DSGVO BDSG - shop.wolterskluwer.de · Vorwortzur6.Auﬂage Das Datenschutzrecht ist nun europäisch harmonisiert. Den Wechsel von einem richtliniengeprägtenBDSGa.F.zurunmittelbargeltendenRegelungderGrundver-

Auernhammer

DSGVOBDSGDatenschutz-Grundverordnung,Bundesdatenschutzgesetz und Nebengesetze

Kommentar

Herausgegeben von

Dr. Martin Eßer, Maître en droit (Paris XI)Referatsleiter und Datenschutzbeauftragter bei der Bundesanstalt fürFinanzdienstleistungsaufsicht (BaFin)

Dr. Philipp KramerRechtsanwalt, Vorsitzender der Hamburger Datenschutzgesellschaft e.V.,Lehrbeauftragter Universität Hamburg

Prof. Dr. Kai von LewinskiProfessor an der Universität Passau

6. Auflage

Leseprobe

Zitiervorschlag: Auernhammer/Bearbeiter § … Rn. …

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Natio-nalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN 978-3-452-28990-2

Zitierhinweis

Rdn. 1: Verweis auf eine Randnummer im gleichen Paragrafen§ 8 Rdn. 1: Verweis auf eine Randnummer in einem anderen Paragrafen

www.wolterskluwer.dewww.carl-heymanns.de

Alle Rechte vorbehalten.© 2018 Wolters Kluwer Deutschland GmbH, Luxemburger Straße 449, 50939Köln.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwer-tung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmungdes Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen,übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung inelektronischen Systemen.

Verlag und Autor übernehmen keine Haftung für inhaltliche oder drucktechnischeFehler.

Umschlagkonzeption: Martina Busch, Grafikdesign, Homburg KirrbergSatz: mediaTEXT Jena GmbH, JenaDruck und Weiterverarbeitung: Williams Lea & Tag GmbH, München

Gedruckt auf säurefreiem, alterungsbeständigem und chlorfreiem Papier.

Leseprobe

Vorwort zur 6. Auflage

Das Datenschutzrecht ist nun europäisch harmonisiert. Den Wechsel von einemrichtliniengeprägten BDSG a.F. zur unmittelbar geltenden Regelung der Grundver-ordnung mit Öffnungsklauseln für mitgliedstaatliche Regeln im BDSG n.F. geht der»Auernhammer« konsequent mit.

Die ersten drei Auflagen (1977, 1981, 1993), von Herbert Auernhammer noch selbstbetreut, hatten die Entwicklung des BDSG von einem speziellen Fachgesetz zu einerallgemeinen Querschnittsregelung begleitet. Mit der 4. Auflage (2014) wurden wich-tige datenschutzrechtliche Nebengesetze in den »Auernhammer« aufgenommen. Die5. Auflage (2017) war eine »Zwischenauflage« für den Übergang zur umfassendenEuropäisierung des Datenschutzrechts in einer europäischen Verordnung, in der das»neue« EU-Datenschutzrecht und das damals noch geltende »alte« BDSG in ihrerWechselbezüglichkeit zusammen behandelt wurden.

Die jetzt vorliegende 6. Auflage kommentiert die datenschutzrechtlichen Kernrege-lungen (DSGVO und BDSG) sowie die bereichspezifischen Regelungen (JIRL,TKG, TMG, IFG), um so die Querschnitthaftigkeit des Datenschutzrechts auf denbeiden relevantesten Normebenen, der europäischen und der mitgliedstaatlichen, zuerfassen. Die Kommentierungen des TMG und des TKG berücksichtigen bereits(mögliche) Reformperspektiven und die Auswirkungen der DSGVO auf dieseGesetze.

Für Hinweise, Kritik und Anregungen sind Herausgeber und die Autorinnen undAutoren – wie auch schon bei der Vorauflage – unter [email protected].

Bonn, Hamburg, Passau, im Februar Martin Eßer,2018 Philipp Kramer,

Kai v. Lewinski

VLeseprobe

Autorenverzeichnis

Dr. Simon AssionRechtsanwalt, Bird & Bird, Frankfurt

Dr. Sebastian Brüggemann, M.A.Rechtsanwalt, Fachanwalt für Informationstechnologierecht, LehrbeauftragterUniversität Tübingen, Tübingen

Dr. Martin Eßer, Maître en droitReferatsleiter und Datenschutzbeauftragter bei der Bundesanstalt für Finanzdienst-leistungsaufsicht (BaFin), Bonn

PD Dr. Gerrit Forst, LL.M.Rechtsanwalt, Düsseldorf

Dr. Paul GaitzschOberregierungsrat, Referent im Bundesministerium des Innern, für Bau und Heimat,Berlin

Dr. Sebastian GollaWiss. Mitarbeiter, Johannes Gutenberg-Universität Mainz

Dr. Holger Grevez.Zt. Wiss. Mitarbeiter am Bundesverfassungsgericht, Karlsruhe

PD Dr. Tobias HerbstVertretungsprofessor an der Universität Hamburg;Privatdozent an der Humboldt-Universität zu Berlin

Sven HermerschmidtMinisterialrat, Referatsleiter bei der Bundesbeauftragten für den Datenschutz unddie Informationsfreiheit (BfDI), Berlin

Sven-Erik HeunRechtsanwalt und Partner, Bird & Bird, Frankfurt

Dr. Jörg Hladjk, LL.M.Rechtsanwalt und Of Counsel, Jones Day, Brüssel

Prof. Dr. Gerrit Hornung, LL.M.Leiter des Fachgebiets Öffentliches Recht, IT-Recht und Umweltrecht,Universität Kassel

Michael JacobOberkirchenrat, Der Beauftragte für den Datenschutz der Evangelischen Kirche inDeutschland, Hannover

Annika KieckWiss. Mitarbeiterin, Universität Passau

VIILeseprobe

Autorenverzeichnis

Dr. Philipp KramerRechtsanwalt, Vorsitzender der Hamburger Datenschutzgesellschaft e.V., Chefredak-teur Datenschutz-Berater, Lehrbeauftragter Universität Hamburg, HamburgProf. Dr. Konrad LachmayerLehrstuhl für Öffentliches Recht, Europarecht und Grundlagen des Rechts, SigmundFreud Privatuniversität WienProf. Dr. Kai von LewinskiLehrstuhl für Öffentliches Recht, Medien- und Informationsrecht,Universität PassauDr. Martin MeintsIT-Sicherheitsbeauftragter bei der Dataport AöRDavid OberbeckRechtsanwalt, HamburgDr. Jost OnsteinOberregierungsrat, Referent im Bundesministerium des Innern, für Bau und Heimat,BerlinBertram RaumMinisterialrat, Referatsleiter bei der Bundesbeauftragten für den Datenschutz unddie Informationsfreiheit (BfDI), BonnProf. Dr. Matthias RossiLehrstuhl für Staats- und Verwaltungsrecht, Europarecht sowie Gesetzgebungslehre,Universität AugsburgDr. Peter SchimanekRechtsanwalt, Ernst & Young Law GmbH, BerlinDr. Marcus SchreibauerRechtsanwalt und Partner, Fachanwalt für Informationstechnologierecht,Hogan Lovells International, DüsseldorfKathrin SchürmannRechtsanwältin und Partnerin, Schürmann Rosenthal Dreyer Rechtsanwälte, BerlinDr. Susanne StollhoffRechtsanwältin/Syndikusanwältin, Axel Springer SE, BerlinDr. Philipp-Christian ThomaleRechtsanwalt, Senior Legal Counsel, Axel Springer SE, Berlin, Lehrbeauftragter Juris-tische Fakultät der Europa-Universität Viadrina, Frankfurt (Oder)Dr. Martina VomhofLeiterin Datenschutz/Grundsatzfragen, Gesamtverband der Deutschen Versiche-rungswirtschaft e. V. (GDV), BerlinProf. Dr. Normann WitzlebFaculty of Law, Monash University Melbourne, AustralienProf. Dr. Frederike ZufallAssistenzprofessorin, Waseda Institute for Advanced Study, Waseda University, Tokyo

VIII Leseprobe

Im Einzelnen haben bearbeitet:

DSGVOEinführung von LewinskiEinleitung von LewinskiArt. 1 von LewinskiArt. 2 von LewinskiArt. 3 von LewinskiArt. 4 EßerArt. 5 KramerArt. 6 KramerArt. 7 KramerArt. 8 GreveArt. 9 GreveArt. 10 GreveArt. 11 EßerArt. 12 EßerArt. 13 EßerArt. 14 EßerArt. 15 StollhoffArt. 16 StollhoffArt. 17 StollhoffArt. 18 StollhoffArt. 19 StollhoffArt. 20 SchürmannArt. 21 KramerArt. 22 HerbstArt. 23 HerbstArt. 24 Kramer/MeintsArt. 25 BrüggemannArt. 26 ThomaleArt. 27 ThomaleArt. 28 ThomaleArt. 29 ThomaleArt. 30 BrüggemannArt. 31 KieckArt. 32 Kramer/MeintsArt. 33 SchreibauerArt. 34 SchreibauerArt. 35 RaumArt. 36 RaumArt. 37 RaumArt. 38 RaumArt. 39 RaumArt. 40 VomhofArt. 41 VomhofArt. 42 HornungArt. 43 HornungArt. 44 Hladjk

IXLeseprobe


Art. 45 HladjkArt. 46 HladjkArt. 47 HladjkArt. 48 HladjkArt. 49 HladjkArt. 50 Zufallvor Art. 51 von LewinskiArt. 51 von LewinskiArt. 52 von LewinskiArt. 53 von LewinskiArt. 54 von LewinskiArt. 55 von LewinskiArt. 56 LachmayerArt. 57 von LewinskiArt. 58 von LewinskiArt. 59 von LewinskiArt. 60 LachmayerArt. 61 LachmayerArt. 62 LachmayerArt. 63 RossiArt. 64 RossiArt. 65 RossiArt. 66 RossiArt. 67 RossiArt. 68 HermerschmidtArt. 69 HermerschmidtArt. 70 HermerschmidtArt. 71 HermerschmidtArt. 72 HermerschmidtArt. 73 HermerschmidtArt. 74 HermerschmidtArt. 75 HermerschmidtArt. 76 Hermerschmidtvor Art. 77 von LewinskiArt. 77 von LewinskiArt. 78 von LewinskiArt. 79 von LewinskiArt. 80 von LewinskiArt. 81 von LewinskiArt. 82 EßerArt. 83 GollaArt. 84 Gollavor Art. 85 von LewinskiArt. 85 von LewinskiArt. 86 SchimanekArt. 87 HerbstArt. 88 ForstArt. 89 GreveArt. 90 Greve

X Leseprobe


Art. 91 Jacobvor Art. 92 WitzlebArt. 92 WitzlebArt. 93 WitzlebArt. 94 von LewinskiArt. 95 Heun/AssionArt. 96 von LewinskiArt. 97 WitzlebArt. 98 WitzlebArt. 99 von Lewinski

Richtlinie (EU) 2016/680 (JIRL) Herbst

BDSGEinleitung BDSG von Lewinski§ 1 von Lewinski§ 2 Eßer§ 3 Eßer§ 5 Raum§ 6 Raum§ 7 Raumvor § 8 von Lewinski§ 8 von Lewinski§ 9 von Lewinski§ 10 von Lewinski§ 11 von Lewinski§ 12 von Lewinski§ 13 von Lewinski§ 14 von Lewinski§ 15 von Lewinski§ 16 von Lewinski§ 17 Hermerschmidt§ 18 Hermerschmidt§ 19 Hermerschmidt§ 20 von Lewinski§ 21 von Lewinski§ 22 Kramer/Oberbeck§ 23 Eßer§ 24 Kramer§ 25 Eßer§ 26 Forst§ 27 Greve§ 28 Greve§ 29 Eßer§ 30 Kramer§ 31 Kramer§ 32 Eßer§ 33 Eßer§ 34 Stollhoff

XILeseprobe


§ 35 Stollhoff§ 36 Brüggemann§ 37 Herbst§ 38 Raum§ 39 Hornung§ 40 von Lewinski§ 41 Golla§ 42 Golla§ 43 Golla§ 44 von Lewinski§ 45 Herbst§ 46 Eßer§ 47 Kramer§ 48 Greve§ 49 Herbst§ 50 Greve§ 51 Kramer§ 52 Thomale§ 53 Oberbeck§ 54 Herbst§ 55 Eßer§ 56 Eßer§ 57 Raum§ 58 Raum§ 59 Raum§ 60 Raum§ 61 von Lewinski§ 62 Thomale§ 63 Thomale§ 64 Kramer/Meints§ 65 Herbst§ 66 Herbst§ 67 Raum§ 68 Kieck§ 69 Raum§ 70 Brüggemann§ 71 Kramer/Meints§ 72 Herbst§ 73 Herbst§ 74 Herbst§ 75 Herbst§ 76 Kramer/Meints§ 77 Herbst§ 78 Gaitzsch§ 79 Gaitzsch§ 80 Gaitzsch§ 81 Gaitzsch§ 82 von Lewinski§ 83 Schürmann

XII Leseprobe


§ 84 Golla§ 85 Gaitzsch

Telekommunikationsgesetz (TKG)Vor § 88, §§ 88–99, 100–109 Heun§§ 100, 109a Heun/Assion§§ 110–114 – nicht kommentiert –§ 115 Heun

Telemediengesetz (TMG)Vor § 11, 11–16 Schreibauer

Gesetz zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsge-setz – IFG)§ 5 Schimanek

XIIILeseprobe

Inhaltsverzeichnis

Vorwort zur 6. Auflage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VAus dem Vorwort zur 1. Auflage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIAutorenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIIIm Einzelnen haben bearbeitet: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IXAbkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXVIILiteraturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XLI

Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Verordnung (EU) 2016/679 des europäischen Parlaments und Rates vom27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung perso-nenbezogener Daten, zum freien Datenverkehr und zur Aufhebung derRichtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) . . . . . . . 23

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Kapitel I Allgemeine Bestimmungen . . . . . . . . . . . . . . . . . . . . . . . 33Art. 1 Gegenstand und Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Art. 2 Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . 39Art. 3 Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . 52Art. 4 Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Kapitel II Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten . . . . . . . . . 110Art. 6 Rechtmäßigkeit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 129Art. 7 Bedingungen für die Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . 162Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der

Informationsgesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten . . . . . . . 189Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verur-

teilungen und Straftaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht

erforderlich ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

Kapitel III Rechte der betroffenen Person . . . . . . . . . . . . . . . . . . . . 224

Abschnitt 1 Transparenz und Modalitäten . . . . . . . . . . . . . . . . . . . 224Art. 12 Transparente Information, Kommunikation und Modalitäten für die

Ausübung der Rechte der betroffenen Person . . . . . . . . . . . . . . . . . . 224

XVIILeseprobe

Inhaltsverzeichnis

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personen-bezogenen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei derbetroffenen Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei derbetroffenen Person erhoben wurden . . . . . . . . . . . . . . . . . . . . . . . 253

Art. 15 Auskunftsrecht der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . 268

Abschnitt 3 Berichtigung und Löschung . . . . . . . . . . . . . . . . . . . . . 285Art. 16 Recht auf Berichtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Art. 17 Recht auf Löschung (»Recht auf Vergessenwerden«) . . . . . . . . . . . . . . 295Art. 18 Recht auf Einschränkung der Verarbeitung . . . . . . . . . . . . . . . . . . . 317Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder

Löschung personenbezogener Daten oder der Einschränkung der Verarbei-tung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Art. 20 Recht auf Datenübertragbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 336

Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungs-findung im Einzelfall . . . . . . . . . . . . . . . . . . . . . . . . . 354

Art. 21 Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling . . . 371

Abschnitt 5 Beschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Art. 23 Beschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

Kapitel IV Verantwortlicher und Auftragsverarbeiter . . . . . . . . . . . . 394

Abschnitt 1 Allgemeine Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . 394Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen . . . . . . . . . . 394Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche

Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407Art. 26 Gemeinsam für die Verarbeitung Verantwortliche . . . . . . . . . . . . . . . 421Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder

Auftragsverarbeitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Art. 28 Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsver-

arbeiters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452Art. 30 Verzeichnis von Verarbeitungstätigkeiten . . . . . . . . . . . . . . . . . . . . 458Art. 31 Zusammenarbeit mit der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . 470

Abschnitt 2 Sicherheit personenbezogener Daten . . . . . . . . . . . . . . . 475Art. 32 Sicherheit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die

Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezoge-

ner Daten betroffenen Person Benachrichtigung der betroffenen Personen 505

XVIII Leseprobe

Inhaltsverzeichnis

Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsulta-tion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516

Art. 35 Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . . . . . . . . . 516Art. 36 Vorherige Konsultation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

Abschnitt 4 Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . 552Art. 37 Benennung eines Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . 552Art. 38 Stellung des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . 599Art. 39 Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . 622

Abschnitt 5 Verhaltensregeln und Zertifizierung . . . . . . . . . . . . . . . 645Art. 40 Verhaltensregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645Art. 41 Überwachung der genehmigten Verhaltensregeln . . . . . . . . . . . . . . . 673Art. 42 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686Art. 43 Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724

Kapitel V Übermittlungen personenbezogener Daten an Drittländeroder an internationale Organisationen . . . . . . . . . . . . . . . 733

Art. 44 Allgemeine Grundsätze der Datenübermittlung . . . . . . . . . . . . . . . . 733Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses 738Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien . . . . . . . . . . . . 749Art. 47 Verbindliche interne Datenschutzvorschriften . . . . . . . . . . . . . . . . . 756Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung . 770Art. 49 Ausnahmen für bestimmte Fälle . . . . . . . . . . . . . . . . . . . . . . . . . . 773Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten . . 782

Kapitel VI Unabhängige Aufsichtsbehörden . . . . . . . . . . . . . . . . . . 788

Abschnitt 1 Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789Art. 51 Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789Art. 52 Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörden . . . . 812Art. 54 Errichtung der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . 817

Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse . . . . . . . . . . . . 822Art. 55 Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde . . . . . . . . . . . . . . 827Art. 57 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847Art. 58 Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862Art. 59 Tätigkeitsbericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881

Kapitel VII Zusammenarbeit und Kohärenz . . . . . . . . . . . . . . . . . . 885

Abschnitt 1 Zusammenarbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885Art. 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den

anderen betroffenen Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . 885Art. 61 Gegenseitige Amtshilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden . . . . . . . . . . . . . . . 908

XIXLeseprobe

Inhaltsverzeichnis

Abschnitt 2 Kohärenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920Art. 63 Kohärenzverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920Art. 64 Stellungnahme [des] Ausschusses . . . . . . . . . . . . . . . . . . . . . . . . . 926Art. 65 Streitbeilegung durch den Ausschuss . . . . . . . . . . . . . . . . . . . . . . . 934Art. 66 Dringlichkeitsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941Art. 67 Informationsaustausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947

Abschnitt 3 Europäischer Datenschutzausschuss . . . . . . . . . . . . . . . 950Art. 68 Europäischer Datenschutzausschuss . . . . . . . . . . . . . . . . . . . . . . . . 950Art. 69 Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 960Art. 70 Aufgaben des Ausschusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 964Art. 71 Berichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 980Art. 72 Verfahrensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983Art. 73 Vorsitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987Art. 74 Aufgaben des Vorsitzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 992Art. 75 Sekretariat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 997Art. 76 Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1004

Kapitel VIII Rechtsbehelfe, Haftung und Sanktionen . . . . . . . . . . . 1007Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde . . . . . . . . . . . . . . . 1009Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbe-

hörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1014Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche

oder Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1019Art. 80 Vertretung von betroffenen Personen . . . . . . . . . . . . . . . . . . . . . . . 1023Art. 81 Aussetzung des Verfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1030Art. 82 Haftung und Recht auf Schadenersatz . . . . . . . . . . . . . . . . . . . . . . 1035Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen . . . . . . . 1044Art. 84 Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1064

Kapitel IX Vorschriften für besondere Verarbeitungssituationen . . . . 1068Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfrei-

heit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1069Art. 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten . 1078Art. 87 Verarbeitung der nationalen Kennziffer . . . . . . . . . . . . . . . . . . . . . 1082Art. 88 Datenverarbeitung im Beschäftigungskontext . . . . . . . . . . . . . . . . . . 1086Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentli-

chen Interesse liegenden Archivzwecken, zu wissenschaftlichen oderhistorischen Forschungszwecken und zu statistischen Zwecken . . . . . . . 1100

Art. 90 Geheimhaltungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1115Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereini-

gungen oder Gemeinschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . 1122Art. 92 Ausübung der Befugnisübertragung . . . . . . . . . . . . . . . . . . . . . . . . 1129Art. 93 Ausschussverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1136

XX Leseprobe

Inhaltsverzeichnis

Kapitel XI Schlussbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . 1143Art. 94 Aufhebung der Richtlinie 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . 1143Art. 95 Verhältnis zur Richtlinie 2002/58/EG . . . . . . . . . . . . . . . . . . . . . . 1146Art. 96 Verhältnis zu bereits geschlossenen Übereinkünften . . . . . . . . . . . . . . 1155Art. 97 Berichte der Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1159Art. 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz . . . . . . . 1163Art. 99 Inkrafttreten und Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . 1168

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Ratesvom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten durch die zuständigen Behörden zum Zwe-cke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftatenoder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhe-bung des Rahmenbeschlusses 2008/977/JI des Rates (JIRL) . . . . . . . . . . 1173

Einführung und Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1242

Bundesdatenschutzgesetz (BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . 1255

Teil 1 Gemeinsame Bestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . 1273

Kapitel 1 Anwendungsbereich und Begriffsbestimmungen . . . . . . . . 1273§ 1 Anwendungsbereich des Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . 1273§ 2 Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1288

Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogenerDaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1296

§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen . . . . . 1296§ 4 Videoüberwachung öffentlich zugänglicher Räume . . . . . . . . . . . . . . 1309

Kapitel 3 Datenschutzbeauftragte öffentlicher Stellen . . . . . . . . . . . . 1329§ 5 Benennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1329§ 6 Stellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1337§ 7 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1348

Kapitel 4 Die oder der Bundesbeauftragte für den Datenschutz und dieInformationsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1351

§ 8 Errichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1354§ 9 Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1359§ 10 Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1366§ 11 Ernennung und Amtszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1373§ 12 Amtsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1380§ 13 Rechte und Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1388

XXILeseprobe

Inhaltsverzeichnis

§ 14 Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1397§ 15 Tätigkeitsbericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1406§ 16 Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1411

Kapitel 5 Vertretung im Europäischen Datenschutzausschuss, zent-rale Anlaufstelle, Zusammenarbeit der Aufsichtsbehördendes Bundes und der Länder in Angelegenheiten der Europäi-schen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1420

§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle 1420§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der

Länder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435§ 19 Zuständigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1446

Kapitel 6 Rechtsbehelfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1455§ 20 Gerichtlicher Rechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1455§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenom-

mener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission 1463

Teil 2 Durchführungsbestimmungen für Verarbeitungen zu Zweckengem. Art. 2 der Verordnung (EU) 2016/679 . . . . . . . . . . . . . . 1472


Abschnitt 1 Verarbeitung besonderer Kategorien personenbezogenerDaten und Verarbeitung zu anderen Zwecken . . . . . . . . 1472

§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten . . . . . . . 1472§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen . . . . . . . . . 1487§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen . . . . . 1499§ 25 Datenübermittlungen durch öffentliche Stellen . . . . . . . . . . . . . . . . 1504

Abschnitt 2 Besondere Verarbeitungssituationen . . . . . . . . . . . . . . . 1513§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses . . . . . . . 1513§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungs-

zwecken und zu statistischen Zwecken . . . . . . . . . . . . . . . . . . . . . . 1576§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken 1592§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im

Fall von Geheimhaltungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . 1598§ 30 Verbraucherkredite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1607§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften . . . 1612

Kapitel 2 Rechte der betroffenen Person . . . . . . . . . . . . . . . . . . . . . 1631§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der

betroffenen Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1631

XXII Leseprobe

Inhaltsverzeichnis

§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei derbetroffenen Person erhoben wurden . . . . . . . . . . . . . . . . . . . . . . . 1640

§ 34 Auskunftsrecht der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . 1646§ 35 Recht auf Löschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1660§ 36 Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1669§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling . . . 1673

Kapitel 3 Pflichten der Verantwortlichen und Auftragsverarbeiter . . . 1678§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen . . . . . . . . . . . . . . . . 1678§ 39 Akkreditierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1683

Kapitel 4 Aufsichtsbehörde für die Datenverarbeitung durch nicht-öffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1685

§ 40 Aufsichtsbehörden der Länder . . . . . . . . . . . . . . . . . . . . . . . . . . . 1685

Kapitel 5 Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1702§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren . . . . 1702§ 42 Strafvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1708§ 43 Bußgeldvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1721

Kapitel 6 Rechtsbehelfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1724§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter . . . . . . . . 1724

Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gem. Art. 1Abs. 1 der Richtlinie (EU) 2016/680 . . . . . . . . . . . . . . . . . . . 1730

Kapitel 1 Anwendungsbereich, Begriffsbestimmungen und allgemeineGrundsätze für die Verarbeitung personenbezogener Daten 1730

§ 45 Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1730§ 46 Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1737§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten . . 1742


§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten . . . . . . . 1745§ 49 Verarbeitung zu anderen Zwecken . . . . . . . . . . . . . . . . . . . . . . . . 1752§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwe-

cken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1757§ 51 Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1760§ 52 Verarbeitung auf Weisung des Verantwortlichen . . . . . . . . . . . . . . . . 1764§ 53 Datengeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1768§ 54 Automatisierte Einzelentscheidung . . . . . . . . . . . . . . . . . . . . . . . . 1773

XXIIILeseprobe

Inhaltsverzeichnis

Kapitel 3 Rechte der betroffenen Person . . . . . . . . . . . . . . . . . . . . . 1779§ 55 Allgemeine Informationen zu Datenverarbeitungen . . . . . . . . . . . . . . 1779§ 56 Benachrichtigung betroffener Personen . . . . . . . . . . . . . . . . . . . . . 1783§ 57 Auskunftsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1789§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbei-

tung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1800§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person . . . . . . 1808§ 60 Anrufung der oder des Bundesbeauftragten . . . . . . . . . . . . . . . . . . . 1811§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten

oder bei deren oder dessen Untätigkeit . . . . . . . . . . . . . . . . . . . . . 1814

