Оглавление
Группа авторов. DSGVO - BDSG - TTDSG
DSGVO – BDSG – TTDSG
Vorwort
Bearbeiterverzeichnis
Inhaltsverzeichnis
Abkürzungsverzeichnis
Literaturverzeichnis
Einführung
I. Entwicklung des Datenschutzrechts
1. Normierung des Datenschutzrechts
2. Internationales Datenschutzrecht
a) OECD
b) Vereinte Nationen
c) Europarat
3. Datenschutzrichtlinie
4. Bundesdatenschutzgesetz 1977–2018
II. Datenschutz-Grundverordnung
1. Meilensteine auf dem Weg zur DSGVO
a) Kommissionsentwurf
b) Parlamentsentwurf
c) Ratsentwurf
d) Trilog und Verabschiedung der DSGVO
2. Struktur und wesentliche Inhalte der DSGVO
3. Gesetzgebungskompetenz der Union
4. Verfassungsrechtliche Kritik
5. Öffnungsklauseln
III. Neues deutsches Datenschutzrecht
1. Bundesdatenschutzgesetz – Gesetzgebungsprozess
2. Struktur des BDSG
3. Gesetzgebungskompetenz
4. Neue Datenschutzgesetze der Länder
Art. 1 Gegenstand und Ziele
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Gegenstand und Inhalt der Verordnung (Abs. 1)
1. Datenschutz – Begriff
2. Schutz natürlicher Personen und freier Datenverkehr
3. Zielkonflikt
III. Schutz der Grundrechte (Abs. 2)
1. Kein Schutz juristischer Personen
2. Kein Schutz Verstorbener oder Ungeborener und postmortales Persönlichkeitsrecht
3. Grundrechte und Grundfreiheiten
a) Europäische Grundrechte und Grundfreiheiten
b) Recht auf Datenschutz in der europäischen Grundrechtsdogmatik
c) Datenschutz in der deutschen und mitgliedstaatlichen Grundrechtsdogmatik
d) Recht auf informationelle Selbstbestimmung
e) Integrität informationstechnischer Systeme
f) Beeinträchtigung des Rechts auf Schutz personenbezogener Daten
4. DSGVO als Schutzgesetz
a) Deliktische und vertragliche Schutzwirkung
b) Arbeitnehmerschutz und Mitbestimmung
c) Verbraucherschutz
d) Wettbewerbsschutz
e) Informationszugangsrecht
IV. Freier Datenverkehr in der Union (Abs. 3)
1. Normadressat
2. Freier Informationsbinnenmarkt
Art. 2 Sachlicher Anwendungsbereich
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Automatisierte und dateimäßige Verarbeitung (Abs. 1)
1. Personenbezogene Daten
2. Ganz oder teilweise automatisierte Verarbeitung
3. Nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem
III. Ausnahmen vom Anwendungsbereich (Abs. 2 und Abs. 3)
1. Fehlender Anwendungsbereich des Unionsrechts (Abs. 2 lit. a)
2. Anwendungsbereich von Titel V Kap. 2 EUV (Abs. 2 lit. b)
3. Persönlich familiäre Tätigkeiten (Abs. 2 lit. c)
a) Definition persönlich/familiärer Tätigkeiten
b) Einschränkung der Haushaltsausnahme für Internet und soziale Medien
c) Geografische Einschränkung der Haushaltsausnahme
4. Strafrecht und Gefahrenabwehr (Abs. 2 lit. d)
5. Datenverarbeitung durch Einrichtungen und Organe der Union (Abs. 3)
IV. Richtlinie 2000/31/EG (Abs. 4)
Art. 3 Räumlicher Anwendungsbereich
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Verarbeitung durch Niederlassung in der Union (Abs. 1)
1. Niederlassung
2. Zuordnung von Verarbeitungen zu einer Niederlassung
3. Beauftragung von Auftragsverarbeitern in der Union
III. Verarbeitung ohne Niederlassung in der Union (Abs. 2)
1. Völkerrechtliches Verbot exterritorialer Wirkung
2. Keine Niederlassung in der Union
3. Angebot von Waren oder Dienstleistungen in der Union (Abs. 2 lit. a)
4. Beobachtung von Personen in der Union (Abs. 2 lit. b)
5. Kritik am Marktortprinzip
6. Beauftragung von Auftragsverarbeitern in Drittstaaten
IV. Völkerrechtliche Vorgaben (Abs. 3)
V. Geltung der DSGVO im EWR
VI. Kollisionsrecht
1. Kollision mit drittstaatlichem Datenschutzrecht
2. Kollision mitgliedstaatlicher Datenschutzgesetze
Art. 4 Begriffsbestimmungen
I. Allgemeines
II. Personenbezogene Daten (Nr. 1) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Informationen
3. Personenbezug
a) Personenbezogene Daten/Sachdaten
b) Natürliche/Betroffene Person
aa) Juristische Personen
bb) Verstorbene/Ungeborene
c) Identifizierte bzw. identifizierbare Person
aa) Identifizierte Person
bb) Identifizierbare Person
(1) Wahrscheinlichkeit der Identifizierung
(2) Relevanter Beurteilungszeitpunkt
(3) Berücksichtigung von Zusatzwissen Dritter
(4) Identifizierbarkeit bei Personengruppen
d) Foto- und Videoaufnahmen/Abgrenzung zum KUG
e) Anonyme Daten
f) Pseudonyme Daten
III. Verarbeitung (Nr. 2) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Allgemeine Definition der Verarbeitung
a) Ausgeführte(r) Vorgang/Vorgangsreihe
b) Mit oder ohne Hilfe automatisierter Verfahren
c) Im Zusammenhang mit personenbezogenen Daten
d) Verarbeitungswille
3. Beispiele für Verarbeitungsformen
a) Das Erheben personenbezogener Daten (1. Alt.)
b) Das Erfassen personenbezogener Daten (2. Alt.)
c) Die Organisation personenbezogener Daten (3. Alt.)
d) Das Ordnen personenbezogener Daten (4. Alt.)
e) Die Speicherung personenbezogener Daten (5. Alt.)
f) Die Anpassung personenbezogener Daten (6. Alt.)
g) Die Veränderung personenbezogener Daten (7. Alt.)
h) Das Auslesen personenbezogener Daten (8. Alt.)
i) Das Abfragen personenbezogener Daten (9. Alt.)
j) Die Verwendung personenbezogener Daten (10. Alt.)
k) Die Offenlegung personenbezogener Daten (11. Alt.)
aa) Übermittlung
bb) Verbreitung
cc) Andere Form der Bereitstellung
l) Der Abgleich personenbezogener Daten (12. Alt.)
m) Die Verknüpfung personenbezogener Daten (13. Alt.)
n) Die Einschränkung der Verarbeitung (14. Alt.)
o) Das Löschen personenbezogener Daten (15. Alt.)
p) Die Vernichtung personenbezogener Daten (16. Alt.)
IV. Einschränkung der Verarbeitung (Nr. 3) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff der Einschränkung der Verarbeitung. a) Inhalt
b) Rechtsfolgen
c) Mittel zur Umsetzung der Einschränkung der Verarbeitung
V. Profiling (Nr. 4) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang. a) Profiling
b) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
2. Begriff des Profiling
a) Automatisierte Datenverarbeitung
b) Verarbeitung in Bezug auf personenbezogene Daten
c) Zweck der Datenverarbeitung: Bewertung bestimmter persönlicher Aspekte
VI. Pseudonymisierung (Nr. 5) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Rechtliche Wirkung und Anreize
3. Voraussetzung einer wirksamen Pseudonymisierung
a) Zuordnung von Daten ohne Hinzuziehung zusätzlicher Informationen nicht möglich
b) Getrennte Aufbewahrung der zusätzlichen Informationen
c) Gewährleistung der Nichtzuordnung durch technische und organisatorische Maßnahmen
4. Abgrenzung zur Anonymisierung
5. Varianten der Pseudonymisierung
a) Beim Verantwortlichen selbst
b) Durch einen Dritten
c) Direkte Erhebung des Pseudonyms
6. Pseudonymisierungsverfahren
VII. Dateisystem (Nr. 6) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale eines Dateisystems
a) Sammlung personenbezogener Daten
b) Struktur
c) Zugänglichkeit nach bestimmten Kriterien
d) Unstrukturierte Erhebung als Vorstufe ausreichend
3. Ausnahme: § 26 Abs. 7 BDSG
VIII. Verantwortlicher (Nr. 7)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Mögliche Adressaten
3. Bestimmung des Verantwortlichen
a) Entscheidungsbefugnis über Zwecke und Mittel der Datenverarbeitung
b) Gegenständlicher Anknüpfungspunkt zur Bestimmung der Verantwortlichkeit
4. Gemeinsame Verantwortlichkeit/Anderweitige Zusammenarbeit
a) Voraussetzungen einer gemeinsamen Verantwortlichkeit. aa) Grundsätzliches
bb) Bisherige EuGH-Rechtsprechung
(i) Facebook-Fanpages
(ii) Zeugen Jehovas
(iii) Fashion ID
cc) Zusammenfassung/Ableitung
b) Übertragbarkeit auf andere Konstellationen/Abgrenzung zur bloßen Zusammenarbeit
c) Rechtsfolgen gemeinsamer Verantwortlichkeit
5. Delegation datenschutzrechtlicher Verantwortlichkeiten
a) Zwischen rechtlichen Einheiten: Zuweisung des Status als Verantwortlicher
aa) Grundregel: Verantwortung innerhalb des eigenen Einflussbereichs
bb) Zuweisung des Status als Verantwortlicher an eine andere Stelle
cc) Übertragung bestimmter Verantwortlichen-Pflichten auf andere Stellen
b) Innerhalb einer rechtlichen Einheit: Aufbau einer Datenschutz-Organisation
IX. Auftragsverarbeiter (Nr. 8) 1. Allgemeines/Gesetzessystematischer Zusammenhang. a) Rechtlicher Hintergrund
b) Datenschutzrechtliche Klassifizierung der Auftragsverarbeitung
c) (Gesetzliche) Pflichten und Haftung des Auftragsverarbeiters
2. Merkmale eines Auftragsverarbeiters bzw. einer Auftragsverarbeitung
a) Person des Auftragsverarbeiters
b) Möglicher Gegenstand einer Auftragsverarbeitung
c) Bestimmung der Zwecke und Mittel der Datenverarbeitung durch den Auftraggeber
d) Weisungsgebundenheit
3. Notwendigkeit einer (aktiven) Verarbeitung
4. Auftragsverarbeiter in Drittstaaten
X. Empfänger (Nr. 9) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff des Empfängers
a) Offenlegung personenbezogener Daten
b) Mögliche Adressaten. aa) Allgemeine Merkmale
bb) Personen oder Stellen innerhalb (der Organisation) des Verantwortlichen
cc) Gemeinsam Verantwortliche
dd) Ausnahme für bestimmte Behörden
XI. Dritter (Nr. 10) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff des Dritten
a) Auftragsverarbeiter innerhalb/außerhalb der EU bzw. des EWR
b) Personen, die dem Verantwortlichen/Auftragsverarbeiter zuzurechnen sind
aa) Unselbstständige Filialen, Zweigstellen und Betriebe
bb) Mitarbeitervertretungen und betriebliche Datenschutzbeauftragte
cc) Unternehmen innerhalb einer Unternehmensgruppe
dd) Gemeinsam Verantwortliche
c) Ausnahme: Personen unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters
XII. Einwilligung (Nr. 11) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang. a) Funktion der Einwilligung
b) Einwilligung nach Art. 2 lit. h DSRl
c) Weitere Anforderungen an die Einwilligung in anderen Vorschriften der DSGVO
d) Entwicklung der Definition im Rahmen des Gesetzgebungsprozesses
2. Begriff der Einwilligung
a) Anforderungen an den Inhalt der Einwilligung. aa) Freiwilligkeit der Einwilligung
bb) Bestimmtheit der Einwilligung
cc) Informiertheit der Einwilligung
b) Formale Anforderungen der Einwilligung. aa) Erteilung durch die betroffene Person
bb) Unmissverständliche Erteilung der Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung/Form der Einwilligung
cc) Einwilligungsfähigkeit
c) Zeitpunkt und Wirksamkeitsdauer der Einwilligung
XIII. Verletzung des Schutzes personenbezogener Daten (Nr. 12) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale einer Verletzung des Schutzes personenbezogener Daten
a) Verletzung der Sicherheit
b) Mögliche Verletzungserfolge
aa) Integritätsschutz (Vernichtung, Verlust, Veränderung)
bb) Unbefugte Kenntnisnahme (Offenlegung, Zugang)
XIV. Genetische Daten (Nr. 13) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff der genetischen Daten
XV. Biometrische Daten (Nr. 14) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff der biometrischen Daten
a) Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der betroffenen Person
b) Ermöglichung bzw. Bestätigung der eindeutigen Identifizierung der betroffenen Person
c) Rohdaten und Templates
XVI. Gesundheitsdaten (Nr. 15) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff der Gesundheitsdaten. a) Allgemeine Voraussetzungen
b) Beispiele für Gesundheitsdaten
c) Nummern, Symbole und Kennzeichen
d) Zweck der Verarbeitung von Gesundheitsdaten, Tatsachen, Prognosen, Wahrscheinlichkeiten und Vermutungen
e) Mittelbare Gesundheitsinformationen
f) Mischdatensätze
XVII. Hauptniederlassung (Nr. 16) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Begriff der Niederlassung
3. Bestimmung der Hauptniederlassung im Falle eines Verantwortlichen. a) Bestimmungsregeln/zu berücksichtigende Faktoren
b) Designation durch Verantwortlichen/Grenzfälle
c) Einzelnes Verarbeitungsverfahren als Anknüpfungspunkt
d) Bestimmung der Zwecke und Mittel durch außerhalb der EU ansässige Stelle
4. Bestimmung der Hauptniederlassung im Falle eines Auftragsverarbeiters
5. Organisatorische Gestaltungsmöglichkeiten
XVIII. Vertreter (Nr. 17) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale des Vertreters
XIX. Unternehmen (Nr. 18) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale der Definition
3. Erweiterter Unternehmensbegriff bei der Bußgeldbemessung
XX. Unternehmensgruppe (Nr. 19) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale einer Unternehmensgruppe
3. Abgrenzung zur Gruppe von Unternehmen
XXI. Verbindliche interne Datenschutzvorschriften (Nr. 20) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Verbindliche interne Datenschutzvorschriften und internationale Datentransfers
XXII. Aufsichtsbehörde (Nr. 21)
XXIII. Betroffene Aufsichtsbehörde (Nr. 22) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale einer betroffenen Aufsichtsbehörde
a) Niederlassung im Mitgliedstaat (Art. 4 Nr. 22 lit. a)
b) Erhebliche Auswirkungen auf Einwohner im Mitgliedstaat (Art. 4 Nr. 22 lit. b)
c) Einreichung einer Beschwerde durch Betroffenen (Art. 4 Nr. 22 lit. c)
XXIV. Grenzüberschreitende Verarbeitung (Nr. 23) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale einer grenzüberschreitenden Verarbeitung
a) Niederlassungsprinzip (Art. 4 Nr. 23 lit. a)
b) Marktortprinzip (Art. 4 Nr. 23 lit. b)
XXV. Maßgeblicher und begründeter Einspruch (Nr. 24) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale eines maßgeblichen und begründeten Einspruchs
XXVI. Dienst der Informationsgesellschaft (Nr. 25) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale des Dienstes der Informationsgesellschaft
a) Dienstleistung
b) In der Regel gegen Entgelt erbracht
c) Im Fernabsatz erbracht
d) Elektronisch erbracht
