R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
Datenschutzrechtliche Pflichten zur Einrichtung eines unternehmensinternen Datenschutz-Managementsystems (2022), Inhaltsverzeichnis 
Inhaltsverzeichnis 
 

Inhaltsverzeichnis

  1. Vorwort
  2. Inhaltsübersicht
  3. Abkürzungsverzeichnis
  4. Herausforderungen der datenschutzrechtlichen Compliance im Unternehmen
  5. Kapitel 1: Datenschutz-Managementsysteme
    1. A. Begriffsannäherung
      1. I. Kodifizierungen in Landesregelungen
        1. 1. Datenschutzverordnung Schleswig-Holstein
        2. 2. Bremische Datenschutzauditverordnung
      2. II. Aufsichtsbehördliche Modellierung
      3. III. Praktische Standards
        1. 1. BSI-Standards
        2. 2. ISO-Normenreihe
          1. a. ISO/IEC 27001
          2. b. ISO/IEC 29100
        3. 3. VdS-Richtlinien
      4. IV. Rezeption im datenschutzrechtlichen Schrifttum
      5. V. Parallelen zu Compliance-Managementsystemen
    2. B. Konkretisierung des Begriffs
      1. I. Einordnung des Datenschutz-Managements
        1. 1. Einbezug betriebswirtschaftlicher Kalküle
        2. 2. Übertragung auf das Datenschutz-Management
        3. 3. Erweiterung zum Datenschutz-Compliance-Management
      2. II. Datenschutz-Managementsysteme
        1. 1. Abgrenzung zum Datenschutz-Compliance-Management
        2. 2. Wesensmerkmale des Datenschutz-Managementsystems
          1. a. Strukturierung von Maßnahmen und Prozessen
          2. b. Systematische Umsetzung
          3. c. Holistische Ausrichtung
          4. d. Eigenständigkeit
        3. 3. Funktionen des Datenschutz-Managementsystems
    3. C. Definitionsvorschläge
  6. Kapitel 2: Datenschutzrechtliche Einrichtungspflichten
    1. A. Datenschutzrechtliche Auslegungsgrundsätze
      1. I. Normative Determinanten der Auslegung
        1. 1. Unionsrechtliche Verortung des Datenschutzrechts
          1. a. Genese supranationaler Datenschutzregelungen
          2. b. Vereinheitlichung in der Europäischen Union
        2. 2. Unmittelbarkeit und Vorrang der DSGVO
          1. a. Anwendungsvorrang
          2. b. Regelungsaufträge und Regelungsspielräume auf mitgliedstaatlicher Ebene
          3. c. Koexistenz mitgliedstaatlicher Regelungen
        3. 3. Zusammenwirken im Mehrebenensystem
      2. II. Auslegungsprinzipien
        1. 1. Unionsrechtliche Methode des Gerichtshofs
          1. a. Klassisches Auslegungsinstrumentarium
            1. aa. Grammatikalische Auslegung
            2. bb. Historische Auslegung
            3. cc. Systematische Auslegung
            4. dd. Teleologische Auslegung
          2. b. Besonderheiten der unionsrechtlichen Auslegungsmethode
            1. aa. Primärrechtskonforme Auslegung
            2. bb. Unionsgrundrechtskonforme Auslegung
            3. cc. Verhältnismäßige Auslegung
          3. c. Spruchpraxis des Gerichtshofs im Datenschutzrecht
        2. 2. Auslegung durch die mitgliedstaatlichen Gerichte
          1. a. Unions- und grundrechtskonforme Auslegung
          2. b. Vorlagen beim EuGH
        3. 3. Interpretationen der Aufsichtsbehörden
      3. III. Folgen für die Auslegung datenschutzrechtlicher Einrichtungspflichten
    2. B. Unmittelbare Einrichtungspflicht
      1. I. Risikoorientierung der organisatorischen Kardinalpflichten
        1. 1. Zweck des risikobasierten Ansatzes
        2. 2. Begriffliche Einordnung des Risikos der Verarbeitung
          1. a. Risikoverständnis in wissenschaftlichen Disziplinen
            1. aa. Wirtschaftswissenschaften
            2. bb. Ingenieurwissenschaften
            3. cc. Rechtswissenschaften
          2. b. Begriff des datenschutzrechtlichen Risikos der Verarbeitung
            1. aa. Bezugspunkte des datenschutzrechtlichen Risikos
            2. bb. Annäherung an das Risikoverständnis der DSGVO
            3. cc. Rolle der Risikofaktoren
