Datenschutzaufsicht in Deutschland | 22 | ||
| Leitsatz 2: Datenschutzrecht als Querschnittsmaterie | 23 | ||
| Leitsatz 3: Der räumliche Anwendungsbereich der DSGVO | 26 | ||
| Übersicht 5: Was sind personenbezogene Daten? | 28 | ||
| Übersicht 6: Übersicht über den Begriff der Verarbeitung | 29 | ||
| Übersicht 7: Vergleich zwischen anonymisierten, pseudonymisierten und personenbezogenen Daten | 31 | ||
| Leitsatz 4: Verarbeitung von Daten | 32 | ||
| Übersicht 8: Grundätze der DSGVO | 33 | ||
| Leitsatz 5: Grundsätze der Datenverarbeitung | 39 | ||
| Übersicht 9: Grundlagen rechtmäßiger Verarbeitung | 41 | ||
| Übersicht 10: Auszug Ermächtigungsgrundlagen aus Artikel 6 der DSGVO | 45 | ||
| Übersicht 11: Was zählt zu personenbezogenen Daten? | 47 | ||
| Leitsatz 6: Verbot mit Erlaubnisvorbehalt | 47 | ||
| Leitsatz 7: Rechte der Betroffenen | 49 | ||
| Übersicht 12: Betroffenenrechte aus der DSGVO | 50 | ||
| Leitsatz 8: Betroffene müssen informiert werden | 52 | ||
| Übersicht 13: Checkliste für die Datenschutzerklärung | 53 | ||
| Übersicht 14: Ablauf eines Auskunftsprozesses | 56 | ||
| Leitsatz 9: Anspruch auf Auskunft | 57 | ||
| Übersicht 15: Bearbeitung eines Antrags auf Löschung | 59 | ||
| Übersicht 16: Erstellung eines Löschkonzepts nach DSGVO | 60 | ||
| Übersicht 17: Exemplarisches Löschkonzept | 62 | ||
| Leitsatz 10: Recht auf Löschung | 62 | ||
| Übersicht 18: Muster eines Widerspruchs gegen die Datenverarbeitung | 64 | ||
| Leitsatz 11: Recht auf Widerspruch | 64 | ||
| Übersicht 19: Muster einer Auftragsverarbeitungsvereinbarung | 66 | ||
| Übersicht 20: Verhältnis zwischen den Personen bei der Auftragsverarbeitung | 67 | ||
| Übersicht 21: Bestandteile einer Auftragsverarbeitungsvereinbarung | 71 | ||
| Leitsatz 12: Mittel der parteiübergreifenden Datenverarbeitung | 72 | ||
| Übersicht 22: Modelle und Rollen im Datenverarbeitungsprozess | 75 | ||
| Leitsatz 13: Internationale Datenübermittlung | 76 | ||
| Übersicht 23: Das Verarbeitungsverzeichnis gemäß Artikel 30 der DSGVO | 78 | ||
| Leitsatz 14: Folgen von Verstößen | 81 | ||
| Übersicht 24: Beispiele für technische und organisatorische Maßnahmen („TOMs“) | 83 | ||
| Übersicht 25: Aufgaben eines Datenschutzbeauftragten | 86 | ||
| Übersicht 26: Bestellungsurkunde eines Datenschutzbeauftragten | 87 | ||
| Leitsatz 15: Datenschutzvorfälle | 89 | ||
| Übersicht 27: Meldung eines Datenschutzvorfalls | 90 | ||
| Übersicht 28: Implementieren eines Datenschutzmanagementsystemsgaben | 93 | ||
| Leitsatz 16: Managementsysteme | 95 | ||
| Übersicht 29: Compliance Management System (IDW PS 980) | 96 | ||
| Übersicht 30: Ebenen eines Datenschutzmanagementsystems | 101 | ||
| Leitsatz 17: Die Pyramide eines Managementsystems | 101 | ||
| Leitsatz 18: Der Datenschutzbeauftragte als Bindeglied | 104 | ||
| Leitsatz 19: Der Datenschutzbeauftragte als Risikomanager | 105 | ||
