E-Book, Deutsch, Band 12, 414 Seiten, Format (B × H): 153 mm x 227 mm
Reihe: Schriften zu Compliance
Kreß Criminal Compliance und Datenschutz im Konzern
1. Auflage 2018
ISBN: 978-3-8452-8851-2
Verlag: Nomos
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
E-Book, Deutsch, Band 12, 414 Seiten, Format (B × H): 153 mm x 227 mm
Reihe: Schriften zu Compliance
ISBN: 978-3-8452-8851-2
Verlag: Nomos
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Die Arbeit erörtert umfassend die datenschutzrechtlichen Anforderungen, die sich Compliance-Abteilungen internationaler Konzerne mit Sitz der Konzernmutter in Deutschland stellen, und zeigt praktische Lösungen zur datenschutzgerechten Gestaltung der Compliance-Tätigkeit auf. Hierbei werden einzelne Compliance-Maßnahmen auf ihre datenschutzrechtliche Zulässigkeit überprüft, auf die Auswirkungen der konzerninternen Datenübermittlungen mangels Konzernprivileg eingegangen und die zusätzlichen Anforderungen an konzerninterne Übermittlungen ins Ausland beleuchtet. Neben der aktuell bestehenden Rechtslage gemäß dem Bundesdatenschutzgesetz (BDSG) wird auch ausführlich auf die neue Rechtslage nach Geltung der Datenschutzgrundverordnung (DSGVO) sowie des neuen BDSG 2017 eingegangen und diese kritisch bewertet. Die Autorin hat die Dissertation berufsbegleitend in einem internationalen Wirtschaftskonzern angefertigt und ist nun als Rechtsanwältin im Datenschutzrecht tätig.
Autoren/Hrsg.
Fachgebiete
Weitere Infos & Material
1;Cover;1
2; Einleitung;23
2.1; A. Grundproblematik;23
2.2; B. Ziel der Arbeit;24
2.3; C. Gang der Arbeit;25
2.4; D. Definition der Grundbegriffe;26
2.4.1; I. (Criminal) Compliance;26
2.4.2; II. Konzern;29
3; Erstes Kapitel: Die »Compliance-Pflicht« – Umfang, Ziel und Inhalt;32
3.1; A. Die Compliance-Pflicht;32
3.1.1; I. Auslegung des deutschen Gesellschafts- und Ordnungswidrigkeitenrecht;32
3.1.1.1; 1. Grundlagen aus dem Gesellschaftsrecht;32
3.1.1.2; 2. Grundlagen aus dem Ordnungswidrigkeitenrecht;34
3.1.1.3; 3. Gemeinsamer Inhalt der Sorgfalts- und Aufsichtspflicht;34
3.1.1.4; 4. Zwischenfazit;41
3.1.2; II. Compliance-Pflicht aus sonstigem Recht;41
3.1.2.1; 1. Ausdrückliche Compliance-Pflichten aus Spezialgesetzen;41
3.1.2.2; 2. Pflicht aus dem Deutschen Corporate Governance Kodex (DCGK);42
3.1.2.3; 3. Pflichten aus ausländischem Recht;43
3.2; B. Konzernweite Compliance-Pflicht;44
3.3; C. Ziele der Compliance-Tätigkeit;51
3.3.1; I. Haftung nach § 130 I 1 OWiG;51
3.3.1.1; 1. Adressatenkreis;51
3.3.1.2; 2. Mögliche Taten i.S.d. betrieblichen Zuwiderhandlung;53
3.3.2; II. Haftung des Unternehmens nach § 30 I OWiG;54
3.3.3; III. Strafbarkeit wegen Unterlassen;55
3.3.4; IV. Haftung des Vorstands bzw. des Geschäftsführers gegenüber der Gesellschaft aus § 93 II 1 AktG;56
3.3.5; V. Rufschädigung;56
3.3.6; VI. Beeinflussung der Strafzumessung;57
