Datenschutzrechtliche Pflichten zur Einrichtung eines unternehmensinternen Datenschutz-Managementsystems

Thomas Janicki

doi:10.5771/9783800595297

Zusammenfassung

Die Einhaltung des Datenschutzrechts wird für Verantwortliche zu einer stetig herausfordernderen Aufgabe. Datenschutz-Managementsysteme knüpfen hieran an und helfen dabei, die Datenschutz-Compliance in der Organisationseinheit effektiv und möglichst effizient zu gewährleisten. Ihre Einrichtung bleibt allerdings ein umfangreiches und kostspieliges Projekt. Insbesondere klein- und mittelständische Unternehmen, ebenso aber selbständige Personen, werden im Vergleich zu Großunternehmen und Konzernen mit solch einer Einrichtung strukturell und finanziell überfordert. Fraglich bleibt insgesamt, ob solche komplexen Systeme auch gesetzlich verpflichtend eingerichtet werden müssen. Das vorliegende Werk geht dieser Frage nach und liefert eine Antwort, ob Pflichten zur Einrichtung des Datenschutz-Managementsystem bestehen.

Schlagworte

Publikation durchsuchen

Bibliographische Angaben

Copyrightjahr: 2022
ISBN-Print: 978-3-8005-1838-8
ISBN-Online: 978-3-8005-9529-7
Verlag: dfv Mediengruppe, Frankfurt am Main
Reihe: Datenschutz-Berater
Sprache: Deutsch
Seiten: 396
Produkttyp: Monographie

