Vorwort

Die Europäische Datenschutz-Grundverordnung (DSGVO) und das „neue“ BDSG sind nunmehr seit drei Jahren in Kraft. Trotzdem bleibt ihre Umsetzung eine laufende Herausforderung für Unternehmen. Denn einerseits haben viele Unternehmen die DSGVO noch lange nicht in alle Unternehmensprozesse und -bereiche integriert. Andererseits sind laufend neue Gerichtsurteile sowie Beschlüsse und Leitlinien der Datenschutzbehörden zu berücksichtigen. Schließlich können auch andere Entwicklungen, wie beispielsweise die globale Covid-19-Pandemie, die weiter fortschreitende digitale Transformation oder auch der Brexit, neue Fragestellungen mit sich bringen, die Unternehmen auch in datenschutzrechtlicher Hinsicht lösen müssen. Auch nach drei Jahren Geltungsdauer ist der Rechtsrahmen noch nicht so konkretisiert, dass zu allen Datenschutzfragen im Unternehmen einfach ableitbare Lösungen vorliegen. Hinzu kommt, dass die Datenschutzbehörden häufig besonders strenge Positionen vertreten, denen Unternehmen nicht ohne Weiteres folgen wollen. Es bleibt aktuell also weitgehend den Unternehmen selbst überlassen, pragmatische und praxistaugliche Lösungen zur Umsetzung der DSGVO-Vorgaben zu entwickeln.

Vor diesem Hintergrund richtet sich das vorliegende Handbuch an alle Datenschutzpraktiker, also Datenschutzverantwortliche in Unternehmen, Datenschutzbeauftragte, Syndizi, Datenschutzberater, Mitarbeiter in Datenschutzbehörden sowie Rechtsanwälte. Es soll umfassende Lösungen für die Vielzahl an Fragestellungen liefern, die sich im Unternehmen ganz praktisch bei der Einhaltung der DSGVO ergeben. Das vorliegende Handbuch dient als kontinuierlicher Ratgeber bei datenschutzrechtlichen Fragestellungen, sowohl im täglichen Geschäft als auch um gewisse Themenbereiche grundsätzlich zu adressieren. Statt einer Aneinanderreihung verschiedener Beiträge war es dabei das Anliegen, eine systematische Darstellung der Rechtslage zu gewährleisten, die auch eine Einarbeitung ermöglicht. Gleichzeitig sollen die zahlreichen Praxishinweise bei der Umsetzung der abstrakten Vorgaben helfen.

Einige besondere Themenkomplexe – wie etwa Fragen des Web Trackings oder Customer Relationship Managements – haben für den Datenschutzpraktiker regelmäßig und fortwährend eine überragende Bedeutung. Sie erfordern unseres Erachtens eine in sich geschlossene Darstellung, um ihre praktischen Implikationen zu erfassen. Diese Themenkomplexe werden in Kapitel 17 erläutert. Darüber hinaus haben wir in der 2. Auflage nunmehr ein eigenes Kapitel zum Datenschutzrecht in Österreich aufgenommen, um auch diese Facette des praktischen Datenschutzes zu beleuchten.

Um der Bedeutung des Case Law für die Auslegung und Anwendung der DSGVO gerecht zu werden, haben wir einen für deutsche Praxishandbücher ungewöhnlichen Teil in dieses Handbuch aufgenommen: Wir haben die relevantesten Urteile zum Datenschutzrecht in einem eigenen Kapitel aufbereitet. Der Datenschutzpraktiker hat so eine Quelle, um sich alle Leitentscheidungen zu vergegenwärtigen.

Bei den Autoren dieses Handbuchs handelt es sich ausnahmslos um erfahrene Datenschutzpraktiker, die sich in ihrer Arbeit laufend mit den adressierten Themen auseinandersetzen. Wir danken diesen Autoren, dass sie in einer durch eine Pandemie geprägten, beruflich und familiär belastenden Zeit den Enthusiasmus und Einsatz gezeigt haben, um dieses Werk zu ermöglichen. Ihre in der Praxis gewonnenen Erfahrungen stellen einen unschätzbaren Mehrwert dieses Werks dar.

Über sämtliche Anregungen zu diesem Handbuch sind wir dankbar.

Flemming Moos

Jens Schefzig

Marian Arning

im April 2021

Autorenverzeichnis

Dr. Marian Alexander Arning, LL.M., Dozent an der Türkisch-Deutschen Universität in Istanbul u.a. für Datenschutz- und IT-Recht. Zudem ist er seit 2011 als Rechtsanwalt in Deutschland zugelassen und war in der Folge im Bereich des Datenschutz- und IT-Rechts bei den internationalen Wirtschaftsrechtskanzleien Norton Rose Fulbright und Osborne Clarke in Hamburg tätig. In diesem Zusammenhang hat er internationale Großkonzerne, Mittelständler, aber auch Start-Ups zu allen Aspekten des Datenschutzrechts beraten. Ein besonderer Schwerpunkt liegt im Bereich Life Science & Healthcare. Er hat seinen Master im IT-Recht am Institut für Rechtsinformatik der Leibniz Universität Hannover und an der Katholieke Universiteit Leuven (Belgien) absolviert. Dr. Arning hat eine Vielzahl von Buch- und Zeitschriftenbeiträgen zum Datenschutzrecht veröffentlicht.