3.4; D. Inhalt der Compliance-Maßnahmen;58
3.4.1; I. Präventive Maßnahmen;58
3.4.2; II. Repressive Maßnahmen;59
3.5; E. Gestaltungsmöglichkeiten der Compliance-Funktion im Konzern;59
3.5.1; I. »Aufhängung« der Compliance-Organisation;59
3.5.2; II. Umfang Compliance-Funktion;60
3.5.3; III. Ausgestaltung der Compliance-Funktion im Konzern;61
4; Zweites Kapitel: Berührungspunkte zwischen Compliance und Datenschutz;64
5; Drittes Kapitel: Maßgebliches Recht;66
5.1; A. Geschichte des Datenschutzrechts in Deutschland;66
5.2; B. Anwendbarkeit BDSG vs. DSGVO;72
5.3; C. Anwendbarkeit der Datenschutzgesetze;73
5.3.1; I. Sachliche Anwendbarkeit;73
5.3.1.1; 1. Rechtslage nach dem BDSG;73
5.3.1.1.1; a) Positive Anwendungsvoraussetzungen nach § 1 II Nr. 3 Hs. 1 BDSG;73
5.3.1.1.1.1; aa) Definition personenbezogener Daten (pbD);73
5.3.1.1.1.2; bb) Relevanter Datenumgang;76
5.3.1.1.1.2.1; (1) Erheben;76
5.3.1.1.1.2.2; (2) Verarbeiten;77
5.3.1.1.1.2.3; (3) Nutzen;78
5.3.1.1.1.3; cc) Unter Einsatz von Datenverarbeitungsanlagen;78
5.3.1.1.1.4; dd) »In oder aus nicht-automatisierten Dateien«;79
5.3.1.1.1.5; ee) Zwischenergebnis;80
5.3.1.1.2; b) Subsidiarität nach § 1 III 1 BDSG;80
5.3.1.2; 2. Änderung aufgrund der DSGVO;81
5.3.2; II. Örtliche Anwendbarkeit;83
5.3.2.1; 1. Rechtslage nach dem BDSG;84
5.3.2.1.1; a) Datenumgang durch eine deutsche verantwortliche Stelle in Deutschland;84
5.3.2.1.2; b) Datenumgang durch ausländische verantwortliche Stellen in Deutschland;84
5.3.2.1.2.1; aa) Verantwortliche Stelle mit Sitz in der EU bzw. im EWR;84
5.3.2.1.2.2; bb) Verantwortliche Stelle mit Sitz im Drittland;87
5.3.2.1.3; c) Datenumgang durch deutsche verantwortliche Stellen im Ausland;88
5.3.2.1.3.1; aa) In einem anderen Mitgliedstaat der EU bzw. des EWR;88
5.3.2.1.3.2; bb) In einem Drittland;89
5.3.2.2; 2. Änderungen aufgrund der DSGVO;89
6; Viertes Kapitel: Mögliche Rechtsfolgen einer Datenschutzverletzung;92
6.1; A. Rechtsfolgen nach dem Datenschutzrecht;93
6.1.1; I. Ordnungswidrigkeiten;93
6.1.1.1; 1. Natürliche Person als tauglicher Täter?;94
6.1.1.2; 2. Relevante Tatbestände des § 43 BDSG;95
6.1.1.2.1; a) § 43 I Nr. 2b BDSG;95
6.1.1.2.2; b) § 43 I Nr. 4 BDSG;96
6.1.1.2.3; c) § 43 I Nr. 8 BDSG;96
6.1.1.2.4; d) § 43 I Nr. 8a BDSG;97
6.1.1.2.5; e) § 43 II Nr. 1 BDSG;97
6.1.1.2.6; f) § 43 II Nr. 2 BDSG;97
6.1.1.2.7; g) § 43 II Nr. 5 Alt. 2 BDSG;98
6.1.2; II. Straftaten (§ 44 I BDSG);101
6.1.3; III. Änderungen aufgrund der DSGVO;102
6.1.3.1; 1. Ordnungswidrigkeiten;102
6.1.3.2; 2. Straftaten;106
6.2; B. Geldbuße nach § 130 OWiG;107
6.3; C. Geldbuße gegen die juristische Person (§ 30 OWiG);108
7; Fünftes Kapitel: Grenzen des Datenschutzes im Konzern;110
7.1; A. Datenschutzrechtlich relevante Vorgänge im internationalen Konzern;110
7.2; B. Notwendigkeit der Rechtfertigung einer Datenerhebung;112