            4. dd. Beispiele für datenschutzrechtliche Risiken
          3. c. Weites Risikoverständnis zum Schutz betroffener Personen
        3. 3. Risikobeurteilung
          1. a. Identifizierung der Nachteile
          2. b. Risikofaktoren
            1. aa. Eintrittswahrscheinlichkeit der Nachteile
            2. bb. Schwere des Nachteils
          3. c. Verarbeitungsparameter
          4. d. Umwelteinflüsse
        4. 4. Risikoanalyse und -festlegung
        5. 5. Bedeutung für die Untersuchung von Einrichtungspflichten
      2. II. Kardinalpflichten zur Einhaltung und Sicherstellung der Datenschutz-Compliance
        1. 1. Rechenschaftspflicht
          1. a. Eigenverantwortlichkeit des Verantwortlichen
          2. b. Einhaltungsverantwortung
            1. aa. Gegenstand der Einhaltung
              1. (1) Einhaltung von unbestimmten Grundsätzen
              2. (2) Ausdehnung des Einhaltungsgegenstandes
                1. (a) Wortlaut
                2. (b) Historische Entwicklung
                3. (c) Systematik innerhalb der Norm
                4. (d) Systematik in der Verordnung
                5. (e) Telos
                6. (f) Würdigung
            2. bb. Rechtsnatur der Einhaltungsverantwortung
              1. (1) Programmsatzcharakter
              2. (2) Entfaltung rechtlicher Wirkungen
              3. (3) Allgemeine Einhaltungsverantwortung
          3. c. Nachweispflicht
            1. aa. Gegenstand des Nachweises
            2. bb. Inhalt der Nachweispflicht
              1. (1) Umfang
                1. (a) Unbestimmtheit der Pflicht
                2. (b) Ausweitung aufgrund einer Darlegungs- und Beweislastumkehr
                3. (c) Würdigung
              2. (2) Konkretisierungen
              3. (3) Bußgeldbewehrung
              4. (4) Allgemeine Nachweisverantwortung
          4. d. Umsetzung der Rechenschaftspflicht
        2. 2. Allgemeine Sicherstellungspflicht
          1. a. Zielsetzungen und Inhalt
            1. aa. Sicherstellung rechtskonformer Verarbeitung
              1. (1) Normativer Pflichtengehalt
              2. (2) Verhältnis zur Einhaltungsverantwortung
              3. (3) Generische Sicherstellungspflicht
              4. (4) Unschädlichkeit fehlender Bußgeldbewehrung
            2. bb. Nachweis rechtskonformer Verarbeitung
              1. (1) Wechselbeziehung zur Nachweisverantwortung des Art. 5 Abs. 2 DSGVO
              2. (2) Pflichteninhalt
            3. cc. Einsatz technisch-organisatorischer Maßnahmen
              1. (1) Begriff
              2. (2) Vorgaben für umzusetzende Maßnahmen
                1. (a) Gesetzliche Vorgaben
                2. (b) Eignung der Maßnahmen
                3. (c) Verhältnismäßigkeit
                4. (d) Überprüfung der Maßnahmen
                5. (e) Aktualisierung der Maßnahmen
              3. (3) Risikoadäquanz
            4. dd. Umsetzung von Datenschutzvorkehrungen
              1. (1) Anknüpfungspunkte für Datenschutzvorkehrungen
              2. (2) Begriffsbestimmung der Datenschutzvorkehrungen
              3. (3) Regelungsgehalt des Art. 24 Abs. 2 DSGVO
                1. (a) Meinungsspektrum
                2. (b) Bewertung
          2. b. Beurteilung einer Einrichtungspflicht
            1. aa. Spielraum zur Festlegung von Maßnahmen
            2. bb. Einbezug situationsspezifischer Umstände
            3. cc. Umsetzung von Datenschutzvorkehrungen
            4. dd. Analogie zu gesellschaftsrechtlichen Erwägungen
        3. 3. Zwischenergebnis
      3. III. Kardinalpflicht zur rechtskonformen Gestaltung der Verarbeitung
        1. 1. Datenschutz durch Gestaltung
          1. a. Funktion des Konzepts
            1. aa. Zielsetzungen
              1. (1) Meinungsstand
              2. (2) Auslegung
              3. (3) Eingrenzungen