Inhaltsverzeichnis

KapitelSeiten

Titelei/Inhaltsverzeichnis Kein Zugriff Seiten I - XXXI
Herausforderungen der datenschutzrechtlichen Compliance im Unternehmen Kein Zugriff Seiten 1 - 4
1. 1. 1. 1. Datenschutzverordnung Schleswig-Holstein Kein Zugriff
    2. 2. Bremische Datenschutzauditverordnung Kein Zugriff
  2. II. Aufsichtsbehördliche Modellierung Kein Zugriff
  3. 1. 1. BSI-Standards Kein Zugriff
    2. 1. a. ISO/IEC 27001 Kein Zugriff
      2. b. ISO/IEC 29100 Kein Zugriff
    3. 3. VdS-Richtlinien Kein Zugriff
  4. IV. Rezeption im datenschutzrechtlichen Schrifttum Kein Zugriff
  5. V. Parallelen zu Compliance-Managementsystemen Kein Zugriff
2. 1. 1. 1. Einbezug betriebswirtschaftlicher Kalküle Kein Zugriff
    2. 2. Übertragung auf das Datenschutz-Management Kein Zugriff
    3. 3. Erweiterung zum Datenschutz-Compliance-Management Kein Zugriff
  2. 1. 1. Abgrenzung zum Datenschutz-Compliance-Management Kein Zugriff
    2. 1. a. Strukturierung von Maßnahmen und Prozessen Kein Zugriff
      2. b. Systematische Umsetzung Kein Zugriff
      3. c. Holistische Ausrichtung Kein Zugriff
      4. d. Eigenständigkeit Kein Zugriff
    3. 3. Funktionen des Datenschutz-Managementsystems Kein Zugriff
3. C. Definitionsvorschläge Kein Zugriff
1. 1. 1. 1. a. Genese supranationaler Datenschutzregelungen Kein Zugriff
      2. b. Vereinheitlichung in der Europäischen Union Kein Zugriff
    2. 1. a. Anwendungsvorrang Kein Zugriff
      2. b. Regelungsaufträge und Regelungsspielräume auf mitgliedstaatlicher Ebene Kein Zugriff
      3. c. Koexistenz mitgliedstaatlicher Regelungen Kein Zugriff
    3. 3. Zusammenwirken im Mehrebenensystem Kein Zugriff
  2. 1. 1. aa. Grammatikalische Auslegung Kein Zugriff
        bb. Historische Auslegung Kein Zugriff
        cc. Systematische Auslegung Kein Zugriff
        dd. Teleologische Auslegung Kein Zugriff
      2. aa. Primärrechtskonforme Auslegung Kein Zugriff
        bb. Unionsgrundrechtskonforme Auslegung Kein Zugriff
        cc. Verhältnismäßige Auslegung Kein Zugriff
      3. c. Spruchpraxis des Gerichtshofs im Datenschutzrecht Kein Zugriff
    2. 1. a. Unions- und grundrechtskonforme Auslegung Kein Zugriff
      2. b. Vorlagen beim EuGH Kein Zugriff
    3. 3. Interpretationen der Aufsichtsbehörden Kein Zugriff
  3. III. Folgen für die Auslegung datenschutzrechtlicher Einrichtungspflichten Kein Zugriff
2. 1. 1. 1. Zweck des risikobasierten Ansatzes Kein Zugriff
    2. 1. aa. Wirtschaftswissenschaften Kein Zugriff
        bb. Ingenieurwissenschaften Kein Zugriff
        cc. Rechtswissenschaften Kein Zugriff
      2. aa. Bezugspunkte des datenschutzrechtlichen Risikos Kein Zugriff
        bb. Annäherung an das Risikoverständnis der DSGVO Kein Zugriff
        cc. Rolle der Risikofaktoren Kein Zugriff
        dd. Beispiele für datenschutzrechtliche Risiken Kein Zugriff
      3. c. Weites Risikoverständnis zum Schutz betroffener Personen Kein Zugriff
    3. 1. a. Identifizierung der Nachteile Kein Zugriff
      2. aa. Eintrittswahrscheinlichkeit der Nachteile Kein Zugriff
        bb. Schwere des Nachteils Kein Zugriff
      3. c. Verarbeitungsparameter Kein Zugriff
      4. d. Umwelteinflüsse Kein Zugriff
    4. 4. Risikoanalyse und -festlegung Kein Zugriff
    5. 5. Bedeutung für die Untersuchung von Einrichtungspflichten Kein Zugriff
  2. 1. 1. a. Eigenverantwortlichkeit des Verantwortlichen Kein Zugriff
      2. (1) Einhaltung von unbestimmten Grundsätzen Kein Zugriff
        (a) Wortlaut Kein Zugriff
        (b) Historische Entwicklung Kein Zugriff
        (c) Systematik innerhalb der Norm Kein Zugriff
        (d) Systematik in der Verordnung Kein Zugriff