7.2.1; I. Verfassungsrechtliche Grundlage des Datenschutzrechts;112
7.2.2; II. Inhalt und Bedeutung des Verbots mit Erlaubnisvorbehalt;114
7.3; C. Bestimmung der Verantwortlichkeit;115
7.3.1; I. Verantwortliche Stelle i.S.d. Datenschutzrechts;115
7.3.2; II. Kein Konzernprivileg;116
7.3.3; III. Joint Controllership;119
7.3.4; IV. Qualifizierung des Datentransfers zwischen den Compliance-Stellen des Konzerns;122
7.3.4.1; 1. Kriterien für das Vorliegen einer Auftragsdatenverarbeitung;123
7.3.4.2; 2. Übertragbarkeit der Grundsätze der Auftragsdatenverarbeitung auf Compliance-Tätigkeit im Konzern;126
7.3.4.3; 3. Zwischenergebnis;128
7.4; D. Zulässigkeit der datenschutzrechtlich relevanten Vorgänge;128
7.4.1; I. Vorgänge innerhalb eines Konzerns;128
7.4.1.1; 1. Keine Qualifikation der für Compliance relevanten pbD als sensibel;129
7.4.1.2; 2. Rechtfertigung durch Einwilligung des Betroffen;129
7.4.1.2.1; a) Anforderungen an eine Einwilligung;129
7.4.1.2.2; b) Verhältnis zu anderen Ermächtigungsgrundlagen;133
7.4.1.2.3; c) Zwischenergebnis;135
7.4.1.3; 3. Anwendbarkeit und Voraussetzungen der gesetzlichen Ermächtigungsgrundlagen gemäß §§ 28 und 32 BDSG i.R.d. Compliance-Tätigkeit eines Konzerns;136
7.4.1.3.1; a) Erweiterung des Anwendungsbereichs des BDSG für private Unternehmen;137
7.4.1.3.2; b) Die Ermächtigungsgrundlagen aus § 32 BDSG;139
7.4.1.3.2.1; aa) Spezifische Anwendungsvoraussetzungen des § 32 I BDSG;140
7.4.1.3.2.1.1; (1) Personeller Anwendungsbereich;140
7.4.1.3.2.1.2; (2) Sachlicher Anwendungsbereich;142
7.4.1.3.2.1.3; (3) § 32 BDSG auf Verarbeitung durch verbundene Konzerngesellschaft anwendbar?;144
7.4.1.3.2.2; bb) Die Ermächtigungsgrundlage des § 32 I 2 BDSG;146
7.4.1.3.2.2.1; (1) Voraussetzungen;146
7.4.1.3.2.2.1.1; (a) Handeln zum Zweck der Aufdeckung einer Straftat;147
7.4.1.3.2.2.1.2; (b) Verdacht durch tatsächliche Anhaltspunkte;147
7.4.1.3.2.2.1.3; (c) Begehung im Beschäftigtenverhältnis;148
7.4.1.3.2.2.1.4; (d) Erforderlichkeit und Verhältnismäßigkeit;149
7.4.1.3.2.2.1.5; (e) Dokumentationspflicht;150
7.4.1.3.2.2.2; (2) Anwendbarkeit zur Rechtfertigung von Compliance-Maßnahmen;150
7.4.1.3.2.2.3; (3) Anwendbarkeit zur Rechtfertigung von konzerninternen Übermittlungen;151
7.4.1.3.2.2.3.1; (a) Konzernbezogene Beschäftigungsverhältnisse;152
7.4.1.3.2.2.3.2; (b) Übermittlung zur Ermöglichung der Durchführung einer Compliance-Maßnahme;153
7.4.1.3.2.2.3.3; (c) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme;154
7.4.1.3.2.2.3.4; (d) Zwischenergebnis;156
7.4.1.3.2.3; cc) Die Ermächtigungsgrundlage des § 32 I 1 BDSG;157
7.4.1.3.2.3.1; (1) Voraussetzungen;157
7.4.1.3.2.3.1.1; (a) Zwecke des Beschäftigungsverhältnisses;157
7.4.1.3.2.3.1.2; (b) Erforderlichkeit;159
7.4.1.3.2.3.2; (2) Anwendbarkeit zur Rechtfertigung von präventiven Compliance-Maßnahmen;161