Dr. Ulrich Baumgartner, LL.M. (King’s College London), Partner der Kanzlei BAUMGARTNER BAUMANN am Standort München, zuvor Partner der Kanzleien Allen & Overy und Osborne Clarke. Er berät seit 2003 im deutschen und europäischen Datenschutzrecht sowie im IT-Recht. Einen Schwerpunkt seiner Beratung bildet die Onlinebranche sowie der Sektor Digital Business. Neben seiner Anwaltstätigkeit leitet Ulrich Baumgartner als Region Leader die Aktivitäten der International Association of Privacy Professionals (IAPP) in Deutschland, Österreich und der Schweiz und ist Co-Chair der lokalen Münchener Gruppe der IAPP. Er ist regelmäßiger Referent zu Datenschutzthemen und Autor verschiedener Kommentare, Fachbücher und Beiträge zum Datenschutzrecht.

Ingo Braun, Rechtsanwalt und Partner in der Kanzlei bpv Hügel in Österreich. Er ist seit 2004 als Rechtsanwalt in Österreich zugelassen und war seither mit einem Schwerpunkt im Bereich des IT- und Datenschutzrechts in unterschiedlichen internationalen Kanzleien tätig. Er hält Vorträge und verfasst Beiträge zum Datenschutzrecht.

Cay Lennart Cornelius, Justiziar und Referent insbesondere im Bereich Sanktionen bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Vor dem Wechsel zur Aufsichtsbehörde war er unter anderem als selbstständiger externer Datenschutzbeauftragter und mehrere Jahre als wissenschaftlicher Mitarbeiter im IT- und Datenschutzrecht im Team von Dr. Flemming Moos in der Kanzlei Osborne Clarke an den Standorten Berlin und Hamburg tätig. Die International Association of Privacy Professionals (IAPP) verlieh ihm die Zertifikate des Certified Information Privacy Professional/Europe (CIPP/E) und des Certified Information Privacy Manager (CIPM).

Eva Gardyan-Eisenlohr, Rechtsanwältin und Absolventin der Ecole Nationale d’Administration, Frankreich. Nach langjähriger Tätigkeit als in-house counsel in der AgroScience und Pharmaindustrie, leitete sie als General Counsel und Compliance Officer von 2009–2015 die Rechtsfunktion der Bayer Pharma AG und verantwortete von 2016–2020 als Group Data Privacy Officer die weltweite Datenschutzfunktion der Bayer AG. Für die Rechtsfunktion war sie Mitglied im Bayer Digital Excellence Council. Zum 1. Januar 2021 wechselte Eva Gardyan-Eisenlohr zur Olympus Corporation, Tokio. Seit dem 1. April 2021 ist sie für das Unternehmen Global Chief Compliance Officer und verantwortet die Bereiche Compliance, Ethics und Data Privacy berichtend an den Vorstandsvorsitzenden.

Dr. Tina Gausling, LL.M. (Columbia University), Fachanwältin für IT-Recht und zertifizierte Datenschutzexpertin (CIPP/E) in der Kanzlei Allen & Overy LLP am Standort München. Nach einem Masterstudium an der Columbia Law School in New York war sie in führenden internationalen Wirtschaftskanzleien in Berlin, Hamburg und München tätig. Sie berät nationale und internationale Unternehmen im IT- und Datenschutzrecht vorrangig zu grenzüberschreitenden Fragestellungen und mit einem besonderen Fokus auf aktuellen technologischen Entwicklungen, u.a. in den Bereichen Online-Marketing und AdTech, IoT und Künstliche Intelligenz. Dr. Gausling wirkt als Mitglied des European Advisory Board der IAPP (International Association of Privacy Professionals) intensiv an der rechtlichen Weiterentwicklung dieser Themen mit, publiziert regelmäßig in Fachzeitschriften und internationalen Journals und tritt als Referentin auf fachspezifischen Tagungen, Konferenzen und in Seminaren auf.

Stephan Hansen-Oest, Rechtsanwalt und Fachanwalt für IT-Recht in Flensburg. Er ist seit 2002 Rechtsanwalt und Inhaber einer Kanzlei für Datenschutzrecht. Neben der anwaltlichen Beratung ist Rechtsanwalt Hansen-Oest zudem auch als rechtlicher Sachverständiger für das Gütesiegel für IT-Produkte des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und auch als Legal Expert für das European Privacy Seal (EuroPriSe) akkreditiert gewesen. Er ist Certified Information Privacy Professional/Europe (CIPP/E) und Geschäftsführer der Datenschutz-Guru GmbH.

