Datenschutzrechtliche Pflichten zur Einrichtung eines unternehmensinternen Datenschutz-Managementsystems

Thomas Janicki

doi:10.5771/9783800595297

Keywords

Search publication

Bibliographic data

Copyright year: 2022
ISBN-Print: 978-3-8005-1838-8
ISBN-Online: 978-3-8005-9529-7
Publisher: dfv Mediengruppe, Frankfurt am Main
Series: Datenschutz-Berater
Language: German
Pages: 396
Product type: Book Titles

Titelei/Inhaltsverzeichnis No access Pages I - XXXI
Herausforderungen der datenschutzrechtlichen Compliance im Unternehmen No access Pages 1 - 4
1. 1. 1. 1. Datenschutzverordnung Schleswig-Holstein No access
    2. 2. Bremische Datenschutzauditverordnung No access
  2. II. Aufsichtsbehördliche Modellierung No access
  3. 1. 1. BSI-Standards No access
    2. 1. a. ISO/IEC 27001 No access
      2. b. ISO/IEC 29100 No access
    3. 3. VdS-Richtlinien No access
  4. IV. Rezeption im datenschutzrechtlichen Schrifttum No access
  5. V. Parallelen zu Compliance-Managementsystemen No access
2. 1. 1. 1. Einbezug betriebswirtschaftlicher Kalküle No access
    2. 2. Übertragung auf das Datenschutz-Management No access
    3. 3. Erweiterung zum Datenschutz-Compliance-Management No access
  2. 1. 1. Abgrenzung zum Datenschutz-Compliance-Management No access
    2. 1. a. Strukturierung von Maßnahmen und Prozessen No access
      2. b. Systematische Umsetzung No access
      3. c. Holistische Ausrichtung No access
      4. d. Eigenständigkeit No access
    3. 3. Funktionen des Datenschutz-Managementsystems No access
3. C. Definitionsvorschläge No access
1. 1. 1. 1. a. Genese supranationaler Datenschutzregelungen No access
      2. b. Vereinheitlichung in der Europäischen Union No access
    2. 1. a. Anwendungsvorrang No access
      2. b. Regelungsaufträge und Regelungsspielräume auf mitgliedstaatlicher Ebene No access
      3. c. Koexistenz mitgliedstaatlicher Regelungen No access
    3. 3. Zusammenwirken im Mehrebenensystem No access
  2. 1. 1. aa. Grammatikalische Auslegung No access
        bb. Historische Auslegung No access
        cc. Systematische Auslegung No access
        dd. Teleologische Auslegung No access
      2. aa. Primärrechtskonforme Auslegung No access
        bb. Unionsgrundrechtskonforme Auslegung No access
        cc. Verhältnismäßige Auslegung No access
      3. c. Spruchpraxis des Gerichtshofs im Datenschutzrecht No access
    2. 1. a. Unions- und grundrechtskonforme Auslegung No access
      2. b. Vorlagen beim EuGH No access
    3. 3. Interpretationen der Aufsichtsbehörden No access
  3. III. Folgen für die Auslegung datenschutzrechtlicher Einrichtungspflichten No access
2. 1. 1. 1. Zweck des risikobasierten Ansatzes No access
    2. 1. aa. Wirtschaftswissenschaften No access
        bb. Ingenieurwissenschaften No access
        cc. Rechtswissenschaften No access
      2. aa. Bezugspunkte des datenschutzrechtlichen Risikos No access
        bb. Annäherung an das Risikoverständnis der DSGVO No access
        cc. Rolle der Risikofaktoren No access
        dd. Beispiele für datenschutzrechtliche Risiken No access
      3. c. Weites Risikoverständnis zum Schutz betroffener Personen No access
    3. 1. a. Identifizierung der Nachteile No access
      2. aa. Eintrittswahrscheinlichkeit der Nachteile No access
        bb. Schwere des Nachteils No access
      3. c. Verarbeitungsparameter No access
      4. d. Umwelteinflüsse No access
    4. 4. Risikoanalyse und -festlegung No access
    5. 5. Bedeutung für die Untersuchung von Einrichtungspflichten No access
