LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Anhand dieser Kernaussagen sowie aus ErwG 79 ergibt sich in der Praxis die Notwendigkeit für große und komplex strukturierte Organisationen eine „ Datenschutzstrategie“ festzulegen, bei der sowohl eine klare Verantwortung der natürlichen Person, die das Unternehmen repräsentiert, als auch die konkreten und funktionellen Verantwortlichkeiten innerhalb der Organisationsstruktur sicherzustellen sind.[316] Die konkrete Ermittlung des Verantwortlichen im Rahmen des Datenschutzes erfolgt dabei unter Rückgriff auf die Rechtsnormen des Zivil-, Verwaltungs- und Strafrechts.[317]

135

Hinsichtlich des Begriffs der juristischen Personals Verantwortlichem folgt aus der Definition des Art. 4 Nr. 7, dass es nicht auf die jeweilige Organisationsform ankommt.[318] So werden Unternehmen, die nach europäischen oder nationalen Vorgaben wirksam gegründet wurden von der Vorschrift erfasst, unabhängig davon, ob es sich um eine juristische Person des Öffentlichen Rechts oder des Privatrechts handelt.[319] Zu beachten ist allerdings, dass es stets auf die juristische Person bzw. das Unternehmen als solches ankommt. Unselbstständige Niederlassungenoder Zweigstellen sind nicht Verantwortliche nach Art. 4 Nr. 7.[320] Insofern sind die jeweiligen Organisationseinheiten im Rahmen einer Zurechnung in der Praxis sorgsam zu ermitteln.[321] Besondere Bedeutung kommt wegen ihrer Eigenverantwortlichkeit hinsichtlich der Einhaltung der Datenschutzvorschriften insoweit der Einordnung von Mitarbeitervertretungen(Betriebs- und Personalräte) zu. Grundsätzlich werden diese nicht als Dritte und damit als eigenständiger Verantwortlicher im Sinne der DS-GVO, sondern als Teil des Unternehmens des Verantwortlichen angesehen.[322] An dieser Beurteilung ändert sich auch dann nichts, wenn Mitarbeitervertretungen selbst und eigenverantwortlich über die vorzunehmenden Datenverarbeitungen entscheiden und insoweit auch nicht der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen.[323]

136

Bei Unternehmensverbändennach Art. 4 Nr. 19[324] ist jedes rechtlich selbstständige Unternehmen, das personenbezogene Daten für eigene Zwecke verarbeitet als Verantwortlicher i.S.d. Art. 4 Nr. 7zu qualifizieren.[325]

137

Die Behördeist weder in Art. 4 Nr. 7noch an sonstiger Stelle in der DS-GVO definiert. Voraussetzung ist jedenfalls ein hoheitliches Handeln, so dass sich in dieser Hinsicht an die Vorgaben der jeweiligen Mitgliedstaaten anknüpfen lässt.[326] In Deutschland wird daher auf den Behördenbegriff nach § 1 Abs. 4 VwVfG abzustellen sein. Danach ist ein funktionelles, d.h. aufgabenorientiertes und kein organisatorisches Verständnis zugrunde zu legen. Ausweislich § 2 Abs. 4 S. 2 BDSGn.F.sind auch „Beliehene“, also nichtöffentliche Stellen, die hoheitliche Aufgaben wahrnehmen vom Behördenbegriff umfasst.

138

Die Begriffe der sonstigen Stelle und Einrichtungensind ebenfalls in der DS-GVO nicht erläutert. Im Zuge einer Negativabgrenzung fallen darunter alle Einrichtungen, die nicht bereits als natürliche oder juristische Person oder Behörde über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Die BGB-Gesellschaft oder der nicht-rechtsfähige Verein werden unter diese Auffangtatbestände zu subsumieren sein.[327]

b) Alleinige oder gemeinsame Verantwortliche

139

Nach Art. 4 Nr. 7ist es für die Zuweisung der Verantwortlicheneigenschaft nicht notwendig, dass der Verantwortliche ausschließlich alleine personenbezogene Daten verarbeitet. Vielmehr kann nach der DS-GVO die Entscheidung über Zwecke und Mittel der Datenverarbeitung „ allein oder gemeinsam mit anderen“ getroffen werden, indem bei der Verarbeitung personenbezogener Daten mehrere Akteure beteiligt sind und somit verschiedene Verantwortliche bestehen.[328] Die DS-GVO greift damit insbesondere auch mit Blick auf Art. 26 die Begrifflichkeit und Systematik von Art. 2 lit. d DSRL auf.

