Criminal Compliance und Datenschutz im Konzern

RAin Dr. Sonja Kreß

doi:10.5771/9783845288512

Search publication

Bibliographic data

Copyright year: 2018
ISBN-Print: 978-3-8487-4619-4
ISBN-Online: 978-3-8452-8851-2
Publisher: Nomos, Baden-Baden
Series: Schriften zu Compliance
Volume: 12
Language: German
Pages: 414
Product type: Book Titles

Titelei/Inhaltsverzeichnis No access
1. A. Grundproblematik No access
2. B. Ziel der Arbeit No access
3. C. Gang der Arbeit No access
4. 1. I. (Criminal) Compliance No access
  2. II. Konzern No access
1. 1. 1. 1. Grundlagen aus dem Gesellschaftsrecht No access
    2. 2. Grundlagen aus dem Ordnungswidrigkeitenrecht No access
    3. 3. Gemeinsamer Inhalt der Sorgfalts- und Aufsichtspflicht No access
    4. 4. Zwischenfazit No access
  2. 1. 1. Ausdrückliche Compliance-Pflichten aus Spezialgesetzen No access
    2. 2. Pflicht aus dem Deutschen Corporate Governance Kodex (DCGK) No access
    3. 3. Pflichten aus ausländischem Recht No access
2. B. Konzernweite Compliance-Pflicht No access
3. 1. 1. 1. Adressatenkreis No access
    2. 2. Mögliche Taten i.S.d. betrieblichen Zuwiderhandlung No access
  2. II. Haftung des Unternehmens nach § 30 I OWiG No access
  3. III. Strafbarkeit wegen Unterlassen No access
  4. IV. Haftung des Vorstands bzw. des Geschäftsführers gegenüber der Gesellschaft aus § 93 II 1 AktG No access
  5. V. Rufschädigung No access
  6. VI. Beeinflussung der Strafzumessung No access
4. 1. I. Präventive Maßnahmen No access
  2. II. Repressive Maßnahmen No access
5. 1. I. »Aufhängung« der Compliance-Organisation No access
  2. II. Umfang Compliance-Funktion No access
  3. III. Ausgestaltung der Compliance-Funktion im Konzern No access
Zweites Kapitel: Berührungspunkte zwischen Compliance und Datenschutz No access
1. A. Geschichte des Datenschutzrechts in Deutschland No access
2. B. Anwendbarkeit BDSG vs. DSGVO No access
3. 1. 1. 1. aa) Definition personenbezogener Daten (pbD) No access
        (1) Erheben No access
        (2) Verarbeiten No access
        (3) Nutzen No access
        cc) Unter Einsatz von Datenverarbeitungsanlagen No access
        dd) »In oder aus nicht-automatisierten Dateien« No access
        ee) Zwischenergebnis No access
      2. b) Subsidiarität nach § 1 III 1 BDSG No access
    2. 2. Änderung aufgrund der DSGVO No access
  2. 1. 1. a) Datenumgang durch eine deutsche verantwortliche Stelle in Deutschland No access
      2. aa) Verantwortliche Stelle mit Sitz in der EU bzw. im EWR No access
        bb) Verantwortliche Stelle mit Sitz im Drittland No access
      3. aa) In einem anderen Mitgliedstaat der EU bzw. des EWR No access
        bb) In einem Drittland No access
    2. 2. Änderungen aufgrund der DSGVO No access
1. 1. 1. 1. Natürliche Person als tauglicher Täter? No access
    2. 1. a) § 43 I Nr. 2b BDSG No access
      2. b) § 43 I Nr. 4 BDSG No access
      3. c) § 43 I Nr. 8 BDSG No access
      4. d) § 43 I Nr. 8a BDSG No access
      5. e) § 43 II Nr. 1 BDSG No access
      6. f) § 43 II Nr. 2 BDSG No access
      7. g) § 43 II Nr. 5 Alt. 2 BDSG No access
  2. II. Straftaten (§ 44 I BDSG) No access
  3. 1. 1. Ordnungswidrigkeiten No access
    2. 2. Straftaten No access
2. B. Geldbuße nach § 130 OWiG No access
3. C. Geldbuße gegen die juristische Person (§ 30 OWiG) No access
1. A. Datenschutzrechtlich relevante Vorgänge im internationalen Konzern No access
2. 1. I. Verfassungsrechtliche Grundlage des Datenschutzrechts No access
  2. II. Inhalt und Bedeutung des Verbots mit Erlaubnisvorbehalt No access
3. 1. I. Verantwortliche Stelle i.S.d. Datenschutzrechts No access
  2. II. Kein Konzernprivileg No access
  3. III. Joint Controllership No access
  4. 1. 1. Kriterien für das Vorliegen einer Auftragsdatenverarbeitung No access
    2. 2. Übertragbarkeit der Grundsätze der Auftragsdatenverarbeitung auf Compliance-Tätigkeit im Konzern No access
    3. 3. Zwischenergebnis No access