        (e) Telos Kein Zugriff
        (f) Würdigung Kein Zugriff
        (1) Programmsatzcharakter Kein Zugriff
        (2) Entfaltung rechtlicher Wirkungen Kein Zugriff
        (3) Allgemeine Einhaltungsverantwortung Kein Zugriff
      3. aa. Gegenstand des Nachweises Kein Zugriff
        (a) Unbestimmtheit der Pflicht Kein Zugriff
        (b) Ausweitung aufgrund einer Darlegungs- und Beweislastumkehr Kein Zugriff
        (c) Würdigung Kein Zugriff
        (2) Konkretisierungen Kein Zugriff
        (3) Bußgeldbewehrung Kein Zugriff
        (4) Allgemeine Nachweisverantwortung Kein Zugriff
      4. d. Umsetzung der Rechenschaftspflicht Kein Zugriff
    2. 1. (1) Normativer Pflichtengehalt Kein Zugriff
        (2) Verhältnis zur Einhaltungsverantwortung Kein Zugriff
        (3) Generische Sicherstellungspflicht Kein Zugriff
        (4) Unschädlichkeit fehlender Bußgeldbewehrung Kein Zugriff
        (1) Wechselbeziehung zur Nachweisverantwortung des Art. 5 Abs. 2 DSGVO Kein Zugriff
        (2) Pflichteninhalt Kein Zugriff
        (1) Begriff Kein Zugriff
        (a) Gesetzliche Vorgaben Kein Zugriff
        (b) Eignung der Maßnahmen Kein Zugriff
        (c) Verhältnismäßigkeit Kein Zugriff
        (d) Überprüfung der Maßnahmen Kein Zugriff
        (e) Aktualisierung der Maßnahmen Kein Zugriff
        (3) Risikoadäquanz Kein Zugriff
        (1) Anknüpfungspunkte für Datenschutzvorkehrungen Kein Zugriff
        (2) Begriffsbestimmung der Datenschutzvorkehrungen Kein Zugriff
        (a) Meinungsspektrum Kein Zugriff
        (b) Bewertung Kein Zugriff
      2. aa. Spielraum zur Festlegung von Maßnahmen Kein Zugriff
        bb. Einbezug situationsspezifischer Umstände Kein Zugriff
        cc. Umsetzung von Datenschutzvorkehrungen Kein Zugriff
        dd. Analogie zu gesellschaftsrechtlichen Erwägungen Kein Zugriff
    3. 3. Zwischenergebnis Kein Zugriff
  3. 1. 1. (1) Meinungsstand Kein Zugriff
        (2) Auslegung Kein Zugriff
        (3) Eingrenzungen Kein Zugriff
        (1) Vorgelagerte Gestaltung Kein Zugriff
        (2) Fortlaufende Gestaltung Kein Zugriff
      2. aa. Umsetzung der Datenschutzgrundsätze Kein Zugriff
        bb. Aufnahme von Garantien Kein Zugriff
      3. (1) Beispielhafte Maßnahmen Kein Zugriff
        (2) Eignung und Wirksamkeit der Maßnahmen Kein Zugriff
        (3) Zeitpunkt der Umsetzung Kein Zugriff
        (4) Anpassung Kein Zugriff
        (1) Risikofaktoren Kein Zugriff
        (2) Stand der Technik Kein Zugriff
        (3) Einrichtungskosten Kein Zugriff
        cc. Abwägungsentscheidung Kein Zugriff
      4. d. Kollisionen mit den Kardinalvorschriften der Datenschutz-Compliance Kein Zugriff
    2. 1. a. Regelungszweck Kein Zugriff
      2. aa. Eignung der Maßnahmen Kein Zugriff
        bb. Konkretisierung Kein Zugriff
        cc. Verhältnismäßigkeit Kein Zugriff
      3. c. Kollisionen Kein Zugriff
    3. 1. a. Handlungsspielraum für die Umsetzung von Maßnahmen Kein Zugriff
      2. b. Berücksichtigungskriterien und Abwägungsentscheidungen Kein Zugriff
      3. c. Allgemeine Verhältnismäßigkeit der Maßnahmen Kein Zugriff
    4. 4. Zwischenergebnis Kein Zugriff
  4. 1. 1. a. Schutzbereich Kein Zugriff
      2. aa. Begriff der Sicherheit Kein Zugriff
        bb. Verarbeitungssicherheit Kein Zugriff
        cc. Systemsicherheit Kein Zugriff
    2. 1. a. Art der Maßnahmen Kein Zugriff
      2. aa. Aufrechterhaltung eines angemessenen Schutzniveaus Kein Zugriff
        bb. Eignung der Maßnahmen Kein Zugriff
      3. c. Berücksichtigungsfaktoren Kein Zugriff
      4. (1) Unbestimmtheit der Beispielmaßnahmen Kein Zugriff
        (2) Anforderungen an Fähigkeiten der Systeme und Prozesse Kein Zugriff