140

Wichtige Aussagen zu den Voraussetzungen einer gemeinsamen Verantwortlichkeithat der EuGH in den Rs. Fanpage[329], Jehova[330] und Fashion ID[331] getroffen.[332] Dabei hat das Gericht in allen Entscheidungen bekräftigt, dass dem Begriff des Verantwortlichen ein weites Begriffsverständniszugrunde zu legen ist.[333]

141

Das erste Urteil in diesem Zusammenhang erging zur Frage der gemeinsamen Verantwortlichkeit von Betreibern einer Facebook-Fanpage mit Facebook. Dem Urteil lag ein Vorabentscheidungsersuchen des BVerwG[334] zugrunde. Hintergrund war ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD).[335] Das ULD hatte gegenüber der Wirtschaftsakademie angeordnet, den Betrieb einer Fanpage auf Facebook einzustellen, da die Besucher der Fanpage nicht über den Einsatz von Cookies und eine damit einhergehende Verarbeitung ihrer personenbezogenen Daten informiert würden.[336] In der Rs. Fanpage betonte der EuGH zunächst, dass sich der Begriff des Verantwortlichen nicht zwingend auf eine einzige Stelle bezieht, sondern mehrere an einer Datenverarbeitung beteiligte Akteure betreffen kann, so dass in der Folge jeder dieser Akteure den Vorschriften der DS-GVO unterliegt.[337] Ferner wies das Gericht darauf hin, dass es für die Begründung einer gemeinsamen Verantwortlichkeit bereits ausreiche, dass eine Stelle (im konkreten Fall der Betreiber einer Facebook-Fanpage) einem anderen Verantwortlichen (hier Facebook) die Möglichkeitgebe, personenbezogene Daten der betroffenen Personen zu verarbeiten.[338] Darüber hinaus stellte der EuGH fest, dass es ebenfalls für eine gemeinsame Verantwortlichkeit nicht erforderlichsei, dass „bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Datenhat“[339]. Das Bestehen einer gemeinsamen Verantwortlichkeit setzt somit keine gleichwertige Verantwortlichkeitder Akteure voraus.[340] Vielmehr könnten die Akteure auch „in verschiedenen Phasen und in unterschiedlichem Ausmaß“[341] in die Verarbeitung personenbezogener Daten einbezogen sein, so dass der Grad der Verantwortlichkeit unter Berücksichtigung aller Umstände der Einzelfalles zu beurteilensei.[342] Aus dem Urteil folgt zum einen, dass Facebook-Fanpage-Betreiber zusammen mit Facebook für die Verarbeitung personenbezogener Daten und etwaige Datenschutzverstöße verantwortlich sind (zu den Konsequenzen dieser Beurteilung s.u. Rn. 162 ff.).[343] Zum anderen enthält das Urteil wichtige Parameter sowohl im Hinblick auf die Reichweite des Begriffs der Verantwortlichkeit als auch bezüglich der Beurteilung der Frage hinsichtlich des Vorliegens einer gemeinsamen Verantwortlichkeit.[344]

142

Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages für den konkreten Fall am 11.9.2019 befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.[345]

143

Das zweite Urteil des EuGH im Hinblick auf die Reichweite einer gemeinsamen Verantwortlichkeit erging in der Rs. Jehova. Dem Urteil lag folgender Sachverhalt zugrunde: Die Mitglieder der Gemeinschaft der Zeugen Jehovas führen im Rahmen ihrer Verkündigungstätigkeit Hausbesuche bei Personen durch, die weder ihnen noch der Gemeinschaft bekannt sind.[346] Die Gemeinschaft gab dabei ihren Mitgliedern Anleitungen zur Anfertigung von Notizen zu den Hausbesuchen (insbes. Name und Adresse der aufgesuchten Personen, religiöse Überzeugungen) und organisierte und koordinierte die Verkündigungstätigkeit ihrer Mitglieder.[347] Dabei verlangt die Gemeinschaft von ihren verkündigenden Mitgliedern weder, dass diese personenbezogene Daten durch Notizen erheben noch kannte sie die Inhalte der Notizen oder die Identität der verkündigenden Mitglieder, die die Daten erhoben haben.[348] Neben der Frage hinsichtlich des Vorliegens eines Dateisystems i.S.v. Art. 4 Nr. 6[349] nahm der EuGH insbesondere zur inhaltlichen Reichweite der Verantwortlichkeit Stellung.[350] Dabei nimmt das Gericht zum einen ausdrücklich auf die Ausführungen in der Rs. Fanpage Bezug[351], führt ergänzend aber aus, dass es für die Annahme einer (gemeinsamen) Verantwortlichkeit ausreiche, dass eine natürliche oder juristische Person aus Eigeninteresseauf die Verarbeitung personenbezogener Daten Einfluss nehme und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirke.[352] Es sei zum einen für das Vorliegen einer gemeinsamen Verantwortlichkeit unschädlich, dass die Gemeinschaft keinen Zugang zu den betreffenden personenbezogenen Daten habe, zum anderen setze das Vorliegen einer Verantwortlichkeit nichtvoraus, dass die Gemeinschaft schriftliche Anleitungen oder Anweisungenzu den Datenverarbeitungen gebe.[353] Maßgebliches Kriterium für die Begründung einer gemeinsamen Verantwortlichkeit sei insofern, dass die Erhebung der personenbezogenen Daten letztlich „zur Umsetzung des Zielsder Gemeinschaft – nämlich [der] Verbreitung ihres Glaubens – [diene]“[354] und die Gemeinschaft die Verkündigungstätigkeit organisiertund koordiniert.[355]