Оглавление
David Klein. DS-GVO/BDSG
DS-GVO/BDSG
Impressum
Vorwort zur 2. Auflage
Vorwort zur 1. Auflage
Nutzungshinweis zur Zuordnung. DS-GVO und BDSG
Anmerkungen
Bearbeiterverzeichnis
Inhaltsverzeichnis
Abkürzungsverzeichnis
Allgemeines Literaturverzeichnis
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Bundesdatenschutzgesetz (BDSG)[1]
Anmerkungen
Kapitel I Allgemeine Bestimmungen
Artikel 1 Gegenstand und Ziele
Kommentierung
I. Art. 1 – Allgemeines
II. Gegenstand der DS-GVO (Abs. 1)
III. Schutz der Grundrechte und Grundfreiheiten (Abs. 2)
IV. Freier Datenverkehr (Abs. 3)
Anmerkungen
Artikel 2 Sachlicher Anwendungsbereich
Kommentierung
I. Erwägungsgründe
1. Erwägungsgrund 14
2. Erwägungsgrund 15
3. Erwägungsgrund 16
4. Erwägungsgrund 17
5. Erwägungsgrund 18
6. Erwägungsgrund 19
7. Erwägungsgrund 20
8. Erwägungsgrund 21
II. BDSG n.F
1. DSRL
2. BDSG a.F
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Sachlicher Anwendungsbereich (Abs. 1)
1. Personenbezogene Daten
2. Verarbeitung
3. Automatisierte Datenverarbeitung
4. Manuelle Datenverarbeitung
III. Ausnahmenkatalog nach Abs. 2
1. Tätigkeit außerhalb der Anwendbarkeit des Unionsrechts
2. Datenverarbeitung seitens der Mitgliedstaaten im Bereich der GASP
3. Persönliche und private Datenverarbeitung
4. Strafrechtliche Tätigkeiten und Schutz der öffentlichen Sicherheit
IV. Tätigwerden der EU-Organe und ihrer Einrichtungen
V. Fortgesetzte Anwendbarkeit der E-Commerce-Richtlinie
VI. Exkurs: Anwendbarkeit ePrivacy-Richtlinie, TKG und TMG
1. Anwendbarkeit des Telekommunikationsgesetzes
2. Anwendbarkeit des Telemediengesetzes
1. Allgemeines
2. Normadressaten
a) Öffentliche Stellen des Bundes und der Länder als Normadressaten
b) Nichtöffentliche Stellen
3. Subsidiarität des BDSG
4. Vorrang vor dem VwVfG
5. Anwendungsbereich
a) Grundsatz der umfänglichen Anwendbarkeit für öffentliche Stellen
b) Voraussetzungen der Anwendbarkeit auf nichtöffentliche Stellen
aa) § 1 Abs. 4 S. 2 Nr. 1
bb) § 1 Abs. 4 S. 2 Nr. 2
cc) § 1 Abs. 4 S. 2 Nr. 3
c) Ergänzende Anwendbarkeit des BDSG außerhalb des Satzes 2
6. Vorrangige Geltung des DS-GVO als unmittelbar geltendes Recht
7. Klarstellung bezüglich der Gleichstellung von Staaten mit Mitgliedstaaten der EU (Abs. 6 und 7)
8. Ergänzende Anwendung des DS-GVO und des BDSG auf einzelne Datenverarbeitungen öffentlicher Stellen
Anmerkungen
Artikel 3 Räumlicher Anwendungsbereich
Kommentierung
I. Erwägungsgründe
1. Erwägungsgrund 22
2. Erwägungsgrund 23
3. Erwägungsgrund 24
4. Erwägungsgrund 25
II. Normengenese und -umfeld
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Räumlicher Anwendungsbereich bei Niederlassung in der Union (Abs. 1)
1. Kreis der geschützten Personen
2. Anforderungen an das Merkmal der Niederlassung
III. Räumlicher Anwendungsbereich ohne Niederlassung in der Union (Abs. 2)
1. Kreis der geschützten Personen
2. Anwendbarkeit ohne Niederlassung
a) Anknüpfung an (beabsichtigte) Erbringung von Waren- und Dienstleistungsgeboten (lit. a)
b) Anknüpfung an Verhaltensbeobachtung (lit. b)
3. Nichtexistenz einer Schutzlücke
4. Kritik
IV. Erstreckung der räumlichen Anwendung aufgrund Völkerrechts
C. Praxistipps
Anmerkungen
Artikel 4 Begriffsbestimmungen
Kommentierung
A. Einordnung und Hintergrund
I. Art. 4: Allgemeines
1. Allgemeines
a) Betroffene Person
b) Juristische Personen
c) Verstorbene
d) Ungeborenes Leben (nasciturus)
a) Information
b) Personenbezug der Information
c) Identifizierte oder identifizierbare Person
d) Anonyme Daten
e) Einzelbeispiele
1. Allgemeines
2. Inhalt
3. Praxishinweise
1. Allgemeines
2. Inhalt
3. Praxisbeispiele
1. Allgemeines
2. Scoring
3. Pflichten beim Profiling
1. Allgemeines
2. Anforderungen an die Pseudonymisierung
3. Abgrenzung zur Anonymisierung
4. Verschlüsselte Daten
5. Verfahren und technisch-organisatorische Anforderungen der Pseudonymisierung
6. Anwendungsszenarien zu Art und Verfahren der Pseudonymisierung
1. Allgemeines
2. Begriff des „Dateisystems“
3. Digitalisierung von Daten und Akten
1. Allgemeines
2. Zweck der Vorschrift
3. Tatbestandsmerkmale des Verantwortlichen im Einzelnen
a) Normadressaten
b) Alleinige oder gemeinsame Verantwortliche
c) Entscheidungsbefugnisse über Zweck und Mittel
d) Abgrenzung zur Auftragsverarbeitung
4. Einzelfälle/Praxisbeispiele/Praxishinweise
1. Allgemeines
a) Privilegierung der Auftragsdatenverarbeitung
b) Datenverarbeitung im Auftrag
3. Einzelfälle/Praxisbeispiele
1. Allgemeines
2. Inhalt
a) Empfangende Stelle
b) Begriff der Offenlegung
3. Ausnahmen bei Behörden
1. Allgemeines
2. Inhalt
3. Praxisbeispiele
1. Allgemeines
2. Inhalt
1. Allgemeines
2. Inhalt
1. Allgemeines
2. Systematik und Verhältnis zu anderen Vorschriften
3. Umfang des Schutzes „genetischer Daten“
1. Allgemeines
2. Tatbestandsmerkmale „biometrischer Daten“
3. Praxisbeispiele
1. Allgemeines
2. Inhalt und Reichweite des Begriffs der Gesundheitsdaten
3. Praxisbeispiele
1. Allgemeines
a) Abgrenzung zum Begriff der Niederlassung
b) Systematik und Verhältnis zu anderen Vorschriften der DS-GVO
2. Hauptniederlassung des Verantwortlichen
3. Hauptniederlassung des Auftragsverarbeiters
4. Hauptniederlassung bei einer Unternehmensgruppe
1. Allgemeines
2. Begriff des Vertreters und Regelungszweck
1. Allgemeines
2. Inhalt
1. Allgemeines
2. Bedeutung
XXI. Art. 4 Nr. 20: Verbindliche interne Datenschutzvorschriften
XXII. Art. 4 Nr. 21: Aufsichtsbehörde
XXIII. Art. 4 Nr. 22: Betroffene Aufsichtsbehörde
1. Niederlassung im Hoheitsgebiet der Aufsichtsbehörde (Art. 4 Nr. 22 lit. a)
2. Erhebliche Auswirkungen auf Betroffene mit Wohnsitz im Mitgliedstaat der Aufsichtsbehörde (Art. 4 Nr. 22 lit. b)
3. Einreichung einer Beschwerde (Art. 4 Nr. 22 lit. c)
XXIV. Art. 4 Nr. 23: Grenzüberschreitende Verarbeitung
1. Niederlassungen in unterschiedlichen Mitgliedstaaten (lit. a)
2. Erhebliche Auswirkungen auf Betroffene in unterschiedlichen Mitgliedstaaten (lit. b)
XXV. Art. 4 Nr. 24: Maßgeblicher und begründeter Einspruch
1. Allgemeines
2. Inhalt
1. Allgemeines
2. Inhalt
§ 2 BDSG Begriffsbestimmungen
Kommentierung
A. Einordnung und Hintergrund
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Öffentliche Stellen des Bundes (§ 2 Abs. 1 BDSG)
a) Behördenbegriff
b) Behörden des Bundes
2. Organe der Rechtspflege des Bundes
3. Sonstige öffentlich-rechtliche Einrichtungen des Bundes
4. Stellen mittelbarer Staatsverwaltung auf Bundesebene
III. Öffentliche Stellen der Länder (§ 2 Abs. 2 BDSG)
1. Behörden der Länder
2. Organe der Rechtspflege der Länder
3. Sonstige öffentlich-rechtlich organisierte Einrichtungen der Länder
4. Stellen mittelbarer Staatsverwaltung auf Landesebene
IV. Öffentlich-rechtlich organisierte Religionsgemeinschaften
V. Vereinigungen des Privatrechts von öffentlichen Stellen des Bundes und der Länder (§ 2 Abs. 3 BDSG)
VI. Nichtöffentliche Stellen (§ 2 Abs. 4 BDSG)
VII. Erwerbswirtschaftliche öffentliche-rechtliche Unternehmen (§ 2 Abs. 5 BDSG)
VIII. Kritik
C. Praxistipps
Anmerkungen
Kapitel II Grundsätze
Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten[1]
Kommentierung
I. Erwägungsgründe
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe
I. Allgemeines
II. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Abs. 1 lit. a (Lawfulness, Fairness, Transparency)
1. Rechtmäßigkeit (Lawfulness)
2. Verarbeitung nach Treu und Glauben (Fairness)
3. Transparenz (Transparency)
III. Zweckbindung, Abs. 1 lit. b (Purpose Limitation)
IV. Datenminimierung, Abs. 1 lit. c (Data Minimisation)
V. Richtigkeit, Abs. 1 lit. d (Accuracy)
VI. Speicherbegrenzung, Abs. 1 lit. e (Storage Limitation)
VII. Integrität und Vertraulichkeit, Abs. 1 lit. f (Integrity and Confidentialy)
VIII. Rechenschaftspflicht, Abs. 2 (Accountability)
IX. Sanktionen
I. GDD-Praxishilfe DS-GVO IX „Accountability“
II. Relevanz für öffentliche und nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
Anmerkungen
Artikel 6 Rechtmäßigkeit der Verarbeitung
Kommentierung
1. Erwägungsgründe
aa) DSRL – RL 95/46/EG
(1) §§ 4 Abs. 3, 19a, 33 BDSG a.F. als „Entsprechung“ zu Art. 13, 14
(2) Änderungen im Vergleich zu den bisher geltenden Informationspflichten
(3) WP der Art.-29-Datenschutzgruppe und Düsseldorfer Kreis
1. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
2. Verhältnis der einzelnen Erlaubnistatbestände
B. Art. 6 Abs. 1 lit. a
I. Einordnung und Hintergrund
a) Rechtsnatur
b) Wirksamkeitsanforderungen
c) Alteinwilligungen
d) Form
e) Besonderheiten im Verhältnis zum Recht am eigenen Bild
2. Widerruf
3. Sanktionen
C. Art. 6 Abs. 1 lit. b
I. Einordnung und Hintergrund
II. Kommentierung
1. Erfüllung eines Vertrages
a) Erfüllung
b) Vertrag
c) Betroffener als Vertragspartei
2. Vorvertragliche Maßnahmen auf Anfrage des Betroffenen
3. Die Erforderlichkeit der Datenverarbeitung
4. Fallgruppen
D. Art. 6 Abs. 1 lit. c
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Verantwortlicher
III. Rechtliche Verpflichtung
1. Erforderlichkeit
2. Beispiele nach deutschem Recht
E. Art. 6 Abs. 1 lit. d
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Verantwortlicher
III. Lebenswichtige Interessen
IV. Betroffener oder Dritter
V. Notwendigkeit fehlender Einwilligungsfähigkeit?
VI. Subsidiärer Rechtfertigungstatbestand
F. Art. 6 Abs. 1 lit. e
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Wahrnehmung einer Aufgabe im öffentlichen Interesse
1. Aufgabenträger
2. Begriff der Aufgabe im öffentlichen Interesse
3. Notwendigkeit einer Rechtsgrundlage
4. Erforderlichkeit
III. Aufgabe in Ausübung öffentlicher Gewalt
1. Aufgabenträger
2. Ausübung öffentlicher Gewalt
3. Notwendigkeit einer Rechtsgrundlage
4. Erforderlichkeit
IV. § 3 BDSG Verarbeitung personenbezogener Daten durch öffentliche Stellen
1. Einordnung und Hintergrund
2. Verhältnis zur DS-GVO
a) Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
b) Öffentliche Stellen als Adressaten
c) Umfang der Ermächtigung
aa) Erfüllung einer in der Zuständigkeit liegenden Aufgabe
bb) Handeln in Ausübung übertragener öffentlicher Gewalt
cc) Erforderlichkeit
G. Art. 6 Abs. 1 lit. f
I. Einordnung und Hintergrund
1. Legitimierung durch mehrere Erlaubnistatbestände
2. Berechtigtes Interesse
3. Erforderlichkeit
4. Interesse, Grundrechte und Grundfreiheiten
5. Interessenabwägung
a) Allgemeine Grundsätze
b) Kinder
6. Einzelne Verarbeitungstätigkeiten
a) Direktmarketing (online/offline)
b) Profilbildung
c) Datenverarbeitungsprozesse im Zusammenhang mit Websites
aa) Die Interessenabwägung nach der DS-GVO
bb) Einfluss der DSRL für elektronische Kommunikation
(1) Ansicht der Datenschutzaufsichtsbehörden
(2) Sichtweise des BGH
(3) Bedeutung für die Praxis
d) Konzerninterne Datenübermittlung
e) Beschäftigtendatenschutz
f) Scoring
g) Videoüberwachung
h) Recht am eigenen Bild
i) Anwendungsfälle der Datenethikkommission
H. Art. 6 Abs. 2 und 3
1. DSRL
2. BDSG a.F
1. Öffnungsklausel: Abs. 2 und 3 S. 3
a) Mitgliedstaatlicher Gestaltungsspielraum
b) Konkretisierung des öffentlichen Interesses durch die Mitgliedstaaten
c) Öffnungsklausel nur für den öffentlichen Sektor?
d) Unionsrechtskonforme Nutzung dieser Öffnungsklauseln
e) Bewertung des BDSG
f) Voraussetzungen unionsrechtsrechtswidriger Nutzung der Öffnungsklauseln
g) Art der Öffnungsklausel und Anwendungsbereich
a) Rechtsgrundlage im Unionsrecht oder im mitgliedstaatlichen Recht
b) Anforderungen
c) Tatsächliche Öffnungsklausel in Abs. 3
1. Relevanz für öffentliche Stellen
2. Relevanz für nichtöffentliche Stellen
3. Relevanz für betroffene Personen
4. Relevanz für Aufsichtsbehörden
I. Art. 6 Abs. 4
1. Erwägungsgründe
2. BDSG n.F
3. Normengenese und -umfeld
a) DSRL
b) BDSG a.F
c) WP der Art.-29-Datenschutzgruppe
1. Einführung
a) Allgemeines
aa) Verbindung zwischen den Zwecken (Art. 6 Abs. 4 lit. a)
bb) Zusammenhang, in dem die personenbezogenen Daten erhoben wurden (Art. 6 Abs. 4 lit. b)
cc) Art der personenbezogenen Daten (Art. 6 Abs. 4 lit. c)
dd) Mögliche Folgen der beabsichtigten Weiterverarbeitung (Art. 6 Abs. 4 lit. d)
ee) Vorhandensein geeigneter Garantien (Art. 6 Abs. 4 lit. e)
ff) Sonstige Kriterien, insbesondere „Informationspflicht“
3. Weiterverarbeitung gem. Art. 5 Abs. 1 lit. b
4. Vorschriften zur Zweckänderung im BDSG n.F
a) Verhältnis zwischen DS-GVO und nationalem Recht
b) Allgemeines zu §§ 23 ff. BDSG n.F
aa) Allgemeines
bb) Norminhalt des § 23 Abs. 1 BDSG
(1) Interesse der betroffenen Person (§ 23 Abs. 1 Nr. 1 BDSG)
(2) Überprüfung von Angaben der betroffenen Person (§ 23 Abs. 1 Nr. 2 BDSG)
(3) Gefahrenabwehr (§ 23 Abs. 1 Nr. 3 BDSG)
(4) Straftaten und Ordnungswidrigkeiten (§ 23 Abs. 1 Nr. 4 BDSG)
(5) Beeinträchtigung der Rechte einer anderen Person (§ 23 Abs. 1 Nr. 5 BDSG)
(6) Aufsichts- und Kontrollbefugnisse, Rechnungsprüfung (§ 23 Abs. 1 Nr. 6 BDSG)
cc) Norminhalt des § 23 Abs. 2 BDSG
aa) Allgemeines
bb) Norminhalt des § 24 Abs. 1 BDSG
(1) Gefahrenabwehr und Strafverfolgung (§ 24 Abs. 1 Nr. 1 BDSG)
(2) Zivilrechtliche Ansprüche (§ 24 Abs. 1 Nr. 2 BDSG)
cc) Norminhalt des § 24 Abs. 2 BDSG
e) § 49 BDSG n.F
a) Definition von „Big Data“
b) Praktischer Bedarf nach Big Data-Anwendungen
c) „Big Data“ und die DS-GVO
d) „Big Data“ und Zweckänderung
1. Relevanz für öffentliche Stellen
2. Relevanz für nichtöffentliche Stellen
3. Relevanz für betroffene Personen
4. Relevanz für Aufsichtsbehörden
5. Relevanz für das Datenschutzmanagement
§ 4 BDSG Videoüberwachung öffentlich zugänglicher Räume
Kommentierung
1. Herkunft und Struktur der Regelung
2. Vereinbarkeit mit der DS-GVO
3. Zulässigkeit der Videoüberwachung (Abs. 1)
a) Aufgabenwahrnehmung öffentlicher Stellen (Nr. 1)
b) Hausrecht (Nr. 2)
c) Berechtigte Interessen (Nr. 3)
d) Grenzen des berechtigten Interesses
e) Hilfsweise Legitimation der Videoüberwachung über Art. 6 Abs. 1 lit. f (Ansatz der DSK)
4. Informationspflicht (Abs. 2 und 4)
a) Vereinbarkeit der Informationspflicht mit der DS-GVO
b) Zeitpunkt der Information
aa) Abs. 2
bb) Abs. 4
d) Art und Weise der Informationsgewährung
5. Zweckbindung (Abs. 3)
6. Pflicht zur Löschung (Abs. 5)
1. Geldbuße
2. Beweisverwertung
§ 25 BDSG Datenübermittlungen durch öffentliche Stellen
Kommentierung
A. Einordnung und Hintergrund
I. Verhältnis zu §§ 3 und 23, 24 BDSG
1. Verhältnis zu § 3 BDSG
2. Verhältnis zu § 23 BDSG
3. Verhältnis zu § 24 BDSG
II. Datenübermittlung an öffentliche Stellen (§ 25 Abs. 1 BDSG)
a) Regelungsbereich
b) Zulässigkeitstatbestände
2. § 25 Abs. 1 S. 2, 3 BDSG: Zweckändernde Weiterverarbeitung
III. Datenübermittlung an nicht öffentliche Stellen (§ 25 Abs. 2 BDSG)
1. § 25 Abs. 2 S. 1 BDSG: Zulässigkeit der Datenübermittlung
2. § 25 Abs. 2 S. 2 BDSG: Zweckändernde Weiterverarbeitung
IV. Datenübermittlung besonderer Kategorien (§ 25 Abs. 3 BDSG)
V. Benachrichtigungspflichten bei zweckändernder Übermittlung
Anmerkungen
Artikel 7 Bedingungen für die Einwilligung
Kommentierung
A. Einordnung und Hintergrund
I. Art. 7 – Allgemein
1. Art. 7 im Gesamtkontext der DS-GVO
a) Definition der Einwilligung in Art. 4 Nr. 11
b) Sonderregelung für Kinder in Art. 8
c) Bedeutung für Art. 6
d) Übergangsregelung für Alteinwilligungen (ErwG 171)
e) Sanktion des Art. 83 Abs. 5 lit. a
f) Die Rechtsnatur der Einwilligung[12]
g) Vorgaben aus dem informationellen Selbstbestimmungsrecht und aus Art. 8 Abs. 1 GRCh
2. Beweislast
3. Informiertheit und Transparenz
a) Transparenz
b) Hervorhebung
aa) Gestalterisch
bb) Inhaltlich
c) Rechtsfolge bei Verstoß (Art. 7 Abs. 2 S. 2)
5. Form
a) Kein Schriftformerfordernis
b) Einwilligungserklärungen bei Einholung auf elektronischem Wege
c) Verständliche und leicht zugängliche Form sowie klare und einfache Sprache
d) Konkludente Einwilligung und ihre Grenzen
a) Freie Widerrufbarkeit
aa) Ex nunc-Wirkung
bb) Art. 17 Abs. 1 lit. b
cc) Einschränkungen der freien Widerrufbarkeit
7. Art. 7 Abs. 4: Freiwilligkeit und Zwanglosigkeit
a) Freiwilligkeit
b) Kopplungsverbot
c) Kein absolutes Kopplungsverbot
d) Grenze der Unzulässigkeit
e) Kopplung bei entgeltfreier Vertragsleistung?