Kapitel 4 Pflichten der Verantwortlichen und Auftragsverarbeiter . . . 1822§ 62 Auftragsverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1822§ 63 Gemeinsam Verantwortliche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1832§ 64 Anforderungen an die Sicherheit der Datenverarbeitung . . . . . . . . . . . 1837§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an

die oder den Bundesbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . 1853§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes per-

sonenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1859§ 67 Durchführung einer Datenschutz-Folgenabschätzung . . . . . . . . . . . . . 1868§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten . . . . . . . . . . . 1872§ 69 Anhörung der oder des Bundesbeauftragten . . . . . . . . . . . . . . . . . . 1876§ 70 Verzeichnis von Verarbeitungstätigkeiten . . . . . . . . . . . . . . . . . . . . 1881§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Vorein-

stellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1887§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen 1890§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen . . 1894§ 74 Verfahren bei Übermittlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 1898§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschrän-

kung der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1903§ 76 Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1906§ 77 Vertrauliche Meldung von Verstößen . . . . . . . . . . . . . . . . . . . . . . . 1912

Kapitel 5 Datenübermittlungen an Drittstaaten und an internationaleOrganisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1914

§ 78 Allgemeine Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1914§ 79 Datenübermittlung bei geeigneten Garantien . . . . . . . . . . . . . . . . . . 1925§ 80 Datenübermittlung ohne geeignete Garantien . . . . . . . . . . . . . . . . . 1933§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten . . . . . . . . . 1936

XXIV Leseprobe

Inhaltsverzeichnis

Kapitel 6 Zusammenarbeit der Aufsichtsbehörden . . . . . . . . . . . . . . 1940§ 82 Gegenseitige Amtshilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1940

Kaptel 7 Haftung und Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . 1951§ 83 Schadensersatz und Entschädigung . . . . . . . . . . . . . . . . . . . . . . . . 1951§ 84 Strafvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1964

Teil 4 Besondere Bestimmungen für Verarbeitungen im Rahmen vonnicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 . . . . . . . . . . . . . . . . . 1965

§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in dieAnwendungsbereiche der Verordnung (EU) 2016/679 und der Richtli-nie (EU) 2016/680 fallenden Tätigkeiten . . . . . . . . . . . . . . . . . . . . 1965

Telekommunikationsgesetz (TKG) . . . . . . . . . . . . . . . . . . . . . . . . . 1969

Teil 7 Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit . . . . 1969

Abschnitt 1 Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . 1969§ 88 TKG Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2009§ 89 TKG Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsan-

lagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2033§ 90 TKG Missbrauch von Sende- oder sonstigen Empfangsanlagen . . . . . . 2034

Abschnitt 2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2034§ 91 TKG Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2034§ 93 TKG Informationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2046§ 94 TKG Einwilligung im elektronischen Verfahren . . . . . . . . . . . . . . . . 2054§ 95 TKG Vertragsverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2056§ 96 TKG Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2068§ 97 TKG Entgeltermittlung und Entgeltabrechnung . . . . . . . . . . . . . . . . 2078§ 98 TKG Standortdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2090§ 99 TKG Einzelverbindungsnachweis . . . . . . . . . . . . . . . . . . . . . . . . . 2102§ 100 TKG Störungen von Telekommunikationsanlagen und Missbrauch von

Telekommunikationsdiensten . . . . . . . . . . . . . . . . . . . . . . . . 2109§ 101 TKG Mitteilen ankommender Verbindungen . . . . . . . . . . . . . . . . . 2123§ 102 TKG Rufnummernanzeige und -unterdrückung . . . . . . . . . . . . . . . . 2128§ 103 TKG Automatische Anrufweiterschaltung . . . . . . . . . . . . . . . . . . . . 2136§ 104 TKG Teilnehmerverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . 2138§ 105 TKG Auskunftserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2139§ 106 TKG Telegrammdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2146§ 107 TKG Nachrichtenübermittlungssysteme mit Zwischenspeicherung . . . . 2148

XXVLeseprobe

Inhaltsverzeichnis

Abschnitt 3 Öffentliche Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 2153§ 108 TKG Notruf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2153§ 109 TKG Technische Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . 2153§ 109a TKG Daten- und Informationssicherheit . . . . . . . . . . . . . . . . . . . . 2165§ 115 TKG Kontrolle und Durchsetzung von Verpflichtungen . . . . . . . . . . . 2181

Telemediengesetz (TMG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2191

§ 11 TMG Anbieter-Nutzer-Verhältnis . . . . . . . . . . . . . . . . . . . . . . . . . 2205§ 12 TMG Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2219§ 13 TMG Pflichten des Diensteanbieters . . . . . . . . . . . . . . . . . . . . . . . 2228§ 14 TMG Bestandsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2264§ 15 TMG Nutzungsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2279§ 15a TMG Informationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2295§ 16 TMG Bußgeldvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2304

Informationsfreiheitsgesetz (IFG) . . . . . . . . . . . . . . . . . . . . . . . . . . 2309§ 5 IFG Schutz personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . 2309

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2327

XXVI Leseprobe

Einführung

Literatur:

Abel Geschichte des Datenschutzrechts, in: Roßnagel, Handbuch Datenschutzrecht, 2003,Kap. 2.7; Albers Informationelle Selbstbestimmung, 2005; Benda Privatsphäre und »Persönlich-keitsprofil«, in: FS Geiger, 1974, S. 23 ff.; Blume The inherent contradictions in data protec-tion law, IDPL 2012, 26 ff.; Bodenschatz Der europäische Datenschutzstandard, 2010; BullInformationelle Selbstbestimmung – Vision oder Illusion?, 2. Aufl. 2011; ders. Sinn undUnsinn des Datenschutzes, 2015; Burgkardt Grundrechtlicher Datenschutz zwischen Grundge-setz und Europarecht, 2013; Druey Information als Gegenstand des Rechts, 1995; Grimm DerDatenschutz vor einer Neuorientierung, JZ 2013, 585 ff.; Gusy Privatheit und Demokratie,KritV 2015, 430 ff.; Kilian Strukturwandel der Privatheit, in: GS Steinmüller, 2014, S. 195 ff.;Klippel Historische Wurzeln und Funktionen von Immaterialgüter- und Persönlichkeitsrechtenim 19. Jahrhundert, ZNR 1982, 132 ff.; Kloepfer Datenschutz als Grundrecht, 1980; KühlingDie Europäisierung des Datenschutzes, 2014; Lachmayer Die Multidimensionalität des Daten-schutzrechts, in: FS Berka, 2013, S. 121 ff.; v. Lewinski Die Geschichte des Datenschutzrechtsvon 1600 bis 1977, in: Arndt u.a., Freiheit – Sicherheit – Öffentlichkeit, 2009, S. 196 ff.; ders.Kodifikationsstrategien im Datenschutzrecht, oder: Wann ist der Zeitpunkt der Unkodifizier-barkeit erreicht?, in: GS Brandner, 2011, S. 107 ff.; ders. Zwischen rationaler Apathie undirrationaler Hysterie – Die Durchsetzung des Datenschutzes, PinG 2013, 12 ff.; ders. Zufallund Notwendigkeit bei der Entstehung des Datenschutzrechts, in: Pohle/Knaut Geschichte undTheorie des Datenschutzes (Fundationes I), 2014, S. 9 ff.; ders. Die Matrix des Datenschutzes,2014; Liedtke Das Bundesdatenschutzgesetz, 1980; Pohle Datenschutz und Technikgestaltung,Diss. rer. nat. HU Berlin 2017; Raab Die Harmonisierung des einfachgesetzlichen Datenschut-zes, 2015; Rüpke Der verfassungsrechtliche Schutz der Privatheit, 1976; Schiedermair DerSchutz des Privaten als internationales Grundrecht, 2012; Seidel Datenbanken und Persönlich-keitsrecht, 1972; ders. Das Grundrecht auf Datensouveränität, ZG 2014, 153 ff.; Simitis Chan-cen und Gefahren der elektronischen Datenverarbeitung, NJW 1971, 673 ff.; Specht/RohmerZur Rolle des informationellen Selbstbestimmungsrechts bei der Ausgestaltung eines möglichenAusschließlichkeitsrechts an Daten, PinG 2016, 127 ff.; Spiecker gen. Döhmann Die Architekto-nik des deutschen und Europäischen Datenschutzrechts, in: Hain/Peifer, Datenschutz im digi-talen Zeitalter: global, europäisch, national (Jahrestagung des Instituts für Rundfunkrecht2014) 2014, S. 61–90; Steinmüller/Lutterbeck/Mallmann/Harbort/Kolb/Schneider Grundfragendes Datenschutzes, 1971 (BT-Drs. 6/3826); Steinmüller Das informationelle Selbstbestim-mungsrecht – Wie es entstand und was man daraus lernen kann, RDV 2007, 158 ff.; StentzelDas Grundrecht auf …?, PinG 2015, 185 ff.; ders. Der datenschutzrechtliche Präventionsstaat,PinG 2016, 45 ff.; Trute Verfassungsrechtliche Grundlagen, in: Roßnagel, Handbuch Daten-schutzrecht, 2003, Kap. 2.5; Weidner-Braun Der Schutz der Privatsphäre und des Rechts aufinformationelle Selbstbestimmung, 2012; Woertge Die Prinzipien des Datenschutzrechts undihre Realisierung im geltenden Recht, 1984; Zech Information als Schutzobjekt, 2012,S. 215–220

Übersicht Rdn.A. Geschichte und Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1I. (Vor-) Geschichte des Datenschutzrechts bis 1970 . . . . . . . . . . . . . . . . . . . . 2II. Erste Datenschutzgesetze. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3III. Europäisierung des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . 8IV. Zukunft des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1von LewinskiLeseprobe

1

2

Einführung

Rdn.B. Schutzgüter des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16I. Persönlichkeitsrecht. Menschenwürde . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20II. Sphären. Schutzräume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1. Räumliche Sphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222. Soziale Sphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233. Logische Sphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

III. »Informationelle Selbstbestimmung« als informationelle Fremdbeschränkung . . . 26IV. Zuordnung informationeller Rechtspositionen und informationelle Selbstbestim-

mung im eigentlichen Sinne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30V. Gesamtgesellschaftliches Informationsgleichgewicht . . . . . . . . . . . . . . . . . . . 34C. Normebenen des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . 37I. Europarecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38II. Mitgliedstaatliches Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39III. Datenschutz im Bundesstaat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40IV. Völkerrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

1. Zwischenstaatliche Abkommen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 432. Datenschutzrecht in internationalen Organisationen . . . . . . . . . . . . . . 443. Allgemeines Völkerrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454. Regionales europäisches Völkerrecht. . . . . . . . . . . . . . . . . . . . . . . . . 48

V. Verhältnis der Normebenen zueinander . . . . . . . . . . . . . . . . . . . . . . . . . . 50D. Datenschutzrecht als Teil der Rechtsordnung . . . . . . . . . . . . . . . . . . . . . 56I. Datenschutzrecht als Teil des Verwaltungsrechts . . . . . . . . . . . . . . . . . . . . . 58II. Datenschutzrecht als Teil des Privatrechts . . . . . . . . . . . . . . . . . . . . . . . . . 61

1. Datenschutzrecht als Eingriffsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . 622. Datenschutzrecht als Schutzgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . 643. Datenschutzrecht als Verbraucherrecht . . . . . . . . . . . . . . . . . . . . . . . 674. Datenschutzrecht als Wirtschaftsrecht. . . . . . . . . . . . . . . . . . . . . . . . 70

III. Datenschutzrecht als Teil des Informationsrechts, Medienrechts und Technik-rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

IV. Datenschutzrecht als Risikorecht und Innovationsrecht . . . . . . . . . . . . . . . . . 76

A. Geschichte und Entwicklung

Die Geschichte des deutschen wie des europäischen Datenschutzrechts wird meistvon 1970 (hessisches Datenschutzgesetz) bzw. 1977 (erstes BDSG) an erzählt. Dasist richtig, wenn man den Datenschutz als die rechtliche Antwort auf die Fragender automatisierten Datenverarbeitung begreift.1

I. (Vor-) Geschichte des Datenschutzrechts bis 1970

Dabei hat es natürlich schon vorher vereinzelt Regelungen gegeben, die dem heuti-gen Datenschutzrecht ähneln. Versteht man Datenschutz in einem weiteren Sinne(auch) als eine besondere Form der Geheimhaltung, kann man dessen Wurzeln biszum Hippokratischen Eid und noch weiter zurückverfolgen. Mit ein wenig Phantasie

1 So ausdrücklich Simitis, in: Simitis, BDSG, Einl. Rn. 1 ff.

2 von Lewinski Leseprobe

Einführung

kann man »Datenschutz« auch in der Welt der Grimm'schen Märchen2 und in derbiblischen Weihnachtsgeschichte3 finden. Datenschutzrecht ist aber natürlich wedernur Geheimnisschutzrecht noch bloß Technikrecht, sondern der rechtliche Ausgleichvon informationellen Machtasymmetrien. Solchermaßen kategorisiert kann manerste »Datenschutzregeln« auch schon beim Aufkommen des modernen Staates undseiner Bürokratie entdecken.4 Die ersten, noch nicht so benannten Datenschutzvor-schriften hatten die Gestalt von Kompetenz- und Zuständigkeitsregeln, (Amts-) Ver-schwiegenheitsvorschriften und Prozessnormen. Im Verhältnis der Privaten unterei-nander, dem vom BDSG früher so bezeichneten nicht-öffentlichen Bereich, sindVorläufer des modernen Datenschutzrechts nur ganz vereinzelt zu finden (etwa derFall »Bismarck auf dem Totenbett«5 und dann das KUG v. 1907).

II. Erste Datenschutzgesetze

Die Geschichte der eigentlichen Datenschutzgesetzgebung beginnt in den 1970er Jah-ren. Nachdem die Technikeuphorie der Nachkriegsjahre, die auch der beginnen-den Computerisierung recht unkritisch gegenüberstand, in den 1960er Jahren einergewissen Skepsis gewichen war, kam es zu gesetzgeberischen Aktivitäten, v.a. in denUSA und in Deutschland.

Das weltweit erste Datenschutzgesetz ist das Hessens gewesen (»Datenschutzge-setz« vom 07.10.19706). Es folgte nur wenige Woche später Bayern mit einemGesetz vergleichbaren Inhalts, aber dem weniger durchschlagenden Titel »EDV-Gesetz«. Nach und nach sind bis 1981 (Hamburg) bzw. bis nach der Wiedervereini-gung alle anderen Bundesländer gefolgt.

Auf Bundesebene gehört das BDSG v. 1977 ebenfalls zu den früheren Gesetzen,7das vor allem für die Datenschutzrechtsdiskussion in Deutschland schnell prägendwurde. Es ist 1990 und 2001 umfangreich novelliert worden (s.u. Einl. BDSGRdn. 10 ff.).

Als frühe Datenschutzgesetzgebung aus dem Ausland ist v.a. die der USA zunennen. Der Fair Credit Reporting Act v. 1974 und der Privacy Act v. 1974 habenein vergleichbares Alter wie die deutschen Regelungen, sind aber in der CommonLaw-Tradition der USA bereichsspezifisch. Kein Gesetz, jedoch in den USA rechtlich

2 Garstka, in: FS Kloepfer, 2013, S. 653 ff.3 Flohr, BB 1993, 657 ff.4 Hierzu umfassend v. Lewinski, in: Arndt u.a., Freiheit – Sicherheit – Öffentlichkeit, 2008,

S. 196, 204 f. et pass. m.w.N.5 RG, Urt. v. 28.12.1899 – VI 259/99, RGZ 45, 170 ff. – Bismarck auf dem Totenbett.6 HessGVBl. I S. 625.7 Dazu Liedtke, Das Bundesdatenschutzgesetz, 1980.

3von Lewinski

3

4

5

6

Leseprobe

7

8

9

10

11

12

Einführung

und rechtspolitisch nach wie vor bedeutsam, sind die »Fair Information Practices«(FIPs) v. 1973.8

In Europa verbreiteten sich Idee und Konzept von Datenschutzgesetzen zunächsterst noch verhalten.9 Zu nennen ist v.a. Schweden (1973). In der Schweiz gibt esein Datenschutzgesetz seit 1992, in Österreich gar erst seit dem Jahr 2000.

III. Europäisierung des Datenschutzrechts

Auf Ebene der Europäischen Union – damals noch Europäische (Wirtschafts-)Gemeinschaft – war vom Europäischen Parlament seit Mitte der Siebziger Jahreder Datenschutz problematisiert worden.10

Eine erste wenngleich nur auf der völkerrechtlichen Ebene verbindliche Normset-zung auf europäischer Ebene war dann die Europarats-Konvention 108 (s.u.Rdn. 48).

Zeitlich parallel zu den bereichsspezifischen Regelungen des Telekommunikations-und Internetdatenschutzes wurde 1995 mit der EG-DSRL (zu dieser s.u. Einl.DSGVO Rdn. 2 ff.) eine vereinheitlichende europäische Datenschutzregelunggeschaffen. Der vorbildgebende Einfluss des deutschen Datenschutzrechts auf dieseeuropäische Regelung ist nicht zu übersehen, wenngleich nicht dominant.

Eine Vollharmonisierung, v.a. im sog. nicht-öffentlichen Bereich, wurde nun nachmehrjähriger rechtspolitischer Diskussion im April 2016 durch die DSGVO (s.u.Einl. DSGVO Rdn. 8 ff.) herbeigeführt. Allerdings bleibt das europäische Daten-schutzrecht insgesamt fragmentiert in eine vollharmonisierte DSGVO, eine har-monisierende JIRL, die daran noch nicht angeglichene VO (EG) 45/2001 für dieInstitutionen der EU selbst sowie die sektoriellen Regelungen insb. der E-Privacy-RL.

Wie auch in anderen Bereichen des europäischen Grundrechtsschutzes sind nichtnur die Vorgaben des EU-Rechts, insb. die der GRCh, zu beachten, sondern auchdie der EMRK. Während der EGMR über die lange Zeit vor allem als ein Gerichtin Erscheinung getreten war, das den Informationsfluss und die Informationsfreiheitv.a. im Medienbereich hochhält, hat er zuletzt auch Entscheidungen zu datenschutz-rechtlichen Fällen gefällt.11

8 Dieser (untergesetzliche) »Code for Fair Information Practices« des U.S. Department ofHealth, Education and Welfare v. 1973 ist auf der anderen Seite des Atlantiks gar als»Urmutter des Datenschutzes« beschrieben worden (Garfinkel, Database Nation, 2001,S. 7).

9 Zeitgenössisch zum damaligen Diskussionsstand Hondius, Emerging Data Protection inEurope, 1975.

10 Dazu Wurst, JuS 1991, 448 ff.; Riegel, ZRP 1990, 134 ff.11 Z.B. zum Beschäftigtendatenschutz EGMR, Entsch. v. 05.09.2017 – 61496/08 – Bărbu-

lescu./. Rumänien.


Einführung

IV. Zukunft des Datenschutzes

Die Zukunft des Datenschutzrechts ist offen. Auch wenn in der kommenden odervielleicht schon beginnenden Informationsgesellschaft sich das Recht unzweifelhaf-terweise mit informationellen Rechtspositionen beschäftigen muss, ist keineswegsausgemacht, dass der rechtstechnische Weg des Datenschutzrechts, vor allem in seinerkonkreten Ausprägung, endlos weitergegangen wird.12 Regelungstechnisch könntedas Verbot mit Erlaubnisvorbehalt durch anders formulierte Normen abgelöst wer-den,13 etwa durch eine offenere Generalklausel mit Bezug auf »Treu und Glauben«.

Eine einheitliche Kodifikation des Datenschutzrechts14 war weder durch dasBDSG geschaffen worden noch wird sie das durch die DSGVO. Denn das Daten-schutzrecht ist eine Querschnittsmaterie; der Preis für eine zusammenfassende Kodi-fizierung wäre die Herauslösung vieler Regelungen aus dem jeweiligen Sachzusam-menhang. Der bereichsspezifische und passgenaue Datenschutz würde zugunsteneines »Einheitsbreis« aufgegeben. Diese grundsätzlichen Einwände gegen eine umfas-sende Datenschutzkodifikation werden im Bundesstaat und im europäischen Staaten-verbund durch das jeweilige Mehrebenensystem noch multipliziert.

Der Gegenstand des Datenschutzrechts – die Verarbeitung personenbezogener Datenund die personenbezogene Datenverarbeitung – wird globaler und universeller. Hin-sichtlich der Internationalisierung hinkt das Datenschutzrecht dem von ihm zuregelnden Problembereich allerdings hinterher. Ein universelles Datenschutzrecht istkurz- und mittelfristig auch nicht zu erwarten, denn nicht nur gehen die transatlanti-schen Wirtschafts- und Handelsinteressen insb. im Bereich der Datenwirtschaft zuweit auseinander. Auch sind die Kulturunterschiede zwischen dem individual-orien-tierten Westen und den stärker gemeinschaftsbezogenen Kulturen v.a. Asiens undAfrikas15 zu groß, um das europäische Datenschutzmodell ohne den Vorwurf undAnschein des Kulturimperialismus weltweit zu etablieren.

B. Schutzgüter des Datenschutzes

Der Begriff »Datenschutz« ist missverständlich;16 das wird seit langem beklagt, hataber mit der Dauer der Klage auch an Relevanz verloren, weil dieser Begriff inzwi-schen eine weitgehend anerkannte Bedeutung erlangt hat. Allerdings darf nicht über-sehen werden, dass »Datenschutz« mehrere Bedeutungsdimensionen hat. Teilweise

12 In diese Richtung aber wohl Roßnagel, DuD 2016, 561, insb. 565: »Modernisierung desDatenschutzes«.

13 Vgl. den prinzipienbasierten Ansatz der Überarbeitung der OECD-Richtlinien (dazu Cate/Cullen/Mayer-Schönberger, Data Protection Principles for the 21st Century – Revising the1980 OECD Guidelines, Dez. 2013).

14 Zu Kodifikationsstrategien im Datenschutzrecht v. Lewinski, in: GS Brandner, 2011,S. 107 ff.

15 Umfassend Boshe, Data Protection Legal Reforms in Africa, Diss. iur. Passau 2017.16 Druey, Information als Gegenstand des Rechts, 1995, S. 387.

5von Lewinski

13

14

15

16

Leseprobe

Verordnung (EU) 2016/679 des europäischen Parlamentsund Rates vom 27. April 2016 zum Schutz natürlicherPersonen bei der Verarbeitung personenbezogener Daten,zum freien Datenverkehr und zur Aufhebung der Richtlinie95/46/EG(Datenschutz-Grundverordnung, DSGVO)

ABl. EU Nr. L 119 v. 4.5.2016, S. 1

Einleitung

Literatur:

Albrecht Das neue EU-Datenschutzrecht, CR 2016, 88 ff.; ders. Die EU-Datenschutzgrundver-ordnung rettet die informationelle Selbstbestimmung!, ZD 2013, 587 ff.; v. Danwitz DieGrundrechte auf Achtung der Privatsphäre und auf Schutz personenbezogener Daten, DuD2015, 581 ff.; Di Martino Datenschutz im europäischen Recht, 2005; Gola/Schulz Der Entwurffür eine EU-Datenschutz-Grundverordnung – eine Zwischenbilanz, RDV 2013, 1 ff.; Härting/Schneider Datenschutz in Europa: Ein Alternativentwurf für eine Datenschutz-Grundverord-nung, CRi 2013, 19 ff.; Hanschmann Das Verschwinden des Grundrechts auf Datenschutz inder Pluralität von Rechtsregimen, EuGRZ 2011, 219 ff.; Hornung Eine Datenschutz-Grund-verordnung für Europa? ZD 2012, 99 ff.; Kotzur Datenschutz in der europäischen Grund-rechtsgemeinschaft, EuGRZ 2011, 105 ff.; Leucker Die zehn Märchen der Datenschutzreform,PinG 2015, 195 ff.; v. Lewinski Europäisierung des Datenschutzrechts, DuD 2012, 564 ff.;Lynskey The Foundations of EU Data Protection Law, 2015; Marsch Das europäische Daten-schutzgrundrecht, 2018; Michl Das Verhältnis zwischen Art. 7 und Art. 8 GRCh – zur Bestim-mung der Grundlage des Datenschutzgrundrechts im EU-Recht, DuD 2017, 349 ff.; Piltz/Krohm Was bleibt vom Datenschutz übrig?, PinG 2013, 56 ff.; Pötters Primärrechtliche Vorga-ben für eine Reform des Datenschutzrechts, RDV 2015, 10 ff.; Ronellenfitsch Kohärenz undVielfalt, DuD 2016, 357 ff.; Spiecker gen. Döhmann Die Architektonik des deutschen undEuropäischen Datenschutzrechts, in: Hain/Peifer, Datenschutz im digitalen Zeitalter: global,europäisch, national (Jahrestagung des Instituts für Rundfunkrecht 2014) 2014, S. 61–90;Stentzel Das Grundrecht auf …?, PinG 2015, 185 ff.; Viethen Datenschutz als Aufgabe derEG, 2013; Wagner, Grenzen des europäischen Datenschutzrechts, DuD 2012, 303 ff.; WestphalGrundlagen und Bausteine des europäischen Datenschutzrechts, in: Bauer/Reimer, HandbuchDatenschutzrecht, 2009, S. 53 ff.