7.4.1.3.2.3.3; (3) Anwendbarkeit zur Rechtfertigung von repressiven Compliance-Maßnahmen;164
7.4.1.3.2.3.4; (4) Anwendbarkeit zur Rechtfertigung von konzerninternen Übermittlungen;165
7.4.1.3.3; c) Die Ermächtigungsgrundlagen des § 28 BDSG;166
7.4.1.3.3.1; aa) Spezifische Anwendungsvoraussetzung des § 28 I BDSG;166
7.4.1.3.3.2; bb) Verhältnis § 28 I 1 Nr. 2 BDSG zu § 32 BDSG;167
7.4.1.3.3.2.1; (1) Außerhalb des Anwendungsbereichs des § 32 BDSG;168
7.4.1.3.3.2.2; (2) Innerhalb des Anwendungsbereichs des § 32 BDSG;168
7.4.1.3.3.3; cc) Die Ermächtigungsgrundlage des § 28 I 1 Nr. 1 BDSG;170
7.4.1.3.3.4; dd) Die Ermächtigungsgrundlage des § 28 I 1 Nr. 2 BDSG;171
7.4.1.3.3.4.1; (1) Voraussetzungen;171
7.4.1.3.3.4.1.1; (a) Berechtigtes Interesse der verantwortlichen Stelle;171
7.4.1.3.3.4.1.2; (b) Erforderlichkeit;172
7.4.1.3.3.4.1.3; (c) Interessenabwägung;173
7.4.1.3.3.4.2; (2) Anwendbarkeit zur Rechtfertigung von Compliance-Maßnahmen;174
7.4.1.3.3.4.3; (3) Anwendbarkeit zur Rechtfertigung von konzerninternen Übermittlungen;174
7.4.1.3.3.4.4; (4) Zwischenergebnis zur Anwendbarkeit des § 28 I 1 Nr. 2 BDSG;177
7.4.1.3.4; d) Fazit zur Situation der datenschutzrechtlichen Ermächtigungsgrundlagen im Compliance-Bereich;177
7.4.1.4; 4. Erörterung der datenschutzrechtlichen Rechtfertigung von Compliance-Vorgängen;178
7.4.1.4.1; a) Zulässigkeit repressiver Compliance-Maßnahmen;178
7.4.1.4.1.1; aa) Allgemeines zur Abwägung;180
7.4.1.4.1.2; bb) Auswertung der Telekommunikation;183
7.4.1.4.1.2.1; (1) Abgrenzung zu den Ermächtigungsgrundlagen des TKG;184
7.4.1.4.1.2.1.1; (a) Anwendungsbereich der §§ 88 und 91 ff. TKG;185
7.4.1.4.1.2.1.1.1; (aa) Voraussetzung der ausdrücklichen Erlaubnis einer Privatnutzung?;186
7.4.1.4.1.2.1.1.2; (bb) Sachliche Anwendbarkeit der §§ 91 ff. TKG im Arbeitsverhältnis bei erlaubter Privatnutzung;187
7.4.1.4.1.2.1.1.3; (cc) Exkurs: Zeitlicher Anwendungsbereich der §§ 91 ff. TKG;190
7.4.1.4.1.2.1.2; (b) Rechtfertigungsmöglichkeit eines Zugriffs auf Telekommunikationsdaten bei Annahme des Eingreifens des Fernmeldegeheimnisses;192
7.4.1.4.1.2.1.2.1; (aa) Rechtfertigung nach den §§ 91 ff. TKG;193
7.4.1.4.1.2.1.2.2; (bb) Sonstige Rechtfertigung i.S.d. § 88 III 3 TKG;194
7.4.1.4.1.2.1.2.3; (cc) Fazit zur Rechtfertigungsmöglichkeit eines Zugriffs bei Geltung des Fernmeldegeheimnisses;195
7.4.1.4.1.2.1.3; (c) Zwischenergebnis und Fazit;195
7.4.1.4.1.2.2; (2) Zur Bewertung nach BDSG;197
7.4.1.4.1.2.2.1; (a) Auswertung der Telefon-Kommunikation;198
7.4.1.4.1.2.2.1.1; (aa) Auswertung der Verbindungsdaten;198
7.4.1.4.1.2.2.1.2; (bb) Auswertung der Inhaltsdaten;198
7.4.1.4.1.2.2.2; (b) Auswertung der E-Mail-Kommunikation;200
7.4.1.4.1.2.2.2.1; (aa) Auswertung der Verbindungsdaten;200
7.4.1.4.1.2.2.2.2; (bb) Auswertung der Inhaltsdaten;200