e) Auf individuellen Abruf eines Empfängers erbracht
XXVII. Internationale Organisation (Nr. 26) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale einer internationalen Organisation
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
4. Sanktionierung
II. Verarbeitungsgrundsätze (Abs. 1) 1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz(lit. a)
a) Rechtmäßigkeit
b) Verarbeitung nach Treu und Glauben
c) Transparenz
2. Zweckbindung (lit. b)
a) Grundsatz: Erhebung für festgelegte, eindeutige und legitime Zwecke
b) Ausnahme: Weiterverarbeitung in mit diesen Zwecken vereinbarer Weise
3. Datenminimierung (lit. c)
4. Richtigkeit (lit. d)
5. Speicherbegrenzung (lit. e)
6. Integrität und Vertraulichkeit (lit. f)
III. Rechenschaftspflicht (Abs. 2)
1. Inhalt und Umfang
2. Maßnahmen zur Umsetzung
Art. 6 Rechtmäßigkeit der Verarbeitung
I. Allgemeines. 1. Bedeutung der Vorschrift
2. Entstehungsgeschichte und bisherige Regelung
3. Regelungszweck
4. Normadressaten
II. Erlaubnistatbestände (Abs. 1)
1. Einwilligung (lit. a)
a) Einwilligungsfähigkeit
b) Freiwilligkeit
b) Transparenz
c) Formerfordernis
d) Verarbeitung besonderer Kategorien personenbezogener Daten
e) Zweckbindung
f) Weitere Erlaubnis bei Einwilligungswiderruf
g) Weitere Anforderungen an die Wirksamkeit der Einwilligung
2. Vertrag und vorvertragliche Verarbeitung (lit. b)
a) Erforderlichkeit
b) Verarbeitung einer E-Mail-Adresse
c) Übermittlung an Dritte zur Vertragserfüllung
d) Auslegung des Begriffs „Vertrag“
e) Einbeziehung von Daten Dritter
f) Verarbeitung zu vertraglichem Sekundärzweck
3. Rechtliche Verpflichtung (lit. c) a) Vorgängervorschriften in DSRl und BDSG a.F
b) Rechtliche Verpflichtungen aus Unionsrecht oder dem Recht der Mitgliedstaaten
c) Rechtliche Verpflichtungen in Kollektivvereinbarungen
d) Erforderlichkeit
4. Lebenswichtige Interessen (lit. d)
5. Öffentliches Interesse und Ausübung öffentlicher Gewalt (lit. e) a) Erlaubnis in Verbindung mit einer Aufgabenzuweisung
b) Aufgabenwahrnehmung im öffentlichen Interesse
c) Aufgabenwahrnehmung in Ausübung öffentlicher Gewalt
d) Weitere Anforderungen
6. Berechtigte Interessen des Verantwortlichen oder Dritter (lit. f) a) Bedeutung der Norm
b) Anwendbarkeit bei Unternehmensveräußerung
c) Alternative zur Auftragsverarbeitung
d) Interessenabwägung
e) Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten
f) Erforderlichkeit der Datenverarbeitung
g) Abwägung mit entgegenstehenden Interessen der betroffenen Personen
h) Informationspflichten
i) Widerspruchsrecht
III. Spezifische Bestimmungen der Mitgliedstaaten (Abs. 2 und 3)
IV. Zweckänderung (Abs. 4) 1. Zweckbindung
2. Zweckändernde Weiterverarbeitung
a) Zweckänderung ohne Kompatibilitätstest
b) Vereinbarkeitsprüfung („Kompatibilitätstest“) bei fehlender sonstiger Erlaubnis
3. Rechtmäßigkeit der Verarbeitung bei positivem Vereinbarkeitstest. a) Rechtsgrundlage für die zweckändernde Weiterverarbeitung
b) Vereinbarkeitsprüfung/Kompatibilitätstest
c) Kriterien der Vereinbarkeitsprüfung
d) Zweckänderung für privilegierte Zwecke
e) Zweckbindung bei einer Videoüberwachung
V. Rechtsfolgen bei Verstößen
Art. 7 Bedingung für die Einwilligung
I. Allgemeines. 1. Bedeutung der Norm
2. Entstehungsgeschichte
3. Regelungszweck
4. Normadressaten
5. Einwilligungen in der Systematik des Datenschutzrechts
6. Verhältnis zu anderen Regelungen
II. Voraussetzungen einer wirksamen Einwilligung nach Art. 7 DSGVO. 1. Nachweis der erfolgten Einwilligung (Abs. 1)
2. Formularmäßige Einwilligung (Abs. 2)
a) Verständliche und leicht zugängliche Form
b) Klare und einfache Sprache
c) Klare Unterscheidung von anderen Sachverhalten
d) Unwirksamkeitsgebot (Art. 2 Satz 1)
3. Widerrufbarkeit (Abs. 3)
4. Freiwilligkeit (Abs. 4) a) Allgemeine Anforderungen an die Freiwilligkeit
b) Kopplungsverbot
III. Sondersituationen. 1. Einwilligung im Beschäftigungsverhältnis
2. Einwilligung durch Kinder
3. Doping
4. Zweckbindung und -änderung
5. Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten
IV. Rechtsfolgen
Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
I. Allgemeines. 1. Entstehungsgeschichte und Bedeutung der Norm
2. Regelungszweck
3. Weitere Vorschriften
II. Anforderungen an die Einwilligung eines Kindes (Abs. 1) 1. Dienste der Informationsgesellschaft
2. Direkt an Kinder gerichtete Diensteangebote
3. Einwilligung oder Zustimmung der Träger der elterlichen Verantwortung
4. Öffnungsklausel
III. Nachweisobliegenheiten (Abs. 2)
IV. Fortgeltung des allgemeinen mitgliedstaatlichen Vertragsrechts (Abs. 3)
V. Rechtsfolgen
Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten
I. Regelungsinhalt
II. Schutz sensitiver Daten (Abs. 1)
1. „Rassische und ethnische“ Herkunft
2. Politische Meinung
3. Religiöse oder weltanschauliche Überzeugungen
4. Gewerkschaftszugehörigkeit
5. Genetische Daten
6. Biometrische Daten
7. Gesundheitsdaten
8. Daten zum Sexualleben oder zur sexuellen Orientierung
III. Ausnahmeregelungen (Abs. 2)
1. Einwilligung (lit. a)
2. Arbeitsrecht, Recht der sozialen Sicherheit, Sozialschutz (lit. b)
3. Schutz lebenswichtiger Interessen (lit. c)
4. Stiftungen, Vereinigungen, sonstige gemeinnützige Organisationen (lit. d)
5. Öffentlich gemachte Daten (lit. e)
6. Rechtsansprüche und Handlungen der Gerichte (lit. f)
7. Erhebliches öffentliches Interesse (lit. g)
8. Gesundheitsvorsorge, Arbeitsmedizin (lit. h)
9. Öffentliche Gesundheit, schwerwiegende Gesundheitsgefahren (lit. i)
10. Archiv-, Forschungs- und statistische Zwecke (lit. j)
IV. Nationale Regelungen (Abs. 4)
V. Rechtsschutz und Sanktionen
Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
I. Überblick
II. Gegenstand der personenbezogenen Daten
III. Verarbeitung nur unter behördlicher Aufsicht (Satz 1 Alt. 1)
IV. Zulässigkeit nach dem Unionsrecht oder dem Rechtder Mitgliedstaaten (Satz 1 Alt. 2)
V. Voraussetzungen eines „umfassenden Registersder strafrechtlichen Verurteilungen“ (Satz 2)
VI. Sanktionsrisiko
Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
I. Allgemeines
1. Gesetzeszweck
2. Entstehungsgeschichte
3. Verhältnis von Abs. 1 und Abs. 2
4. Verhältnis zu anderen Vorschriften
II. Regelungsgehalt des Art. 11. 1. Normadressat
2. Regelungsgehalt von Abs. 1. a) Pflicht zur Einhaltung der DSGVO
b) Fehlende Identifizierbarkeit
c) Rechtsfolge
3. Regelungsgehalt von Abs. 2. a) Nachweis der fehlenden Identifizierbarkeit
b) Unterrichtungspflicht
c) Rechtsfolge
d) Ausnahme
4. Sanktionen
Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Allgemeine Regelungen (Abs. 1 Satz 1, Abs. 2 Satz 1, Abs. 5 Satz 1)
1. Allgemeine Anforderungen an Transparenz
2. Erleichterung der Rechteausübung
3. Unentgeltlichkeit
III. Form (Abs. 1 Satz 2, Satz 3, Abs. 3 Satz 4)
IV. Identifizierung der betroffenen Person (Abs. 6)
V. Ausnahmetatbestände (Abs. 2 Satz 2, Abs. 4, Abs. 5 Satz 2, Satz 3) 1. Unmöglichkeit der Identifizierung
2. Offensichtlich unbegründete oder exzessive Anträge
3. Unterrichtung der betroffenen Person
VI. Fristen (Abs. 3, Abs. 4)
VII. Bildsymbole (Abs. 7, Abs. 8)
VIII. Folgen eines Verstoßes und Sanktionen
Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
I. Regelungsinhalt
II. Allgemeine Voraussetzungen
1. Verpflichteter
2. Betroffene Person
III. Informationspflichten (Abs. 1)
1. Namen und Kontaktdaten (Abs. 1 lit. a und b)
2. Zweck und Rechtsgrundlage der Verarbeitung (Abs. 1 lit. c)
3. Berechtigtes Interesse (Abs. 1 lit. d)
4. Empfänger oder Kategorien von Empfängern (Abs. 1 lit. e)
5. Übermittlung in Drittstaaten (Abs. 1 lit. f)
IV. Informationspflichten (Abs. 2)
1. Dauer der Datenspeicherung (Abs. 2 lit. a)
2. Betroffenenrechte (Abs. 2 lit. b)
3. Widerrufsmöglichkeit der Einwilligung (Abs. 2 lit. c)
4. Beschwerderecht (Abs. 2 lit. d)
5. Verpflichtung oder Obliegenheit zur Bereitstellung der Daten (Abs. 2 lit. e)
6. Automatisierte Entscheidungsfindung und Profiling (Abs. 2 lit. f)
7. Unbenannte Informationen
V. Zweckänderung (Abs. 3)
VI. Formalien der Informationspflichten (Abs. 1, 2 und 3)
VII. Ausnahmen von der Informationspflicht
VIII. Folgen eines Verstoßes und Sanktionen
Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
I. Regelungsinhalt
II. Informationspflichten bei Datenerhebung
III. Informationspflichten nach Abs. 1
IV. Informationspflichten nach Abs. 2
V. Zeitpunkt der Information (Abs. 3)
1. Spezifische Umstände (Abs. 3 lit. a)
2. Kommunikation (Abs. 3 lit. b)
3. Offenlegung (Abs. 3 lit. c)
VI. Informationspflichten bei Zweckänderung (Abs. 4)
VII. Ausnahmen von der Informationspflicht (Abs. 5)
1. Vorhandene Informationen
2. Unmöglichkeit, unverhältnismäßiger Aufwand, privilegierte Verarbeitungen und Schutz des Verarbeitungszwecks (Abs. 5 lit. b)
3. Ausdrückliche Regelung (Abs. 5 lit. c)
4. Berufsgeheimnis (Abs. 5 lit. d)
5. Fakultative Beschränkungen nach Art. 23
VIII. Form und Darstellung der Informationen
IX. Sanktionen
Art. 15 Auskunftsrecht der betroffenen Person
I. Regelungsinhalt
II. Auskunftsrecht
III. Auskunftsumfang
1. Verarbeitungszwecke (Abs. 1 lit. a)
2. Kategorien personenbezogener Daten (Abs. 1 lit. b)
3. Empfänger und Kategorien von Empfängern (Abs. 1 lit. c)
4. Speicherdauer (Abs. 1 lit. d)
5. Betroffenen- (Abs. 1 lit. e) und Beschwerderecht (Abs. 1 lit. f)
6. Datenherkunft (Abs. 1 lit. g)
7. Automatisierte Einzelfallentscheidungen (Abs. 1 lit. h)
IV. Geeignete Garantien (Abs. 2)
V. Verfahren, Form und Darstellungsweise
VI. Recht auf Datenkopie (Abs. 3)
VII. Sanktionen
Art. 16 Recht auf Berichtigung
I. Allgemeines. 1. Genese
2. Zweck und Bedeutung der Vorschrift
3. Struktur und Verhältnis zu anderen Vorschriften
II. Recht auf Berichtigung (Satz 1)
1. Voraussetzungen des Berichtigungsrechts
2. Modalitäten der Ausübung des Berichtigungsrechts
3. Rechtsfolge – Berichtigungsanspruch
III. Recht auf Vervollständigung (Satz 2)
1. Voraussetzungen des Vervollständigungsrechts
2. Modalitäten der Ausübung des Vervollständigungsrechts
3. Rechtsfolge – Vervollständigungsanspruch
IV. Rechtsschutz
Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)
I. Allgemeines
1. Genese
2. Rechtsgrundlage und Normzweck
3. Systematik
4. Verhältnis zu BDSG und sonstigem Zivilrecht
II. Recht auf Löschung personenbezogener Daten (Abs. 1)
1. Zweckerreichung (lit. a)
2. Einwilligungswiderruf (lit. b)
3. Widerspruch gegen die Verarbeitung (lit. c)
a) Alt. 1: Widerspruch nach Art. 21 Abs. 1 Satz 1 DSGVO
b) Alt. 2: Widerspruch nach Art. 21 Abs. 2 DSGVO
4. Unrechtmäßige Verarbeitung (lit. d)
5. Rechtspflicht zur Löschung (lit. e)
6. Besonderer Schutz von Kindern (lit. f)
7. Rechtsfolge – Löschung
a) Löschung
b) Unverzüglichkeit
8. Spezialfälle. a) Blockchain
b) Big Data
c) De-listing-Anspruch
III. Verpflichtung zur Löschung personenbezogener Daten (Abs. 1)
IV. Informationspflicht (Abs. 2)
1. Das Recht auf Vergessenwerden gegenüber Suchmaschinenbetreibern. a) Unterschied zwischen Recht auf Vergessenwerden i.S.d. DSGVO und i.S.d. „Google Spain“-Entscheidung des EuGH
b) Anspruch auf de-listing aus Art. 17 Abs. 1 DSGVO
2. Voraussetzungen
3. Rechtsfolge
V. Ausschlussgründe (Abs. 3)
1. Recht auf freie Meinungsäußerung und Information (lit. a)
2. Erfüllung einer rechtlichen Verpflichtung (Alt. 1) und Wahrnehmung öffentlicher Aufgaben (Alt. 2) (lit. b)
3. Öffentliches Interesse im Bereich der öffentlichen Gesundheit (lit. c)
4. Archivzwecke, Forschungs- und statistische Zwecke (lit. d)
5. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e)
VI. Sanktionen und Schadensersatz
Art. 18 Recht auf Einschränkung der Verarbeitung
I. Allgemeines. 1. Genese
2. Zweck und Bedeutung der Vorschrift
3. Struktur und Verhältnis zu anderen Vorschriften
II. Recht auf Einschränkung der Verarbeitung (Abs. 1)
1. Voraussetzungen des Einschränkungsrechts
a) Berichtigungsprüfung (lit. a)
b) Unrechtmäßigkeit der Verarbeitung (lit. b)
c) Rechtsausübung (lit. c)
d) Widerspruch (lit. d)
2. Modalitäten der Rechtsausübung
III. Rechtsfolgen (Abs. 2) 1. Recht auf Einschränkung der Verarbeitung
2. Verarbeitung trotz Einschränkung (Abs. 2)
a) Verarbeitung mit Einwilligung
b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
c) Schutz der Rechte einer anderen natürlichen oder juristischen Person
d) Wichtiges öffentliches Interesse der Union oder eines Mitgliedstaats
IV. Unterrichtungspflicht (Abs. 3)
V. Rechtsschutz
Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Mitteilungspflicht (Satz 1) 1. Voraussetzungen der Mitteilungspflicht
2. Inhalt und Adressat der Mitteilungspflicht
3. Anspruchsgegner der Mitteilungspflicht
4. Form und Frist
5. Unentgeltlichkeit
6. Ausschluss der Mitteilungspflicht
III. Unterrichtungspflicht (Satz 2)
IV. Rechtsschutz, Bußgeld und Haftung
Art. 20 Recht auf Datenübertragbarkeit
I. Allgemeines. 1. Zweck der Vorschrift. a) Begriff
b) Anwendungsbeispiele
c) Zweck und Bedeutung der Regelung
2. Entstehungsgeschichte. a) Allgemein
b) Entwürfe/Entstehungsprozess der DSGVO
3. Systematik, Verhältnis zu anderen Vorschriften
II. Datenübertragbarkeitsrecht (Abs. 1) 1. Allgemeine Voraussetzungen. a) Betroffene Daten: personenbezogene Daten i.S.d. Art. 4 DSGVO
b) Bereitstellung der Daten für einen Verantwortlichen
c) Verarbeitung beruhend auf Einwilligung oder Vertrag (lit. a)
d) Bereitstellung mithilfe automatisierter Verfahren (lit. b)
2. Auskunftsanspruch (Hs. 1): Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format. a) Allgemeines
b) Formatanforderungen
3. Übermittlungsrecht des Betroffenen (Hs. 2)
