LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

219

Der Generalanwalt Szpunar bezeichnete § 15 Abs. 3 TMG in seinen Schlussanträgen als Umsetzungsakt, ohne dies allerdings näher zu begründen.[518] Dieser Linie folgte, ebenfalls ohne nähere Begründung, auch der BGH in seinem auf das Vorabentscheidungsersuchen gestützte Urteil. Der BGH prüft hier die Zulässigkeit des Setzens von Cookies zu Werbezwecken anhand des § 15 Abs. 3 TMG, erachtet diesen insofern für anwendbar.[519]Der BGH geht anscheinend davon aus, dass nationale Gesetze trotz ausdrücklich entgegenstehendem Regelungsgehalt kraft richtlinienkonformer Auslegung als Umsetzungsakt klassifizierbar sind, auch wenn der Gesetzgeber diese nicht als solche bezeichnet („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“[520]).

220

Die gegenteilige Auffassung in Deutschland, so insbesondere auch die DSK,[521] sieht hingegen in § 15 Abs. 3 TMG keine Umsetzung der ePrivacy-RL.[522] Auch die EU-Kommission stellte im Jahr 2015 klar, dass sie Art. 5 Abs. 3 der ePrivacy-RL als im deutschen Recht für nicht umgesetzt ansieht.[523] Hierfür spricht zunächst die Entstehungsgeschichte des TMG. Die datenschutzrechtlichen Vorschriften des 4. Abschnittes des TMG entsprechen im Wesentlichen den Regelungen des TDDSG. Dieses ist bereits 1998 und damit zeitlich vorder ePrivacy-RL in Kraft getreten. Zudem verfolgen § 15 Abs. 3 TMG und Art. 5 Abs. 3 ePrivacy-RL unterschiedliche Schutzziele. Während § 15 Abs. 3 TMG lediglich den Schutz personenbezogener Daten zum Ziel hat, dient Art. 5 Abs. 3 ePrivacy-RL auch dem Schutz der Vertraulichkeit elektronischer Kommunikation.[524] Gegen die Annahme eines Umsetzungsaktes spricht schließlich auch die Tatsache, dass die Normen konträre inhaltliche Entscheidungen enthalten. Denn nach § 15 Abs. 3 TMG darf der Diensteanbieter Cookies einsetzen, solange der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht („Opt-Out-Regelung“). Art. 5 Abs. 3 ePrivacyR-RL gestattet hingegen die Nutzung von Cookies nur dann, wenn der Nutzer nach einer umfassenden Information hinsichtlich der Zwecke der Verarbeitung seine Einwilligung gegeben hat. Insofern sieht Art. 5 Abs. 3 ePrivacyR-RL eine „Opt-In-Regelung“ vor.[525] Daher stelle § 15 Abs. 3 TMG keine Umsetzung der ePrivacy-RLdar. Schließlich scheide auch eine unmittelbare Anwendung des Art. 5 Abs. 3 der ePrivacy-RL aus, da eine Richtlinie keine Verpflichtungen für Private begründen kann (keine horizontale unmittelbare Drittwirkung).[526] Die Kollisionsregelung des Art. 95 DS-GVOkäme daher, unabhängig von ihrem konkreten Regelungsgehalt,[527] gar nicht erst zur Anwendung. Demnach richtet sich die Rechtsgrundlage für das Setzen von Cookies nach der Ansicht der Datenschutzaufsichten sowie der vorherrschenden Meinung in der Literatur in Deutschland – bis zum Inkrafttreten der geplanten ePrivacy-VO – nach der DS-GVO (zur Bedeutung für die Praxis vgl. Art. 6 lit. f Rn. 177).[528]

221

Weitere formale Wirksamkeitsvoraussetzungen für die Einwilligung (Transparenz, Form, Zeitpunkt, Person)[529] folgen aus Art. 7 Abs. 2und aus den allgemeinen Grundsätzen nach Art. 5. Die Widerrufbarkeit der Einwilligung ist in Art. 7 Abs. 3geregelt.[530] Zu den Grenzen der Freiwilligkeit der Einwilligung und einem Verstoß gegen das Koppelungsverbot vgl. die Ausführungen zur aktuellen Rechtsprechung des BGH unter Art. 7 Rn. 48.

XIII. Art. 4 Nr. 12: Verletzung des Schutzes personenbezogener Daten

1. Allgemeines

222

Art. 4 Nr. 12definiert den Begriff „Verletzung personenbezogener Daten“. Der Begriff wurde mit der ePrivacy-RL 2009/136/EG in Art. 2 lit. h DSRL eingeführt. Art. 2 lit. h DSRL i.F.d. RL 2009/136/EG definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in der Gemeinschaft verarbeitet werden“. Die Formulierung ist wörtlich fast identisch mit der in Art. 4 Nr. 12.