7.4.1.4.1.2.2.3; (c) Bewertung der datenschutzrechtlichen Zulässigkeit der Auswertung der unterschiedlichen Telekommunikationsdaten;201
7.4.1.4.1.2.2.4; (d) Exkurs: Rechtfertigung der Auswertung der Daten gegenüber dem Telekommunikationsteilnehmer;205
7.4.1.4.1.2.3; (3) Zwischenergebnis;206
7.4.1.4.1.3; cc) Befragung;207
7.4.1.4.1.3.1; (1) Grundsätzliche Aussagepflicht von Arbeitnehmern;207
7.4.1.4.1.3.2; (2) Auskunftsverweigerungsrecht wegen Selbstbelastungsfreiheit?;208
7.4.1.4.1.3.3; (3) Anspruch des Arbeitnehmers auf Hinzuziehung Dritter?;210
7.4.1.4.1.3.4; (4) Zwischenergebnis;210
7.4.1.4.1.4; dd) Durchsuchung;211
7.4.1.4.1.5; ee) Fazit zur Zulässigkeit repressiver Compliance-Maßnahmen;212
7.4.1.4.2; b) Zulässigkeit präventiver Compliance-Maßnahmen;214
7.4.1.4.2.1; aa) Allgemeines zur Abwägung;215
7.4.1.4.2.2; bb) Schulungen;217
7.4.1.4.2.3; cc) Mitarbeiterkontrollen;218
7.4.1.4.2.3.1; (1) Datenabgleiche (»Screenings«);218
7.4.1.4.2.3.1.1; (a) Zulässigkeit des Datenabgleichs;219
7.4.1.4.2.3.1.2; (b) Unzulässigkeit des Datenabgleichs;220
7.4.1.4.2.3.1.3; (c) Bewertung;220
7.4.1.4.2.3.1.3.1; (aa) Grundrechtseingriff durch jegliche Treffer;220
7.4.1.4.2.3.1.3.2; (bb) Vergleich mit Antiterrorlisten-Abgleichen;221
7.4.1.4.2.3.1.3.3; (cc) Fazit;224
7.4.1.4.2.3.2; (2) Stichproben;226
7.4.1.4.2.4; dd) Hinweisgebersysteme;227
7.4.1.4.2.5; ee) Fazit zur Zulässigkeit präventiver Compliance-Maßnahmen;231
7.4.1.4.3; c) Konzerninterne Übermittlungen zu Compliance-Zwecken;232
7.4.1.4.3.1; aa) Übermittlungen von der Konzernmutter an eine Tochtergesellschaft;233
7.4.1.4.3.1.1; (1) Übermittlung zur Ermöglichung einer Compliance-Maßnahme;233
7.4.1.4.3.1.2; (2) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme;234
7.4.1.4.3.2; bb) Übermittlungen von einer Tochtergesellschaft an die Konzernmutter;235
7.4.1.4.3.2.1; (1) Übermittlung zur Ermöglichung einer Compliance-Maßnahme;235
7.4.1.4.3.2.2; (2) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme;237
7.4.1.4.3.3; cc) Fazit zur Zulässigkeit konzerninterner Übermittlungen zu Compliance-Zwecken;240
7.4.1.5; 5. Rechtfertigung durch Betriebsvereinbarung;241
7.4.1.6; 6. Fazit bzgl. der datenschutzrechtlichen Zulässigkeit der Compliance-Vorgänge innerhalb eines Konzerns;243
7.4.2; II. Übermittlung pbD an Gerichte und Behörden;245
7.4.2.1; 1. Grundsatzproblem: Freiwillig versus Verpflichtung;246
7.4.2.2; 2. Mögliche Ermächtigungsgrundlagen für eine Übermittlung an staatliche Einrichtungen;246
7.4.2.2.1; a) Einwilligung;246
7.4.2.2.2; b) § 32 I BDSG;247
7.4.2.2.3; c) § 28 I 1 Nr. 2 BDSG;248
7.4.2.2.4; d) § 28 II BDSG;249
7.4.2.2.4.1; aa) § 28 II Nr. 1 i.V.m. § 28 I 1 Nr. 2 BDSG;249
7.4.2.2.4.2; bb) § 28 II Nr. 2 BDSG;250
7.4.2.2.4.2.1; (1) Kein schutzwürdiges Interesse des Betroffenen;250
7.4.2.2.4.2.2; (2) § 28 II Nr. 2 a BDSG;252
7.4.2.2.4.2.3; (3) § 28 II Nr. 2 b Alt. 2 BDSG;253
