1 Vorwort2 Erster Überblick: Worum geht es?2.1 Weshalb der Datenschutz für Sie wichtig ist
2.2 Ziel und Zielgruppe des Ratgebers
2.3 Die Datenschutzgrundverordnung gilt für alle
2.4 Weshalb die Relevanz des Datenschutzes steigt
3 Diese Grundlagen des Datenschutzes müssen Sie kennen3.1 Anwendbarkeit des Datenschutzrechts
3.1.1 Welche Daten werden von der DSGVO geschützt?
3.1.2 Wo gilt die DSGVO überall?
3.2 Die zentralen Begriffe müssen Sie kennen
3.2.1 Von zentraler Bedeutung: »personenbezogene Daten« und »betroffene Person«
3.2.2 Die »verantwortliche Stelle« sind Sie!
3.2.3 Die »Verarbeitung« von Daten steht im Mittelpunkt
3.3 Diese Regeln müssen Sie einhalten
3.3.1 Der Rechtmäßigkeitsgrundsatz: ein Verbot unter Vorbehalt
3.3.2 Der Zweckbindungsgrundsatz: Verwendung für einen eindeutigen Zweck
3.3.3 Das Prinzip der Speicherbegrenzung: Nur so lange erforderlich!
3.3.4 Unbedingt beachten: Das Prinzip der Integrität und Vertraulichkeit
3.4 Diese Rechte stehen Betroffenen zu
3.5 Diese Pflichten haben Sie als Verantwortlicher
4 Rechtsgrundlagen – Wann ist Ihre Datenverarbeitung legal?4.1 Erfüllung eines Vertrages/Durchführung vorvertraglicher Maßnahmen