f) Kopplung bei klarem Ungleichgewicht (ErwG 43)
8. Verhältnis zu § 13 Abs. 2 TMG und § 94 TKG
Anmerkungen
Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normgenese und -umfeld
I. Allgemein
1. Begrenzter Anwendungsbereich (Abs. 1 UAbs. 1 S. 1)
a) Einwilligungsbasierte Datenverarbeitung i.S.v. Art. 6 Abs. 1 lit. a
aa) Begriffsbestimmung durch Rechtsvorschriften
bb) Nähere Konkretisierung
c) Direkt an Kinder gerichtetes Angebot
aa) „Kind“ i.S.d. Art. 8
bb) Direktes Angebot
(1) Spezifische Adressierung von Minderjährigen
(2) „Dual Use“
(3) Spezifische Adressierung von Erwachsenen
a) Allgemein
b) Träger der elterlichen Verantwortung
c) Einwilligung für das Kind
d) Zustimmung des Trägers der elterlichen Verantwortung
e) Form der Einwilligung
3. Rechtsfolgen
III. Öffnungsklausel (Abs. 1 UAbs. 2)
1. Allgemein
2. Anforderungen an die Nachprüfung
3. Nachweis- und Dokumentationspflicht
4. Rechtsfolgen
V. Fortgeltung des allgemeinen Vertragsrechts (Abs. 3)
I. Relevanz für öffentliche Stellen
1. Allgemein
2. Eingeschränkte Fortgeltung bisher erteilter Einwilligungen
a) Einordnung als „Dienst der Informationsgesellschaft“
aa) Erfordernis und Anforderungen an die Altersabfrage des Nutzers
(1) Minderjährige Nutzer im Alter von 16 bis 18 Jahren
(2) Minderjährige Nutzer im Alter bis zu 16 Jahren
(a) Double-Opt-in-Verfahren
(b) Weitere Möglichkeiten
(c) Orientierung an der Praxis zu COPPA
(d) Beispiel der Art.-29-Datenschutzgruppe
4. Anbieter von grenzüberschreitenden Diensten
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten[1]
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe[12]
II. BDSG n.F
1. DSRL
2. Entstehungsgeschichte von Art. 9
3. BDSG a.F. und sonstige Vorschriften
4. Systematik innerhalb der DS-GVO und Verhältnis zu anderen Vorschriften
I. Allgemeines und Regelungszweck
II. Normadressaten
III. Besondere Kategorien personenbezogener Daten
1. Grundsätzliches Verbot der Verarbeitung nach Art. 9 Abs. 1
a) Rassische und ethnische Herkunft
b) Politische Meinungen
c) Religiöse oder weltanschauliche Überzeugungen
d) Gewerkschaftszugehörigkeit
e) Genetische, biometrische oder Gesundheitsdaten
aa) Genetische Daten
bb) Biometrische Daten
cc) Gesundheitsdaten
f) Daten zum Sexualleben oder der sexuellen Orientierung
g) Bezüge zum BDSG n.F. – Kommentierung § 22 BDSG n.F. – Verarbeitung besonderer Kategorien personenbezogener Daten
2. Ausnahmen und Erlaubnisvorbehalt nach Art. 9 Abs. 2
a) Einwilligung (Art. 9 Abs. 2 lit. a)
b) Arbeitsrecht und Sozialrecht (Art. 9 Abs. 2 lit. b)
c) Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c)
d) Privilegierung von Non-Profit-Organisationen (NGO) und Tendenzbetrieben (Art. 9 Abs. 2 lit. d)
e) Offensichtlich öffentlich gemachte Daten (Art. 9 Abs. 2 lit. e)
f) Durchsetzung von Rechtsansprüchen und justizielle Tätigkeiten (Art. 9 Abs. 2 lit. f)
g) Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g)
h) Gesundheitsversorgung (Art. 9 Abs. 2 lit. h)
i) Öffentliches Interesse im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i)
j) Archivierungs-, Forschungs- und statistische Zwecke (Art. 9 Abs. 2 lit. j)
3. Verarbeitung nach Art. 9 Abs. 3
4. Zusätzliche Bedingungen nach Art. 9 Abs. 4
a) Kommentierung zu § 27 BDSG n.F. – Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
b) Kommentierung zu § 28 BDSG n.F. – Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
Anmerkungen
Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Kommentierung
A. Einordnung und Hintergrund
I. Daten zur strafrechtlichen Verurteilung und Straftaten
1. Behördliche Aufsicht
2. Regulierung
3. Register
C. Praxishinweis – Relevanz
D. Sanktionen
Anmerkungen
Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Kommentierung
I. BDSG n.F
1. DSRL
2. BDSG a.F
I. Allgemeines (Art. 11)
1. Anwendungsbereich
2. Pflichten für den Verantwortlichen
3. Auswirkungen auf den Betroffenen
4. Informationspflicht bei Bildaufnahmen
a) Nachweispflicht
aa) Pflicht für den Verantwortlichen
bb) Form der Information
cc) Ausnahmen
2. Wahrnehmung von Betroffenenrechten (Abs. 2 S. 2)
IV. Sanktionen
I. Relevanz für nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
Anmerkungen
Kapitel III Rechte der betroffenen Person
Abschnitt 1 Transparenz und Modalitäten
Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Kommentierung
1. ErwG 58
2. ErwG 59
3. ErwG 60
4. ErwG 63
II. Normgenese und -umfeld
I. Allgemeines
II. Anwendungsbereich
III. Transparenzgebot (Abs. 1)
1. Anwendungsbereich
2. Art und Weise
3. Maßstab
4. Form
5. Rechtsfolgen einer Verletzung
IV. Rechtewahrnehmung (Abs. 2)
1. Pflicht zur Erleichterung
2. Ausnahme bei mangelnder Identifizierbarkeit
V. Unterrichtung über Abhilfemaßnahmen i.R.d. Rechtewahrnehmung (Abs. 3)
VI. Unterrichtung über die Nichtabhilfe i.R.d. Rechtewahrnehmung (Abs. 4)
VII. Unentgeltlichkeit (Abs. 5)
VIII. Zweifel an der Identität (Abs. 6)
IX. Bildsymbole (Abs. 7)
X. Ermächtigung der Kommission (Abs. 8)
XI. DS-GVO und BDSG n.F
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. DSRL – alte RL 95/46/EG
a) §§ 4 Abs. 3, 19a, 33 BDSG a.F. als „Entsprechung“ zu Art. 13, 14
b) Änderungen im Vergleich zu den bisher geltenden Informationspflichten
3. WP der Art.-29-Datenschutzgruppe und Düsseldorfer Kreis
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
1. Ursprung und Abgrenzung zu Art. 14
2. Direkterhebung
3. Öffnungsklauseln
4. Ausnahmen
1. Allgemeines zu den Informationsgehalten
a) Leichte Verständlichkeit
b) Leicht zugängliche Form
c) Bildsymbole
d) Art und Weise der Informationsgewährung – Unverzichtbarkeit von Medienbrüchen
e) Gestufte Informationsgewährung
aa) Informationen der ersten Stufe
bb) Informationen der zweiten Stufe
f) Bereitstellung der Information
3. Zeitpunkt der Information
4. Einzelne Informationsgehalte
a) Name und Kontaktdaten (lit. a)
b) Kontaktdaten des Datenschutzbeauftragten (lit. b)
c) Zweckbindungsgrundsatz (lit. c)
d) Verfolgung berechtigter Interessen (lit. d)
e) Empfänger oder Kategorien von Empfängern (lit. e)
f) Übermittlung in Drittländer/an internationale Organisationen (lit. f)
1. Allgemeines zu der Pflicht zur Mitteilung von weiteren Informationen
a) Dauer der Speicherung (lit. a)
b) Bestehen einzelner Betroffenenrechte (lit. b)
c) Recht auf Widerruf der Einwilligung
d) Beschwerderecht bei einer Aufsichtsbehörde
e) (Nicht-)Bestehen einer Bereitstellungspflicht (lit. e)
f) Automatisierte Entscheidungsfindung (lit. f)
V. Verarbeitung zu anderen Zwecken (Abs. 3)
a) Relevante Informationen sind dem Betroffenen bereits bekannt
b) Ausnahmen aus den Erwägungsgründen
2. BDSG n.F
a) Ausnahme von der Informationspflicht bei Zweckänderung (§ 29 Abs. 2 BDSG n.F.)
b) Ausnahmen von der Informationspflicht bei Zweckänderung (§ 32 BDSG n.F.)
(1) Analog gespeicherte Daten
(2) Aufgabengefährdung
(3) Öffentliche Sicherheit und sonstige Nachteile
(4) Beeinträchtigung rechtlicher Ansprüche
(5) Gefährdung vertraulicher Übermittlung
bb) § 32 Abs. 2 BDSG n.F
cc) § 32 Abs. 3
c) Ausnahmen von der Informationspflicht gem. § 86 Abs. 2 BDSG n.F
VII. Sanktionen
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
a) Nahelegung in ErwG 58
b) Art.-29-Datenschutzgruppe WP 100
c) Datenschutzkonferenz (DSK)
d) GDD
2. Checkliste – Inhalte
3. Informationspflichten bei Fotos
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Kommentierung
Vorbemerkung zu Art. 14
I. Erwägungsgründe
II. BDSG n.F
1. DSRL – alte RL 95/46/EG
a) §§ 4 Abs. 3, 19a, 33 BDSG a.F. als „Entsprechung“ zu Art. 13, 14
b) Änderungen im Vergleich zu den bisher geltenden Informationspflichten
3. WP der Art.-29-Datenschutzgruppe und Düsseldorfer Kreis
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
1. Ursprung und Abgrenzung zu Art. 13
2. Öffnungsklauseln
3. Ausnahmen
1. Allgemeines zu den Informationsgehalten
2. Auswirkungen des Unterschieds im Vergleich zu Art. 13
a) Leichte Verständlichkeit
b) Leicht zugängliche Form
c) Bildsymbole
d) Bereitstellung der Information
4. Einzelne Informationsgehalte
a) Name und Kontaktdaten (lit. a)
b) Kontaktdaten des Datenschutzbeauftragten (lit. b)
c) Zweckbindungsgrundsatz (lit. c)
d) Kategorien personenbezogener Daten (lit. d)
e) Empfänger oder Kategorien von Empfängern (lit. e)
f) Übermittlung in Drittländer/an internationale Organisationen (lit. f)
1. Allgemeines zu der Pflicht zur Mitteilung von weiteren Informationen
2. Einzelne Informationsgehalte
a) Dauer der Speicherung (lit. a)
b) Verfolgung berechtigter Interessen (lit. b)
c) Bestehen einzelner Betroffenenrechte (lit. c)
d) Recht auf Widerruf der Einwilligung (lit. d)
e) Beschwerderecht bei einer Aufsichtsbehörde (lit. e)
f) Quelle der personenbezogenen Daten (lit. f)
g) Automatisierte Entscheidungsfindung (lit. g)
V. Zeitpunkt der Information (Abs. 3)
VI. Verarbeitung zu anderen Zwecken (Abs. 4)
a) Allgemeines
b) Bereits vorhandene Informationen (lit. a)
c) Unmöglichkeit oder Unverhältnismäßigkeit (lit. b)
d) Ausdrückliche Regelung im Unionsrecht oder dem Recht der Mitgliedstaaten (lit. c)
e) Berufsgeheimnis (lit. d)
a) Ausnahmen von der Informationspflicht gem. § 29 Abs. 1 S. 1 BDSG n.F
(a) Ausnahmen für öffentliche Stellen (§ 33 Abs. 1 Nr. 1 lit. a und b BDSG n.F.)
(b) Ausnahmen für nichtöffentliche Stellen (§ 33 Abs. 1 Nr. 2 lit. a und b BDSG n.F.)
bb) § 33 Abs. 2 BDSG n.F
cc) § 33 Abs. 3 BDSG n.F
dd) Verweis in § 33 Abs. 1 BDSG n.F. auf § 29 Abs. 1 S. 1 BDSG n.F
VIII. Sanktionen/Durchsetzung
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 15 Auskunftsrecht der betroffenen Person[1]
Kommentierung
A. Einordnung und Hintergrund
B. Kommentierung
I. Antrag des Betroffenen
1. Betroffener selbst
2. Inhalt des Antrags
II. Erteilen
III. Negativauskunft
IV. Fristen
V. Form, Kosten
VI. Identifizierbarkeit der betroffenen Person
VII. Umfang
VIII. Konkrete Anforderungen an die Inhalte der Auskunft
1. Verarbeitungszwecke
2. Datenkategorien
3. Kategorien von Empfängern
4. Dauer der Speicherung
5. Betroffenenrechte
6. Herkunftsangabe
7. Automatisierte Entscheidungsfindung
IX. Drittlandtransfers
X. Herausgabe von Kopien
C. Kommentierung BDSG n.F
I. § 27 BDSG n.F
II. § 28 BDSG n.F
III. § 29 BDSG n.F
IV. § 30 BDSG
V. § 34 BDSG
§ 30 BDSG Verbraucherkredite
Kommentierung
A. Einordnung und Hintergrund
I. Datenschutzrechtliche Relevanz
II. Gleichbehandlungsgebot (Abs. 1)
III. Transparenzgebot (§ 30 Abs. 2 BDSG)
§ 34 BDSG Auskunftsrecht der betroffenen Person
Kommentierung
A. Einordnung und Hintergrund
1. Verweis auf § 33 BDSG (§ 34 Abs. 1 Nr. 1)
2. Fehlender Verweis auf § 33 Abs. 1 Nr. 2 lit. a BDSG
3. Aufbewahrungspflichten und Datensicherung (§ 34 Abs. 1 Nr. 2 BDSG)
II. Modalitäten der Auskunftsverweigerung (§ 34 Abs. 2 BDSG)
III. Auskunft an den/die BfDI (Abs. 3)
IV. Mitwirkungspflichten bei nicht automatisierter Verarbeitung durch öffentliche Stellen (§ 34 Abs. 4 BDSG)
Anmerkungen
Abschnitt 3 Berichtigung und Löschung
Artikel 16 Recht auf Berichtigung
Kommentierung
1. DSRL
2. BDSG a.F
I. Art. 16 Allgemein
a) Tatsachen
b) Unrichtigkeit
c) Non liquet
d) Auswirkung auf „Fake News“, Äußerungsrecht und das NetzDG
e) Aktivlegitimation der Berichtigungspflicht
a) Unvollständigkeit
b) Zweckbindung
c) Ergänzende Erklärung
3. Unverzügliche Berichtigung
4. Beschränkungen
a) Adressat der Verpflichtung
b) Darlegungs- und Beweislast
c) Rechtsschutz
I. Relevanz für betroffene Personen
II. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“)
Kommentierung
I. Hintergrund
II. Einordnung
III. Grundlage
IV. Rechtslage nach BDSG n.F
V. Bisherige EU-Rechtslage
I. Recht auf Löschung gem. Art. 17 Abs. 1
1. Anspruchsberechtigter
2. Anspruchsgegner
3. Die Löschungsgründe des Art. 17 Abs. 1 lit. a–f
a) Zweckerfüllung der Verarbeitung gem. Abs. 1 lit. a
b) Widerruf der Einwilligung gem. Abs. 1 lit. b
c) Widerspruch der betroffenen Person gegen die Verarbeitung gem. Abs. 1 lit. c
d) Unrechtmäßige Verarbeitung gem. Abs. 1 lit. d
e) Rechtspflicht zur Löschung gem. Abs. 1 lit. e
f) Datenerhebung bei Kindern für Dienste der Informationsgesellschaft gem. Abs. 1 lit. f
a) Begriff des Löschens
b) Löschen und das sog. Recht auf Vergessenwerden
c) Löschen und Big Data-Anwendungen
d) Unverzüglich
e) Ausübung des Löschungsrechts
1. Allgemeines
2. Tatbestandsvoraussetzungen des Abs. 2
III. Ausnahmetatbestände gem. Art. 17 Abs. 3
1. Recht auf freie Meinungsäußerung und Information gem. Abs. 3 lit. a
2. Erfüllung einer rechtlichen Verpflichtung gem. Art. 17 Abs. 3 lit. b
3. Öffentliche Gesundheit gem. Art. 17 Abs. 3 lit. c
4. Archiv-, Forschungs- und statistische Zwecke gem. Art. 17 Abs. 3 lit. d
5. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gem. Art. 17 Abs. 3 lit. e