            2. bb. Schutz durch Gestaltung
              1. (1) Vorgelagerte Gestaltung
              2. (2) Fortlaufende Gestaltung
          2. b. Spezifische Mittel der Zielverwirklichung
            1. aa. Umsetzung der Datenschutzgrundsätze
            2. bb. Aufnahme von Garantien
          3. c. Technische und organisatorische Maßnahmen
            1. aa. Umsetzungsvorgaben
              1. (1) Beispielhafte Maßnahmen
              2. (2) Eignung und Wirksamkeit der Maßnahmen
              3. (3) Zeitpunkt der Umsetzung
              4. (4) Anpassung
            2. bb. Berücksichtigungsfaktoren
              1. (1) Risikofaktoren
              2. (2) Stand der Technik
              3. (3) Einrichtungskosten
            3. cc. Abwägungsentscheidung
          4. d. Kollisionen mit den Kardinalvorschriften der Datenschutz-Compliance
        2. 2. Datenschutz durch datenschutzfreundliche Voreinstellungen
          1. a. Regelungszweck
          2. b. Maßnahmen
            1. aa. Eignung der Maßnahmen
            2. bb. Konkretisierung
            3. cc. Verhältnismäßigkeit
          3. c. Kollisionen
        3. 3. Beurteilung einer Einrichtungspflicht
          1. a. Handlungsspielraum für die Umsetzung von Maßnahmen
          2. b. Berücksichtigungskriterien und Abwägungsentscheidungen
          3. c. Allgemeine Verhältnismäßigkeit der Maßnahmen
        4. 4. Zwischenergebnis
      4. IV. Kardinalpflicht zur Sicherheit der Verarbeitung
        1. 1. Funktion
          1. a. Schutzbereich
          2. b. Gegenstand der Absicherung
            1. aa. Begriff der Sicherheit
            2. bb. Verarbeitungssicherheit
            3. cc. Systemsicherheit
        2. 2. Sicherheitsmaßnahmen
          1. a. Art der Maßnahmen
          2. b. Zielrichtungen und Geeignetheit
            1. aa. Aufrechterhaltung eines angemessenen Schutzniveaus
            2. bb. Eignung der Maßnahmen
          3. c. Berücksichtigungsfaktoren
          4. d. Regelbeispiele
            1. aa. Maßnahmenkatalog
              1. (1) Unbestimmtheit der Beispielmaßnahmen
              2. (2) Anforderungen an Fähigkeiten der Systeme und Prozesse
              3. (3) Verfahrensorientierung der Maßnahmen
            2. bb. Leitlinien
            3. cc. Mitgliedstaatliches Recht
          5. e. Sicherstellung weisungsgebundener Verarbeitung
            1. aa. Weisungsgegenstand
            2. bb. Adressaten der Anweisungen
            3. cc. Sicherstellungscharakter
        3. 3. Verhältnis zu den anderen Kardinalpflichten
          1. a. Konkurrenz zu Art. 24 DSGVO
          2. b. Konkurrenz zu Art. 25 DSGVO
        4. 4. Beurteilung einer Einrichtungspflicht
          1. a. Individueller Handlungsspielraum
          2. b. Kontrollverfahren
          3. c. Spezifität der Norm
        5. 5. Zwischenergebnis
      5. V. Würdigung der unmittelbaren Einrichtungspflicht
    3. C. Abgeleitete Einrichtungspflicht
      1. I. Einzelpflichten
        1. 1. Verzeichnis von Verarbeitungstätigkeiten
          1. a. Verzeichnisinhalt
          2. b. Format
          3. c. Aktualisierung des Verzeichnisses
          4. d. Ausnahmeregelung
            1. aa. Rückausnahmen
              1. (1) Risikofreie Verarbeitungen
              2. (2) Gelegentliche Verarbeitungen
              3. (3) Verarbeitung besonderer Kategorien sensitiver Daten
            2. bb. Ausnahme-Regel-Verhältnis
          5. e. Implikationen für die Pflichteneinhaltung
        2. 2. Datenschutz-Folgenabschätzung
          1. a. Ausgangspunkte der Datenschutz-Folgenabschätzung
            1. aa. Form der Verarbeitung
              1. (1) Begriffsannäherung
              2. (2) Gesetzeshistorisches Begriffsverständnis
              3. (3) Wortlaut
              4. (4) Teleologische Extension
            2. bb. Verarbeitungsvorgänge