  2. 1. 1. a. Eigenverantwortlichkeit des Verantwortlichen No access
      2. (1) Einhaltung von unbestimmten Grundsätzen No access
        (a) Wortlaut No access
        (b) Historische Entwicklung No access
        (c) Systematik innerhalb der Norm No access
        (d) Systematik in der Verordnung No access
        (e) Telos No access
        (f) Würdigung No access
        (1) Programmsatzcharakter No access
        (2) Entfaltung rechtlicher Wirkungen No access
        (3) Allgemeine Einhaltungsverantwortung No access
      3. aa. Gegenstand des Nachweises No access
        (a) Unbestimmtheit der Pflicht No access
        (b) Ausweitung aufgrund einer Darlegungs- und Beweislastumkehr No access
        (c) Würdigung No access
        (2) Konkretisierungen No access
        (3) Bußgeldbewehrung No access
        (4) Allgemeine Nachweisverantwortung No access
      4. d. Umsetzung der Rechenschaftspflicht No access
    2. 1. (1) Normativer Pflichtengehalt No access
        (2) Verhältnis zur Einhaltungsverantwortung No access
        (3) Generische Sicherstellungspflicht No access
        (4) Unschädlichkeit fehlender Bußgeldbewehrung No access
        (1) Wechselbeziehung zur Nachweisverantwortung des Art. 5 Abs. 2 DSGVO No access
        (2) Pflichteninhalt No access
        (1) Begriff No access
        (a) Gesetzliche Vorgaben No access
        (b) Eignung der Maßnahmen No access
        (c) Verhältnismäßigkeit No access
        (d) Überprüfung der Maßnahmen No access
        (e) Aktualisierung der Maßnahmen No access
        (3) Risikoadäquanz No access
        (1) Anknüpfungspunkte für Datenschutzvorkehrungen No access
        (2) Begriffsbestimmung der Datenschutzvorkehrungen No access
        (a) Meinungsspektrum No access
        (b) Bewertung No access
      2. aa. Spielraum zur Festlegung von Maßnahmen No access
        bb. Einbezug situationsspezifischer Umstände No access
        cc. Umsetzung von Datenschutzvorkehrungen No access
        dd. Analogie zu gesellschaftsrechtlichen Erwägungen No access
    3. 3. Zwischenergebnis No access
  3. 1. 1. (1) Meinungsstand No access
        (2) Auslegung No access
        (3) Eingrenzungen No access
        (1) Vorgelagerte Gestaltung No access
        (2) Fortlaufende Gestaltung No access
      2. aa. Umsetzung der Datenschutzgrundsätze No access
        bb. Aufnahme von Garantien No access
      3. (1) Beispielhafte Maßnahmen No access
        (2) Eignung und Wirksamkeit der Maßnahmen No access
        (3) Zeitpunkt der Umsetzung No access
        (4) Anpassung No access
        (1) Risikofaktoren No access
        (2) Stand der Technik No access
        (3) Einrichtungskosten No access
        cc. Abwägungsentscheidung No access
      4. d. Kollisionen mit den Kardinalvorschriften der Datenschutz-Compliance No access
    2. 1. a. Regelungszweck No access
      2. aa. Eignung der Maßnahmen No access
        bb. Konkretisierung No access
        cc. Verhältnismäßigkeit No access
      3. c. Kollisionen No access
    3. 1. a. Handlungsspielraum für die Umsetzung von Maßnahmen No access
      2. b. Berücksichtigungskriterien und Abwägungsentscheidungen No access
      3. c. Allgemeine Verhältnismäßigkeit der Maßnahmen No access
    4. 4. Zwischenergebnis No access
  4. 1. 1. a. Schutzbereich No access
      2. aa. Begriff der Sicherheit No access
        bb. Verarbeitungssicherheit No access
        cc. Systemsicherheit No access
    2. 1. a. Art der Maßnahmen No access
      2. aa. Aufrechterhaltung eines angemessenen Schutzniveaus No access