6. Weitere Einschränkungsregelungen
I. Probleme und Lösungsansätze der Löschpflicht in der Unternehmenspraxis
II. Komplexität und Interaktion moderner Datenbankstrukturen
III. Beispiel: HR-Software
IV. Beispiele für Interaktion von Datenbanken und unterschiedlicher Software
V. Wirtschaftliche Unmöglichkeit des „chirurgischen“ Löschens in Backups
VI. Kann man löschen, was eine KI gelernt hat?
VII. Datenbankstrukturen in einer Microservices-Architektur
VIII. Software sieht bis dato nur selten „Lösch-Funktion“ vor
IX. Keine allgemeine Angemessenheits- bzw. Zumutbarkeitsschwelle im BDSG n.F
X. Rechtliche Lösung über nationale Aufbewahrungspflichten
XI. Reichweite der handels- und steuerrechtlichen Aufbewahrungspflichten („Radierverbot“)
XII. Löschkonzepte nach DIN 66398
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
§ 35 BDSG Recht auf Löschung
Kommentierung
I. Allgemeines
II. Ausnahme bei hohem Aufwand nicht automatisch gespeicherter Daten (Abs. 1)
1. Gesetzesentwicklung
2. Einzelfragen
III. Ausnahme bei Zweckerfüllung und unrechtmäßiger Datenverarbeitung (Abs. 2)
IV. Satzungsmäßige oder vertragliche Aufbewahrungsfristen (Abs. 3)
V. Unionsrechtskonformität
Anmerkungen
Artikel 18 Recht auf Einschränkung der Verarbeitung
Kommentierung
I. BDSG n.F
1. DSRL
2. BDSG a.F
1. Grundlagen von Art. 18
2. Beziehung zum Zweckbindungsgrundsatz und zur Dokumentationspflicht
II. Voraussetzungen für die Einschränkung der Datenverarbeitung
1. Bestrittene Richtigkeit der Daten (Abs. 1 lit. a)
2. Unrechtmäßige Datenverarbeitung (Abs. 1 lit. b)
3. Zur Geltendmachung von Rechtsansprüchen (Abs. 1 lit. c)
4. Im Rahmen der Einlegung eines Widerspruchs (Abs. 1 lit. d)
5. Rechtsfolge
6. Probleme bei komplexen Datenbankstrukturen und ungeeigneter Software
1. Ausnahmetatbestände
2. Erforderlichkeit
IV. Beschränkungen durch nationalen Gesetzgeber
V. Informationspflicht (Abs. 3)
VI. Rechtsschutz und Sanktionen
Anmerkungen
Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
1. DSRL
2. BDSG a.F
I. Art. 19 Allgemein
II. Nachberichtspflicht bei Ausschluss der Informationspflicht
III. Ausschluss der Informationspflicht
1. Unmöglichkeit
2. Unverhältnismäßiger Aufwand
3. Entgegenstehende Interessen des Betroffenen
IV. Empfänger
V. Art und Weise der Informationspflicht (S. 1)
VI. Unterrichtungspflicht (S. 2)
VII. Beschränkungen
VIII. Rechtsschutz und Sanktionen
Anmerkungen
Artikel 20 Recht auf Datenübertragbarkeit
Kommentierung
I. Erwägungsgrund 68
II. BDSG
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe/Beschlüsse des DD-Kreises
I. Überblick und Regelungsgehalt
1. Entstehungsgeschichte
2. Systematische Einordnung des Rechts auf Datenübertragbarkeit
3. Ratio legis, Wirkungen und Kritik
4. Ausblick
III. Berechtigte des Rechts auf Datenübertragbarkeit
1. Verantwortliche
2. Gemeinsam Verantwortliche
3. Auftragsverarbeiter
V. Daten, die Gegenstand des Rechts auf Datenübertragung sind
1. Personenbezogenen Daten, die die betroffene Person betreffen (Abs. 1)
2. Dem Verantwortlichen bereitgestellte personenbezogene Daten (Abs. 1)
a) Von betroffenen Personen gemachte Angaben
b) Während der Vertragslaufzeit bzw. der Dauer einer bestehenden Einwilligung aggregierte personenbezogene Daten
aa) Aktives Handeln betroffener Personen
bb) Automatisiert ablaufende Datenerfassung und -übermittlung
cc) Durch Verantwortliche neu generierte Daten
c) Gelöschte Daten
d) Umfang der Daten
3. Verarbeitung beruht auf einer Einwilligung oder auf einem Vertrag (Abs. 1 lit. a)
a) Einwilligung
b) Vertrag
c) Sonstige Fälle rechtmäßiger Verarbeitung von personenbezogenen Daten ausgeschlossen
d) Rechtswidrige Verarbeitung von personenbezogenen Daten
4. Verarbeitung mithilfe automatisierter Verfahren (Abs. 1 lit. b)
VI. Recht auf Erhalt der personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Abs. 1)
1. Strukturiertes Format
2. Gängiges Format
3. Maschinenlesbares Format
4. Interoperables Format?
5. Antrag und Fristen
VII. Recht auf Übermittlung ohne Behinderung (Abs. 1)
VIII. Recht auf Erwirkung der direkten Übermittlung (Abs. 2)
1. Die zu übermittelnden Daten und das zu verwendende Format
2. Soweit dies technisch möglich ist
3. Die Rolle des anderen (zweiten) Verantwortlichen
IX. Recht auf Löschung/Vergessenwerden bleibt unberührt (Abs. 3 S. 1)
X. Verarbeitungen im öffentlichen Interesse und in Ausübung öffentlicher Gewalt (Abs. 3 S. 2)
XI. Rechte und Freiheiten anderer Personen dürfen nicht beeinträchtigt werden (Abs. 4)
1. Andere Personen
a) Grundrechte und Grundfreiheiten nach der DS-GVO
b) Sonstige Rechte
c) Beeinträchtigung
d) Verpflichtete zur Verhinderung von Beeinträchtigungen
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für Datenschutzmanagement
Anmerkungen
Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Artikel 21 Widerspruchsrecht
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe
II. BDSG 2018
1. DSRL
2. BDSG a.F
3. Materialien
I. Allgemeiner Widerspruch gegen Datenverarbeitung und Profiling (Abs. 1)
1. Anwendungsbereich des allgemeinen Widerspruchs
2. Widerspruchsvoraussetzungen bzw. Aktivlegitimation
a) Beweggrund „besondere Situation“
b) Personenbezogene Daten, die den Widerspruchführer betreffen („sie betreffender personenbezogener Daten“)
3. Form- und fristlose Widerspruchseinlegung/Unentgeltlichkeit
4. Wirkung des Widerspruchs sowie Verarbeitung trotz Widerspruchs (Abs. 1 S. 2)
a) Unmittelbare Wirkung des Widerspruchs durch bloße Einlegung
b) Inhaltliche und rechtliche Prüfung des Widerspruchs
c) Verbotsausnahmen (Abs. 1 S. 2)
aa) Das Betroffeneninteresse überwiegende zwingende Gründe (Abs. 1 S. 2 Alt. 1)
bb) Überwiegendes öffentliches Interesse (§ 36 BDSG)
cc) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Abs. 1 S. 2 Alt. 2)
dd) Pflichten des Verantwortlichen bei Nichtabhilfe des Widerspruchsbegehrens
aa) Rechtsfolge des absoluten Verarbeitungsverbots
bb) Betroffenenrecht auf Löschung bzw. Löschpflicht des Verantwortlichen
cc) Recht des Betroffenen auf Einschränkung der Verarbeitung statt Löschung
dd) Nebenpflichten bei begründetem Widerspruch
II. Widerspruch gegen Direktmarketing (Abs. 2 Hs. 1) und diesbezügliches Profiling (Abs. 2 Hs. 2)
1. Anwendungsbereich und Widerspruchsvoraussetzungen des Werbewiderspruchs
a) „Direktwerbung“
b) Erforderlichkeit der Datenverarbeitung zum Betrieb der Direktwerbung
2. Form und Frist
3. Rechtsfolge eines Werbewiderspruchs (Abs. 3)
III. Hinweispflicht (Abs. 4)
1. Normadressaten
2. Zeitpunkt der Hinweiserteilung
3. Anforderungen an Form und Inhalt des Pflichthinweises
4. Grundsätzliche prozedurale Vorgaben nach Art. 12
IV. Widerspruch mittels automatisierten Verfahren (Abs. 5)
1. Im Zusammenhang mit der Nutzung eines Diensts der Informationsgesellschaft
2. Verwendung technischer Spezifikationen
V. Widerspruch gegen Verarbeitungen im Kontext von Forschung und Statistik (Abs. 6)
1. Anwendungsbereich
2. Widerspruchsvoraussetzungen bzw. Aktivlegitimation
3. Begründetheit des Widerspruchs
a) „erforderlich zur Erfüllung einer im öffentliche Interesse liegenden Aufgabe“
b) Privilegierung bei Unmöglichmachung bzw. Beeinträchtigung des Verarbeitungszwecks
c) Privilegierung im öffentlichen Interesse liegender Archivzwecke (§ 28 Abs. 4 BDSG n.F.)
4. Rechtsfolge des Forschungs- und Statistik-Widerspruchs nach Abs. 6
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
VI. Relevanz im Hinblick auf Sanktionen
Anmerkungen
Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe
4. Ausblick/Kritik
1. Normzweck (Abs. 1)
2. „Entscheidung“ im Sinne von Art. 22 Abs. 1
a) „Entscheidung“
b) Unterwerfung des Betroffenen
c) Rechtliche und faktische Auswirkungen der automatisierten Einzelfallentscheidung
aa) „rechtliche Wirkung“ (Alt. 1)
bb) „in ähnlicher Weise erheblich beeinträchtigen“ (Alt. 2)
d) „ausschließlich auf einer automatisierten Verarbeitung beruhend“
aa) „automatisierte Verarbeitung – einschließlich Profiling“
bb) „einschließlich Profiling“
cc) „Ausschließliches Beruhen“
II. Abs. 1 zzgl. BDSG n.F
III. Ausnahmen vom Verarbeitungsverbot (Abs. 2)
1. Erforderlich zum Vertragserfüllung (Abs. 2 lit. a)
2. Europäische oder nationalstaatliche erlaubende Rechtsvorschrift (Abs. 2 lit. b)
3. Ausdrückliche Einwilligung (Abs. 2 lit. c)
IV. Abs. 2 zzgl. BDSG n.F
1. Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften (§ 31 BDSG)
2. Zulässigkeit des Scoring (§ 31 Abs. 1)
a) „Verwendung“ im Sinne des § 31 Abs. 1 BDSG
b) Zweckbestimmung der Verwendung des Wahrscheinlichkeitswerts
3. Zulässigkeit der Verwendung von forderungsbezogenem Scoring durch Auskunfteien (§ 31 Abs. 2)
a) Anwendungsbereich des Abs. 2
b) „Auskunfteien“
c) „Verwendung“ im Sinne von § 31 Abs. 2 BDSG
V. Verpflichtende Schutzmaßnahmen des Verantwortlichen (Abs. 3)
1. Mindestmaßnahmen
a) Erwirkung des Eingreifens einer natürlichen Person seitens des Verantwortlichen
b) Recht auf Darlegung des eigenen Standpunkts
c) Recht auf Anfechtung der Entscheidung
2. Fakultative Schutzmaßnahmen
VI. Abs. 3 bzgl. BDSG n.F
VII. Verbot und Ausnahmen in Bezug auf besondere Kategorien personenbezogener Daten (Abs. 4)
1. Qualifizierte Einwilligung (Art. 9 Abs. 2 lit. a)
2. „Vorrangige Rechtsvorschrift der EU oder eines Mitgliedstaats“ (Art. 9 Abs. 2 lit. g)
3. „angemessene Schutzmaßnahmen“
VIII. Abs. 4 bzgl. BDSG n.F
1. Hinweispflicht auf Betroffenenrechte nach § 37 Abs. 1 Nr. 2 Hs. 2
2. § 37 Abs. 2
I. Relevant für öffentliche Stellen
II. Relevant für nichtöffentliche Stellen
III. Relevant für betroffene Personen
IV. Relevant für Aufsichtsbehörden
V. Relevant für das Datenschutzmanagement
VI. Sanktionen
D. Appendix – Synopse § 31 Abs. 2 BDSG n.F. und § 28a Abs. 1 BDSG a.F
Anmerkungen
Abschnitt 5 Beschränkungen
Artikel 23 Beschränkungen
Kommentierung
I. Erwägungsgründe
II. Normengenese und -umfeld
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
II. Beschränkungstatbestände und deren Grenzen (Abs. 1)
1. Regelungen auf Unionsebene und nationaler Ebene
2. Abweichungsfähige Rechte und Pflichten
a) Abweichungsfähige Rechte und Pflichten nach Kapitel III (Art. 12–22)
b) Abweichungsfähige Rechte und Pflichten nach Art. 34
c) Abweichungsfähige Rechte und Pflichten nach Art. 5
3. Regelungsform
4. Katalog der Beschränkungszwecke
a) Nationale Sicherheit (lit. a)
b) Landesverteidigung (lit. b)
c) Öffentliche Sicherheit (lit. c)
d) Verhütung und Verfolgung von Straftaten, Strafvollstreckung, Gefahrenabwehr (lit. d)
e) Schutz wichtiger Interessen der Union und der Mitgliedstaaten (lit. e)
f) Schutz von richterlicher Unabhängigkeit und von Gerichtsverfahren (lit. f)
g) Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe (lit. g)
h) Kontroll-, Überwachungs- und Ordnungsfunktionen in Ausübung öffentlicher Gewalt (lit. h)
i) Schutz betroffener Personen oder Rechte und Freiheiten anderer Personen (lit. i)
j) Durchsetzung zivilrechtlicher Ansprüche (lit. j)
5. Begrenzung durch den Wesensgehalt der Grundrechte und Grundfreiheiten und den Grundsatz der Verhältnismäßigkeit
a) Achtung des Wesensgehaltes der Grundrechte und Grundfreiheiten
b) Grundsatz der Verhältnismäßigkeit
III. Inhaltliche Mindestanforderungen an beschränkende Rechtsvorschriften
1. Beschreibung der Datenverarbeitung nach Zweck, Art der Daten und den Verantwortlichen
2. Umfang der Beschränkung
3. Kompensatorische Verfahrensgarantien und Schutzvorkehrungen
IV. § 4 BDSG als Anwendungsfall der Beschränkung nach Art. 23 DS-GVO
V. Kritik
Anmerkungen
Kapitel IV Verantwortlicher und Auftragsverarbeiter
Abschnitt 1 Allgemeine Pflichten
Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen
Kommentierung
I. Normzweck
II. Erwägungsgründe
1. DSRL und BDSG a.F
2. Änderungen im Gesetzgebungsverfahren
B. Kommentierung
I. Verantwortlicher als alleiniger Adressat
II. Verpflichtung zur verordnungsgemäßen Verarbeitung (Abs. 1)
1. Zweck der zu treffenden Maßnahmen
2. Umsetzung geeigneter Maßnahmen
3. Überprüfung und Aktualisierung der Maßnahmen
4. Kriterien für die Festlegung geeigneter Maßnahmen
a) Art, Umfang, Umstände und Zweck der Verarbeitung
b) Risiken für Rechte und Freiheiten natürlicher Personen
III. Verpflichtung zur Anwendung geeigneter Datenschutzvorkehrungen (Abs. 2)
1. Anwendung geeigneter Datenschutzvorkehrungen
2. Angemessenes Verhältnis zur Verarbeitungstätigkeit
IV. Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren (Abs. 3)
V. Rechtsfolgen bei Missachtung und Haftung des Verantwortlichen
C. Praxishinweise
Anmerkungen
Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Kommentierung
1. § 71 BDSG n.F
2. Keine weitergehende Präzisierung durch den nationalen Gesetzgeber
1. DSRL und BDSG a.F
2. Genese der Vorschrift
3. Systematischer Kontext
1. Ursprung des Konzepts
2. Datenschutz durch Technikgestaltung und organisatorische Maßnahmen
3. Konkretisierungsbedarf
1. Adressaten
2. Maßgeblicher Zeitpunkt
3. Einsatz geeigneter technischer und organisatorischer Maßnahmen (TOM)
4. Pseudonymisierung als potentiell geeignete technische Maßnahme
5. Weitere TOM nach ErwG 78
6. Aufnahme notwendiger Garantien
a) Stand der Technik
b) Implementierungskosten
c) Verarbeitungsmodus, Zweck und Risikoanalyse
8. Bewertung der Angemessenheit
1. Ratio und Anwendungsbereich
2. Adressaten und erforderliche Maßnahmen
IV. Art. 25 Abs. 3, Nachweis der Erfüllung
1. Bußgeld
2. Schadensersatz
3. Vertragsgestaltung
I. Leitlinien und Orientierungshilfen
II. Relevanz für öffentliche und nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 26 Gemeinsam Verantwortliche
Kommentierung
I. Normzweck
II. Erwägungsgründe
III. BDSG n.F
1. DSRL
2. BDSG a.F
3. Änderungen im Gesetzgebungsverfahren
4. Working Paper und Leitlinien der Art.-29-Datenschutzgruppe
5. Kurzpapier der Datenschutzkonferenz
a) Begriffsbestimmung
b) Vorhandensein mehrerer Verantwortlicher
c) Keine zwingende Notwendigkeit einer Datenschutz-Folgenabschätzung
2. Gemeinsame Entscheidung über Zwecke und Mittel
3. Rechtsprechung des EuGH zu gemeinsam Verantwortlichen
a) EuGH zu Facebook Fanpages (Wirtschaftsakademie)
b) EuGH zu Zeugen Jehovas
c) EuGH zu Fashion ID
4. Zusammenfassung und Bewertung
a) Kein Zugang zu personenbezogenen Daten erforderlich
b) Gemeinsame Zwecke sind nicht die Verarbeitungszwecke
c) Gemeinsame Entscheidung durch Beitragen zur Verarbeitung
d) Phasenweise Betrachtung statt gleichwertiger Verantwortlichkeit
e) Gemeinsame Entscheidung über Zwecke und Mittel erforderlich
f) Abschließende Bewertung der Rechtsprechung des EuGH
5. Keine Gesellschaftsgründung durch gemeinsam Verantwortliche
II. Abgrenzung zur Auftragsverarbeitung (Art. 28) und unterstellten Personen (Art. 29)
III. Keine Privilegierung der Offenlegung zwischen gemeinsam Verantwortlichen
1. Zwingende Vereinbarung (Abs. 1 S. 2)
2. Kein Vertrag erforderlich
3. Form der Vereinbarung und der zur Verfügung zu stellenden Inhalte
4. Transparenz der Vereinbarung
5. Inhalte der Vereinbarung
a) Festlegung der Verpflichtungen der gemeinsam Verantwortlichen (Abs. 2 S. 1)
b) Widerspiegeln der tatsächlichen Funktionen und Beziehungen (Abs. 2 S. 1)
c) Optionale Angabe einer Anlaufstelle (Abs. 1 S. 3) und Rechte betroffener Personen (Abs. 3)