            3. cc. Hohe Risiken für die Rechte und Freiheiten der betroffenen Personen
              1. (1) Hochriskante Verarbeitung
              2. (2) Gesetzliche Regelbeispiele
              3. (3) Positiv- und Negativlisten der Aufsichtsbehörden
            4. dd. Prognosecharakter
          2. b. Umsetzung
            1. aa. Vorprüfung
            2. bb. Beschreibungsphase
            3. cc. Bewertungsphase
            4. dd. Maßnahmenphase
              1. (1) Risikomanagement
              2. (2) Umsetzung von Maßnahmen
            5. ee. Überprüfungsphase
          3. c. Implikationen für die Pflichteneinhaltung
            1. aa. Erforderlichkeitsabwägungen
            2. bb. Innerorganisatorische Realisation
              1. (1) Orientierungshilfen zur Komplexitätsreduktion
              2. (2) Komplexe Risikoeinschätzungen
              3. (3) Strukturelle Verflechtungen
              4. (4) Prozessuale Verankerung
                1. (a) Systematische Verknüpfungen
                2. (b) Systematische Risikosteuerung
                3. (c) Systematische Überwachung
          4. d. Einsatz strukturierter Managementsysteme
        3. 3. Data Breach Notifications
          1. a. Auslöser von Meldepflichten
          2. b. Meldungen an die Aufsichtsbehörde
            1. aa. Risikogeneigtheit einer Sicherheitsverletzung
            2. bb. Meldezeitpunkte und -fristen
              1. (1) Bekanntwerden der Sicherheitsverletzung
                1. (a) Keine umfassende Kenntnis
                2. (b) Wissenszurechnung
                3. (c) Wissensverantwortung
              2. (2) Fristgerechte Meldung
                1. (a) Unverzügliche Meldung
                2. (b) Meldungen nach Fristenablauf
            3. cc. Form und Inhalt der Meldung
          3. c. Benachrichtigung der betroffenen Person
            1. aa. Hohes Risiko
            2. bb. Ausnahmen
              1. (1) Risikoreduktionsmaßnahmen
              2. (2) Unverhältnismäßigkeit
              3. (3) Geheimhaltung von Informationen
            3. cc. Anforderungen an die Meldung
              1. (1) Formal-inhaltliche Anforderungen
              2. (2) Zeitliche Dimensionen
          4. d. Implikationen für die Pflichteneinhaltung
            1. aa. Handhabung von Sicherheitsverletzungen
              1. (1) Erkennungsmechanismen
              2. (2) Internes Berichtswesen
              3. (3) Externe Kommunikationsstrukturen
              4. (4) Forensische Ermittlung
            2. bb. Risikobewertungsmechanismen
              1. (1) Einschätzung melderelevanter Sachverhalte
                1. (a) Beurteilungsschwierigkeiten
                2. (b) Betrachtung sämtlicher Risikoumstände
                3. (c) Verhältnismäßigkeit
              2. (2) Einschätzung hoher Risiken
            3. cc. Binnenstrukturelle Auswirkungen
              1. (1) Einbezug von betrieblichen Organisationseinheiten
                1. (a) Informationstransfer
                2. (b) Datenschutzrechtliches Public Relations Management
                3. (c) Hinzuziehung arbeitsrechtlicher Organisationseinheiten
              2. (2) Umsetzung proaktiver Maßnahmen
              3. (3) Anpassung und iterative Revision von Sicherheitsmaßnahmen
              4. (4) Mangelnde Umsetzungsspielräume
                1. (a) Ökonomische Erwägungen
                2. (b) Technische Erwägungen
              5. (5) Dokumentation
          5. e. Einsatz strukturierter Managementsysteme
        4. 4. Zwischenergebnis
      2. II. Pflichtenkomplexe
        1. 1. Sicherstellung der Rechtmäßigkeit der Verarbeitung
          1. a. Zulässigkeit der Verarbeitung
            1. aa. Allgemeine Erlaubnistatbestände
            2. bb. Besondere Erlaubnistatbestände
              1. (1) Verarbeitung besonderer personenbezogener Daten