        bb. Eignung der Maßnahmen No access
      3. c. Berücksichtigungsfaktoren No access
      4. (1) Unbestimmtheit der Beispielmaßnahmen No access
        (2) Anforderungen an Fähigkeiten der Systeme und Prozesse No access
        (3) Verfahrensorientierung der Maßnahmen No access
        bb. Leitlinien No access
        cc. Mitgliedstaatliches Recht No access
      5. aa. Weisungsgegenstand No access
        bb. Adressaten der Anweisungen No access
        cc. Sicherstellungscharakter No access
    3. 1. a. Konkurrenz zu Art. 24 DSGVO No access
      2. b. Konkurrenz zu Art. 25 DSGVO No access
    4. 1. a. Individueller Handlungsspielraum No access
      2. b. Kontrollverfahren No access
      3. c. Spezifität der Norm No access
    5. 5. Zwischenergebnis No access
  5. V. Würdigung der unmittelbaren Einrichtungspflicht No access
3. 1. 1. 1. a. Verzeichnisinhalt No access
      2. b. Format No access
      3. c. Aktualisierung des Verzeichnisses No access
      4. (1) Risikofreie Verarbeitungen No access
        (2) Gelegentliche Verarbeitungen No access
        (3) Verarbeitung besonderer Kategorien sensitiver Daten No access
        bb. Ausnahme-Regel-Verhältnis No access
      5. e. Implikationen für die Pflichteneinhaltung No access
    2. 1. (1) Begriffsannäherung No access
        (2) Gesetzeshistorisches Begriffsverständnis No access
        (3) Wortlaut No access
        (4) Teleologische Extension No access
        bb. Verarbeitungsvorgänge No access
        (1) Hochriskante Verarbeitung No access
        (2) Gesetzliche Regelbeispiele No access
        (3) Positiv- und Negativlisten der Aufsichtsbehörden No access
        dd. Prognosecharakter No access
      2. aa. Vorprüfung No access
        bb. Beschreibungsphase No access
        cc. Bewertungsphase No access
        (1) Risikomanagement No access
        (2) Umsetzung von Maßnahmen No access
        ee. Überprüfungsphase No access
      3. aa. Erforderlichkeitsabwägungen No access
        (1) Orientierungshilfen zur Komplexitätsreduktion No access
        (2) Komplexe Risikoeinschätzungen No access
        (3) Strukturelle Verflechtungen No access
        (a) Systematische Verknüpfungen No access
        (b) Systematische Risikosteuerung No access
        (c) Systematische Überwachung No access
      4. d. Einsatz strukturierter Managementsysteme No access
    3. 1. a. Auslöser von Meldepflichten No access
      2. aa. Risikogeneigtheit einer Sicherheitsverletzung No access
        (a) Keine umfassende Kenntnis No access
        (b) Wissenszurechnung No access
        (c) Wissensverantwortung No access
        (a) Unverzügliche Meldung No access
        (b) Meldungen nach Fristenablauf No access
        cc. Form und Inhalt der Meldung No access
      3. aa. Hohes Risiko No access
        (1) Risikoreduktionsmaßnahmen No access
        (2) Unverhältnismäßigkeit No access
        (3) Geheimhaltung von Informationen No access
        (1) Formal-inhaltliche Anforderungen No access
        (2) Zeitliche Dimensionen No access
      4. (1) Erkennungsmechanismen No access
        (2) Internes Berichtswesen No access
        (3) Externe Kommunikationsstrukturen No access
        (4) Forensische Ermittlung No access
        (a) Beurteilungsschwierigkeiten No access
        (b) Betrachtung sämtlicher Risikoumstände No access
        (c) Verhältnismäßigkeit No access
        (2) Einschätzung hoher Risiken No access
        (a) Informationstransfer No access
        (b) Datenschutzrechtliches Public Relations Management No access
