Mit dem vorliegenden Werk wird den Anwendern der DS-GVO Orientierung auf dem Weg zur Datenschutz-Compliance gegeben. Aufgrund seiner Prozessorientierung bietet das Werk eine Unterstützung, frühzeitig Strukturen, Verfahren und Prozesse in den Unternehmen bzw. Organisationen aufzusetzen und damit den...
1;Vorwort von Dr. Eugen Ehmann;7 2;Vorwort der Autoren;9 3;Inhaltsverzeichnis;11 4;Abkürzungsverzeichnis;17 5;Teil I: Einführung in die DS-GVO;23 5.1;1 Einleitung;23 5.1.1;1.1 An wen richtet sich diese Handlungshilfe;23 5.1.2;1.2 Was beinhaltet diese Handlungshilfe und was nicht;23 5.2;2 Allgemeines zur DS-GVO;25 5.3;3 Wesentliche Anforderungen der DS-GVO an den Verantwortlichen;26 5.3.1;3.1 Wesentliche Datenschutzvorschriften der DS-GVO;265.3.2;3.2 Wesentliche Datenschutzprozesse (Ablauforganisation);27 5.3.3;3.3 Wesentliche Datenschutzstrukturen (Aufbauorganisation);29 6;Teil II: Sicherstellung der Datenschutz-Compliance;33 6.1;4 Datenschutzstrukturen (Aufbauorganisation);33 6.1.1;4.1 Datenschutzziele;33 6.1.2;4.2 Datenschutz-Governance-Struktur;35 6.1.3;4.3 Datenschutzleitlinie;37 6.2;5 Datenschutzprozesse (Ablauforganisation);39 6.2.1;5.1 Kernprozess: Datenschutzkonforme Datenverarbeitung;39 6.2.1.1;5.1.1 Überblick Datenverarbeitung;39 6.2.1.2;5.1.2 Anforderungen an die Datenverarbeitung;40 6.2.1.2.1;5.1.2.1 Einhaltung der Datenschutzgrundsätze;40 6.2.1.2.2;5.1.2.2 Rechtmäßigkeit der Verarbeitung;41 6.2.1.2.3;5.1.2.3 Transparenz;42 6.2.1.2.4;5.1.2.4 Sicherheit der Verarbeitung;43 6.2.1.2.5;5.1.2.5 Auftragsverarbeitung;45 6.2.1.2.6;5.1.2.6 Übermittlung in Drittländer;47 6.2.1.2.7;5.1.2.7 Dokumentation der Verarbeitungstätigkeiten;48 6.2.1.3;5.1.3 Datenverarbeitung - PDCA;49 6.2.1.3.1;5.1.3.1 Planung;50 6.2.1.3.2;5.1.3.2 Betrieb;53 6.2.1.3.3;5.1.3.3 Bewertung;53 6.2.1.3.4;5.1.3.4 Verbesserung;55 6.2.2;5.2 Kernprozess: Sicherstellung der Betroffenenrechte;55 6.2.2.1;5.2.1 Überblick Betroffenenrechte;56 6.2.2.2;5.2.2 Anforderungen an das Management von Betroffenenrechten;57 6.2.2.2.1;5.2.2.1 Antragsbearbeitung durch den Verantwortlichen;57 6.2.2.2.2;5.2.2.2 Auskunftsrecht;58 6.2.2.2.3;5.2.2.3 Recht auf Berichtigung;59 6.2.2.2.4;5.2.2.4 Recht auf Löschung (Recht auf Vergessenwerden);59 6.2.2.2.5;5.2.2.5 Recht auf Einschränkung der Verarbeitung;60 6.2.2.2.6;5.2.2.6 Recht auf Datenübertragbarkeit;61 6.2.2.2.7;5.2.2.7 Widerspruchsrecht;61 6.2.2.2.8;5.2.2.8 Automatisierte Entscheidungen im Einzelfall;62 6.2.2.2.9;5.2.2.9 Recht auf Widerruf einer Einwilligung;62 6.2.2.3;5.2.3 Betroffenenrechte - PDCA;63 6.2.2.3.1;5.2.3.1 Planung;63 6.2.2.3.2;5.2.3.2 Betrieb;67 6.2.2.3.3;5.2.3.3 Bewertung;68 6.2.2.3.4;5.2.3.4 Verbesserung;69 6.2.3;5.3 Kernprozess: Handhabung von Datenschutzverletzungen;70 6.2.3.1;5.3.1 Überblick Datenschutzverletzung;70 6.2.3.2;5.3.2 Anforderungen bei Vorliegen einer Datenschutzverletzung;71 6.2.3.2.1;5.3.2.1 