Übersicht Rdn.A. Geschichte und Entwicklung des europäischen Datenschutzrecht . . . . . . . . 1I. Erste Initiativen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1II. EG-DSRL 95/46/EG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2III. Bereichsspezifische Datenschutzregelungen. . . . . . . . . . . . . . . . . . . . . . . . . 5IV. EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8B. Datenschutz im europäischen Primärrecht . . . . . . . . . . . . . . . . . . . . . . . 12I. Europäische Grundrechte und Grundfreiheiten . . . . . . . . . . . . . . . . . . . . . . 12II. Binnenmarktkompetenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

23von LewinskiLeseprobe

1

2

3

Einl. DSGVO

Rdn.III. Datenschutzkompetenz der Union (Art. 16 AEUV) . . . . . . . . . . . . . . . . . . . 18C. Ausgestaltung in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21I. DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23II. JIRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26III. Bereichsspezifisches Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27IV. Delegierte Rechtsakte und Durchführungsrechtsakte . . . . . . . . . . . . . . . . . . 29V. Entschließungen des Europäischen Datenschutzausschusses . . . . . . . . . . . . . . 31

A. Geschichte und Entwicklung des europäischen Datenschutzrecht

I. Erste Initiativen

Während insgesamt die Datenschutzdiskussion wohl in den USA begann (Einf.Rdn. 3) und von dort dann erst in Europa (und hier v.a. in Deutschland) rezipiertwurde und die ersten umfassenden Datenschutzgesetze in Europa in Deutschlanderlassen wurden, darf dies nicht zu dem Fehlschluss verleiten, in den anderen StaatenEuropas hätte keine entsprechende Diskussion stattgefunden (Einf. Rdn. 7).1 Auchfinden sich schon früh, freilich dann nur vereinzelt gebliebene Forderungen nacheiner europäischen Vereinheitlichung des Datenschutzes.2 Zu nennen ist aus derFrühzeit des europäischen Datenschutzrechts die DS-Konvention 108 des Europarats(s.o. Einf. Rdn. 48). Jedenfalls aber ist das Thema »Datenschutz« erst verhältnismä-ßig spät auf der Ebene der Europäischen Union (damals: Europäische Gemeinschaf-ten) angekommen.

II. EG-DSRL 95/46/EG

Die eigentliche Datenschutzgesetzgebung auf europäischer Ebene beginnt mit derEG-Datenschutzrichtlinie 95/46/EG v. 24.10.1995.3 Sie ist die erste allgemeineVorgabe für die Datenschutzregelungen der Mitgliedstaaten der EU gewesen.4Regelungsgegenstand der EG-DSRL war die grenzüberschreitende personenbezo-gene Datenverarbeitung.5

Die EG-DSRL war erkennbar von deutschen und französischen Datenschutzan-sätzen geprägt. Sie enthielt keine vom bis dahin bestehenden deutschen Daten-

1 Zeitgenössisch zum Diskussionsstand Hondius, Emerging Data Protection in Europe, 1975.2 Z.B. Windolph, in: Schmitz, Informationszentren in Wirtschaft und Verwaltung, 1974,

S. 215, 218.3 ABl. EG Nr. L 281 S. 31.4 Für die Organe der Europäischen Union selbst gilt die VO (EG) Nr. 45/2001 (Verordnung

[EG] Nr. 45/2001 v. 18.12.2000 zum Schutz natürlicher Personen bei der Verarbeitungpersonenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zumfreien Datenverkehr, ABl. EG Nr. 8 v. 12.01.2001, S. 1).

5 Kritisch zu der Begrenzungsfunktion dieses kompetenzrechtlichen TatbestandsmerkmalsLippert, Der grenzüberschreitende Sachverhalt im Unionsrecht, 2013.


Räumlicher Anwendungsbereich Art. 3

Hierfür lässt es die Rechtsprechung des EuGH in der Rechtssache Google Spaingenügen, dass eine geschäftliche Verbindung zwischen einer personenbezogenenDatenverarbeitung einerseits und der Tätigkeit der Niederlassung besteht; im kon-kreten Fall ließ man für die Anwendbarkeit des Datenschutzrechts die Werbeflä-chenvermarktung (durch Google Spain) genügen, um das Datenschutzrecht auf dieVerarbeitung in den USA zu erstrecken.19 – Erkennbar war diese Entscheidung vonder damals bereits diskutierten DSGVO inspiriert.20 Die damalige Konstellationwürde heute nach dem Marktortprinzip (s. dazu sogleich Rdn. 11 ff.) ohnehin demDatenschutzrecht unterfallen, sodass die bemerkenswert weite Auslegung von »Nie-derlassung«, soweit man vom Ergebnis her denkt, nicht (mehr) erforderlich ist.

II. Marktortprinzip (Absatz 2)

Mit der Einführung des Marktortprinzips wird das Ergebnis der Google Spain-Entscheidung (s.o. Rdn. 10) in eine dogmatisch überzeugendere Konstruktion über-führt. In den Anwendungsbereich der DSGVO werden auch die Konstellationenfallen, in denen die Datenverarbeitung eine Person betrifft, die sich innerhalb derEU aufhält, selbst wenn der Verantwortliche nicht in der EU sitzt und hier auchkeine Niederlassung hat. Offensichtlich ist die Regelung spezifisch auf Internet-Sach-verhalte zugeschnitten.21 Abgestellt wird auf den Ort, an dem der Betroffene sichbefindet; auf eine (feste) Ansässigkeit (s. noch Art. 3 Abs. 2 DSGVO-KommE)kommt es nicht an.

Das Marktortprinzip hat zwei Ausprägungen: Zum einen gilt es, wenn Personen inder EU Waren und Dienstleistungen angeboten werden (lit. a), zum anderen, wennihr Verhalten (innerhalb der EU) beobachtet wird (lit. b). – Nebenfolge der Anwend-barkeit des Marktortprinzips ist die Pflicht zur Vertreterbenennung (Art. 27DSGVO).

1. Anbieten von Waren und Dienstleistungen (lit. a)

Die Begriffe »Waren« (vgl. Art. 28 Abs. 2 AEUV) bzw. »Dienstleistungen« (vgl.Art. 57 AEUV; RL 2006/123/EG) werden entsprechend dem allgemeinen europa-rechtlichen Verständnis weit ausgelegt.

Nach lit. a ist eine Zahlung des Betroffenen als Gegenleistung für die Waren bzw.Dienstleistungen nicht erforderlich. Eine Entgeltlichkeit ist also ausdrücklich nichtgefordert, eine mittelbare Finanzierung (insb. durch Verkauf von Werbeplätzen)reicht für eine »Entgeltlichkeit« aus.22

19 EuGH, Urt. v. 13.05.2014 – Rs. C-131/12 – Google Spain.20 Für eine Anwendbarkeit des EU-Datenschutzrechts auf (Suchmaschinen-)Anbieter außer-

halb der EU bereits Art. 20-Gruppe, WP 148.21 Härting, BB 2012, 459, 462.22 Haustein, in: Hilgendorf/Hötitzsch, Das Recht vor den Herausforderungen der modernen

Technik, 2015, S. 97, 102.

57von Lewinski

10

11

12

13

14

Leseprobe

Bedingungen für die Einwilligung eines Kindes Art. 8

Rdn.1. Nutzung von Diensten der Informationsgesellschaft . . . . . . . . . . . . . . . 72. An ein Kind gerichtetes Angebot . . . . . . . . . . . . . . . . . . . . . . . . . . 83. Einwilligung und Altersgrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

II. Prüf- und Dokumentationspflicht des Verantwortlichen (Absatz 2). . . . . . . . . . 16III. Allgemeines Vertragsrecht (Absatz 3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21C. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

A. Allgemeines

I. Grund der Regelung

Art. 8 DSGVO regelt im Bereich des Datenschutzrechts im Gegensatz zumBDSG a.F. erstmals spezifische Vorgaben in Bezug auf die Verarbeitung personenbe-zogener Daten von Kindern durch Dienste der Informationsgesellschaft und trägtdamit der besonderen Schutzbedürftigkeit von Kindern Rechnung. Die DSGVOenthält damit eine besondere Schutzregelung für die Einwilligung von Kindern inBezug auf das Angebot von Diensten der Informationsgesellschaft.1 Die Vorausset-zungen für die Zulässigkeit der Datenverarbeitung werden im Hinblick auf die Ein-willigung des Betroffenen erhöht. Die Regelung reagiert auf den Umstand, dass inder digital vernetzten Informationsgesellschaft mittlerweile auch personenbezogeneDaten von Kindern in einem erheblichen Maße verarbeitet werden, was nicht zuletztan der nahezu vollständigen digitalen Vernetzung der Altersgruppe der 10- bis 18-jährigen liegt.2 Art. 8 DSGVO stellt insoweit eine Anpassung an das digitale Zeit-alter dar.3

Die umfassende digitale Vernetzung Minderjähriger und die damit einhergehendePreisgabe personenbezogener Daten insbesondere an Private führt aufgrund der Ten-denz, Nutzerprofile zu ermitteln und kommerziell auszuwerten, unweigerlich zueiner Grundrechtsgefährdungslage im Hinblick auf Persönlichkeitsrechtsinteressenvon Minderjährigen, sodass die Schutzpflichtendimension der Art. 7, 8 GRCh

1 Begründung des Rates: Standpunkt (EU) Nr. 6/2016 des Rates in erster Lesung im Hinblickauf den Erlass einer Verordnung des Europäischen Parlaments und des Rates zum Schutznatürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Daten-verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung),ABl. C 159, S. 86.

2 Vgl. Gola/Schulz, ZD 2013, 475, 475; s.a. Bitkom, Jung und vernetzt – Kinder und Jugend-liche in der digitalen Gesellschaft, 2014.

3 Buchner/Kühling, DuD 2017, 544, 546.

177Greve

1

2

Leseprobe

50

51

52

Art. 17 Recht auf Löschung (»Recht auf Vergessenwerden«)

zugunsten eines unbestimmten Personenkreises ermöglicht wird.66 Die Vermutungliegt nahe, dass der Gesetzgeber (Internet-) Veröffentlichungen regeln wollte. ImUrheberrecht wird das Recht der öffentlichen Zugänglichmachung in § 19a UrhGdefiniert als das Recht, etwas

»drahtgebunden oder drahtlos der Öffentlichkeit in einer Weise zugänglich zumachen, dass es Mitgliedern der Öffentlichkeit von Orten und zu Zeiten ihrerWahl zugänglich ist«.

Ob diese Definition auch im Datenschutzrecht mit seiner anderen SchutzrichtungAnwendung findet, bleibt abzuwarten. Früher oder später werden auch hier Grenzbe-reiche definiert werden müssen, beispielsweise die Frage, ob und ab welcher Teilneh-merzahl die Veröffentlichung in einem Intranet oder geschlossenen Bereich die Infor-mationspflichten des Abs. 2 ebenfalls begründet, ob nur die Veröffentlichung imInternet oder ob auch die Verarbeitung von Daten im Fernsehen, Radio oder aufPlakatwänden oder in gedruckten Veröffentlichungen gemeint ist und wie es sichmit der Zurechnung von Inhalten Dritter, beispielsweise auf sozialen Netzwerken,verhält. In erster Linie gemeint sind ganz offensichtlich Internet-Sachverhalte. So sollkeine Veröffentlichung von Daten vorliegen, wenn der Kreis der Rezipienten durchZugangsbeschränkungen, Leserechte oder Privatsphäreneinstellungen begrenztwird.67

Die Handlungspflichten des Art. 17 Abs. 2 beinhalten jedenfalls die Benachrichti-gung von allen Stellen, die die zu löschenden Daten ebenfalls verarbeiten (einschließ-lich Betreiber von Suchmaschinen). Sie sind darüber zu benachrichtigen, dass einebetroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenenDaten oder von Kopien oder Replikationen dieser personenbezogenen Daten ver-langt hat. Auch angemessene Maßnahmen technischer Art müssen eingesetzt werden,d.h. auch eine Suche nach Kopien oder Applikationen mit gängigen Methoden imInternet (zum Beispiel Google Suche) könnten somit notwendig werden. Nichterforderlich sind übermäßige Maßnahmen. Dabei werden die verfügbaren Technolo-gien sowie Implementierungskosten berücksichtigt.

Art. 17 Abs. 2 setzt neben dem öffentlichen machen der personenbezogenen Datendurch den Verantwortlichen voraus, dass sämtliche Voraussetzungen für das Rechtauf Löschung vorliegen. Abs. 2 greift also erst, wenn eine Löschpflicht gem. Abs. 1gegeben ist.

2. Rechtsfolgen

Liegen die Voraussetzungen von Art. 17 Abs. 2 DSGVO vor, so trifft den Verant-wortlichen eine Informationspflicht über das Verlangen der betroffenen Person, dieLöschung aller Links zu seinen personenbezogenen Daten oder von Kopien oder

66 Kamann/Braun, in: Ehmann/Selmayr, DS-GVO, Art. 17 Rn. 40.67 Peuker, in: Sydow, DSGVO, Art. 17, Rn. 48.

310 Stollhoff Leseprobe

28

29

30

Art. 35 Datenschutz-Folgenabschätzung

Personen, denen wegen Verstoßes gegen Art. 34 DSGVO ein materieller oder auchimmaterieller Schaden entstanden ist, steht ein Anspruch auf Schadensersatz gem.Art. 82 Abs. 1 DSGVO gegen den Verantwortlichen zu.

C. Ausblick

Die Data-Breach-Notification war bislang in § 42a BDSG a.F. geregelt. Anders alsbei § 42a BDSG a.F. enthält die Benachrichtigungspflicht nach Art. 34 DSGVOkeine Beschränkung auf bestimmte Datenarten (vgl. Rdn. 5). Die Schwellen für dieBenachrichtigung sind bei § 42a BDSG a.F. (»drohen schwerwiegende Beeinträchti-gungen für die Rechte oder schutzwürdigen Interessen der Betroffenen«) und Art. 34DSGVO (»voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheitennatürlicher Personen«) im Ergebnis vergleichbar, sodass sich im Verhältnis zur bishe-rigen Rechtslage keine erheblichen Änderungen ergeben haben sollten. Mit Art. 34DSGVO wurden die Meldepflichten und die Sanktionen bei Verstößen (vgl.Rdn. 26) im Vergleich zur bisherigen Rechtslage verschärft. Das BDSG enthält keinedem § 42a BDSG a.F. vergleichbare Norm mehr. § 66 BDSG enthält in Umsetzungder JIRL eine Art. 34 DSGVO vergleichbare Pflicht zur Benachrichtigung derbetroffenen Personen bei Datensicherheitsvorfällen, die im Wesentlichen im Bereichder Polizei und Justiz zur Anwendung kommt.

Nach Art. 95 DSGVO bleibt die EG-TK-DatSchRL vorerst neben der DSGVObestehen, sodass auch die über Art. 4 Abs. 3 EG-TK-DatSchRL erlassenen Vor-schriften zur Benachrichtigung der Betroffenen über Verletzungen des Schutzes per-sonenbezogener Daten seitens der Betreiber öffentlicher elektronischer Kommunika-tionsnetzwerke (z.B. § 109a TKG) fortbestehen.32

Abschnitt 3 Datenschutz-Folgenabschätzung und vorherigeKonsultation


(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Tech-nologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke derVerarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheitennatürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschät-zung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz perso-nenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbei-tungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzungvorgenommen werden.

32 Siehe Art. 95 Rdn. 10.

516 Raum Leseprobe

Datenschutz-Folgenabschätzung Art. 35

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgen-abschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benanntwurde, ein.

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere infolgenden Fällen erforderlich:a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher

Personen, die sich auf automatisierte Verarbeitung einschließlich Profilinggründet und die ihrerseits als Grundlage für Entscheidungen dient, dieRechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähn-lich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenenDaten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten überstrafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für diegemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, undveröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Arti-kel 68 genannten Ausschuss.

(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbei-tungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgen-abschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listendem Ausschuss.

(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet diezuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wennsolche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot vonWaren oder Dienstleistungen für betroffene Personen oder der Beobachtungdes Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhangstehen oder die den freien Verkehr personenbezogener Daten innerhalb derUnion erheblich beeinträchtigen könnten.

(7) Die Folgenabschätzung enthält zumindest Folgendes:a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und

der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Ver-antwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbei-tungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenenPersonen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließ-lich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die derSchutz personenbezogener Daten sichergestellt und der Nachweis dafürerbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechtenund berechtigten Interessen der betroffenen Personen und sonstigerBetroffener Rechnung getragen wird.

517RaumLeseprobe


(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch diezuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist beider Beurteilung der Auswirkungen der von diesen durchgeführten Verarbei-tungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschät-zung, gebührend zu berücksichtigen.

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenenPersonen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadetdes Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit derVerarbeitungsvorgänge ein.

(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e aufeiner Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, demder Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften denkonkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgängeregeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusam-menhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenab-schätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessender Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkei-ten eine solche Folgenabschätzung durchzuführen.

(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, umzu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzungdurchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbei-tungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

ErwGr. 75: Die Risiken für die Rechte und Freiheiten natürlicher Personen – mitunterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verar-beitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellenoder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zueiner Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellenVerlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsge-heimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung derPseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichenNachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freihei-ten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenenDaten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oderethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeu-gungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetischeDaten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungenund Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffendeDaten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesonderewenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönlicheVorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsortoder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönlicheProfile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger

518 Raum Leseprobe


natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oderwenn die Verarbeitung eine große Menge personenbezogener Daten und eine großeAnzahl von betroffenen Personen betrifft.

ErwGr. 76 Sätze 1–2: Eintrittswahrscheinlichkeit und Schwere des Risikos für dieRechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, denUmfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. DasRisiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestelltwird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

ErwGr. 84 Sätze 1–3: Damit diese Verordnung in Fällen, in denen die Verarbeitungs-vorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicherPersonen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche fürdie Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere dieUrsache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwort-lich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darü-ber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, umnachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Ver-ordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor,dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nichtdurch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementie-rungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitungkonsultiert werden.

ErwGr. 89 Sätze 1–3: Gemäß der Richtlinie 95/46/EG waren Verarbeitungen perso-nenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Mel-depflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hatdennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Datengeführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abge-schafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sichstattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, dieaufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlichein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich brin-gen. Zu solchen Arten von Verarbeitungsvorgängen gehören insbesondere solche, beidenen neue Technologien eingesetzt werden oder die neuartig sind und bei denender Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hatbzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeiteine Datenschutz-Folgenabschätzung notwendig geworden ist.

ErwGr. 90 Sätze 1–2: In derartigen Fällen sollte der Verantwortliche vor der Verar-beitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifischeEintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichti-gung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung undder Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich ins-besondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die diesesRisiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Ein-haltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.

519RaumLeseprobe


ErwGr. 91 Sätze 1–5: Dies sollte insbesondere für umfangreiche Verarbeitungsvor-gänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regiona-ler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Perso-nen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität –wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend demjeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie einge-setzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für dieRechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann,wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrerRechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch durchgeführtwerden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen inBezug auf bestimmte natürliche Personen im Anschluss an eine systematische undeingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlageeines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kate-gorien von personenbezogenen Daten, biometrischen Daten oder von Daten überstrafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Siche-rungsmaßregeln verarbeitet werden. Gleichermaßen erforderlich ist eine Daten-schutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicherBereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle ande-ren Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Ver-arbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten derbetroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personenan der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durch-führung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfol-gen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten,wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandantenbetrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsbe-rufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenab-schätzung nicht zwingend vorgeschrieben sein.

ErwGr. 92: Unter bestimmten Umständen kann es vernünftig und unter ökonomi-schen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nichtlediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiteranzulegen – beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsameAnwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Ver-antwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einengesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weitverbreitete horizontale Tätigkeit einführen möchten.

ErwGr. 93: Anlässlich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grund-lage die Behörde oder öffentliche Stelle ihre Aufgaben wahrnimmt und das denfraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgän-gen regelt, können die Mitgliedstaaten es für erforderlich erachten, solche Folgeab-schätzungen vor den Verarbeitungsvorgängen durchzuführen.

520 Raum Leseprobe


Literatur:Art. 29-Gruppe Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung derFrage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich ein hohesRisiko mit sich bringt«, WP 248 Rev. 01 vom 04.10.2017; Becker EU-Datenschutz-Grundver-ordnung, ITRB 2016,107–108; Bieker/Hansen/Friedewald Die grundrechtskonforme Ausgestal-tung der Datenschutz-Folgenabschätzung nach der EU-DSGVO, RDV 2016,188–197; HansenDatenschutz-Folgenabschätzung – gerüstet für Datenschutzvorsorge, DuD 2016, 587–591;Friedewald/Obersteller/Nebel/Bieker/Rost White Paper Datenschutz-Folgenabschätzung, ForumPrivatheit, 3. Aufl. 2017, www.forum-privatheit.de, zuletzt abgerufen am 12.12.2017; JohannesUnterschiede in der Datenschutz-Folgenabschätzung für Polizei und Strafverfolgungsbehördennach europäischem und deutschem Recht, ZD-Aktuell 2017, 05852; Kaufmann Meldepflich-ten und Datenschutz-Folgeabschätzung, ZD 2012, 353–362; Klug Stand der EU-parlamentari-schen Beratungen zur Rolle des bDSB, RDV 2013, 14–17; Klug Die Position des EU-Parla-ments zur zukünftigen Rolle von Datenschutzbeauftragten, RDV 2014, 90; Klug DerDatenschutzbeauftragte in der EU – Maßgaben der Datenschutzgrundverordnung, ZD 2016,315–319; Veil DS-GVO – Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine ersteBestandsaufnahme, ZD 2015, 347–353; Lepperhoff Dokumentationspflichten in der DS-GVO,RDV 2016, 197–203; Rost Standardisierte Datenschutzmodellierung, DuD 2012, 433–438;Marschall/Müller Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO, ZD2016, 415–420; Nwankwo Die Folgenabschätzung, ZD-Aktuell 2017, 05643; Rath/FeuerherdtDatenschutz-Folgenabschätzung als Standard im Konzern, CR 2017, 500–504; Schröder DieFolgenabschätzung – Ein Modell für die Praxis, DS-Praxis 2017,9,17 -19; von dem Bussche/Zeiter/Brombach Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durchUnternehmen, DB 2016, 1360–1365; Wagner/Scheuble WP Datenschutz-Folgenabschätzung –mehr Rechtssicherheit durch die Art. 29-Datenschutzgruppe, ZD-Aktuell 2016, 05664;Wright/Finn/Rodrigues A Comparative Analysis of Privacy Impact Assessment in Six Countries,Journal of Contemporary European Research (2013) Volume 9, Issue 1 S. 160–180,www.jcer.net/index.php/jcer/article/viewFile/513/393, zuletzt abgerufen am 18.10.2016; Wybi-tul/Ströbl Checklisten zur DSGVO – Teil 1 – Datenschutz-Folgenabschätzung in der Praxis,BB 2016, 2307–2311.

Übersicht Rdn.A. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1B. Kommentierung im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6I. Pflicht zur Datenschutz-Folgenabschätzung (Absatz 1) . . . . . . . . . . . . . . . . . 6

1. Entstehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62. Normadressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83. Pflicht zur Durchführung der Datenschutz-Folgenabschätzung . . . . . . . . 94. Ausnahme von der Pflicht zur Datenschutz-Folgenabschätzung . . . . . . . . 16

II. Beratung des Verantwortlichen durch den bDSB (Absatz 2) . . . . . . . . . . . . . . 20III. Erforderlichkeit der Datenschutz-Folgenabschätzung in bestimmten Fällen

(Absatz 3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271. Systematische und umfassende Bewertung persönlicher Aspekte (lit. a) . . . 292. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener

Daten (lit. b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313. Systematische umfangreiche Überwachung öffentlich zugänglicher Berei-

che (lit. c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33IV. Positiv-Liste zur Datenschutz-Folgenabschätzung (Absatz 4) . . . . . . . . . . . . . . 36V. Negativ-Liste zur Datenschutz-Folgenabschätzung (Absatz 5) . . . . . . . . . . . . . 37

521RaumLeseprobe

1

2


Rdn.VI. Durchführung des Kohärenzverfahrens vor Erstellung der Positiv- und Negativ-

Liste (Absatz 6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38VII. Durchführung der Datenschutz-Folgenabschätzung (Absatz 7) . . . . . . . . . . . . 39

1. Zeitpunkt der Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . 422. Zeitpunkt der Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . 463. Vorbereitungsphase – Systematische Beschreibung der geplanten Verarbei-

tungsvorgänge (lit. a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungs-

vorgänge (lit. b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535. Bewertung der Risiken für die Rechte und Freiheiten (lit. c) . . . . . . . . . 546. Bewertung der Abhilfemaßnahmen (lit. d) . . . . . . . . . . . . . . . . . . . . . 567. Berichtsphase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588. Verbesserungsphase – Überprüfungsphase . . . . . . . . . . . . . . . . . . . . . 59

VIII. Einhaltung genehmigter Verfahrensregeln (Absatz 8) . . . . . . . . . . . . . . . . . . 60IX. Beteiligung des Betroffenen (Absatz 9) . . . . . . . . . . . . . . . . . . . . . . . . . . . 61X. Ausnahme von der Pflicht zur Durchführung einer Datenschutz-Folgenabschät-

zung aufgrund rechtlicher Grundlagen der Datenverarbeitung (Absatz 10) . . . . . 64XI. Spätere Überprüfung der Datenschutz-Folgenabschätzung (Nachregelung)

(Absatz 11) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65XIII. Folgen des Verstoßes gegen Art. 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66C. Mitgliedstaatlicher Spielraum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

A. Allgemeines

Unter einer Datenschutz-Folgenabschätzung wird ein Instrument verstanden, »umdas Risiko zu erkennen und zu bewerten, das für das Individuum in dessen unter-schiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch den Einsatz einerbestimmten Technologie oder eines Systems durch eine Organisation entsteht. Zieleiner Datenschutz-Folgenabschätzung ist es, Kriterien des operationalisierten Grund-rechtsschutzes zu definieren, die Folgen von personenbezogenen Verfahren möglichstumfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschie-denen Rollen und damit verbundenen Interessen so zu bewerten, dass Angriffendurch Organisationen mit adäquaten Gegenmaßnahmen begegnet werden kann.«.1

Art. 35 ist ein Ausdruck des risikobasierten Ansatzes der DSGVO.2 Die Idee einerFolgenabschätzung an sich ist nicht neu. Technikfolgenabschätzungen werden seit

1 Friedewald/Obersteller/Nebel/Bieker/Rost, White Paper, S. 5, www.forum-privatheit.de, zuletztabgerufen am 12.12.2017; s.a. Art. 29-Gruppe, Leitlinien zur Datenschutz-Folgenabschät-zung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung2016/679 »wahrscheinlich ein hohes Risiko mit sich bringt«, WP 248 Rev. 01 vom04.10.2017, S. 4.