        (3) Verfahrensorientierung der Maßnahmen Kein Zugriff
        bb. Leitlinien Kein Zugriff
        cc. Mitgliedstaatliches Recht Kein Zugriff
      5. aa. Weisungsgegenstand Kein Zugriff
        bb. Adressaten der Anweisungen Kein Zugriff
        cc. Sicherstellungscharakter Kein Zugriff
    3. 1. a. Konkurrenz zu Art. 24 DSGVO Kein Zugriff
      2. b. Konkurrenz zu Art. 25 DSGVO Kein Zugriff
    4. 1. a. Individueller Handlungsspielraum Kein Zugriff
      2. b. Kontrollverfahren Kein Zugriff
      3. c. Spezifität der Norm Kein Zugriff
    5. 5. Zwischenergebnis Kein Zugriff
  5. V. Würdigung der unmittelbaren Einrichtungspflicht Kein Zugriff
3. 1. 1. 1. a. Verzeichnisinhalt Kein Zugriff
      2. b. Format Kein Zugriff
      3. c. Aktualisierung des Verzeichnisses Kein Zugriff
      4. (1) Risikofreie Verarbeitungen Kein Zugriff
        (2) Gelegentliche Verarbeitungen Kein Zugriff
        (3) Verarbeitung besonderer Kategorien sensitiver Daten Kein Zugriff
        bb. Ausnahme-Regel-Verhältnis Kein Zugriff
      5. e. Implikationen für die Pflichteneinhaltung Kein Zugriff
    2. 1. (1) Begriffsannäherung Kein Zugriff
        (2) Gesetzeshistorisches Begriffsverständnis Kein Zugriff
        (3) Wortlaut Kein Zugriff
        (4) Teleologische Extension Kein Zugriff
        bb. Verarbeitungsvorgänge Kein Zugriff
        (1) Hochriskante Verarbeitung Kein Zugriff
        (2) Gesetzliche Regelbeispiele Kein Zugriff
        (3) Positiv- und Negativlisten der Aufsichtsbehörden Kein Zugriff
        dd. Prognosecharakter Kein Zugriff
      2. aa. Vorprüfung Kein Zugriff
        bb. Beschreibungsphase Kein Zugriff
        cc. Bewertungsphase Kein Zugriff
        (1) Risikomanagement Kein Zugriff
        (2) Umsetzung von Maßnahmen Kein Zugriff
        ee. Überprüfungsphase Kein Zugriff
      3. aa. Erforderlichkeitsabwägungen Kein Zugriff
        (1) Orientierungshilfen zur Komplexitätsreduktion Kein Zugriff
        (2) Komplexe Risikoeinschätzungen Kein Zugriff
        (3) Strukturelle Verflechtungen Kein Zugriff
        (a) Systematische Verknüpfungen Kein Zugriff
        (b) Systematische Risikosteuerung Kein Zugriff
        (c) Systematische Überwachung Kein Zugriff
      4. d. Einsatz strukturierter Managementsysteme Kein Zugriff
    3. 1. a. Auslöser von Meldepflichten Kein Zugriff
      2. aa. Risikogeneigtheit einer Sicherheitsverletzung Kein Zugriff
        (a) Keine umfassende Kenntnis Kein Zugriff
        (b) Wissenszurechnung Kein Zugriff
        (c) Wissensverantwortung Kein Zugriff
        (a) Unverzügliche Meldung Kein Zugriff
        (b) Meldungen nach Fristenablauf Kein Zugriff
        cc. Form und Inhalt der Meldung Kein Zugriff
      3. aa. Hohes Risiko Kein Zugriff
        (1) Risikoreduktionsmaßnahmen Kein Zugriff
        (2) Unverhältnismäßigkeit Kein Zugriff
        (3) Geheimhaltung von Informationen Kein Zugriff
        (1) Formal-inhaltliche Anforderungen Kein Zugriff
        (2) Zeitliche Dimensionen Kein Zugriff
      4. (1) Erkennungsmechanismen Kein Zugriff
        (2) Internes Berichtswesen Kein Zugriff
        (3) Externe Kommunikationsstrukturen Kein Zugriff
        (4) Forensische Ermittlung Kein Zugriff
        (a) Beurteilungsschwierigkeiten Kein Zugriff
        (b) Betrachtung sämtlicher Risikoumstände Kein Zugriff
        (c) Verhältnismäßigkeit Kein Zugriff
        (2) Einschätzung hoher Risiken Kein Zugriff
        (a) Informationstransfer Kein Zugriff
        (b) Datenschutzrechtliches Public Relations Management Kein Zugriff
        (c) Hinzuziehung arbeitsrechtlicher Organisationseinheiten Kein Zugriff