III. Direktübermittlung (Abs. 2)
1. Anforderungen an die Direktübermittlung: Wie, wann, unter welchen Bedingungen?
2. Vorbehalt der technischen Möglichkeiten (Abs. 2 a.E.)
IV. Ausnahme (Abs. 3) 1. Fortbestehen des Rechts auf Löschung (Satz 1)
2. Ausnahme der öffentlichen Aufgaben (Satz 2)
V. Grenze der Rechte und Freiheiten Dritter (Abs. 4)
Art. 21 Widerspruchsrecht
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Widerspruchsrecht gegen Verarbeitungen nach Art. 6 Abs. 1 UAbs. 1 lit. e oder f (Abs. 1) 1. Widerspruchsrecht gegen Datenverarbeitung aufgrund von Art. 6 Abs. 1 UAbs. 1 lit. e oder f DSGVO. a) Anwendungsbereich
b) Gründe aus der besonderen Situation des Betroffenen
c) Folgen des Widerspruchs
2. Ausnahmsweises Weiterverarbeitungsrecht
a) Überwiegende zwingende schutzwürdige Gründe
b) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
c) Verhältnis zu § 36 BDSG: Eingeschränkter Widerspruch gegenüber öffentlichen Stellen
III. Widerspruchsrecht gegen Datennutzung für Direktwerbung (Abs. 2 und 3) 1. Tatbestandsvoraussetzungen (Abs. 2)
2. Rechtsfolge (Abs. 3)
IV. Hinweispflicht (Abs. 4)
V. Ausübung des Widerspruchs mittels automatisierter Verfahren (Abs. 5)
VI. Widerspruchsrecht gegen Datennutzung zu wissenschaftlichen, historischen oder statistischen Zwecken (Abs. 6) 1. Widerspruchsrecht (Hs. 1)
2. Ausnahme der Erfüllung von Aufgaben im öffentlichen Interesse (Hs. 2)
3. Rechtsfolge eines Widerspruchs nach Abs. 6
Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
I. Allgemeines. 1. Entstehungsgeschichte
2. Regelungszweck. a) Beeinträchtigung durch automatisierte Entscheidungen
b) Profilbildung durch Algorithmen
c) Erlaubnis von Profilbildung und automatisierten Entscheidungen
3. Anwendungsbereich
II. Verbot automatisierter Entscheidungen (Abs. 1)
1. Automatisierte Entscheidungen
2. Profiling
3. Rechtliche Wirkung und erhebliche Beeinträchtigung
III. Ausnahmen vom Verbot automatisierter Entscheidungen (Abs. 2)
1. Entscheidung bei Vertragsverhältnissen
2. Entscheidung aufgrund von Rechtsvorschriften
3. Entscheidung aufgrund einer Einwilligung
IV. Angemessene Maßnahmen zum Schutz Betroffener (Abs. 3)
V. Verarbeitung besonderer Kategorien personenbezogener Daten (Abs. 4)
VI. Betroffenenrechte
VII. Verhältnis zu anderen Regelungen. 1. Verbot automatisierter Entscheidungen nach § 37 BDSG
2. Verbot automatisierter Entscheidungen nach § 54 BDSG
3. Verbot automatisierter Entscheidungen in Landesdatenschutzgesetzen
4. Verbot automatisierter Entscheidungen in Beamtengesetzen
5. Verbot automatisierter Entscheidungen durch interne Datenschutzvorschriften (Art. 47 DSGVO) und Verhaltensregeln (Art. 40 DSGVO)
6. Leitlinien des Europäischen Datenschutzausschusses
VIII. Sanktionen
Art. 23 Beschränkungen
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Einschränkung von Betroffenenrechten (Abs. 1)
1. Gesetzgebungsmaßnahme
2. Achtung des Wesensgehalts
3. Notwendigkeit und Verhältnismäßigkeit
4. Zwecke
a) Nationale Sicherheit
b) Landesverteidigung
c) Öffentliche Sicherheit
d) Strafverfolgung und Strafvollstreckung
e) Sonstige wichtige Ziele des allgemeinen öffentlichen Interesses
f) Schutz der Unabhängigkeit der Justiz
g) Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe
h) Kontroll-, Überwachungs- und Ordnungsfunktionen
i) Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen
j) Durchsetzung zivilrechtlicher Ansprüche
III. Inhalt beschränkender Gesetzgebung (Abs. 2)
Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte. a) DSRl und BDSG a.F
b) Änderungen im Gesetzgebungsverfahren
3. Verhältnis zu anderen Vorschriften
II. Pflicht zu geeigneten technischen und organisatorischen Maßnahmen (Abs. 1 Satz 1)
1. Adressat der Regelung
2. Geeignete technische und organisatorische Maßnahmen. a) Technische und organisatorische Maßnahmen
b) Eignung der Maßnahmen
3. Risikobasierter Ansatz
a) Risiko
b) Schutzgegenstand (Rechte und Freiheiten natürlicher Personen)
4. Risikoanalyse
a) Identifikation der Risiken
aa) Zu berücksichtigende Aspekte bei der Risikoermittlung
bb) Risikoszenarien
b) Bestimmung der Schwere möglicher Schäden
c) Abschätzung der Eintrittswahrscheinlichkeit
d) Bestimmung des Risikos (Risikostufen und Risikomatrix)
e) Bestimmung der technischen und organisatorischen Maßnahmen
f) Verhältnis zur Datenschutz-Folgenabschätzung
g) Verhältnis zum Informationssicherheitsmanagement
5. Nachweis
III. Überprüfung und Aktualisierung der Maßnahmen (Abs. 1 Satz 2)
IV. Pflicht zu geeigneten Datenschutzvorkehrungen (Abs. 2)
V. Nachweis mit Einhaltung von Verhaltensregeln und Zertifizierungsverfahren (Abs. 3)
VI. Sanktionen und Haftung
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte. a) DSRl, ePrivacy-Richtlinie, BDSG a.F. und weitere Vorschriften
b) Änderungen im Gesetzgebungsverfahren
3. Verhältnis zu anderen Vorschriften
II. Adressat der Regelung
III. Datenschutz durch (Technik-)Gestaltung (Abs. 1)
1. Geeignete technische und organisatorische Maßnahmen
a) Art der Maßnahmen
b) Eignung zur wirksamen Umsetzung der Datenschutzgrundsätze
c) Eignung zur Implementierung von Garantien
d) Konkretisierung der Maßnahmen
2. Abwägungsentscheidung und Verhältnismäßigkeit
a) Zu berücksichtigende Aspekte
b) Risikoabschätzung
c) Stand der Technik und Implementierungskosten
aa) Stand der Technik
bb) Implementierungskosten
3. Relevanter Zeitpunkt
IV. Datenschutzfreundliche Voreinstellungen (Abs. 2)
1. Geeignete technische und organisatorische Maßnahmen (Satz 1 und 2)
2. Voreinstellungen
3. Zu berücksichtigende Aspekte
4. Kein Zugänglichmachen einer unbestimmten Zahl von Personen (Satz 3)
V. Nachweispflicht
VI. Nachweis mit Zertifizierungsverfahren (Abs. 3)
VII. Sanktionen
VIII. Schadensersatz
Art. 26 Gemeinsam Verantwortliche
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte. a) DSRl und BDSG a.F
b) Änderungen im Gesetzgebungsverfahren
3. Verhältnis zu anderen Vorschriften
II. Gemeinsam Verantwortliche – Definition und Anwendungsbereich (Abs. 1 Satz 1)
1. Verantwortlicher
2. Gemeinsam Verantwortliche
3. Gemeinsame Festlegung der Zwecke und Mittel
a) EuGH-Rechtsprechung
aa) EuGH, Urt. v. 5.6.2018 – C-210/16 („Wirtschaftsakademie“)
bb) EuGH, Urt. v. 10.7.2018 – C-25/17 („Zeugen Jehovas“)
cc) EuGH, Urt. v. 29.7.2019 – C-40/17 („Fashion ID“)
dd) Zusammenfassende Bewertung und Konsequenzen
b) „Zwecke und Mittel“
c) „Gemeinsam Festlegen“
aa) Gemeinsame Entscheidung über Zwecke
bb) Gemeinsame Entscheidung über Mittel
4. Abgrenzung zur Auftragsverarbeitung
5. Reichweite der gemeinsamen Verantwortlichkeit
III. Vereinbarung (Abs. 1 und 2) 1. Pflicht zu einer Vereinbarung
2. Inhalt
a) Pflichten der Verantwortlichen
b) Funktionen und Beziehungen
c) Grenze: Regelungen gem. Öffnungsklausel (Abs. 1 Satz 2 Hs. 2)
d) Optionale Inhalte der Vereinbarung. aa) Anlaufstelle (Abs. 1 Satz 3)
bb) Sonstige vertragliche Regelungen
3. Transparente Festlegung, die tatsächliche Funktionen und Beziehungen „gebührend widerspiegelt“
4. Form
5. Zeitpunkt
IV. Zurverfügungstellen des Wesentlichen der Vereinbarung (Abs. 2 Satz 2)
1. Inhalt
2. Form, Zeitpunkt und Transparenz
V. Rechtswirkung der Vereinbarung im Außenverhältnis (Abs. 3)
1. Geltendmachung von Rechten
2. Aufsichtsbehördliches Vorgehen
VI. Verarbeitung durch gemeinsam Verantwortliche
VII. Haftung
VIII. Sanktionen
Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte. a) DSRl und BDSG a.F
b) Änderungen im Gesetzgebungsverfahren
3. Verhältnis zu anderen Vorschriften
II. Pflicht zur Benennung eines Vertreters – Anwendungsbereich (Abs. 1) 1. Fälle gemäß Art. 3 Abs. 2 DSGVO
2. Normadressaten (Verpflichtete)
3. Freiwillige Benennung eines Unionsvertreters
III. Ausnahmen von der Pflicht zur Benennung eines Vertreters (Abs. 2)
1. Ausnahmetatbestand Abs. 2 lit. a („geringfügige“ Verarbeitung)
a) Gelegentliche Verarbeitung
b) Keine umfangreiche Verarbeitung von Daten i.S.v. Art. 9 Abs. 1 und Art. 10 DSGVO
c) Voraussichtlich kein Risiko für natürliche Personen
2. Ausnahmetatbestand Abs. 2 lit. b (Behörden oder öffentliche Stellen)
IV. Vertreter. 1. Begriff und Vorgaben
2. Rechtliche Stellung des Vertreters
a) Kein Eintritt in die Pflichtenstellung des Vertretenen
b) Vertreter- und Botenschaft
c) Zustellungsbevollmächtigung
3. Benennung des Vertreters. a) Form der Benennung
b) Ausgestaltung der Benennung
c) Abberufung
4. Rechtsgeschäftliche Beauftragung des Vertreters
V. Niederlassung des Vertreters (Abs. 3)
VI. Aufgaben des Vertreters (Abs. 4) 1. Aufgaben als Anlaufstelle
2. Möglichkeit der Exklusivität
3. Aufgaben aus der rechtsgeschäftlichen Beauftragung
VII. Verantwortlichkeit (Abs. 5)
VIII. Sanktionen
Art. 28 Auftragsverarbeiter
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
4. Privilegierung der Auftragsverarbeitung
II. Datenverarbeitung im Auftrag (Abs. 1) 1. Allgemeiner Anwendungsbereich. a) Art und Umfang des Auftrags
b) Weisungsgebundenheit des Auftragsverarbeiters
c) Einzelfälle
2. Auftragsverarbeitung im Konzern
3. Auftragsverarbeitung durch ausländische Stellen
4. Auswahl und Überwachung des Auftragsverarbeiters
III. Anforderungen an das Auftragsverhältnis (Abs. 3)
1. Inhalt des Auftrags
a) Verarbeitungstätigkeit (Satz 1)
b) Weisungsgebundenheit (Satz 2 lit. a)
c) Vertraulichkeit (Satz 2 lit. b)
d) Technische und organisatorische Maßnahmen (Satz 2 lit. c)
e) Unterauftragsverhältnisse (Satz 2 lit. d)
f) Rechte der betroffenen Person (Satz 2 lit. e)
g) Unterstützung des Verantwortlichen bei den Pflichten aus Art. 32–36 DSGVO (Satz 2 lit. f)
h) Löschen bzw. Rückgabe der Daten nach Auftragsbeendigung (Satz 2 lit. g)
i) Nachweise und Überprüfung (Satz 2 lit. h)
j) Rechtswidrige Weisungen (UAbs. 2)
2. Bestehende Auftragsverhältnisse nach BDSG a.F
IV. Unterauftragnehmer (Abs. 2, 4)
V. Zertifizierungen und Verhaltensregeln (Abs. 5)
VI. Standardvertragsklauseln (Abs. 6–8)
VII. Form des Auftrags (Abs. 9)
VIII. Rechtsstellung des Auftragsverarbeiters (Abs. 10) unddes Verantwortlichen. 1. Rechtsstellung des Auftragsverarbeiters
a) Exzess des Auftragsverarbeiters
b) Pflichten des Auftragsverarbeiters
2. Rechtsstellung des Verantwortlichen
Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Adressaten der Vorschrift
1. Auftragsverarbeiter
2. Unterstellte Personen
III. Weisung des Verantwortlichen
IV. Ausnahmen aufgrund von EU- oder nationalem Recht
V. Folgen von Verstößen
Art. 30 Verzeichnis von Verarbeitungstätigkeiten
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
4. Zuständigkeiten
II. Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen. 1. Das Verzeichnis von Verarbeitungstätigkeiten (Abs. 1)
2. Verzeichnis des Verantwortlichen (Abs. 1)
3. Katalog der inhaltlichen Mindestangaben (Abs. 1 Satz 2) a) Abs. 1 Satz 2 lit. a
b) Abs. 1 Satz 2 lit. b
c) Abs. 1 Satz 2 lit. c
d) Abs. 1 Satz 2 lit. d
e) Abs. 1 Satz 2 lit. e
f) Abs. 1 Satz 2 lit. f
g) Abs. 1 Satz 2 lit. g
III. Verzeichnis des Auftragsverarbeiters (Abs. 2)
IV. Formvorgaben (Abs. 3)
V. Vorlagepflicht (Abs. 4)
VI. Ausnahmen (Abs. 5)
Art. 31 Zusammenarbeit mit der Aufsichtsbehörde
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Zusammenarbeit mit den Aufsichtsbehörden
Art. 32 Sicherheit der Verarbeitung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Technische und organisatorische Maßnahmen
1. Persönlicher Anwendungsbereich
2. Sachlicher Anwendungsbereich
3. Regelungsgehalt der Norm (Abs. 1)
a) Generell zu berücksichtigende Aspekte
b) Pseudonymisierung und Verschlüsselung (Abs. 1 lit. a)
c) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten (Abs. 1 lit. b)
d) Wiederherstellung der Verfügbarkeit und des Zugangs von Daten (Abs. 1 lit. c)
e) Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit getroffener Maßnahmen (Abs. 1 lit. d)
4. Beurteilung der Angemessenheit des Schutzniveaus (Abs. 2)
5. Genehmigte Verhaltensregeln nach Art. 40 und 42 DSGVO (Abs. 3)
6. Sicherstellung weisungsgebundener Verarbeitung (Abs. 4)
III. Praxisaspekte. 1. Die Normenreihe ISO/IEC 27000
2. Die ISO 27701
3. Zertifizierung nach ISO 27001
4. Das Standard-Datenschutz Modell
5. Informationssicherheit im Rahmen von Cloud-Diensten
6. Weitere Standards
Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
I. Allgemeines
1. Gesetzeszweck
2. Verhältnis zu anderen Vorschriften
II. Im Einzelnen. 1. Adressaten der Meldepflicht. a) Private und öffentliche Verantwortliche
b) Gemeinsam Verantwortliche
c) Auftragsverarbeiter
2. Geschützte Daten
3. Meldepflichtauslösendes Ereignis
4. Entstehungszeitpunkt der Mitteilungspflicht
5. Ausnahmen von der Meldepflicht
a) Anforderungen an die Konkretheit des Risikos einer Rechtsgütergefährdung
b) Anforderungen an die Qualität des Risikos einer Rechtsgütergefährdung (Eintrittsschwere)
c) Anforderungen an die Bestimmtheit der Wahrscheinlichkeit des möglichen Schadenseintritts (Eintrittswahrscheinlichkeit)
6. Umfang der Meldung an die Aufsichtsbehörde
a) Art der Datenpanne
b) Kontaktperson
c) Folgenabschätzung
d) Maßnahmen
7. Form und Frist. a) Form
b) Frist
c) Kenntnis
8. Geheimnisschutz
9. Verwendungsverbot
10. Dokumentation
Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
I. Allgemeines
1. Gesetzeszweck
2. Verhältnis zu anderen Vorschriften
II. Im Einzelnen. 1. Adressaten der Benachrichtigungspflicht
2. Benachrichtigungspflichtauslösendes Ereignis
3. Ausnahmen von der Benachrichtigungspflicht
a) Geeignete technische und organisatorische Sicherheitsvorkehrungen
b) Wahrscheinlich kein hohes Risiko mehr für Rechte und Freiheiten
c) Geheimnisschutz
4. Inhalt der Benachrichtigung
5. Ausnahme bei unverhältnismäßigem Aufwand
6. Form und Frist der Benachrichtigung. a) Klare und einfache Sprache
b) Frist
c) Form
7. Befugnisse der Aufsichtsbehörde
8. Verwertungsverbot
Art. 35 Datenschutz-Folgenabschätzung
I. Grundlagen und Zweck
II. Überblick über den Gesamtprozess
III. Gegenstand der Datenschutz-Folgenabschätzung. 1. Form der Verarbeitung bzw. Verarbeitungsvorgang
2. Referenz-Datenschutz-Folgenabschätzung
IV. Verpflichteter und Beteiligte. 1. Verantwortlicher als Verpflichteter
2. Auftragsverarbeiter
3. Datenschutzbeauftragter (Abs. 2)
4. Betroffene Personen und ihre Vertreter (Abs. 9)
V. Umfasste Fälle
1. Hohes Risiko für natürliche Personen nach Abs. 1
2. Regelbeispiele nach Abs. 3
3. Blacklist nach Abs. 4
VI. Ausnahmen
VII. Zeitpunkt und Altfälle
VIII. Durchführung
1. Beschreibung der Verarbeitungsvorgänge
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
3. Bewertung der Risiken
4. Geplante Abhilfemaßnahmen
5. Einbeziehung der Standpunkte
6. Dokumentation
7. Überwachung und Überprüfung
IX. Sanktionen
Art. 36 Vorherige Konsultation
I. Grundlagen und Zweck
II. Konsultation nach Abs. 1
1. Verpflichtete
2. Voraussetzungen
3. Einreichung der Konsultation
4. Bearbeitungsfrist der Konsultation
5. Beantwortung der Konsultation
III. Konsultation nach Abs. 4
IV. Konsultation und Genehmigungsvorbehalt nach Abs. 5
V. Sanktionen
Art. 37 Anwendungsbereich und Begriffsbestimmungen
I. Allgemeines
1. Zweck der Vorschriften
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Pflicht zur Benennung (Abs. 1)
1. Behörden und öffentliche Stellen (Abs. 1 lit. a)
2. Unternehmen und andere nichtöffentliche Stellen (Abs. 2 und 3)
a) Kerntätigkeit