Carmen Heinemann, Diplom-Informationsjuristin (FH), arbeitet als Beraterin für IT-Compliance, Prozessmanagement, Business Intelligence und Digitalisierung in der Hessischen Landesbank an der Schnittstelle zwischen IT, Informationssicherheit und Datenschutz. Neben ihrer langjährigen Tätigkeit als IT-Projektmanagerin, u.a. bei der Deutschen Bank, IBM und Microsoft, hat Frau Heinemann Informationsrecht studiert, um die zunehmenden Compliance-Anforderungen bei der Einführung von IT-Lösungen optimal berücksichtigen zu können. Nebenberuflich lehrt und schreibt Frau Heinemann zu Praxisfragen des IT-Rechts und des IT-Projektmanagements. Frau Heinemann ist zertifizierte IT-Security Beauftragte (TÜV) und zertifizierte IT-Compliance Managerin (TÜV).

Per Meyerdierks, Senior Privacy Counsel und Syndikusrechtsanwalt bei Google in Hamburg. Er ist seit 2005 als Rechtsanwalt und seit 2017 als Syndikusrechtsanwalt zugelassen. Nachdem er zunächst in der Rechtsabteilung der Lycos Europe GmbH tätig war, berät er seit 2007 Google in allen Fragen des Datenschutzrechts mit Fokus auf die an Unternehmen gerichteten Cloud-Dienste. Er ist zudem Ansprechpartner für die Datenschutzaufsichtsbehörden in mehreren Ländern einschließlich Deutschlands. Per Meyerdierks hat diverse Fachbeiträge zum Datenschutzrecht verfasst und tritt regelmäßig als Referent zu diesem Thema auf.

Dr. Flemming Moos, Fachanwalt für IT-Recht und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und war seither im Bereich des IT- und Datenschutzrechts in unterschiedlichen internationalen Kanzleien tätig. Dr. Moos leitet die internationale Data Privacy Service Line bei Osborne Clarke und hat im Datenschutzrecht einen Branchenfokus in den Bereichen Retail, Digital Business sowie Life Science & Healthcare. Schwerpunkte seiner Beratung liegen in Datenschutz-Complianceprojekten, in der Vertretung in komplexen Gerichts- und Behördenverfahren und in der Begleitung datengetriebener Digitalisierungsvorhaben. Er ist Mitglied der International Association of Privacy Professionals (IAPP) und leitet aktuell deren Hamburg KnowledgeNet. Dr. Moos hat diverse Bücher und Fachbeiträge zum Datenschutzrecht verfasst; er tritt regelmäßig als Referent auf den führenden Datenschutzkongressen auf.

Leif Rohwedder, Rechtsanwalt und Senior Legal Counsel in der Konzernrechtsabteilung von Telefónica Deutschland am Standort Hamburg. Er ist seit 2001 als Rechtsanwalt zugelassen und schwerpunktmäßig im Gewerblichen Rechtsschutz, Datenschutzrecht und Vertragsrecht tätig. Bei Telefónica zählt die Vertragsgestaltung und rechtliche Beratung bei der Konzeption von Werbemaßnahmen für die Marke O2 zu seinen Aufgaben. Daneben doziert er seit 2009 als Referent für Lehrgänge zum Datenschutz in den Gebieten Permission-Management und Datenschutz bei Telemedien. Leif Rohwedder ist außerdem Mitautor eines Formularhandbuchs für Datennutzungs- und Datenschutzverträge.

Dr. Tobias Rothkegel, Rechtsanwalt in der Kanzlei Osborne Clarke am Standort Hamburg. Er ist seit 2016 als Rechtsanwalt zugelassen und im Bereich des IT- und Datenschutzrechts tätig. Ferner berät er zu den rechtlichen Aspekten von Cyber-Security und Blockchain. Herr Rothkegel hat einen Branchenfokus in den Bereichen Life Science und Financial Services und berät dabei internationale Großkonzerne, mittelständische Unternehmen als auch Start-Ups zu sämtlichen Aspekten des Datenschutzrechts und -managements und der Datennutzung sowie rechtlichen Fragenstellungen rund um Cyber-Security und Blockchain. Er hat an zahlreichen Veröffentlichungen im Bereich des Datenschutzrechts sowohl in führenden Fachzeitschriften als auch in juristischen Handbüchern und Kommentaren mitgewirkt.

Dr. Jens Schefzig, Rechtsanwalt und Partner in der Kanzlei Osborne Clarke am Standort Hamburg. Nachdem er zuvor für eine andere internationale Kanzlei tätig war, ist er seit 2014 Rechtsanwalt bei Osborne Clarke. Er berät ausschließlich zu Rechtsfragen rund um Daten. Vor seiner Tätigkeit als Rechtsanwalt war Dr. Schefzig als Unternehmensberater bei McKinsey & Company tätig. Er befasst sich deshalb insbesondere auch mit Fragen des Datenschutzmanagements. Dr. Schefzig hat zahlreiche Buch- und Zeitschriftenbeiträge zum Datenschutzrecht verfasst und ist regelmäßiger Referent auf Fachtagungen und -kongressen.