2 Veil, ZD 2015, 347 ff.; Wybitul/Ströbl, BB 2016, 2307; s.a. Rdn. 11.

522 Raum Leseprobe


Jahrzehnten durchgeführt.3 Bereits seit vielen Jahren hat der Deutsche Bundestageinen Ausschuss für Bildung, Forschung und Technik-Folgenabschätzung eingesetzt.Technikfolgenabschätzungen betrachten etwaige Folgen des Einsatzes von Technikfür die Gesellschaft, für die Umwelt und für die Wirtschaft. Ziel ist es vorab zuprüfen, ob man Risiken, die zukünftig zu erwarten oder zu erahnen sind, eindämmenund beherrschen kann.4 Für den Bereich der Privatsphäre und des Datenschutzesgab es seit langem Diskussionen, auch das Institut der Folgenabschätzung nutzbarzu machen.5 Das Institut des »Privacy Impact Assessment (PIA)« wird seit Jahrzehn-ten in Australien, Kanada, Neuseeland und den USA durchgeführt und auch dieInternational Organization for Standardization (ISO) hat sich dieses Themasangenommen.6

In dieser Form stellt die Datenschutz-Folgenabschätzung keine große Neuerung imBereich der organisatorischen Maßnahmen zum Datenschutz dar.7 Sie entsprichtinsoweit im Wesentlichen der bisherigen Vorabkontrolle des § 4d Abs. 5 BDSG,8wobei sie allerdings nicht auf die automatisierte Datenverarbeitung beschränkt ist.Danach muss bei Datenverarbeitungen, die aufgrund ihres Wesens, ihres Umfangsoder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Perso-nen bergen, der Verantwortliche eine Vorabbewertung der Datenverarbeitung vor-nehmen: die »Datenschutz-Folgenabschätzung« (»Data Impact Assessment«). Siewird insbesondere bei systematischen und umfassenden Auswertungen persönlicherAspekte natürlicher Personen vorgeschrieben.

Die vollständige Durchführung der Datenschutz-Folgenabschätzung ist in wenigerFällen verpflichtend als die bisherige Vorabkontrolle.9 Die Schwelle eines hohenRisikos für die Betroffenenrechte liegt nach den Regelbeispielen des Abs. 3 höher alsdie Schwelle für ein besonderes Risiko, die nach § 4d Abs. 5 BDSG die Pflicht zurVorabkontrolle begründet.10 Andererseits ist sie nicht auf die automatisierte Daten-verarbeitung beschränkt.11

Gleichzeitig mit der Datenschutz-Folgenabschätzung in der DSGVO wurde diesesInstrument auch in Art. 27 JIRL für den Bereich der Justiz- und Strafverfolgungsbe-

3 Hansen, DuD 2016, 587; zur Geschichte der Technikfolgenabschätzung als Vorbild derDatenschutz-Folgenabschätzung, vgl. Friedewald/Obersteller/Nebel/Bieker/Rost, White Paper,S. 7–13, www.forum-privatheit.de/, zuletzt abgerufen am 12.12.2017.

4 Hansen, DuD 2016, 587.5 Bieker/Hansen/Friedewald, RDV 2016,188.6 Hansen, DuD 2016, 587 m.w.N., insb. auf die ISO/IEC 29134: Information technology –

Security techniques – Privacy impact assessment – Guidelines.7 So aber Becker, ITRB 2016, 107.8 V.d. Bussche/Zeiter/Brombach, DB 2016, 1359, 1360.9 Siehe hierzu Rdn. 49.

10 V.d. Bussche/Zeiter/Brombach, DB 2016, 1359, 1360.11 Wybitul/Ströbl, BB 2016, 2307.

523Raum

3

4

5

Leseprobe

6

7


hörden eingeführt. Der nationale Gesetzgeber hat dieses Instrument in § 67 BDSGumgesetzt.12

B. Kommentierung im Einzelnen

I. Pflicht zur Datenschutz-Folgenabschätzung (Absatz 1)

1. Entstehung

Mit Art. 35 wurde eine Datenschutz-Folgenabschätzung13 erstmals ausdrücklichnormiert. Allerdings hatten die EU-Kommission und die Art. 29-Gruppe bereitsAnfang 2013 bei der Vorbereitung für die Einführung intelligenter Messsysteme(smart grid) Empfehlungen für eine Datenschutz-Folgenabschätzung gegeben.14 Diedort niedergeschriebenen Überlegungen decken sich mit den in Art. 35 niederge-schriebenen Regelungen.15 Das britische Information Commissioner's Office (ICO)hatte ein eigenes generisches, d.h. nicht nur auf eine Technologie anwendbares Pri-vacy Impact Assessment-Modell (PIA-Modell) entwickelt und 2014 im Handbuch»Conducting privacy impact assessments – code of practice« veröffentlicht. Darinwird ein Verfahren beschrieben, das einer verantwortlichen Stelle hilft, die Risikeneines Projektes für die Privatheit zu identifizieren und zu reduzieren. Auch die franzö-sische Commission Nationale de l'Informatique et des Libertés (CNIL) hat entspre-chende Arbeitspapiere herausgegeben.16

Art. 33 DSGVO-KommE sah neben Vorgaben für eine Datenschutz-Folgenabschät-zung u.a. Ermächtigungen vor, dass die EU-Kommission durch delegierte RechtsakteKriterien und Bedingungen für Verarbeitungsvorgänge, die mit Risiken behaftet sind,sowie Standards und Verfahren für die Durchführung der Datenschutz-Folgenab-schätzung festlegen konnte. Die Fassung in Art. 33 DSGVO-ParlE war wesentlichausführlicher und sah zudem in einem Art. 33a die spätere Überprüfung der Daten-schutz-Folgenabschätzung vor.17 Im Rats-Entwurf wurde diese Regelung wiedergestrichen und auch Regelungen in Art. 33 DSGVO-RatE wurden wieder deutlich

12 Siehe hierzu die Kommentierung bei § 67 BDSG.13 Die englische Fassung der DSGVO benutzt den Begriff »Data protection impact assessment«.14 Vgl. Art. 29-Gruppe, WP 205 »Stellungnahme 4/2013 zum Muster für die Datenschutzfol-

genabschätzung (›Muster‹) für intelligente Netze und intelligente Messsysteme, erstelltdurch die Sachverständigengruppe 2 der Task Force der Kommission für intelligenteNetze« vom 22.04.2013, S. 3 f.

15 Schmitz/von Dall’armi, ZD 2017, 57.16 Friedewald/Obersteller/Nebel/Bieker/Rost, White Paper, S. 10 f. für das Handbuch des ICO

sowie S.11 f. für das Verfahren der CNIL, www.forum-privatheit.de/, zuletzt abgerufen am12.12.2017.

17 Vgl. Bericht des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres über den Vor-schlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natür-licher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenver-kehr (allgemeine Datenschutzverordnung) – A7–0402/2013 – vom 21.11.2013.

524 Raum Leseprobe


verschlankt. Das Ergebnis des Trilog-Verfahrens bildet einen Kompromiss zwischendem Parlaments- und dem Ratsentwurf.

2. Normadressat

Adressat der Regelung ist zunächst der Verantwortliche, nicht der Auftragsverarbei-ter und ebenso nicht der bDSB. Wer innerhalb der verantwortlichen Stelle dieDatenschutz-Folgenabschätzung vornimmt, liegt in dessen Organisationshoheit.Auch insoweit besteht eine Abweichung gegenüber der Vorabkontrolle nach § 4dAbs. 5 BDSG, die nach § 4d Abs. 6 Satz 1 BSDG vom bDSB durchzuführen ist. Esist allerdings zu erwarten, dass in der Praxis der bDSB mit der Durchführung derDatenschutz-Folgenabschätzung beauftragt werden wird.18

3. Pflicht zur Durchführung der Datenschutz-Folgenabschätzung

Soweit der Verarbeiter feststellt19, dass »eine Form der Verarbeitung, insbesonderebei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umständeund der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechteund Freiheiten natürlicher Personen« darstellt, ist er nach Abs. 1 Satz 1 verpflichteteine Datenschutz-Folgenabschätzung durchzuführen. »Rechte und Freiheiten natürli-cher Personen« verweist auf die Formulierung in Art. 52 Abs. 1 der EU-Grund-rechtscharta.20

Nach dem Wortlaut der Norm ist eine Datenschutz-Folgenabschätzung vor allem»bei Verwendung neuer Technologien« durchzuführen. Dies dient als Musterbei-spiel für das »Vorliegen eines hohen Risikos«.21 Diese Formulierung wurde erstwährend des Trilogs in die Vorschrift aufgenommen.22 Was unter dem Begriff »neueTechnologien« zu verstehen ist, wurde bewusst offen gehalten, um dem stetigen tech-nischen Fortschritt gerecht zu werden.23 Umfasst ist neben neuer Hardware und/oder Software auch die Anwendung neuentwickelter Verfahren, wie etwa CloudComputing oder Big Data. Auch die neuartige Verwendung bereits bewährter Tech-nologien kann besondere Risiken für die betroffenen Personen mit sich bringen undführt dazu, dass eine Datenschutz-Folgenabschätzung durchzuführen ist.24

18 Kramer, DSB 2016, 94, geht davon aus, dass die Datenschutz-Folgenabschätzung eineAufgabe des bDSB ist. Zur Beteiligung des bDSB siehe Rdn. 17 und Art. 39 Rdn. 4 und37.

19 Zur Durchführung der Datenschutz-Folgenabschätzung siehe Rdn. 39.20 Bieker/Hansen/Friedewald, RDV 2016,188.21 Ähnlich Schmitz/von Dall’armi, ZD 2017, 57.22 Vgl. BayLDA, Trilog – Synopse der DS-GVO Synopse, S. 377, www.lda.bayern.de/media/

baylda_synopse.pdf, zuletzt abgerufen 17.10.2016. Siehe auch v.d. Bussche, in: Plath,BDSG/DSGVO, Art. 35 Rn. 7.

23 Wybitul/Ströbl, BB 2016, 2307, 2308.24 Wybitul/Ströbl, BB 2016, 2307, 2308.

525Raum

8

9

10

Leseprobe

11

12

13

14


Die Vorschrift geht daher vom Begriff »Risiko« aus, worunter »ein Szenario miteinem Ereignis und dessen Konsequenzen (zu verstehen ist), das bezüglich seinerSchwere und seiner Eintrittswahrscheinlichkeit beurteilt wird«.25 Der Verantwortli-che hat daher zunächst einzuschätzen, ob ein Risiko vorliegt und wie groß es ist. Ermuss daher ein »Risikomanagement« etablieren, worunter »koordinierte Maßnah-men zur Leitung und Kontrolle einer Organisation unter besonderer Berücksichti-gung von Risiken« zu verstehen sind.26

Ein weiterer Grund, der die Datenschutz-Folgenabschätzung zur Folge hat, liegt vor,wenn der Verantwortliche Verarbeitungsvorgänge plant, die betroffenen Personen dieAusübung ihrer Rechte erschweren.27 Dies könnte etwa vorliegen, wenn beweiser-hebliche personenbezogene Daten gelöscht werden.28

Eine Datenschutz-Folgenabschätzung ist aber nicht nur dann durchzuführen, wenneine einzelne Datenverarbeitung im Fokus steht. ErwGr. 92 weist darauf hin, dasseine Datenschutz-Folgenabschätzung thematisch breiter angelegt sein kann, etwawenn mehrere Verantwortliche »eine gemeinsame Anwendung oder Verarbeitungs-plattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsameAnwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor,für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeiteinführen möchten«. In diesen Fällen ist es unabdinglich, dass die Verantwortlichen,aber auch deren bDSB, zusammenarbeiten. Es kann sich in diesen Fällen auch anbie-ten, den Rat der Aufsichtsbehörde einzuholen, auch wenn die Voraussetzungen desArt. 36 Abs. 1 nicht vorliegen.

Deutlich wird damit, dass das Risiko für das Recht auf informationelle Selbstbestim-mung der natürlichen Person bestehen muss. Ein Risiko für die Rechte und Freihei-ten des Betroffenen besteht nach der Rechtsprechung des EuGH in jeder Verarbei-tung personenbezogener Daten, die durch eine Einwilligung des Betroffenen odereine gesetzliche Grundlage gerechtfertigt sein muss.29 Ebenso wie bisher nicht jedeDatenverarbeitung einer Vorabkontrolle nach § 4d Abs. 5 und 6 BDSG bedurfte,30

25 Art. 29-Gruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortungder Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich einhohes Risiko mit sich bringt«, WP 248 Rev. 01 vom 04.10.2017, S. 6.

26 Art. 29-Gruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortungder Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich einhohes Risiko mit sich bringt«, WP 248 Rev. 01 vom 04.10.2017, S. 6; s.a. ISO 31000»Risc Management« sowie Art. 39 Rdn. 43.

27 ErwGr. 91 Satz 1.28 Wybitul/Ströbl, BB 2016, 2307, 2308.29 EuGH Urt. v. 09.11.2010 – C-92/09 und C-93/09 (Schecke und Eifert)), DuD 2011,137,

140; EuGH Urt. v. 08.04.2014 – C-293/12 und C-594/12 (Digital Rights Ireland undSeitlinger), CR 2015, 86, 87 unter Hinweis auf Art. 52 Abs. 1 EU-Grundrechtscharta.

30 So ausdrücklich für Art. 20 Abs. 1 EG-DSRL EuGH Urt. v. 09.11.2010 – C-92/09 undC-93/09 (Schecke und Eifert), DuD 2011, 137, 142.

526 Raum Leseprobe


verlangt auch Abs. 1 nicht für jede Datenverarbeitung die Vornahme einer Daten-schutz-Folgenabschätzung.31 Die Regelung verlangt ein »hohes Risiko«. Anhalts-punkte, wann ein hohes Risiko vorliegt, gibt die Aufzählung in Abs. 3 und die vonder Aufsichtsbehörde veröffentlichte Liste nach Abs. 4.

Die Datenschutz-Folgenabschätzung sollte nicht nur als gesetzlich vorgeschriebenePflichtaufgabe zu verstehen sein, derer man sich mit möglichst geringem Aufwand»entledigt«. Vielmehr ist es ein Instrument, mit dem Datenschutzrisiken erkanntund i.S.v. »Privacy by Design«32 vermieden werden können.33

4. Ausnahme von der Pflicht zur Datenschutz-Folgenabschätzung

Abs. 1 Satz 2 sieht vor, dass für die Prüfung »ähnlicher Verarbeitungsvorgänge«mit »ähnlich hohen Risiken« die Vornahme einer einzigen Datenschutz-Folgenab-schätzung ausreichen kann. In vielen Fällen wird die Entscheidung, ob die Verarbei-tungsvorgänge und Risiken »ähnlich« sind, problemlos sein. In anderen Fällen wirdes allerdings schwierig sein, zu entscheiden, ob die Datenverarbeitung ähnlich ist miteinem Fall, für den bereits eine Datenschutz-Folgenabschätzung vorgenommenwurde. Es ist anzunehmen, dass wegen des gewissen Aufwandes, den eine Daten-schutz-Folgenabschätzung erfordert, der Verantwortliche im Zweifel Ähnlichkeitannehmen wird.

Zudem soll keine umfangreiche Datenverarbeitung mit der Folge vorliegen, dass»eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein« soll,wenn Sie die »Verarbeitung personenbezogene Daten von Patienten oder von Man-danten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen einesGesundheitsberufes oder Rechtsanwalt erfolgt«.34 Diese Ausnahmemöglichkeitwurde erst durch die Vorschläge des Rates in die Diskussion eingeführt.35 Allerdingshatte der Vorschlag des Rates eine Möglichkeit zur Ausnahme von der Durchfüh-rungspflicht für Daten vorgesehen, die einem Berufsgeheimnis unterliegen und hatteals Beispiele »die Verarbeitung personenbezogener Daten von Patienten oder Kundendurch einen einzelnen Arzt, einen Angehörigen der Gesundheitsberufe, ein Kranken-haus oder einen Anwalt« aufgeführt. Im Trilogverfahren ist weggefallen, dass es sichum eine Verarbeitung handeln muss, die einem Berufsgeheimnis unterliegt. Zudemwurde das Beispiel Krankenhaus gestrichen. Damit wird deutlich, dass die Ausnah-memöglichkeit nicht für alle Berufsgeheimnisträger gilt, sondern nur für deneinzelnen niedergelassenen Arzt, einen sonstigen Angehörigen eines Gesundheits-

31 Siehe auch EU-Kommission, Pressemitteilung IP/15/6321 v. 15.12.2015, EuZW 2016,43.

32 Zum »Privacy by Design« siehe Art. 25 Rdn. 1 und 9 ff.33 Schmitz/Dall’Armi, ZD 2017, 57, 59; Wagner/Scheuble, ZD-Aktuell 2017, 05664; s.a. Frie-

dewald/Obersteller/Nebel/Bieker/Rost, White Paper, S. 6, www.forum-privatheit.de, zuletztabgerufen am 12.12.2017.

34 ErwGr. 91 Sätze 4 und 5.35 Vgl. Rats-Dok. 9565/2015 ErwGr. 71 Satz 4, S. 41.

527Raum

15

16

17

Leseprobe

18

19


berufs, wie etwa einen einzelnen Therapeuten oder Psychologen und einen Rechts-anwalt. Die Ausnahmemöglichkeit gilt aber nicht für Praxisgemeinschaften odergar ein Krankenhaus. Zudem bedeutet der Wortlaut des ErwGr. 91 keine Feststel-lung, dass bei einem kleinen Betrieb, insbesondere bei niedergelassenen Ärzten undRechtsanwälten auf keinen Fall eine Datenschutz-Folgenabschätzung durchgeführtwerden soll.36 Der Verordnungsgeber hat nicht die Ärzte, sonstige Gesundheitsberufeoder Rechtsanwälte als solche privilegieren wollen, sondern lediglich deren üblichePraxistätigkeit. Es sind also durchaus Fälle denkbar, in denen auch in einer Einzelpra-xis eines Arztes oder in einer Kanzlei eines Rechtsanwaltes eine Datenschutz-Folgen-abschätzung durchzuführen ist. Dies dürfte aber der große Ausnahmefall bleiben.Für andere Berufsgeheimnisträger, etwa Steuerberater, Wirtschaftsprüfer etc., giltdie Privilegierung ebenso wenig wie für die Verarbeitung von personenbezogenenDaten im Krankenhaus.

Vom Verordnungsgeber nicht angesprochen wurde die Frage, ob die Datenschutz-Folgenabschätzung nur für zukünftige, d.h. solche ab 25.05.2018 eingeführten Ver-arbeitungsprozesse durchgeführt werden muss oder auch Datenverarbeitungen einerderartigen Folgenabschätzung zu unterziehen sind, die bereits seit längerem durchge-führt werden und für die ggf. bereits eine Vorabkontrolle nach § 4d Abs. 5 und 6BDSG a.F. durchgeführt wurde. Der Wortlaut des Abs. 1 (»voraussichtlich«, »neueTechnologien«, »Folgen«) spricht einerseits zusammen mit dem generellen Geltungs-beginn der DSGVO für die Durchführung der Datenschutz-Folgenabschätzung nurfür künftige Datenverarbeitungen.37 Allerdings ist eine dahingehende Auslegungnicht zwingend, da sich die Anwendung der Datenschutz-Folgenabschätzung auf dieAbwendung hoher Risiken für die Rechte der betroffenen Personen richtet und dieseauch von bestehenden Datenverarbeitungen ausgehen.

Die Art. 29-Gruppe sieht das Erfordernis von Datenschutz-Folgenabschätzungen nurfür Datenverarbeitungen, die ab Geltung der DSGVO am 25.05.2018 durchgeführtwerden.38 Allerdings empfiehlt sie auch, dies für Datenverarbeitungen durchzufüh-ren, die derzeit entwickelt werden, um den daraus entstehenden Risiken hinreichendRechnung zu tragen.39 (WP-E 248, S. 11). Außerdem weist die Art. 29-Gruppedarauf hin, dass auch bei bisherigen Datenverarbeitungen eine Datenschutz-Folgen-

36 ErwGr. 91 S. 4 und 5 lauten: »Die Verarbeitung personenbezogener Daten sollte nicht alsumfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten odervon Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen einesGesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.«.

37 Wagner/Scheuble, ZD-Aktuell 2016, 05664, III,3.38 Art. 29-Gruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung

der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich einhohes Risiko mit sich bringt«, WP 248 Rev. 01 vom 04.10.2017, S. 16.


528 Raum Leseprobe


abschätzung erforderlich werden kann, wenn sich deren Ablauf signifikant ändert,etwa bei der Einführung neuer Technologien.40 Nichts spricht zudem dagegen, dassman bei Verarbeitungen für die bisher eine Vorabkontrolle nach § 4f Abs. 5 und6 BDSG a.F. durchgeführt wurde, diese Vorabkontrolle solange als durchgeführteDatenschutz-Folgenabschätzung – unter Beachtung der bestehenden Unterschiedezwischen Vorabkontrolle und Datenschutz-Folgenabschätzung – wertet, bis dieDatenverarbeitung durch ein neues Verfahren ersetzt wird oder durch signifikanteÄnderungen neu bewertet werden muss. Dies kann insbesondere bei der Verwendungneuer Technologien der Fall sein.41 Nach Auffassung der Art. 29-Gruppe ist nichtnur eine Datenschutz-Folgenabschätzung kontinuierlich zu überprüfen und regelmä-ßig zu erneuern, sondern eine solche kann auch für Datenverarbeitungen erforderlichwerden, für die sie bisher nicht verpflichtend ist.42

II. Beratung des Verantwortlichen durch den bDSB (Absatz 2)

Abs. 2 enthält die Verpflichtung des Verantwortlichen, bei der Durchführung derDatenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einzuholen.Die Pflicht des bDSB an der Datenschutz-Folgenabschätzung mitzuwirken, ergibtsich aus Art. 39 Abs. 1 lit. c.43

Die Rolle des bDSB war in Bezug auf die Datenschutz-Folgenabschätzung langeumstritten.44 Die Regelungen in der DSGVO sind weiterhin nicht vollständig aufei-nander abgestimmt. Abs. 2 weist einerseits dem bDSB lediglich eine beratendeFunktion bei der Datenschutz-Folgenabschätzung zu, während andererseits seineBeteiligung – sofern ein bDSB benannt wurde – obligatorisch ist. Demgegenüberwiederholt Art. 39 Abs. 1 lit. d einerseits diese Aufgabe des bDSB, schränkt sie inso-weit ein, soweit eine entsprechende Anfrage des Verantwortlichen vorliegt, und trägtdem bDSB andererseits zusätzlich die Aufgabe der Überwachung ihrer Durchfüh-rung auf.

Die Einschränkung »sofern ein solcher benannt wurde« kann durchaus als Reaktionauf die Regelung in § 4f Abs. 1 Satz 5 BDSG a.F. verstanden werden, wonach einbDSB zu bestellen war, wenn bei der verantwortlichen Stelle eine Vorabkontrolle



42 Art. 29-Gruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortungder Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich einhohes Risiko mit sich 248 Rev. 01 vom 04.10.2017, S. 17.

43 Siehe auch Art. 39 Rdn 8.44 Klug, RDV 2013, 14, 16; Klug, RDV 2014, 90, 92 bei Fsn. 18; Klug, ZD 2016, 315,

318.

529Raum

20

21

22

Leseprobe

23

24

25


nach § 4d Abs. 5 und 6 BDSG a.F. durchgeführt werden musste. Abs. 2 stellt demge-genüber klar, dass allein aus dem Grund, dass eine Datenschutz-Folgenabschätzungdurchgeführt werden muss, noch keine Pflicht zur Benennung eines bDSB besteht.Er ist nur dann zur Rate zu ziehen, sofern ein bDSB benannt wurde. Es gilt aller-dings auch, dass der Verantwortliche die Datenschutz-Folgenabschätzung durchfüh-ren muss, auch wenn er keinen bDSB benannt hat.45

Nach Art. 39 Abs. 1 lit. c hat der bDSB allerdings die Aufgabe, die ordnungsge-mäße Durchführung der Datenschutz-Folgenabschätzung zu überwachen.46

Auch wenn durch Abs. 2 klargestellt ist, dass der bDSB lediglich durch seinen Ratbeitragen soll, wird in der Praxis dieser wohl häufig mit der Aufgabe ganz betrautwerden.47 Der Verantwortliche wird sicherlich überlegen, wer in seinem Verantwor-tungsbereich die erforderliche Fach- und Sachkenntnis zur Durchführung einerDatenschutz-Folgenabschätzung vorweisen kann. In aller Regel wird der Verant-wortliche auf eine sehr übersichtliche Anzahl kommen und häufig wird der bDSB dieeinzige Person sein, die in der Lage ist, für den Verantwortlichen die Datenschutz-Folgenabschätzung durchzuführen. Führt der bDSB die Datenschutz-Folgenabschät-zung selbst durch, kann dies einen Interessenskonflikt für den bDSB darstellen, dennseine Aufgaben im Zusammenhang mit der Datenschutz-Folgenabschätzungbeschränken sich grundsätzlich auf die Beratung (s. Rdn. 21) und die Überwachungder ordnungsgemäßen Durchführung (s. Rdn. 23). Diese Situation sollte daher ver-mieden werden, was in kleineren Organisationen (Unternehmen und Behörden)jedoch in der Praxis kaum erreichbar sein dürfte. Der Hinweis, dass ein Team dieDatenschutz-Folgenabschätzung durchführt und dieses »über ausreichende Ressour-cen und – idealerweise auch interdisziplinäre – Kompetenz verfügen (sollte), um eineobjektive Analyse zu ermöglichen«,48 erscheint ein wenig praxisfern und orientiertsich an (sehr) großen Organisationen, bei denen eine entsprechende Kapazität, z.B.durch getrennte Zuständigkeiten für Rechts-, IT- und/oder Organisationsfragen vor-handen sein kann. Die große Mehrzahl der verantwortlichen Stellen, die einen bDSBbenennen, werden kein derartiges interdisziplinäres Team vorweisen können.