b) Umfangreiche regelmäßige und systematische Überwachung (Abs. 1 lit. b)
c) Bei der Verarbeitung von Daten i.S.v. Art. 9, 10 DSGVO (Abs. 1 lit. c)
d) Datenschutzbeauftragter für Auftragsverarbeiter
e) Bußgelder für Verstöße gegen Benennungspflicht und Form der Benennung
III. Gemeinsamer Datenschutzbeauftragter (Abs. 2 und 3)
1. Unternehmensgruppen
2. Behörden und andere öffentliche Stellen
IV. Freiwillige Benennung (Abs. 4)
V. Benennung für Verbände und andere Vereinigungen (Abs. 4)
VI. Persönliche Voraussetzungen für die Benennung (Abs. 5)
VII. Interner und externer Datenschutzbeauftragter (Abs. 6)
1. Mitbestimmungsrechte des Betriebs-/Personalrats
2. Juristische Person/Personengesellschaft als Datenschutzbeauftragter
VIII. Kontaktdaten des Datenschutzbeauftragten (Abs. 7)
Art. 38 Stellung des Datenschutzbeauftragten
I. Allgemeines. 1. Die Position des Datenschutzbeauftragten in der Unternehmenshierarchie
2. Die Haftung des Datenschutzbeauftragten
a) Ansprüche eines Betroffenen gegen den Datenschutzbeauftragten
aa) Vertragliche Ansprüche eines Betroffenen gegen den Datenschutzbeauftragten
bb) Deliktische Ansprüche eines Betroffenen gegen den Datenschutzbeauftragten
b) Zivilrechtliche Ansprüche des Verantwortlichen oder Auftragsverarbeiters gegen den eigenen Datenschutzbeauftragten. aa) Zivilrechtliche Ansprüche des Verantwortlichen oder Auftragsverarbeiters gegen den internen Datenschutzbeauftragten
bb) Zivilrechtliche Ansprüche des Verantwortlichen oder Auftragsverarbeiters gegen den externen Datenschutzbeauftragten
cc) Haftungsbeschränkung, Dokumentation und Parteivernahme
c) Straf- und ordnungswidrigkeitsrechtliche Verantwortung des Datenschutzbeauftragten
II. Einbeziehung (Abs. 1)
III. Unterstützungspflichten (Abs. 2)
1. Unterstützung durch die höchste Managementebene, Zeitkontingent
2. Finanzmittel und Infrastrukturen
3. Unterrichtung Belegschaft, Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen, Fortbildung
4. Personal und DSB-Team
IV. Unabhängigkeit (Abs. 3 Satz 1 und 2)
1. Weisungsfreiheit (Abs. 3 Satz 1)
2. Abberufungs- und Benachteiligungsverbot (Abs. 3 Satz 2)
V. Berichterstattung (Abs. 3 Satz 3)
VI. Ansprechpartner für Betroffene (Abs. 4)
VII. Geheimhaltung und Vertraulichkeit (Abs. 5)
VIII. Vermeidung von Interessenkonflikten (Abs. 6)
Art. 39 Aufgaben des Datenschutzbeauftragten
I. Allgemeines
II. Aufgaben des Datenschutzbeauftragten (Abs. 1)
1. Unterrichtung und Beratung (lit. a)
2. Überwachung (lit. b)
3. Beratung auf Anfrage bei der Datenschutz-Folgenabschätzung (lit. c)
4. Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde (lit. d, e)
III. Risikobasierter Ansatz (Abs. 2)
Art. 40 Verhaltensregeln
I. Allgemeines. 1. Inhalt
2. Zweck
3. Entstehungsgeschichte
II. Förderung von Verhaltensregeln (Abs. 1)
1. Besondere Verarbeitungsbereiche
2. Kleinstunternehmen sowie kleine und mittelständische Unternehmen
III. Ersteller und Inhalt von Verhaltensregeln (Abs. 2) 1. Der Vorlageberechtigte
a) Vertretung von Verantwortlichen und Auftragsverarbeitern
b) Homogenität vertretener Gruppe
c) Repräsentanz
d) Verbände und andere Vereinigungen
e) Vertreter anderer Gruppen
f) Wirtschaftliche Zielrichtung
g) Freiwillige Zusammenschlüsse
2. Zulässige Inhalte von Verhaltensregeln. a) Allgemeines
b) Überschreiten der Mindestvoraussetzungen der DSGVO
c) Konsultation von Interessenträgern und Betroffenen
IV. Einzelerläuterungen (Abs. 3)
V. Verfahren zur Überwachung (Abs. 4)
VI. Genehmigungsverfahren (Abs. 5, 6) 1. Allgemeines
2. Stellungnahme und Genehmigung (Abs. 5)
3. Veröffentlichung (Abs. 6)
VII. Beteiligung von Ausschuss und Kommission (Abs. 7–11) 1. Vorlage des Entwurfs (Abs. 7)
2. Übermittlung der Stellungnahme an die Kommission (Abs. 8)
3. Beschluss der Kommission (Abs. 9)
4. Veröffentlichung der Verhaltensregeln (Abs. 10, 11)
VIII. Rechtswirkungen
IX. Bezüge zum BDSG a.F. und DSRl
Art. 41 Überwachung der genehmigten Verhaltensregeln
I. Allgemeines. 1. Inhalt
2. Zweck
3. Entstehungsgeschichte
II. Einzelerläuterungen (Abs. 1) 1. Allgemeines
2. Akkreditierungspflicht
III. Voraussetzungen der Akkreditierung (Abs. 2) 1. Allgemeines
2. Einzelne Voraussetzungen
a) Unabhängigkeit und Fachwissen (Abs. 2 lit. a) aa) Fachwissen
bb) Unabhängigkeit
cc) Zur Zufriedenheit der Aufsichtsbehörde
b) Bewertungsverfahren (Abs. 2 lit. b)
c) Beschwerdeverfahren (Abs. 2 lit. c)
d) Fehlen eines entgegenstehenden Interessenkonflikts (Abs. 2 lit. d)
e) Ungeschriebene Voraussetzungen
f) Ermessen der Aufsichtsbehörde
IV. Übermittlung des Anforderungenentwurfs an den DSA (Abs. 3)
V. Überwachung und Maßnahmen bei Verletzung vonVerhaltensregeln (Abs. 4) 1. Allgemeines
2. Überwachungspflicht (Abs. 4 Satz 1)
3. Ergreifen geeigneter Maßnahmen
4. Unterrichtungspflicht (Abs. 4 Satz 2)
5. Auswirkungen auf die Aufsichtsbehörde
6. Verwaltungsrechtliche Einordnung der akkreditierten Stelle
VI. Widerruf einer Akkreditierung (Abs. 5) 1. Allgemeines
2. Ungeschriebene Fallgruppe des Widerrufs
3. Rechtsfolge des Widerrufs
4. Beendigung und Geltungsdauer einer Akkreditierung
VII. Verarbeitung durch Behörden und öffentliche Stellen (Abs. 6)
VIII. Sanktionen
IX. Bezüge zum BDSG a.F. und zur DSRl
Art. 42 Zertifizierung
I. Allgemeines. 1. Inhalt
2. Zweck
3. Entstehungsgeschichte. a) Allgemeines zur Entstehungsgeschichte
b) Kostentragung
c) Kein Initiativrecht des Ausschusses
II. Förderung von Zertifizierungsverfahren (Abs. 1) 1. Regelungsgegenstand
2. Definition der Zertifizierung. a) Zertifizierung als Oberbegriff
b) Merkmal „bei Verarbeitungsvorgängen“
3. Überobligatorische Umsetzung der DSGVO
4. Berücksichtigung der Bedürfnisse kleiner Unternehmen
5. Befugnis zur Erteilung einer Zertifizierung
6. Weitere Funktion einer Zertifizierung
III. Zertifizierung als Nachweis geeigneter Garantien (Abs. 2)
IV. Freiwilliges und transparentes Verfahren (Abs. 3)
1. Freiwilligkeit
2. Transparenz
V. Verantwortung des Verantwortlichen und Pflicht der Aufsicht nach Zertifizierung (Abs. 4)
VI. Erteilung der Zertifizierung (Abs. 5)
1. Zuständigkeit für die Erteilung einer Zertifizierung
2. Verfahren zur Erteilung einer Zertifizierung
3. Abs. 5 Satz 2
4. Untätigkeit der Aufsichtsbehörde
VII. Information der Zertifizierungsstelle über Verarbeitungstätigkeiten (Abs. 6)
VIII. Dauer, Verlängerung und Widerruf einer Zertifizierung (Abs. 7)
1. Allgemeines
2. Geltungsdauer und Verlängerung gem. Abs. 7 Satz 1
3. Widerruf einer Zertifizierung
a) Der Widerruf als Ermessensentscheidung
b) Überprüfung der Zertifizierungen
IX. Registeraufnahme- und Veröffentlichungspflicht (Abs. 8)
X. Rechtswirkungen
XI. Die Bezüge zur DSRl und zum BDSG a.F
Art. 43 Zertifizierungsstellen
I. Allgemeines
1. Inhalt
2. Zweck
3. Entstehung
II. Zertifizierung durch Aufsichtsbehörde oder Zertifizierungsstelle (Abs. 1) 1. Zertifizierung durch akkreditierte Stellen (Satz 1)
a) Inhalt der Generalklausel
b) Räumliche Beschränkung der Akkreditierung
c) Definition des Begriffs Akkreditierung
d) Begrifflichkeiten der Erteilung und Verlängerung einer Zertifizierung
e) Unterrichtung der Aufsichtsbehörde durch die Zertifizierungsstelle. aa) Unterrichtungspflicht
bb) Frist betreffend eine Unterrichtungspflicht
2. Benennung der Akkreditierungsstelle (Satz 2)
3. Auswirkungen auf die Aufsichtsbehörde
III. Anforderungen an Zertifizierungsstellen (Abs. 2)
1. Adressat der Anforderungen aus Abs. 2
2. Anforderungen für eine Akkreditierung als Zertifizierungsstelle
a) Unabhängigkeit und Fachwissen
b) Verpflichtung zur Einhaltung genehmigter Kriterien
c) Festlegung eines Zertifizierungsverfahrens
d) Beschwerdeverfahren und Transparenz
IV. Zertifizierungskriterien (Abs. 3) 1. Allgemeines
2. Befugnis zur Entwicklung von Kriterien
3. Genehmigung der Kriterien
4. Akkreditierungsanspruch
5. Akkreditierungsverfahren
6. Festgelegte Kriterien der Aufsichtsbehörden
7. Ergänzung der Kriterien (Satz 2)
V. Verantwortlichkeit der Zertifizierungsstelle (Abs. 4) 1. Verantwortlichkeit für die Bewertung (Satz 1)
a) Mindestanforderungen an eine „angemessene Bewertung“
b) Gegenstand einer angemessenen Bewertung
2. Dauer der Zertifizierung (Satz 2) a) Allgemein
b) Fortbestand einer Zertifizierung bei auslaufender Akkreditierung
VI. Informationspflicht gegenüber der Aufsichtsbehörde (Abs. 5)
VII. Veröffentlichung der Anforderungen (Abs. 6)
VIII. Widerruf einer Akkreditierung (Abs. 7)
IX. Rechtsakte der Kommission (Abs. 8, 9)
X. Rechtswirkungen
XI. Bezüge zum BDSG a.F. und zur DSRl
Art. 44 Allgemeine Grundsätze der Datenübermittlung
I. Allgemeines. 1. Gesetzeszweck
2. Verhältnis zu anderen Vorschriften
II. Anwendungsbereich der Art. 44–50 DSGVO
III. Voraussetzungen für die Datenübermittlung in Drittländer
IV. Verbot der Umgehung
Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
I. Allgemeines
II. Vorliegen eines Angemessenheitsbeschlusses (Abs. 1)
III. Kriterien für ein angemessenes Schutzniveau (Abs. 2)
IV. Erlass eines Angemessenheitsbeschlusses (Abs. 3–8) 1. Verfahren zum Erlass eines Angemessenheitsbeschlusses (Abs. 3, 8)
2. Sonderfall: Datentransfers in die USA
3. Überwachung des Datenschutzniveaus (Abs. 3, 4)
4. Widerruf, Änderung oder Aussetzung des Beschlusses (Abs. 5–7)
V. Fortgeltung existierender Angemessenheitsbeschlüsse (Abs. 9)
Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien
I. Allgemeines
II. Geeignete Garantien ohne Genehmigung (Abs. 2)
1. Dokument zwischen Behörden oder öffentlichen Stellen (Abs. 2 lit. a)
2. Verbindliche interne Datenschutzvorschriften (Abs. 2 lit. b)
3. Standarddatenschutzklauseln der Kommission (Abs. 2 lit. c)
4. Standarddatenschutzklauseln einer Aufsichtsbehörde (Abs. 2 lit. d)
5. Genehmigte Verhaltensregeln (Abs. 2 lit. e)
6. Genehmigter Zertifizierungsmechanismus (Abs. 2 lit. f)
III. Geeignete Garantien mit Genehmigung (Abs. 3, 4)
1. Vertragsklauseln (Abs. 3 lit. a)
2. Bestimmungen in Verwaltungsvereinbarungen (Abs. 3 lit. b)
IV. Fortgeltung früherer Genehmigungen (Abs. 5)
Art. 47 Verbindliche interne Datenschutzvorschriften
I. Allgemeines. 1. Gesetzeszweck
2. Anwendungsbereich
II. Genehmigungsvoraussetzungen (Abs. 1, 2)
1. Rechtliche Verbindlichkeit (Abs. 1 lit. a)
2. Durchsetzbare Rechte (Abs. 1 lit. b)
3. Mindestangaben (Abs. 1 lit. c, Abs. 2)
III. Genehmigungsverfahren (Abs. 1)
IV. Rechtsfolgen der Genehmigung
V. Durchführungsrechtsakte (Abs. 3)
Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Voraussetzungen für die Datenübermittlung. 1. Datenübermittlung auf Grundlage einer internationalen Übereinkunft
2. Andere Gründe für die Datenübermittlung
III. Territoriale Geltung
Art. 49 Ausnahmen für bestimmte Fälle
I. Allgemeines. 1. Gesetzeszweck
2. Verhältnis zu anderen Vorschriften
II. Ausnahmetatbestände (Abs. 1, 2, 4, 6)
1. Ausdrückliche Einwilligung (Abs. 1 UAbs. 1 lit. a)
2. Vertrag mit der betroffenen Person (Abs. 1 UAbs. 1 lit. b)
3. Vertrag im Interesse der betroffenen Person (Abs. 1 UAbs. 1 lit. c)
4. Wichtige Gründe des öffentlichen Interesses (Abs. 1 UAbs. 1 lit. d, Abs. 4)
5. Durchsetzung von Rechtsansprüchen (Abs. 1 UAbs. 1 lit. e)
6. Schutz lebenswichtiger Interessen (Abs. 1 UAbs. 1 lit. f)
7. Übermittlung aus Registern (Abs. 1 UAbs. 1 lit. g, Abs. 2)
8. Wahrung zwingender Interessen (Abs. 1 UAbs. 2, Abs. 6)
III. Rückausnahmen (Abs. 3, 5) 1. Keine Anwendung auf hoheitliches Handeln (Abs. 3)
2. Beschränkung der Übermittlung durch Gesetz (Abs. 5)
Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten
I. Allgemeines
II. Bereiche und Grundsätze der Zusammenarbeit
III. Mögliche Maßnahmen der Zusammenarbeit
Art. 51 Aufsichtsbehörde
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Errichtung unabhängiger Aufsichtsbehörden (Abs. 1) 1. Eine oder mehrere Aufsichtsbehörde(n) im Mitgliedstaat
2. Ziele der Datenschutzaufsicht
III. Europaweite Zusammenarbeit (Abs. 2)
IV. Mehrere innerstaatliche Aufsichtsbehörden (Abs. 3) 1. Koordinierung der Aufsichtsbehörden als Regelungsauftrag
2. Umsetzung des Regelungsauftrages im BDSG (Überblick)
V. Mitteilung von Rechtsvorschriften (Abs. 4)
Art. 52 Unabhängigkeit
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Handeln in völliger Unabhängigkeit (Abs. 1) 1. Rechtsprechung des EuGH und Einzelaspekte der Unabhängigkeit
2. Einschränkungen der Unabhängigkeit in der DSGVO
III. Weisungs- und Beeinflussungsverbot (Abs. 2)
IV. Unvereinbare Tätigkeiten und Handlungen (Abs. 3)
V. Ausstattung der Aufsichtsbehörden (Abs. 4)
VI. Personalhoheit der Aufsichtsbehörde (Abs. 5)
VII. Finanzkontrolle und Haushaltspläne (Abs. 6)
VIII. Völlige Unabhängigkeit aus deutscher Perspektive. 1. Historischer Überblick
2. Umsetzung im BDSG (Überblick)
Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Ernennung der Leitung der Aufsichtsbehörde (Abs. 1)
III. Qualifikation, Erfahrung und Sachkunde (Abs. 2)
IV. Ende des Amtes eines Mitgliedes (Abs. 3)
V. Amtsenthebung (Abs. 4)
VI. Umsetzung im BDSG (Überblick)
Art. 54 Errichtung der Aufsichtsbehörde
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Regelungsaufträge an die Mitgliedstaaten (Abs. 1)
III. Verschwiegenheitspflicht der Mitglieder und Bediensteten(Abs. 2)
IV. Umsetzung im BDSG (Überblick)
Art. 55 Zuständigkeit
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Territoriale Zuständigkeit der Aufsichtsbehörden (Abs. 1)
III. Ausnahmen zur federführenden Aufsichtsbehörde (Abs. 2)
IV. Aufsicht über Verarbeitungen durch Gerichte (Abs. 3)
V. Besonderheiten aus deutscher Perspektive (Überblick)
Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Zuständigkeit und Ermittlung der federführendenAufsichtsbehörde (Abs. 1) 1. Zuständigkeit der federführenden Aufsichtsbehörde
2. Ermittlung der federführenden Aufsichtsbehörde
3. Sonderkonstellationen und Grenzfälle
III. Abweichende Zuständigkeit bei örtlichen Fällen (Abs. 2)
IV. Einbindung der federführenden Aufsichtsbehörde (Abs. 3)
V. Verfahren bei Befassung durch die federführendeAufsichtsbehörde (Abs. 4)
VI. Verfahren bei Ablehnung der Befassung (Abs. 5)
VII. Federführende Aufsichtsbehörde als einziger Ansprechpartner(Abs. 6)
VIII. Bestimmung der federführenden Aufsichtsbehörde ausdeutscher Perspektive (Überblick)
Art. 57 Aufgaben
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Aufgabenspektrum (Abs. 1)
1. Überwachung und Durchsetzung der Anwendung der Verordnung (lit. a)
2. Sensibilisierung und Aufklärung der Öffentlichkeit (lit. b)
3. Beratung von Parlamenten, Regierungen sowie anderen Einrichtungen und Gremien (lit. c)
4. Sensibilisierung von Verantwortlichen und Auftragsverarbeitern (lit. d)
5. Information betroffener Personen auf Anfrage (lit. e)
6. Behandlung von Beschwerden (lit. f)
7. Zusammenarbeit der Aufsichtsbehörden und Amtshilfe (lit. g)
8. Durchführung von Untersuchungen (lit. h)
9. Verfolgung maßgeblicher Entwicklungen (lit. i)
10. Festlegung von Standardvertragsklauseln (lit. j)
11. Erstellen und Führen einer Liste über Verarbeitungsarten (lit. k)
12. Beratung hinsichtlich Datenschutz-Folgenabschätzung (lit. l)
13. Förderung von Verhaltensregeln und Stellungnahmen hierzu (lit. m)
14. Förderung von Zertifizierungen und Überprüfung erteilter Zertifizierungen (lit. n und lit. o)
15. Aufgaben im Zusammenhang mit Akkreditierungen (lit. p und lit. q)