4.2 Erfüllung rechtlicher Verpflichtungen
4.3 Schutz lebenswichtiger Interessen
4.4 Für Behörden und andere öffentliche Stellen: Ausübung öffentlicher Gewalt
4.5 Überwiegende berechtigte Interessen
4.6 Einwilligung
4.6.1 Wie eine Einwilligung zur Datenverarbeitung abgegeben werden muss
4.6.2 Musterformulierungen für eine Einwilligungserklärung
4.7 Sehr sensibel: besondere Kategorien personenbezogener Daten
4.8 Verarbeitung von Beschäftigtendaten
5 Der Datenschutzbeauftragter (DSB) – das unbekannte Wesen?5.1 Prüfung der DSB-Pflicht
5.1.1 Es kommt auf die Kerntätigkeit an
5.1.2 Die Zahl der Mitarbeiter ist ausschlaggebend
5.2 Wer ist zum DSB geeignet?
5.3 Wie wird der DSB richtig ernannt?
5.3.1 Veröffentlichung der Kontaktdaten des DSB
5.3.2 Die Meldung des DSB an die Aufsichtsbehörde ist Pflicht
5.4 Aufgaben und Stellung des DSB
5.5 Geringes Risiko: die Haftung des DSB
6 Diese Informationspflichten müssen Sie erfüllen6.1 Allgemeine Datenschutzhinweise für Ihre Offline-Tätigkeit
6.1.1 Pflichtinformationen
6.1.2 Umsetzung in die Praxis
6.1.3 So können Datenschutzhinweise aussehen
6.2 Die Datenschutzerklärung für Ihre Web-Präsenzen
6.2.1 Weitere Pflichtinformationen müssen enthalten sein
6.2.2 Die praktische Umsetzung auf Ihrer Website
6.2.3 Umsetzung in Ihren Social-Media-Profilen
6.3 Diese Probleme könnten Ihnen bei Ihrer Website begegnen
6.3.1 Aus Datenschutzsicht nicht ganz ungefährlich: der Einsatz von Analyse-Tools
6.3.2 Vorsicht beim Einsatz von Cookies
6.3.3 Was Sie beim Einsatz von Kontaktformularen beachten müssen
6.3.4 So sichern Sie Ihre Website mit einem SSL-/TLS-Zertifikat ab
7 Was Sie bei einzelnen Werbe-Maßnahmen beachten müssen7.1 Diese Spielregeln gelten für Werbe-Anrufe
7.2 Werbung per Post: altmodisch, aber sicher
7.3 Augen auf bei elektronischer Werbung
7.3.1 Formen der elektronischen Werbung
7.3.2 Bitte beachten: das Double-Opt-In-Verfahren
7.3.3 Für die Praxis relevant: Ausnahme bei Bestandskunden
7.3.4 Checkliste elektronische Werbung
8 Eine lästige Pflicht: Die interne Datenschutz-Dokumentation8.1 So gestalten Sie das Verarbeitungsverzeichnis (VVT)
8.1.1 Der Aufbau des VVT einer verantwortlichen Stelle
8.1.2 Auftragsverarbeiter müssen ein zusätzliches VVT führen
8.1.3 In der Praxis kaum von Bedeutung: Ausnahmefälle
8.2 Welche technischen und organisatorischen Maßnahmen (TOMs) sind in Ihrem Unternehmen sinnvoll?
8.2.1 Sie müssen Ihr eigenes Risiko bewertenSo setzen Sie geeignete TOMs in die Praxis um
8.2.2 Bitte beachten: das Verfahren zur regelmäßigen Selbstüberprüfung (PDCA-Zyklus)
8.3 Standards/Zertifizierungen
8.4 Diese Anlagen passen zum VVT
8.5 So kann ein VVT aussehen
9 Datenübermittlungen – So gelingen sie rechtskonform9.1 Das ist bei einem Auftragsverarbeitungsverhältnis zu beachten
9.1.1 Typische Beispiele von AV-Verhältnissen
9.1.2 In diesen Fällen handelt es sich nicht um AV-Verhältnisse
9.1.3 Wichtig: der AV-Vertrag
9.2 Wie »die gemeinsame Verantwortlichkeit« zu regeln ist
9.2.1 Typische Beispiele gemeinsamer Verantwortlichkeit
9.2.2 Der Joint-Controllership-Vertrag
9.3 Die getrennte Verantwortlichkeit bei der Datenübermittlung
9.4 Das ist bei einer Datenübermittlung ins Ausland wichtig
9.4.1 Die EU-/EWR-Staaten sind unproblematisch
9.4.2 Nicht-EU-Staaten mit angemessenem Schutzniveau
9.4.3 Bei unsicheren Drittstaaten sind weitere Maßnahmen notwendig
9.5 Datenübermittlung in der Praxis: Übersicht über die eigenen Datenflüsse
10 Der richtige Umgang mit Betroffenenrechten10.1 So reagieren Sie richtig
10.1.1 First things first: Prüfung der Identität
10.1.2 Erfüllung der Betroffenenrechte: zeitnah, transparent und korrekt
10.1.3 Unbekannte Person: Negativauskunft oder Ablehnung des Antrags
10.2 Recht auf Auskunft
10.2.1 Welche Daten müssen Sie mitteilen?
10.2.2 Eine korrekte Antwort in der Praxis
10.3 Recht auf Berichtigung
10.4 Recht auf Löschung
10.4.1 Wann müssen Daten gelöscht werden?
10.4.2 In diesen Fällen müssen personenbezogene Daten nicht gelöscht werden
10.4.3 Das Recht auf Vergessenwerden
10.4.4 Auch ein Antrag auf Löschung muss beantwortet werden
10.5 Recht auf Einschränkung
10.6 Recht auf Datenübertragbarkeit
10.7 Recht auf Widerspruch
10.8 Recht auf Widerruf einer erteilten Einwilligung
10.9 Recht auf Beschwerde
11 Bei Verstößen gegen das Datenschutzrecht drohen Strafen11.1 Die Aufgaben der Aufsichtsbehörden
11.2 Diese Sanktionen können die Aufsichtsbehörden verhängen
11.2.1 Unterlassungsverfügung heißt »Stopp«
11.2.2 Geldbußen: Es gibt leichte und schwere Verstöße
11.2.3 Wie berechnet sich die Höhe von Bußgeldern?
11.3 Betroffene Personen können Schadensersatz fordern
11.4 Auch möglich: Abmahnungen von der Konkurrenz
12 Datenpannen – was muss wann an wen gemeldet werden?12.1 So erkennen Sie Datenpannen
12.2 Die Meldung an die Aufsichtsbehörde
12.3 Worst-Case-Szenario: Meldung an Betroffene
12.3.1 Liegt ein »hohes« Risiko vor?
12.3.2 Die Datenpanne muss den Betroffenen gemeldet werden
12.3.3 In Ausnahmen ist eine Benachrichtigung nicht notwendig
12.4 Für den Notfall gerüstet sein
13 Die Datenschutz-Folgenabschätzung (DSFA)13.1 Werden Sie auf der Positiv-Liste fündig?
13.2 Die Leitlinien der Artikel-29-Gruppe können weiterhelfen
13.3 Und was sagt das Gesetz?
13.4 Durchführung einer DSFA
14 Datenschutz im Beschäftigtenverhältnis14.1 Verpflichtung auf Vertraulichkeit
14.2 Privatnutzung von Telefon, Internet & E-Mail
14.3 Home-Office, Tele-Arbeit & Co.
14.4 Umgang mit Bewerberdaten
14.5 Datenschutz bei Videokonferenzen & Messenger-Diensten
14.5.1 Das sollten Sie bei Videokonferenzen beachten
14.5.2 Nutzung von Messenger-Diensten
15 »All-in-Checkliste«: Die Umsetzung des Datenschutzes Schritt für Schritt16 Toolbox16.1 Überblick Datenschutz-Software
16.2 Datenschutz-Podcasts – hören Sie doch mal rein
16.3 Kostenlose Newsletter
16.4 Nützliche Internetseiten
17 Abkürzungsverzeichnis