6. Zur Verfügungstellen des Wesentlichen der Vereinbarung (Abs. 2 S. 2)
V. Geltendmachung von Rechten betroffener Personen (Abs. 3)
VI. Haftung der gemeinsam Verantwortlichen
VII. Rechtsfolgen bei Missachtung
1. Überprüfung sämtlicher Leistungsbeziehungen
2. Gemeinsame Nutzung von Infrastrukturen oder Services in Unternehmensgruppen
3. Fallbeispiele zu gemeinsam Verantwortlichen
4. Wesentliche Inhalte einer Vereinbarung nach Abs. 1 S. 2
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
Kommentierung
I. Normzweck
II. Erwägungsgründe
1. DSRL
2. BDSG a.F
3. Änderungen im Gesetzgebungsverfahren
4. Leitlinien des EDSA
I. Begriff Vertreter
1. Voraussetzungen für Benennungspflicht
a) Gegenstand der Schriftlichkeit
b) Begriff der Schriftlichkeit
3. Beendigung der Benennung
III. Ausnahmen von der Benennungspflicht (Abs. 2)
1. Ausnahme bei gelegentlicher Verarbeitung ohne Risiken für natürliche Personen (Abs. 2 lit. a)
a) Gelegentliche Verarbeitung
b) Keine umfangreiche Verarbeitung personenbezogener Daten i.S.v. Art. 9 Abs. 1 oder i.S.v. Art. 10
c) Voraussichtlich keine Risiken für Rechte und Freiheiten natürlicher Personen
2. Ausnahme bei Behörden oder öffentlichen Stellen (Abs. 2 lit. b)
IV. Niederlassungsort des Vertreters (Abs. 3)
V. Aufgaben des Vertreters (Abs. 4)
1. Gesetzliche Aufgaben des Vertreters
a) Erfüllung der Aufgaben entsprechend dem erteilten Mandat
b) Anlaufstelle für Fragen im Zusammenhang mit einer verordnungsgemäßen Verarbeitung
c) Vertretung des Verantwortlichen oder Auftragsverarbeiters
d) Zusammenarbeit mit den Aufsichtsbehörden bei Maßnahmen und Durchsetzungsverfahren
e) Führen und Zurverfügungstellen des Verzeichnisses von Verarbeitungstätigkeiten
f) Zustellungsbevollmächtigung nach § 44 Abs. 3 BDSG und § 81b Abs. 3 SGB X
2. Auftragsbezogene Aufgaben des Vertreters
3. Verantwortlichkeit des Vertreters gegenüber Dritten
a) Verantwortlichkeit für Zuwiderhandlungen des Verantwortlichen oder Auftragsverarbeiters
b) Verantwortlichkeit für eigene Zuwiderhandlungen des Vertreters
aa) Verantwortlichkeit des Vertreters gegenüber Verantwortlichem oder Auftragsverarbeiter
bb) Verantwortlichkeit des Vertreters gegenüber Dritten
cc) Verantwortlichkeit des Vertreters gegenüber Aufsichtsbehörden
dd) Verantwortlichkeit des Verantwortlichen oder Auftragsverarbeiters für Vertreter
VI. Abs. 5: Rechtliche Schritte gegen Vertretenen nach Benennung eines Vertreters
VII. Rechtsfolgen bei Missachtung
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 28 Auftragsverarbeiter
Kommentierung
I. Normzweck
II. Erwägungsgründe
III. BDSG
1. DSRL
2. BDSG a.F
3. Änderungen im Gesetzgebungsverfahren
4. Working Paper der Art.-29-Datenschutzgruppe
5. Kurzpapier der Datenschutzkonferenz
I. Einordnung der Auftragsverarbeitung
1. Begriffe Auftragsverarbeiter und Auftragsverarbeitung
2. Personenverschiedenheit von Verantwortlichem und Auftragsverarbeiter
3. Verarbeitung im Auftrag und Weisungsgebundenheit
a) Weisungsgebundenheit bei der Auftragsdatenverarbeitung nach § 11 Abs. 3 S. 1 BDSG a.F
b) Weisungsgebundenheit bei der Auftragsverarbeitung nach Art. 28
c) Weisungsgebundenheit und vertragliche Übermacht des Auftragsverarbeiters
d) Missachtung der Weisungsgebundenheit durch den Auftragsverarbeiter
e) Festlegung der (fehlenden) Weisungsgebundenheit durch den Gesetzgeber
4. Abgrenzung zu anderen Formen arbeitsteiliger Verarbeitung
a) Gemeinsam Verantwortliche (Art. 26)
b) Offenlegung gegenüber Dritten i.S.v. Art. 4 Nr. 10
c) Funktionsübertragung im BDSG a.F. und nach der DS-GVO
a) Niederlassung des Auftragsverarbeiters im Drittland
b) Anwendbarkeit der DS-GVO auf den Auftragsverarbeiter im Drittland
a) Keine Übermittlung personenbezogener Daten durch verantwortliche Stelle
b) Weitergabe personenbezogener Daten als privilegierte Nutzung durch verantwortliche Stelle
a) Offenlegung personenbezogener Daten gegenüber dem Auftragsverarbeiter
b) Rechtfertigung der Offenlegung als Voraussetzung einer Auftragsverarbeitung?
c) Annahme einer rechtlichen Privilegierung der Auftragsverarbeitung?
d) Art. 28 als selbstständige Erlaubnis für die Offenlegung bei der Auftragsverarbeitung?
e) Privilegierung aus der Gesamtbetrachtung der Verarbeitungstätigkeit
3. Privilegierung der Auftragsverarbeitung sowie Geheimhaltungs- oder Geheimnispflichten
1. Entsprechende Anwendung der Auftragsdatenverarbeitung gem. § 11 Abs. 5 BDSG a.F
2. Keine Regelung in der DS-GVO zu Prüfung und Wartung als Auftragsverarbeitung
3. Keine zwingende Auftragsverarbeitung bei Prüfung und Wartung
IV. Auswahl des Auftragsverarbeiters durch den Verantwortlichen (Abs. 1)
V. Inhalt des Vertrags oder anderen Rechtsinstruments zur Auftragsverarbeitung (Abs. 3)
1. Bindung des Auftragsverarbeiters in Bezug auf den Verantwortlichen (Abs. 3 S. 1)
2. Festlegungen zur Auftragsverarbeitung (Abs. 3 S. 1)
a) Gegenstand und Dauer der Verarbeitung
b) Art und Zweck der Verarbeitung
c) Art oder Kategorien der personenbezogenen Daten
d) Kategorien betroffener Personen
3. Festlegung der Pflichten und Rechte des Verantwortlichen (Abs. 3 S. 1)
4. Festlegung der Pflichten des Auftragsverarbeiters (Abs. 3 S. 2, 3)
a) Verarbeitung nur auf dokumentierte Weisung (Abs. 3 S. 2 lit. a, S. 3)
b) Gewährleistung der Vertraulichkeit der Verarbeitung (Abs. 3 S. 2 lit. b)
c) Ergreifen aller gem. Art. 32 erforderlichen Maßnahmen (Abs. 3 S. 2 lit. c)
d) Einhalten der Bedingungen für Unterauftragsverarbeiter (Abs. 3 S. 2 lit. d)
e) Unterstützung bei der Erfüllung von Rechten betroffener Personen (Abs. 3 S. 2 lit. e)
f) Unterstützung bei Einhaltung der Pflichten gem. Art. 32–36 (Abs. 3 S. 2 lit. f)
g) Löschung oder Rückgabe personenbezogener Daten (Abs. 3 S. 2 lit. g)
h) Nachweis der Pflichtenerfüllung und Überprüfungsrecht des Verantwortlichen (Abs. 3 S. 2 lit. h)
VI. Inanspruchnahme weiterer Auftragsverarbeiter (Abs. 2 und Abs. 4)
1. Genehmigung des Verantwortlichen (Abs. 2)
a) Genehmigungslösung: Vorherige gesonderte Genehmigung des Verantwortlichen
b) Einspruchslösung: Allgemeine Genehmigung des Verantwortlichen
a) Auswahl der weiteren Auftragsverarbeiter
b) Vertrag oder anderes Rechtsinstrument mit dem weiteren Auftragsverarbeiter
3. Verhältnis des weiteren Auftragsverarbeiters zum Verantwortlichen
4. Inanspruchnahme weiterer Auftragsverarbeiter in der Leistungskette
a) Reichweite des Formerfordernisses
b) Gegenstand des Formerfordernisses
6. Haftung für weitere Auftragsverarbeiter (Abs. 4 S. 2)
VII. Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren (Abs. 5)
VIII. Standardvertragsklauseln (Abs. 6–8)
IX. Form des Vertrags oder anderen Rechtsinstruments (Abs. 9)
1. Schadensersatzansprüche betroffener Personen (Art. 82)
2. Klagebefugnis betroffener Personen (Art. 79 i.V.m. § 44 BDSG)
3. Haftung gegenüber dem Verantwortlichen (Art. 82 Abs. 5 und Vertrag)
4. Haftung beim Funktionsexzess (Abs. 10)
XI. Rechtsfolgen bei Missachtung
XII. Sondervorschriften zur Auftragsverarbeitung
I. Relevanz für öffentliche und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Kommentierung
I. Normzweck
II. Erwägungsgründe und BDSG
1. DSRL und BDSG a.F
2. Änderungen im Gesetzgebungsverfahren
3. WP der Art.-29-Datenschutzgruppe
I. Anwendungsbereich
1. Begriff der Weisung
2. Verarbeitungsverbot ohne Weisungsgebundenheit
3. Dokumentation der Weisungen
4. Weisungspflicht
5. Verhältnis zum Weisungsrecht des Auftragsverarbeiters
III. Ausnahmen von der Weisungsgebundenheit
IV. Rechtsfolgen bei Missachtung
C. Praxishinweise
Anmerkungen
Artikel 30 Verzeichnis von Verarbeitungstätigkeiten
Kommentierung
I. Erwägungsgründe
II. BDSG
1. DSRL
2. BDSG a.F
3. Handreichungen des Europäischen Datenschutzausschuss/der Datenschutzkonferenz u.a. sowie deren Vorgängerorganisationen
I. Überblick
1. Normadressat
2. Verzeichnis der Verarbeitungstätigkeiten (VVT)
3. Führung
4. Gliederung des VVT
5. Einzelne Angaben
a) Informationen zum Verantwortlichen
b) Zwecke der Verarbeitung
c) Kategorien betroffener Personen
d) Kategorien personenbezogener Daten
e) Kategorien von Empfängern
aa) Angabe des Drittlands oder der internationalen Organisation
bb) Dokumentation geeigneter Garantien bei den in Art. 49 Abs. 1 UAbs. 2 genannten Datenübermittlungen
aa) Fristen für die Löschung
bb) Wenn möglich
h) TOM gem. Art. 32 Abs. 1
III. Abs. 2
1. Normadressat
2. Verzeichnis
3. Führung
4. Inhalte
a) Informationen zum Auftragsverarbeiter und zu Verantwortlichen
aa) Informationen zum Auftragsverarbeiter
bb) Informationen zum Verantwortlichen
b) Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
c) Übermittlungen an ein Drittland oder an eine internationale Organisation
d) Wenn möglich, eine allgemeine Beschreibung der TOM gem. Art. 32 Abs. 1
IV. Abs. 3
V. Abs. 4
VI. Abs. 5
C. Sanktionen
I. Hinweise und Muster von Aufsichtsbehörden in der EU/im EWR
II. Hinweise und Muster von sonstigen Stellen (Deutschland)
Anmerkungen
Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde
Kommentierung
A. Einordnung und Kontext[1]
I. Erwägungsgründe
II. BDSG n.F
1. Kommissionsentwurf
2. Entwurf des Europäischen Parlaments
3. Entwurf des Rats der Europäischen Union
4. Besondere Zusammenarbeitspflicht
5. BDSG a.F
a) Nichtöffentlicher Bereich
b) Öffentlicher Bereich/Post, Telekommunikation
6. Allgemeines Verwaltungsverfahrensrecht
I. Normadressat
1. Insbesondere der Vertreter
2. Aufsichtsbehörde
II. Zusammenarbeit
III. Anfrage
IV. Aufgabenerfüllung
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Abschnitt 2 Sicherheit personenbezogener Daten
Artikel 32 Sicherheit der Verarbeitung
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Hinweise der Aufsichtsbehörden
1. § 13 Abs. 7 TMG
2. § 109 TKG
3. Art. 29 der RL EU 2016/680 und § 64 BDSG n.F
4. § 22 Abs. 2 BDSG n.F
5. ePrivacy-VO
6. NIS-RL und BSIG
7. MiFID II-Richtlinie
8. Regelungen aus dem Kirchendatenschutz
9. § 2 BORA
I. Einleitung
II. Regelungsadressaten
III. Maßnahmen – Abs. 1
1. Maßnahmenkatalog des Abs. 1 Hs. 2 lit. a–d
a) Pseudonymisierung und Verschlüsselung
b) Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit (lit. b)
aa) Vertraulichkeit
bb) Integrität
cc) Verfügbarkeit
dd) Belastbarkeit
c) Wiederherstellung der Verfügbarkeit – lit. c
d) Verfahren zur Überprüfung, Bewertung, Wirksamkeitsevaluierung (lit. d)
a) Allgemein
b) Stand der Technik
c) Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung
d) Eintrittswahrscheinlichkeit und Schwere des Risikos
e) Implementierungskosten
IV. Risikoberücksichtigung (Abs. 2)
V. Genehmigte Verhaltensregeln und Zertifizierungsverfahren (Abs. 3)
VI. Unterstellte Personen (Abs. 4)
VII. Aufsichtsmaßnahmen – Kontrollen und Sanktionen
1. Kontrollrechte
2. Sanktionen
1. Umsetzung
2. Verpflichtung der Mitarbeiter nach Abs. 4
3. Haftung
4. Konsultation der Aufsichtsbehörden
II. Hinweise für Betroffene
III. Hinweise für öffentliche Stellen
IV. Hinweise für Aufsichtsbehörden
Anmerkungen
Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Kommentierung
I. Überblick
II. Normengenese und -umfeld
1. DSRL
2. BDSG a.F
a) Adressaten
b) Meldung
c) Verwendungsverbot
d) Evaluation
3. Landesgesetze
4. RL 2016/680 und BDSG n.F
5. RL 2016/1148 (NIS-RL) und ITSG
6. VO (EU) Nr. 910/2014 (eIDAS)
7. ePrivacy-VO-E
8. Behördenpapiere
1. Schutzverletzung
a) Sicherheit
b) Vernichtung, Verlust, Veränderung
c) Unbefugte Offenlegung, unbefugter Zugang
d) Bekanntwerden
e) Altpannen
a) Interessen und Rechtsgüter
b) Risikobewertung
3. Pflichtiger
4. Empfänger
5. Frist
II. Meldepflicht des Auftragsverarbeiters (Abs. 2)
1. Inhalt
a) Beschreibung der Schutzverletzung (lit. a)
b) Datenschutzbeauftragter, Anlaufstelle (lit. b)
c) Beschreibung der Folgen (lit. c)
d) Beschreibung der Maßnahmen (lit. d)
a) Darreichung
b) Sprache
IV. Schrittweise Information (Abs. 4)
1. Inhalt
2. Sprache
3. Aufbewahrungsdauer
1. Nemo-tenetur-Grundsatz
2. §§ 42 und 43 BDSG
3. Irrtümliche und missbräuchliche Meldungen
I. Öffentliche Stellen
II. Nichtöffentliche Stellen
III. Betroffene Personen
IV. Aufsichtsbehörden
1. Incident response plan
a) Interne Richtlinien
b) Implementierung eines geeigneten Incident Response Systems
c) Kontakt zu Aufsichts- und Strafverfolgungsbehörden
2. Einbindung des Datenschutzbeauftragten
3. Vertragsmanagement
VI. Sanktionen
Anmerkungen
Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Kommentierung
A. Einordnung und Hintergrund
1. Schutzverletzung und hohes Risiko
2. Pflichtiger
3. Empfänger
4. Frist
1. Inhalt
a) Darreichung
b) Sprache
3. Unentgeltlichkeit
III. Ausnahmen (Abs. 3)
1. Inhärente Ausnahmen
a) Technische und organisatorische Sicherheitsvorkehrungen, Verschlüsselung (Abs. 3 lit. a)
b) Nachträgliche Maßnahmen (Abs. 3 lit. b)
c) Unverhältnismäßiger Aufwand (Abs. 3 lit. c)
2. § 29 Abs. 1 S. 3 und 4 BDSG
a) Ausnahme ohne Anwendungsfall
b) Gegenausnahme ohne Bewertungskriterien
c) Voraussetzungen der Öffnungsklausel
d) Parallelwertung zu Art. 14 Abs. 5 lit. c
IV. Behördliche Aufforderung (Abs. 4)
V. Verwendungsverbot
I. Öffentliche Stellen
II. Nichtöffentliche Stellen
III. Betroffene Personen
IV. Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 35 Datenschutz-Folgenabschätzung
Kommentierung
I. Überblick
II. Unterschiede und Gemeinsamkeiten zur Vorabkontrolle
I. Notwendigkeit einer Datenschutzfolgenabschätzung (DSFA)
1. Risikobegriff
2. Auslöser einer DSFA
3. Regelbeispiele für ein hohes Risiko: Abstrakte Auslösekriterien
a) Automatisierte systematische und umfassende Bewertung persönlicher Aspekte
b) Umfangreiche Verarbeitung von Daten besonderer Kategorien nach Art. 9 Abs. 1 oder umfangreiche Daten über strafrechtliche Verurteilungen und Straftaten
c) Systematische umfangreiche Überwachung (öffentlich) zugänglicher Bereiche
4. Kriterienkatalog für ein hohes Risiko: Konkrete Auslösekriterien
a) Bewertung oder Scoring, inklusive Profilbildung und Vorhersagen
b) Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher bedeutender Wirkung
c) Systematische Überwachung: Verarbeitung zur Beobachtung, Überwachung oder Kontrolle der betroffenen Personen
d) Sensible oder höchstpersönliche Daten
e) Datenverarbeitung im großen Maßstab
f) Abgleich oder Zusammenführen von Datensätzen
g) Daten gefährdeter Personen
h) Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
i) Benachteiligung oder Ausschluss der betroffenen Person
5. Zwischenergebnis: Erforderlichkeit/Auslösekriterien
1. Vor Beginn des Verarbeitungsvorgangs
2. Nach Beginn des Verarbeitungsvorgangs
3. Altverhältnisse
III. Beteiligte einer DSFA
1. Verantwortlicher
2. Gemeinsam Verantwortliche
3. Datenschutzbeauftragter
a) Klare Rollenverteilung
b) Kooperative Tätigkeit
c) Interessenskonflikt
4. Auftragsverarbeiter
5. Betroffene oder Vertreter
6. Aufsichtsbehörde
1. Vorprüfung: Ist eine DSFA relevant?
2. Schritt: Rechtmäßigkeit
a) Verarbeitungsvorgang lässt sich der Whitelist zuordnen
b) Vorweggenommene DSFA i.S.d. Art. 35 Abs. 10
c) Ähnlicher Verarbeitungsvorgang mit ähnlich hohem Risiko
d) Verarbeitungsvorgang lässt sich Blacklist zuordnen
e) Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?