16. Genehmigung von Vertragsklauseln und Bestimmungen (lit. r)
17. Genehmigung verbindlicher interner Vorschriften (lit. s)
18. Beiträge zur Ausschusstätigkeit (lit. t)
19. Interne Verzeichnisse über Verstöße und Maßnahmen (lit. u)
20. Sonstige Aufgaben zum Schutz personenbezogener Daten (lit. v)
III. Erleichterung von Beschwerden (Abs. 2)
IV. Kostenfreiheit als Grundsatz (Abs. 3)
V. Entgeltlichkeit oder Weigerung als Ausnahme (Abs. 4)
VI. Besonderheiten aus deutscher Perspektive
Art. 58 Befugnisse
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Untersuchungsbefugnisse der Aufsichtsbehörden (Abs. 1)
1. Anforderung von Informationen (lit. a)
2. Durchführung von Datenschutzüberprüfungen (lit. b)
3. Überprüfung von Zertifizierungen (lit. c)
4. Hinweis auf vermeintliche Verstöße (lit. d)
5. Zugang zu notwendigen Daten und Informationen (lit. e)
6. Zugang zu Räumlichkeiten (lit. f)
III. Abhilfebefugnisse der Aufsichtsbehörden (Abs. 2)
1. Warnung (lit. a)
2. Verwarnung (lit. b)
3. Anweisung zur Durchsetzung der Betroffenenrechte (lit. c)
4. Anweisung zur Anpassung von Verarbeitungsvorgängen (lit. d)
5. Anweisung einer Benachrichtigung Betroffener (lit. e)
6. Verhängung einer Beschränkung bzw. eines Verbots (lit. f)
7. Anordnung einer Berichtigung, Löschung oder Einschränkung der Verarbeitung (lit. g)
8. Widerruf oder Nichterteilung der Zertifizierung (lit. h)
9. Verhängung einer Geldbuße (lit. i)
10. Anordnung der Aussetzung einer Drittstaatenübermittlung (lit. j)
IV. Genehmigungs- und Beratungsbefugnisse (Abs. 3)
1. Beratungsbefugnisse (lit. a, b)
2. Genehmigungsbefugnisse (lit. c bis lit. j)
V. Vorbehalt geeigneter Verfahrensgarantien (Abs. 4)
VI. Unterrichtung von Justizbehörden und Einleitung gerichtlicher Verfahren (Abs. 5)
VII. Weitere Befugnisse nach dem Recht der Mitgliedstaaten (Abs. 6)
VIII. Umsetzung aus deutscher Perspektive (Überblick) 1. Art. 58 Abs. 1 bis Abs. 3 DSGVO
2. Art. 58 Abs. 4 DSGVO
3. Art. 58 Abs. 5 DSGVO
4. Art. 58 Abs. 6 DSGVO
Art. 59 Tätigkeitsbericht
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Tätigkeitsberichte
III. Besonderheiten aus deutscher Perspektive
Art. 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Zu den Vorschriften im Einzelnen. 1. Grundlagen der Zusammenarbeit (Abs. 1) a) Pflicht zur Zusammenarbeit
b) Konsensprinzip
c) Pflicht zum Informationsaustausch
2. Amtshilfeersuchen und gemeinsame Maßnahmen (Abs. 2)
3. Konsultationsverfahren (Abs. 3–6)
4. Beschlussfassung (Abs. 7–9)
5. Umsetzungsphase (Abs. 10)
6. Dringlichkeitsverfahren (Abs. 11)
7. Kommunikationsvorgaben (Abs. 12)
Art. 61 Gegenseitige Amtshilfe
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Zu den Vorschriften im Einzelnen. 1. Grundlagen der Zusammenarbeit und der gegenseitigen Amtshilfe (Abs. 1)
2. Fristen, Verfahren und Inhalt des Amtshilfeersuchens (Abs. 2, 3, 5, 6, 8)
3. Ablehnungsgründe (Abs. 4)
4. Gebührenfreiheit (Abs. 7)
5. Durchführungsrechtsakte der Kommission (Abs. 9)
Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Zu den Vorschriften im Einzelnen. 1. Gemeinsame Maßnahmen (Abs. 1)
2. Recht zur Teilnahme und Pflicht zur Einladung (Abs. 2)
3. Untersuchungsbefugnisse (Abs. 3)
4. Haftung (Abs. 4 bis 6)
5. Einstweilige Maßnahmen (Abs. 7)
Art. 63 Kohärenzverfahren
I. Allgemein. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Anwendungsbereich des Kohärenzverfahrens
III. Zusammenarbeit der Aufsichtsbehörden
IV. Zusammenarbeit zwischen Aufsichtsbehörde und Kommission
V. Rechtsfolgen bei Nichtbeachtung
VI. Umsetzung
Art. 64 Stellungnahme des Ausschusses
I. Allgemein. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Geltungsbereich des Art. 64
III. Arten der Stellungnahmen (Abs. 1 und 2)
1. Obligatorische Stellungnahmen (Abs. 1)
2. Fakultative Stellungnahme (Abs. 2)
IV. Verfahren und Fristen für Stellungnahmen (Abs. 3 bis 5)
1. Informationspflicht der Aufsichtsbehörden bzw. der Kommission (Abs. 4, 5 lit. a)
2. Stellungnahme des Ausschusses (Abs. 3 und 5)
V. Umgang der Aufsichtsbehörde mit Stellungnahmen des Ausschusses (Abs. 6 bis 8)
1. Frustrationsverbot (Abs. 6)
2. Befolgung von Stellungnahmen des Ausschusses (Abs. 7)
3. Streitbeilegungsverfahren (Abs. 8)
VI. Rechtswirkung der Stellungnahmen
VII. Rechtsschutz
Art. 65 Streitbeilegung durch den Ausschuss
I. Allgemein. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Sachlicher Anwendungsbereich der Streitbeilegung (Abs. 1)
1. Widersprüchliche Standpunkte zu Beschlussentwürfen (lit. a)
2. Widersprüchliche Standpunkte zur Zuständigkeit der Aufsichtsbehörden(lit. b)
3. Umgang mit Stellungnahmen gem. Art. 64 (lit. c)
III. Verfahren und Fristen für Beschlüsse (Abs. 2, 3 und 5)
1. Beschlussfassung im Ausschuss (Abs. 2 und 3)
2. Wirkung und Übermittlung des Beschlusses (Abs. 3 Satz 3, Abs. 5 Satz 1, 2)
3. Veröffentlichung des Beschlusses (Abs. 5 Satz 3)
4. Inhalt der verbindlichen Beschlüsse
IV. Umgang der Aufsichtsbehörden mit Beschlüssen des Ausschusses(Abs. 4 und 6)
1. Frustrationsverbot (Abs. 4)
2. Erlass des endgültigen Beschlusses (Abs. 6)
V. Rechtsschutz
Art. 66 Dringlichkeitsverfahren
I. Allgemein. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Maßnahmen im Dringlichkeitsverfahren
1. Einstweilige Maßnahmen (Abs. 1)
a) Außergewöhnliche Umstände und dringender Handlungsbedarf (Abs. 1 Satz 1)
b) Vorwegnahme der endgültigen Maßnahme im Dringlichkeitsverfahren (Abs. 1 Satz 1)
c) Informationspflicht der betroffenen Aufsichtsbehörde (Abs. 1 Satz 2)
2. Endgültige Maßnahmen (Abs. 2 und 4)
3. Untätigkeit der zuständigen Aufsichtsbehörde (Abs. 3 und 4)
III. Gerichtliche Kontrolle
Art. 67 Informationsaustausch
I. Allgemein. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Notwendigkeit der Durchführungsrechtsakte (UAbs. 1)
III. Erlass der Durchführungsrechtsakte (UAbs. 2)
IV. Rechtsschutz
Art. 68 Europäischer Datenschutzausschuss
I. Allgemeines. 1. Rechtsnatur und allgemeine Aufgabenstellung des EDSA
2. Verhältnis zu anderen Vorschriften
II. Funktionsweise des EDSA. 1. Vertretung und Zusammensetzung (Abs. 2–4)
2. Stimmberechtigung (Abs. 5 und 6)
Art. 69 Unabhängigkeit
I. Allgemeines
II. Aufgabenerfüllung und Ausübung von Befugnissen. 1. Unabhängige Aufgabenerfüllung (Abs. 1)
2. Weisungsfreiheit (Abs. 2)
Art. 70 Aufgaben des Ausschusses
I. Allgemeines
II. Einzelne Aufgaben (Abs. 1) 1. Zusammenarbeit zwischen den Aufsichtsbehörden (lit. a, t, u, v, w, y)
2. Beratungsaufgabe (lit. b, c, r, s, x)
3. Auslegungsvorgaben (lit. d–m)
4. Verhaltensregeln, Akkreditierung und Zertifizierung (lit. n–q)
5. Fristsetzung und Veröffentlichung (Abs. 2 und Abs. 3)
6. Konsultation (Abs. 4)
III. Konkretisierungskompetenz des EDSA
Art. 71 Berichterstattung
I. Allgemeines
II. Veröffentlichung und Inhalt des Jahresberichts (Abs. 1 und Abs. 2)
Art. 72 Verfahrensweise
I. Allgemeines
II. Beschlussfassung und Geschäftsordnung (Abs. 1 und Abs. 2)
Art. 73 Vorsitz
Art. 74 Aufgaben des Vorsitzes
I. Allgemeines
II. Wahl und Amtszeit des Vorsitzes (Art. 73 Abs. 1 und 2)
III. Aufgaben und Geschäftsordnung des Vorsitzes (Art. 74)
Art. 75 Sekretariat
I. Allgemeines
II. Weisungen, Berichtspflichten und Aufgaben (Abs. 1–4)
Art. 76 Vertraulichkeit
I. Allgemeines
II. Vertraulichkeit und Zugang zu Dokumenten von Dritten (Abs. 1 und Abs. 2)
Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde
I. Allgemeines. 1. Überblick
2. Zweck der Vorschrift
3. Entstehungsgeschichte
4. Verhältnis zu anderen Vorschriften
II. Beschwerderecht nach Abs. 1. 1. Betroffene Person
2. Unbeschadet anderweitiger Rechtsbehelfe
3. Inhalt, Form und Frist der Beschwerde
4. Zuständige Behörde
5. Behandlung der Beschwerde durch die Aufsichtsbehörde
III. Unterrichtung nach Abs. 2
Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
I. Allgemeines. 1. Überblick
2. Zweck der Vorschrift
3. Verhältnis zu anderen Vorschriften
4. Zuständigkeit nationaler Gerichte
II. Rechtsbehelf nach Abs. 1. 1. Klagebefugte Personen
2. Rechtsverbindlicher Beschluss
III. Rechtsbehelf nach Abs. 2. 1. Klagebefugte Personen
2. Untätigkeit
3. Statthafte Klageart
IV. Rechtsweg
V. Zuständiges Gericht (Abs. 3)
VI. Vorangegangenes Kohärenzverfahren (Abs. 4)
VII. Entscheidung des Gerichts
Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
I. Allgemeines. 1. Überblick
2. Zweck der Vorschrift
3. Entstehungsgeschichte
4. Verhältnis zu nationalen Vorschriften
II. Klagebefugnis nach Abs. 1. 1. Betroffene Person
2. Verarbeitung nicht im Einklang mit der DSGVO
III. Zuständigkeit nach Abs. 2. 1. Wahlmöglichkeit
2. Niederlassung
3. Aufenthaltsort
4. Einstweiliger Rechtsschutz
IV. Verfahren
Art. 80 Vertretung von betroffenen Personen
I. Allgemeines. 1. Zweck der Vorschrift
2. Verhältnis zu anderen Vorschriften
II. Vertretungsbefugnis (Abs. 1)
1. Kreis der berechtigten Vertreter
a) Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht
b) Nach dem Recht eines Mitgliedstaates ordnungsgemäß gegründet
c) Satzungsmäßige Ziele im öffentlichen Interesse
d) Tätigkeit im Bereich des Datenschutzes
2. Einer Vertretung zugängliche Rechtsbehelfe
3. Vertretungsbefugnis
4. Rechtsfolge
III. Verbandsklage (Abs. 2)
1. Regelungsbefugnis der Mitgliedstaaten (Öffnungsklausel)
2. Kreis der berechtigten Kollektivorgane
3. Eigenes Klage- und Beschwerderecht
4. Regelungen im Recht der Mitgliedstaaten. a) Keine spezifische Umsetzung in Deutschland
b) Altregelungen nach UKlaG und UWG
aa) Weitere Anwendbarkeit der Altregelungen
bb) Inhalt der Altregelungen
c) Gesetz zur Einführung einer Musterfeststellungsklage
aa) Voraussetzungen für die Erhebung einer Musterfeststellungsklage
bb) Anwendung im Zusammenhang mit der DSGVO
Art. 81 Aussetzung des Verfahrens
I. Allgemeines. 1. Zweck der Vorschrift
2. Verhältnis zu anderen Vorschriften
II. Anhängigkeit eines Parallelverfahrens (Abs. 1)
1. Verfahren zu demselben Gegenstand
a) Relevante Verfahrensarten
b) Keine Parteiidentität
c) Dieselbe Verarbeitung
d) Vermeidung widersprechender Entscheidungen
2. Anhängigkeit in anderem Mitgliedstaat. a) Anhängigkeit
b) In anderem Mitgliedstaat
3. Kenntniserlangung
4. Kontaktaufnahme
III. Aussetzungsbefugnis (Abs. 2)
1. Spätere Anrufung
2. Entscheidung über die Aussetzung
IV. Unzuständigerklärung (Abs. 3)
1. Parallelverfahren in erster Instanz
2. Zuständigkeit des zuerst angerufenen Gerichts und Klageverbindung
3. Antrag einer Partei
4. Gerichtliche Entscheidung
Art. 82 Haftung und Recht auf Schadensersatz
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Anspruchsgrundlage (Abs. 1)
1. Anspruchsberechtigte
2. Anspruchsgegner
3. Haftungsauslösender Verstoß
a) Auf konkreter Verarbeitung beruhender Verstoß
b) Verstoß gegen delegierte Rechtsakte und Durchführungsrechtsakte sowie
4. Schaden
a) Begriff des Schadens
aa) Materieller Schaden
bb) Immaterieller Schaden
b) Mitverschulden
5. Kausalität
6. Verschulden
7. Verjährung
8. Darlegungs- und Beweislast
a) Grundsatz zulasten des Anspruchstellers
b) Beweiserleichterungen für den Anspruchsteller
aa) Beweiserleichterung wegen Rechenschaftspflicht
bb) Beweiserleichterung bezüglich Verschulden
cc) Beweiserleichterung bezüglich Kausalität
c) Darlegungs- und Beweislast des Anspruchsgegners
9. Abdingbarkeit
a) Kein generelles Freizeichnungsverbot
b) AGB- und sonstige zivilrechtliche Einschränkungen
10. Übertragbarkeit/Vererblichkeit
III. Haftungsumfang (Abs. 2)
1. Haftung des Verantwortlichen (Abs. 2 Satz 1)
2. Haftung von Auftragsverarbeitern (Abs. 2 Satz 2)
a) Haftung für eigene Rechtsverstöße des Auftragsverarbeiters
b) Keine Haftung für Verletzung originärer Pflichten des Verantwortlichen
c) Haftung bei weisungswidriger Verarbeitung
d) Sonderfall: Providerhaftung
IV. Haftungsbefreiung (Abs. 3)
1. Haftung für vermutetes Verschulden
2. Beweislastumkehr
3. Haftungsbefreiung
a) Umfang der Haftungsbefreiung
aa) Teilweises Verschulden
bb) Organisationsverschulden
cc) Zurechnung des Verschuldens von Auftragsverarbeitern und sonstigen Beteiligten
dd) Exkulpation bei höherer Gewalt
b) Geltendmachung einer Haftungsbefreiung
V. Gesamtschuldnerische Haftung (Abs. 4)
1. Haftungsvoraussetzung
2. Rechtsfolge
a) Auswahl des Schuldners
b) Ergänzende Geltung des nationalen Rechts
c) Abdingbarkeit
VI. Haftungsregress zum Innenausgleich (Abs. 5)
1. Haftung nach Verantwortungsbeitrag
2. Anspruch auf Regress
3. Durchsetzung des Regressanspruchs
VII. Geltendmachung (Abs. 6)
1. Zuständiges Gericht
2. Kollisionsrecht
VIII. Ergänzende nationale Schadensersatzansprüche
IX. Störerhaftung
Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Sicherstellung von wirksamen, verhältnismäßigen und abschreckenden Bußgeldern durch die Aufsichtsbehörden (Abs. 1) 1. Zuständige Aufsichtsbehörde und Zusammenarbeit mit anderen Behörden
2. Wirksam, verhältnismäßig und abschreckend
III. Zumessungskriterien für Bußgelder (Abs. 2) 1. Allgemeines
2. Der Unternehmensumsatz
3. Das DSK-Konzept zur Bußgeldzumessung
a) Kriterien für die Bußgeldzumessung
b) Anwendung der Kriterien in der Praxis
c) Anpassung des Bußgeldmodells
4. Kriterienkatalog (Abs. 2 Satz 2) a) Allgemeines
b) Art, Schwere und Dauer des Verstoßes (Abs. 2 Satz 2 lit. a)
c) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Abs. 2 Satz 2 lit. b)
d) Getroffene Maßnahmen zur Schadensminderung (Abs. 2 Satz 2 lit. c)
e) Grad der Verantwortung unter Berücksichtigung der getroffenen TOM-Maßnahmen (Abs. 2 Satz 2 lit. d)
f) Frühere Verstöße (Abs. 2 Satz 2 lit. e)
g) Umfang der Zusammenarbeit mit der Aufsichtsbehörde (Abs. 2 Satz 2 lit. f)
h) Kategorien personenbezogener Daten (Abs. 2 Satz 2 lit. g)
i) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde (Abs. 2 Satz 2 lit. h)
j) Einhaltung früherer durch die Aufsichtsbehörde angeordneter Maßnahmen (Abs. 2 Satz 2 lit. i)
k) Einhaltung von Verhaltensregeln und Zertifizierungsverfahren (Abs. 2 Satz 2 lit. j)
l) Andere erschwerende oder mildernde Umstände (Abs. 2 Satz 2 lit. k)
IV. Beschränkung der Bußgeldhöhe bei Mehrfachverstößen (Abs. 3)
V. Bußgeldtatbestände (Abs. 4–6) 1. Systematik der Bußgeldtatbestände
2. Adressaten des Bußgeldes. a) Verantwortliche Stelle, Auftragsverarbeiter und spezielle Stellen
b) Sanktionen gegen mehrere oder verbundene Unternehmen
c) Erfordernis einer Zurechnung/Anwendung von § 30 OWiG
d) Bußgelder gegenüber einzelnen Personen innerhalb eines Unternehmens
3. Bußgelder bei Verstößen gegen formelle administrative Pflichten (Abs. 4)
a) Abs. 4 lit. a
b) Abs. 4 lit. b
c) Abs. 4 lit. c
4. Bußgelder bei Verstößen gegen materielle Grundsätze, Betroffenenrechte und Bestimmungen über den Drittstaatentransfer (Abs. 5)
a) Abs. 5 lit. a
b) Abs. 5 lit. b
c) Abs. 5 lit. c
d) Abs. 5 lit. d
e) Abs. 5 lit. e
5. Bußgelder bei Missachtung einer Anweisung der Aufsichtsbehörden (Abs. 6)
6. Verschulden
7. Beweislast
8. Verjährung
VI. Öffnungsklausel für Bußgelder gegen Behörden und öffentliche Stellen (Abs. 7)
VII. Verfahrensgarantien und gerichtlicher Rechtsschutz (Abs. 8)
1. Ordnungsgemäße Verfahren
2. Gerichtliche Verfahren
VIII. Rechtsordnungen ohne Bußgelder (Abs. 9)
IX. Nationale Bußgeldvorschriften
Art. 84 Sanktionen
I. Allgemeines. 1. Überblick
2. Zweck der Vorschrift
3. Verhältnis zu anderen Vorschriften
II. Öffnungsklausel nach Abs. 1
III. Unterrichtung nach Abs. 2
Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
I. Allgemeines
1. Genese
2. Tele
3. Systematik
4. Grundrechtsbindungen
II. Regelungs- und Anpassungspflicht des nationalen Gesetzgebers(Abs. 1) 1. Rechtsnatur: Pflicht der nationalen Normsetzungsinstanzenzur Herstellung praktischer Konkordanz
2. Recht auf den Schutz personenbezogener Daten, Recht auf freie Meinungsäußerung und Informationsfreiheit
3. Verarbeitungen zu journalistischen, wissenschaftlichen, künstlerischenoder literarischen Zwecken
III. Öffnungsklausel (Abs. 2)
1. Rechtsnatur: Prüfungs- und ggf. Handlungspflicht
2.Verarbeitungen zu journalistischen, wissenschaftlichen, künstlerischenoder literarischen Zwecken
3. Öffnungserfasste Kapitel der DSGVO
4. Gebot der Erforderlichkeit der Ausnahmen und Abweichungen
5. Verhältnis zu Art. 89 Abs. 2 DSGVO
IV. Pflicht zur Mitteilung an die EU-Kommission (Abs. 3)
V. Nationales Recht. 1. Grundsätzliches
2. Rundfunk und Telemedien
3. Landespressegesetze
4. KUG
Art. 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
I. Regelungszweck
II. Regelungsgegenstand
1. Personenbezogene Daten
2. Amtliche Dokumente
3. Behörde, öffentliche oder private Einrichtung
4. Zugang der Öffentlichkeit
III. Regelungsspielraum der Mitgliedstaaten
Art. 87 Verarbeitung der nationalen Kennziffer
I. Regelungszweck
II. Regelungsinhalt
Art. 88 Datenverarbeitung im Beschäftigungskontext
I. Allgemeines. 1. Zweck und Systematik
2. Europarechtliche Grundlagen
3. Erlaubnistatbestand und Verhältnis zu anderen Vorschriften
II. Spezifische Vorschriften im Beschäftigungskontextzur Gewährleistung des Schutzes (Abs. 1) 1. Spezifische Vorschrift
2. Gestaltungsspielraum
3. Kollektive Regelungen
4. Personenbezogene Beschäftigtendaten
5. Beschäftigungskontext
6. Gewährleistung des Schutzes
III. Maßnahmen zum Schutz der betroffenen Arbeitnehmer (Abs. 2)
IV. Mitteilung (Abs. 3)
Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Vorbehalt geeigneter Garantien (Abs. 1) 1. Anwendungsbereich
a) Im öffentlichen Interesse liegende Archivzwecke
b) Wissenschaftliche oder historische Forschungszwecke
c) Statistische Zwecke
2. Einzuhaltende Garantien
III. Öffnungsklauseln. 1. Öffnungsklausel bei wissenschaftlichen oder historischenForschungszwecken oder zu statistischen Zwecken (Abs. 2)
2. Öffnungsklausel bei im öffentlichen Interesse liegenden Archivzwecken(Abs. 3)
IV. Nebenzweck-Schranke (Abs. 4)
Art. 90 Geheimhaltungspflichten
I. Allgemeines. 1. Zweck der Vorschrift
2. Verhältnis zu anderen Vorschriften
II. Öffnungsklausel bei Geheimnisverpflichtungen (Abs. 1)
1. Geheimnisverpflichtungen
2. Der Geheimhaltungsverpflichtung unterliegende Daten (Abs. 1 Satz 2)
3. Bereichsspezifischer Verhältnismäßigkeitsvorbehalt
III. Mitteilungspflichten (Abs. 2)
Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
I. Entstehungsgeschichte
II. Zweck der Norm
1. Ausgangslage. a) Ausgangslage auf europarechtlicher Ebene
b) Ausgangslage auf nationaler Ebene in Deutschland
2. Verhältnis der Norm zu anderen Vorschriften. a) Allgemeines
b) Primärrechtlicher Hintergrund
c) Status der Kirchen und religiöser Vereinigungen oder Gemeinschaften nach
d) Auswirkungen auf nationaler Ebene
III. Fortbestand umfassender Regeln (Abs. 1)
1. Kirchen und religiöse Vereinigungen oder Gemeinschaften
2. Anwendung bestehender und umfassender Regeln. a) Bestehende Regeln
b) Umfassende Regeln
3. Einklang dieser Regeln mit der DSGVO
IV. Unabhängige Datenschutzaufsicht (Abs. 2)
1. Einrichtung einer Datenschutzaufsicht
2. Datenschutzaufsicht spezifischer Art
3. Rechtsschutz
V. Fazit
Art. 92 Ausübung der Befugnisübertragung
I. Allgemeines. 1. Zweck der Vorschrift
2. Verhältnis zu anderen Vorschriften
II. Befugnisübertragung (Abs. 1)
III. Dauer der Befugnisübertragung (Abs. 2)
IV. Widerruf der Befugnisübertragung (Abs. 3)
V. Erlass und Übermittlung delegierter Rechtsakte (Abs. 4)
VI. Einwände gegen delegierte Rechtsakte (Abs. 5)
Art. 93 Ausschussverfahren
I. Allgemeines (Abs. 1)
II. Prüfverfahren (Abs. 2)
III. Sofort geltende Durchführungsrechtsakte (Abs. 3)
Art. 94 Aufhebung der Richtlinie 95/46/EG
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Aufhebung der Datenschutzrichtlinie (Abs. 1)
1. Hybridcharakter der DSGVO
2. Bedeutung für nationale Datenschutzvorschriften
3. Beschlüsse und Genehmigungen
4. Auswirkungen auf Verarbeitungsprozesse
III. Weitergeltung von Verweisen (Abs. 2)
1. Verweise auf die EG-Datenschutz-Richtlinie
2. Verweise auf die Art.-29-Datenschutzgruppe
3. Verweise in privatrechtlichen Verträgen
Art. 95 Verhältnis zur Richtlinie 2002/58/EG
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Verhältnis zur ePrivacy-Richtlinie. 1. Anwendungsbereich der ePrivacy-Richtlinie. a) Verhältnis der Sekundärrechtsakte
b) Umfang der Anwendung der ePrivacy-Richtlinie
2. Verhältnis zum nationalen Recht. a) Allgemeines
b) Vor Reform des Telekommunikations- und Telemedienrechts
c) Nach Geltung des Telekommunikation-Telemedien-Datenschutz-Gesetzes
III. Rechtslage nach Inkrafttreten der ePrivacy-Verordnung
1. Verhältnis zur ePrivacy-Verordnung
2. Ausblick
Art. 96 Verhältnis zu bereits geschlossenen Übereinkünften
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Abgeschlossene internationale Übereinkünfte. 1. Zeitpunkt des Abschlusses
2. Bestandsschutz für internationale Übereinkünfte
3. Erfasste Übereinkünfte
4. Änderung, Ersetzung, Kündigung
Art. 97 Berichte der Kommission
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Berichtspflicht (Abs. 1) 1. Formale Vorgaben
2. Verletzung der Berichtspflicht
III. Inhalte der Berichte (Abs. 2) 1. Inhaltliche Vorgaben
2. Schwerpunkte
3. Weitere Themen
4. Inhalte bisheriger Berichte
IV. Anforderung von Informationen (Abs. 3)
V. Berücksichtigung weiterer Standpunkte (Abs. 4)
VI. Änderungsvorschläge (Abs. 5)
Art. 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Überprüfung anderer Rechtsakte. 1. Überprüfungsaufforderung
2. Erfasste Rechtsakte. a) Verordnung über Datenschutz in Institutionen der Union
b) ePrivacy-Richtlinie
c) Weitere Unionsrechtsakte mit Datenschutzbezug
Art. 99 Inkrafttreten und Anwendung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Inkrafttreten (Abs. 1)
III. Geltungsbeginn (Abs. 2) 1. Geltung ab 25.5.2018
2. Wirkung der Verordnung
3. Bestandsaufnahme im August 2018
§ 1 Anwendungsbereich des Gesetzes
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Anwendungsbereich (Abs. 1)
1. Öffentliche Stellen des Bundes (Abs. 1 Nr. 1)
2. Öffentliche Stellen der Länder (Abs. 1 Nr. 2)
3. Nichtöffentliche Stellen
III. Verhältnis zu Rechtsvorschriften des Bundes (Abs. 2)
1. Rechtsvorschriften des Bundes (§ 1 Abs. 2 Satz 1 und Satz 2 BDSG)
2. Gesetzliche Geheimhaltungspflichten, Berufs- und Amtsgeheimnisse (§ 1 Abs. 2 Satz 3 BDSG)
a) Gesetzliche Geheimhaltungspflichten
b) Berufsgeheimnisse
c) Amtsgeheimnisse
IV. Verhältnis zum Verwaltungsverfahrensgesetz (Abs. 3)
V. Territorialer Anwendungsbereich (Abs. 4)
1. Öffentliche Stellen
2. Nichtöffentliche Stellen
a) Verarbeitung im Inland (Abs. 4 Satz 2 Nr. 1)
b) Verarbeitung durch inländische Niederlassung (Abs. 4 Satz 2 Nr. 2)
c) Verarbeitung im Anwendungsbereich der DSGVO (Abs. 4 Satz 2 Nr. 3)
VI. Subsidiarität gegenüber dem Recht der Union (Abs. 5)
VII. Status der Staaten des EWR (Abs. 6)
VIII. Status von Schengen-Staaten (Abs. 7)
IX. Nicht von DSGVO und RL 2016/680 erfasste Verarbeitungen öffentlicher Stellen (Abs. 8)
§ 2 Begriffsbestimmungen
I. Allgemeines. 1. Regelungsgegenstand
2. Funktion der Vorschrift
3. Vergleich zum BDSG a.F
4. Anwendungsbereich der Vorschrift
II. Öffentliche Stellen des Bundes (Abs. 1) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale der öffentlichen Stellen des Bundes
a) Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen. aa) Behörden
(1) Organisatorische Selbstständigkeit
(2) Wahrnehmung von Aufgaben der öffentlichen Verwaltung
(3) Abgrenzung zum Rechtsträger
bb) Organe der Rechtspflege
cc) Andere öffentlich-rechtlich organisierte Einrichtungen
b) Zuordnung der Behörde, des Organs der Rechtspflege bzw. der anderen öffentlich-rechtlich organisierten Einrichtung zum Bund, zu einer bundesunmittelbaren Körperschaft, einer Anstalt oder einer Stiftung des öffentlichen Rechts
c) Beispiele für öffentliche Stellen des Bundes
d) Vereinigungen von Behörden, Organen der Rechtspflege und anderen öffentlichrechtlich organisierten Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts
e) Religionsgemeinschaften
III. Öffentliche Stellen der Länder (Abs. 2) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale der öffentlichen Stellen der Länder
a) Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen
b) Zuordnung der Behörde, des Organs der Rechtspflege bzw. der anderen öffentlich-rechtlich organisierten Einrichtung zu einem Land, einer Gemeinde, einem Gemeindeverband oder zu einer sonstigen der Aufsicht des Landes unterstehenden juristischen Person des öffentlichen Rechts
c) Beispiele für Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen, die den Ländern zuzurechnen sind
d) Vereinigungen von Behörden, Organen der Rechtspflege und anderen öffentlichrechtlich organisierten Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts
IV. Vereinigungen des privaten Rechts von öffentlichen Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen (Abs. 3) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale der Vereinigungen des privaten Rechts öffentlicher Stellen
a) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder
b) Wahrnehmung von Aufgaben der öffentlichen Verwaltung
c) Rechtsfolge: Öffentliche Stellen des Bundes oder der Länder
V. Nichtöffentliche Stellen (Abs. 4) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale der nichtöffentlichen Stellen
a) Natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts
aa) Natürliche Personen
bb) Juristische Personen des privaten Rechts
cc) Gesellschaften
dd) Andere Personenvereinigungen des Privatrechts
b) Kein Fall des § 2 Abs. 1 bis Abs. 3 BDSG
c) Keine Wahrnehmung hoheitlicher Aufgaben der öffentlichen Verwaltung/Beliehene
VI. Öffentliche Stellen, die am Wettbewerb teilnehmen (Abs. 5) 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale öffentlich-rechtlicher Wettbewerbsunternehmen
a) Öffentlich-rechtliche Wettbewerbsunternehmen des Bundes (Satz 1)
b) Öffentlich-rechtliche Wettbewerbsunternehmen der Länder (Satz 2)
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Anwendungsbereich. 1. Normadressaten
2. Verarbeitung personenbezogener Daten
III. Zulässigkeitstatbestände
1. Erforderlichkeit zur Aufgabenerfüllung
a) Aufgabenerfüllung
b) Zuständigkeit des Verantwortlichen
c) Erforderlichkeit
aa) Umfang der Daten
bb) Art der Verarbeitung
cc) Zeitliche Komponente
2. Erforderlichkeit in Ausübung öffentlicher Gewalt
a) Ausübung öffentlicher Gewalt
b) Befugnis des Verantwortlichen
c) Erforderlichkeit
§ 4 Videoüberwachung öffentlich zugänglicher Räume
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verarbeitung besonderer Kategorien personenbezogener Daten
4. Verhältnis zu anderen Vorschriften. a) Bereichsspezifische Vorschriften
b) Landesdatenschutzgesetze
II. Zulässigkeit der Videoüberwachung (Abs. 1)
1. Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Satz 1)
a) Verarbeitungszwecke
aa) Aufgabenerfüllung öffentlicher Stellen (Nr. 1)
bb) Wahrnehmung des Hausrechts (Nr. 2)
cc) Wahrnehmung berechtigter Interessen (Nr. 3)
b) Erforderlichkeit
c) Interessenabwägung
2. Sonderregelungen für großflächige Anlagen und Einrichtungen (Satz 2)
a) Öffentlich zugängliche großflächige Anlagen (Nr. 1)
b) Fahrzeuge und öffentlich zugängliche großflächige Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs (Nr. 2)
III. Pflicht zur Kenntlichmachung (Abs. 2) 1. Hintergrund
2. Einzelheiten zu Pflichten aus § 4 Abs. 2 BDSG. a) Gegenstand der Pflicht
b) Geeignetheit zur Kenntlichmachung
c) Zeitpunkt der Kenntlichmachung
3. Verhältnis von § 4 Abs. 2 BDSG zu anderen Informationspflichten. a) Verhältnis von § 4 Abs. 2 BDSG zu Informationspflichten nach Art. 12ff. DSGVO
b) Verhältnis von § 4 Abs. 2 BDSG zu Informationspflichten nach § 4 Abs. 4 BDSG (i.V.m. Art. 12ff. DSGVO)
4. Fehlende Kenntlichmachung und Information
IV. Zulässigkeit der Speicherung, Verwendung und Zweckänderung (Abs. 3) 1. Speicherung und Verwendung (Abs. 3 Satz 1 und 2)
2. Zweckänderung (Abs. 3 Satz 3)
V. Pflicht zur Information (Abs. 4) 1. Hintergrund
2. Einzelheiten zu Pflichten aus § 4 Abs. 4 Satz 1 BDSG
3. Ausnahmen nach § 4 Abs. 4 Satz 2 BDSG (i.V.m. § 32 BDSG)
VI. Pflicht zur Löschung (Abs. 5) 1. Hintergrund
2. Zwei Löschungstatbestände
3. Löschungsfristen und Anforderungen an Löschung
4. Abgrenzung zu anderen Löschungspflichten
VII. Praxishinweise. 1. Rechtsfolgen
2. Weitere Anforderungen im Zusammenhang mit Videoüberwachung
3. Ausblick
§ 5 Benennung
I. Allgemeines
II. Benennung durch öffentliche Stellen (Abs. 1)
III. Gemeinsamer Datenschutzbeauftragter (Abs. 2)
IV. Persönliche Voraussetzungen für die Benennung (Abs. 3)
V. Interner und externer Datenschutzbeauftragter (Abs. 4)
VI. Kontaktdaten des Datenschutzbeauftragten (Abs. 5)
§ 6 Stellung
I. Allgemeines
II. Einbeziehung (Abs. 1)
III. Unterstützung durch den Verantwortlichen und den Auftragsverarbeiter (Abs. 2)
IV. Weisungsfreiheit, Abberufungs- und Benachteiligungsverbot (Abs. 3)
V. Zulässige Abberufung (Abs. 4)
1. Abberufung und Kündigungsschutz (Abs. 4 Sätze 1 und 2)
2. Wegfall der Benennungspflicht
3. Niederlegung; Auflösung
4. Fusionen/Verschmelzung
5. Kündigungsschutz nach Abberufung (Abs. 4 Satz 3)
VI. Ansprechpartner und Verschwiegenheitspflicht (Abs. 5)
VII. Zeugnisverweigerungsrecht, Beschlagnahmeverbot (Abs. 6)
§ 7 Aufgaben
I. Allgemeines
II. Aufgaben des Datenschutzbeauftragten (Abs. 1)
III. Vermeidung von Interessenkonflikten (Abs. 2)
IV. Risikobasierter Ansatz (Abs. 3)
§ 8 Errichtung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. BfDI als oberste Bundesbehörde (Abs. 1)
III. Mitarbeiter der oder des BfDI (Abs. 2)
IV. Option der Aufgabendelegierung (Abs. 3)
§ 9 Zuständigkeit
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Aufsicht über öffentliche Stellen des Bundes und Unternehmen im Bereich Telekommunikationsdienstleistungen (Abs. 1)
III. Einschränkung der Aufsicht (Abs. 2)
§ 10 Unabhängigkeit
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Unabhängigkeit und Weisungsfreiheit (Abs. 1)
III. Rechnungsprüfung (Abs. 2)
§ 11 Ernennung und Amtszeit
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Wahl und Ernennung (Abs. 1)
III. Leistung des Amtseids (Abs. 2)
IV. Amtszeit und Wiederwahl (Abs. 3)
§ 12 Amtsverhältnis
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Öffentlich-rechtliches Amtsverhältnis (Abs. 1)
III. Beginn und Ende des Amtsverhältnisses (Abs. 2)
IV. Stellvertretung bei Verhinderung (Abs. 3)
V. Besoldung (Abs. 4)
§ 13 Rechte und Pflichten
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Unvereinbare Handlungen und Tätigkeitsverbote (Abs. 1)
III. Annahme von Geschenken (Abs. 2)
IV. Zeugnisverweigerungsrecht (Abs. 3)
V. Verschwiegenheitsverpflichtung (Abs. 4)
VI. Zeugenaussagen (Abs. 5)
VII. Erstreckung von Rechten und Pflichten auf die Landesbeauftragten (Abs. 6)
§ 14 Aufgaben