        (c) Hinzuziehung arbeitsrechtlicher Organisationseinheiten No access
        (2) Umsetzung proaktiver Maßnahmen No access
        (3) Anpassung und iterative Revision von Sicherheitsmaßnahmen No access
        (a) Ökonomische Erwägungen No access
        (b) Technische Erwägungen No access
        (5) Dokumentation No access
      5. e. Einsatz strukturierter Managementsysteme No access
    4. 4. Zwischenergebnis No access
  2. 1. 1. aa. Allgemeine Erlaubnistatbestände No access
        (1) Verarbeitung besonderer personenbezogener Daten No access
        (a) Datentransfer innerhalb der Europäischen Union No access
        (b) Datentransfer in Drittländer No access
        cc. Erlaubnistatbestände auf mitgliedstaatlicher Ebene No access
      2. (1) Feststellung der künftigen Verarbeitungsumstände No access
        (a) Ordnung verarbeitungsrelevanter Erlaubnistatbestände No access
        (b) Eigenverantwortliche Bewertung No access
        (a) Befolgung der Zweckbindung No access
        (b) Geplante Zweckänderungen No access
        (c) Wandel der Verarbeitungsumstände No access
        (4) Beendigung der Verarbeitung No access
        (1) Informationsfluss No access
        (a) Prüfung der Rechtmäßigkeit No access
        (b) Überwachungsmechanismen No access
        (c) Lösch- und Anonymisierungsprozesse No access
        (3) Dokumentation der Sicherstellung No access
      3. c. Einsatz strukturierter Managementsysteme No access
    2. 1. aa. Allgemeine Vorgaben und Modalitäten No access
        bb. Informationspflichten No access
        cc. Spezifische Betroffenenrechte No access
      2. (a) Informationsorganisation No access
        (b) Kommunikationsflüsse No access
        (c) Fristenwahrung No access
        (2) Materielle Prüfung No access
        (1) Authentifizierungsmechanismen No access
        (2) Erleichterungen und Einfachheit No access
        (a) Kommunikationskanäle No access
        (b) Informationserteilung No access
        (4) Mitteilungen No access
        cc. Dokumentation No access
      3. c. Einsatz strukturierter Managementsysteme No access
    3. 3. Zwischenergebnis No access
  3. III. Würdigung der abgeleiteten Einrichtungspflicht No access
4. D. Konsequenzen für das Bestehen datenschutzrechtlicher Einrichtungspflichten No access
1. 1. I. Risikofaktoren No access
  2. II. Risikoniveau No access
  3. III. Abhängigkeit von der Verarbeitung No access
2. 1. 1. 1. Art der Verarbeitung No access
    2. 2. Umfang der Verarbeitung No access
    3. 3. Umstände der Verarbeitung No access
    4. 4. Zwecke der Verarbeitung No access
  2. 1. 1. a. Komplexität der Verarbeitung No access
      2. b. Technologieeinsatz No access
      3. c. Ort der Verarbeitung No access
      4. d. Art der Daten No access
      5. e. Adressaten der Verarbeitung No access
      6. f. Einbezug anderer in die Verarbeitung No access
    2. 1. a. Art der unternehmerischen Tätigkeit No access
      2. b. Branchenzugehörigkeit No access
      3. c. Innere Organisationsstruktur des Unternehmens No access
      4. d. Unternehmensgröße No access
      5. e. Geografische Präsenz No access
      6. f. Etablierte Maßnahmen No access
      7. g. Verdachtsfälle und Verstöße aus der Vergangenheit No access
3. 1. I. Einrichtungskosten und wirtschaftliche Leistungsfähigkeit No access
  2. II. Stand der Technik No access
4. D. Erkenntnisse No access
Kapitel 4: Schlussbetrachtung No access Pages 357 - 359
Literatur No access Pages 360 - 392
Webverzeichnis No access Pages 393 - 396