Allerdings ist es durchaus sinnvoll, ein Team mit der Aufgabe der Durchführungder Datenschutz-Folgenabschätzung zu beauftragen. Jedoch sollte die Zusammen-setzung des Teams wie folgt aussehen:– eine Person, die über spezielle Kenntnisse im Risikomanagement verfügt,

45 Bausewein/Steinhaus, in, Wybitul, Handbuch DSGVO, Art. 35 Rn. 18.46 Siehe auch Art. 39 Rdn 8.47 Marschall/Müller, ZD 2016, 415, 419, weisen darauf hin, dass nicht eindeutig geregelt sei,

ob dem bDSB diese Aufgabe übertragen werden könne. Ebenso Ettig/Bausewein, in, Wybi-tul, Handbuch DSGVO, Art. 39 Rn. 22.

48 Bieker/Hansen/Friedewald, RDV 2016,188. 190, ebenso bereits Friedewald/Obersteller/Nebel/Bieker/Rost, White Paper, S. 21 f., www.forum-privatheit.de, zuletzt abgerufen am12.12.2017.

530 Raum Leseprobe

19

20

21

Art. 37 Benennung eines Datenschutzbeauftragten

V. Pflicht zur vorherigen Konsultation außerhalb der Datenschutz-Folgenabschätzung (Absatz 5)

Abs. 5 ermöglicht es den Mitgliedstaaten, Verantwortliche auch ohne die Vorausset-zungen des Abs. 1 zu verpflichten, bei der Datenverarbeitung zur Erfüllung einer imöffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zweckender sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zukonsultieren und deren vorherige Genehmigung einzuholen. Es bleibt abzuwarten,ob die deutschen Bundes- und Landesgesetzgeber von dieser ErmächtigungGebrauch machen.

Eine Genehmigungspflicht für Datenverarbeitungen ist dem deutschen Recht bislangeher fremd. Auch die bisherigen Datenschutzaufsichtsbehörden sind grundsätzlichkeine Genehmigungsbehörden. Genehmigungsvorbehalte für Datenverarbeitungengibt es etwa nach § 4c Abs. 2 BDSG, wonach die zuständige Aufsichtsbehörde ein-zelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezoge-ner Daten an Drittstaaten genehmigen kann. Zudem regelt § 75 SGB X, dass Sozial-leistungsträger für die Übermittlung von Sozialdaten i.S.v. § 67 Abs. 1 SGB X anWissenschaftler zu Forschungszwecken die Genehmigung des zuständigen Sozialmi-nisteriums oder ihrer staatlichen Aufsichtsbehörde benötigen.

C. Mitgliedstaatlicher Spielraum

Es ist fraglich, ob es in der Praxis häufig zu Konsultationsverfahren nach Art. 36kommen wird.15 Einerseits besteht zwar eine Pflicht, das Konsultationsverfahren ein-zuleiten. Andererseits sind die Anforderungen für das Konsultationsverfahren sehrhoch. Der Verantwortliche muss der Überzeugung sein, dass ihm keine in Bezugauf verfügbare Technologien und Implementierungskosten vertretbaren Mittel zurVerfügung stehen, um das durch die Datenverarbeitung entstehende Risiko für dieRechte und Freiheiten der Betroffenen einzudämmen. Dies dürfte nur äußerst seltender Fall sein. In aller Regel dürfte der Verantwortliche bei der Datenschutz-Folgenab-schätzung nach Art. 35 feststellen, dass ihm derartige Mittel zur Verfügung stehen.Zudem muss der Verantwortliche feststellen, dass trotz des nicht zu minimierendenRisikos die Datenverarbeitung unbedingt erforderlich ist. Fehlt diese Feststellung, istdie Datenverarbeitung unzulässig und muss daher unterbleiben.

Abschnitt 4 Datenschutzbeauftragter


(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Falleinen Datenschutzbeauftragten, wenn

15 Ebenso skeptisch Bausewein/Steinhaus, in, Wybitul, Handbuch DSGVO, Art. 36 Rn. 4.

552 Raum Leseprobe

Benennung eines Datenschutzbeauftragten Art. 37

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführtwird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätig-keit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in derDurchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrerArt, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßigeund systematische Überwachung von betroffenen Personen erforderlichmachen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in derumfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Arti-kel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungenund Straftaten gemäß Artikel 10 besteht.

(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftrag-ten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragteleicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter umeine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behördenoder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrerGröße ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortli-che oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, dieKategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einenDatenschutzbeauftragten benennen; falls dies nach dem Recht der Union oderder Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. DerDatenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen,die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichenQualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebietdes Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grund-lage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oderdes Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage einesDienstleistungsvertrags erfüllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kon-taktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbe-hörde mit.

ErwGr. 97 Sätze 1–4: In Fällen, in denen die Verarbeitung durch eine Behörde – mitAusnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrerjustiziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichenerfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige

553RaumLeseprobe


und systematische Überwachung der betroffenen Personen in großem Umfang erfor-dern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeitersin der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenenDaten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht,sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung derinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Per-son, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Daten-schutzverfahren verfügt, unterstützt werden. Im privaten Sektor bezieht sich dieKerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf dieVerarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveaudes Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbei-tungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichenoder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derar-tige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen umBeschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgabenin vollständiger Unabhängigkeit ausüben können.

Literatur:Abel Möglichkeiten zu verbessertem Datenschutz, NJW 1980, 1613; Abel Behördliche Daten-schutzbeauftragte, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 5.6, S. 889–911;Abel Der behördliche Datenschutzbeauftragte, MMR 2002, 289–294; Albrecht/Jotzo Das neueDatenschutzrecht der EU, 2017; Artikel-29-Datenschutzgruppe, Guidelines on Data Protec-tion Officers (»DPOs«) vom 13.12.2016 (WP 243), abrufbar unter http://ec.europa.eu/news-room/just/item-detail.cfm?item_id=50083; BfDI DInfo 4 – Die Datenschutzbeauftragten inBehörde und Betrieb, 12. Aufl. April 2017; Bittner, Der Datenschutzbeauftragte gemäß EU-DSGVO-Entwurf, RDV 2014,183–189; Dammann Erfolge und Defizite der EU-Datenschutz-grundverordnung – Erwarteter Fortschritt, Schwächen und überraschende Innovationen, ZD2016, 307–314; Dix/Kipker EAID: Datenschutz-Grundverordnung – (wie) müssen das deut-sche und das europäische Recht geändert werden?, ZD-Aktuell 2016, 04197; Dzida/KröbelinKann ein Betriebsratsmitglied zugleich Datenschutzbeauftragter sein?, NZA 2011, 1018–1021;Brink Der betriebliche Datenschutzbeauftragte – eine Annäherung, ZD 2012, 55–59; Eck-hardt/Kramer EU-DSGVO – Diskussionspunkte aus der Praxis, DuD 2013,287; Eckhardt/Kra-mer/Mester Auswirkungen der geplanten EU-DSGVO auf den deutschen Datenschutz, DuD2013,623–630; Ehmann Verankerung des betrieblichen DSB in der Grundverordnung, DS-Praxis 2016 (Heft 2), 1, 5–7; Ehmann Die Bestellung zum Datenschutzbeauftragten, Daten-schutz-Praxis 2017 (Heft 9), S. 1–5; Eßer, Verbündete des behördlichen Datenschutzbeauftrag-ten, DSB 2010 (Heft 9), 13–15; Franck/Reif Kündigung eines stellvertretenden Datenschutzbe-auftragten – Anm. zu ArbG Hmb – 27 Ca 486/15, ZD 2016, 339–340; Gliss Funktion desDatenschutzbeauftragten – Gibt es Inkompatibilitäten?, DSB 2002 (Heft 6), 14–15; Gürtler-Bayer Der behördliche Datenschutzbeauftragte, Diss. Münster 2014; Hallermann Wann ist derDatenschutzbeauftragte fachkundig und unabhängig, DuD 2012, 122–125; Hamann Europäi-sche Datenschutz-Grundverordnung – neue Organisationspflichten für Unternehmen; BB2017, 1090–1997; Härting Datenschutz-Grundverordnung, 2016; Imping Neue Zeiten im(Beschäftigten-) Datenschutz, CR 2017, 378–388; Höppner Anm. zu BAG, Urteil vom23.03.2011 –10 AZR 562/09 –, jurisPR-ITR 7/2012 Anm. 3; Hoeren Der betriebliche Daten-schutzbeauftragte – Neuerungen durch die geplante DSGVO, ZD 2012, 355–358; Hümme-rich/Kniffka Die Entwicklung des Datenschutzrecht im Jahre 1978, NJW 1979, 1182–1189;Jaspers/Reif Der Datenschutzbeauftragte nach der Datenschutzgrundverordnung – Bestell-

554 Raum Leseprobe


pflicht, Rechtstellung und Aufgaben, RDV 2016,61; Jaspers/Reif Der betriebliche Datenschutz-beauftragte nach der geplanten EU-Datenschutz-Grundverordnung – ein Vergleich mit demBDSG, RDV 2012, 78–84; Johannes Gegenüberstellung – Der Datenschutzbeauftragte nachDSGVO, JI-Richtlinie und zukünftigem BDSG, ZD-Aktuell 2017, 05794; Kahlert/Licht Dieneue Rolle des Datenschutzbeauftragten nach der DSGVO – Was Unternehmen zu beachtenhaben, ITRB 2016, 178–182; Knopp, Dürfen juristische Personen zum bDSB bestellt werden,DuD 2016,98–102; Kort Was ändert sich für Datenschutzbeauftragte, Aufsichtsbehörden undBetriebsrat mit der DSGVO?, ZD 2017, 3–7; Kramer Juristische Personen als Datenschutzbe-auftragte, DS-Berater 2017,193; Kremer/Garsztecki Die Pflicht zur Benennung eines Daten-schutzbeauftragten nach der Datenschutz-Grundverordnung (DSGVO) und dem BDSG-neu,AnwZert ITR 14/2017 Anm. 3; Lambertz Unabhängigkeit des betrieblichen DSB, DS-Praxis2014 (Heft 1), 1–6–7; Lantwin Risikoberuf Datenschutzbeauftragter?, ZD 2017, 411–413;Laue/Nink/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, 2016; Marschall/Müller Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO, ZD 2016,415; Mosing Änderungen in Österreich aufgrund der Datenschutz-Grundverordnung – Teil 2:Der Datenschutzbeauftragte kommt, PinG 2016, 220–222; Probst Konfliktmanagement fürDatenschutzbeauftragte, DSB 2011 (Heft 12),16–17; Reinhard Interner Datenschutzbeauftrag-ter im Konzern – Bestellung, Widerruf und Kündigung, NZA 2013, 1049–1055; Schefzig DerDatenschutzbeauftragte in der betrieblichen Datenschutzorganisation, ZD 2015, 503–507;Strecker Die Zukunft des Die Unkündbarkeit des interne Datenschutzbeauftragten, BB 2011,1203; Weber Der betriebliche Datenschutzbeauftragte im Lichte der EG-Datenschutzrichtlinie,DuD 1995, 698–702; Weichert Die Zukunft des Datenschutzbeauftragten, CuA 2016 (Heft 3),S. 8–12; Wichtermann Einführung eines Datenschutz-Management-Systems im Unterneh-men – Pflicht oder Kür – Kurzüberblick über die Erweiterungen durch die DSGVO, ZD 2016,421–422 Wybitul/von Gierke Checklisten zur DSGVO – Teil 2 – Pflichten und Stellung desDatenschutzbeauftragten im Unternehmen, BB 2017,181–185

Übersicht Rdn.A. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1I. Europaweite Einführung des internen Datenschutzbeauftragten. . . . . . . . . . . . 1II. Entwicklung in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6III. Status des bDSB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11IV. Funktion des bDSB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12IV. Voll- oder Teilzeit-bDSB; bDSB für bestimmte Bereiche . . . . . . . . . . . . . . . . 17

1. BDSB als Vollzeit- oder Teilzeitjob . . . . . . . . . . . . . . . . . . . . . . . . . 172. bDSB für bestimmte Bereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

V. Juristische Person als bDSB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27B. Kommentierung im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28I. Obligatorische Benennung der oder des bDSB (Abs. 1) . . . . . . . . . . . . . . . . 28

1. Entstehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282. Normadressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333. Pflicht zur Benennung eines Datenschutzbeauftragten . . . . . . . . . . . . . 35

a) Neue Terminologie der DSGVO . . . . . . . . . . . . . . . . . . . . . . . 36b) Voraussetzung für die Pflicht zur Benennung eines bDSB . . . . . . . 38aa) Benennungspflicht für Behörden und öffentliche Verwaltungen . . . . 39bb) Benennungspflicht für nicht-öffentliche Stellen . . . . . . . . . . . . . . 42

4. Zeitpunkt der Benennung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485. Form der Benennung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496. Dauer der Benennung zum bDSB. . . . . . . . . . . . . . . . . . . . . . . . . . 507. Beteiligung der Personalvertretung bei der Benennung . . . . . . . . . . . . . 55

555RaumLeseprobe

1


Rdn.II. Gemeinsamer Datenschutzbeauftragter im Konzern (Absatz 2) . . . . . . . . . . . . 56III. Gemeinsamer Datenschutzbeauftragter bei öffentlichen Stellen (Absatz 3) . . . . . 62IV. Die »Öffnungsklausel« (Absatz 4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

1. Freiwillige Benennung eines Datenschutzbeauftragten. . . . . . . . . . . . . . 672. Obligatorische Benennung eines Datenschutzbeauftragten aufgrund natio-

nalen Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683. Obligatorische Benennung eines Datenschutzbeauftragten aufgrund Union-

rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704. bDSB eines Verbandes oder einer Vereinigung von Verantwortlichen oder

Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71V. Qualifikation des Datenschutzbeauftragten (Absatz 5). . . . . . . . . . . . . . . . . . 73

1. »Fachwissen« . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75a) Juristische Kenntnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84b) Betriebswirtschaftliche Kenntnisse . . . . . . . . . . . . . . . . . . . . . . 86c) IT-Kenntnisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87d) Kenntnis über die Verhältnisse beim Verantwortlichen oder beim

Auftragsverarbeiter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88e) Kenntnisse im Datenschutzmanagement (Datenschutzpraxis) . . . . . 89

2. »Soziale Kompetenz« . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91a) Zuverlässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95b) Verschwiegenheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97c) Kommunikationsfähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . 98d) Hohe Arbeitsqualität, Sorgfalt. . . . . . . . . . . . . . . . . . . . . . . . . 99e) Berufliche Erfahrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

3. Inkompatibilitäten bei der Benennung zum bDSB . . . . . . . . . . . . . . . 101VI. Externer Datenschutzbeauftragter (Absatz 6) . . . . . . . . . . . . . . . . . . . . . . . 102VII. Transparenz des Datenschutzbeauftragten (Absatz 7) . . . . . . . . . . . . . . . . . . 106VIII. Beendigung der Tätigkeit als bDSB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110C. Sanktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111D. Mitgliedstaatlicher Spielraum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

A. Allgemeines

I. Europaweite Einführung des internen Datenschutzbeauftragten

Mit der DSGVO wird nicht nur erstmals die Institution des internen Datenschutz-beauftragten in Behörden und Unternehmen EU-weit verbindlich geregelt, sondernsie schreibt die Benennung1 eines bDSB für bestimmte Bereiche sogar europaweitverbindlich vor. In den meisten Mitgliedstaaten wird damit die Institution desbDSB überhaupt erst eingeführt. Nur in wenigen Mitgliedstaaten war bislang auf

1 Zum Begriff »Benennung« siehe Rdn. 35 ff.

556 Raum Leseprobe


freiwilliger Basis in Unternehmen ein bDSB anzutreffen.2 Erfreulicherweise über-nimmt die DSGVO das in Deutschland bewährte Modell des unabhängigen bDSB.3In der Literatur geht man davon aus, dass die Bedeutung des bDSB auch in Deutsch-land gegenüber der heutigen Rechtslage noch zunehmen wird.4

Das deutsche Modell eines internen DSB hatte in Europa zunächst wenig Anhängergefunden. Während der betrieblichen DSB in den §§ 36, 37 BDSG'1977 bereitsMitte/Ende der 1970'er Jahre eingeführt wurde und die Bundesbehörden in den1980'er Jahren die Bestellung eines behördlichen Datenschutzbeauftragten als eineMöglichkeit sahen, der Pflicht zur Organisation des Datenschutzes in der Behördenach § 18 BDSG'1977 nachzukommen, setzten die übrigen EU-Mitgliedstaatenzunächst weitgehend auf eine reine externe Kontrolle der Einhaltung datenschutz-rechtlicher Bestimmungen. Es bedurfte daher bei den Beratungen zur EG-DSRLeinige Überzeugungsarbeit, damit der Datenschutzbeauftragte überhaupt in der EG-DatSchRL berücksichtigt wurde.5

Im internationalen Bereich waren bDSB eher selten. Schweden, die Niederlande,Luxemburg, die Slowakei und Spanien haben im Rahmen der Umsetzung der EG-DSRL in ihr nationales Recht Gebrauch von der Möglichkeit des Art. 18 Abs. 2EG-DSRL gemacht, interne DSB vorzusehen. 2004 führte Frankreich6 den internenDatenschutzbeauftragten optional ein. Dies ist besonders deshalb zu erwähnen, dadie französische Delegation im Rahmen der Verhandlungen zur inhaltlichen Ausge-staltung der EG-Datenschutzrichtlinie eine dezentrale Datenschutzkontrolle abge-lehnt hatte.7

Bei den Verhandlungen zur DSGVO war die Regelung über den bDSB einer derpolitisch umstrittensten Punkte.8 Die Kommission hatte in Art. 35 ihres Vor-schlags vorgesehen, dass alle Unternehmen mit mehr als 250 Mitarbeitern einen

2 BDSB gab es bislang lediglich in Frankreich, Luxemburg, den Niederlanden, Österreich,der Slowakei und Spanien auf freiwilliger Basis. In Österreich waren 2008 und 2012 Versu-che, den bDSB bei Novellierungen des österreichischen Datenschutzgesetzes verpflichtendzu etablieren, an den Widerständen von Interessenvertretungen gescheitert, vgl. Mosing,PinG 2016, 220.

3 Siehe auch die Stellungnahme des Deutschen Bundestages aufgrund der Vorlage der CDU/CSU-Fraktion und der FDP-Fraktion vom 06.11.2012, BT-Drs. 17/11325, Abschnitt II.,Nr. 21 sowie die Beschlussempfehlung des Innenausschusses vom 11.12.2012, BT-Drs. 17/11810.

4 Wybitul/von Gierke, BB 2017,181.5 Klug, RDV 2005, 163, 164; s.a. Königshofen in: Roßnagel, Handbuch Datenschutzrecht,

2003, Kap. 5.5 Rn. 14.6 Mit dem Loi n°2004–801 vom 06.08.2004 wurde in Art. 22 Abs. 3 des Loi n. 78–17 du

6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés die Möglichkeit zurBestellung eines bDSB eingeführt.

7 Klug, RDV 2005, 163.8 Albrecht/Jotzo Teil 5 Rn. 16; v.d. Bussche, in: Plath, BDSG/DSGVO, Art. 37 Rn. 1, ausführ-

licher unten Rdn. 17 ff.

557Raum

2

3

4

Leseprobe

5


solchen Beauftragten zu bestellen hätten.9 Das Europäische Parlament folgte demVorschlag der europaweiten Einführung eines bDSB, knüpfte die Pflicht zur Bestel-lung aber daran, wie viele Personen die Datenverarbeitungsprozesse betreffen.10 Dieshätte dazu geführt, dass nahezu alle Unternehmen einen bDSB hätten bestellen müs-sen. Der Rat war in dieser Frage gespalten. Auf der einen Seite warben Deutschlandund Österreich aufgrund ihrer eigenen Rechtstraditionen für das Konzept desbetrieblichen Datenschutzbeauftragten. Die Mehrheit im Rat lehnte die Benen-nungspflicht dagegen strikt ab, da sie diese für eine zu hohe Kostenbelastung hiel-ten.11 Am Ende konnten sich die Befürworter des internen Datenschutzbeauftragtendurchsetzen, sodass Verantwortliche jedenfalls in folgenden Fällen einen Beauftragtenbenennen müssen:– Behörden mit Ausnahme der Gerichte (Abs. 1 lit. a), soweit diese im Rahmen

ihrer justiziellen Tätigkeit handeln,– Verantwortliche und Auftragsverarbeiter, deren Kerntätigkeit eine umfangreiche

und systematische Überwachung erfordert (Abs. 1 lit. a)– besonders geschützte Daten (Art. 9 und 10 DSGVO) betrifft(Abs. 1 lit. c).

Die Sicherstellung des Datenschutzes in den Behörden und Betrieben durch bDSBhat sich in Deutschland bewährt. Daher ist es zu begrüßen, dass die DSGVOgrundsätzlich diese Institution europaweit einführen will. Für die meisten EU-Mit-gliedstaaten ist die Einführung eines bDSB neu. Befürchtungen, dass sich fürDeutschland erhebliche Nachteile für den Datenschutz ergeben könnten, falls dernationale Gesetzgeber nicht von der »Öffnungsklausel« des Art. 37 Abs. 4 DSGVOGebrauch macht, da nur wenige nicht-öffentliche Stellen unter die Voraussetzungendes Art. 37 Abs. 1 lit. b) und c) DSGVO fallen12, haben sich zum Glück nichtbestätigt. Mit dem § 38 BDSG i.d.F des Datenschutz-Anpassungs- und -Umset-zungsgesetz EU vom 30.06.201713 wurde in Deutschland von der von der Öff-nungsklausel des Art. 37 Abs. 4 Satz 1 2.Halbs. Gebrauch gemacht, wobei sich derGesetzgeber inhaltlich weitgehend an den bisherigen § 4f Abs. 1 BDSG a.F. ange-lehnt hat.14 Danach haben nichtöffentliche Stellen eine Datenschutzbeauftragte odereinen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehnPersonen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.15

9 Art. Art. 35 Abs. 1 DSGVO-KommE.10 Art. 35 Abs. 1 DSGVO-ParlE stellte auf die Verarbeitung personenbezogener Daten durch

eine juristische Person ab und verlangte eine obligatorische Benennung eines bDSB, wenndie Datenverarbeitung sich auf mehr als 5.000 betroffene Personen innerhalb eines Zeitrau-mes von zwölf aufeinanderfolgenden Monaten bezog.

11 Albrecht/Jotzo Teil 5 Rn. 16; v.d. Bussche, in: Plath, BDSG/DSGVO, Art. 37 Rn. 1.12 Siehe hierzu 5. Aufl. zu § 4f BDSG a.F. Rn. 162 und Art. 37 DSGVO Rn. 16 und 17.13 BGBl. I S. 2097, 2113.14 Siehe hierzu 5. Aufl. zu § 4f BDSG a.F. Rn. 162 und Art. 37 DSGVO Rn. 16 und 17

sowie Härting, Datenschutz-Grundverordnung, Rn. 10.15 Siehe § 38 BDSG Rdn. 6 ff.

558 Raum Leseprobe


II. Entwicklung in Deutschland

Bereits mit dem ersten BDSG war durch das Gesetz vom 27.01.197716 der betriebli-che DSB in den §§ 28, 29 eingeführt worden.17 Den bDSB gab es in Deutschlandbeim Inkrafttreten der EG-DSRL vom 24.10.1995 daher bereits seit fast zwei Jahr-zehnten. Der bDSB ersetzt die staatliche Kontrolle nicht, sondern ergänzt und entlas-tet diese.18 Der Gesetzgeber hatte sich in den 1970er Jahren nach entsprechendenDiskussionen bewusst für ein zweistufiges Kontrollsystem,19 in Behörden und Unter-nehmen mit einer Personalvertretung für ein dreistufiges Kontrollsystem20 ent-schieden. Dieses Regelungsmodell einer teilweisen betrieblichen Eigenkontrolledurch den bDSB, hat sich in der Vergangenheit im Kern als wirksam und wenigerbürokratisch als eine umfassende staatliche Aufsicht bewährt. Nachdem mit demGesetz vom 27.01.1977 der betriebliche DSB gesetzlich eingeführt worden war, wur-den im gleichen Jahr noch die ersten bDSB bestellt. Zwei Jahre später zeigte mansich verwundert, dass die Anforderungen an den bDSB noch nicht abgeklärtwaren,21 und heute muss man feststellen, dass auch fast vier Jahrzehnte nach Einfüh-rung des bDSB die Diskussion um dieses Amt noch nicht beendet ist. Dabei wurdebereits unmittelbar nach Einführung des bDSB gefordert, seine Position im in denUnternehmen zu stärken und aufzuwerten.22 Bei den Beratungen zur EG-DSRLmusste Deutschland den bDSB verteidigen und für das deutsche System der Daten-schutzkontrolle mit staatlicher Aufsicht und interner Kontrolle in der verantwortli-chen Stelle vehement eintreten, da andere Mitgliedstaaten eher auf eine verstärkteMeldepflicht setzten.23

Mit dem Gesetz vom 18.08.198024 wurden nur die öffentlich-rechtlichen Sozial-leistungsträger durch die Bezugnahme auf die §§ 28 und 29 BDSG'1977 mit Wir-kung zum 01.01.1981 gesetzlich verpflichtet, behördliche DSB einzuführen. Dabeiwar bereits in der amtlichen Begründung zum BDSG'1977 angeregt worden, fürjeden Geschäftsbereich und bei großen Geschäftsbereichen für eine einzelne Bundes-behörde einen für den Datenschutz zuständigen Beamten zu bestellen.25 Auch die

16 Amtliche Begründung zu § 38 BDSG n.F., BT-Drs. 18/11325, S. 107.17 Zur Entwicklung der Regelung Simitis, in: Simitis, BDSG, § 4f Rn. 1 ff., insoweit muss

der Behauptung Mosings, die DSRL habe die »Figur des Datenschutzbeauftragten«, welcherdie Datenverarbeitungen innerhalb der Organisationen kontrollieren sollte, erfunden(Mosing, PinG 2016, 220), deutlich widersprochen werden. Zum Zeitpunkt der Verab-schiedung der DSRL gab es den bDSB in Deutschland bereits seit fast zwei Jahrzehnten.

