Haftung bei Verstößen gegen den Datenschutz und Datensicherheit

Inhaltsverzeichnis

1. Inhalt und Ziel der Arbeit

2. Grundlagen Datenschutz - Bundesdatenschutzgesetz

2.1. Historische Entwicklung

2.2. Zweck

2.3.Aufbau

2.4.Begriffbestimmungen

2.4.1. Öffentliche Stellen

2.4.2. Nicht-öffentliche Stellen

2.5. Anwendungsbereich

2.5.1. Sachlicher Anwendungsbereich

2.5.2. Persönlicher Anwendungsbereich / Normadressat

2.6. Tragende Grundsätze

2.6.1. Verbotsprinzip mit Erlaubnisvorbehalt

2.6.2. Grundsatz der Zweckbindung

2.6.3. Grundsatz der Verhältnismäßigkeit

2.6.4. Datenvermeidung und Datensparsamkeit

2.6.5. Grundsatz der Transparenz

3. Verantwortlicher für den Datenschutz

3.1. Bestellung

3.1.1. Fachkunde

3.1.2. Zuverlässigkeit

3.1.3. Mehrfachbestellung

3.2. Stellung und Befugnisse

3.2.1. Stellung in der Hierarchie

3.2.2. Benachteiligungsverbot

3.2.3. Unterstützungspflicht der verantwortlichen Stelle

3.3. Aufgaben

3.3.1. Beratung und Mitwirkung

3.3.2. Kontrolle

3.3.3. Vorabkontrolle

3.3.4. Schulung

3.3.5. Verfahrensverzeichnis

3.4. Widerruf

3.5. Einsatz externer DSB

3.6. Aufsichtsbehörden

4. Haftung bei unsicheren IT-Systemen

4.1. Ansprüche der verantwortlichen Stelle gegenüber dem DSB

4.1.1. vertragliche Ansprüche

4.1.1.1. Schadensersatz wegen Nichterfüllung

4.1.1.2. Schadensersatz wegen Schlechterfüllung - § 280 Abs. 1 BGB

4.1.2. deliktische Ansprüche

4.1.2.1. Verletzung des allg. Persönlichkeitsrechts - § 823 Abs. 1 BGB

4.1.2.2. Verstoß gg. im BDSG enthaltene Schutznormen § 823 Abs. 2 BGB

4.2. Ansprüche des Betroffenen gegenüber dem DSB

4.2.1. vertragliche Ansprüche

4.2.2. deliktische Ansprüche

4.2.2.2. Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs. 2 BGB

4.2.2.3. Kreditgefährdung durch Verstoß gegen die Verschwiegenheit durch Verbreitung unwahrer Tatsachen - § 824 BGB

4.2.2.4. Verstoß gegen die Verschwiegenheit durch sittenwidrige vorsätzliche Schädigung - § 826 BGB

4.2.2.5. Amtshaftung § 839 Abs. 1 BGB i.V.m. Art. 34 GG

4.2.2.6. Eigenhaftung des Beamten § 839 Abs.1 S. 1 BGB

4.3. Ansprüche des Betroffenen gegenüber der verantwortlichen Stelle

4.3.1. dingliche Ansprüche

4.3.2. vertragliche Ansprüche

4.3.3. deliktische Ansprüche

4.3.3.1. Ansprüche aus § 7 BDSG

4.3.3.2. Ansprüche aus § 8 BDSG

4.3.3.3. Ansprüche aus § 823 Abs. 1 BGB

4.3.3.4. Ansprüche aus §§ 823 Abs. 2, 824, 826 BGB

4.4. Ordnungswidrigkeiten und Strafvorschriften

4.4.1. Ordnungswidrigkeiten

4.4.2. Strafvorschriften

5. Einsatz von Kommunikationsmitteln im Arbeitsverhältnis

5.1. Telekommunikationsgesetz, Teledienstegesetz und Teledienstedatenschutzgesetz

5.2. Telefon

5.2.1. Private und dienstliche Nutzung

5.2.2. Kontrollmöglichkeiten und deren Grenzen

5.2.2.1. Kontrolle dienstlicher Gespräche

5.2.2.2. Kontrolle von privaten Gesprächen

5.3. E-Mail

5.3.1. Private und dienstliche Nutzung

5.3.2. Kontrollmöglichkeiten und deren Grenzen

5.3.2.1. Kontrolle dienstlicher E-Mail

5.3.2.2. Kontrolle privater E-Mail

5.4. Internet

5.4.2. Kontrollmöglichkeiten und deren Grenzen

5.4.2.1. Kontrolle der dienstlichen Internet-Nutzung

5.4.2.2. Kontrolle der zulässigen privaten Internet-Nutzung

6. Sicherheitspolitik

6.1. Datensicherheit

6.1.1. Allgemeines

6.1.2. Anlage zu § 9 BDSG

6.2. Messbarkeit der Sicherheit / Return of Security Investment (RoSI)

6.3. Wirtschaftskriminalität

7. Auswertung des Fragebogens

8. Schlusswort

Zielsetzung & Themen

Die Arbeit analysiert die Haftungsrisiken bei Verstößen gegen datenschutzrechtliche Bestimmungen und Anforderungen an die Datensicherheit. Das Hauptziel ist die Untersuchung möglicher Schadensersatzansprüche Geschädigter sowie die Identifikation der jeweils verantwortlichen Anspruchsgegner, wobei sowohl theoretische Grundlagen als auch eine praktische empirische Auswertung berücksichtigt werden.