4. 1. 1. 1. Keine Qualifikation der für Compliance relevanten pbD als sensibel No access
    2. 1. a) Anforderungen an eine Einwilligung No access
      2. b) Verhältnis zu anderen Ermächtigungsgrundlagen No access
      3. c) Zwischenergebnis No access
    3. 1. a) Erweiterung des Anwendungsbereichs des BDSG für private Unternehmen No access
      2. (1) Personeller Anwendungsbereich No access
        (2) Sachlicher Anwendungsbereich No access
        (3) § 32 BDSG auf Verarbeitung durch verbundene Konzerngesellschaft anwendbar? No access
        (a) Handeln zum Zweck der Aufdeckung einer Straftat No access
        (b) Verdacht durch tatsächliche Anhaltspunkte No access
        (c) Begehung im Beschäftigtenverhältnis No access
        (d) Erforderlichkeit und Verhältnismäßigkeit No access
        (e) Dokumentationspflicht No access
        (2) Anwendbarkeit zur Rechtfertigung von Compliance-Maßnahmen No access
        (a) Konzernbezogene Beschäftigungsverhältnisse No access
        (b) Übermittlung zur Ermöglichung der Durchführung einer Compliance-Maßnahme No access
        (c) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme No access
        (d) Zwischenergebnis No access
        (a) Zwecke des Beschäftigungsverhältnisses No access
        (b) Erforderlichkeit No access
        (2) Anwendbarkeit zur Rechtfertigung von präventiven Compliance-Maßnahmen No access
        (3) Anwendbarkeit zur Rechtfertigung von repressiven Compliance-Maßnahmen No access
        (4) Anwendbarkeit zur Rechtfertigung von konzerninternen Übermittlungen No access
      3. aa) Spezifische Anwendungsvoraussetzung des § 28 I BDSG No access
        (1) Außerhalb des Anwendungsbereichs des § 32 BDSG No access
        (2) Innerhalb des Anwendungsbereichs des § 32 BDSG No access
        cc) Die Ermächtigungsgrundlage des § 28 I 1 Nr. 1 BDSG No access
        (a) Berechtigtes Interesse der verantwortlichen Stelle No access
        (b) Erforderlichkeit No access
        (c) Interessenabwägung No access
        (2) Anwendbarkeit zur Rechtfertigung von Compliance-Maßnahmen No access
        (3) Anwendbarkeit zur Rechtfertigung von konzerninternen Übermittlungen No access
        (4) Zwischenergebnis zur Anwendbarkeit des § 28 I 1 Nr. 2 BDSG No access
      4. d) Fazit zur Situation der datenschutzrechtlichen Ermächtigungsgrundlagen im Compliance-Bereich No access
    4. 1. aa) Allgemeines zur Abwägung No access
        (aa) Voraussetzung der ausdrücklichen Erlaubnis einer Privatnutzung? No access
        (bb) Sachliche Anwendbarkeit der §§ 91 ff. TKG im Arbeitsverhältnis bei erlaubter Privatnutzung No access
        (cc) Exkurs: Zeitlicher Anwendungsbereich der §§ 91 ff. TKG No access
        (aa) Rechtfertigung nach den §§ 91 ff. TKG No access
        (bb) Sonstige Rechtfertigung i.S.d. § 88 III 3 TKG No access
        (cc) Fazit zur Rechtfertigungsmöglichkeit eines Zugriffs bei Geltung des Fernmeldegeheimnisses No access
        (c) Zwischenergebnis und Fazit No access
        (aa) Auswertung der Verbindungsdaten No access
        (bb) Auswertung der Inhaltsdaten No access
        (aa) Auswertung der Verbindungsdaten No access
        (bb) Auswertung der Inhaltsdaten No access
        (c) Bewertung der datenschutzrechtlichen Zulässigkeit der Auswertung der unterschiedlichen Telekommunikationsdaten No access
        (d) Exkurs: Rechtfertigung der Auswertung der Daten gegenüber dem Telekommunikationsteilnehmer No access
        (3) Zwischenergebnis No access
        (1) Grundsätzliche Aussagepflicht von Arbeitnehmern No access
        (2) Auskunftsverweigerungsrecht wegen Selbstbelastungsfreiheit? No access
        (3) Anspruch des Arbeitnehmers auf Hinzuziehung Dritter? No access
        (4) Zwischenergebnis No access
        dd) Durchsuchung No access
        ee) Fazit zur Zulässigkeit repressiver Compliance-Maßnahmen No access
      2. aa) Allgemeines zur Abwägung No access
        bb) Schulungen No access