18 So auch Petri, in: Simitis, BDSG 8. Aufl., § 4d Rn. 3.19 Simitis, in: Simitis, BDSG, § 4d Rn. 2.20 Siehe auch Kiesche/Wilke, CuA 2013 (Heft 5), 26.21 Hümmerich/Kniffka, NJW 1979, 1182, 1187.22 Abel, NJW 1980, 1613.23 Ausführlich zum Entstehen der EG-DSRL Weber, DuD 1995, 698–702.24 Sozialgesetzbuch (SGB) –Verwaltungsverfahren –(Zehntes Buch Sozialgesetzbuch) vom

18.08.1980, BGBl. I S. 1469.25 BT-Drs. 7/1027, S. 27.

559Raum

6

7

Leseprobe

8


amtliche Begründung zur Novellierung des BDSG im Jahr 1990 wies darauf hin,dass § 18 Abs. 1 BDSG’1990 auch die Ermächtigung enthielt, zur Erfüllung derSicherstellung des Datenschutzes einen internen Datenschutzbeauftragten zu bestel-len.26 Gleichwohl sahen es die meisten Bundesbehörden bereits in den 1980'er Jah-ren als eine Möglichkeit an, in der die Bestellung eines behördlichen DSB, derPflicht zur Organisation des Datenschutzes in der Behörde nach § 18 BDSG'1977nachzukommen.27 So hatte das BMI bereits in den »Grundsätze zur Datensicherungin der Bundesverwaltung« vom 19.01.197828 empfohlen, einen Datenschutzbeauf-tragten/Beauftragten für Datensicherung zu benennen. Abel hat allerdings zu Rechtfestgestellt, dass mangels gesetzlicher Funktionsbeschreibung und Aufgabenübertra-gung der behördliche DSB lange Zeit der »unbekannte Kontrolleur« blieb, der sichnolens volens der Pflichtübung Datenschutz unterzog.29 Dies galt jedenfalls für einegroße Zahl der bestellten bDSB. Nicht verschwiegen werden darf allerdings auch,dass es auch zu dieser Zeit eine Reihe engagierter behördlicher DSB gab, die ihrenNachfolgern bereits ein gut bestelltes Feld hinterließen. Da die meisten Bundesbe-hörden bereits vor Inkrafttreten des § 4f BDSG a.F., mit dem alle Bundesbehördenverpflichtet wurden, einen bDSB zu bestellen, eine oder einen bDSB bestellt hatten,gab es bei der Umsetzung dieser Regelung wenig Probleme. Handlungsdruck hattefür den bundesdeutschen Gesetzgeber die EG-DSRL erzeugt, in dem sie ohne diebisherige Unterscheidung zwischen öffentlichem und privatem Bereich in Art. 18Abs. 2 EG-DSRL alle verantwortlichen Stellen – d.h. also auch die öffentlichen Stel-len – einer Meldepflicht unterwirft, die nach Abs. 2 dieser Regelung durch dieBestellung eines bDSB ersetzt werden konnte.30

Auch in den Ländern war in der Regel keine gesetzliche Verpflichtung zur Bestel-lung eines behördlichen DSB in den LDSG zu finden. Nur in Berlin (§ 19 Abs. 5blnLDSG a.F.),31 Hessen (§ 5 Abs. 2 hessLDSG a.F.)32 und Niedersachsen (§ 8Abs. 3 ndsLDSG a.F.)33 gab es bis zur jeweiligen Anpassung der LDSG an die Vorga-

26 BT-Drs. 11/4306, S. 45.27 Abel, MMR 2002, 289; Koch, Der betriebliche Datenschutzbeauftragte, S. 20; Vogelgesang,

CR 1993, 378; Weber, DuD 1995, 698, 699.28 GMBl. 1978, 43, 44.29 Abel, MMR 2002, 289.30 Abel, MMR 2002, 289.31 In der Fassung des Gesetzes zum Schutz personenbezogener Daten in der Berliner Verwal-

tung (Berliner Datenschutzgesetz) vom 17.12.1990 (GVBl. 1991 S. 16, ber. S. 54) bekamder bDSB mit § 19a einen eigenen Paragrafen, in dem u.a. bereits die Aufgaben Vorab-kontrolle, Überwachung und Beratung vorgesehen waren (§ 19a Abs. 1). Auch das Rechtauf Teilnahme an Fort- und Weiterbildungsmaßnahmen, das auf Bundesebene erst 2009in das BDSG eingeführt wurde (hierzu Art. 38 Rdn. 9, 15), war in § 19a Abs. 5blnLDSG'1990 bereits enthalten.

32 Eingeführt durch das Hessische Datenschutzgesetz in der Fassung vom 11.11.1986, GVBl.S. 309, 311.

33 Eingeführt durch das Niedersächsischen Datenschutzgesetzes in der Fassung vom17.06.1993 (Nds. GVBl. S. 141).

560 Raum Leseprobe


ben der EG-DSRL gesetzlich geregelte bDSB für die Landesbehörden. Zusätzlichhatte noch Bayern durch eine Verwaltungsvorschrift34 die Bestellung eines bDSB inden bayerischen Landesbehörden vorgesehen. Wie bei den Bundesbehörden gehörtedie Bestellung eines bDSB bei den Landesbehörden der übrigen Bundesländer zuden organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes.

Deutliche Änderungen erfuhr § 4f BDSG a.F. durch das Erste Mittelstandsentlas-tungsgesetz vom 22.08.200635 sowie durch das Gesetz vom 14.08.2009.36 Das ErsteMittelstandsentlastungsgesetz hob den Schwellenwert für die betriebliche Bestel-lungspflicht von »vier Arbeitnehmern« auf »neun Personen« an. Außerdem wurde in§ 4f Abs. 2 BDSG a.F. ein neuer Satz 2 eingefügt, wonach sich das Maß der erforder-lichen Fachkunde insbesondere nach dem Umfang der Datenverarbeitung der verant-wortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die ver-antwortliche Stelle erhebt oder verwendet bestimmte. Zudem wurde in § 4f Abs. 2Satz 3 BDSG a.F. klargestellt, dass sich die Kontrolle eines externen bDSB auch aufpersonenbezogene Daten erstreckt, die eine Berufs- oder besonderen Amtsgeheimnisunterliegen. Letztlich wurde ein neuer Absatz 4a eingefügt, der dem bDSB die glei-chen Zeugnisverweigerungsrechte einräumte, wie demjenigen, den er kontrollierthatte. Insoweit unterlagen die bei ihm entstandenen Unterlagen auch einemBeschlagnahmeverbot. Durch das Gesetz vom 14.08.2009 wurde § 4f Abs. 3BDSG a.F.um die Sätze 5 bis 8 erweitert, die den Kündigungsschutz des Daten-schutzbeauftragten ausweiteten und ihm die Teilnahme an Schulungs- und Fortbil-dungsmaßnahmen ermöglichten.

Auch in den kirchlichen Datenschutzgesetzen wurde die Funktion des bDSBvorgesehen.37

III. Status des bDSB

Die Benennung des bDSB gehört zum Datenschutzmanagement, zu dessen Einfüh-rung die DSGVO den Verantwortlichen und den Auftragsverarbeiter zwingt. Zwarenthält die DSGVO keine dem § 4f Abs. 3 Satz 1 BDSG a.F. entsprechende Rege-lung. Hiernach war der bDSB dem Leiter der verantwortlichen Stelle unmittelbarzu »unterstellen«. Nach Art. 38 Abs. 3 Satz 3 hat der bDSB allerdings der höchsten

34 Gemeinsame Bekanntmachung der Bayerischen Staatskanzlei und der Bayerischen Staats-ministerien vom 11.03.1994 Nr. I G 3–1082.11–1 –, AllMBl. S. 251.

35 Erstes Gesetz zum Abbau bürokratischer Hemmnisse insb. in der mittelständischen Wirt-schaft vom 22.08.2006, BGBl. I, S. 1970.

36 Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.08.2009, BGBl. I,S. 2814.

37 § 22 Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) in derBekanntmachung der Neufassung vom 01.01.2013, ABl.EKD 2013 S. 2, S. 34, Berichti-gung vom 01.02.2013, ABl. EKD 2013, S. 34; § 16 – Bestellung und Rechtsstellung desDiözesandatenschutzbeauftragten – der jeweils für die römisch-katholische Diözese gelten-den Anordnung über den kirchlichen Datenschutz (KDO).

561Raum

9

10

11

Leseprobe

12

13

14


Managementebene des Verantwortlichen oder des Auftraggebers zu unterrichten undbleibt weiterhin weisungsfrei.38

IV. Funktion des bDSB

Der bDSB ist eine Sonderform des sog. »Compliance-Officer«.39 Unter diesemNamen findet man allerdings mittlerweile in den meisten Großunternehmen und inbeaufsichtigten Unternehmen nahezu flächendeckend, einen weiteren Beauftragten,dessen Aufgabe es ist, sicherzustellen, dass die verantwortliche Stelle alle sie treffen-den Regeln befolgt. »Compliance« wird hier als Regeltreue (auch Regelkonformität)im betriebswirtschaftlichen Sinn verstanden, d.h. als Begriff für die Einhaltung vonGesetzen und Richtlinien.40 Compliance beinhaltet demgemäß sowohl die Einhal-tung von gesetzlichen Datenschutzbestimmungen als auch von unternehmens- oderbehördeninternen Regelungen (Privacy Policy, Binding Corporate Rules, Codes ofCoducts, Verwaltungsvorschriften, Betriebs-/Dienstvereinbarungen etc.). Insoweit istder bDSB ebenfalls ein »Compliance-Officer«, dessen Aufgabe es u.a. ist, auf dieEinhaltung datenschutzrechtlicher Bestimmungen hinzuwirken, auch wenn derBegriff »Compliance-Officer« in letzter Zeit bisweilen verkürzt wird auf die Person,die in der verantwortlichen Stelle für die Korruptionsbekämpfung oder branchenspe-zifische regulatorische Vorgaben zuständig ist.

Die Benennung eines bDSB ist Ausdruck des gesetzgeberischen Gedankens derSelbstverantwortung. Der bDSB ist nach der Konzeption der DSGVO ein innerbe-hördliches bzw. innerbetriebliches Instrument, damit die Behörde ihrer oder dasUnternehmen seiner Verpflichtung, das informationelle Selbstbestimmungsrecht allervon der Verarbeitung personenbezogener Daten durch den Verantwortlichen oderden Auftragsverarbeiter betroffenen Personen zu schützen, nachkommen kann.41

Bereits für den betrieblichen DSB war nach den §§ 36, 37 BDSG’1990 anerkannt,dass es sich bei dieser Tätigkeit um einen eigenständigen Beruf handelt, auch wennes hierfür keinen bestimmten Ausbildungsgang gab und gibt.42 Allerdings bietet eineReihe von privaten Anbietern eine »Ausbildung« zum bDSB an. Diese basierenjedoch nicht auf einer einheitlichen Ausbildungsverordnung, sondern die Inhalte

38 Siehe hierzu Art. 38 Rdn. 26.39 Was unter dem Begriff des »Compliance Officer« zu verstehen ist, hat der Gesetzgeber

zwar nicht definiert, aber er findet sich als »Compliance-Beauftragter« in § 34d Abs. 3Satz 1 Wertpapierhandelsgesetz (WpHG).

40 Siehe auch Nr. 4.1.3 des Deutschen Corporate Governance-Kodex: »Der Vorstand hat fürdie Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinienzu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compli-ance).«.

41 Marschall/Müller, ZD 2016, 415.42 BFH, Urt. v. 05.06.2003 – IV R 34/01 –, RDV, 2003, 240–241, sowie

Urt. v. 26.06.2003 – IV R 41/01 –. Siehe schon LG Ulm, Beschl. v. 31.10.1990, – 5T 153/90 –, RDV 1991, 40–41 und CR 1991, 103–104.

562 Raum Leseprobe

10

11

Art. 42 Zertifizierung

Nutzungsentscheidungen beeinflussen, wenn es um die Wahl zwischen funktionalim Wesentlichen gleichwertigen Angeboten geht.23

Bestreiten lässt sich auch die grundsätzliche Notwendigkeit einer gesetzlichen Ausge-staltung von Audits und Zertifikaten. Immerhin haben sich trotz der fehlendengesetzlichen Regelung auf Bundesebene verschiedene private Angebote in Deutsch-land und anderen Ländern24 entwickelt. Gerade im Online-Bereich gibt es eineReihe von Datenschutz- und Datensicherheitsgütesiegeln.25 Demgegenüber ist dasAngebot bei den Verfahrens- oder Datenschutzmanagement-Audits erheblichgeringer.26

Hauptproblem ist jedoch, dass es nach einer Bestandsaufnahme der ENISA denbestehenden Angeboten häufig an Bekanntheit, allgemeinen Standards, Validität,Nutzbarkeit und Anreizen für die Durchführung mangelt.27 Die privaten Angebotedrücken also ein grundsätzliches Bedürfnis des Marktes aus; gerade das möglicheNebeneinander einer Vielzahl von Siegeln macht aber ein verbindlich geregeltesVerfahren erforderlich,28 damit diese transparent, objektiv und sicher durchgeführtwerden können.29

23 In einer Umfrage aus dem Jahre 2011 wurden zwar Datensicherheit und Privatsphärenein-stellungen als vorgeblich wichtigste Auswahlkriterien für soziale Netzwerke genannt (BIT-KOM, Soziale Netzwerke, 2011, S. 22 f.) und die deutschen Anbieter erheblich besser alsder Dienst von Facebook bewertet (ebd., S. 28) – genutzt wurde dann aber mit sehr großerMehrheit genau dieser Dienst, dessen Vorteile durch große Verbreitung und besondereFunktionen offenbar überwiegen.

24 Zu den USA s. Grimm/Roßnagel, DuD 2000, 446, 449; zu Japan s. Roßnagel, DuD 2001,154; zur Schweiz s. Baeriswyl, digma 1/2006, 10 ff.; s.a. Hladjk, DuD 2002, 672.

25 Einen Übersicht bieten Stiftung Datenschutz, Übersicht zu Zertifizierungen und Gütesie-geln im Datenschutz, 2017 und Feik/v. Lewinski, ZD 2014, 59; weitere Beispiele beiScholz, in: Simitis, BDSG, § 9a Rn. 10; zur Entwicklung von Angeboten im IT-Sicher-heitsbereich s. Münch, RDV 2003, 223 ff. (dort auch zum Erfordernis der Harmonisie-rung), zu deren Durchführung Gora, DuD 2009, 238; s. ferner Duda/Sowa, PinG 2015,30 ff. Ein Standard zur Auftragsverarbeitung wurde beispielsweise 2013 durch GDD undBvD entwickelt (Lepperhoff/Jaspers, MMR 2013, 617; Staub, DuD 2014, 159) und mitdem LfDI NRW (DuD 2014, 6) abgestimmt; s. näher www.dsz-audit.de/.

26 Karper/Maseberg, DuD 2010, 704, 705.27 S. ENISA, On the security, privacy and usability of online seals. An overview, 2013; zu

den strukturellen Problemen schon Dahm, DuD 2002, 412 ff.; s.a. Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 9a Rn. 7.

28 Dahm, DuD 2002, 412, 414 f.; Kühling/Bohnen, JZ 2010, 600, 607; zum Erfordernisgesetzlicher Regelungen schon Roßnagel, Datenschutzaudit, 2000, S. 128 ff.

29 Zu diesen Grundvoraussetzungen erfolgreicher Prüfverfahren s. Weichert, DuD 2001, 264,268.

694 Hornung Leseprobe

3

4

5

Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationaleÜbereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchendenDrittland und der Europäischen Union oder einem Mitgliedstaat gestützt sind. AlsBeispiele solcher Abkommen können das Europarats-Übereinkommen über Com-puterkriminalität, das zwischen der EU und den USA geschlossene Abkommen inStrafsachen oder auch das zwischen der EU und Japan geschlossene EU-Rechtshilfe-abkommen in Strafsachen gehören.5

Diesem Grundsatz liegt der Gedanke zugrunde, dass Drittländer Gesetze, Vorschrif-ten und sonstige Rechtsakte erlassen könnten, die vorgeben, die Verarbeitungstätig-keiten natürlicher und juristischer Personen, die der Rechtsprechung der EU-Mit-gliedstaaten unterliegen, unmittelbar zu regeln. Dies kann Urteile von Gerichtenund Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denenvon einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlungoder Offenlegung personenbezogener Daten verlangt wird. Diese Urteile oder Ent-scheidungen sind in der Regel nicht auf eine in Kraft befindliche internationaleÜbereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Dritt-land und der Europäischen Union oder einem EU-Mitgliedstaat gestützt.

II. Verstoß gegen internationales Recht

Käme es zur Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakteaußerhalb des Hoheitsgebiets der betreffenden Drittländer, könnte dies einen Ver-stoß gegen internationales Recht darstellen und dem durch die DSGVO in derEuropäischen Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Ausdiesem Grund sieht die Regelung des Art. 48 vor, dass nur solche Datenübermittlun-gen zulässig sind, welche die Bedingungen der DSGVO für Datenübermittlungenan Drittländer nach Kapitel V der DSGVO einhalten.6 Dies kann beispielsweiseder Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesseerforderlich ist, das im Europäischen Unionsrecht oder im Recht des EU-Mit-gliedstaats, dem der Verantwortliche unterliegt, anerkannt ist. Nicht ausreichend istein öffentliches Interesse, welches nur in einem Drittland anerkannt ist.7 Auchandere Rechtsgrundlagen (etwa Ausnahmen nach Art. 49 DSGVO) kommen dem-nach für solche Datenübermittlungen in Betracht.

C. Ausblick

Es ist fraglich inwieweit die Regelung des Art. 48 DSGVO damit in der praxisrele-vanten Angelegenheit von Anfragen zu internationalen Datenübermittlung aus Dritt-ländern zu mehr Rechtssicherheit geführt hat. Das Schrems-Urteil zu Facebook hat

5 Siehe auch Zerdick, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 48, Rn. 7sowie dort auch zum Haager Übereinkommen über die Beweisaufnahme im Ausland inZivil-oder Handelssachen.

6 Siehe Kommentierung zu Art. 44 – 47, 49.7 Siehe auch Zerdick, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 48, Rn. 6.

772 Hladjk Leseprobe

1

2

3

4

Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Kapitel VI Unabhängige Aufsichtsbehörden

Literatur:

Dix Datenschutzaufsicht im Bundesstaat – ein Vorbild für Europa, DuD 2012, 318 ff.; HärtingStarke Behörden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, 459 ff.; Kai-ser The enforcement-structure of the new GDPR, PinG 2017, 192 ff.; v. Lewinski Datenschutz-aufsicht in Europa als Netzwerk, NVwZ 2017, 1483 ff.; Neun/Lubitzsch EU-Datenschutz-Grundverordnung – Behördenvollzug und Sanktionen, BB 2017, 1538 ff.; Roßnagel Daten-schutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017; Nguyen Die zukünftigeDatenschutzaufsicht in Europa, ZD 2015, 265 ff.; Thiel Die DSGVO als Herausforderung(auch) für die Aufsichtsbehörden, RDV 2017, 191 f.

Wie auch schon bisher unterscheidet das Datenschutzrecht zwischen Eigen- undFremdkontrolle. Die Eigenkontrolle obliegt dem Verantwortlichen, dem in vielenKonstellationen ein betrieblicher oder behördlicher Datenschutzbeauftragter zurSeite gestellt ist. Die Fremdkontrolle als ein (atypischer) Fall der Verwaltungs- bzw.Wirtschaftsaufsicht liegt bei den mitgliedstaatlichen Aufsichtsbehörden, die inArt. 4 Nr. 21 DSGVO definiert sind (Art. 4 DSGVO Rdn. 142 ff.). In Deutschlandsind die Aufsichtsbehörden der BfDI (§§ 8 bis 16 BDSG) und die Landesdaten-schutzbeauftragten, in Bayern zusätzlich das Landesamt für Datenschutzaufsicht(LDA; s.u. § 40 BDSG Rdn. 61) sowie weitere Behörden im Mediensektor (Art. 85DSGVO Rdn. 14, 16), bei den Kirchen (Art. 91 DSGVO Rdn. 5) und womöglichauch den Regulierten Berufen wie Ärzten und Rechtsanwälten (Art. 90 DSGVO). –Zum sektoriellen Datenschutz in Deutschland s.a. § 9 BDSG Rdn. 17 ff.

Im Kapitel VI (Art. 51–59 DSGVO) sind die Regelungen über die mitgliedstaatli-chen Aufsichtsbehörden zusammengefasst. Dies wird auf den ersten Blick etwasverdeckt, weil der Aspekt der »[völligen] Unabhängigkeit« textlich überdeutlich imVordergrund steht (Kapitelüberschrift, Abschnittsüberschrift sowie Art. 52 DSGVOmit der eigentlichen Regelung).

Die Regelungen sind durchaus ausführlich und detailliert. Dadurch wird der Institu-tion »datenschutzrechtliche Aufsichtsbehörde« eine europaeinheitliche Konturgegeben, wenn auch Spielraum für mitgliedstaatliche Ausgestaltung bleibt. Die Auf-gaben und Befugnisse der Aufsichtsbehörden sind zahlreich und weitreichend. Aller-dings haben die Vorschriften des Kapitels VI nicht nur die Funktion der Ermächti-gung, sondern auch der rechtstaatlichen Begrenzung.

In Inhalt und Konzept gehen die Vorschriften der Art. 51–59 DSGVO nichtwesentlich über die Rechtslage nach Art. 28 EG-DSRL und die bisherige EuGH-Rechtsprechung hinaus.1 Die eigentlich neuen Regelungen finden sich in Kapitel VIImit der Zusammenarbeit und Kohärenz der mitgliedstaatlichen Behörden (Art. 60–

1 v. Lewinski, DuD 2012, 564, 567.


Kirchen, religiöse Vereinigungen/Gemeinschaften Art. 91

Ob zukünftig neben diesem erweiterten Bestandsschutz Kirchen und religiöse Verei-nigungen oder Gemeinschaften Datenschutzregelungen neu implementieren dürfen,könnte streitig werden, da dies dem Wortlaut eindeutig zuwider laufen würde.11

II. Datenschutzaufsicht (Absatz 2)

Auch im Bereich der evangelischen und römisch-katholischen Kirche oblag bereitsmit Inkrafttreten der ersten kirchlichen Regelungen zum Datenschutz in den siebzi-ger Jahren des letzten Jahrhunderts die Kontrolle über die Einhaltung dieser Rege-lungen eigenen kirchlichen Aufsichtsbehörden.12 Diese Aufsichtsbehörden warenpersonell sehr unterschiedlich aufgestellt und meistens in die kirchlichen Regelorga-nisationen integriert.

Vor dem Hintergrund der Rechtsprechung des EuGH zum Erfordernis einer völligenUnabhängigkeit dieser Aufsichtsbehörden haben die evangelische und römisch-katholische Kirche seit 2013 im Vorgriff auf die gesetzliche Umsetzung in derDSGVO die eigenen gesetzlichen Grundlagen novelliert und angefangen, die kirchli-chen Aufsichtsbehörden entsprechend unabhängig aufzustellen. Mit der letztenNovellierung des DSG-EKD und dem erstmaligen Erlass des KDG haben sowohldie evangelische als auch die römisch-katholische Kirche endgültig die gesetzlichenund organisatorischen Grundlagen für die völlige Unabhängigkeit ihrer Aufsichtsbe-hörden geschaffen, die den korrespondierenden Regelungen in der DSGVO – geradeauch in Blick auf die Durchsetzungsmöglichkeiten – entsprechen.

1. Aufsichtsbehörde

Die Regelung stellt klar, dass auch Kirchen, religiöse Vereinigungen oder Gemein-schaften, die gem. Abs. 1 umfassende eigene Datenschutzregeln anwenden, der Auf-sicht einer unabhängigen Aufsichtsbehörde13 unterliegen müssen. Die Regeln nachAbs. 1 müssen entsprechende Vorgaben enthalten. Dabei muss es sich nicht zwin-gend um eine eigene Aufsichtsbehörde handeln. Vielmehr können die Regeln auchVorgaben enthalten, wonach die Kirche oder religiöse Vereinigung oder Gemein-schaft unter die Aufsicht einer nicht-eigenen Aufsichtsbehörde fällt. Dann findendie Regelungen zur unabhängigen Aufsichtsbehörde in Kapitel VI, Abschnitt 1 undAbschnitt 2 der DSGVO (Art. 51 bis 59 DSGVO) unmittelbar Anwendung.

2. Spezifischer Art

Die Regeln nach Abs. 1 können auch festlegen, dass Kirchen, religiöse Vereinigungenoder Gemeinschaften unter die Aufsicht einer eigenen, d.h. kirchlichen Aufsichts-

11 So auch Grages, in: Plath, Art. 91 DSGVO Rn. 3; eher für zukünftige neue Implementie-rungen Hense, in: Sydow, Art. 91 DSGVO Rn. 14 und 16; eher ablehnend Gola, in: Gola,Art. 91 DSGVO Rn. 17.