| Übersicht 31: Datenschutzbeauftragter nach Artikel 37 der DSGVO | 107 | ||
| Leitsatz 20: Segregation of Duties | 111 | ||
| Übersicht 32: Aufbau eines ISMS | 113 | ||
| Leitsatz 21: Datenschutzmanagementsysteme | 115 | ||
| Übersicht 33: Verhältnis von Compliance, DSMS und ISMS | 116 | ||
| Leitsatz 22: Prozessorientierung | 117 | ||
| Übersicht 34: Beantwortung eines Auskunftsverlangens Artikel 15 der DSGVO | 118 | ||
| Leitsatz 23: Informationssicherheit | 120 | ||
| Übersicht 35: Der BCM-Kreislauf | 121 | ||
| Leitsatz 24: Handlungsanweisungen | 122 | ||
| Übersicht 36: Implementierung der DSGVO | 123 | ||
| Übersicht 37: Internationale Koordination des Datenschutzes in einem Unternehmen | 127 | ||
| Leitsatz 25: Koordinatoren für den Datenschutz | 127 | ||
| Leitsatz 26: Digitales Dokumentenmanagement | 129 | ||
| Leitsatz 27: Haftungsszenarien | 134 | ||
| Übersicht 38: Vermeidung von Haftungsfällen | 136 | ||
| Leitsatz 28: Musterstruktur für regulatorische Funktionen | 136 | ||
| Leitsatz 29: Prozessorientierung in Unternehmen | 138 | ||
| Übersicht 39: Was ist Legal Tech? | 139 | ||
| Leitsatz 30: Nachhaltigkeit | 141 | ||
| Leitsatz 31: Komplexität des Datenschutzes | 141 | ||
| I. Management Summary | 13 | ||
| II. Datenschutzrecht | 14 | ||
| Lektion 1: Was ist Datenschutz? | 14 | ||
| Wie ist die historische Entwicklung? | 15 | ||
| Rechtsschutz auf höchster Ebene | 16 | ||
| Lektion 2: Was ist der gesetzliche Rahmen? | 18 | ||
| Der gesetzliche Rahmen in Deutschland | 18 | ||
| Der gesetzliche Rahmen in der EU | 20 | ||
| Landesrecht in Deutschland komplettiert das Dreigestirn | 21 | ||
| Die Aufsicht über den Datenschutz | 21 | ||
| Internationale Datenschutzgesetze | 23 | ||
| Lektion 3: Definitionen | 27 | ||
| Grundlegende Begriffe | 27 | ||
| Was sind personenbezogene Daten und was versteht man unter Verarbeitung? | 27 | ||
| Der Verantwortliche im Rahmen des Datenschutzes ist? | 30 | ||
| Lektion 4: Grundsätze des Datenschutzes | 33 | ||
| Grundsatz der Transparenz | 34 | ||
| Grundsatz der Zweckbindung | 34 | ||
| Der Grundsatz der Datenminimierung | 35 | ||
| Der Grundsatz der Richtigkeit von Daten | 36 | ||
| Grundsatz der Speicherbegrenzung | 36 | ||
| Grundsatz der Integrität und Vertraulichkeit | 37 | ||
| Grundsatz der Rechenschaftspflicht | 38 | ||
| Lektion 5: Rechtsgrundlagen der Verarbeitung | 40 | ||
| Die Einwilligung, Artikel 6 Abs. 1 lit. a) der DSGVO | 41 | ||
| Widerruf einer Einwilligung | 42 | ||
| Dokumentation einer Einwilligung | 42 | ||
| Freiwilligkeit der Einwilligung | 43 | ||
| Erfüllung eines Vertrages (Artikel 6 Abs. lit. b) der DSGVO) | 43 | ||
| Interessenabwägung (Artikel 6 Abs. 1 lit. f) der DSGVO) | 44 | ||
| Besondere Kategorien von personenbezogenen Daten | 45 | ||
| Verarbeitung nach Artikel 9 der DSGVO | 46 | ||
| Definition und Beispiele | 46 | ||
| Verbot mit Erlaubnisvorbehalt | 47 | ||
| Die sogenannten Betroffenenrechte | 48 | ||