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Aufgabenspektrum der oder des BfDI (Abs. 1)
III. Abgabe von Stellungnahmen (Abs. 2)
IV. Erleichterung von Beschwerden (Abs. 3)
V. Unentgeltlichkeit (Abs. 4)
§ 15 Tätigkeitsbericht
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Tätigkeitsbericht
§ 16 Befugnisse
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte und europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Befugnisse im Rahmen der DSGVO (Abs. 1)
III. Befugnisse außerhalb der DSGVO (Abs. 2)
1. Beanstandung durch die oder den BfDI (Satz 1)
2. Verzicht auf Beanstandung oder Stellungnahme (Satz 2)
3. Stellungnahme der zuständigen obersten Bundesbehörde (Satz 3)
4. Warnung bei beabsichtigten Bearbeitungsvorgängen (Satz 4)
IV. Reichweite der Befugnisse in sensiblen Bereichen (Abs. 3)
V. Zugang zu Räumlichkeiten und Informationen (Abs. 4)
VI. Hinwirken auf Zusammenarbeit mit anderen Aufsichtsbehörden (Abs. 5)
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
I. Allgemeines
II. Gemeinsamer Vertreter und Stellvertreter (Abs. 1 und Abs. 2)
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
I. Allgemeines
II. Beteiligung und gemeinsamer Standpunkt (Abs. 1 bis Abs. 3)
§ 19 Zuständigkeiten
I. Allgemeines
II. Federführende Aufsichtsbehörde und Weitergabe von Beschwerden (Abs. 1 und Abs. 2)
§ 20 Gerichtlicher Rechtsschutz
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Rechtsweg für Klagen gegen Aufsichtsbehörden (Abs. 1)
III. Verfahrensrecht (Abs. 2)
IV. Örtliche Zuständigkeit (Abs. 3)
V. Beteiligtenfähigkeit (Abs. 4)
VI. Beteiligte (Abs. 5)
VII. Vorverfahren (Abs. 6)
VIII. Sofortige Vollziehbarkeit gegenüber Aufsichtsbehörden (Abs. 7)
§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Klagerecht und Antragspflicht der Aufsichtsbehörde (Abs. 1)
III. Rechtswegzuweisung und Verfahrensrecht (Abs. 2)
IV. Sachliche Zuständigkeit (Abs. 3)
V. Beteiligte (Abs. 4)
VI. Aussetzungspflicht (Abs. 5)
VII. Entscheidung des Gerichts (Abs. 6)
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
I. Allgemeines. 1. Regelungszwecke
2. Verhältnis zum europäischen Recht
3. Verhältnis zum nationalen Recht
4. Rechtsentwicklung
II. Zulässige Verarbeitung (§ 22 Abs. 1 BDSG)
1. Verarbeitung besonderer Kategorien personenbezogener Daten
2. Erforderlichkeit der Datenverarbeitung
3. Verarbeitung durch öffentliche und nichtöffentliche Stellen (Nr. 1)
a) Soziale Sicherheit und Sozialschutz (Nr. 1 lit. a)
b) Gesundheitsdienste und -systeme (Nr. 1 lit. b)
c) Öffentliche Gesundheit (Nr. 1 lit. c)
d) Erhebliches öffentliches Interesse (Nr. 1 lit. d)
4. Verarbeitung durch öffentliche Stellen (Nr. 2)
a) Erhebliche Gefahr für die öffentliche Sicherheit (Nr. 2 lit. a)
b) Belange des Gemeinwohls (Nr. 2 lit. b)
c) Verteidigung, über- oder zwischenstaatliche Verpflichtungen (Nr. 2 lit. c)
III. Angemessene und spezifische Maßnahmen (§ 22 Abs. 2 BDSG)
1. Kriterien der zu treffenden Maßnahmen
2. Regelbeispiele für zu treffende Maßnahmen
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
I. Allgemeines. 1. Regelungszweck
2. Verhältnis zum europäischen Recht
II. Zulässige Zweckänderung (§ 23 Abs. 1 BDSG)
1. Im Interesse der betroffenen Person (Nr. 1)
2. Überprüfung von Angaben (Nr. 2)
3. Gemeinwohl und öffentliche Sicherheit (Nr. 3)
4. Verfolgung von Straftaten oder Vollzug von Strafen (Nr. 4)
5. Rechte einer anderen Person (Nr. 5)
6. Wahrnehmung von Aufsichts- und Kontrollbefugnissen (Nr. 6)
III. Besondere Kategorien personenbezogener Daten (§ 23 Abs. 2 BDSG)
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
I. Allgemeines. 1. Regelungszweck
2. Verhältnis zum europäischen Recht
II. Zulässige Zweckänderung (§ 24 Abs. 1 BDSG)
1. Abwehr von Gefahren, Verfolgung von Straftaten (Nr. 1)
2. Zivilrechtliche Ansprüche (Nr. 2)
III. Besondere Kategorien personenbezogener Daten (§ 24 Abs. 2 BDSG)
§ 25 Datenübermittlung durch öffentliche Stellen
I. Allgemeines. 1. Regelungszweck
2. Verhältnis zum europäischen Recht
II. Datenübermittlung an öffentliche Stellen (§ 25 Abs. 1 BDSG)
1. Übermittlung
2. Zulässigkeitsvoraussetzungen
3. Weiterverarbeitung durch Empfänger
III. Datenübermittlung an nichtöffentliche Stellen (§ 25 Abs. 2 BDSG)
1. Nichtöffentliche Stelle
2. Zulässigkeitsvoraussetzungen. a) Aufgabe der übermittelnden Stelle (Nr. 1)
b) Berechtigtes Interesse eines Dritten (Nr. 2)
c) Geltendmachung rechtlicher Ansprüche (Nr. 3)
3. Weiterverarbeitung durch Empfänger
IV. Besondere Kategorien personenbezogener Daten (§ 25 Abs. 3 BDSG)
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
I. Allgemeines. 1. Gesetzeszweck und Systematik
2. Europarechtliche Grundlagen und Verhältnis zur DSGVO
3. Verhältnis zu anderen Vorschriften
II. Grundtatbestand (Abs. 1 Satz 1)
1. Zweckbestimmung
2. Prüfungsmaßstab
3. Begründung des Beschäftigungsverhältnisses (Abs. 1 Satz 1 Alt. 1)
4. Durchführung des Beschäftigungsverhältnisses (Abs. 1 Satz 1 Alt. 2) a) Grundlagen
b) Allgemeine Daten
c) Verhaltens- und Leistungskontrollen im Beschäftigungsverhältnis
d) IT im Beschäftigungskontext
e) Weitere Verarbeitungssituationen im Beschäftigungskontext
5. Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung der Beschäftigten (Abs. 1 Satz 1 Alt. 4)
6. Beendigung des Beschäftigungsverhältnisses (Abs. 1 Satz 1 Alt. 3)
III. Aufdecken von Straftaten (Abs. 1 Satz 2)
IV. Einwilligung (Abs. 2)
V. Besondere Kategorien personenbezogener Daten (Abs. 3)
VI. Kollektivrechtliche Regelungen (Abs. 4)
VII. Maßnahmen zur Sicherstellung des Datenschutzes (Abs. 5)
VIII. Beteiligungsrechte der Interessenvertretungen (Abs. 6)
IX. Definition personenbezogener Daten im Beschäftigungskontext (Abs. 7)
X. Definition Beschäftigte (Abs. 8)
XI. Rechtsfolgen
§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
I. Allgemeines. 1. Zweck der Vorschrift
2. Verhältnis zu anderen Vorschriften
II. Anforderungen an die Verarbeitung (Abs. 1) 1. Anwendungsbereich
2. Erforderlichkeit der Verarbeitung zu diesen Zwecken
3. Erhebliches Überwiegen der Interessen des Verantwortlichen
4. Schutz der Interessen der betroffenen Person
III. Einschränkung von Betroffenenrechten (Abs. 2) 1. Anwendungsbereich
2. Prognosemaßstab
3. Umfang der Beschränkung
4. Weitergehende Einschränkung des Auskunftsrechts für wissenschaftliche Forschung
IV. Anonymisierungspflicht (Abs. 3) 1. Anwendungsbereich
2. Pflicht zur Anonymisierung
3. Gesonderte Speicherung der Zuordnungsmerkmale
4. Zusammenführung von Zuordnungsmerkmalen und personenbezogenen Daten
V. Zulässigkeit der Veröffentlichung (Abs. 4)
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
I. Allgemeines
II. Anforderung an die Verarbeitung (Abs. 1)
III. Einschränkung von Betroffenenrechten. 1. Allgemeines
2. Einschränkung des Auskunftsrechts
3. Einschränkung des Berichtigungsrechts
4. Weitere Einschränkungen von Betroffenenrechten
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
I. Allgemeines
II. Einschränkung von Betroffenenrechten gegenüber Berufsgeheimnisträgern (Abs. 1) 1. Einschränkung der Informationspflicht nach Art. 14 DSGVO. a) Anwendungsbereich
b) Geheimhaltungspflicht
2. Einschränkung des Auskunftsrechts nach Art. 15 DSGVO
3. Einschränkung der Benachrichtigungspflicht nach Art. 34 DSGVO
4. Benachrichtigungspflicht bei überwiegenden Interessen der betroffenen Person
III. Einschränkung der Informationspflicht der übermittelnden Stelle (Abs. 2) 1. Anwendungsbereich
2. Überwiegende Interessen der betroffenen Person
IV. Einschränkung datenschutzrechtlicher Untersuchungsbefugnisse (Abs. 3) 1. Einschränkung von behördlichen Untersuchungsbefugnissen. a) Sachlicher Anwendungsbereich
b) Persönlicher Anwendungsbereich
c) Umfang der beschränkten Untersuchungsbefugnisse
2. Verlängerte Geheimhaltungspflicht der untersuchenden Aufsichtsbehörde
§ 30 Verbraucherkredite
I. Allgemeines. 1. Entstehungsgeschichte
2. Datenschutzrechtliche Relevanz
II. Regelungszweck und -inhalt von Abs. 1
III. Regelungszweck und -inhalt von Abs. 2
IV. Weitergeltende Vorschriften (Abs. 2 Satz 3)
V. Sanktionen
§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
I. Allgemeines. 1. Regelungszweck
2. Entstehungsgeschichte
3. Regelungskompetenz
II. Zulässigkeitsvoraussetzungen des Scoring (Abs. 1)
1. Verwendung eines Wahrscheinlichkeitswertes
2. Einhaltung der Datenschutzvorschriften
3. Berechnung mit einem wissenschaftlich anerkannten mathematischstatistischen Verfahren
4. Nutzung von Anschriftendaten
5. Unterrichtungs- und Dokumentationspflicht bei der Verwendung von Anschriftendaten
III. Scoreberechnung mit Daten über Forderungen (Abs. 2 Satz 1)
1. Auskunftei
2. Verwender
3. Voraussetzung der Verwendung von Wahrscheinlichkeitswerten unter Einbeziehung von Forderungsdaten
a) Titulierte Forderung
b) Forderung nach § 178 InsO
c) Anerkennung der Forderung
d) Meldung einer fälligen Forderung
e) Möglichkeit einer fristlosen Kündigung
IV. Scoreberechnung mit anderen bonitätsrelevanten Daten (Abs. 2 Satz 2)
V. Betroffenenrechte
VI. Rechtsfolgen
VII. Verhältnis zu anderen Vorschriften. 1. Verbot automatisierter Entscheidungen (Art. 22 DSGVO)
2. Verbot automatisierter Entscheidungen (§ 37 BDSG)
3. Aufsichtsrechtliche Pflichten zur Risikominderung bei Kreditinstituten
4. Bonitätsprüfung zum Schutz von Verbrauchern
§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Einschränkungen der Informationspflicht (Abs. 1)
1. Weiterverarbeitung analog gespeicherter Informationen
2. Aufgabenerfüllung öffentlicher Stellen
3. Öffentliche Sicherheit oder Ordnung
4. Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche
5. Vertrauliche Übermittlung
III. Maßnahmen zum Schutz der berechtigten Interessen (Abs. 2)
IV. Nachholung der Information bei vorübergehenden Hinderungsgründen (Abs. 3)
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Einschränkungen der Informationspflicht (Abs. 1) 1. Öffentliche Stellen
a) Allgemeines
b) Gefährdung der ordnungsgemäßen Aufgabenerfüllung
c) Gefährdung von öffentlicher Sicherheit oder Ordnung bzw. des Wohles des Bundes oder eines Landes
2. Nichtöffentliche Stellen
a) Beeinträchtigung zivilrechter Ansprüche oder Datenverarbeitung aus zivilrechtlichen Verträgen
b) Festgestellte Gefährdung von öffentlicher Sicherheit oder Ordnung oder sonstiger Nachteiligkeit für das Wohl des Bundes oder eines Landes
III. Maßnahmen zum Schutz der berechtigten Interessen (Abs. 2)
IV. Übermittlung an Nachrichtendienste (Abs. 3)
§ 34 Auskunftsrecht der betroffenen Person
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Einschränkungen des Auskunftsrechts (Abs. 1)
1. Verweis auf § 33 Abs. 1 Nr. 1, Nr. 2 lit. b oder Abs. 3 (Nr. 1)
2. Aufbewahrungspflichten, Zwecke der Datensicherung oder der Datenschutzkontrolle (Nr. 2)
a) Aufbewahrungspflichten
b) Zwecke der Datensicherung oder der Datenschutzkontrolle
III. Dokumentation und Begründung (Abs. 2)
IV. Auskunftserteilung an Bundesbeauftragten
V. Mitwirkungspflicht gegenüber öffentlichen Stellen
§ 35 Recht auf Löschung
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Unverhältnismäßiger Aufwand (Abs. 1)
1. Unverhältnismäßig hoher Aufwand und geringes Interesse
2. Rechtsfolge: Einschränkung der Verarbeitung
3. Rechtmäßige Verarbeitung
III. Einschränkung wegen Interessen des Betroffenen (Abs. 2)
IV. Entgegenstehende Aufbewahrungspflichten (Abs. 3)
§ 36 Widerspruchsrecht
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Ausschluss des Widerspruchsrechts
§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
I. Allgemeines
1. Entstehungsgeschichte
2. Regelungszweck
3. Regelungskompetenz. a) Öffnungsklausel
b) Voraussetzungen der Verwendung von Gesundheitsdaten
c) Verbotsausnahme bei erheblichem öffentlichen Interesse (Art. 9 Abs. 2 lit. g DSGVO)
d) Europarechtskonformität
II. Ausnahme vom Verbot der automatisierten Entscheidung (Abs. 1)
1. Leistungserbringung nach einem Versicherungsvertrag
2. Verbotsausnahme nach Nr. 1 bei stattgebenden Anträgen
3. Verbotsausnahme nach Nr. 2 bei Heilbehandlung
III. Verwendung von Gesundheitsdaten (Abs. 2)
IV. Verhältnis zu anderen Vorschriften. 1. Regelungen im BDSG
2. Regelungen auf Landesebene
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
I. Allgemein
II. § 38 Abs. 1 Satz 1 BDSG. 1. Allgemeines
2. Begriff der Benennung
3. Voraussetzungen einer Benennungspflicht
a) Begriff des Beschäftigten
aa) Ausgehend vom BDSG a.F
bb) Änderung durch die DSGVO
b) Anzahl von mindestens 20 Personen
c) Beschränkung auf automatisierte Verarbeitungen
d) Beschäftigt mit Verarbeitung
e) Form der Benennung
f) Zulässigkeit der Begrenzung auf die automatisierte Verarbeitung
4. Anforderungen an die Benennung
5. Haftung des Datenschutzbeauftragten
6. Bezüge zu § 4f BDSG a.F
III. § 38 Abs. 1 Satz 2 BDSG. 1. Allgemein
2. Anwendungsbereich des § 38 Abs. 1 Satz 2 BDSG
3. Voraussetzungen des § 38 Abs. 1 Satz 2 BDSG
a) Datenschutz-Folgeabschätzung
b) Geschäftsmäßigkeit im Sinne des § 38 Abs. 1 Satz 2 BDSG
IV. § 38 Abs. 2 BDSG. 1. Allgemein
2. § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG
a) Abberufung gem. § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 1 BDSG. aa) Interner Datenschutzbeauftragter
bb) Externer Datenschutzbeauftragter
b) Kündigung gem. § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 2, 3 BDSG. aa) Allgemein
bb) Interner Datenschutzbeauftragter
cc) Externer Datenschutzbeauftragter
3. § 38 Abs. 2 i.V.m. § 6 Abs. 5 Satz 2 BDSG
4. § 38 Abs. 2 i.V.m. § 6 Abs. 6 BDSG
§ 39 Akkreditierung
I. Allgemeines
II. Einzelerläuterungen zu § 39 Satz 1 BDSG. 1. Allgemeines
2. Konkretisierung durch den deutschen Gesetzgeber
3. Rechtswirkung
III. Einzelerläuterungen zu § 39 Satz 2 BDSG
§ 40 Aufsichtsbehörden der Länder
I. Allgemeines. 1. Zweck der Vorschrift. a) Beibehaltung der bisherigen föderalen Struktur
b) Kritik an der Organisation der Datenschutzaufsicht
2. Entstehungsgeschichte
II. Zu den Vorschriften im Einzelnen. 1. Aufgaben der Aufsichtsbehörden (Abs. 1)
2. Inländische Zuständigkeit bei mehreren Niederlassungen (Abs. 2)
3. Zweckbindung der für Aufsichtszwecke gespeicherten Daten (Abs. 3)
4. Auskunftspflichten (Abs. 4)
5. Zutritts- und Einsichtsrechte der Aufsichtsbehörden (Abs. 5)
6. Verhältnis zum betrieblichen Datenschutzbeauftragten (Abs. 6)
7. Geltung der Gewerbeordnung (Abs. 7)
§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
I. Allgemeines. 1. Einführung
2. Entstehungsgeschichte
II. Verweis auf allgemeine Vorschriften des OWiG (Abs. 1) 1. Sinngemäße Anwendung der allgemeinen Vorschriften des OWiG (Abs. 1 Satz 1)
2. Nicht anwendbare allgemeine Vorschriften des OWiG (Abs. 1 Satz 2)
3. Zurechnung nach §§ 30, 130 OWiG bei der Haftung von juristischen Personen
4. Zuständigkeit bei Einspruch gegen Bußgeldbescheid (Abs. 1 Satz 3)
III. Verweis auf verfahrensrechtliche Vorschriften des OWiG, der StPO und des GVG (Abs. 2) 1. Entsprechende Anwendung der Verfahrensvorschriften (Abs. 2 Satz 1)
2. Nicht anwendbare Verfahrensvorschriften (Abs. 2 Satz 2)
3. Zustimmungsvorbehalt der Datenschutzaufsichtsbehörde (Abs. 2 Satz 3)
§ 42 Strafvorschriften
I. Allgemeines. 1. Einführung
2. Entstehungsgeschichte
II. Gewerbsmäßige Übermittlung und Zugänglichmachung von personenbezogenen Daten (Abs. 1) 1. Objektiver Tatbestand