        (a) Zulässigkeit des Datenabgleichs No access
        (b) Unzulässigkeit des Datenabgleichs No access
        (aa) Grundrechtseingriff durch jegliche Treffer No access
        (bb) Vergleich mit Antiterrorlisten-Abgleichen No access
        (cc) Fazit No access
        (2) Stichproben No access
        dd) Hinweisgebersysteme No access
        ee) Fazit zur Zulässigkeit präventiver Compliance-Maßnahmen No access
      3. (1) Übermittlung zur Ermöglichung einer Compliance-Maßnahme No access
        (2) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme No access
        (1) Übermittlung zur Ermöglichung einer Compliance-Maßnahme No access
        (2) Übermittlung nach Abschluss der Durchführung einer Compliance-Maßnahme No access
        cc) Fazit zur Zulässigkeit konzerninterner Übermittlungen zu Compliance-Zwecken No access
    5. 5. Rechtfertigung durch Betriebsvereinbarung No access
    6. 6. Fazit bzgl. der datenschutzrechtlichen Zulässigkeit der Compliance-Vorgänge innerhalb eines Konzerns No access
  2. 1. 1. Grundsatzproblem: Freiwillig versus Verpflichtung No access
    2. 1. a) Einwilligung No access
      2. b) § 32 I BDSG No access
      3. c) § 28 I 1 Nr. 2 BDSG No access
      4. aa) § 28 II Nr. 1 i.V.m. § 28 I 1 Nr. 2 BDSG No access
        (1) Kein schutzwürdiges Interesse des Betroffenen No access
        (2) § 28 II Nr. 2 a BDSG No access
        (3) § 28 II Nr. 2 b Alt. 2 BDSG No access
      5. e) Ergebnis bzgl. Übermittlung an öffentliche Stellen No access
  3. III. Datenweitergabe an Dritte No access
  4. 1. 1. aa) Freiwilligkeit No access
        bb) Vorherige Information No access
        cc) Form No access
      2. b) Zwischenergebnis No access
    2. 1. a) Art. 6 I lit. b DSGVO No access
      2. b) Art. 6 I lit. c DSGVO No access
      3. c) Art. 6 I lit. d DSGVO No access
      4. d) Art. 6 I lit. e DSGVO No access
      5. aa) Anerkennung eines berechtigten Interesses gegenüber internen Ermittlungen? No access
        (1) Art und Weise dieser »Privilegierung« im Rahmen des Entstehungsprozesses der DSGVO No access
        (2) Bewertung No access
      6. f) Öffnungsklausel No access
      7. aa) Vereinbarkeit der Zwecke No access
        bb) Gesetzliche Rechtfertigung der Zweckänderung No access
        cc) Zwischenergebnis No access
    3. 3. Änderung im Rahmen von Auftragsdatenverarbeitungen No access
    4. 4. Zwischenfazit No access
5. 1. I. Notwendigkeit einer »zwei-stufigen Prüfung« bei Auslandsberührung No access
  2. 1. 1. a) Voraussetzungen für Übermittlungen in andere EU- oder EWR-Staaten No access
      2. (1) Europarechtskonforme Ausweitung durch den deutschen Gesetzgeber? No access
        (2) Kriterien eines angemessenen Datenschutzniveaus No access
        (a) Weiße Liste der EU-Kommission No access
        (b) Sonderfall »Safe Harbor« No access
        (c) EU-U.S. Privacy Shield No access
        (4) Zwischenergebnis bzgl. der Voraussetzung eines angemessenen Datenschutzniveaus No access
        (1) § 4c I 1 Nr. 1 BDSG: Einwilligung No access
        (2) § 4c I 1 Nr. 2 BDSG: Erforderlichkeit zur Erfüllung eines Vertrags mit dem Betroffenen No access
        (3) § 4c I 1 Nr. 3 BDSG: Erforderlichkeit zur Erfüllung eines Vertrags mit einem Dritten im Interesse des Betroffenen No access
        (4) § 4c I 1 Nr. 4 Alt. 1 BDSG: Erforderlichkeit zur Wahrung öffentlicher Interessen No access
        (5) § 4c I 1 Nr. 4 Alt. 2 BDSG: Erforderlichkeit zur Geltendmachung von Rechtsansprüchen vor Gericht No access
        (6) § 4c I 1 Nr. 5 BDSG: Erforderlichkeit zur Wahrung lebenswichtiger Interessen No access
        (7) § 4c I 1 Nr. 6 BDSG: Übermittlung aus öffentlichen Registern No access
        (8) Fazit bzgl. dem Eingreifen eines Ausnahmetatbestandes No access
        (1) Eigene Vertragsklauseln No access
        (a) Arten von Standardvertragsklauseln No access
        (b) Anwendbarkeit Set II-Klauseln auf Arbeitnehmerdaten No access