12 Hierzu unzutreffend Pauly, in: Paal/Pauly, Art. 91 DSGVO Rn. 29.13 Vgl. Grages, in: Plath, Art. 91 DSGVO, Rn. 5.

1127Jacob

15

16

17

18

Leseprobe

25

26

27

§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

VI. Öffentlich-rechtliche Wettbewerbsunternehmen (Absatz 5)

Absatz 5 vollzieht den Regelungsgehalt des § 27 Abs. 1 Satz 1 Nr. 2 BDSG a.F. nach,indem bestimmt wird, dass öffentliche Stellen des Bundes und öffentliche Stellender Länder dann als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten, soweitsie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, und – imFall öffentlicher Stellen der Länder – zudem Bundesrecht ausführen und der Daten-schutz nicht durch Landesgesetz geregelt ist. Er dient damit auch der Klarstellung,auf welche Verarbeitungsbefugnisse bzw. Ausnahmen von Betroffenenrechte abzustel-len ist, wenn eine Unterscheidung nach öffentlichen und nichtöffentlichen Stellenvorgenommen wird.16

Der Gesetzgeber unterscheidet nicht zwischen nicht-öffentlichen Stellen im Sinnedes Abs. 4 und öffentlich-rechtlichen Wettbewerbsunternehmen im Sinne des Abs. 5,damit Unternehmen der öffentlichen Hand, wie z.B. Krankenhäuser oder Bankenin öffentlich-rechtlicher Trägerschaft den gleichen Datenschutzregelungen unter-worfen sind, wie konkurrierende private Unternehmen. Das öffentliche-rechtlicheWettbewerbsunternehmen des Bundes ist nach § 9 Abs. 1 Satz 1 BDSG der Aufsichtder BfDI unterworfen, das Wettbewerbsunternehmen eines Landes der jeweiligenAufsicht der Datenschutzaufsichtsbehörde des Landes.

C. Landesrecht

Es ist zu erwarten, dass auch die zu erlassenden Datenschutzgesetze der Länder derSystematik des BDSG folgend Unterscheidungen zwischen öffentlichen Stellendes Bundes und der Länder enthalten, die denen des § 2 inhaltlich entsprechen.Bereits nach der Rechtslage des BDSG a.F. war dies in den Landesgesetzen der Fall.

Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogenerDaten


Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle istzulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichenliegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortli-chen übertragen wurde, erforderlich ist.

Literatur:Forgó/Krügel Die Subjektivierung der Zweckbindung, DuD 2005, 732–735; Globig Erhebung,Verarbeitung und Nutzung im öffentlichen Bereich, in: Roßnagel, Handbuch Datenschutzrecht,2003, 627–677; Stange Datenschutz: Recht und Praxis. Ein Leitfaden für den öffentlichen

16 BT-Drs. 18/11325, 80.

1296 Eßer Leseprobe

Verarbeitung personenbezogener Daten durch öffentliche Stellen § 3

Dienst in Bund und Ländern, Berlin 1992; Tinnefeld Persönlichkeitsrecht und Modalitätender Datenerhebung im Bundesdatenschutzgesetz, NJW 1999, 1117–1119

Übersicht Rdn.A. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1B. Kommentierung im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7I. Normadressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7II. Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 9III. Zur Erfüllung eigener Aufgaben (Variante 1) . . . . . . . . . . . . . . . . . . . . . . . 13

1. Aufgabe im öffentlichen Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . 142. Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

IV. In Ausübung öffentlicher Gewalt (Variante 2) . . . . . . . . . . . . . . . . . . . . . . 181. Ausübung öffentliche Gewalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192. Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

V. Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211. Bedeutung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212. Umfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

a) Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) . . . 29b) Elektronische Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . 30c) Verarbeitung in Papierform . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3. Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32VI. Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

1. Festlegung des Zwecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362. Weiterverarbeitung (Zweckänderung) . . . . . . . . . . . . . . . . . . . . . . . . 39

C. Landes- und Fachrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

A. Allgemeines

§ 3 ist eine allgemeine Befugnisnorm für die Verarbeitung personenbezogenerDaten durch öffentliche Stellen. Der Normtext entspricht Art. 6 Abs. 1 lit. eDSGVO, der zentralen Erlaubnisnorm (s. Art. 6 Rdn. 39) der DSGVO, und wurdeaufgrund der Öffnungsklausel in Art. 6 Abs. 3 Satz 1 i.V.m. Art. 6 Abs. 1 lit. eDSGVO erlassen.1

Nach der Systematik des BDSG ist die in Teil 1 (Gemeinsame Bestimmungen) veror-tete Regelung des § 3 auf drei Verarbeitungssituationen anwendbar: Verarbeitun-gen im Bereich der DSGVO, im Bereich der JIRL und auf Verarbeitungssituationenaußerhalb des Bereichs der DSGVO und der JIRL.2

Die Vorschrift ist als Nachfolgeregelung der §§ 13 Abs. 1 und 14 Abs. 1 BDSG a.F.zu sehen, die bis 24.05.2018 das Erheben, Speichern, Verarbeiten und Nutzen durchöffentliche Stellen des Bundes regelte. Aufgrund des mit Art. 4 Nr. 2 DSGVO einge-führten einheitlichen Verarbeitungsbegriffes entfällt die strikte Unterteilung in dieVerarbeitungsphasen, gleichwohl knüpfen einzelne gesetzliche Bestimmungen weiter-

1 BT-Drs. 18/11325, S. 81.2 Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 200, Rn. 630.

1297Eßer

1

2

3

Leseprobe

4

5

6


hin an bestimmte Verarbeitungssituationen an, indem zum Beispiel an das Erhe-ben Informationspflichten geknüpft werden (z.B. Art. 13 DSGVO und § 32 BDSG)oder das Übermitteln bestimmten Voraussetzungen unterliegt (vgl. etwa § 25BDSG). Für Verarbeitungen im Bereich der DSGVO greifen für öffentliche Stellenneben § 3 die Regelungen des § 25 BDSG für das Übermitteln und des § 23 BDSGfür Weiterverarbeitungen (Zweckänderungen).

Verantwortliche können unabhängig davon, zu welchen Zwecken die Verarbeitungerfolgt, auf § 3 als allgemeine Rechtsgrundlage zurückgreifen, soweit es keine spezial-gesetzliche Verarbeitungsregelung gibt. Liegt eine besondere Verarbeitungssituationvor, wie z.B. die Verarbeitung von besonderen personenbezogenen Daten i.S.d.Art. 9 Abs. 1 DSGVO (§ 22 BDSG) oder von Beschäftigtendaten (§ 26 BDSG)oder ist bereichsspezifisches Datenschutzrecht anwendbar, z.B. im Bereich derSozialdaten (§§ 35 SGB I, 67 ff. SGB X), der Personalaktendaten (§§ 106ff.BBG) oder im Bereich des TKG und TMG, gehen diese Regelungen § 3 aufgrundder Subsidiarität des BDSG vor.3 § 3 erfasst keine Weiterverarbeitungen zu einemanderen Zweck (Zweckänderungen), die in § 23 BDSG geregelt sind (s. § 23Rdn. 7). Übermittlungen durch öffentliche Stellen regelt die speziellere Norm des§ 25 BDSG (s. § 25 Rdn. 9 ff.), soweit die Übermittlung nicht bereits vom Erhe-bungszweck erfasst ist (s. § 25 Rdn. 24). Für einen Überblick zu den Zulässigkeitsan-forderungen s. Rdn. 6.

Der Gesetzgeber hat § 3 als allgemeine Rechtsgrundlage für die Verarbeitungdurch öffentliche Stellen gesetzt, weil er davon ausgeht, dass Art. 6 Abs. 1 lit. eDSGVO selbst keine Rechtsgrundlage für die Verarbeitung darstellt.4 Das überzeugtnicht, denn § 3 BDSG und Art. 6 Abs. 1 lit. e DSGVO bedürfen jeweils einer weite-ren konkretisierenden Norm, die die öffentliche Aufgabe oder die Ausübung öffent-licher Gewalt beschreibt, sodass die Wiederholung in § 3 nicht zwingend ist.5 DieWiederholung ist jedoch mit Blick auf Art. 6 Abs. 1 lit. e DSGVO unschädlich.Notwendig ist die Regelung des § 3 hingegen mit Blick auf die Umsetzung vonArt. 8 JIRL; aufgrund der systematischen Stellung von § 3 im gemeinsamen Teil 1des BDSG findet die Vorschrift auch auf die Umsetzung der JIRL in Teil 3 desBDSG Anwendung.

Der Umfang der den öffentlichen Stellen erlaubten Verarbeitung personenbezogenerDaten ergibt sich aus der Grundrechtsbindung, dem Verhältnismäßigkeitsprinzipund dem Rechtsstaatsprinzip.

Die Zulässigkeit einer Verarbeitung nach § 3 ist daher an den folgenden Anforde-rungen zu messen:– Verarbeitung durch eine öffentliche Stelle im Sinne des § 2,– Anwendbarkeit der allgemeinen Befugnisnorm des § 3,

3 BT-Drs. 18/11325, 81.4 BT-Drs. 18/11325, 81.5 Kritisch auch: Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 200, Rn. 630, 632.



– keine Verarbeitung besonderer personenbezogener Daten i.S.d. Art. 9 Abs. 1DSGVO – anwendbar ist § 22 –,

– keine Weiterverarbeitung – anwendbar ist § 23 –,– keine Übermittlung durch eine öffentliche Stelle – anwendbar ist § 25 –,– keine besondere Verarbeitungssituation – anwendbar §§ 26 bis 28 bei Beschäftig-

ten-, Forschungs-, Statistik- oder Archivdaten –,– keine bereichsspezifische Verarbeitungsregel vorrangig anwendbar – z.B. §§ 67

bis 85a SGB X oder §§ 106 ff. BBG –,– Vorliegen einer der beiden Varianten des § 3 (Erfüllung eigener Aufgaben oder

Ausübung öffentlicher Gewalt),– Erforderlichkeit und– Zweckbindung.

Die Anforderungen werden im Folgenden (s. Rdn. 13 ff.) näher erläutert.


I. Normadressat

§ 3 greift für öffentliche Stellen, die in § 2 Abs. 1 bis 3 BDSG definiert werden,aber auch für nicht-öffentliche Stellen nach § 2 Abs. 4 Satz 2 BDSG, die als Belie-hene hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen.6 Anderenicht-öffentliche Stellen können nicht auf § 3 zurückgreifen.

Öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teil-nehmen, können ebenfalls nicht auf § 3 zurückgreifen; auf sie sind stattdessen dieRegelungen für nicht-öffentliche Stellen (Unternehmen) anwendbar (s. § 2 Rdn. 25).

II. Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO

Nach der Definition in Art. 4 Nr. 2 DSGVO ist eine Verarbeitung jeder Vorgangoder jede Vorgangsreihe mit personenbezogenen Daten, die mit oder ohne Hilfeautomatisierter Verfahren ausgeführt wird (s. ausführlich zu Art. 4 Rdn. 32 ff.DSGVO). Obwohl Art. 4 Nr. 2 DSGVO grundsätzlich von einem einheitlichen Ver-arbeitungsbegriff ausgeht, lässt sich die Verarbeitung in verschiedene Phasen teilen(s. Wortlaut des Art. 4 Nr. 2 DSGVO und Art. 4 Rdn. 34), was für die Anwendbar-keit des § 3 relevant ist.

Beschafft sich die öffentliche Stelle personenbezogene Daten (Erheben), muss sie dieErhebung an § 3 messen, der in einer seiner beiden Varianten (zur Erfüllung eigenerAufgaben (Var. 1) oder in Ausübung öffentlicher Gewalt (Var. 2)) erfüllt sein muss.

6 BT-Drs. 18/11325, 81; a.A. zu Art. 6 Abs. 1 lit. e DSGVO: Wolff, in: Schantz/Wolff, Dasneue Datenschutzrecht, S. 197, Rn. 613, der die Übertragung von Hoheitsbefugnissen bzw.die Beleihung nicht als zwingend für die Anwendbarkeit das Art. 6 Abs. 1 lit. e DSGVOansieht und die Betrauung des Privaten mit öffentlichen Aufgaben ausreichend sein lässt;so auch: Frenzel, in: Paal/Pauly, Art. 6 DSGVO, Rn. 23.

1299Eßer

7

8

9

10

Leseprobe

11

12

13

14

15


Beim Erheben der Daten ist sowohl der Erforderlichkeitsgrundsatz (s. Rdn. 21) alsauch die Festlegung des Zwecks zu beachten (s. Rdn. 34 ff.). Dies gilt entsprechendfür das Speichern, Verändern, Löschen und weitere Formen der Verarbeitung.

Nicht anwendbar ist § 3 für das Übermitteln durch öffentliche Stellen. Obwohl dasÜbermitteln unter den Obergriff der Verarbeitung in Art. 4 Nr. 2 DSGVO fällt, istan Übermittlungen der Zulässigkeitsmaßstab des § 25 BDSG (s. § 25 Rdn. 9 ff.BDSG) anzulegen.

Auch für eine Weiterverarbeitung zu anderen Zwecken (Zweckänderung) ist § 3nicht einschlägig, sondern die speziellere Befugnisnorm § 23 BDSG (s. Rdn. 1, 7).

III. Zur Erfüllung eigener Aufgaben (Variante 1)

Nach der ersten Variante des § 3 ist eine Verarbeitung zulässig, wenn sie zur Erfül-lung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt. Anknüpfungspunktist nicht die öffentliche Stelle, sondern die Aufgabe. Gleichwohl muss die Stelle, diedie Aufgabe erfüllt, für die konkrete Aufgabe zuständig sein und rechtmäßig handeln.

1. Aufgabe im öffentlichen Interesse

Personenbezogene Daten dürfen durch öffentliche Stellen nur verarbeitet werden,wenn die Verarbeitung der Erfüllung einer öffentlichen Aufgabe dient. Die imöffentlichen Interesse liegende Aufgabe muss durch eine Rechtsvorschrift definiertbzw. übertragen werden. Zwar wird die Rechtmäßigkeit in § 3 nicht ausdrücklichverlangt, kann jedoch zum einen aus der Formulierung, dass die Aufgabe in derZuständigkeit der verarbeitenden öffentlichen Stelle liegt, geschlossen werden, undzum anderen sehen die ErwGr. 45 Satz 5 und ErwGr. 39 Satz 6 DSGVO dies inBezug auf den wortgleichen Art. 6 Abs. 1 lit. e DSGVO vor. Auch bei der Vorgänger-regelung in § 13 Abs. 1 BDSG a.F. wurde von dieser Anforderung ausgegangen.7Die Voraussetzung der Rechtsmäßigkeit ist letztlich auch ein Ausfluss des rechtsstaat-lichen Grundsatzes der Gesetzmäßigkeit der Verwaltung. Die Aufgabenerfüllungist immer dann rechtmäßig, wenn sie gesetzmäßig ist, d.h. wenn die Aufgabe durchRechtsvorschrift übertragen ist und ihre Erfüllung sich in diesem Rahmen hält.8

Nicht jede einzelne Verarbeitung durch öffentliche Stellen verlangt ein spezifi-sches Gesetz. Würde man dies voraussetzen, wäre eine kaum überschaubare gesetzli-che Regelungsdichte erforderlich, um die Handlungsfähigkeit öffentlicher Stellenherzustellen. Ein Gesetz kann als Grundlage für mehrere Verarbeitungsvorgänge aus-reichend sein, wenn die Verarbeitung aufgrund rechtlicher Verpflichtung erfolgt oderzur Wahrnehmung der Aufgabe im öffentlichen Interesse erforderlich ist (vgl.ErwGr. 45 Satz 2 f. DSGVO). Ist zwar eine Aufgabe übertragen, aber keine (kon-

7 Zum BDSG a.F.: Sokol/Scholz, in: Simitis, BDSG, § 13 Rn. 19; Schaffland/Wiltfang, BDSG,§ 14 Rn. 7; Stender-Vorwachs, in: Wolff/Brink, BDSG, § 12 Rn. 12.

8 Zum BDSG a.F. schon: Drittaufl., § 13 BDSG a.F. Rdn. 7; Wolff, in: Schantz/Wolff, Dasneue Datenschutzrecht, S. 197, Rn. 615.



krete und ausdrückliche) Rechtsvorschrift zur Regelung der Verarbeitung vor-handen (was häufig bei planender Verwaltung oder fiskalischer Tätigkeit der Fall ist),sind für die Verarbeitung die Grundprinzipien des Art. 5 Abs. 1 DSGVO sowiedie rechtsstaatlichen Grundsätze (z.B. Geeignetheit, Erforderlichkeit und Verhält-nismäßigkeit des Verwaltungshandelns, Übermaßverbot) maßgebend. Der Rahmenrechtmäßiger Aufgabenerfüllung kann in bestimmten Fällen auch durch privatrecht-liche Rechtsverhältnisse (etwa Vertrag zwischen öffentlichem Krankenhaus und Pati-ent) ausgefüllt und abgegrenzt werden.9

2. Zuständigkeit

Die Aufgabe muss in der örtlichen, sachlichen oder verbandsmäßigen Zuständig-keit der verarbeitenden Stellen liegen.10 Das Erfordernis der Zuständigkeit ist nichtausdrücklich in § 3 vorgeschrieben, stellt jedoch ein wichtiges rechtsstaatliches Krite-rium dar: Durch die Regelung und Verteilung der Zuständigkeiten zwischen öffent-lichen Stellen wird eine genaue Abgrenzung der Aufgaben und Befugnisse bewirkt,werden eindeutige Verantwortlichkeiten begründet und soll das Übergreifen in denAufgabenbereich einer anderen Stelle, das Ansichziehen nicht zustehender Aufgabenund Befugnisse verhindert werden.11

Der Zuständigkeitsbegriff stammt aus dem allgemeinen Verwaltungsrecht. Im Vor-dergrund steht die sachliche Zuständigkeit, d.h. die Verpflichtung und Berechtigung,dem Gegenstand nach bestimmte Aufgaben und Angelegenheiten wahrzunehmen.Welche Stelle funktionell oder instanziell zuständig ist, ergibt sich aus der Verwal-tungsorganisation oder der nach Geschäftsbereichen gegliederten Zuständigkeitender Verwaltung. Die örtliche Zuständigkeit knüpft an § 3 Abs. 1 VwVfG an undbezeichnet die räumliche Erstreckung der sachlichen Zuständigkeit auf den der ver-antwortlichen öffentlichen Stelle zugewiesenen geographischen Wirkungskreis (z.B.ein Amtsbezirk, ein Bundesland). Die Zuständigkeiten der öffentlichen Stellen wer-den durch Gesetze, organisatorische Rechtssätze und/oder (sie ergänzende)Rechtsakte begründet. Es ist also nicht stets ein Gesetz dafür erforderlich, sonderndie Zuständigkeit kann aufgrund der Organisationsgewalt auch durch Verwaltungs-anordnung geregelt werden; ohne besondere Ermächtigung kann auf die Zuständig-keit im Einzelfall weder verzichtet noch kann sie verändert werden. Die verbandsmä-ßige Zuständigkeit grenzt die Verwaltungshoheit der öffentlichen Stellen des Bundes,der Länder und der Kommunen sowie der mit Rechtsfähigkeit und Selbstverwal-tungsrecht ausgestatteten juristischen Personen des öffentlichen Rechts voneinanderab.12

9 BT-Drs. 7/1027, 24 (amtl. Begründung zum RegE BDSG 1977).10 Zum BDSG a.F. schon: Drittaufl., § 13 BDSG a.F. Rdn. 8.11 Vgl. zum BDSG a.F.: Schaffland/Wiltfang, BDSG, § 14 Rn. 10.12 Vgl. zum BDSG a.F.: Sokol/Scholz, in: Simitis, BDSG, § 13 Rn. 18; Heckmann, in: Taeger/

Gabel, BDSG, § 13 Rn. 9, Wedde, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 13Rn. 7.

1301Eßer

16

17

Leseprobe

18

19

20

21

22


IV. In Ausübung öffentlicher Gewalt (Variante 2)

Nach der zweiten Variante des § 3 ist eine Verarbeitung zulässig, wenn sie in Aus-übung öffentlicher Gewalt erfolgt. Diese Variante unterscheidet sich von der erstendadurch, dass hier nicht die Aufgabe im öffentlichen Interesse liegt, sondern dieAusübung öffentlicher Gewalt. Notwendigerweise erfolgt die Ausübung öffentlicherGewalt im öffentlichen Interesse, sodass bei Ausübung öffentlicher Gewalt in allerRegel auch die Wahrnehmung einer Aufgabe im öffentlichen Interesse vorliegendürfte. Die eigenständige praktische Bedeutung der zweiten Variante ist damit deut-lich reduziert, sie stellt einen Auffangtatbestand dar.13

1. Ausübung öffentliche Gewalt

Mit öffentlicher Gewalt ist die Ausübung von Hoheitsbefugnissen bezeichnet, diedarin bestehen kann, dass die öffentliche Stelle ohne Einwilligung des Betroffeneneine rechtliche Verpflichtung begründet oder physische Gewalt ausübt (s. Art. 6DSGVO Rdn. 39).14

2. Zuständigkeit

Die öffentliche Gewalt muss der öffentlichen Stelle, die die personenbezogenenDaten verarbeitet, übertragen worden sein. Sie muss zuständig sein. Die Anforde-rungen an die Zuständigkeit entsprechen denen der ersten Variante des § 3 (s.Rdn. 16).

V. Erforderlichkeit

1. Bedeutung

Dem Grundsatz der Erforderlichkeit, der einer der tragenden Grundsätze des Daten-schutzrechts ist, kommt im Rahmen der Verarbeitung besonderes Gewicht zu. Diezu verarbeitenden Daten müssen für die Erfüllung einer Aufgabe erforderlich sein.Erforderlichkeit bedeutet, dass der Verantwortliche sich auf das von ihm durch dierechtliche Verpflichtung geforderte notwendige Maß beschränken muss und dieDaten nicht über den geforderten Zweck und Umfang hinaus verarbeiten darf.15

Die mit der Verarbeitung verfolgte Aufgabe darf für die öffentliche Stelle nicht erfüll-bar oder zumindest nicht vollständig, nicht zeitgerecht, nicht rechtmäßig erfüllbarsein ohne Verarbeitung dieser Daten.16

Im Sinne einer an Wirtschaftlichkeit, Effizienz und Bürgerfreundlichkeit orientiertenHandlungsweise der Verwaltung ist dabei auch zu berücksichtigen, dass Daten erfor-

13 So auch: Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 198, Rn. 618.14 Vgl. Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 198, Rn. 619.15 EuGH, Urt. v. 08.04.2014, Rs. C-293/12, Digital Rights, EU:C:2014:238, Rn. 35, 52;

Urt. v. 09.11.2010, Rs. C-92/09 u. C-93/09, Schecke und Eifert, EU:C:2010:662, Rn. 72.16 So schon Auernhammer, Drittaufl., § 13 BDSG a.F. Rn. 6.



derlich sein müssen, weil eine Aufgabe ohne diese Daten nur unter unverhältnis-mäßig großem Aufwand erfüllt werden könnte.17 Ein unverhältnismäßig großerAufwand kann z.B. ein ineffizienter Ressourceneinsatz sein. Dass die Daten zur Auf-gabenerfüllung geeignet, praktisch oder zweckmäßig sind, genügt nicht,18 dies sindvielmehr weitere Voraussetzungen für das Vorliegen der Erforderlichkeit im Rahmender Verhältnismäßigkeitsprüfung der Verarbeitung.

Der Zweck der Forderung nach Erforderlichkeit liegt im Verbot unnötiger Daten-verarbeitungen oder -ansammlungen, etwa der Erhebung von Daten »auf Vor-rat«.19 Auf diese Weise wird ein unnötiges Eindringen in den Persönlichkeitsbereichder Betroffenen verhindert und dem willkürlichen Zusammentragen von Daten übereine Person zu einem umfassenden Persönlichkeitsbild eine Grenze gesetzt; dadurchwird aber auch sichergestellt, dass die jeweilige öffentliche Stelle die Daten zur Verfü-gung haben kann, die sie legitimerweise zur Erfüllung einer Aufgabe im öffentlicheInteresse oder zur Ausübung öffentlicher Gewalt benötigt, aber auch nicht mehrpersonenbezogene Daten als nötig. Dementsprechend sind an den Begriff der Erfor-derlichkeit strenge Anforderungen zu stellen (vgl. Art. 6 Abs. 1 lit. e DSGVORdn. 25). Die Erforderlichkeit der Daten für die rechtmäßige Aufgabenerfüllungbezieht sich bereits auf deren Erhebung, sie ist unabhängig von der Art und demVerfahren der nachfolgenden weiteren Verarbeitung. Aber immer muss es sich umeine konkrete Aufgabe der öffentlichen Stelle handeln, eine pauschale Sammelbe-zeichnung, wie zum Beispiel Verarbeitung zum »Verwaltungsvollzug«, reicht nichtaus.

Ob diese Voraussetzung gegeben ist, hängt von den Umständen des Einzelfalles ab,sie muss jeweils konkret nachgewiesen werden können. Sie wird in der Regel gegebensein bei Daten, die der Betroffene der öffentliche Stelle offenlegt, um die Gewährungeiner begehrten Leistung zu erreichen, insbesondere um das Vorliegen der gesetzli-chen Voraussetzungen hierfür darzutun, z.B. bei Angaben über die Einkommens-und Vermögensverhältnisse etwa in Anträgen auf Gewährung von Wohngeld odervon Leistungen nach dem BAföG, oder bei Daten zu Adresse, Beruf, Interessenprofil,um die gezielte Unterrichtung im Rahmen der Öffentlichkeitsarbeit durch öffentli-che Stellen zu ermöglichen.20

2. Umfang

Hinsichtlich des Umfangs der Daten, aber auch in zeitlicher Hinsicht (Speicher-dauer, Lösch- oder Aufbewahrungsfrist), ist der Erforderlichkeitsgrundsatz imZusammenhang mit der Verarbeitung zu beachten (vgl. ErwGr. 39 Satz 7 u. 10

17 Zum BDSG a.F.: Dammann, in: Simitis, BDSG, § 14 Rn. 15.18 So schon Drittaufl., § 13 BDSG a.F. Rn. 6.19 So schon Drittaufl., § 14 BDSG a.F. Rn. 5.20 So schon Drittaufl., § 13 BDSG a.F. Rn. 6.