7.4.2.2.5; e) Ergebnis bzgl. Übermittlung an öffentliche Stellen;254
7.4.3; III. Datenweitergabe an Dritte;255
7.4.4; IV. Änderungen aufgrund der DSGVO;257
7.4.4.1; 1. Einwilligung des Betroffenen;257
7.4.4.1.1; a) Voraussetzungen im Einzelnen;258
7.4.4.1.1.1; aa) Freiwilligkeit;258
7.4.4.1.1.2; bb) Vorherige Information;260
7.4.4.1.1.3; cc) Form;260
7.4.4.1.2; b) Zwischenergebnis;261
7.4.4.2; 2. Gesetzliche Ermächtigungsgrundlagen;262
7.4.4.2.1; a) Art. 6 I lit. b DSGVO;262
7.4.4.2.2; b) Art. 6 I lit. c DSGVO;263
7.4.4.2.3; c) Art. 6 I lit. d DSGVO;264
7.4.4.2.4; d) Art. 6 I lit. e DSGVO;264
7.4.4.2.5; e) Art. 6 I lit. f Hs. 1 DSGVO;266
7.4.4.2.5.1; aa) Anerkennung eines berechtigten Interesses gegenüber internen Ermittlungen?;267
7.4.4.2.5.2; bb) Konzernprivileg durch Erwägungsgründe?;268
7.4.4.2.5.2.1; (1) Art und Weise dieser »Privilegierung« im Rahmen des Entstehungsprozesses der DSGVO;268
7.4.4.2.5.2.2; (2) Bewertung;269
7.4.4.2.6; f) Öffnungsklausel;271
7.4.4.2.7; g) Zweckänderung;275
7.4.4.2.7.1; aa) Vereinbarkeit der Zwecke;276
7.4.4.2.7.2; bb) Gesetzliche Rechtfertigung der Zweckänderung;277
7.4.4.2.7.3; cc) Zwischenergebnis;279
7.4.4.3; 3. Änderung im Rahmen von Auftragsdatenverarbeitungen;280
7.4.4.4; 4. Zwischenfazit;281
7.5; E. Besonderheiten betreffend Übermittlungen ins Ausland;282
7.5.1; I. Notwendigkeit einer »zwei-stufigen Prüfung« bei Auslandsberührung;282
7.5.2; II. Voraussetzungen der zweiten Prüfungsstufe;283
7.5.2.1; 1. Auslandsübermittlung innerhalb des Konzernverbundes;283
7.5.2.1.1; a) Voraussetzungen für Übermittlungen in andere EU- oder EWR-Staaten;284
7.5.2.1.2; b) Voraussetzungen für Übermittlung in Drittländer;284
7.5.2.1.2.1; aa) Angemessenes Datenschutzniveau;285
7.5.2.1.2.1.1; (1) Europarechtskonforme Ausweitung durch den deutschen Gesetzgeber?;285
7.5.2.1.2.1.2; (2) Kriterien eines angemessenen Datenschutzniveaus;287
7.5.2.1.2.1.3; (3) Feststellung eines angemessenen Datenschutzniveaus;288
7.5.2.1.2.1.3.1; (a) Weiße Liste der EU-Kommission;289
7.5.2.1.2.1.3.2; (b) Sonderfall »Safe Harbor«;291
7.5.2.1.2.1.3.3; (c) EU-U.S. Privacy Shield;293
7.5.2.1.2.1.4; (4) Zwischenergebnis bzgl. der Voraussetzung eines angemessenen Datenschutzniveaus;295
7.5.2.1.2.2; bb) Vorliegen eines Ausnahmetatbestandes nach § 4c I 1 BDSG;295
7.5.2.1.2.2.1; (1) § 4c I 1 Nr. 1 BDSG: Einwilligung;296
7.5.2.1.2.2.2; (2) § 4c I 1 Nr. 2 BDSG: Erforderlichkeit zur Erfüllung eines Vertrags mit dem Betroffenen;297
7.5.2.1.2.2.3; (3) § 4c I 1 Nr. 3 BDSG: Erforderlichkeit zur Erfüllung eines Vertrags mit einem Dritten im Interesse des Betroffenen;298
7.5.2.1.2.2.4; (4) § 4c I 1 Nr. 4 Alt. 1 BDSG: Erforderlichkeit zur Wahrung öffentlicher Interessen;298
7.5.2.1.2.2.5; (5) § 4c I 1 Nr. 4 Alt. 2 BDSG: Erforderlichkeit zur Geltendmachung von Rechtsansprüchen vor Gericht;298
