LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

239

Kerninhalt der Vorschrift ist demnach die Prüfung der Vereinbarkeitvon ursprünglichem und neuem bzw. späterem Zweck im Rahmen einer Weiterverarbeitung von Daten. Der Wortlaut des ErwG 50 gibt weiter Aufschluss über den Inhalt der Norm. Ein Verantwortlicher muss demnach schrittweise vorgehen, indem er zunächst prüft, ob eine Einwilligung für die zweckfremde Verarbeitung vorliegt oder eine Rechtsvorschrift der Union oder der Mitgliedstaaten die Verarbeitung rechtfertigen würde. In diesem Fall ist es auch möglich, dass die Verarbeitung trotz nicht miteinander zu vereinbarender Zwecke durchgeführt wird.[460] Dies unterstreicht auch ErwG 50 S. 7: Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf einer gesetzlichen Erlaubnis, dann sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke verarbeiten dürfen. Es bedarf dann keiner Prüfung der Voraussetzungen von Art. 6 Abs. 4mehr. Wenn indes keine Einwilligung oder gesetzliche Erlaubnis vorliegt, muss der Verantwortliche die Vereinbarkeit der Zwecke der Datenverarbeitung entsprechend den Voraussetzungen des Art. 6 Abs. 4prüfen.

240

Eine Definition der Vereinbarkeitder Zwecke liefert die DS-GVO nicht. So bleibt offen, was eine Vereinbarkeit der Zwecke bedeutet und wann diese gegeben ist.[461] Vielmehr legt die Norm dem Verantwortlichen die Prüfung der Vereinbarkeit anhand der in der Verordnung genannten Kriterienauf. Diese sind nicht abschließend, denn der Wortlaut bezeichnet die genannten als die „unter anderem“ für die Feststellung der Kompatibilität relevanten Kriterien.[462] Fraglich ist zudem, ob es für die Beurteilung der Vereinbarkeit der Zwecke auf die Sicht des Verantwortlichen[463] oder die Sicht der betroffenen Person[464] ankommt. Letztlich sind nach ErwG 50 S. 6 sowie Art. 6 Abs. 4 lit. bund dzumindest auch die Erwartungen der betroffenen Person zu berücksichtigen. Die Entscheidung über eine Vereinbarkeit muss gleichwohl letztlich der Verantwortliche treffen. Es ist zudem nicht unmittelbar ersichtlich, welche weiteren Kriterien nach dem Willen des Verordnungsgebers in die Vereinbarkeitsprüfung miteinbezogen werden sollen. Der nicht abschließende Katalog des Art. 6 Abs. 4und die Offenheit des Tatbestandes führen damit zu einer erheblichen Rechtsunsicherheitfür Verantwortliche und Rechtsanwender.[465] Gleichwohl enthält ErwG 50 S. 6 eine Leitlinie, der die Prüfung der Zulässigkeit der Weiterverarbeitung zu folgen hat. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhangzwischen den Zwecken besteht, in welchem Kontextdie Daten erhoben wurden, insbesondere die vernünftigen Erwartungender betroffenen Personen in Bezug auf die weitere Verwendung ihrer Daten, um welche Art von personenbezogenen Datenes sich handelt, welche Folgendie beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob auch hinsichtlich der beabsichtigten Weiterverarbeitung geeignete Garantienbestehen (vgl. ErwG 50 S. 6). Dementsprechend wird bspw. vorgeschlagen, die Tatsache der erweiterten Verarbeitung im Rahmen des dem Betroffenen bekannten Unternehmensgegenstandesmit einzubeziehen oder wie in der Vergangenheit verfahren wurde und ob es Datenpannenoder Beschwerdenin nennenswertem Umfang gegeben hat.[466] Hierbei ist allerdings problematisch, dass sich dadurch kaum eine Eingrenzung der möglichen Kriterien vornehmen lässt, da insofern grundsätzlich sämtliche – sowohl unmittelbar als auch mittelbar – mit dem jeweiligen Verarbeitungsvorgang im Zusammenhang stehende Umstände theoretisch berücksichtigt werden könnten. So könnte bspw. zu erwägen sein, zumindest im Falle umfangreicher Datenverarbeitungsvorgänge, zu einem eher entfernten (aber gegebenenfalls immer noch zu vereinbarenden) Zweck auch die finanzielle Ausstattung des Verantwortlicheneinzubeziehen, um einem höheren Verstoß- und damit Geldbußerisiko vorzubeugen. Daneben könnten Allgemeininteressenan der Weiterverarbeitung in die Prüfung miteinfließen oder inwieweit Rechte oder Interessen Drittertangiert werden. Insbesondere im Rahmen von Big Data-Anwendungen und Datenverarbeitungen etwa zur Verbesserung der Sicherheit von Produkten sind derartige Abwägungsparameter bedeutsam. Allerdings verbleibt in jedem Fall das Risiko, dass die Abgrenzung zu „noch einzubeziehenden“ und „bereits irrelevanten“ Kriterien derzeit schwerlich rechtssicher zu treffen sein wird, zumal die DS-GVO hierfür außer dem Katalog des Art. 6 Abs. 4und ErwG 50 S. 6 keinerlei Anhaltspunkte bietet. In der Praxis sollte daher der Fokus vorrangig auf die fünf in Art. 6 Abs. 4 lit. a–eund ErwG 50 S. 6 bereits enthaltenen Kriterien gelegt werden. Um dem Zweckbindungsgrundsatz nicht auszuhöhlen, ist Abs. 4 grundsätzlich restriktiv auszulegen.[467]