4. Schritt: Durchführung einer DSFA
a) Mindestinhalt einer DSFA
aa) Vorbereitungsphase
bb) Bewertungsphase
(1) Normative Bewertung gem. Art. 35 Abs. 7 lit. b
(2) Bewertung des Risikos gem. Art. 35 Abs. 7 lit. c
cc) Maßnahmenphase
dd) Berichtsphase
5. Schritt: Überprüfung und Wiederholung der DSFA
6. Bußgeld
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 36 Vorherige Konsultation
Kommentierung
I. Überblick
II. Unterschiede und Gemeinsamkeiten zur Meldepflicht
I. Auslöser einer Konsultationspflicht
II. Pflichten und Befugnisse der Aufsichtsbehörde gem. Art. 36 Abs. 2
III. Basisinformationen des Konsultationsersuchens
IV. Konsultation im Rahmen von Gesetzgebungsverfahren
V. Öffnungsklausel zur Konsultationspflicht
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Abschnitt 4 Datenschutzbeauftragter
Artikel 37 Benennung eines Datenschutzbeauftragten
Kommentierung
I. Einführung
II. Erwägungsgründe
1. Öffentliche Stellen des Bundes
2. Nichtöffentliche Stellen
1. DSRL
2. BDSG a.F
3. Europäischer Datenschutzausschuss/nationale Datenschutzkonferenz/Aufsichtsbehörden
a) Pflicht öffentlicher Stellen zur Benennung
b) Pflicht nichtöffentlicher Stellen zur Benennung
c) Anforderungen an die Benennung
d) Arbeits- und mitbestimmungsrechtliche Aspekte
a) Öffentliche Stellen des Bundes
b) Nichtöffentliche Stellen
3. Benennungspflicht des Personal-/Betriebsrats
4. Fortgeltung von Altbestellungen
1. Entfallen der Verpflichtung zur Mehrfachbestellung
2. Leichte Erreichbarkeit des Konzerndatenschutzbeauftragten
3. Unterstützung des Konzerndatenschutzbeauftragten
1. DS-GVO-Regelung
2. BDSG
1. Öffnungsklausel
2. Freiwillige Benennung
3. Verbände/Vereinigungen
a) Fachliche Qualifikation
b) Fähigkeit zur Aufgabenerfüllung
2. BDSG
a) Vergleich interner und externer Datenschutzbeauftragter
b) Juristische Personen als Datenschutzbeauftragter
2. BDSG
1. DS-GVO-Regelung
2. BDSG n.F
I. Für öffentliche Stellen
II. Für nichtöffentliche Stellen
III. Für betroffene Personen
IV. Für Aufsichtsbehörden
V. Für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 38 Stellung des Datenschutzbeauftragten
Kommentierung
I. Erwägungsgründe
1. Öffentliche Stellen des Bundes
2. Nichtöffentliche Stellen
1. DSRL
2. BDSG a.F
3. Europäischer Datenschutzausschuss/nationale Datenschutzkonferenz/Aufsichtsbehörden
1. DS-GVO-Regelung
2. BDSG
a) Überblick
b) Zurverfügungstellung der erforderlichen Ressourcen
c) Zugang zu Daten und Verarbeitungsvorgängen
d) Anspruch auf Fort- und Weiterbildung
2. BDSG
a) Überblick
b) Weisungsfreiheit
c) Abberufungs- und Kündigungsschutz
d) Benachteiligungsverbot
e) Verhältnis des Datenschutzbeauftragten zur Leitungsebene
2. BDSG
1. DS-GVO-Regelung
2. BDSG
V. Geheimhaltung/Vertraulichkeit
1. DS-GVO-Regelung
2. BDSG
I. Für öffentliche Stellen
II. Für nichtöffentliche Stellen
III. Für betroffene Personen
IV. Für Aufsichtsbehörden
V. Für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 39 Aufgaben des Datenschutzbeauftragten
Kommentierung
I. Erwägungsgründe
II. BDSG
1. DSRL
2. BDSG a.F
3. Europäischer Datenschutzausschuss/nationale Datenschutzkonferenz/Aufsichtsbehörden
a) Allgemeines
b) Unterrichtung und Beratung
c) Überwachung der Einhaltung des Datenschutzes
d) Aufgaben im Zusammenhang mit der DSFA
e) Verhältnis zur Aufsichtsbehörde
2. BDSG
1. DS-GVO-Regelung
2. BDSG
III. Haftung des Datenschutzbeauftragten
IV. Dokumentation der Arbeit des Datenschutzbeauftragten
I. Für öffentliche Stellen
II. Für nichtöffentliche Stellen
III. Für betroffene Personen
IV. Für Aufsichtsbehörden
V. Für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Abschnitt 5 Verhaltensregeln und Zertifizierung
Artikel 40 Verhaltensregeln
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe/Beschlüsse des Düsseldorfer-Kreises
I. Überblick
1. Einführung und Zweck
2. Vorteile von Verhaltensregeln
3. Voraussetzungen für die Einreichung eines Entwurfs von Verhaltensregeln
4. Kriterien für die Genehmigung von Verhaltensregeln
5. Vorlage, Zulässigkeit und Genehmigung
1. Begriff und Rechtsnatur
2. Weitere Funktion/Rolle von Verhaltensregeln
3. Bindungswirkung
IV. Förderungspflicht bzgl. Verhaltensregeln (Abs. 1)
1. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten
2. Ausarbeitung, Änderung oder Erweiterung
1. Übersicht
2. Berücksichtigung der Besonderheiten der einzelnen Verarbeitungsbereiche
3. Berücksichtigung von Kleinstunternehmen und KMU
4. Beitrag zur ordnungsgemäßen Anwendung der DS-GVO
5. Präzisierung von Vorschriften
6. Einzelne inhaltliche Gesichtspunkte für Verhaltensregeln gem. Abs. 2
a) Faire und transparente Verarbeitung
b) Berechtigte Interessen des Verantwortlichen in bestimmten Zusammenhängen
c) Erhebung personenbezogener Daten
d) Pseudonymisierung (Art. 4 Nr. 5) personenbezogener Daten
e) Unterrichtung/Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist
f) Maßnahmen und Verfahren gem. Art. 24/25 und Maßnahmen gem. Art. 32
g) Meldung von Datenschutzvorfällen an Aufsichtsbehörden und Benachrichtigung der betroffenen Person hiervon
h) Anwendungsbeispiel[50]: Code of Conduct der Internet Service Providers Austria v. 27.11.2018 (Version 1.0 v. 26.11.2018)[51]
VII. Ausweitung der Anwendung von Verhaltensregeln – Datentransfer in ein Drittland (Abs. 3)
VIII. Obligatorischer Inhalt von Verhaltensregeln: Ermöglichung von Kontrolle durch die nach Art. 41 geschaffene Institution (Abs. 4)
IX. Übersicht zu Abs. 5 bis 11
X. Überprüfung und Genehmigung von Verhaltensregeln durch die Aufsichtsbehörde, Wirkung der Genehmigung (Abs. 5)
XI. Veröffentlichung bei Verarbeitung in nur einem Mitgliedstaat (Abs. 6)
XII. Genehmigung bei Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, Übermittlung der Stellungnahme an die Kommission, Veröffentlichung (Abs. 7, Abs. 8, Abs. 11)
XIII. Allgemeingültigkeitserklärung durch die Kommission und deren Veröffentlichung (Abs. 9, 10)
XIV. Gebühren im Verfahren
XV. Rechtsfolgen
Anmerkungen
Artikel 41 Überwachung der genehmigten Verhaltensregeln
Kommentierung
A. Einordnung und Hintergrund
I. Einleitung, Sinn und Zweck
1. Einführung und Zweck
2. Akkreditierungsanforderungen für Überwachungsstellen
3. Widerruf einer Akkreditierung
4. Stellungnahmen des EDSA in Kohärenzverfahren
III. Die Anwendungshinweise der DSK „Kriterien zur Akkreditierung einer Überwachungsstelle für Verhaltensregeln nach Art. 41 DS-GVO i.V.m. Art. 57 Abs. 1 lit. p 1. Alt. DS-GVO“
1. Antragserfordernis, Verfahrenssprache
2. Anforderungen an die Überwachungsstelle und Befugnisse
3. Beschwerdeverfahren
IV. Ausnahmen vom Anwendungsbereich (Abs. 6)
1. Schaffung von Überwachungsstellen
2. Befugnisse der Aufsichtsbehörden, Kriterien für die Akkreditierung (Abs. 3)
1. Notwendigkeit einer Akkreditierung
2. Vorhandensein und Nachweis von Fachwissen und Unabhängigkeit/Abwesenheit von Interessenkonflikten (Abs. 2 lit. a und d)
3. Festlegung von Verfahren zur Bewertung (Abs. 2 lit. b)
4. Festlegung von (Beschwerde-)Verfahren (Abs. 2 lit. c)
1. Übersicht
2. Verletzung der Verhaltensregeln
3. Ergreifung geeigneter Maßnahmen
VIII. Widerruf der Akkreditierung (Abs. 5)
1. Gebühren
2. Kosten der Überwachung
Anmerkungen
Artikel 42 Zertifizierung
Kommentierung
I. Erwägungsgründe
II. BDSG
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe/Beschlüsse des DD-Kreises/Beschlüsse der Datenschutzkonferenz
1. Datenschutz-Zertifizierungen in Deutschland
2. Datenschutz-Zertifizierungen in Europa
3. Datenschutz-Zertifizierungen in der Grundverordnung
II. Sinn und Zweck der Regelung
1. Förderauftrag
2. Datenexporte in Drittländer
3. Zertifizierungsgegenstand
4. Anforderungen an Zertifizierungsverfahren und deren Charakteristika
5. Rolle der Aufsichtsbehörden
6. Genehmigung von Zertifizierungskriterien
7. Mitwirkungspflichten des Verantwortlichen oder Auftragsverarbeiters
8. Überprüfung und Widerruf von Zertifikaten
9. Rechtsfolge einer Zertifizierung/Selbstbindung der Verwaltung
10. Gültigkeit von Zertifikaten
11. Rechtsfolgen von Verstößen
12. Publizität von Zertifizierungsverfahren
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 43 Zertifizierungsstellen
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. DSRL
2. BDSG a.F
3. WP der Art.-29-Datenschutzgruppe/Beschlüsse des DD-Kreises/Beschlüsse der Datenschutzkonferenz
I. Überblick
II. Sinn und Zweck der Regelung
1. Akkreditierung
2. Anforderungen an Zertifizierungsstellen
3. Befristung einer Akkreditierung
4. Widerruf einer Akkreditierung
5. Widerruf einer Zertifizierung
6. Transparenz
7. Konkretisierungen durch die Europäische Kommission
8. Sanktionen
I. Relevanz für öffentliche und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Kapitel V Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Artikel 44 Allgemeine Grundsätze der Datenübermittlung
Kommentierung
1. Zweck und Bedeutung der Vorschrift
2. Verhältnis zu anderen Vorschriften
a) Übermittlung (S. 1 1. Fall)
b) Weiterübermittlung/„Onward Transfer“ (S. 1 2. Fall)
c) Drittland
d) Internationale Organisation
e) Organe, Einrichtungen, Ämter und Agenturen der Union
II. Einzelheiten der Übermittlung in Drittländer
Anmerkungen
Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Kommentierung
I. Allgemeines
1. Kommissionsbeschluss (Abs. 1 und 2)
2. Prüfung durch die Kommission
a) Rechtslage der Drittstaaten, Gebiete oder Sektoren
b) Prüfmaßstab „Berücksichtigen“
3. Tatbestandsmerkmale des angemessenen Schutzniveaus
a) Begriff des angemessenen Schutzniveaus
b) Vorgaben der Art.-29-Datenschutzgruppe aus WP 12
aa) Der Grundsatz der Beschränkung der Zweckbestimmung
bb) Der Grundsatz der Datenqualität und -verhältnismäßigkeit
cc) Der Grundsatz der Transparenz
dd) Der Grundsatz der Sicherheit
ee) Das Recht auf Zugriff, Berichtigung und Widerspruch
ff) Beschränkungen der Weiterübermittlung in andere Drittländer
gg) Gewährleistung einer guten Befolgungsrate der Vorschriften
hh) Unterstützung und Hilfe für einzelne Personen
ii) Gewährleistung angemessener Entschädigung
c) Vorgaben der Art.-29-Datenschutzgruppe aus WP 237
aa) Garantie A – Die Datenverarbeitung muss auf klaren, genauen und verständlichen Regeln basieren
bb) Garantie B – Notwendigkeit und Verhältnismäßigkeit in Bezug auf die legitim verfolgten Ziele müssen nachgewiesen werden
cc) Garantie C – Ein unabhängiger Aufsichtsmechanismus sollte existieren
dd) Garantie D – Der einzelnen Person müssen wirksame Rechtsmittel zur Verfügung stehen
d) Rechtsstaatlichkeitskriterien (Abs. 2 lit. a)
e) Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden (Abs. 2 lit. b)
f) Internationale Verpflichtungen des Drittlands bzw. der betreffenden internationalen Organisation (Abs. 2 lit. c)
g) Rechtsfolge
III. Durchführungsrechtsakt (Abs. 3)
1. Durchführung
2. Widerrufs- oder Abänderungsbeschluss (Abs. 5)
3. Veröffentlichung (Abs. 8)
1. Art. 25 Abs. 6 DSRL
2. In den Jahren 2000–2015: Safe-Harbor-Abkommen
3. Seit dem Jahr 2016: EU-US Privacy Shield
V. Verhältnis zu anderen Vorschriften; Europarecht und nationales Recht
VI. Brexit
Anmerkungen
Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien
Kommentierung
A. Einordnung und Hintergrund
B. Kommentierung
I. Anwendungsbereich
II. Geeignete Garantien
III. Regelbeispiele
1. Keine Genehmigung erforderlich
2. Rechtlich bindendes Dokument
3. Binding Corporate Rules
4. Standarddatenschutzklauseln
5. Genehmigte Verhaltensregeln
6. Zertifizierung
IV. Genehmigte geeignete Garantien
1. Vertragsklauseln
2. Verwaltungsvereinbarung
V. Übergangsregelungen
Anmerkungen
Artikel 47 Verbindliche interne Datenschutzvorschriften
Kommentierung
I. Genese und Bezüge
II. Rechtsnatur von BCR, Begriffsbestimmungen
III. BCR im System der DS-GVO, Umgang mit Daten auf Grundlage von BCR
I. Inhaltliche Anforderungen an BCR (Art. 47 Abs. 1 und 2)
1. Rechtliche Bindungswirkung
a) Interne rechtliche Verbindlichkeit (Art. 47 Abs. 1 lit. a)
b) Sanktionen
2. Durchsetzbare Rechte für Betroffene (Art. 47 Abs. 1 lit. b)
3. Anforderungen nach Art. 47 Abs. 1 lit. c i.V.m. Art. 47 Abs. 2
a) Notwendiger Konkretisierungsgrad
b) Struktur und Kontaktangaben (Abs. 2 lit. a)
c) Datenübermittlungen und verarbeitete Daten (Abs. 2 lit. b)
d) Interne und externe Verbindlichkeit (Abs. 2 lit. c)
e) Anwendung der allgemeinen Datenschutzgrundsätze (Abs. 2 lit. d)
f) Rechte der betroffenen Person (Abs. 2 lit. e)
g) Haftung eines Gruppenmitgliedes in der Union (Abs. 2 lit. f)
h) Information der Betroffenen (Abs. 2 lit. g)
i) Compliance-Organisation (Abs. 2 lit. h und j)
j) Gruppeninternes Beschwerdeverfahren (Abs. 2 lit. i)
k) Meldung und Erfassung von Änderungen der BCR (Abs. 2 lit. k)
l) Zusammenarbeit mit der zuständigen Aufsichtsbehörde (Abs. 2 lit. l)
m) Meldung von beeinträchtigenden Drittlandbestimmungen (Abs. 2 lit. m)
n) Schulung von Mitarbeitern (Abs. 2 lit. n)
II. Genehmigungsverfahren, Anspruch auf Erteilung der Genehmigung, gerichtliche Überprüfung (Art. 47 Abs. 1)
I. Relevanz für Verantwortliche und Auftragsverarbeiter/Gestaltungshinweise
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
V. Sanktionen
Anmerkungen
Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Kommentierung
A. Einordnung und Hintergrund
B. Kommentierung
I. Anwendungsbereich
II. Internationale Übereinkommen
III. Andere Ermächtigungen
IV. Konflikt für Unternehmen
V. Vereinigtes Königreich und Irland
Anmerkungen
Artikel 49 Ausnahmen für bestimmte Fälle
Kommentierung
A. Einordnung und Hintergrund
I. Allgemeines
1. Einwilligung
2. Für Vertragsdurchführung mit Betroffenem erforderlich
3. Für Vertragsdurchführung im Interesse des Betroffenen erforderlich
4. Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig
5. Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
6. Übermittlung zum Schutz lebenswichtiger Interessen
7. Übermittlung aus einem Register
8. Neue Ausnahme: Interessenabwägung und Sicherungsmaßnahmen
III. Abs. 2
IV. Abs. 3
V. Abs. 4
VI. Abs. 5
VII. Abs. 6
Anmerkungen
Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten
Kommentierung
A. Einordnung und Hintergrund
B. Kommentierung
Anmerkungen
Kapitel VI Unabhängige Aufsichtsbehörden
Abschnitt 1 Unabhängigkeit
Artikel 51 Aufsichtsbehörde
Kommentierung
I. Erwägungsgründe
II. BDSG
1. Vertretung im EDSA
2. Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
3. Zuständigkeiten
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss (EDSA)/WP 29
1. Grundzüge
2. Die Ziele des Grundrechtsschutzes und des freien Datenverkehrs
3. Die Rolle der Datenschutzaufsichtsbehörden
4. Einrichtung und Ausrichtung der Behörden
1. Durchsetzung des Datenschutzes als europäische Verwaltungskooperation
2. Stellung der Datenschutzaufsichtsbehörden
III. Einheitliche Anwendung der DS-GVO (Abs. 2)
1. Einheitliches Auftreten im EDSA