• Haftungsgrundlagen im Datenschutzrecht
• Zuständigkeiten und Aufgaben des Datenschutzbeauftragten
• Datenschutzrechtliche Grenzen bei der Kontrolle von Telekommunikationsmitteln am Arbeitsplatz
• Anforderungen an die Datensicherheit und Messbarkeit von Sicherheitsinvestitionen
• Empirische Analyse der Datenschutzpraxis in Unternehmen

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Inhalt und Ziel der Arbeit: Diese Einführung erläutert die Struktur der Arbeit, die sich in einen theoretischen Teil zur Rechtslage und einen praktischen Teil mittels einer Umfrage unterteilt.

2. Grundlagen Datenschutz - Bundesdatenschutzgesetz: Dieses Kapitel behandelt die historische Entwicklung, den Zweck des BDSG als Querschnittsgesetz sowie die grundlegenden Prinzipien wie das Verbotsprinzip und die Zweckbindung.

3. Verantwortlicher für den Datenschutz: Hier werden die Anforderungen an die Bestellung, die Aufgaben, Stellung und Befugnisse des Datenschutzbeauftragten sowie die Rolle der Aufsichtsbehörden detailliert dargestellt.

4. Haftung bei unsicheren IT-Systemen: Dieses Kapitel erörtert systematisch die verschiedenen Schadensersatzansprüche zwischen der verantwortlichen Stelle, dem Datenschutzbeauftragten und dem Betroffenen, unterteilt in vertragliche und deliktische Aspekte.

5. Einsatz von Kommunikationsmitteln im Arbeitsverhältnis: Diese Ausführungen untersuchen die datenschutzrechtliche Zulässigkeit und Grenzen der Kontrolle von Telefon, E-Mail und Internet am Arbeitsplatz.

6. Sicherheitspolitik: Hier werden die technischen und organisatorischen Maßnahmen zur Datensicherung gemäß § 9 BDSG sowie Ansätze zur Messbarkeit von IT-Sicherheitsinvestitionen (RoSI) erörtert.

7. Auswertung des Fragebogens: Dieser Abschnitt präsentiert die praktische Anwendung der theoretischen Erkenntnisse durch die Auswertung einer empirischen Umfrage zu verschiedenen Datenschutzaspekten in Unternehmen.

8. Schlusswort: Das Fazit fasst die wachsende Bedeutung des Datenschutzes zusammen und unterstreicht die Notwendigkeit, sowohl Führungskräfte als auch Mitarbeiter kontinuierlich zu sensibilisieren.

Schlüsselwörter

Bundesdatenschutzgesetz, BDSG, Datenschutzbeauftragter, DSB, Haftung, Datensicherheit, Arbeitnehmerdatenschutz, IT-Systeme, Schadensersatz, Kontrolle, Telekommunikation, informelle Selbstbestimmung, Personaldatenschutz, Aufsichtsbehörden, Sicherheitspolitik.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit untersucht die Haftungsrisiken und Schadensersatzansprüche, die bei Verstößen gegen datenschutzrechtliche Vorschriften und die Datensicherheit entstehen können.

Welche zentralen Themenfelder werden behandelt?

Zentrale Themen sind die Grundlagen des BDSG, die Rechtsstellung des Datenschutzbeauftragten, die Haftungssituation in IT-Systemen sowie die datenschutzkonforme Kontrolle von Kommunikationsmedien am Arbeitsplatz.

Was ist das primäre Ziel der Untersuchung?

Das Ziel ist es, einen Überblick über mögliche Schadensersatzansprüche Geschädigter zu geben und zu ermitteln, wer der jeweilige Anspruchsgegner ist.

Welche wissenschaftliche Methode kommt zum Einsatz?

Die Arbeit kombiniert eine juristische Analyse der Rechtsgrundlagen mit einer empirischen Methode, basierend auf einer selbsterstellten Umfrage unter verschiedenen Unternehmen zur aktuellen Datenschutzpraxis.

Welche Aspekte stehen im Hauptteil im Fokus?

Der Hauptteil konzentriert sich auf die Haftungsstrukturen (vertraglich/deliktisch) zwischen den Beteiligten, die Regelungen zur Mitarbeiterkontrolle und die Umsetzung technischer Datensicherheitsmaßnahmen.

Welche Begriffe charakterisieren die Arbeit am besten?

Wichtige Begriffe sind insbesondere Datenschutzbeauftragter, Haftung, Arbeitnehmerdatenschutz, BDSG, IT-Sicherheit und Schadensersatzansprüche.

Warum ist die Bestellung eines Datenschutzbeauftragten so kritisch?

Der Datenschutzbeauftragte spielt eine zentrale Rolle bei der Überwachung der Datenschutzvorschriften; eine fehlerhafte Bestellung oder Mängel in seiner Tätigkeit können für die verantwortliche Stelle zu erheblichen Bußgeldern oder Haftungsrisiken führen.

Welchen Einfluss hat die Art der Kommunikation auf die Kontrolle am Arbeitsplatz?

Die Zulässigkeit von Kontrollen hängt entscheidend davon ab, ob die Nutzung der Kommunikationsmittel (Telefon, E-Mail, Internet) rein dienstlich oder auch für private Zwecke gestattet ist, da bei privater Nutzung zusätzlich telekommunikationsrechtliche Sonderregeln gelten.

Wie wird das Risiko von Datenschutzverstößen messbar gemacht?

Der Autor führt hierfür das Konzept des „Return on Security Investment“ (RoSI) ein, welches Kosten für Sicherheitsmaßnahmen den Kosten durch vermiedene Schäden gegenüberstellt.