Laurenz Strassemeyer, Diplom-Jurist und Doktorand an der Universität Bonn. Er lässt sich zur datenschutzrechtlichen Regulierung von Künstlicher Intelligenz von Prof. Dr. Specht-Riemenschneider promovieren. Seit Januar 2021 ist er Visiting Student Researcher an der UC Berkeley School of Law am Berkeley Center for Law & Technology. Zuvor arbeitete Herr Strassemeyer zwei Jahre als wissenschaftlicher Mitarbeiter bei Osborne Clarke in der Praxisgruppe IT-Recht & Datenschutz in Hamburg. Nach Abschluss seines Studiums 2018 absolvierte er ein mehrmonatiges Client Secondment für eine Boutique-Kanzlei für Datenschutz und IT-Recht bei einem weltweit führenden Textildiscounter, den er bei der Umsetzung der DSGVO-Vorgaben unterstützte. Herr Strassemeyer ist seit August 2019 zudem Mitglied der Redaktion der Fachzeitschrift Datenschutz-Berater (DSB).

Dr. Anna Zeiter, LL.M. (Stanford), ist Associate General Counsel und Chief Privacy Officer von eBay Inc. Vor ihrer Tätigkeit bei eBay hat Anna Zeiter in Hamburg im Bereich Medienrecht promoviert und war anschließend als Rechtsanwältin bei zwei internationalen Großkanzleien im Bereich Datenschutz-, IT- und eCommerce-Recht tätig. Anschließend hat sie das LL.M.-Programm in Law, Science and Technology Recht an der der Stanford Law School absolviert. Neben ihrer beruflichen Tätigkeit ist Anna Zeiter regelmäßig Referentin bei internationalen Datenschutzkonferenzen und unterrichtet als Dozentin an verschiedenen Universitäten, u.a. in Bern, St. Gallen und Göttingen. Daneben veröffentlicht Frau Dr. Zeiter regelmäßig Beiträge zu datenschutzrechtlichen Themen, beispielsweise im Stanford Transatlantic Technology Law Forum sowie im European Data Protection Law Review. Darüber hinaus ist Anna Zeiter Board Member der International Association of Privacy Professionals (IAPP), Committee Member des Data Protection Officer Networks in Dublin sowie Mitglied des World Economic Forums (WEF).

Die Beiträge geben die persönlichen Meinungen der Autoren wieder.

Abkürzungsverzeichnis

a.A.

anderer Ansicht

ABl.

Amtsblatt

ABl. EG

Amtsblatt der Europäischen Gemeinschaft

ABl. EU

Amtsblatt der Europäischen Union

Abs.

Absatz

AES

Advanced Encryption Standard

AEUV

Vertrag über die Arbeitsweise der Europäischen Union (EU-Arbeitsweisevertrag)

AGB

Allgemeine Geschäftsbedingungen

AiB

Arbeitsrecht im Betrieb

AktG

Aktiengesetz

Alt.

Alternative

AMGuaÄndG

Gesetz zur Änderung arzneimittelrechtlicher und anderer Vorschriften

Anm.

Anmerkung

AO

Abgabenordnung

API

Advance Passenger Information

ArbG

Arbeitsgericht

ArbRB

Arbeitsrechtsberater (Zeitschrift)

Art.

Artikel

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht

BAG

Bundesarbeitsgericht

BAGE

Entscheidungen des Bundesarbeitsgerichts

BayDSG

Bayerisches Datenschutzgesetz

BayLDA

Bayerisches Landesamt für Datenschutzaufsicht

BB

Betriebs-Berater (Zeitschrift)

BCR

Binding Corporate Rules

BDIU

Bundesverband Deutscher Inkasso-Unternehmen

BDSG

Bundesdatenschutzgesetz

BeckOK

Beck’scher Onlinekommentar

BeckOK-DS

Wolff/Brink (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 35. Edition, 2021

BeckOK-OWiG

Graf (Hrsg.), Beck’scher Online-Kommentar OWiG, 29. Edition, 2021

BeckOK-StGB

von Heintschel-Heinegg (Hrsg.), Beck’scher Online-Kommentar StGB, 48. Edition, 2020

Begr.

Begründung

BetrVG

Betriebsverfassungsgesetz

BfDI

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BGBl.

Bundesgesetzblatt

BGH

Bundesgerichtshof

BITKOM

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.

BlnBDI

Berliner Beauftragte für Datenschutz und Informationsfreiheit

BNotO

Bundesnotarordnung

BORA

Berufsordnung der Rechtsanwälte

BOStB

Satzung über die Rechte und Pflichten bei der Ausübung der Berufe der Steuerberater und der Steuerbevollmächtigten (Berufsordnung)

BRAO

Bundesrechtsanwaltsordnung

BR-Drs.

Drucksache des Deutschen Bundesrates

BSG

Bundessozialgericht

BSI

Bundesamt für Sicherheit in der Informationstechnik

BT

Bundestag

BT-Drs.