        (c) Standardvertragsklauseln als Mehrparteienvertrag No access
        (d) Auswirkungen des »Schrems«-Urteils auf Standardvertragsklauseln No access
        (a) Keine Genehmigungspflicht der auf BCR basierenden Übermittlungen No access
        (b) Auswirkungen des »Schrems«-Urteils auf BCR No access
        (c) Rechtsform der BCR No access
        (4) Bewertung der unterschiedlichen Garantien i.S.d. § 4c II 1 BDSG No access
      3. c) Fazit zu den Erfordernissen der »zweiten Stufe« bei konzerninternen Datenübermittlungen No access
      4. d) Sonderproblem: Transnationaler Transfer zwischen unselbständigen Unternehmensteilen No access
      5. e) Sonderproblem: Datenimport No access
      6. f) Sonderproblem: Rücktransport pbD in Drittstaat, wenn einziger Bezug zu Deutschland der Sitz des Datenbankbetreibers ist No access
    2. 1. a) Vorrang spezieller Gesetze und Vereinbarungen No access
      2. (1) Voraussetzung des § 4b I BDSG: Tätigkeit im Anwendungsbereich des Rechts der EG No access
        (2) Zulässigkeit nach § 4b II 1, 2 BDSG No access
        bb) Übermittlung in Drittländer No access
      3. c) Fazit und Handlungsempfehlung No access
    3. 3. Übermittlung an sonstige Dritte No access
  3. 1. 1. Allgemeines No access
    2. 2. Angemessenheitsentscheidung der EU-Kommission No access
    3. 1. a) Individuelle Vertragsklauseln No access
      2. b) Standardvertragsklauseln No access
      3. c) Binding Corporate Rules No access
      4. d) Sonstige No access
    4. 4. Ausnahmen No access
    5. 5. Übermittlung an öffentliche Stellen No access
    6. 6. Fazit zur Änderung der Anforderungen an den internationalen Datentransfer durch die DSGVO No access
6. 1. 1. 1. Nach § 35 BDSG No access
    2. 2. Änderung aufgrund der DSGVO No access
  2. 1. 1. Zeitpunkt der Benachrichtigungspflicht No access
    2. 2. Ausnahmen von der Benachrichtigungspflicht No access
    3. 1. a) Zeitpunkt der Benachrichtigung No access
      2. b) Ausnahmen von der Benachrichtigungspflicht No access
      3. c) Fazit No access
  3. 1. 1. Inhalt der Pflicht nach § 34 BDSG No access
    2. 2. Änderung aufgrund der DSGVO No access
  4. IV. Direkterhebungsgrundsatz No access
  5. 1. 1. Anwendbarkeit der § 10 I bis IV BDSG bei »Verbundsdatenbanken« No access
    2. 2. Notwendigkeit einer spezifischen Interessenabwägung No access
    3. 3. Änderung aufgrund der DSGVO No access
  6. VI. Widerspruchsrecht nach Art. 21 I DSGVO No access
1. 1. 1. 1. a) Die Compliance-Pflicht No access
      2. b) Anwendbarkeit des Datenschutzrechts No access
      3. aa) Einwilligung No access
        bb) Gesetz No access
        cc) Betriebsvereinbarung No access
    2. . Die Grenzen, die der Datenschutz einer Compliance-Abteilung aufgibt, sind in jedem Konzern identisch, unabhängig davon ob es sich um einen Konzern handelt, der nur deutschlandweit, EU-weit oder auch... No access
    3. 1. aa) Kategorisierung der untersuchten repressiven Maßnahmen No access
        bb) Kategorisierung der untersuchten präventiven Maßnahmen No access
      2. b) Interessenabwägung bzgl. eines konzerninternen Datentransfers zu Compliance-Zwecken No access
    4. 4. Ein Unternehmen bzw. ein Konzern hat im Falle eines Verstoßes gegen das Datenschutzrecht keine ernsten Folgen zu erwarten. No access
    5. 1. a) Erweiterter Geltungsbereich No access
      2. b) Änderungen auf »erster Stufe« No access
      3. c) Änderungen auf »zweiter Stufe« No access
      4. d) Bußgeldrahmen No access
      5. e) Fazit No access
  2. II. Beeinflussung der Verhältnismäßigkeit über konzerninterne Vereinbarungen No access
  3. III. Zusammenfassende Empfehlung für die Praxis No access
2. 1. I. Generalklausel als Ermächtigungsgrundlage No access
  2. II. Konzernprivileg durch die Rechtsfolgen nach Art. 83 DSGVO No access
  3. III. Zusammenfassendes Fazit zu den Datenschutzregelungen No access
Literaturverzeichnis No access