1303Eßer

23

24

25

Leseprobe

145

146

147

§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

wird.220 Dienstliche und private Telefonate können durch unterschiedliche Vorwah-len getrennt werden. Für die Abrechnung ist es allerdings nicht erforderlich, diegesamte Telefonnummer des Gesprächspartners zu erfassen, diese ist daher auf diefür die Abrechnung relevanten Ziffern zu kürzen.221 Will der Arbeitgeber Verkehrs-daten zur Bekämpfung von Missbrauch verarbeiten, gilt das zu E-Mails Gesagteentsprechend (Rdn. 124).

Terrorlistenscreenings: Um mutmaßlichen Terroristen ihre Finanzierungsquellen zunehmen, verbietet das EU-Recht, bestimmte Geschäfte mit gelisteten Personen undOrganisationen einzugehen.222 Manche Unternehmen versuchen diese Vorgabeumzusetzen, indem sie die personenbezogenen Daten von Beschäftigten mit denentsprechenden Listen abgleichen.223 Dient der Abgleich allein dazu, Sanktionenvon dem Unternehmen abzuwenden und den öffentlich-rechtlichen Pflichten nach-zukommen, ist nach hier vertretener Ansicht (Rdn. 17 f.) Art. 6 DSGVO die ein-schlägige Rechtsgrundlage. Dient der Abgleich auch Zwecken des Beschäftigungsver-hältnisses, kommt § 26 BDSG zur Anwendung. Der BFH ist der Ansicht, ein solcherDatenabgleich sei geboten, um ein sog. AEO-Zertifikat zu erlangen, und nach dembisherigen § 32 Abs. 1 Satz 1 BDSG (jetzt § 26 Abs.1 Satz 1 BDSG) zulässig.224

Videoüberwachung: Die Videoüberwachung zu Zwecken des Beschäftigtenverhält-nisses ist in der Praxis weit verbreitet und hat das BAG bereits mehrfach beschäftigt.Zu unterscheiden ist erstens zwischen der Überwachung öffentlich zugänglicherRäume und nicht öffentlich zugänglicher Räume sowie zweitens zwischen offenerund heimlicher Überwachung.225 Stets unverhältnismäßig und unzulässig ist eineVideoüberwachung im Kernbereich privater Lebensführung (Sanitäranlagen,Umkleiden etc.).

Öffentlich zugängliche Räume: Die offene Videoüberwachung öffentlich zugängli-cher Räume richtet sich nach § 4 BDSG (bislang § 6b BDSG). Obwohl § 4 Abs. 2BDSG vorschreibt, dass die Videoüberwachung kenntlich zu machen ist, schließtdie Norm eine heimliche Videoüberwachung öffentlich zugänglicher Räume nicht

220 BAG, Beschl. v. 27.05.1986 – 1 ABR 48/84, BAGE 52, 88.221 Franzen, in: ErfK, § 32 BDSG Rn. 25; Mengel, BB 2004, 1445, 1449; a.A. wohl BAG,

Beschl. v. 27.05.1986 – 1 ABR 48/84, BAGE 52, 88; BAG, Beschl. v. 01.08.1990 – 7ABR 99/88, RDV 1991, 79, 80.

222 S. nur VO (EG) Nr. 2580/2001 und VO (EG) Nr. 881/2002, die beide laufend aktuali-siert werden.

223 Maschmann, NZA 2012, Beil. Nr. 2, 50, 55; zum Ganzen auch Behling, NZA 2015,1359 ff.; Byers/Fetsch, NZA 2015, 1364 ff.; Otto/Lampe, NZA 2011, 1134 ff.

224 BFH, Urt. v. 19.06.2012 – VII R 43/11 BFHE 237, 562 Rn. 12, abzulehnen ist dienicht begründete Ansicht in Rn. 15, auch eine (wirksame) Einwilligung könne eingeholtwerden. Hier fehlt es an der Freiwilligkeit.

225 Zum Ganzen Forst, RDV 2009, 204; Pötters/Traut, RDV 2013, 132.

1570 Forst Leseprobe

13

14

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen

halt des Rechts auf Datenschutz wahren und angemessene und spezifischeMaßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personvorsehen; die Verarbeitung muss außerdem aus Gründen eines erheblichen öffentli-chen Interesses erforderlich sein.9

Der deutsche Gesetzgeber hat durch die Verweisung des § 37 Abs. 2 Satz 2 auf dendie Verarbeitung besonderer Kategorien personenbezogener Daten betreffenden § 22Abs. 2 Satz 2 eine Reihe von angemessenen und spezifischen Maßnahmen zur Wah-rung der Interessen der betroffenen Person angeordnet. Die in § 22 Abs. 2 Satz 2vorgesehenen Maßnahmen müssen daher von den Versicherungsunternehmenbeachtet werden, wenn sie ihren Entscheidungen die automatisierte Verarbeitungvon Gesundheitsdaten zugrunde legen.10

C. Fach- und Landesrecht

Von der Öffnungsklausel des Art. 22 Abs. 2 lit. b DSGVO kann auch im Fach-und Landesrecht Gebrauch gemacht werden; bei Beachtung der Voraussetzungenkönnen also hier weitere Ausnahmen vom Verbot der automatisierten Einzelfallent-scheidung vorgesehen werden.

Kapitel 3 Pflichten der Verantwortlichen und Auftragsverarbeiter


(1) 1Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verord-nung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeitereine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie inder Regel mindestens zehn Personen ständig mit der automatisierten Verarbei-tung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oderder Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenab-schätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder ver-arbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermitt-lung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder

9 Die letztgenannte Voraussetzung ist nach der Begründung des Regierungsentwurfs (BT-Drs. 18/11325, 107) erfüllt, weil die Gewährleistung eines bezahlbaren und funktionsfähi-gen Krankenversicherungsschutzes in der Privaten Krankenversicherung als gewichtigesInteresse des Gemeinwohls anerkannt sei und eine wirtschaftliche Leistungsbearbeitung imMassenverfahren den Einsatz von automatisierten Verfahren voraussetze, insb. wenn es umdie Anwendung gesetzlicher und somit standardisierter Gebührenordnungen (z.B. GOÄ)gehe.

10 Zugleich werden durch diese Maßnahmen die oben genannten übrigen Voraussetzungendes Art. 9 Abs. 2 lit. g DSGVO erfüllt; so die Begründung des Regierungsentwurfs in BT-Drs. 18/11325, 107.

1678 Raum Leseprobe

Datenschutzbeauftragte nichtöffentlicher Stellen § 38

Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbei-tung beschäftigten Personen eine Datenschutzbeauftragte oder einen Daten-schutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedochnur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflich-tend ist.

Literatur:Siehe Literatur zu Art. 37 und 38 DSGVOAlbrecht Der fachkundige Beauftragte für den Datenschutz, AnwZert ITR 5/2011 Anm. 3;Berwanger Wann endet das Amt des betrieblichen Datenschutzbeauftragten?, DSB 2005(Heft 7+8), 16–19; Dzida/Kröpelin Kann ein Betriebsratsmitglied zugleich Datenschutzbeauf-tragter sein?, NZA 2011, 1018–1021 Ehmann, Die Bestellung zum Datenschutzbeauftragten,Datenschutz-Praxis 2017 (Heft 9), S. 1–5; Höppner Anm. zu BAG, Urteil vom 23.03.2011 –10 AZR 562/09 –, jurisPR-ITR 7/2012 Anm. 3; Kaufmann Bestellpflicht betrieblicher Daten-schutzbeauftragter, CR 2012, 413–416; Kremer/Garsztecki Die Pflicht zur Benennung einesDatenschutzbeauftragten nach der Datenschutz-Grundverordnung (DSGVO) und demBDSG-neu, AnwZert ITR 14/2017 Anm. 3; Ziebarth Bestellung, Probezeit und Kündigungs-schutz interner Datenschutzbeauftragter, PinG 2015, 65–67.

Übersicht Rdn.A. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1I. Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1II. Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2B. Kommentierung im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3I. Normadressaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3II. Zweck der Regelung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4III. Benennung eines bDSB bei nichtöffentlichen Stellen (Abs. 1). . . . . . . . . . . . . 6IV. Anwendung von Regelungen des § 6 (Abs. 2). . . . . . . . . . . . . . . . . . . . . . . 11C. Landes- und Fachrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13D. Sanktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

A. Allgemeines

I. Systematik

Die Regelung findet sich im »Teil 2 – Durchführungsbestimmungen für Verarbeitun-gen zu Zwecken gem. Art. 2 der Verordnung (EU) 2016/679« und dort im »Kapi-tel 3 – Pflichten der Verantwortlichen und Auftragsverarbeiter«.

II. Entwicklung

§ 38 wurde durch Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU(DSAnpUG-EU) vom 30.06.2017, BGBl. I S. 2097, in das BDSG eingefügt. Vor-gängerregelung ist § 4f BDSG in der Fassung des Gesetzes vom 14.08.2009.1

1 Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.08.2009, BGBl. IS. 2814.

1679Raum

1

2

Leseprobe

3

4

5

6

7



I. Normadressaten

Die Vorschrift richtet sich an alle nichtöffentlichen Stellen und an solche öffentlichenStellen, die i.S.v. § 2 Abs. 5 BDSG am Wettbewerb teilnehmen und die daher alsöffentliche Stellen gelten,2 für die nicht bereits aufgrund des Art. 37 Abs. 1 lit. a undb DSGVO obligatorisch ein bDSB zu benennen ist.3

II. Zweck der Regelung

Mit der Vorschrift wird von der sich durch Art. 37 Abs. 4 Satz 1 Halbs. 2 undArt. 38 Abs. 5 DSGVO ergebenden Möglichkeit Gebrauch gemacht, Regelungen zurBenennungspflicht, zur Verschwiegenheitspflicht bzw. dem Zeugnisverweigerungs-recht von bDSB in nicht-öffentlichen Stellen zu schaffen. Zudem wurde auch dieMöglichkeit umgesetzt, durch arbeitsrechtliche Vorschriften die zum 01.09.2009 ein-geführten Kündigungsschutzvorschriften auch nach dem Wegfall des BDSG a.F. wei-ter gelten zu lassen.

Bereits nach dem Ergebnis des Trilog-Verfahrens hatte das Bundesministerium desInnern angekündigt, die Bestellungsvoraussetzungen in einem Gesetz, das diese indeutsches Recht umsetzt und ergänzt, weitgehend unverändert gegenüber der bisheri-gen Rechtslage zu regeln.4

III. Benennung eines bDSB bei nichtöffentlichen Stellen (Abs. 1)

Abs. 1 macht von der Möglichkeit der Öffnungsklausel des Art. 37 Abs. 4 Satz 1Halbs. 2 DSGVO Gebrauch und verpflichtet nichtöffentliche Stellen zur Benennungeines bDSB unter den bisher in § 4f Abs. 1 Satz 4 BDSG a.F. genannten Vorausset-zungen.5 Danach sind nichtöffentliche Stellen verpflichtet, einen bDSB zu benen-nen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitungpersonenbezogener Daten beschäftigen.

Abs. 1 Satz 1 bestimmt zunächst, dass die Pflicht zur Benennung eines bDSBgelten soll, wenn der Betrieb mindestens zehn Personen mit der Verarbeitungpersonenbezogener Daten befasst. Beschäftigt das Unternehmen weniger als zehnPersonen mit der Verarbeitung personenbezogener Daten, entfällt die Pflicht zurBenennung eines bDSB. Der Begriff »Personen« wurde mit dem Gesetz vom22.08.20066 in die Vorgängerregelung des § 4f Abs. 1 Satz 4 BDSG a.F. eingeführt

2 Siehe hierzu auch § 2 Rdn. 7 ff.3 Zur Benennungspflicht nach Art. 37 Abs. 1 lit. ab und c DSGVO siehe hierzu auch Art. 37

DSGVO Rdn. 35 ff.4 Erklärung der GDD, Der Datenschutzbeauftragte in der Datenschutz-Grundverordnung,

DSB 2016, 14.5 BT-Drs. 18/11325, S. 107.6 Erstes Gesetz zum Abbau bürokratischer Hemmnisse insb. in der mittelständischen Wirt-

schaft vom 22.08.2006, BGBl. I, S. 1970.

1680 Raum Leseprobe

16

17

18

19

Vorbem. zu §§ 11 bis 16 TMG

dung vorgelegt. Die Schlussanträge des Generalanwalts41 legen eine Verantwortlich-keit des Fanpage-Betreibers nahe.42 Mit § 3 Abs. 7 BDSG a.F. und Art. 2 lit. d EG-DSRL waren abschließende Regelungen zur datenschutzrechtlichen Verantwortlich-keit personenbezogener Daten gegeben. Diese können nicht durch den Rückgriff aufZurechnungsnormen des Privatrechts oder des allgemeinen Polizei- und Ordnungs-recht ausgeweitet werden, was insbesondere auch eine Inanspruchnahme des Dienst-anbieters als Nichtstörer ausschließt.43

III. Nutzer

Nutzer ist jede natürliche oder juristische Person, die Telemedien nutzt, insbesondereum Informationen zu erlangen oder zugänglich zu machen, § 2 Satz 1 Nr. 3 TMG.Für den Bereich des Datenschutzes wird der Nutzerbegriff allerdings durch § 11Abs. 2 TMG auf natürliche Personen beschränkt.

IV. Personenbezogene Daten

Personenbezogene Daten sind gem. § 3 Abs. 1 BDSG a.F. Einzelangaben über per-sönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürli-chen Person.44 Hierunter fallen etwa E-Mail-Adressen, die den Vor- und Zunamendes Inhabers enthalten.45 Siehe zum Begriff der personenbezogenen Daten auch § 3BDSG a.F. Rdn. 3 ff. (allgemein; 5. Aufl.), § 11 TMG Rdn. 4 ff. (IP-Adressen), § 13TMG Rdn. 17 ff. (Cookies), § 14 TMG Rdn. 6 ff., 11 f. (Bestandsdaten, Inhaltsda-ten), § 15 TMG Rdn. 6 ff. (Nutzungsdaten).

V. Bestandsdaten

Zum Begriff der Bestandsdaten siehe § 14 TMG Rdn. 6 ff.

VI. Nutzungsdaten

Zum Begriff der Nutzungsdaten siehe § 15 TMG Rdn. 6 ff.

41 Schlussanträge des Generalanwalts Yves Bot vom 24.10.2017, Rs. C-210/16.42 S. hierzu auch § 15 TMG Rdn. 14.43 OVG Schleswig, Urt. v. 04.09.2014 – 4 LB 20/13, CR 2014, 801; VG Schleswig,

Urt. v. 09.10.2013 – 8 A 218/11, CR 2014, 682; VG Schleswig, Urt. v. 09.10.2013 –8 A 37/12, BeckRS 2013, 57580; VG Schleswig, Urt. v. 09.10.2013 – 8 A 14/12, ZD2014, 51 m. Anm. Karg; s.a. Moos, in: Taeger/Gabel, BDSG, § 11 TMG Rn. 30; Moos,K&R 2012, 151; Piltz, CR 2011, 657, 662; Voigt/Alich, NJW 2011, 3541; Wissenschaftli-cher Dienst des Schleswig-Holsteinischen Landtages, »Facebook-Kampagne« des ULD, LT-Drucks. 17/2988, S. 17 f. A.A. Mantz, ZD 2014, 62, 65 f., welcher für Einzelfälle eineStörerhaftung bejaht; s.a. den Vorlagebeschluss des BVerwG vom 25.02.2016 – 1 C 28.14zur Verantwortlichkeit bei Facebook Fanpages.

44 Ähnlich ist die Definition in Art. 4 Nr. 1 DSGVO.45 OLG Bamberg, Urt. v. 12.05.2005 – 1 U 143/04, CR 2006, 274, 276.

2198 Schreibauer Leseprobe

54

55

§ 13 TMG Pflichten des Diensteanbieters

V. Datenvermeidungsgrundsatz (Absatz 6)

Nach § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien undihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technischmöglich und zumutbar ist.176 Diese Vorschrift konkretisiert das auch in § 3aBDSG a.F. und Art. 5 Abs. 1 lit. c DSGVO niedergelegte Ziel der Daten-vermeidung.177

1. Anwendungsbereich

Die Regelung gilt zunächst für das Verhältnis des Nutzers zu Dritten, insbesondereanderen Nutzern eines Telemediendienstes178 und soll – im Rahmen des technischMöglichen und Zumutbaren – z.B. die Teilnahme an Foren unter einem Nicknameermöglichen. Inwieweit die Regelung im Anbieter-Nutzer-Verhältnis Anwendungfindet, ist umstritten. Zum Teil wird vertreten, dass nach der Vorschrift keine Ver-pflichtung des Diensteanbieters besteht, ein anonymes oder pseudonymes Vertrags-verhältnis zu ermöglichen.179 Nach anderer Ansicht180 schützt § 13 Abs. 6 TMGden Nutzer auch gegenüber dem Diensteanbieter. Dieser Ansicht folgend hat dasULD Schleswig-Holstein Aufsichtsmaßnahmen gegenüber dem sozialen NetzwerkFacebook ergriffen und die Ermöglichung einer Registrierung unter Nutzung einesPseudonyms angeordnet.181 Die Anordnungen hatten jedoch keinen Bestand, danach Ansicht des OVG Schleswig schon das deutsche Datenschutzrecht nicht

176 Siehe hierzu auch Pressemeldung und Verfügungen des ULD Schleswig-Holstein gegenFacebook wegen Klarnamenzwang bei Registrierung im Volltext: https://www.daten-schutzzentrum.de/presse/20121217-facebook-klarnamen.htm (zuletzt abgerufen am06.12.2017).

177 BT-Drs. 13/7385, S. 23; LG Kassel Urt. v. 12.07.2010 – 8 O 644/10, BeckRS 2010,20171; Kluge, K&R 2017, 230, 233; Schmitz, in: Hoeren/Sieber/Holznagel, HandbuchMultimedia-Recht, 2017, Teil 16.2 Rn. 202; Spindler/Nink, in: Spindler/Schuster, § 13TMG Rn. 21; Schnabel/Freund, CR 2010, 718.

178 BT-Drs. 13/7385, S. 23; Moos, in: Taeger/Gabel, BDSG, § 13 TMG Rn. 48 f.179 OLG Hamburg, Urt. v. 04.02.2009 – 5 U 180/07, ZUM 2009, 417, 420; OLG Düssel-

dorf, Urt. v. 07.06.2006 – 15 U 21/06, MMR 2006, 618, 620; Kluge, K&R 2017, 230,233; Moos, in: Taeger/Gabel, BDSG, § 13 TMG Rn. 49.

180 LG Kassel, Urt. v. 12.07.2010 – 8 O 644/10, BeckRS 2010, 20171; Feldmann, K&R2012, 113, 115; Fritsch/Roßnagel/Schwenke/Stadler, DuD 2005, 10, Fn. 1; Schnabel/Freund, CR 2010, 718 ff.; von einer generellen Anwendbarkeit gehen auch Kremer, CR2012, 438, 442 sowie Schröder, MMR 2010, 486, 487 aus.

181 Verfügungen vom 14.12.2012, Az.: LD4–61.41/12.0042 und LD4–61.41/12.004, abruf-bar unter: https://www.datenschutzzentrum.de/presse/20121217-facebook-klarna-men.htm (zuletzt abgerufen am 06.12.2017).

2258 Schreibauer Leseprobe

Stichwortverzeichnis

Halbfett gedruckte Ziffern verweisen auf den Paragraf und mager gedruckte Ziffern auf dieRandnummer der Kommentierung. Paragrafen ohne Gesetzesbezeichnung sind solche desBDSG, Artikel ohne Gesetzesbezeichnung sind solche der DSGVO.

2. BDSGÄndG § 10, 5Abberufung– durch Aufsichtsbehörde § 40, 48– durch Parlament § 10, 16– Schutz § 6, 8Abberufungsschutz– Datenschutzbeauftragter

Art. 38, 34 ff.Abberufungsverlangen § 40, 49Abhilfebefugnis § 82, 13Ablehnung § 30, 11; § 82, 24– Gründe § 82, 41– Verbraucherdarlehen § 43, 3Abordnungen– Mitarbeiter § 17, 31Abrechnungsdaten– Begriff § 15 TMG, 29– Einzelnachweise § 15 TMG, 34– Verwendung und Übermittlung von

Abrechnungsdaten § 15 TMG, 30 ff.Absicht § 42, 14Absorptionsprinzip § 41, 8Abstimmung § 18, 26– Organisation § 17, 40Abwägung § 6, 19Abwägungsentscheidung § 81, 4Abwehrrecht Einl. BDSG, 33Abwesenheitsvertreter § 17, 47Adressverzeichnisse Art. 2, 24Agentur– Begriff vor § 8, 9Akkreditierungsausschuss § 39, 5Akkreditierungsverfahren § 39, 3Allgemeine Norm § 1, 28Allgemeines Persönlichkeitsrecht

Einl. BDSG, 28Allgemeingültigkeitserklärung der

Europäischen KommissionArt. 40, 63 ff.

2327

Altersgrenze § 12, 9Altersverifikationssysteme Art. 8, 17Amt § 13, 5– Niederlegung § 6, 13Amtsgeheimnis § 1, 37; § 13, 23;

§ 16, 16Amtshilfe § 14, 15; § 16, 19, 25;

§ 19, 16; § 25, 21; § 82, 5– Deutschland § 82, 7– Übermittlung § 25, 21Amtshilfeersuchen– Befassung § 82, 16Amtshilfeverfahren § 82, 3– Durchführung der ersuchten Maß-

nahme Art. 61, 13– Ersuchen um Amtshilfe Art. 61, 11– Informationsübermittlung

Art. 61, 14– Rechtsschutz Art. 61, 15– Überblick Art. 61, 10Amtsträger § 12, 5; § 29, 25Amtsverhältnis § 12, 4– Beginn § 11, 13Amtsverschwiegenheit § 29, 16Amtszeit § 12, 22; § 17, 51Anbieter-Nutzer-Verhältnis– Anbieterbegriff § 11 TMG, 11– Dynamische IP-Adressen § 11

TMG, 6– europarechtlicher Bezug § 11

TMG, 2– personenbezogene Daten § 11

TMG, 4– Statische IP-Adressen § 11 TMG, 5– Steuerung von Arbeits- oder

Geschäftsprozessen § 11 TMG, 22– überwiegende Übertragung von Signa-

len § 11 TMG, 24

Leseprobe

Stichwortverzeichnis

– Verhältnis zu anderen Vorschriften§ 11 TMG, 3

Anfechtungsklage § 61, 8Angemessenheit § 49, 10; § 74, 8Angemessenheitsbeschluss § 21, 7;

§ 78, 8, 21; § 79, 10; § 80, 1Anhörung § 26, 110Anlaufstelle § 18, 27– Aufsichtsbehörde § 44, 18Annexkompetenz § 14, 5; § 17, 15;

§ 19, 9Anonymisierung § 71, 7– Begriff Art. 4, 71– Zeitpunkt § 27, 26Anonymität § 27, 24; § 77, 7Anordnung, einstweilige § 21, 29Anschrift– Ladungsfähigkeit § 55, 15Anspruch, privatrechtlich § 25, 41;

§ 32, 22Anspruchsinhaber § 83, 20, 21Anspruchskonkurrenz § 83, 57Anstellungsverhältnis § 53, 6Antrag § 35, 24Antragserfordernis, absolutes § 42, 24Anwendungsbereich § 48, 8; § 70, 4– BDSG § 42, 3; § 84, 3– Europarecht § 14, 24– JIRL § 14, 23; § 55, 9– Zeit § 1, 3Anwendungsvorrang– Europarecht § 1, 49; § 10, 10;

§ 14, 3Apotheker § 1, 24; § 29, 25Arbeitgeber– als Diensteanbieter vor § 88

TKG, 65 ff.Arbeitsanweisungen § 71, 9Arbeitsfähigkeit § 22, 14Arbeitsgerichtsbarkeit § 44, 22Arbeitsmedizin § 22, 15Arbeitsrecht § 22, 11Arbeitsverhältnis– Begriff § 11 TMG, 16

2328

– Bereitstellung zu ausschließlichberuflichen oder dienstlichen Zwe-cken § 11 TMG, 18

– Dienstverhältnis § 11 TMG, 17– E-Mail und Internetnutzung § 11

TMG, 20– E-Mail-Accounts ausgeschiedener

Beschäftigter und Organmitglieder§ 11 TMG, 21

– gemischte Nutzung § 11 TMG, 19Arbeitsvertrag Art. 6, 26Arbeitszeiterfassung § 26, 109Archiv § 28, 6– Begriff § 28, 5– Bundesländer § 28, 6, 15Archive, öffentliche Art. 89, 1 ff.– Anonymisierung/Pseudonymisierung

Art. 89, 8– Ausblick Art. 89, 16– Ausnahmen zugunsten von ~

Art. 89, 14– Einzelfallbetrachtung Art. 89, 10– Maßnahmen zur Datenminimierung

Art. 89, 9– vereinfachte Einwilligung Art. 89, 11– Vorgaben für die Verarbeitung

Art. 89, 8– Zweckänderungen Art. 89, 11Archivzweck § 28, 1, 6; § 34, 15– im öffentlichen Interesse liegend

Art. 9, 33Arzt § 1, 24; § 22, 14; § 29, 25Attrappe § 4, 64Auditprogramm Art. 47, 29Aufbewahrungsfristen § 35, 29Aufbewahrungspflicht § 34, 27Aufbewahrungsvorschrift § 34, 23, 24Aufenthalt, gewöhnlicher– Begriff § 44, 7Aufhebungsvertrag § 6, 14Aufklärung– Aufsichtsbehörde, Aufgaben

Art. 57, 10

Leseprobe

Documents

DSGVO BDSG - shop.wolterskluwer.de · Vorwortzur6.Auﬂage Das Datenschutzrecht ist nun europäisch harmonisiert. Den Wechsel von einem richtliniengeprägtenBDSGa.F.zurunmittelbargeltendenRegelungderGrundver-