2. Zusammenarbeit beim Kohärenzverfahren
V. Pflicht der Mitteilung an die Kommission (Abs. 4)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 52 Unabhängigkeit
Kommentierung
I. Erwägungsgründe
II. BDSG
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss/WP 29
1. Sinn und Zweck
2. Rechtliche Grundlagen
3. Ausprägungen
4. Verhältnis zum Europäischen Datenschutzausschuss
5. Verhältnis zur Kommission
II. Persönliche Unabhängigkeit (Abs. 2)
III. Integrität und Inkompatibilität (Abs. 3)
IV. Ressourcen (Abs. 4)
V. Personal (Abs. 5)
VI. Haushalt und Finanzen (Abs. 6)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. Ernennung der oder des Bundesbeauftragten
2. Voraussetzungen für die Ernennung der oder des Bundesbeauftragten
3. Ende der Amtszeit der oder des Bundesbeauftragten
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss/WP 29
I. Regelungsinhalt und Hintergrund
1. Grundzüge
2. Transparenz
3. Ernennungsstelle
4. Im BDSG geregeltes Ernennungsverfahren der oder des Bundesbeauftragten
III. Voraussetzungen für die Ernennung (Abs. 2)
1. Regelungsinhalt und Hintergrund
2. Reguläre Beendigung der Amtszeit (Abs. 3)
3. Außerordentliche Beendigung der Amtszeit durch Enthebung (Abs. 4)
I. Relevanz für öffentliche und nichtöffentliche Stellen sowie betroffene Personen
II. Relevanz für Aufsichtsbehörden
III. Datenschutzmanagement
IV. Sanktionen
Anmerkungen
Artikel 54 Errichtung der Aufsichtsbehörde
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. Errichtung der oder des Bundesbeauftragten mit Zuständigkeitsregelungen
2. Voraussetzungen für die Ernennung der oder des Bundesbeauftragten
3. Verfahren der Ernennung der oder des Bundesbeauftragten
4. Amtszeit der oder des Bundesbeauftragten
5. Möglichkeit der Wiederwahl der oder des Bundesbeauftragten
6. Pflichten der oder des Bundesbeauftragten bzw. der Bediensteten sowie Beendigung des Beschäftigungsverhältnisses/Ende der Amtszeit
7. Verschwiegenheitspflicht
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss/WP 29
I. Regelungsinhalt und Hintergrund
1. Errichtung der Aufsichtsbehörde (lit. a)
2. Voraussetzungen für die Ernennung der Mitglieder der Aufsichtsbehörde (lit. b)
3. Verfahren der Ernennung der Mitglieder der Aufsichtsbehörde (lit. c)
4. Amtszeit der Mitglieder der Aufsichtsbehörde (lit. d)
5. Möglichkeit der Wiederwahl der Mitglieder der Aufsichtsbehörde (lit. e)
6. Pflichten der Mitglieder und der Bediensteten der Aufsichtsbehörde und zur Beendigung des Beschäftigungsverhältnisses (lit. f)
a) Pflichten der Mitglieder und der Bediensteten der Aufsichtsbehörde
b) Vorschriften zu verbotenen Tätigkeiten und Vergütungen
c) Regelungen zur Beendigung des Beschäftigungsverhältnisses
III. Verschwiegenheitspflicht (Abs. 2)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse
Artikel 55 Zuständigkeit
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss/WP 29
I. Regelungsinhalt und Ziel der Regelung
II. Grundsatz der territorialen Zuständigkeit (Abs. 1)
1. Anknüpfungspunkt zur Bestimmung der Zuständigkeit
a) Erfüllung der Aufgaben unter Wahrnehmung der Befugnisse im Hoheitsgebiet
b) Parallele Zuständigkeiten verschiedener Aufsichtsbehörden
3. Innerstaatliche Regelung im BDSG
a) Sachliche Zuständigkeit der Datenschutzaufsichtsbehörden
b) Örtliche Zuständigkeit der Datenschutzaufsichtsbehörden bzw. Regelung der Verbandskompetenz
aa) Regelung des § 40 Abs. 2 BDSG
bb) Regelung des § 19 BDSG
III. Spezifische Zuständigkeiten bei Verarbeitung im öffentlichen Interesse (Abs. 2)
IV. Zuständigkeit für die Justiz (Abs. 3)
1. Grundsätzliches und Hintergrund der Regelung
2. Justizielle Tätigkeiten
3. Besondere Kontrollstellen im Justizsystem und BDSG
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde
Kommentierung
I. Erwägungsgründe
II. BDSG
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss/WP 29
I. Regelungsinhalt und Hintergrund
1. Regelungsinhalt
2. Verhältnis zu Art. 55
3. Grenzüberschreitende Verarbeitung
4. Bestimmung der Federführung
a) Niederlassung
b) Hauptniederlassung
aa) Hauptniederlassung des Verantwortlichen
bb) Hauptniederlassung von gemeinsam für die Verarbeitung Verantwortlichen
cc) Hauptniederlassung des Auftragsverarbeiters
dd) Hauptniederlassung bei Betroffenheit des Verantwortlichen und des Auftragsverarbeiters
ee) Hauptniederlassung der Unternehmensgruppe
5. Rechtsfolge und Bedeutung der Federführung
6. Übertragung des Prinzips der federführenden Behörde in nationales Recht (BDSG)
III. Zuständigkeit bei begrenzter Wirkung (Abs. 2)
IV. Besonderes Abstimmungsverfahren bei begrenzter Wirkung (Abs. 3–5)
1. Information und Entscheidung der federführenden Aufsichtsbehörde (Abs. 3)
2. Anwendbarkeit des Verfahrens der Zusammenarbeit (Abs. 4)
3. Reservezuständigkeit (Abs. 5)
V. Ansprechpartner bei grenzüberschreitenden Fragen (Abs. 6)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 57 Aufgaben
Kommentierung
I. Erwägungsgründe
1. Aufgaben im Rahmen der Richtlinienumsetzung
2. Konkretisierung der Aufgaben in Bezug auf den Bundestag (§ 14 Abs. 2 BDSG)
3. Beschwerdeformular und Unentgeltlichkeit der Aufgabenerfüllung
1. Datenschutz-Richtlinie 95/46/EG (DSRL): Art. 28 Kontrollstelle
2. BDSG a.F
a) Bearbeitung von Eingaben (§ 21 BDSG a.F.)
b) Kontrolle (§ 24 Abs. 1, Abs. 2 BDSG a.F.)
c) Beratungen gegenüber dem Deutschen Bundestag, der Bundesregierung und den Ausschüssen (§ 26 Abs. 2 BDSG a.F.)
d) Kooperationsprinzip
e) Aufsicht über die nichtöffentlichen Stellen (§ 38 Abs. 1 BDSG a.F.)
3. WP 29/Europäischer Datenschutzausschuss
I. Grundlagen und Zweck
II. Verständnis der Aufgabenerfüllung und Prioritäten
1. Verordnungsanpassung und Richtlinienumsetzung
2. Konkretisierung der Aufgaben (§ 14 Abs. 2 BDSG)
1. Überblick
2. Systematisierung der Aufgaben
a) Überwachung und Durchsetzung der Anwendung der DS-GVO
b) Sensibilisierung und Aufklärung der Öffentlichkeit
c) Beratung von Legislative und Exekutive
d) Sensibilisierung der Verantwortlichen
e) Information von Betroffenen
f) Bearbeitung von Beschwerden
g) Zusammenarbeit mit anderen Aufsichtsbehörden
h) Untersuchungen über die Anwendung dieser Verordnung
i) Verfolgung maßgeblicher Entwicklungen
j) Festlegung von Standardvertragsklauseln
k) Liste der Verarbeitungsarten für DSFA
l) Beratung bei der DSFA
m) Verhaltensregeln
n) Datenschutzzertifizierungsmechanismen und Datenschutzsiegel
o) Prüfung von Zertifizierungen
p) Kriterien für die Akkreditierung
q) Vornahme von Akkreditierungen
r) Genehmigung von Vertragsklauseln und Bestimmungen
s) Genehmigung interner Vorschriften
t) Unterstützung des EDSA
u) Führen interner Verzeichnisse über Verstöße
v) Sonstige Aufgaben
V. Beschwerdeformular (Abs. 2)
VI. Kosten (Abs. 3)
VII. Gebühr bei exzessivem Antrag (Abs. 4)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Geldbußen
VII. Dokumente der DSK
Anmerkungen
Artikel 58 Befugnisse
Kommentierung
I. Erwägungsgründe
1. § 16 BDSG – Stufenweise Ausübung der Befugnisse durch die Verordnung
a) § 16 Abs. 1 BDSG
b) § 16 Abs. 4 BDSG
c) § 16 Abs. 5 BDSG
2. § 21 BDSG: Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
3. § 29 Abs. 3 BDSG
4. § 40 BDSG
1. WP 168 02356/09/DE Die Zukunft des Datenschutzes
2. WP 253 Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679
3. WP 248 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679
1. Art. 28 Abs. 3 Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
1. Effektive Durchsetzung
a) Einheitliche Datenschutzaufsicht über öffentliche und private Verantwortliche
b) Neuorientierung und Anpassung der Aufsicht
1. Auswahlermessen
2. Kohärenz und Konsistenz
3. Territoriale Grenzen der Befugnisse
1. Verantwortliche und Auftragsverarbeiter
2. Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
IV. Systematisierung
1. Untersuchungsbefugnisse (Abs. 1)
a) Anweisung zur Herausgabe von Informationen
b) Untersuchungen zur Durchführung von Datenschutzüberprüfungen
c) Überprüfung von Zertifizierungen
d) Hinweis auf einen vermeintlichen Verstoß
e) Zugang zu Informationen
f) Zugang zu Geschäftsräumen
2. Abhilfebefugnisse (Abs. 2)
a) Warnung
b) Verwarnung
c) Anweisung zur Rechtsdurchsetzung der betroffenen Personen
d) Anweisung zur Datenverarbeitung
e) Anweisung der Benachrichtigung
f) Beschränkung oder Verbot der Verarbeitung
g) Anordnung der Berichtigung oder Löschung oder Einschränkung
h) Widerruf einer Zertifizierung
i) Verhängung einer Geldbuße
j) Anordnung der Aussetzung der Übermittlung von Daten in Drittländer
3. Genehmigungsbefugnisse (Abs. 3)
a) Beratung des Verantwortlichen bei der Konsultation im Rahmen der Datenschutz-Folgenabschätzung
b) Abgeben von Stellungnahmen
c) Genehmigung der Verarbeitung durch öffentliche Stellen
d) Verhaltensregeln
e) Akkreditierung von Zertifizierungsstellen
f) Erteilung von Zertifizierungen
g) Festlegen von Standarddatenschutzklauseln
h) Genehmigung von Vertragsklauseln
i) Genehmigung von Verwaltungsvereinbarungen
j) Genehmigung verbindlicher interner Vorschriften
1. Zweck
2. Verfahrensgarantien
3. Vorverfahren i.S.d. § 16 Abs. 1 S. 2–4 BDSG
a) Klagebefugnis der Verantwortlichen
b) Anordnung der sofortigen Vollziehung
1. Hintergrund
a) Rügemöglichkeit der Angemessenheitsentscheidungen der Europäischen Kommission
b) Feststellungsklage gegen öffentliche Stellen und Behörden
c) Beteiligung der Datenschutzaufsichtsbehörden im Ordnungswidrigkeitenverfahren zur Verhängung von Geldbußen
1. Zweck
a) Auskunftsverpflichtung und Auskunftsverweigerung
b) Abberufung des Datenschutzbeauftragten durch die Datenschutzaufsichtsbehörden
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Geldbußen
§ 40 BDSG Aufsichtsbehörden der Länder
Kommentierung
A. Einordnung und Hintergrund
I. Zuständigkeitszuweisungen (§ 40 Abs. 1 und 2 BDSG)
II. Zulässigkeit der Datenverarbeitung durch Aufsichtsbehörden (§ 40 Abs. 3 S. 1 und 2 BDSG)
1. Datenverarbeitung zu Aufsichtszwecken
2. Datenverarbeitung zu anderen Zwecken
a) Zulässigkeitstatbestände
b) Öffnungsklausel
III. Unterrichtungsbefugnisse und Verschwiegenheitspflicht (§ 40 Abs. 3 S. 3 und 4 BDSG)
IV. Auskunftsverpflichtung gegenüber der Aufsichtsbehörde (§ 40 Abs. 4 BDSG)
V. Zugangsbefugnis (§ 40 Abs. 5 BDSG)
VI. Verhältnis zum betrieblichen Datenschutzbeauftragten (§ 40 Abs. 6 BDSG)
1. Beratungspflicht
2. Abberufungsrecht
VII. Anwendung der Gewerbeordnung (§ 40 Abs. 7 BDSG)
Anmerkungen
Artikel 59 Tätigkeitsbericht
Kommentierung
I. Erwägungsgründe
II. § 15 BDSG n.F
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. BDSG a.F
3. Europäischer Datenschutzausschuss
I. Regelungsinhalt und Entstehungsgeschichte
1. Rechenschaft und Transparenz
2. Aufklärung
3. Kohärenz der Aufsichtspraxis
1. Tätigkeit der Aufsichtsbehörde
2. Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen
IV. Adressaten des Berichts
V. Berichtszeitraum
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Datenschutzmanagement
VI. Geldbußen
Anmerkungen
Kapitel VII Zusammenarbeit und Kohärenz
Abschnitt 1 Zusammenarbeit
Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
Kommentierung
A. Einordnung und Kontext[1]
I. Erwägungsgründe
II. Richtlinie 95/46/EG
III. BDSG
1. Federführende Behörde
2. Betroffene Behörde
3. Zentrale Anlaufstelle
4. Gemeinsamer Standpunkt
1. Kommissionsentwurf
2. Entwurf des Europäischen Parlaments
3. Entwurf des Rats der Europäischen Union
I. Grundsatz der Zusammenarbeit (Abs. 1)
1. Federführende Behörde
2. Betroffene Behörde
3. Informationsaustausch
II. Amtshilfe/gemeinsame Maßnahmen (Abs. 2)
1. Informationspflicht
2. Beschlussentwurf
3. Einspruch
a) Übergang ins Kohärenzverfahren
b) Überarbeitung des Beschlussentwurfs
4. Schweigen
IV. Bekanntgabe und Unterrichtung (Abs. 7–9)
1. Beschluss gegenüber Verantwortlichem/Auftragsverarbeiter
2. Beschluss gegenüber Beschwerdeführer
3. Teilbeschlüsse
V. Umsetzung durch Verantwortlichen/Auftragsverarbeiter (Abs. 10)
VI. Dringlichkeitsverfahren (Abs. 11)
VII. Elektronische Übermittlung (Abs. 12)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 61 Gegenseitige Amtshilfe
Kommentierung
A. Einordnung und Kontext[1]
I. Erwägungsgründe
II. Richtlinie 95/46/EG; BDSG a.F
III. BDSG
1. Kommissionsentwurf
2. Entwurf des Europäischen Parlaments
3. Entwurf des Rats der Europäischen Union
I. Systematik der Vorschriften
II. Hauptverpflichtungen (Abs. 1)
1. Übermittlung maßgeblicher Informationen
2. Amtshilfe
3. Vorkehrungen für wirksame Zusammenarbeit
III. Verpflichtete und Berechtigte (Abs. 1)
IV. Frist (Abs. 2)
V. Zweck/Begründung (Abs. 3)
VI. Ablehnungsgründe (Abs. 4)
1. Unzuständigkeit
2. Verstoß gegen DS-GVO, Unionsrecht oder Recht der Mitgliedstaaten
a) DS-GVO
b) Sonstiges Unionsrecht
c) Verstoß gegen nationales Recht
VII. Informationspflichten (Abs. 5)
VIII. Form (Abs. 6)
IX. Gebühren (Abs. 7)
X. Einstweilige Maßnahmen (Abs. 8)
XI. Durchführungsrechtsakte (Abs. 9)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden
Kommentierung
A. Einordnung und Kontext[1]
I. Erwägungsgründe
II. Richtlinie 95/46/EG; BDSG a.F
III. BDSG
IV. Normgenese
I. Grundzüge (Abs. 1)
II. Gemeinsame Maßnahmen bei grenzüberschreitender Datenverarbeitung (Abs. 2)
III. Übertragung eigener/Gestattung fremder Hoheitsbefugnisse (Abs. 3)
IV. Haftung (Abs. 4–6)
V. Einstweilige Maßnahmen (Abs. 7)
VI. Durchführungsrechtsakte
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Abschnitt 2 Kohärenz
Artikel 63 Kohärenzverfahren
Kommentierung
I. Genese
II. Erwägungsgründe[4]
III. Aufsicht, Ausschuss, Leitlinien
I. DS-GVO
II. BDSG
I. Relevanz für betroffene Personen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für öffentliche Stellen
IV. Relevanz für die Aufsicht
Anmerkungen
Artikel 64 Stellungnahme des Ausschusses
Kommentierung
I. Erwägungsgründe
II. BDSG
III. Normengenese
IV. Aufsicht, Ausschuss, Leitlinien
I. DS-GVO
1. Art. 64 Abs. 1 DS-GVO: obligatorische Stellungnahme
a) Art. 64 Abs. 1 S. 2 lit. a
b) Art. 64 Abs. 1 S. 2 lit. b
c) Art. 64 Abs. 1 S. 2 lit. c
d) Art. 64 Abs. 1 S. 2 lit. d
e) Art. 64 Abs. 1 S. 2 lit. e
f) Art. 64 Abs. 1 S. 2 lit. f
2. Art. 64 Abs. 2: fakultative Stellungnahme
3. Verfahren der Stellungnahme (Art. 64 Abs. 3–5)
4. Verfahren nach Stellungnahme im Fall des Art. 64 Abs. 1
II. BDSG
C. Praxishinweise
I. Betroffene Personen
II. Unternehmen/Verantwortlicher
III. Öffentliche Stellen
IV. Aufsicht
Anmerkungen
Artikel 65 Streitbeilegung durch den Ausschuss
Kommentierung
I. Erwägungsgründe
II. Genese
III. Aufsicht, Ausschuss, Leitlinien
1. Allgemeines
2. Fallgruppen
a) Fallgruppe 1 (Art. 65 Abs. 1 lit. a)[5]
b) Fallgruppe 2 (Art. 65 Abs. 1 lit. b)[8]
c) Fallgruppe 3 (Art. 65 Abs. 1 lit. c)[10]
3. Verfahren vor dem Ausschuss (Art. 65 Abs. 2–4)
a) Bei Annahme des Beschlusses (Fristen/Inhalt)