7.5.2.1.2.2.6; (6) § 4c I 1 Nr. 5 BDSG: Erforderlichkeit zur Wahrung lebenswichtiger Interessen;300
7.5.2.1.2.2.7; (7) § 4c I 1 Nr. 6 BDSG: Übermittlung aus öffentlichen Registern;300
7.5.2.1.2.2.8; (8) Fazit bzgl. dem Eingreifen eines Ausnahmetatbestandes;300
7.5.2.1.2.3; cc) Genehmigung nach § 4c II 1 BDSG;301
7.5.2.1.2.3.1; (1) Eigene Vertragsklauseln;302
7.5.2.1.2.3.2; (2) EU-Standardvertragsklauseln;303
7.5.2.1.2.3.2.1; (a) Arten von Standardvertragsklauseln;304
7.5.2.1.2.3.2.2; (b) Anwendbarkeit Set II-Klauseln auf Arbeitnehmerdaten;306
7.5.2.1.2.3.2.3; (c) Standardvertragsklauseln als Mehrparteienvertrag;307
7.5.2.1.2.3.2.4; (d) Auswirkungen des »Schrems«-Urteils auf Standardvertragsklauseln;311
7.5.2.1.2.3.3; (3) Binding Corporate Rules;313
7.5.2.1.2.3.3.1; (a) Keine Genehmigungspflicht der auf BCR basierenden Übermittlungen;315
7.5.2.1.2.3.3.2; (b) Auswirkungen des »Schrems«-Urteils auf BCR;317
7.5.2.1.2.3.3.3; (c) Rechtsform der BCR;318
7.5.2.1.2.3.4; (4) Bewertung der unterschiedlichen Garantien i.S.d. § 4c II 1 BDSG;322
7.5.2.1.3; c) Fazit zu den Erfordernissen der »zweiten Stufe« bei konzerninternen Datenübermittlungen;324
7.5.2.1.4; d) Sonderproblem: Transnationaler Transfer zwischen unselbständigen Unternehmensteilen;325
7.5.2.1.5; e) Sonderproblem: Datenimport;326
7.5.2.1.6; f) Sonderproblem: Rücktransport pbD in Drittstaat, wenn einziger Bezug zu Deutschland der Sitz des Datenbankbetreibers ist;327
7.5.2.2; 2. Übermittlung an öffentliche Stellen im Ausland;330
7.5.2.2.1; a) Vorrang spezieller Gesetze und Vereinbarungen;330
7.5.2.2.2; b) Zulässigkeit der Übermittlung nach BDSG;331
7.5.2.2.2.1; aa) Übermittlungen innerhalb Europa bzw. innerhalb des EWR;332
7.5.2.2.2.1.1; (1) Voraussetzung des § 4b I BDSG: Tätigkeit im Anwendungsbereich des Rechts der EG;332
7.5.2.2.2.1.2; (2) Zulässigkeit nach § 4b II 1, 2 BDSG;333
7.5.2.2.2.2; bb) Übermittlung in Drittländer;334
7.5.2.2.3; c) Fazit und Handlungsempfehlung;336
7.5.2.3; 3. Übermittlung an sonstige Dritte;337
7.5.3; III. Änderung der Zulässigkeit auf zweiter Stufe aufgrund der DSGVO;339
7.5.3.1; 1. Allgemeines;339
7.5.3.2; 2. Angemessenheitsentscheidung der EU-Kommission;339
7.5.3.3; 3. Garantien nach der DSGVO;341
7.5.3.3.1; a) Individuelle Vertragsklauseln;341
7.5.3.3.2; b) Standardvertragsklauseln;341
7.5.3.3.3; c) Binding Corporate Rules;342
7.5.3.3.4; d) Sonstige;343
7.5.3.4; 4. Ausnahmen;343
7.5.3.5; 5. Übermittlung an öffentliche Stellen;345
7.5.3.6; 6. Fazit zur Änderung der Anforderungen an den internationalen Datentransfer durch die DSGVO;346
7.6; F. Nebenpflichten der Compliance;348
7.6.1; I. Löschpflicht;348
7.6.1.1; 1. Nach § 35 BDSG;348
7.6.1.2; 2. Änderung aufgrund der DSGVO;351
7.6.2; II. Benachrichtigungspflicht;353
7.6.2.1; 1. Zeitpunkt der Benachrichtigungspflicht;354
7.6.2.2; 2. Ausnahmen von der Benachrichtigungspflicht;354