              2. (2) Zwischenstaatlicher Datentransfer
                1. (a) Datentransfer innerhalb der Europäischen Union
                2. (b) Datentransfer in Drittländer
            3. cc. Erlaubnistatbestände auf mitgliedstaatlicher Ebene
          2. b. Gewährleistung der rechtmäßigen Verarbeitung
            1. aa. Lebenszyklische Betrachtung
              1. (1) Feststellung der künftigen Verarbeitungsumstände
              2. (2) Bewertung einschlägiger Erlaubnistatbestände
                1. (a) Ordnung verarbeitungsrelevanter Erlaubnistatbestände
                2. (b) Eigenverantwortliche Bewertung
              3. (3) Überprüfung der Rechtmäßigkeit
                1. (a) Befolgung der Zweckbindung
                2. (b) Geplante Zweckänderungen
                3. (c) Wandel der Verarbeitungsumstände
              4. (4) Beendigung der Verarbeitung
            2. bb. Umsetzung der Sicherstellungsaufgabe
              1. (1) Informationsfluss
              2. (2) Prozessualisierung
                1. (a) Prüfung der Rechtmäßigkeit
                2. (b) Überwachungsmechanismen
                3. (c) Lösch- und Anonymisierungsprozesse
              3. (3) Dokumentation der Sicherstellung
          3. c. Einsatz strukturierter Managementsysteme
        2. 2. Pflichten gegenüber betroffenen Personen
          1. a. Pflichtenvielfalt
            1. aa. Allgemeine Vorgaben und Modalitäten
            2. bb. Informationspflichten
            3. cc. Spezifische Betroffenenrechte
          2. b. Einhaltung des Pflichtenkomplexes
            1. aa. Interne Organisationsprozesse
              1. (1) Informationsmanagement
                1. (a) Informationsorganisation
                2. (b) Kommunikationsflüsse
                3. (c) Fristenwahrung
              2. (2) Materielle Prüfung
            2. bb. Extern ausgerichtete Prozesse
              1. (1) Authentifizierungsmechanismen
              2. (2) Erleichterungen und Einfachheit
              3. (3) Kommunikation mit betroffenen Personen
                1. (a) Kommunikationskanäle
                2. (b) Informationserteilung
              4. (4) Mitteilungen
            3. cc. Dokumentation
          3. c. Einsatz strukturierter Managementsysteme
        3. 3. Zwischenergebnis
      3. III. Würdigung der abgeleiteten Einrichtungspflicht
    4. D. Konsequenzen für das Bestehen datenschutzrechtlicher Einrichtungspflichten
  7. Kapitel 3: Kriterien zur Bestimmung der Einrichtungspflicht
    1. A. Risiken der Verarbeitung
      1. I. Risikofaktoren
      2. II. Risikoniveau
      3. III. Abhängigkeit von der Verarbeitung
    2. B. Verarbeitungsrahmen beim Verantwortlichen
      1. I. Parameter der Verarbeitung
        1. 1. Art der Verarbeitung
        2. 2. Umfang der Verarbeitung
        3. 3. Umstände der Verarbeitung
        4. 4. Zwecke der Verarbeitung
      2. II. Präzisierte Verarbeitungskriterien
        1. 1. Verarbeitungsumstände
          1. a. Komplexität der Verarbeitung
          2. b. Technologieeinsatz
          3. c. Ort der Verarbeitung
          4. d. Art der Daten
          5. e. Adressaten der Verarbeitung
          6. f. Einbezug anderer in die Verarbeitung
        2. 2. Organisationsumstände
          1. a. Art der unternehmerischen Tätigkeit
          2. b. Branchenzugehörigkeit
          3. c. Innere Organisationsstruktur des Unternehmens
          4. d. Unternehmensgröße
          5. e. Geografische Präsenz
          6. f. Etablierte Maßnahmen
          7. g. Verdachtsfälle und Verstöße aus der Vergangenheit
    3. C. Wirtschaftliche und technische Erwägungen
      1. I. Einrichtungskosten und wirtschaftliche Leistungsfähigkeit
      2. II. Stand der Technik
    4. D. Erkenntnisse
  8. Kapitel 4: Schlussbetrachtung
  9. Literatur
  10. Webverzeichnis
 
stats