Drucksache des Deutschen Bundestages

BVDW

Bundesverband Digitale Wirtschaft e.V.

BVerfG

Bundesverfassungsgericht

BVerfGE

Entscheidungen des Bundesverfassungsgerichts

CR

Computer und Recht (Zeitschrift)

Cri

Computer und Recht International (Zeitschrift)

CRM

Customer Relationship Management

DB

Der Betrieb (Zeitschrift)

d.h.

das heißt

Drs.

Drucksache

DSB

Datenschutzberater (Zeitschrift)

DSB

Datenschutzbeauftragter

DSRL

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie)

DuD

Datenschutz und Datensicherheit (Zeitschrift)

DV

Datenverarbeitung

e.V.

Eingetragener Verein

EDV

Elektronische Datenverarbeitung

EG

Europäische Gemeinschaft

EMRK

Konvention zum Schutze der Menschenrechte und Grundfreiheiten (Europäische Menschenrechtskonvention)

ENISA

European Union Agency for Network and Information Security

ER

Europäischer Rat

EuGH

Europäischer Gerichtshof

EU-Komm

Europäische Kommission

EWR

Europäischer Wirtschaftsraum

FAQ

Frequently Asked Questions

f.

folgende

ff.

fortfolgende

Fn.

Fußnote

FS

Festschrift

GDD

Gesellschaft für Datenschutz und Datensicherheit

GenDG

Gendiagnostikgesetz

GewO

Gewerbeordnung

GG

Grundgesetz

GmbH

Gesellschaft mit beschränkter Haftung

GmbHG

Gesetz betreffend die Gesellschaften mit beschränkter Haftung

GrCh

Europäische Grundrechtecharta

GVG

Gerichtsverfassungsgesetz

h.M.

herrschende Meinung

Hs.

Halbsatz

HBÜ

Haager Übereinkommen vom 18.3.1970 über die Beweisaufnahme im Ausland in Zivil- und Handelssachen

HGB

Handelsgesetzbuch

HR

Human Resources

ico

Information Commissioner,s Office

i.d.R.

in der Regel

i.S.d.

im Sinne des/der

i.S.v.

im Sinne von

ID

Identity

IHK

Industrie- und Handelskammer

IKS

Internes Kontrollsystem

IP

Intellectual Property

ISMS

IT-Sicherheitsmanagement-System

ISO

Internationale Organisation für Normung

IoT

Internet of things

i.S.d.

im Sinne des/der

i.S.v.

im Sinne von

IT

Informationstechnologie

ITRB

Der IT-Rechts-Berater (Zeitschrift)

i.V.m.

in Verbindung mit

Kap.

Kapitel

K&R

Kommunikation und Recht (Zeitschrift)

KWG

Gesetz über das Kreditwesen (Kreditwesengesetz)

LAG

Landesarbeitsgericht

LDI NRW

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

LfD

Landesbeauftragte/Landesbeauftragter für den Datenschutz

LfDI M-V

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

LG

Landgericht

lit.

littera (= Buchstabe)

LT-Drs.

Landtags-Drucksache

MaRisk

Mindestanforderungen an das Risikomanagement

MDR

Monatsschrift für Deutsches Recht (Zeitschrift)

MedR

Medizinrecht (Zeitschrift)

Mio.

Millionen

MMR

Multimedia und Recht (Zeitschrift)

Mrd.

Milliarden

MüKo-BGB

Münchener Kommentar zum Bürgerlichen Gesetzbuch (BGB), Band 2, Schuldrecht – Allgemeiner Teil I, 8. Aufl. 2019

MüKo-GmbHG

Münchener Kommentar zum Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG), Band 2, §§ 35–52, 3. Aufl. 2019

MüKo-StGB

Münchener Kommentar zum Strafgesetzbuch (StGB), Band 4, §§ 185–262, 3. Aufl. 2017

m.w.N.

mit weiteren Nachweisen

NJW

Neue Juristische Wochenschrift (Zeitschrift)

NJW-RR

NJW-Rechtsprechungsreport (Zeitschrift)

Nr.

Nummer

Nrn.

Nummern

NRW

Nordrhein-Westfalen

NVwZ

Neue Zeitschrift für Verwaltungsrecht

NZA

Neue Zeitschrift für Arbeitsrecht

OECD

Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Co-operation and Development)

OLG

Oberlandesgericht

OVG

Oberverwaltungsgericht

OWiG

Gesetz über Ordnungswidrigkeiten

PIN

Persönliche Identifikationsnummer

PostG

Postgesetz

RDV

Recht der Datenverarbeitung (Zeitschrift)

RegE

Regierungsentwurf

Rn.

Randnummer

Rs.

Rechtssache (EuGH)

RSA

Asymmetrisches Verschlüsselungssystem nach Rivest, Shamir und Adleman

S.