223

Die Definition des Art. 4 Nr. 12steht in unmittelbarem Zusammenhang mit Art. 33und 34[531]. Eine Verletzung des Datenschutzes löst die Verpflichtung zur Mitteilung an die Aufsichtsbehörde und an die betroffene Person aus. Die Definition richtet sich an jeden Rechtsanwender der Art. 33und 34. In erster Linie adressiert sie damit den Verantwortlichen, da dieser den Meldepflichten direkt unterliegt. Im Verhältnis zum Verantwortlichen als Auftraggeber treffen den Auftragsverarbeiter bei Eintreten einer Datenschutzverletzung gem. Art. 33 Abs. 2 und 28 Abs. 3 lit. f Melde- und Mithilfepflichten. Insoweit wird die Definition des Art. 4 Nr. 12auch für den Auftragsverarbeiter relevant. Für „Anbieter kritischer Infrastrukturen“ i.S.d. IT-Sicherheitsgesetzes bzw. „Betreiber wesentlicher Dienste“ i.S.d. NIS-RL 2016/1146 gelten daneben Meldepflichten bei Sicherheitsverstößen.

2. Inhalt

224

Art. 4 Nr. 12definiert die Verletzung des Schutzes personenbezogener Daten als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

225

Da zunächst eine Verletzung der Sicherheit vorliegen muss, umfasst der Begriff des Art. 4 Nr. 12nicht sämtliche Verstöße gegen Datenschutzrecht, sondern nur solche Fälle, die entgegen der Vorgaben des Verantwortlichen erfolgen. Dies sind insbesondere Fehler der Mitarbeiter oder gezielte Angriffe von Dritten.[532] Werden die personenbezogenen Daten dagegen unrechtmäßig, z.B. unter Missachtung der in Art. 5 Abs. 1normierten Grundsätze[533], vom Verantwortlichen an einen Dritten übermittelt, liegt darin keine Verletzung der Sicherheit. Der Verantwortliche nimmt dann eine unrechtmäßige Datenverarbeitung vor.

226

Die Verletzung kann unbeabsichtigt oder absichtlich geschehen. Der Hintergrund der Datenpanne spielt keine Rolle. Vorsatz wie Fahrlässigkeit, gezieltes Handeln wie auch Nebeneffekte anderer Handlungen oder Versäumnisse können gleichermaßen ursächlich sein. Ein Verschulden ist nicht erforderlich. Selbst rein zufällig entstandene Datenlecks fallen unter den Begriff.[534]

227

Die Sicherheitsverletzung muss „zur Vernichtung, zum Verlust, zur Veränderung“ oder „zur unbefugten Offenlegung von beziehungsweise Zugang“ zu personenbezogenen Daten geführt haben.

228

Die personenbezogenen Daten sind vernichtet, wenn sie unwiederbringlich gelöscht sind.[535]

229

Ein Verlustliegt in der Abgrenzung zur Vernichtung vor, wenn Daten dem Verantwortlichen nicht mehr zur Verfügung stehen, bspw. im Fall des unbeabsichtigten Abhandenkommen physischer Originaldatenträger.[536] Die Daten müssen dauerhaft verloren gegangen und nicht mehr im Herrschaftsbereich des Verantwortlichen sein. Ein vorübergehendes „Verlegen“ stellt noch keinen Verlust da.[537] Die Verschlüsselung durch sog. Ransomware in Form von Verschlüsselungstrojanern, bei denen Daten lokal verschlüsselt und ansonsten gelöscht werden, wobei der Schlüssel nur gegen eine Zahlung angeboten wird, kann bei fehlendem Backup einen Verlust nach Art. 4 Nr. 12darstellen.[538]

230

Die Veränderungder Daten bezieht sich nicht auf den Bestand der Daten selbst, sondern auf ihren Informationsgehalt. Eine Veränderung von Daten wird man i.S.v. § 3 Abs. 4 Nr. 2 BDSG a.F. als das inhaltliche Umgestalten von personenbezogenen Daten verstehen können.[539] Sie kann immer dann angenommen werden, wenn die Daten modifiziert wurden und damit nicht mehr unversehrt sind. Beispielsweise ist dies der Fall, wenn ein Mitarbeiter die Adresse eines Kunden aus Versehen mit einer veralteten Adresse des Kunden überschreibt.