| Informationspflichten nach der DSGVO | 50 | ||
| Über was muss informiert werden? | 51 | ||
| Art der Zurverfügungstellung der Informationen | 52 | ||
| Vertiefungsfälle zu den Betroffenenrechten | 53 | ||
| Das Löschkonzept | 60 | ||
| Das Widerspruchsrecht im Detail | 63 | ||
| Lektion 6: Drittparteien und Datentransfer | 65 | ||
| Der Auftragsverarbeitungsvertrag bzw. der Auftragsverarbeiter als Dritter im Inland (DE/EU) | 65 | ||
| Überprüfung des Auftragsverarbeiters | 67 | ||
| Auftragsverarbeitungsvereinbarung | 68 | ||
| Unterauftragsverarbeiter | 69 | ||
| Haftung | 69 | ||
| Die sogenannten Joint-Controller (Gemeinsam Verantwortlichen) | 69 | ||
| Controller zu Controller-Verhältnis | 70 | ||
| Der Auftragsverarbeitungsvertrag bzw. der Auftragsverarbeiter als Dritter im Ausland (non-EU) | 72 | ||
| Generelle Unzulässigkeit | 72 | ||
| Angemessenheitsbeschluss | 73 | ||
| Standardvertragsklauseln (Standard Contractual Clauses/SCCs) | 74 | ||
| Binding Corporate Rules (verbindliche Interne Datenschutzvorschriften) | 76 | ||
| Lektion 7: Das Verarbeitungsverzeichnis, VVT | 77 | ||
| Inhalte des VVT | 77 | ||
| Wann muss ich ein VVT führen? | 79 | ||
| Lektion 8: Sanktionen und Bußgelder | 80 | ||
| Bußgelder | 80 | ||
| Reputationsschäden | 80 | ||
| Schadensersatz | 80 | ||
| Lektion 9: Weitere Aspekte, die im Datenschutz eine Rolle spielen | 82 | ||
| TOMs, Artikel 32 | 82 | ||
| Datenschutzfolgenabschätzung, Artikel 35 | 83 | ||
| Datenschutzbeauftragte, Artikel 37 | 84 | ||
| Grundlagen über den DSB | 84 | ||
| Wann muss ich einen DSB bestellen? | 84 | ||
| Umgang mit Datenschutzvorfällen, Artikel 33 der DSGVO | 87 | ||
| Arbeitnehmerdatenschutz nach § 32 BDSG | 91 | ||
| III. Managementsysteme | 92 | ||
| Lektion 10: Was ist ein Managementsystem? | 92 | ||
| Das Beispiel Qualitätsmanagementsystem (DIN ISO 9000) | 92 | ||
| Umgang und Effizienz eines Managementsystems | 93 | ||
| Lektion 11: Die Implementierung eines Managementsystems | 94 | ||
| Der KVP (kontinuierliche Verbesserungsprozess) | 94 | ||
| Das PDCA-Modell, um ein Managementsystem anzupacken | 95 | ||
| Lektion 12: Das Compliance Management System (CMS) | 96 | ||
| Lektion 13: Das Datenschutzmanagementsystem | 97 | ||
| Was sind die Besonderheiten im Datenschutz (im Bereich des Handbuches und der Richtlinien und Prozesse)? | 97 | ||
| Was für eine Rolle spielt die DSGVO im DSMS | 97 | ||
| Nutzen eines DSMS | 98 | ||
| Die Struktur des DSMS | 98 | ||
| I. Das Handbuch („Manual“) | 98 | ||
| II. Die Richtlinien eines DSMS | 99 | ||
| III. Die Handlungsanweisungen bzw. Handreichungen eines DSMS | 99 | ||
| IV. Tools, die das Leben im Datenschutz erleichtern | 100 | ||
| V. Die Datenschutzpyramide zeigt auf, wo die meiste Arbeit steckt | 102 | ||
| Der Datenschutzbeauftragter (intern/extern), als Herr über das DSMS und Impulsgeber | 102 | ||