Seite, Satz (bei Rechtsnormen)

SaaS

Software as a Service

Schufa

Schutzgemeinschaft für allgemeine Kreditsicherung

SGB I

Sozialgesetzbuch Erstes Buch

SGB V

Sozialgesetzbuch Fünftes Buch

SGB X

Sozialgesetzbuch Zehntes Buch

SIM

Subscriber Identity Module

SMS

Short Message Service

StBerG

Steuerberatungsgesetz

StGB

Strafgesetzbuch

st. Rspr.

ständige Rechtsprechung

StPO

Strafprozessordnung

TB

Tätigkeitsbericht

TKG

Telekommunikationsgesetz

TMG

Telemediengesetz

TTDSG

Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien

u.a.

unter anderem

UKlaG

Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz)

ULD SH

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

UrhG

Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz)

USA

United States of America

USB

Universal Serial Bus

usw.

und so weiter

UWG

Gesetz gegen den unlauteren Wettbewerb

Var.

Variante

VG

Verwaltungsgericht

vgl.

vergleiche

VoIP

Voice over IP

Vol.

Volume

VPN

Virtual private Network

VuR

Verbraucher und Recht (Zeitschrift)

VVG

Gesetz über den Versicherungsvertrag (Versicherungsvertragsgesetz)

VwGO

Verwaltungsgerichtsordnung

VwVfG

Verwaltungsverfahrensgesetz

WLAN

Wireless Local Area Network

WP

Working Paper

WRP

Wettbewerb in Recht und Praxis (Zeitschrift)

ZAfTDa

Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz

z.B.

zum Beispiel

Ziff.

Ziffer

ZPO

Zivilprozessordnung

ZUM

Zeitschrift für Urheber- und Medienrecht

Literaturverzeichnis

Adam, Azad

Implementing electronic document and record management systems, Boca Raton 2007 (zit.: Adam)

Albrecht, Jan Philipp/Jotzo, Florian

Das neue Datenschutzrecht der EU, Baden-Baden 2017 (zit.: Albrecht/Jotzo)

Auer-Reinsdorff, Astrid/Conrad, Isabell

Handbuch IT- und Datenschutzrecht, 3. Aufl., München 2019 (zit.: Auer-Reinsdorff/Conrad/Bearbeiter)

Auernhammer, Herbert

(herausgegeben von Eßer, Martin/Kramer, Philipp/v. Lewinski, Kai) DSGVO BDSG, 7. Aufl., Köln 2020 (zit. Auernhammer/Bearbeiter)

Bader, Johann/Ronellenfitsch, Michael

Beck’scher Online-Kommentar VwVfG, 51. Edition, München 2020 (zit.: BeckOK-VwVfG/Bearbeiter)

Behling, Thorsten B./Abel, Ralf B.

Praxishandbuch Datenschutz im Unternehmen, Berlin 2014 (zit.: Behling/Abel/Bearbeiter)

Bergmann, Jan

Handlexikon der Europäischen Union, 5. Aufl., Baden-Baden 2015 (zit.: Bergmann/Bearbeiter)

Beyvers, Eva

Privatheit in der Waagschale, Berlin 2018

Bresich, Ronald/Dopplinger, Lorenz/Dörnhöfer, Stefanie/Kunnert, Gerhard/Riedl, Eckhard

DSG: Datenschutzgesetz Kommentar, Wien 2018 (zit.: Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl)

Bretz, Jörg/Hinssen, Johannes/Kolb, Andreas/Martin, Gerd/Peltier, Georges/Rosenberger, Peter

IT-Sicherheitsmanagement in Banken und Sparkassen, Heidelberg 2007 (zit.: Bretz et al./Bearbeiter)

von dem Bussche, Axel/Voigt, Paul

Konzerndatenschutz, 2. Aufl., München 2019 (zit.: von dem Bussche/Voigt/Bearbeiter)

Calliess, Christian/Ruffert, Matthias

EUV/AEUV, 5. Aufl., München 2016 (zit.: Calliess/Ruffert/Bearbeiter)

Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo

Bundesdatenschutzgesetz, 5. Aufl., Frankfurt/Main 2016 (zit.: Däubler/Klebe/Wedde/Weichert/Bearbeiter)

Däubler, Wolfgang/Wedde, Peter/Weichert, Thilo/Sommer, Imke

EU-DSGVO und BDSG, 2. Aufl., Frankfurt/Main 2020 (zit.: Däubler/Wedde/Weichert/Sommer/Bearbeiter)

Dauses, Manfred A./Ludwigs, Markus

Handbuch des EU-Wirtschaftsrechts, 52. Aufl., München 2021 (zit.: Dauses/Ludwigs/Bearbeiter)

Dochow, Carsten/Dörfer, Bert-Sebastian/Halbe, Bernd/Hübner, Marlis/Ippach, Jan/Schröder, Jürgen/Schütz, Joachim/Strüve, Jakob

Datenschutz in der ärztlichen Praxis, Köln 2019 (zit.: Dochow/Dörfer/Halbe/Hübner/Ippach/Schröder/Schütz/Strüve/Bearbeiter)