2. Subjektiver Tatbestand
III. Verarbeitung und Erschleichung von personenbezogenen Daten gegen Entgelt, Bereicherungs- oder Schädigungsabsicht (Abs. 2) 1. Objektiver Tatbestand
2. Subjektiver Tatbestand
IV. Strafantrag (Abs. 3)
V. Verwendungsverbot (Abs. 4)
§ 43 Bußgeldvorschriften
I. Allgemeines
II. Geldbußen wegen Verstößen gegen § 30 BDSG (Abs. 1 und 2)
III. Keine Geldbußen gegen Behörden und sonstige öffentliche Stellen (Abs. 3)
IV. Verwendungsverbot (Abs. 4)
§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Örtliche Zuständigkeit (Abs. 1)
III. Klagen gegen Behörden (Abs. 2)
IV. Zustellungsbevollmächtigung (Abs. 3)
Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
§ 45 Anwendungsbereich
§ 46 Begriffsbestimmungen
§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 49 Verarbeitung zu anderen Zwecken
§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
§ 51 Einwilligung
§ 52 Verarbeitung auf Weisung des Verantwortlichen
§ 53 Datengeheimnis
§ 54 Automatisierte Einzelentscheidung
§ 55 Allgemeine Informationen zu Datenverarbeitungen
§ 56 Benachrichtigung betroffener Personen
§ 57 Auskunftsrecht
§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person
§ 60 Anrufung der oder des Bundesbeauftragten
§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
§ 62 Auftragsverarbeitung
§ 63 Gemeinsam Verantwortliche
§ 64 Anforderungen an die Sicherheit der Datenverarbeitung
§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
§ 67 Durchführung einer Datenschutz-Folgenabschätzung
§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
§ 69 Anhörung der oder des Bundesbeauftragten
§ 70 Verzeichnis von Verarbeitungstätigkeiten
§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
§ 74 Verfahren bei Übermittlungen
§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
§ 76 Protokollierung
§ 77 Vertrauliche Meldung von Verstößen
§ 78 Allgemeine Voraussetzungen
§ 79 Datenübermittlung bei geeigneten Garantien
§ 80 Datenübermittlung ohne geeignete Garantien
§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
§ 82 Gegenseitige Amtshilfe
§ 83 Schadensersatz und Entschädigung
§ 84 Strafvorschriften
§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 86 Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen
Einleitung
I. Hintergrund und Zielsetzung
II. Gesetzgebungsverfahren
III. Verhältnis zu anderen Gesetzen. 1. DSGVO
2. TKG
3. TMG
IV. Ausblick ePrivacy-Verordnung
§ 1 Anwendungsbereich des Gesetzes
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Regelungsgegenstände (Abs. 1)
1. Das Fernmeldegeheimnis, einschließlich des Abhörverbotes und der Geheimhaltungspflicht der Betreiber von Funkanlagen
2. Besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien
3. Die Anforderungen an den Schutz der Privatsphäre im Hinblick auf die Mitteilung ankommender Verbindungen, die Rufnummernunterdrückung und -anzeige und die automatische Anrufweiterschaltung
4. Die Anforderungen an die Aufnahme in Endnutzerverzeichnisse und die Bereitstellung von Endnutzerdaten an Auskunftsdienste, Dienste zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers und Anbieter von Endnutzerverzeichnissen
5. Die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen
6. Die Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien
7. Der Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer gespeichert sind
8. Die Aufsichtsbehörden und die Aufsicht im Hinblick auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation
III. Gleichsetzung der Einzelangaben gem. Fernmeldegeheimnis (Abs. 2)
IV. Räumlich-persönlicher Anwendungsbereich (Abs. 3)
1. Niederlassungsprinzip
2. Marktortprinzip
§ 2 Begriffsbestimmungen
I. Allgemeines
1. Zweck der Vorschrift
2. Entstehungsgeschichte
II. Verhältnis zu TKG, TMG und DSGVO (Abs. 1)
III. Anbieter von Telemedien. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Telemedien
b) Erbringung, Mitwirkung an Erbringung oder Vermittlung des Zugangs zur Nutzung
IV. Bestandsdaten. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Personenbezogene Daten
b) Vertragsverhältnis zwischen Anbieter und Nutzer von Telemedien
c) Erforderlichkeit
d) Beispiele
V. Nutzungsdaten. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Personenbezogene Daten
b) Nutzer von Telemedien
c) Erforderlichkeit
d) Beispiele
VI. Nachricht. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Information
b) Telekommunikationsdienst
c) Austauschen oder Weiterleiten
d) Endliche Zahl von Beteiligten
e) Ausnahmen
VII. Dienst mit Zusatznutzen. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Anbieter eines Telekommunikationsdienstes
b) Zusätzlicher Dienst
c) Verarbeitung von Verkehrsdaten oder anderen Standortdaten
VIII. Endeinrichtung. 1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
2. Merkmale. a) Anschluss an eine Schnittstelle eines öffentlichen Telekommunikationsnetzes
b) Direkter oder indirekter Anschluss
Einführung Teil 2
I. Allgemeines. 1. Entstehung und Ziel des Teil 2 des TTDSG
2. Inhalt des Teil 2 des TTDSG im Überblick
3. Besondere Probleme des TK-Datenschutzes
II. Anwendungsbereich. 1. Der Begriff der Telekommunikation
2. Normadressaten
§ 3 Vertraulichkeit der Kommunikation – Fernmeldegeheimnis
I. Allgemeines. 1. Gesetzeszweck
2. Europarechtliche Grundlagen/Geschichte
3. Verhältnis zu anderen Vorschriften
II. Kommentierung. 1. Anwendungsbereich (Abs. 1)
2. Verpflichtete (Abs. 2)
3. Verhaltenspflichten (Abs. 3)
4. Ausnahmen für Wasser- und Luftfahrzeuge (Abs. 4)
5. Einzelfälle. a) E-Mail-Kommunikation im Unternehmen
b) Sprachtelefonie im Unternehmen
c) Ermittlung des Standorts
d) Erbrecht und Fernmeldegeheimnis
e) Outsourcing
III. Rechtsfolgen bei Verstößen gegen das Fernmeldegeheimnis
§ 4 Rechte des Erben des Endnutzers und anderer berechtigter Personen
I. Allgemeines. 1. Sinn und Zweck
2. Entstehungsgeschichte
3. Einhaltung des kleinen Zitiergebotes
II. Persönlicher Anwendungsbereich. 1. Anbieter des Telekommunikationsdienstes
2. Endnutzer
3. Berechtigte Person. a) Mögliche Personengruppen
b) Erben
c) Andere berechtigte Personen im Erbfall
d) Andere berechtigte Personen zu Lebzeiten des Endnutzers
e) Nachweis der Berechtigung
III. Wahrnehmung von Rechten
IV. Rechtsfolgen. 1. Keine Unmöglichkeit der Kenntnisverschaffung
2. Keine Strafbarkeit nach § 206 Abs. 1 StGB
V. Kenntnisverschaffung außerhalb des Anwendungsbereichs
§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
I. Allgemeines. 1. Gesetzeszweck
2. Tatbestand
3. Folgen einer Verletzung
§ 6 Nachrichtenübermittlung mit Zwischenspeicherung
I. Allgemeines
II. Verarbeitung von Nachrichteninhalten (Abs. 1)
III. Technische und organisatorische Maßnahmen (Abs. 2)
§ 7 Verlangen eines amtlichen Ausweises
I. Allgemeines. 1. Gesetzeszweck
2. Geschichte/Europarechtliche Grundlagen
II. Kommentierung. 1. Vorlage eines amtlichen Ausweises (Abs. 1)
2. Elektronischer Identitätsausweis (Abs. 2)
3. Kopie eines amtlichen Ausweises (Abs. 3)
III. Rechtsfolgen
§ 8 Missbrauch von Telekommunikationsanlagen
I. Allgemeines
II. Tatbestand
III. Folgen einer Verletzung
§ 9 Verarbeitung von Verkehrsdaten
I. Allgemeines. 1. Gesetzeszweck
2. Europarechtliche Grundlagen
3. Verhältnis zu anderen Vorschriften
II. Kommentierung. 1. Grundsatz und Anwendungsbereich; Löschung von Verkehrsdaten (Abs. 1)
3. Weitergehende Verwendung mit Einwilligung (Abs. 2)
III. Rechtsfolgen
§ 10 Entgeltermittlung und Entgeltabrechnung
I. Allgemeines. 1. Gesetzeszweck
2. Europarechtliche Grundlagen/Geschichte
II. Kommentierung. 1. Überblick
2. Abtretung
3. Premiumdiensteanbieter
III. Rechtsfolgen
§ 11 Einzelverbindungsnachweis
I. Allgemeines
II. Kommentierung
III. Rechtsfolgen
§ 12 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten
I. Allgemeines
II. Datenerhebung und -verwendung zur Störungsbeseitigung (Abs. 1–2)
III. Aufschalten auf bestehende Verbindungen (Abs. 3)
IV. Missbrauchsbekämpfung (Abs. 4)
§ 13 Standortdaten
I. Allgemeines. 1. Gesetzeszweck
2. Europarechtliche Grundlagen
II. Kommentierung
1. Eigenortung
2. Fremdortung
3. Allgemeines zur Eigen- und Fremdortung
4. „Smart Steps“
5. Notrufnummern
III. Rechtsfolgen
§ 14 Mitteilen ankommender Verbindungen
I. Allgemeines
II. Auskunftspflicht (Abs. 1, 3)
III. Eingrenzen der Verbindungen (Abs. 2)
IV. Unterrichtungspflichten (Abs. 4)
§ 15 Rufnummernanzeige und -unterdrückung
I. Allgemeines
II. Anzeige der Rufnummer, Unterdrückung (Abs. 1)
III. Anrufe zum Zweck der Werbung (Abs. 2)
IV. Dauerhafte Nichtanzeige der Rufnummer (Abs. 3, 4)
V. Geltung auch für Anrufe in das Ausland und aus dem Ausland (Abs. 5)
§ 16 Automatische Anrufweiterschaltung
I. Allgemeines
II. Erläuterungen
§ 17 Endnutzerverzeichnisse
I. Allgemeines
II. Eintragung in Endnutzerverzeichnisse (Abs. 1)
III. Informationspflichten (Abs. 2)
IV. Rechte des Anschlussinhabers (Abs. 3)
V. Pflichten von Anbietern von Auskunfts- und Verzeichnismedien (Abs. 4)
§ 18 Bereitstellen von Endnutzerdaten
I. Allgemeines
II. Bereitstellen von Endnutzerdaten (Abs. 1, 3, 4)
III. Entgelt für die Bereitstellung (Abs. 2)
§ 19 Technische und organisatorische Vorkehrungen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Technische und organisatorische Vorkehrungen (Abs. 1)
1. Beendigung der Nutzung
2. Geschützte Inanspruchnahme von Telemedien
III. Datenvermeidungsgrundsatz (Abs. 2)
1. Ermöglichung einer anonymen oder pseudonymen Nutzung und Bezahlung
2. Vorbehalte
a) Technische Möglichkeiten
b) Zumutbarkeit
3. Informationspflicht
IV. Anzeige der Weitervermittlung (Abs. 3)
1. Anzeigepflicht
2. Gestaltungsmöglichkeiten
V. Technische und organisatorische Vorkehrungen für geschäftsmäßig angebotene Telemedien (Abs. 4)
1. Geschäftsmäßig angebotene Telemedien
2. Technische und organisatorische Vorkehrungen
a) Verhinderung unerlaubter Zugriffe auf technische Einrichtungen
b) Sicherung gegen Störungen und äußere Angriffe
c) Stand der Technik
d) Anwendung eines sicheren Verschlüsselungsverfahrens
e) Angemessenheit und Zumutbarkeit
f) Anordnungen des BSI
§ 20 Verarbeitung personenbezogener Daten Minderjähriger
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Normadressat
III. Personenbezogene Daten Minderjähriger zur Wahrung des Jugendschutzes
IV. Datenerhebung oder anderweitige Datengewinnung
V. Weiterverarbeitung für kommerzielle Zwecke
§ 21 Bestandsdaten
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Auskunft zur Durchsetzung der Rechte am geistigen Eigentum (Abs. 1) 1. Erlaubnisnorm
2. Anordnung der zuständigen Stelle
3. Anbieter von Telemedien
4. Bestandsdaten
5. Erforderlichkeit zur Durchsetzung der Rechte am geistigen Eigentum
III. Auskunft zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absoluter Rechte (Abs. 2–4) 1. Auskunftsanspruch und Auskunftsermächtigung (Abs. 2)
2. Verfahren (Abs. 3 und 4)
§ 22 Auskunftsverfahren bei Bestandsdaten
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Auskunftsberechtigung (Abs. 1) 1. Auskunftsberechtigte
2. Bestandsdaten
III. Auskunftsersuchen (Abs. 2)
IV. Auskunftsbefugnis für Bestandsdaten (Abs. 3 und 4)
1. Verfolgung von Straftaten und Ordnungswidrigkeiten
2. Gefahrenabwehr
3. Bundeskriminalamt als Zentralstelle
4. Zollkriminalamt als Zentralstelle
5. Schwarzarbeit oder illegale Beschäftigung
6. Verfassungsschutzbehörden des Bundes und der Länder
7. Militärischer Abschirmdienst
8. Bundesnachrichtendienst
V. Durchführung der Auskunft (Abs. 5)
VI. Kostentragung und Prüfung (Abs. 6)
§ 23 Auskunftsverfahren bei Passwörtern und anderen Zugangsdaten
I. Allgemeines
II. Auskunftsberechtigung (Abs. 1)
III. Auskunftsbefugnis für Passwörter und andere Zugangsdaten (Abs. 2)
1. Verfolgung von Straftaten
2. Gefahrenabwehr
IV. Durchführung der Auskunft (Abs. 3)
V. Kostentragung und Prüfung (Abs. 4)
§ 24 Auskunftsverfahren bei Nutzungsdaten
I. Allgemeines
II. Auskunftsberechtigung (Abs. 1)
III. Auskunftsersuchen (Abs. 2)
IV. Auskunftsbefugnis für Nutzungsdaten (Abs. 3)
1. Verfolgung von Straftaten
2. Gefahrenabwehr
3. Bundeskriminalamt als Zentralstelle
4. Zollkriminalamt
5. Verfassungsschutzbehörden des Bundes und der Länder
6. Militärischer Abschirmdienst
7. Bundesnachrichtendienst
V. Durchführung der Auskunft (Abs. 4)
VI. Kostentragung und Prüfung (Abs. 5)
§ 25 Schutz der Privatsphäre bei Endeinrichtungen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte. a) Entwicklung des Europäischen Rechts
b) Entwicklung des deutschen Rechts
c) Gesetzgebungsverfahren des TTDSG
3. Verhältnis zu anderen Vorschriften
II. Einwilligungserfordernis (Abs. 1)
1. Endeinrichtung
2. Endnutzer
3. Die Speicherung von Informationen oder der Zugriff auf Informationen
4. Einwilligung
a) Zeitpunkt der Einwilligung
b) Eindeutige Überschrift
c) Bündelung von Einwilligungen
d) Aktive Handlung
e) Nudging und Dark Patterns
f) Cookie-Walls
g) Pflichtinformationen
h) Widerruf
i) Einwilligung von Minderjährigen
III. Ausnahmeregelungen (Abs. 2)
1. Durchführung der Übertragung einer Nachricht (Alt. 1)
2. Unbedingt erforderlich für vom Nutzer gewünschten Dienst (Alt. 2)
a) Ausdrücklich gewünschter Telemediendienst
b) Erforderlichkeit zur Bereitstellung des Telemediendienstes
c) Einzelne Funktionen
aa) Warenkorb und weitere Nutzer-Eingaben
bb) Authentifizierung
cc) Wiedergabe von Video- oder Audioinhalten
dd) Speicherung von Nutzer-Präferenzen
ee) Abrechnung/Begrenzung eines kostenfreien Dienstes
ff) Gesetzliche Verpflichtungen und Nachweispflichten
gg) Webanalyse
hh) Chatbots
§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen
I. Allgemeines. 1. Zweck der Vorschrift
2. Entstehungsgeschichte
3. Verhältnis zu anderen Vorschriften
II. Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (Abs. 1) 1. Verfahren und Anwendungen zur Einholung und Verwaltung von Einwilligungen (Nr. 1)
2. Kein wirtschaftliches Eigeninteresse (Nr. 2)
3. Keine Nutzung für andere Zwecke (Nr. 3)
4. Sicherheitskonzept (Nr. 4)
III. Verordnungsermächtigung und Bewertung (Abs. 2 und 3) 1. Verordnungsermächtigung, Notifizierung und Bewertung
2. Anforderungen an das Verfahren und Anwendungen
3. Verfahren der Anerkennung
4. Pflicht zur Berücksichtigung durch Software und Anbieter von Telemedien
§ 27 Strafvorschriften
I. Allgemeines. 1. Entstehungsgeschichte
2. Regelungszweck
3. Weitere Vorschriften
II. Tatbestandsmäßigkeit
III. Rechtswidrigkeit, Schuld, Verjährung und Konkurrenzen
§ 28 Bußgeldvorschriften
I. Allgemeines. 1. Entstehungsgeschichte
2. Regelungszweck
3. Weitere Vorschriften
II. Tatbestandsmäßigkeit
III. Rechtswidrigkeit, Schuld, Verjährung
§ 29 Zuständigkeit, Aufgaben und Befugnisse der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
I. Allgemeines. 1. Entstehungsgeschichte
2. Regelungszweck
II. Konkrete Zuständigkeitszuweisung
§ 30 Zuständigkeit, Aufgaben und Befugnisse der Bundesnetzagentur
I. Allgemeines. 1. Entstehungsgeschichte
2. Regelungszweck
II. Befugnisse der BNetzA
Sachregister
Sachregister A
Sachregister B
Sachregister C
Sachregister D
Sachregister E
Sachregister F
Sachregister G
Sachregister H
Sachregister I
Sachregister J
Sachregister K
Sachregister L
Sachregister M
Sachregister N
Sachregister O
Sachregister P
Sachregister R
Sachregister S
Sachregister T
Sachregister U
Sachregister V
Sachregister W
Sachregister Z