LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

178

Intern trägt die Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung. Die Geschäftsleitung kann jedoch die Verantwortung für einzelne Datenverarbeitungsverfahren und -vorgänge auf einzelne Mitarbeiter delegieren (vgl. Art. 39 Abs. 1 lit. b DSGVO).363 Zu beachten ist, dass die Zuweisung interner, datenschutzrechtlicher Verantwortlichkeit an bestimmte Mitarbeiter (etwa Fachabteilungsleiter) nicht dazu führt, dass die jeweilige rechtliche Einheit (im Umfang der übertragenen Verantwortlichkeit) nicht mehr als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen wäre. Anders ist dies jedoch zu bewerten, wenn die Entscheidungsbefugnis über einen bestimmten Datenverarbeitungsvorgang an eine andere rechtliche Einheit wirksam übertragen oder bereits originär von dort aus ausgeübt wird.364

179

Nach h.M. sind ebenfalls die datenverarbeitenden Aktivitäten unabhängig agierender, innerbetrieblicher Gremien wie etwa Betriebs- und Personalrätender jeweiligen rechtlichen Einheit, im Falle von Mitarbeitervertretungen daher dem Arbeitgeber zuzurechnen.365 Der deutsche Gesetzgeber hat dies (jedenfalls bis zu einer etwaigen Verwerfung durch den EuGH) im Hinblick auf Betriebsräte abschließend entschieden und in § 79a Satz 2 BetrVG entsprechend kodifiziert, dass der Arbeitgeber datenschutzrechtlich verantwortlich ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Diese Wertung kann jedoch durchaus in Zweifel gezogen werden. So liegt der Einschätzung, dass die Datenverarbeitung durch Mitarbeiter oder Organisationseinheiten der jeweiligen rechtlichen Einheit zuzurechnen ist, die Prämisse zugrunde, dass die rechtliche Einheit (durch ihre jeweilige Geschäftsleitung handelnd) die Zwecke der durchgeführten Datenverarbeitungsvorgänge festlegt und diese lediglich durch die Mitarbeiter ausgeführt werden. Demgegenüber ist zu beachten, dass Mitarbeitervertretungen weitestgehend eigenständig darüber entscheiden, wann und wie personenbezogene Daten verarbeitet werden, ohne dass der Arbeitgeber diesbezüglich Einfluss nehmen könnte. Dies indiziert eine eigene Verantwortlichkeit des Betriebsrats.366 Diese Einschätzung wird durch den Umstand untermauert, dass auch das Bundesarbeitsgericht (BAG) jedenfalls bislang davon ausging, dass dem betrieblichen Datenschutzbeauftragten keine Kontrollbefugnis im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats zustehe, da er als Repräsentant des Arbeitgebers auftrete.367 Insofern erscheint es unangemessen, dem Arbeitgeber eine datenschutzrechtliche Verantwortlichkeit zuzuschreiben, ohne dass dieser über die Zwecke der Datenverarbeitung entscheiden oder die Einhaltung datenschutzrechtlicher Vorschriften diesbezüglich kontrollieren könne. Der (neue) § 79a Satz 4 BetrVG indiziert hingegen eine grundsätzliche Kontrollbefugnis der/des Datenschutzbeauftragten auch im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats; sie/er ist lediglich zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Es wird abzuwarten sein, wie sich die Gerichte in dieser Hinsicht zukünftig positionieren werden.

3. Bestimmung des Verantwortlichen

180

Verantwortlich ist derjenige, der über die Zwecke und Mitteleines Datenverarbeitungsvorgangs bestimmt. Anhand dieses Kriteriums erfolgt dabei die Abgrenzung zwischen Verantwortlichen und Auftragsverarbeitern, Verantwortlichen untereinander sowie eventuell anderen in einem Datenverarbeitungsvorgang involvierten Akteuren.368 Im Einzelnen:

a) Entscheidungsbefugnis über Zwecke und Mittel der Datenverarbeitung

181

Die Eigenschaft als Verantwortlicher ergibt sich in erster Linie aus dem Umstand, dass eine Stelle sich für die Verarbeitung personenbezogener Daten entschiedenhat und befugtist, den Zweck, mithin das beabsichtigte Ergebnis einer Datenverarbeitung, sowie die hierzu eingesetzten Mittel, mithin die Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, zu bestimmen.369 Die Mittel der Verarbeitung beziehen sich unter anderem auf die technischen und organisatorischen Gegebenheiten bei der Verarbeitung personenbezogener Daten sowie die Festlegung des Umfangs der Verarbeitung, einschließlich der betroffenen Personenkategorien, der zu erhebenden Datenkategorien, der Gewährung des Zugangs für Dritte usw. Mit anderen Worten: Die Bestimmung des Zwecks und der Mittel ist gleichbedeutend mit der Bestimmung des „Warum“ und des „Wie“ im Hinblick auf die Verarbeitung von personenbezogenen Daten.370