Meldepflicht gegenüber der Aufsichtsbehörde;71 6.2.3.2.1.1;5.3.2.1.1 Fristen für die Meldung;71 6.2.3.2.1.2;5.3.2.1.2 Inhalt der Meldung;71 6.2.3.2.1.3;5.3.2.1.3 Dokumentationspflichten;72 6.2.3.2.2;5.3.2.2 Benachrichtigungspflicht gegenüber den betroffenen Personen;72 6.2.3.2.2.1;5.3.2.2.1 Zeitpunkt der Benachrichtigung;73 6.2.3.2.2.2;5.3.2.2.2 Inhalt der Benachrichtigung;73 6.2.3.3;5.3.3 Datenschutzverletzung - PDCA;73 6.2.3.3.1;5.3.3.1 Planung;73 6.2.3.3.2;5.3.3.2 Betrieb;76 6.2.3.3.3;5.3.3.3 Bewertung;77 6.2.3.3.4;5.3.3.4 Verbesserung;79 6.3;6 Datenschutz-Risikomanagement;80 6.3.1;6.1 Risikobezug in der DS-GVO;80 6.3.1.1;6.1.1 Risiken bei der Datenverarbeitung;81 6.3.1.2;6.1.2 Risiken einer Datenschutzverletzung;85 6.3.1.3;6.1.3 Beispiele aus der DS-GVO für Risiko, Schaden und hohes Risiko;86 6.3.1.4;6.1.4 Risikobasierter Ansatz;89 6.3.2;6.2 Risikomanagement;90 6.3.2.1;6.2.1 Risiko;90 6.3.2.2;6.2.2 Risikomanagement;91 6.3.2.2.1;6.2.2.1 Risikomanagementgrundsätze;92 6.3.2.2.2;6.2.2.2 Risikomanagementsystem;93 6.3.2.2.3;6.2.2.3 Risikomanagementprozess;94 6.3.2.2.4;6.2.2.4 Techniken zur Risikobeurteilung;95 6.3.3;6.3 Datenschutz-Risikomanagement;96 6.3.3.1;6.3.1 Datenschutzrisiko;97 6.3.3.2;6.3.2 Datenschutz- und Compliance-Risiken;98 6.3.3.3;6.3.3 Datenschutz-Risikomanagementprozess;99 6.3.3.4;6.3.4 Datenschut
Mit dem vorliegenden Werk wird den Anwendern der DS-GVO Orientierung auf dem Weg zur Datenschutz-Compliance gegeben. Aufgrund seiner Prozessorientierung bietet das Werk eine Unterstützung, frühzeitig Strukturen, Verfahren und Prozesse in den Unternehmen bzw. Organisationen aufzusetzen und damit den Anforderungen der DS-GVO gerecht zu werden. Das Werk beinhaltet eine Einführung in die DS-GVO und erläutert die wesentlichen Anforderungen an den Verantwortlichen. Besonderes Augenmerk wird dabei auf die Erfüllung der Rechenschaftspflicht und deren Nachweis sowie die regelmäßige Überprüfung der Wirksamkeit gelegt. Es werden allgemeine Fragen der Datenverarbeitung, der Sicherstellung der Betroffenenrechte und der Handhabung von Datenschutzverletzungen beantwortet und Hilfen für die in der täglichen Praxis immer wiederkehrenden Schritte der Planung, Betrieb, Bewertung und Verbesserung (PDCA-Zyklus) angeboten. Ein umfangreicher Prüffragenkatalog gibt Anhaltspunkte dafür, wie eine Aufsichtsbehörde die Einhaltung der Datenschutz-Compliance bei Verantwortlichen und Auftragsverarbeitern prüft und welchen Erwartungshorizont sie bei den Antworten hat.
Autoreninfo: Thomas Kranig, Jurist, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Andreas Sachs, Dipl.-Informatiker, Leiter des technischen Referats beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und Markus Gierschmann, Dipl.-Wirtschaftsingenieur, Finanzökonom (ebs), CIPP/E, CIPM, Datenschutzbeauftragter (udis, TÜV), Datenschutzauditor (TÜV), Unternehmensberater.