b) Nicht rechtzeitige Annahme des Beschlusses i.S.d. Art. 65 Abs. 3
4. Entscheidung der Aufsichtsbehörde
5. Der Europäische Datenschutzbeauftragte
6. Verfahren des Vorsitzes nach Beschlussfassung (Art. 65 Abs. 5)
7. Annahme des endgültigen Beschlusses (Art. 65 Abs. 6)
8. Veröffentlichung durch den EDSA (Abs. 5 S. 2)
9. Rechtsschutz
II. BDSG n.F
I. Betroffene Personen
II. Unternehmen/Verantwortlicher
III. Öffentliche Stellen
IV. Aufsicht
Anmerkungen
Artikel 66 Dringlichkeitsverfahren
Kommentierung
I. Erwägungsgründe
II. BDSG
III. Genese
IV. Aufsicht, Ausschuss, Leitlinien
1. Allgemeines
2. Dringlichkeitsverfahren nach Art. 66 Abs. 1
a) Dringender Handlungsbedarf
b) Abwägung
c) Mitteilungspflicht
d) Maßnahmen – Anwendungspraxis
3. Dringlichkeitsverfahren nach Art. 66 Abs. 2
4. Dringlichkeitsverfahren nach Art. 66 Abs. 3
II. BDSG
C. Praxishinweise
Anmerkungen
Artikel 67 Informationsaustausch
Kommentierung
I. Erwägungsgründe
II. BDSG
III. Normengenese und Materialien
I. DS-GVO
II. BDSG
C. Praxishinweise. I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für die Aufsicht
Anmerkungen
Abschnitt 3 Europäischer Datenschutzausschuss
Artikel 68 Europäischer Datenschutzausschuss
Kommentierung
I. Erwägungsgründe
1. ErwG 139
2. ErwG 119
1. DSRL
2. BDSG a.F
3. Regelungsvorschläge der Art.-29-Datenschutzgruppe
4. Gesetzgebungsverfahren
a) Verhältnis des Ausschusses zur Kommission
b) Rolle des Europäischen Datenschutzbeauftragten
III. Ausfüllung des unionsrechtlichen Regelungsrahmens durch das BDSG
I. Rechtsnatur des Ausschusses (Abs. 1)
1. Einrichtung der Union
2. Eigene Rechtspersönlichkeit
3. Korrespondierende Norm im BDSG?
1. Inhalt und Aufgabenspektrum
2. Wahrnehmung der Vertretungsaufgabe: Aufgabenverteilung zwischen Vorsitzendem und Stellvertretern
III. Ausschussmitglieder (Abs. 3 und 4)
1. Europäischer Datenschutzbeauftragter
2. „Leiter einer Aufsichtsbehörde jedes Mitgliedstaats“
3. Stellvertreter („oder ihren jeweiligen Vertretern“)
a) Rechtsstatus
aa) Stellvertreter des Leiters der nationalen Aufsichtsbehörde
(1) Grundsätzliche Offenheit der DS-GVO
(2) Sonderfall föderal strukturierter Mitgliedstaaten
bb) Stellvertreter des Europäischen Datenschutzbeauftragten
4. Rolle der Kommission
IV. Innerstaatliche Vertretung in föderalen Staaten (Abs. 4)
1. Begrenzte unionsrechtliche Vorgaben und deutsches Modell
2. Regelungskompetenz: Bestimmungsrecht in der Bundesrepublik Deutschland
a) Regelungskompetenz für das nationale Datenschutzrecht
b) Kompetenz zur Außenvertretung
aa) Art. 23 Abs. 1 S. 2 GG und Art. 16 Abs. 2 AEUV
bb) Art. 23 Abs. 7 GG
cc) Art. 73 Abs. 1 Nr. 1 Alt. 1 GG
3. Inhaltliche Ausgestaltung (Wahrnehmungskompetenz)
a) Aufgabenübertragung an den Stellvertreter (§ 17 Abs. 2 BDSG)
b) Vorabkoordination im Verfahren der Zusammenarbeit (§ 18 BDSG)
aa) Recht zur Stellungnahme und Verständigung auf einen gemeinsamen Standpunkt (§ 18 Abs. 1 S. 1 und 2 BDSG)
bb) Beteiligung der medienrechtlichen Aufsichtsbehörden sowie der Aufsichtsbehörden der Kirchen (§ 18 Abs. 1 S. 4 BDSG)
cc) Verfahren in Konstellationen fehlenden Einvernehmens über einen gemeinsamen Standpunkt (§ 18 Abs. 2 BDSG)
dd) Verständigung auf eine Verhandlungsführung auf der Grundlage des gemeinsamen Standpunkts
V. Stimmrecht des Europäischen Datenschutzbeauftragten (Abs. 6)
C. Zusammenfassung und Ausblick
I. Relevanz für Aufsichtsbehörden
II. Sanktionen und Bußgeldkompetenz
Anmerkungen
Artikel 69 Unabhängigkeit
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe
II. Systematische Stellung
1. DSRL
2. Normgenese
1. BDSG a.F
2. BDSG n.F
B. Inhalt der Norm
I. Unabhängigkeitsgarantie (Abs. 1)
1. Vergleich zum Primärrecht und primärrechtliche Vorprägungen
a) Organisatorische Dimension des Datenschutzgrundrechts (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 UAbs. 1 S. 2 AEUV)
b) Unabhängige europäische Verwaltung i.S.d. Art. 298 Abs. 1 AEUV
2. Systematischer Vergleich zu Art. 52
a) Unabhängigkeit (Art. 69 Abs. 1) versus „völlig[e] Unabhängigkeit (Art. 52 Abs. 1)
b) Persönliche Unabhängigkeit?
c) Sachliche Unabhängigkeit, Ausstattung
aa) Personalhoheit
bb) Ausstattung mit sächlichen und organisatorischen Mitteln
3. Vergleich zu anderen unabhängigen EU-Institutionen
4. Schlussfolgerungen
II. Weisungsfreiheit (Abs. 2)
1. „Weisung“
2. „ersucht […] weder“
3. „noch nimmt er […] entgegen“
4. „unbeschadet der Ersuchen der Kommission gem. Art. 70 Abs. 1 und 2“
Anmerkungen
Artikel 70 Aufgaben des Ausschusses
Kommentierung
A. Einordnung und Kontext
1. Grundsätzliches (S. 1)
2. Die Konkretisierung von Abs. 1: einzelne Aufgaben (S. 2)
a) Beteiligung im Kohärenzverfahren (lit. a, t, y)
b) Beratung der Kommission bezüglich des Schutzes personenbezogener Daten (lit. b und c)
c) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren (lit. d–j, k und m) sowie Implementationskontrolle (lit. l)
aa) Riskante Vorgänge (lit. d–h)
bb) Verfahrensmäßige Anforderungen (lit. j, k, m)
cc) Überprüfung der praktischen Anwendung (lit. l)
d) Förderung von Verhaltensregeln, Bereitstellung von Zertifizierungsverfahren (lit. n–q)
e) Stellungnahmen gegenüber der Kommission (lit. q, r, s und x)
f) Unterstützung der Zusammenarbeit der Aufsichtsbehörden (lit. u–w)
g) Registerführung (Art. 70 Abs. 1 S. 2 lit. o und y)
II. Dringlichkeitsbefugnisse der Kommission bezogen auf Fristen (Abs. 2)
III. Transparenz und Publizität (Abs. 3)
IV. Konsultation interessierter Kreise (Abs. 4)
C. Praxishinweise
Anmerkungen
Artikel 71 Berichterstattung
Kommentierung
I. ErwG
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. Normgenese
1. Erstellung
2. Veröffentlichung
II. Zu den Inhalten (Abs. 1 und Abs. 2)
C. Praxishinweise
Anmerkungen
Artikel 72 Verfahrensweise
Kommentierung
A. Einordnung und Kontext
I. Datenschutz-Richtlinie 95/46/EG (DSRL)
II. Normgenese
1. Einfache Mitgliedermehrheit
2. Ausnahmsweise erforderliche Zwei-Drittel-Mehrheit, wenn „etwas anderes“ bestimmt ist
II. Geschäftsordnungsfragen (Abs. 2)
C. Praxishinweise
Anmerkungen
Artikel 73 Vorsitz
Kommentierung
I. Erwägungsgründe
II. Normgenese und Materialien
I. Wahl von Vorsitz und dessen Stellvertretung (Abs. 1)
II. Periodizität (Abs. 2)
C. Praxishinweise
Anmerkungen
Artikel 74 Aufgaben des Vorsitzes
Kommentierung
I. Mögliche Vorbilder
II. Normgenese
I. Aufgaben des Vorsitzes (Abs. 1)
1. Einberufung von Sitzungen und Erstellung der Tagesordnung (lit. a)
2. Übermittlung von Beschlüssen (lit. b)
3. Garantie der Rechtzeitigkeit (lit. c)
4. Weitere Aufgaben
II. Interne Aufgabenverteilung (Abs. 2)
C. Praxishinweise
Anmerkungen
Artikel 75 Sekretariat
Kommentierung
A. Einordnung und Kontext
I. Einrichtung und Governance des Sekretariats (Abs. 1 und 2)
II. Berichterstattung (Abs. 3)
III. Abschluss einer Anwendungsvereinbarung (Abs. 4)
IV. Aufgaben (Abs. 5 und 6)
C. Praxishinweise
Anmerkungen
Artikel 76 Vertraulichkeit
Kommentierung
I. Einordnung
II. Normgenese und Materialien
I. Vertraulichkeitsanforderungen (Abs. 1)
II. Informationszugang (Abs. 2)
C. Praxishinweise
Anmerkungen
Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen
Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde
Kommentierung
A. Einordnung und Hintergrund
I. DSRL und BDSG a.F
II. Artikel-29-Datenschutzgruppe/Beschlüsse des Düsseldorfer-Kreises und der DSK
1. Beschwerde bei einer „beliebigen“ Aufsichtsbehörde
2. Zuständigkeitsdiffusion im föderalen Aufsichtssystem aus Sicht des Betroffenen
3. Auseinanderfallen von Zuständigkeit für eine Beschwerde und Zuständigkeit für eine Maßnahme
4. Originäre Befugnisse und Aufgaben der Behörde, bei der eine Beschwerde eingelegt wurde
5. Rechtsbehelf nur gegen die nach Art. 55 und 56 zuständige Behörde
6. Kein Recht auf ein bestimmtes Tätigwerden der Aufsichtsbehörde
7. Beschwerdeberechtigung und -befugnis
8. Unbeschadet weiterer Rechtbehelfe
9. Unentgeltliche, formlose und fristlose Beschwerde
1. Benachrichtigungspflicht der Behörde
2. Zeitpunkt der Rechtsbehelfsbelehrung
3. Rechtsbehelfsbelehrung bezüglich der zuständigen Behörde(n)
III. Pflicht zur Information über das Beschwerderecht
IV. Regelungen im BDSG n.F
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Kommentierung
1. Erwägungsgrund 141 (S. 1, 3 und 4)
2. Erwägungsgrund 142
3. Erwägungsgrund 143
4. Erwägungsgrund 147
II. BDSG n.F
III. Normgenese und Umfeld
I. Allgemeines
II. Anwendungsbereich
1. DS-GVO
a) Aktivlegitimation
b) Rechtsverbindlicher Beschluss einer Aufsichtsbehörde
aa) Beschluss
bb) Rechtsverbindlichkeit
c) Klagegegner
d) Verhältnis zu anderen Rechtsbehelfen
2. BDSG n.F
a) Klagegegner und Verfahrensbeteiligte
b) Entbehrlichkeit des Vorverfahrens
c) Unanwendbarkeit von § 80 Abs. 2 S. 1 Nr. 4 VwGO
1. DS-GVO
a) Aktivlegitimation
b) Untätigkeit der Aufsichtsbehörde
aa) Alt. 1: Nichtbefassen
bb) Alt. 2: Fehlende Unterrichtung
c) Klagegegner
d) Klageziel
e) Verhältnis zu anderen Rechtsbehelfen
2. BDSG n.F
1. DS-GVO
a) Grundsatz
b) Vorlagepflicht
2. BDSG n.F
VI. Abs. 4 Kohärenzverfahren
1. DS-GVO
2. BDSG n.F
VII. Verhältnis zum nationalen Prozessrecht
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
Kommentierung
1. Erwägungsgrund 141 (S. 1 2. Fall)
2. Erwägungsgrund 142
3. Erwägungsgrund 145
II. BDSG n.F
III. Normgenese und Umfeld
I. Allgemeines
II. Anwendungsbereich: Verhältnis zum Verantwortlichen/Auftragsverarbeiter
1. DS-GVO
a) Aktivlegitimation
b) Klagebefugnis
aa) Rechtsverletzung des Klägers
bb) DS-GVO-widrige Datenverarbeitung
c) Klagegegner
d) Wirksamer gerichtlicher Rechtsbehelf
e) Verhältnis zu anderen Rechtsbehelfen
f) Verhältnis zum nationalen Prozessrecht
2. BDSG n.F
1. DS-GVO
2. BDSG n.F
V. Zulässigkeit von Gerichtsstandsklauseln
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 80 Vertretung von betroffenen Personen
Kommentierung
I. DSRL
II. Popularklagen nach BDSG a.F., UKlaG, UWG
1. Vertretungsbefugnis in individuellen Fällen
2. Vertretung bei Beschwerden
3. Vertretungsbefugnis für die in Art. 78 und 79 genannten Rechte
a) Vorgesehene Regelung im Recht der Mitgliedstaaten
b) Keine Umsetzung einer Schadensersatz-Verbandsklage
5. Gerichtliche Vertretung
6. Vertretung in einem anderen Land
7. Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht
1. Öffnungsklausel für die Mitgliedstaaten für Popularklagen
a) Abschließende Regelung zur Verbandsklage
b) Umsetzung im nationalen Recht
Anmerkungen
Artikel 81 Aussetzung des Verfahrens
Kommentierung
I. DSRL
II. BDSG a.F
I. Allgemeines
1. Derselbe Verantwortliche oder Auftragsverarbeiter
2. Verfahrensgegenstand
3. Betroffene Gerichte
4. Grenzüberschreitende Dimension
III. Kontaktaufnahme zwischen den Gerichten (Abs. 1)
IV. Möglichkeit zur Aussetzung (Abs. 2)
V. Unzuständigkeit (Abs. 3)
C. Praxishinweise
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 82 Haftung und Recht auf Schadenersatz
Kommentierung
A. Einordnung und Hintergrund
I. DSRL
II. BDSG a.F
I. Verstoß gegen die Verordnung (Abs. 1)
1. Schaden
a) Materielle und immaterielle Schäden nach deutschem oder abweichendem nationalen Recht
b) Immaterielle Schäden nach der bisherigen deutschen Rechtsprechung
c) Übertragbarkeit der bisherigen Rechtsprechung
d) Rechtsprechung zu Art. 82
e) Rückgriff auf Bußgeldvorschriften der DS-GVO?
