E-Book, Deutsch, Band 51286, 292 Seiten
Reihe: Beck im dtv
Schröder Datenschutzrecht für die Praxis
5. Auflage 2023
ISBN: 978-3-406-80926-2
Verlag: C.H.Beck
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Grundlagen, Datenschutzbeauftragte, Audit, Handbuch, Haftung etc
E-Book, Deutsch, Band 51286, 292 Seiten
Reihe: Beck im dtv
ISBN: 978-3-406-80926-2
Verlag: C.H.Beck
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Inhalt
Das Buch bereitet die praktisch wichtigen Aspekte des Datenschutzrechts auf, so dass Nutzer, die keine juristische Ausbildung haben, die Anforderungen in ihrer beruflichen Praxis umsetzen können:Alles was ein Unternehmen (und damit der Datenschutzbeauftragte) wissen muss, damit es datenschutzkonform arbeiten kannAlle erforderlichen Vertragsvorlagen/Dokumente hierfürIn bewährter Aufmachung: Optisch sind die entscheidenden Elemente der Darstellung hervorgehoben, alsoanschaulich gemacht mit vielen praktischen Beispielenleicht umzusetzen mit zahlreichen Mustern und Praxis-Tippsgut verständlich mit einfachen Definitionen komplizierter RechtsbegriffeNeuauflage
Die Neuauflage berücksichtigt alle relevanten Gerichtsurteile, Stellungnahmen der Datenschutzbehörden, Datenschutzkonferenz und Bußgeldentscheidungen. Neue, bzw. vollständig überarbeitete Themen sind dabei:neuer Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USAChatGPT und DatenschutzEinsatz von MS 365 nach Stellungnahme der DSKTrackinglösungen ohne CookiesHinweisgeber-Systeme und DatenschutzNeue Schnittstellen: Erfahrungen mit dem TTDSGCyberangriffe als DatenschutzrisikoZielgruppe
Alle, die mit der Verarbeitung von elektronisch gespeicherten Daten zu tun haben: vor allem die Datenschutzbeauftragten in den Unternehmen, aber auch Geschäftsleitung, Personalabteilung, Informatik-Abteilung und andere Personen, die mit Mitarbeiter- bzw. Kundendaten umgehen.
Autoren/Hrsg.
Weitere Infos & Material
11. Kapitel
Einleitung
I. Datenschutz – Historie und Ausblick
1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil
Bereits im Jahr 1970 wurde das erste deutsche Gesetz zum Datenschutz erlassen: das 1. Hessische Datenschutzgesetz (HDSG , GVBl. I 1970, 625). Auch wenn es bereits in den sechziger Jahren in den USA unter der Regierung von John F. Kennedy Diskussionen zum Thema „Privacy“ gab, stellte das HDSG das auch weltweit erste Gesetz zum Datenschutz dar. Deutschland war auf dem Gebiet der Gesetzgebung also weltweiter Vorreiter, auch wenn der praktische Anwendungsbereich dieses Gesetzes sich damals noch auf die öffentliche Hand beschränkte. Das war wohl auch darauf zurückzuführen, dass die elektronische Datenverarbeitung im privaten Bereich de facto noch nicht vorhanden war und ein damit bestehendes Bedrohungs- und Missbrauchspotential überwiegend im Bereich der öffentlichen Verwaltung vermutet wurde. Nachdem weitere Bundesländer eigene Datenschutzgesetze erlassen hatten, sah sich der Gesetzgeber auf Bundesebene veranlasst, einen einheitlichen Rahmen für den Regelungsbereich des Datenschutzes zu schaffen und erließ im Jahr 1977 das erste Bundesdatenschutzgesetz (BDSG). Deutschland hatte somit lange Zeit vor der Ausbreitung 2der elektronischen Datenverarbeitung ein umfassendes Regelwerk zum Datenschutz. Die Anwendung dieses Gesetzes in der Praxis, aber auch die öffentliche Wahrnehmung war jedoch trotz dieser gesetzgeberischen Pionierarbeit sehr gering: Computer, Netzwerke und (erst recht) das Internet waren in Privathaushalten so gut wie noch nicht vorhanden. Im großen Stile erfolgte die elektronische Datenverarbeitung lediglich im Bankensektor und der öffentlichen Hand. Dieser Zustand änderte sich schlagartig mit dem sogenannten „Volkszählungsurteil “, welches vom Bundesverfassungsgericht am 15.12.1983 verkündet wurde (BVerfGE 65, 1). Zu Recht wird dieses Urteil, dessen Grundsätze bis heute Auswirkungen auf das Datenschutzrecht in Deutschland haben, als „Geburtsstunde des Datenschutzes“ bezeichnet: Gegenstand des Volkszählungsurteils war eine vom deutschen Gesetzgeber geplante umfassende Volks-, Berufs-, Wohnung- und Arbeitsstättenzählung auf Grundlage des sogenannten Volkszählungsgesetzes (BGBl. I 1982, 369). Da die elektronische Datenverarbeitung in den 80er Jahren bereits recht fortgeschritten war und eine vermehrte Ausbreitung auch im privaten Bereich prognostiziert wurde, regte sich gegen die geplante Volkszählung weitreichender Widerstand. Dieser war nicht nur auf politische Randgruppen beschränkt, sondern zog sich durch weite Bereiche der gesamten Öffentlichkeit, was wohl auch darauf zurückzuführen war, dass durch die Volkszählung erstmals jeder Bundesbürger betroffen war und befragt wurde. Zu Protesten führte dabei vor allem, dass der Gesetzgeber nicht nur eine bloße Zählung der