Dreier, Thomas/Schulze, Gernot

Urheberrechtsgesetz, 6. Aufl., München 2018 (zit.: Dreier/Schulze/Bearbeiter)

Ehmann, Eugen/Schonschek, Oliver

Prozessorientierte Datenschutzpraxis, 2. Aufl., Kissing 2011 (zit.: Ehmann/Schonschek)

Ehmann, Eugen/Selmayr, Martin

Datenschutz-Grundverordnung, 2. Aufl., München 2018 (zit.: Ehmann/Selmayr/Bearbeiter)

Falta, Roman P./Dueblin, Christian

Praxishandbuch Legal Operations Management, Berlin/Heidelberg 2017 (zit.: Falta/Dueblin/Bearbeiter)

Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen

Betrieblicher Datenschutz, 3. Aufl., München 2019 (zit.: Forgó/Helfrich/Schneider/Bearbeiter)

Forgó, Nikolaus/Kollek, Regine/Arning, Marian/Krügel, Tina/Petersen, Imme

Ethical and Legal Requirements of Transnational Genetic Research, München/Oxford/Baden-Baden 2010 (zit.: Forgó/Kollek/Arning/Krügel/Petersen)

Friedewald, Michael/Obersteller, Hannah/Nebel, Maxi/Bieker, Felix/Rost, Martin

White Paper Datenschutz-Folgenabschätzung (zit.: Friedewald/Obersteller/Nebel/Bieker/Rost)

Gierschmann, Sibylle/Schlender, Katharina/Stentzel, Rainer/Veil, Winfried

Kommentar Datenschutz-Grundverordnung, Köln 2018 (zit. Gierschmann/Schlender/Stentzel/Veil/Bearbeiter)

Gola, Peter

Datenschutz-Grundverordnung, 2. Aufl., München 2018 (zit.: Gola/Bearbeiter)

Gola, Peter/Heckmann, Dirk

Bundesdatenschutzgesetz, 13. Aufl., München 2019 (zit.: Gola/Heckmann/Bearbeiter)

Gola, Peter/Jaspers, Andreas/Müthlein, Thomas/Schwartmann, Rolf

DS-GVO/BDSG im Überblick, 3. Aufl., Frechen 2018 (zit. Gola/Jaspers/Müthlein/Schwartmann)

Gola, Peter/Schomerus, Rudolf

Bundesdatenschutzgesetz, 12. Aufl., München 2015 (zit.: Gola/Schomerus/Bearbeiter)

Golland, Alexander

Datenverarbeitung in sozialen Netzwerken, Frankfurt/Main 2019 (zit.: Golland)

Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin

Das Recht der Europäischen Union, Band 1, 71. Aufl., München 2020 (zit.: Grabitz/Hilf/Nettesheim/Bearbeiter)

Graf, Peter

Beck’scher Online-Kommentar OWiG, 29. Edition, München 2021 (zit.: BeckOK-OWiG/Bearbeiter)

Griller, Stefan/Rill, Heinz Peter

Rechtstheorie: Rechtsbegriff – Dynamik – Auslegung, Wien 2011 (zit.: Griller/Rill/Bearbeiter)

Hänlein, Andreas/Schuler, Rolf

Sozialgesetzbuch V: Gesetzliche Krankenversicherung, 5. Aufl., Baden-Baden 2016 (zit.: Hänlein/Schuler/Bearbeiter)

Härting, Niko

Datenschutz-Grundverordnung, Köln 2016 (zit.: Härting)

Hansen-Oest, Stephan

Datenschutzbeauftragte, Frankfurt a.M. 2020

Hartmann, Matthias H.

Internationale E-Discovery und Information Governance, Berlin 2011 (zit.: Hartmann/Bearbeiter)

Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas

Corporate Compliance, 3. Aufl., München 2016 (zit.: Hauschka/Moosmayer/Lösler/Bearbeiter)

Heidrich, Jörg/Forgó, Nikolaus/Feldmann, Thorsten

Heise Online-Recht, 3. EL, Hannover 2011 (zit.: Heidrich/Forgó/Feldmann/Bearbeiter)

von Heintschel-Heinegg, Bernd

Beck’scher Online-Kommentar StGB, 48. Edition, München 2020 (zit.: BeckOK-StGB/Bearbeiter)

Hoffmann-Becking, Michael

Münchener Handbuch des Gesellschaftsrechts Band 4, Aktiengesellschaft, 5. Aufl., München 2020 (zit.: Münchener Handbuch des Gesellschaftsrechts/Bearbeiter)

Hunzinger, Sven

Das Löschen im Datenschutzrecht, Baden-Baden 2018

Jahnel, Dietmar

Datenschutzrecht – Jahrbuch 2018, Wien 2018 (zit.: Jahnel/Bearbeiter, Datenschutzrecht – Jahrbuch 2018)

Jarass, Hans D.

