Neuerscheinungen 2018Stand: 2020-02-01 |
Schnellsuche
ISBN/Stichwort/Autor
|
Herderstraße 10 10625 Berlin Tel.: 030 315 714 16 Fax 030 315 714 14 info@buchspektrum.de |
Özgür Bozkurt
EU-DSGVO und Compliance. Rechtliche und wirtschaftliche Herausforderungen
2018. 100 S. 10 Abb. 220 mm
Verlag/Jahr: IGEL VERLAG RWS 2018
ISBN: 3-9548536-3-9 (3954853639)
Neue ISBN: 978-3-9548536-3-2 (9783954853632)
Preis und Lieferzeit: Bitte klicken
Datenschutz stellt eine große Herausforderung für privatwirtschaftliche Unternehmen dar. Elektronische Datenbestände müssen laut der EU-Datenschutz-Grundverordnung (DSGVO), die nach einer zweijährigen Übergangsfrist im Mai 2018 verbindlich wird, die Sicherheit vor unbefugtem Zugriff und vor allem Transparenz im internen Umgang der Daten sicherstellen.
Mit der Einrichtung von Compliance-Systemen, die für die Einhaltung von rechtlichen Rahmenbedingungen sorgen sollen, haben Unternehmen bereits ein potenzielles Instrumentarium, um auch Datenschutzbelange abzusichern.
Das vorliegende Buch bietet einen Überblick über die Entwicklung, Grundsätze und Öffnungsklauseln der EU-DSGVO. Weiterhin werden diverse Compliance-Management-Systeme und Control-Frameworks für die IT-Compliance bzw. IT-Sicherheit angeführt, um darauf aufbauend die Perspektive auf die Herausforderungen des in der DSGVO neu geregelten Datenschutzes zu lenken.
Textprobe:
Kapitel 2.4 Anwendungsbereiche von Datenschutzanforderungen
2.4.1 Allgemeine Anwendungsbereiche der DSGVO
Nach der Darstellung der Regelungen, die sich mit Datenschutzthemen befassen, soll im Folgenden ausgeführt werden, welche - vor allem in Unternehmen vorkommenden - Bereiche und Themenkreise Gegenstand von Datenschutzbemühungen sein können. Dazu schreiben Geis und Helfrich, dass Datenspuren sich aus der Nutzung sozialer Netzwerke ebenso ergeben wie aus der Überwachung von Mitarbeitern, Empfehlungsalgorithmen von Lieferanten oder der Strafverfolgung. Personenbezogene Daten sollen in diesen vernetzen Digitalsphären geschützt werden. Dabei sind solche Daten als personenbezogen anzusehen und durch entsprechende Grundrechte zu schützen, mit denen Personen direkt oder indirekt identifiziert und Datensätzen oder Eigenschaften zugeordnet werden können. Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung weiterhin sowohl für die ganz und teilweise automatisierte Verarbeitung als auch für nichtautomatisierte Verarbeitung. Unter automatisiert ist im Wesentlichen die Zuhilfenahme von IT-Prozessen und EDV-Anlagen zu verstehen.
Um bewerten zu können, ob ein konkreter Fall in den Anwendungsbereich der DSGVO fällt, müssen sachliche, persönliche und räumliche Aspekte geprüft werden. Wenn eine Verarbeitung stattfindet, die personenbezogene Daten betrifft, dann fällt dies sachlich in den Anwendungsbereich der DSGVO. Persönliche Kriterien sind durch die Identifizierbarkeit von Personen anhand von bestimmten Merkmalen wie Name oder Standort gegeben. Örtlich ist die DSGVO dann anzuwenden, wenn personenbezogene Daten von europäischen Bürgern betroffen sind. Ein Sitz des Unternehmens in einem Mitgliedsstaat ist nicht erforderlich. Erwägungsgrund 14 konkretisiert Art. 3 Abs. 2 DSGVO dahingehend, dass eine betroffene Person, die sich in der europäischen Union befindet, nicht die Staatsangehörigkeit eines Mitgliedslandes und auch keinen dauerhaften Wohnsitz in der EU haben muss.
Ausnahmen in Bezug auf den sachlichen Anwendungsbereich werden in Art. 2 Abs. 2 DSGVO festgelegt und betreffen beispielsweise Behörden, die für die öffentliche Sicherheit sorgen, oder persönliche und familiäre Tätigkeiten von Privatpersonen.
2.4.2 Produkterstellung und -vermarktung
Bereits bei der "Erstellung von Produkten" müssen Unternehmen Datenschutzaspekte berücksichtigen. Beispielsweise dürfen Produkte, die nach
90 TKG eine Sendeanlage darstellen und daher mit ihrer Umgebung kommunizieren können, Anforderungen an die Erkennbarkeit dieser Funktion erfüllen. So wurde im Februar 2017 bei einer Spielzeugpuppe mit der Bezeichnung "Cayla", die von einem britischen Unternehmen vertrieben wurde, von der Bundesnetzagentur ein Verstoß gegen das TKG festgestellt. Die Puppe war geeignet, als getarntes Spionagegerät eigenständig Gespräche aufzuzeichnen und zu übermitteln sowie die Personen in ihrem Umfeld beispielsweise zu Werbezwecken anzusprechen. Die Bundesnetzagentur riet allen Eltern, das Spielzeug zu vernichten.
Die in Kapitel 2.2.2 beschriebenen Grundsätze von "Data Protection by Design bzw. Default" greifen zukünftig bei solchen Fällen. Sie waren bislang weder in der DSRL noch im BDSG verankert. So sollen Produkte bei ihrer Auslieferung so eingestellt sein, dass sie keine zweckfremden Daten erheben. Allerdings wird unterschieden zwischen den in Art. 25 benannten Verantwortlichen und den Herstellern, die lediglich ermutigt werden sollen, die Produkte so zu gestalten, dass die Verantwortlichen später ihren Pflichten nachkommen können. Die konkrete Auslegung dieser Prinzipien wird vom neu geschaffenen Datenschutzausschuss festgelegt.
Lange Zeit war es außerdem üblich, dass Unternehmen zu Werbezwecken eigene Daten verwendeten bzw. fremde Datensätze einkauften, die ihnen Zugang zu potenziellen Kunden gewähren sollten. Die
28, 29 BDSG befassen sich mit der Zulässigkeit der Verwendung, Nutzung und Weitergabe von Da