f) Unterlassungs- und Beseitigungsansprüche
2. Anspruchsverpflichteter
3. Anspruchsberechtigter
4. Kausalität
5. Beweislast
II. Verschuldensprinzip (Abs. 2)
III. Beweislastumkehr (Abs. 3)
IV. Gesamtschuldnerschaft (Abs. 4)
V. Schuldnerinnenausgleich (Abs. 5)
VI. Gerichtsstand (Abs. 6)
VII. Verjährung, Übertragbarkeit, Vererblichkeit
VIII. Konkurrenzen und parallele Ansprüche
IX. Anspruch aus § 83 BDSG n.F
X. Abweichende vertragliche Regelung zwischen Verantwortlichem und Auftragsverarbeiter
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
Kommentierung
I. DSRL
II. BDSG a.F
III. WP der Art.-29-Datenschutzgruppe
I. Allgemein (Art. 83)
II. Kompetenzgrundlage
1. Abhilfebefugnis
a) Unionsrechtliche Vorgaben
b) Kollision mit deutschem Recht
3. Einzelfallprüfung
a) Allgemein
b) Ausnahmen
c) Bußgelder gegen Behörden und öffentliche Stellen (Abs. 7)
aa) Öffnungsklausel
bb) Bußgelder gegen Mitarbeiter
cc) Anwendung der Öffnungsklausel in Deutschland
dd) Verweis auf Abhilfebefugnis gem. Art. 58 Abs. 2
a) Anwendbarkeit des Ordnungswidrigkeitenrechts
b) Verfahrensrecht
1. Wirksamkeit, Verhältnismäßigkeit und Abschreckung
a) Bußgeldhöhe
b) Bußgeldadressat
3. Vereinbarkeit mit dem Unionsrecht
a) Vorgaben zu Verfahrensgarantien
b) Umsetzung im nationalen Recht
a) Art, Schwere und Dauer des Verstoßes (lit. a)
b) Verschulden (lit. b)
c) Kategorien personenbezogener Daten (lit. g)
a) Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen (lit. d)
b) Vorheriger Vergehen und aufsichtsbehördliche Maßnahmen (lit. e und i)
c) Einhaltung genehmigter Verhaltensregeln und Zertifizierungsverfahren (lit. j)
a) Schadensminderung (lit. c)
b) Umfang der Zusammenarbeit mit den Aufsichtsbehörden (lit. f)
c) Art und Weise der Kenntniserlangung des Verstoßes (lit. h)
4. Auffangregelung (lit. k)
VI. Zwischenergebnis
VII. Höhe der Bußgelder
a) Numerische Höchstbeträge
b) Relative Höchstbeträge
c) Anzuwendender Unternehmensbegriff
a) Allgemeine Bedingungen (Abs. 1)
b) Kriterien (Abs. 2)
c) Harmonisierung der Bußgeldhöhe
aa) Deutschland
bb) Übrige EU-Mitgliedstaaten
cc) Vorgehen auf EU-Ebene
aa) Umgang bei Tateinheit und Tatmehrheit
bb) Spezialfall: Fortwährende Tatmehrheit oder Tateinheit („Dauerverstoß“)
3. Konkretisierung durch nationales Recht?
VIII. Tatbestände
1. Tatbestände des Abs. 4
2. Tatbestände des Abs. 5 und Abs. 6
3. Tatbestände des § 43 BDSG n.F
1. Allgemeines
a) Ausgangspunkt des Verfahrens: Beschwerden von Verbänden
b) Verstoß 1: Mangelnde Transparenz i.S.d. Art. 12–14
c) Verstoß 2: Keine rechtskonforme Einwilligung für Anzeigenpersonalisierung
d) Gründe für die Bußgeldhöhe
X. Sonderregelung (Abs. 9)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
§ 41 BDSG Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
Kommentierung
A. Einordnung und Hintergrund
B. Kommentierung
I. Materielles Bußgeldrecht
1. Die juristische Person als Bußgeldadressat
a) Handlungs- und Schuldzurechnung zur juristischen Person (§ 30 OWiG)
b) Haftung handelnder Akteure (§§ 9, 130 OWiG)
2. Schuld
a) § 10 OWiG
b) Das Schuldprinzip
c) Erkennbarkeit des Pflichtverstoßes
3. Verhältnismäßigkeitsprinzip
4. Höhe der Bußgelder
a) Nichtanwendbarkeit des § 17 OWiG
b) Divergenz zwischen dem Bußgeldkonzept der DSK und § 17 OWiG
c) Verfassungsrechtliche Bewertung
(1) Gerechter Schuldausgleich durch Sanktion
(2) Verhältnismäßigkeitsprinzip
d) Unionsrechtswidrigkeit
II. Bußgeldverfahrensrecht
III. Vorbeugender Rechtsschutz gegen ein Bußgeld
§ 43 BDSG Bußgeldvorschriften
Kommentierung
A. Einordnung und Hintergrund
I. Bußgeldtatbestände (§ 43 Abs. 1 und 2 BDSG)
II. Ausschluss von Geldbußen gegen Behörden und öffentliche Stellen (§ 43 Abs. 3 BDSG)
III. Verwendungsverbot der Meldungen von Datenpannen (§ 43 Abs. 4 BDSG)
1. Grundrechtlicher Hintergrund
a) Reichweite
b) Persönlicher Anwendungsbereich
c) Sachlicher Anwendungsbereich
3. Unionsrechtskonformität
a) Das Selbstbelastungsprivileg in der europäischen Judikatur
b) Effektivitätsgrundsatz
Anmerkungen
Artikel 84 Sanktionen
Kommentierung
I. DSRL
II. BDSG a.F
I. Allgemein (Art. 84)
1. Art der Öffnungsklausel
2. Gestaltungsspielraum der Mitgliedstaaten
1. Zu regelnde Sanktionen
a) Strafrechtliche Sanktionen
b) Verwaltungsrechtliche Sanktionen
2. Tatbestand
3. Effektivität der Rechtsdurchsetzung
4. Verfahrensgarantien
5. Maßnahmen zur Rechtsdurchsetzung
IV. Umsetzung im nationalen Strafrecht
1. § 42 BDSG n.F
2. Verfahrensgarantien (§ 41 BDSG n.F.)
3. Ausblick
V. Vergleich mit anderen Mitgliedstaaten
VI. Notifizierung (Abs. 2)
§ 42 BDSG Strafvorschriften
Kommentierung
A. Einordnung und Hintergrund
I. Straftatbestände
1. Unbefugte Weitergabe von Daten (§ 42 Abs. 1 BDSG)
2. Unbefugte Verarbeitung/Erschleichung von Daten (§ 42 Abs. 2 BDSG)
II. Antragserfordernis (§ 42 Abs. 3 BDSG)
III. Verwendungsverbot für die Meldung von Datenpannen (§ 42 Abs. 4 BDSG)
Anmerkungen
Kapitel IX Vorschriften für besondere Verarbeitungssituationen
Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgrund 153
1. Art. 9 DSRL
2. BDSG, KUG und landesrechtliche Vorschriften
1. Verhältnis von Art. 85 Abs. 1 und Abs. 2
2. Freiheit der Meinungsäußerung und Informationsfreiheit
a) Von Art. 85 Abs. 2 privilegierte Zwecke
aa) Journalistische Zwecke
bb) Wissenschaftliche, künstlerische oder literarische Zwecke
b) Datenverarbeitung ausschließlich zu privilegierten Zwecken?
4. Gesetzliche Regelung erforderlicher Abweichungen und Ausnahmen
II. Art. 85 Abs. 3
1. Einleitung
2. Entwicklung des Rechts auf Vergessenwerden im Lichte des Medienprivilegs
3. BVerfG zum „Recht auf Vergessen“
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Kommentierung
I. Zweck der Vorschrift
II. Genese
B. Kommentierung
I. Begriff des amtlichen Dokuments
II. Behörde, öffentliche Einrichtung oder private Einrichtung zur Erfüllung von im öffentlichen Interesse liegenden Aufgaben
III. Im Besitz
IV. Öffnungsklausel
V. Aktuelle Rechtslage in Deutschland
C. Praxishinweise
Anmerkungen
Artikel 87 Verarbeitung der nationalen Kennziffer
Kommentierung
I. Zweck der Vorschrift
II. Genese
1. Begriff der nationalen Kennziffer/Kennzeichen von allgemeiner Bedeutung
2. Anwendungsbereich der Vorschrift
II. Art. 87 S. 2
III. Rechtliche Situation in Deutschland
C. Praxishinweise
Anmerkungen
Artikel 88 Datenverarbeitung im Beschäftigungskontext
Kommentierung
I. Genese
II. Bezüge
1. Öffnung für spezifischere Vorschriften (Art. 88 Abs. 1)
2. Drei Funktionen: Abgrenzung, Gestaltungsvorgabe, Einschränkung des Geltungsbereichs der DS-GVO
1. Verarbeitung von Beschäftigtendaten im Beschäftigungskontext (Art. 88 Abs. 1)
2. Mögliche Regelungsgegenstände von mitgliedstaatlichen Spezifizierungsrechtsakten
3. Partielle Regelung durch Spezifizierungsrechtsakte, subsidiäre Geltung der DS-GVO
III. Gestaltungsvorgaben für mitgliedstaatliche Spezifizierungsrechtsakte (Art. 88 Abs. 2)
1. Gestaltungsvorgaben nach Art. 88 Abs. 2
2. Herstellung praktischer Konkordanz europäischer Grundrechte und Grundfreiheiten
a) Insbesondere: Rechtmäßigkeit der Verarbeitung
b) Insbesondere: Betroffenenrechte
3. Keine Bindung an Schutzniveau der DS-GVO
IV. Mitgliedstaatliche Spezifizierungsrechtsakte
V. System des deutschen Beschäftigtendatenschutzes: Zusammenspiel von insb. BDSG, TVG, BetrVG und Personalvertretungsrecht
I. Relevanz für (nicht)öffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
V. Sanktionen
Anhang § 26 BDSG Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Kommentierung
I. § 26 BDSG n.F. als Fortführung des § 32 BDSG a.F
1. § 26 Abs. 1 S. 1 BDSG n.F. – Erforderlichkeit für Zwecke des Beschäftigungsverhältnisses
2. § 26 Abs. 1 S. 1 Alt. 2 BDSG n.F. – betriebsverfassungsrechtliche Zwecke
a) Verhältnis des § 26 Abs. 1 S. 1 BDSG n.F. zu allgemeinen Informationspflichten des BetrVG
b) Maßstab: Erforderlichkeit zur Pflichterfüllung, § 26 Abs. 1 S. 1 Alt. 2 BDSG n.F
3. § 26 Abs. 1 S. 2 BDSG n.F. – repressive Zwecke
4. Praxishinweise für repressives Vorgehen
5. Rückgriffsmöglichkeit auf allgemeine Erlaubnistatbestände der DS-GVO
III. Einwilligung (§ 26 Abs. 2)
IV. § 26 Abs. 3 BDSG n.F.: Personenbezogene Daten und besondere Kategorien personenbezogener Daten
1. Die Klarstellung durch Art. 88 Abs. 1 und § 26 Abs. 4 BDSG
2. Grenzen der Regelungsautonomie
a) Bisher § 75 Abs. 2 S. 1 BetrVG
b) Ergänzend: Art. 88 Abs. 2
aa) Abweichungsmöglichkeit vom Standard der DS-GVO?
bb) Orientierungshilfen in Art. 88 Abs. 2 – Transparenz, Konzerndatenverarbeitung, Überwachungssysteme
(1) Benennung der Betriebsvereinbarung als Erlaubnisnorm
(2) Keine Notwendigkeit umfassender Regelung datenschutzrechtlicher Fragen
VI. § 26 Abs. 5 BDSG n.F
VII. § 26 Abs. 6 BDSG n.F.: Beteiligungsrechte der Interessenvertretung
VIII. § 26 Abs. 7 und 8 BDSG n.F. – sachlicher und persönlicher Anwendungsbereich
Anmerkungen
Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder. historischen Forschungszwecken und zu statistischen Zwecken
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe
II. Normgenese und Umfeld
1. RL 95/46/EG
2. BDSG a.F
3. Verhältnis zu anderen Normen der DS-GVO
1. Im öffentlichen Interesse liegende Archivzwecke
2. Wissenschaftliche Forschungszwecke
3. Historische Forschungszwecke
4. Statistische Zwecke
II. Geeignete Garantien (Abs. 1)
1. Ausnahmen nach Abs. 2
2. Ausnahmen nach Abs. 3
3. Schranken des Abs. 4
IV. §§ 27, 28 BDSG
1. § 27 Abs. 2 BDSG
2. § 28 Abs. 2, Abs. 3 und Abs. 4 BDSG
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 90 Geheimhaltungspflichten
Kommentierung
A. Einordnung und Hintergrund
I. Erwägungsgründe
II. BDSG
III. Normgenese und Umfeld
1. RL 95/46/EG
2. BDSG a.F
B. Kommentierung im Einzelnen
I. Untersuchungsbefugnisse der Aufsichtsbehörde
II. Berufsgeheimnis oder gleichwertige Geheimhaltungspflicht
III. Regelungsumfang der Mitgliedstaaten
IV. Mitteilungspflicht (Abs. 2)
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
VI. Sanktionen
Anmerkungen
Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
Kommentierung
I. Europarechtliche Grundlage
II. Pendelblick zum deutschen Verfassungsrecht
III. Bisherige Rechtslage unter Geltung der Datenschutzrichtlinie 95/46/EG
IV. Genese der Vorschrift
1. Zweck der Vorschrift
2. Abs. 1
a) Anwendungsbereich
b) Reine Weitergeltung bisheriger Regeln?
c) „Umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung“
d) „In-Einklang-bringen“ mit der DS-GVO
3. Abs. 2
4. Fehlende Verfahrensregelungen
VI. Umsetzung der Sonderregelung durch die beiden Amtskirchen
1. Wesentlicher Inhalt der katholischen Regelung (Kirchliches Datenschutzgesetz – KDG)
2. Wesentlicher Inhalt der evangelischen Regelung (EKD-Datenschutzgesetz – DSG-EKD)
VII. Praktische Relevanz
VIII. Übersicht
Anmerkungen
Kapitel X Delegierte Rechtsakte und Durchführungsrechtsakte
Artikel 92 Ausübung der Befugnisübertragung
Kommentierung
I. Erwägungsgründe
II. Normgenese
B. Kommentierung
I. Einführende Bestimmungen (Abs. 1)
II. Dauer der Befugnisübertragung (Abs. 2)
III. Widerrufsmöglichkeiten (Abs. 3)
IV. Übermittlung delegierter Rechtsakte (Abs. 4)
V. Mögliche Einwände (Abs. 5)
C. Praxishinweise
Anmerkungen
Artikel 93 Ausschussverfahren
Kommentierung
I. Erwägungsgründe
1. Datenschutz-Richtlinie 95/46/EG (DSRL)
2. Entwürfe zur DS-GVO
I. Ausschuss aus Vertretern der Mitgliedstaaten (Abs. 1)
1. Verfahrensarten
2. Von der Verweisung erfasste Befugnisübertragungen
3. Verfahren beim Erlass von Durchführungsrecht zur DS-GVO
III. Verweisung auf Art. 8 i.V.m. Art. 5 VO (EU) Nr. 182/2011 (Abs. 3) für Fälle äußerster Dringlichkeit
C. Praxishinweise
Anmerkungen
Kapitel XI Schlussbestimmungen
Artikel 94 Aufhebung der Richtlinie 95/46/EG
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
I. Regelungsinhalt
1. Aufhebung der Richtlinie
2. Fortgeltung auf der Richtlinie beruhender Rechtsakte
1. Verweise auf die Datenschutzrichtlinie
2. Verweise auf die Art.-29-Datenschutzgruppe
I. Relevanz für öffentliche Stellen
II. Relevanz für nichtöffentliche Stellen
III. Relevanz für betroffene Personen
IV. Relevanz für Aufsichtsbehörden
V. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 95 Verhältnis zur Richtlinie 2002/58/EG
Kommentierung
I. Erwägungsgründe
II. TKG und TMG
III. Normengenese und -umfeld
I. Regelungsinhalt
II. Verhältnis zur Richtlinie 2002/58/EG
III. Folgen für die Anwendbarkeit des TKG und des TMG
IV. Anpassung und Überprüfung der Richtlinie
1. Art. 95
2. Telekommunikationsdatenschutz nach der ePrivacy-VO
I. Relevanz für öffentliche Stellen und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
I. Regelungsinhalt
II. Internationale Übereinkünfte
III. Fortgeltung
1. Einklang mit dem vor dem 24.5.2016 geltenden Unionsrecht
2. Zeitpunkt des Abschlusses
IV. Anwendbarkeit
V. Fazit
I. Relevanz für öffentliche Stellen und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 97 Berichte der Kommission
Kommentierung
I. Erwägungsgründe
II. BDSG oder andere Vorschriften
III. Normengenese und -umfeld
I. Regelungsinhalt
II. Frist
III. Form der Berichte
IV. Inhalt der Berichte
V. Einholen von Informationen
VI. Beachtung der Standpunkte anderer Stellen
VII. Vorschläge zur Änderung der Verordnung
I. Relevanz für öffentliche Stellen und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
I. Regelungsinhalt
II. Satz 1
III. Satz 2
I. Relevanz für öffentliche Stellen und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Artikel 99 Inkrafttreten und Anwendung
Kommentierung
I. Erwägungsgründe
II. BDSG n.F
III. Normengenese und -umfeld
I. Regelungsinhalt
II. Abs. 1: Inkrafttreten
III. Abs. 2: Geltungsbeginn
I. Relevanz für öffentliche Stellen und nichtöffentliche Stellen
II. Relevanz für betroffene Personen
III. Relevanz für Aufsichtsbehörden
IV. Relevanz für das Datenschutzmanagement
Anmerkungen
Anhang 1 Erwägungsgründe der DS-GVO
Anmerkungen
Bundesdatenschutzgesetz (BDSG) [1]
§ 1 Anwendungsbereich des Gesetzes
§ 2 Begriffsbestimmungen
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
§ 4 Videoüberwachung öffentlich zugänglicher Räume
§ 5 Benennung
§ 6 Stellung
§ 7 Aufgaben
§ 8 Errichtung
§ 9 Zuständigkeit
§ 10 Unabhängigkeit
§ 11 Ernennung und Amtszeit
§ 12 Amtsverhältnis
§ 13 Rechte und Pflichten
§ 14 Aufgaben
§ 15 Tätigkeitsbericht
§ 16 Befugnisse
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
§ 19 Zuständigkeiten
§ 20 Gerichtlicher Rechtsschutz
§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
§ 25 Datenübermittlungen durch öffentliche Stellen
Abschnitt 2 Besondere Verarbeitungssituationen § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
§ 30 Verbraucherkredite
§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
§ 34 Auskunftsrecht der betroffenen Person
§ 35 Recht auf Löschung
§ 36 Widerspruchsrecht
§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
§ 39 Akkreditierung
§ 40 Aufsichtsbehörden der Länder
Kapitel 5 Sanktionen § 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
§ 42 Strafvorschriften
§ 43 Bußgeldvorschriften
§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
§ 45 Anwendungsbereich
§ 46 Begriffsbestimmungen
§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 49 Verarbeitung zu anderen Zwecken
§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
§ 51 Einwilligung
§ 52 Verarbeitung auf Weisung des Verantwortlichen
§ 53 Datengeheimnis
§ 54 Automatisierte Einzelentscheidung
§ 55 Allgemeine Informationen zu Datenverarbeitungen
§ 56 Benachrichtigung betroffener Personen
§ 57 Auskunftsrecht
§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person
§ 60 Anrufung der oder des Bundesbeauftragten
§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
§ 62 Auftragsverarbeitung
§ 63 Gemeinsam Verantwortliche
§ 64 Anforderungen an die Sicherheit der Datenverarbeitung
§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
§ 67 Durchführung einer Datenschutz-Folgenabschätzung
§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
§ 69 Anhörung der oder des Bundesbeauftragten
§ 70 Verzeichnis von Verarbeitungstätigkeiten
§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
§ 74 Verfahren bei Übermittlungen
§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
§ 76 Protokollierung
§ 77 Vertrauliche Meldung von Verstößen
§ 78 Allgemeine Voraussetzungen
§ 79 Datenübermittlung bei geeigneten Garantien
§ 80 Datenübermittlung ohne geeignete Garantien
§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
§ 82 Gegenseitige Amtshilfe
§ 83 Schadensersatz und Entschädigung
§ 84 Strafvorschriften
Teil 4 Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten § 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 86 Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen
Anmerkungen
Stichwortverzeichnis