182

Maßgeblich ist dabei die tatsächliche oder rechtliche Einflussmöglichkeitauf den jeweiligen Datenverarbeitungsvorgang. Sofern eine Stelle weder rechtlichen noch tatsächlichen Einfluss auf eine Datenverarbeitung hat, kann sie hierfür keine datenschutzrechtliche Verantwortung i.S.v. Art. 4 Nr. 7 DSGVO tragen.371 Dies ist im Rahmen einer umfassenden, wertenden Betrachtungzu evaluieren.372 Hierbei ist auf Grundlage der faktischen Umstände des Einzelfalls zu prüfen, ob daraus ein tatsächlicher Einfluss der jeweiligen Stelle abzuleiten ist.373 Welches Ausmaß diese Einflussfähigkeitdabei erreichen muss, ist bislang nicht abschließend geklärt. Noch unter der DSRl hat der EuGH dabei einen teilweise sehr niederschwelligen Ansatz verfolgt.374 Unter der DSGVO sollte nach der hier vertretenen Ansicht bei der Zuweisung von datenschutzrechtlicher Verantwortung maßgeblich darauf geachtet werden, ob die Möglichkeit zur Einflussnahme eines Beteiligten auch so ausgeprägt und signifikant ist, dass die (umfassende) Verpflichtung zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben und die damit einhergehende Haftung auch gerechtfertigt erscheint.375

183

Im Rahmen dieser umfassenden und wertenden Betrachtung können dabei folgende Faktoren einfließen und entsprechend abzuwägensein: Zunächst kann sich eine entsprechende Möglichkeit zur Einflussnahme aus einer ausdrücklichen rechtlichen Zuständigkeit ergeben (vgl. insoweit Art. 4 Nr. 7 Hs. 2 DSGVO), mithin, wenn ein Gesetz den für die Verarbeitung Verantwortlichen ernennt oder ihm eine Aufgabe oder Pflicht zur Erhebung und Verarbeitung bestimmter Daten überträgt.376 Datenschutzrechtliche Verantwortung kann ferner aus anderen rechtlichen Bestimmungen oder bestehenden traditionellen Rollen und Positionen erwachsen, die in der Regel eine gewisse natürliche Verantwortlichkeitimplizieren (z.B. der Arbeitgeber in Bezug auf die Daten seiner Mitarbeiter oder ein Verein in Bezug auf Daten seiner Mitglieder).377 Darüber hinaus kann sich die Verantwortung aus faktischen Umständenund anderen Aspekten, wie Vertragsverhältnissen, einer tatsächlichen Kontrolle durch eine Partei oder einer Offensichtlichkeit bzw. Außenwirkung einer Partei gegenüber den Betroffenen sowie deren Erwartungserhaltung ergeben.378 Ferner fließt in die Gesamtbetrachtung ein, ob eine Stelle eine Datenverarbeitung bewusst akzeptiert,379 etwa da sie von ihr profitiert.380 Auch eine organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit indizieren.381 Eine formale Benennung einer Partei als Verantwortlicher ist hingegen irrelevant, sofern dies nicht deren existente Einflussmöglichkeit in der Realität widerspiegelt.382 Unerheblich ist hingegen, ob die jeweilige Partei auch Zugang bzw. Zugriff auf die verarbeiteten personenbezogenen Daten hat.383

184

Die Entscheidungsfähigkeit über Zwecke und Mittel einer Datenverarbeitung steht dabei in einem Rangverhältnis.384 Insofern führt die Kompetenz, über die Zwecke einer Datenverarbeitung zu entscheiden, in aller Regel dazu, dass diejenige Stelle als Verantwortlicher anzusehen ist. Sofern ein Akteur über inhaltliche Fragen entscheiden kann, die den Kern der Rechtmäßigkeit der Verarbeitung betreffen, ist er demnach in aller Regel als Verantwortlicher zu klassifizieren.385 Nachrangig ist demgegenüber die Entscheidungsbefugnis über die Mittel der Verarbeitung. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittelentschieden wird.386 Die Mittel umfassen dabei nicht nur die technische Art und Weise der Erreichung des jeweiligen Verarbeitungszweck, sondern behandeln je nach Verarbeitung auch wesentliche Faktoren, etwa hinsichtlich der zu verarbeitenden Datenkategorien, zugangsberechtigten Dritten, Löschfristen usw.387 Dies zeigt, dass wesentliche Mittel und der jeweils verfolgte Verarbeitungszweck in der Regel nicht getrennt voneinander betrachtet werden können, sondern vielmehr voneinander abhängen und sich gegenseitig ergänzen; das „Wie“ ist somit dem „Warum“ inhärent.388 Die Entscheidung über nachrangige (unwesentliche), technische oder organisatorische Mittel der Verarbeitung kann hingegen vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.389