Bevölkerung vornehmen wollte, sondern darüber hinaus weitreichende, zum Teil sehr private Informationen abfragen wollte. Hierzu zählten unter anderem: die Zugehörigkeit oder Nichtzugehörigkeit zu einer Religionsgemeinschaft; die Quelle des überwiegenden Lebensunterhaltes; Beteiligung am Erwerbsleben, Eigenschaft als Hausfrau; die Stellung im Beruf und die ausgeübte Tätigkeit; 3die Förderung der Wohnung mit Mitteln des sozialen Wohnungsbaus; (bei Betrieben) die Summe der Bruttolöhne und Gehälter des vorhergehenden Kalenderjahres. Da sowohl die Bundes-, als auch die Länderregierungen das Gesetz und die Volkszählung als solche für zulässig und rechtmäßig hielten, war die Überraschung groß, als das Verfassungsgericht mit einem weitreichenden Grundsatzurteil auf zahlreiche eingegangene Verfassungsbeschwerden reagierte. Im Kern wurden weite Bereiche der geplanten Volkszählung für verfassungsrechtlich unzulässig erklärt. Neu war: Das Bundesverfassungsgericht sah erstmals im Datenschutz ein eigenes grundgesetzlich geschütztes Recht, in dem es die sogenannte informationelle Selbstbestimmung als verfassungsrechtliches Gut erkannte und umfassend begründete: Die Möglichkeiten der modernen Datenverarbeitung seien weithin nur noch für Fachleute durchschaubar und können beim Staatsbürger die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung selbst dann auslösen, wenn der Gesetzgeber lediglich solche Angaben verlangt, die erforderlich und unzumutbar sind. Deshalb steht dem Bürger ein Recht auf informationelle Selbstbestimmung zu, welches verfassungsrechtlich im Recht auf das allgemeine Persönlichkeitsrecht (APR), also Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet ist. In den deutlichen Worten des Bundesverfassungsgerichts: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, 4Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Das Volkszählungsurteil führte zu weitreichenden Veränderungen in der Gesetzgebung und später auch zu einer Novellierung des Bundesdatenschutzgesetzes im Jahre 1995. Der Datenschutz ist seit diesem Zeitpunkt ein wichtiger Bestandteil der Gesetzgebung und es ist auch für das heutige Verständnis und der Interpretation datenschutzrechtlicher Vorschriften hilfreich, zu verstehen, worauf wesentliche Teile unserer datenschutzrechtlichen Bestimmungen beruhen: dem Widerstand der Bürger gegen eine extensive Erhebung von Daten durch den Staat und einer hierauf ergangenen Entscheidung des Bundesverfassungsgerichts, welches jedem einzelnen Bürger ein Recht auf informationelle Selbstbestimmung einräumt. 2. Datenschutzskandale
Auch wenn das Bundesdatenschutzgesetz und weitere Spezialregelungen zum Datenschutz (zB im Bereich des Internets das damalige Teledienstedatenschutzgesetz) in der Gesetzgebung fest verankert waren, führte der Datenschutz in den neunziger Jahren in der unternehmerischen Praxis eher ein Schattendasein. Selbst wenn den Unternehmen bewusst war, dass datenschutzrechtliche Vorgaben erfüllt werden müssen, wurden diese zum Teil lediglich pro forma oder auch überhaupt nicht umgesetzt. Grund hierfür war auch, dass die Datenaufsichtsbehörden zum Teil personell nicht sehr stark besetzt waren, eine Verfolgung von Ordnungswidrigkeiten nicht sehr wahrscheinlich war und eine derartige Verfolgung sich im Regelfall auf gravierende und vorsätzlich begangene Verstöße beschränkte. Mit Einführung der DS-GVO im Jahr 2018 erhöhte sich der Bußgeldrahmen für Datenschutzverstöße aber erheblich: Für die im Gesetz unter Art. 83 Abs. 5 DS-GVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Mio. EUR 5oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. In jüngster Vergangenheit rückte das Thema der Bußgelder im datenschutzrechtlichen Bereich jedoch vermehrt in den Blickpunkt der Öffentlichkeit: Zahlreiche Datenschutzskandale mit zum Teil hohen Bußgeldern und verheerender Außenwirkung auf die betroffenen Unternehmen führten dazu, dass das Thema nunmehr auch von den Unternehmen selbst als essenzielle Unternehmensaufgabe wahrgenommen wurde. notebooksbilliger.de AG (Bußgeld in Höhe von 10,4 Mio. EUR): Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat am 8.1.2021 eine Geldbuße über 10,4 Mio. EUR gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte nach der Auffassung der Behörde über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die vermeintlich unzulässigen Kameras erfassten dabei unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Das Unternehmen hatte sich im Verfahren darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss ein Unternehmen nach der Auffassung der Behörde aber zunächst mildere Mittel prüfen (zB stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten sei zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese...