| I. Aufgaben des DSB im Rahmen des DSMS | 103 | ||
| II. Der DSB als Bindeglied | 103 | ||
| III. Der Konzerndatenschutzbeauftragte | 103 | ||
| IV. Der DSB im Wandel der Zeit | 104 | ||
| V. Beratung des DSB im Kerngeschäft | 104 | ||
| VI. Neues Rollenverständnis im Rahmen des DSMS | 105 | ||
| a) Kontrolle und Überwachung des DSMS | 105 | ||
| b) Der DSB als Botschafter für den Datenschutz | 106 | ||
| Das Trennungsprinzip der Aufgaben zwischen regulatorischer „Draufsicht“ und operativer „mit-Beratung“ | 107 | ||
| I. Segregation of Duties (Committee, Geschäftsführung, Aufsichtsrat) | 108 | ||
| II. Die Datenschutzstrategie als Instrument im Datenschutz | 109 | ||
| Welche Vorteile hat eine dokumentierte Datenschutzstrategie? | 109 | ||
| a) Als Hilfe, um Risiken einzuschätzen | 109 | ||
| b) Als Leitfaden und Schulungsvehikel | 109 | ||
| c) Als Übersicht über die Datenverwaltung | 110 | ||
| II. Privacy by Design und Privacy by Default | 110 | ||
| Lektion 14: Interdisziplinarität | 112 | ||
| I. Potentiale durch Überschneidungen | 114 | ||
| II. Vorteile durch ein gemeinsames Managementsystem | 114 | ||
| III. Prozesse | 116 | ||
| a) Darstellung aller notwendigen Prozesse | 116 | ||
| b) Zertifizierungen und eine Prozessorientierung | 117 | ||
| c) Exemplarisch der Prozess der Pannenmeldung | 119 | ||
| IV. Interaktion mit anderen Disziplinen (z.B. Business Continuity Management oder Hinweisgebersysteme) | 119 | ||
| a) Kritische Prozesse im BCM (Impact Analyse) | 119 | ||
| b) Informationssicherheit als Schwachstelle | 120 | ||
| V. Handlungsanweisungen | 122 | ||
| Lektion 15: Sensibilisierung ist das Herz aller Systeme | 124 | ||
| I. Koordinatoren (In- und Ausland, Fachabteilungen und Landeskoordinatoren) | 124 | ||
| II. Train the Trainer-Prinzip und globales Knowhow | 124 | ||
| III. Regelmäßige Kontrollen/Audits | 125 | ||
| IV. Den Datenschutz positiv besetzen | 126 | ||
| V. Wer passt für welche Rolle am besten? | 128 | ||
| VI. Welche Tools passen gut und was sollte man vermeiden? | 128 | ||
| a) Datenschutzspezifische Toolanbieter | 128 | ||
| b) Querschnittsapplikationen aus anderen Tools | 129 | ||
| c) Digitale Dokumentenmanagement- oder Tickettools | 129 | ||
| IV. Zukunft des Datenschutzes | 131 | ||
| Lektion 16: Was passiert, wenn ich mich nicht an den Datenschutz halte? | 131 | ||
| Lektion 17: Frühzeitig Risiken erkennen und managen | 132 | ||
| Lektion 18: Mehrwert generieren und Vertrauen aufbauen | 133 | ||
| Lektion 19: Noch ein kleiner Ausblick | 135 | ||
| Das Perfekte System: Interdisziplinär integrierte und global vernetzte, toolgeführte Datenschutzmanagementsysteme | 135 | ||
| LegalTech (AI/KI): was sich ändert, oder eben auch nicht – Digitalisierung und die Kompetenz damit umzugehen | 137 | ||
| Chief Data Officer und Data Governance: Daten als ganzheitliches Thema in einer ESG-Welt gedacht und gelebt | 139 | ||
| Sachregister | 142 |