        (2) Umsetzung proaktiver Maßnahmen Kein Zugriff
        (3) Anpassung und iterative Revision von Sicherheitsmaßnahmen Kein Zugriff
        (a) Ökonomische Erwägungen Kein Zugriff
        (b) Technische Erwägungen Kein Zugriff
        (5) Dokumentation Kein Zugriff
      5. e. Einsatz strukturierter Managementsysteme Kein Zugriff
    4. 4. Zwischenergebnis Kein Zugriff
  2. 1. 1. aa. Allgemeine Erlaubnistatbestände Kein Zugriff
        (1) Verarbeitung besonderer personenbezogener Daten Kein Zugriff
        (a) Datentransfer innerhalb der Europäischen Union Kein Zugriff
        (b) Datentransfer in Drittländer Kein Zugriff
        cc. Erlaubnistatbestände auf mitgliedstaatlicher Ebene Kein Zugriff
      2. (1) Feststellung der künftigen Verarbeitungsumstände Kein Zugriff
        (a) Ordnung verarbeitungsrelevanter Erlaubnistatbestände Kein Zugriff
        (b) Eigenverantwortliche Bewertung Kein Zugriff
        (a) Befolgung der Zweckbindung Kein Zugriff
        (b) Geplante Zweckänderungen Kein Zugriff
        (c) Wandel der Verarbeitungsumstände Kein Zugriff
        (4) Beendigung der Verarbeitung Kein Zugriff
        (1) Informationsfluss Kein Zugriff
        (a) Prüfung der Rechtmäßigkeit Kein Zugriff
        (b) Überwachungsmechanismen Kein Zugriff
        (c) Lösch- und Anonymisierungsprozesse Kein Zugriff
        (3) Dokumentation der Sicherstellung Kein Zugriff
      3. c. Einsatz strukturierter Managementsysteme Kein Zugriff
    2. 1. aa. Allgemeine Vorgaben und Modalitäten Kein Zugriff
        bb. Informationspflichten Kein Zugriff
        cc. Spezifische Betroffenenrechte Kein Zugriff
      2. (a) Informationsorganisation Kein Zugriff
        (b) Kommunikationsflüsse Kein Zugriff
        (c) Fristenwahrung Kein Zugriff
        (2) Materielle Prüfung Kein Zugriff
        (1) Authentifizierungsmechanismen Kein Zugriff
        (2) Erleichterungen und Einfachheit Kein Zugriff
        (a) Kommunikationskanäle Kein Zugriff
        (b) Informationserteilung Kein Zugriff
        (4) Mitteilungen Kein Zugriff
        cc. Dokumentation Kein Zugriff
      3. c. Einsatz strukturierter Managementsysteme Kein Zugriff
    3. 3. Zwischenergebnis Kein Zugriff
  3. III. Würdigung der abgeleiteten Einrichtungspflicht Kein Zugriff
4. D. Konsequenzen für das Bestehen datenschutzrechtlicher Einrichtungspflichten Kein Zugriff
1. 1. I. Risikofaktoren Kein Zugriff
  2. II. Risikoniveau Kein Zugriff
  3. III. Abhängigkeit von der Verarbeitung Kein Zugriff
2. 1. 1. 1. Art der Verarbeitung Kein Zugriff
    2. 2. Umfang der Verarbeitung Kein Zugriff
    3. 3. Umstände der Verarbeitung Kein Zugriff
    4. 4. Zwecke der Verarbeitung Kein Zugriff
  2. 1. 1. a. Komplexität der Verarbeitung Kein Zugriff
      2. b. Technologieeinsatz Kein Zugriff
      3. c. Ort der Verarbeitung Kein Zugriff
      4. d. Art der Daten Kein Zugriff
      5. e. Adressaten der Verarbeitung Kein Zugriff
      6. f. Einbezug anderer in die Verarbeitung Kein Zugriff
    2. 1. a. Art der unternehmerischen Tätigkeit Kein Zugriff
      2. b. Branchenzugehörigkeit Kein Zugriff
      3. c. Innere Organisationsstruktur des Unternehmens Kein Zugriff
      4. d. Unternehmensgröße Kein Zugriff
      5. e. Geografische Präsenz Kein Zugriff
      6. f. Etablierte Maßnahmen Kein Zugriff
      7. g. Verdachtsfälle und Verstöße aus der Vergangenheit Kein Zugriff
3. 1. I. Einrichtungskosten und wirtschaftliche Leistungsfähigkeit Kein Zugriff
  2. II. Stand der Technik Kein Zugriff
4. D. Erkenntnisse Kein Zugriff
Kapitel 4: Schlussbetrachtung Kein Zugriff Seiten 357 - 359
Literatur Kein Zugriff Seiten 360 - 392
Webverzeichnis Kein Zugriff Seiten 393 - 396