241

Fraglich ist auch, wie die Kriterien letztlich zu gewichtensind oder wie damit umzugehen ist, wenn eines der Kriterien nicht erfülltist. Insbesondere im Rahmen von Art. 6 Abs. 4 lit. cstellt sich die Frage, ob die Verarbeitung sensibler Daten nach Art. 9bloß ein Abwägungskriterium oder vielmehr ein Ausschlusskriterium darstellt, dass die Kompatibilitätsprüfung beendet.[468] Der Wortlaut der Norm enthält dahingehend keine eindeutige Aussage. Denn Art. 6 Abs. 4spricht zwar davon, dass die Kriterien „berücksichtigt“ werden müssen, nicht aber davon, dass auch alle Kriterien eingehalten werden müssen bzw. in für den Betroffenen positiver Weise erfüllt sein müssen. Art. 6 Abs. 4statuiert insofern eine lediglich eine „ Berücksichtigungspflicht“[469], aber keine Verpflichtung des Verantwortlichen diese Kriterien vollständig erfüllen zu müssen.[470] Den Verantwortlichen trifft damit wohl zumindest die Nachweispflicht, dass er sich hinreichend mit den in Art. 6 Abs. 4genannten Kriterien im Rahmen seiner Kompatibilitätsprüfung auseinandergesetzt hat.[471] Hierfür spricht auch, dass die Kriterien teilweise selbst nur als Beispiele formuliert sind (lit. b und lit. c „insbesondere“; lit. e „wozu (…) gehören kann“).[472] Dies ist auch sinnvoll, da die Norm selbst kein Prüfungsergebnis regulieren will, sondern lediglich die Notwendigkeit und Voraussetzungen des Kompatibilitätstests an sich statuiert.

242

Jedes Kriterium ist vom Verantwortlichen mit Leben zu füllen und die Zulässigkeit des Verarbeitungsvorgangs ergibt sich letztlich anhand einer Gesamtschau der Kriterien. Hierbei ist darauf hinzuweisen, dass lediglich das Letzte der fünf Kriterien überhaupt einen „erfüllbaren“ Status festlegt, nämlich die Tatsache, ob „geeignete Garantien“ bei der Datenverarbeitung vorhanden sind, bspw. Verschlüsselung oder Pseudonymisierung. Aus dem Wortlaut wird hier deutlich, dass dies nicht unter allen Umständen der Fall sein muss, sondern dieser Punkt lediglich in die Vereinbarkeitsprüfung einbezogen werden muss. Umgekehrt ergibt sich daraus gleichfalls, dass eine Vereinbarkeit auch dann noch gegeben sein kann, wenn keine „geeigneten Garantien“ vorhanden sind. Dies kann bspw. der Fall sein, wenn eine Prüfung der anderen vier Kriterien die Erlaubnis einer zweckfremden Vereinbarung in besonderem Maße nahelegt. Die anderen vier Kriterien beschreiben eher einen „Status“ oder bestimmte Umstände eines jeweiligen zweckfremden Verarbeitungsvorgangs. Aus dieser Thematik ergibt sich demnach leider auch die Konturlosigkeit der Vorschrift insgesamt, weil letztlich keine strengen, greif- bzw. messbaren Kriterien für die Vereinbarkeitsprüfung gesetzlich festgelegt wurden, sondern eher unbestimmte, ausfüllungsbedürftige Kriterien. Die Vielzahl wertungsbedürftiger Begriffe erschwert die rechtssichere Entscheidung.[473]