7.6.2.3; 3. Änderung aufgrund der DSGVO;356
7.6.2.3.1; a) Zeitpunkt der Benachrichtigung;356
7.6.2.3.2; b) Ausnahmen von der Benachrichtigungspflicht;357
7.6.2.3.3; c) Fazit;359
7.6.3; III. Auskunftspflicht;359
7.6.3.1; 1. Inhalt der Pflicht nach § 34 BDSG;359
7.6.3.2; 2. Änderung aufgrund der DSGVO;360
7.6.4; IV. Direkterhebungsgrundsatz;362
7.6.5; V. Zusätzliche Voraussetzungen einer »konzerninternen Compliance-Datenbank«;363
7.6.5.1; 1. Anwendbarkeit der § 10 I bis IV BDSG bei »Verbundsdatenbanken«;364
7.6.5.2; 2. Notwendigkeit einer spezifischen Interessenabwägung;364
7.6.5.3; 3. Änderung aufgrund der DSGVO;366
7.6.6; VI. Widerspruchsrecht nach Art. 21 I DSGVO;367
8; Sechstes Kapitel: Abschließende Zusammenfassung und Bewertung;368
8.1; A. Bewertung der Voraussetzungen für eine Compliance-Abteilung;368
8.1.1; I. Beantwortung der aufgestellten Thesen;368
8.1.1.1; 1. Das Datenschutzrecht schränkt die Arbeit einer Compliance-Abteilung in einem Konzern nicht ein.;368
8.1.1.1.1; a) Die Compliance-Pflicht;368
8.1.1.1.2; b) Anwendbarkeit des Datenschutzrechts;369
8.1.1.1.3; c) Mögliche datenschutzrechtliche Ermächtigungsgrundlagen;371
8.1.1.1.3.1; aa) Einwilligung;371
8.1.1.1.3.2; bb) Gesetz;371
8.1.1.1.3.3; cc) Betriebsvereinbarung;372
8.1.1.2; 2. Die Grenzen, die der Datenschutz einer Compliance-Abteilung aufgibt, sind in jedem Konzern identisch, unabhängig davon ob es sich um einen Konzern handelt, der nur deutschlandweit, EU-weit oder auch weltweit agiert.;373
8.1.1.3; 3. Es können klare Vorgaben gegeben werden, wie die Compliance-Abteilung eines Konzerns zu agieren hat, um dem Datenschutz gerecht zu werden.;374
8.1.1.3.1; a) Interessenabwägung bzgl. Compliance-Maßnahmen;375
8.1.1.3.1.1; aa) Kategorisierung der untersuchten repressiven Maßnahmen;376
8.1.1.3.1.2; bb) Kategorisierung der untersuchten präventiven Maßnahmen;377
8.1.1.3.2; b) Interessenabwägung bzgl. eines konzerninternen Datentransfers zu Compliance-Zwecken;378
8.1.1.4; 4. Ein Unternehmen bzw. ein Konzern hat im Falle eines Verstoßes gegen das Datenschutzrecht keine ernsten Folgen zu erwarten.;380
8.1.1.5; 5. Aufgrund der DSGVO wird sich die Situation grundlegend ändern.;382
8.1.1.5.1; a) Erweiterter Geltungsbereich;382
8.1.1.5.2; b) Änderungen auf »erster Stufe«;383
8.1.1.5.3; c) Änderungen auf »zweiter Stufe«;384
8.1.1.5.4; d) Bußgeldrahmen;385
8.1.1.5.5; e) Fazit;386
8.1.2; II. Beeinflussung der Verhältnismäßigkeit über konzerninterne Vereinbarungen;386
8.1.3; III. Zusammenfassende Empfehlung für die Praxis;387
8.2; B. Bewertung der Gesetzesregelung aktuell und im Hinblick auf die DSGVO;389
8.2.1; I. Generalklausel als Ermächtigungsgrundlage;389
8.2.2; II. Konzernprivileg durch die Rechtsfolgen nach Art. 83 DSGVO;391
8.2.3; III. Zusammenfassendes Fazit zu den Datenschutzregelungen;394
9; Literaturverzeichnis;397