Charta der Grundrechte der Europäischen Union, 3. Aufl., München 2016 (zit.: Jarass/Bearbeiter)

Johlen, Heribert

Münchener Prozessformularbuch, Band 7 Verwaltungsrecht, 5. Aufl., München 2018 (zit.: Johlen/Bearbeiter)

Junker, Abbo

Electronic Discovery gegen deutsche Unternehmen, Frankfurt/Main 2008 (zit.: Junker)

Katzenmeier, Christian/Ratzel, Rudolf

Festschrift für Franz-Josef Dahm, Berlin 2017 (zit.: Katzenmeier/Ratzel/Bearbeiter)

Kersten, Heinrich/Klett, Gerhard/Reuter, Jürgen/Schröder, Klaus-Werner

IT-Sicherheitsmanagement nach der neuen ISO 27001, 2. Aufl., Wiesbaden 2020 (zit.: Kersten/Klett/Reuter/Schröder)

Kilian, Wolfgang/Heussen, Benno

(herausgegeben von Taeger, Jürgen/Pohle, Jan) Computerrechts-Handbuch, 35. Aufl., München 2020 (zit.: Kilian/Heussen/Bearbeiter)

Knoll, Matthias

IT-Prüfung und IT-Revision, Heidelberg 2013 (zit.: Knoll/Bearbeiter)

Knyrim, Rainer

Datenschutz-Grundverordnung, Wien 2016 (zit.: Knyrim/Bearbeiter)

Knyrim, Rainer

Der DatKomm Praxiskommentar zum Datenschutzrecht – DSGVO und DSG, Stand: 7.5.2020, Wien 2020 (zit.: Knyrim/Bearbeiter, Der DatKomm Praxiskommentar zum Datenschutzrecht – DSGVO und DSG)

Köhler, Helmut/Bornkamm, Joachim/Feddersen, Jörn

Gesetz gegen den unlauteren Wettbewerb UWG, 39. Aufl., München 2021 (zit.: Köhler/Bornkamm/Feddersen/Bearbeiter)

Körber-Risak, Katharina/Brodil, Wolfgang

Datenschutz und Arbeitsrecht, Wien 2018 (zit.: Körber-Risak/Brodil/Bearbeiter, Datenschutz und Arbeitsrecht)

Koreng, Ansgar/Lachenmann, Matthias

Formularhandbuch Datenschutzrecht, 2. Aufl., München 2018 (zit.: Koreng/Lachenmann/Bearbeiter)

Kotschy, Waltraud

RdW Spezial: DSGVO, Wien 2019 (zit.: Kotschy/Bearbeiter, RdW Spezial: DSGVO)

Kühling, Jürgen/Buchner, Benedikt

Datenschutz-Grundverordnung BDSG, 3. Aufl., München 2020 (zit.: Kühling/Buchner/Bearbeiter)

Kühling, Jürgen/Martini, Mario/Heberlein, Johanna/Kühl, Benjamin/Nink, David/Weinzierl, Quirin/Wenzel, Michael

Die Datenschutz-Grundverordnung und das nationale Recht, Münster 2016 (zit.: Kühling/Martini et al.)

Laue, Philip/Kremer, Sascha

Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019 (zit.: Laue/Kremer/Bearbeiter)

Laue, Philip/Nink, Judith/Kremer, Sascha

Das neue Datenschutzrecht in der betrieblichen Praxis, Baden-Baden 2016 (zit.: Laue/Nink/Kremer)

Laufs, Adolf/Kern, Bernd-Rüdiger/Rehborn, Martin

Handbuch des Arztrechts, 5. Aufl., München 2019 (zit.: Laufs/Kern/Rehborn/Bearbeiter)

Loomans, Dirk/Matz, Manuela/Wiedemann, Michael

Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems, Wiesbaden 2014 (zit.: Loomans/Matz/Wiedemann)

von Mangoldt, Hermann/Klein, Friedrich/Starck, Christian

Kommentar zum Grundgesetz, Band 2, 7. Aufl., München 2018 (zit.: v. Mangold/Klein/Starck/Bearbeiter)

Mazal, Wolfgang/Risak, Martin E.

Das Arbeitsrecht – System und Praxiskommentar, 33. Lieferung, Wien 2019 (zit.: Mazal/Risak/Bearbeiter, Arbeitsrecht – System und Praxiskommentar)

Meyer-Ladewig, Jens/Nettesheim, Martin/von Raumer, Stefan

EMRK, 4. Aufl., Baden-Baden 2017 (zit.: Meyer-Ladewig/Nettesheim/von Raumer/Bearbeiter)

Moos, Flemming

Datenschutz und Datennutzung, 3. Aufl., Köln 2021 (zit.: Moos/Bearbeiter)

Münchener Kommentar zum Aktiengesetz (AktG)

Band 2, §§ 76–117, MitbestG, DrittelbG, 5. Aufl., München 2019 (MüKo-AktG/Bearbeiter)

Münchener Kommentar zum Bürgerlichen Gesetzbuch (BGB)

Band 2, Schuldrecht – Allgemeiner Teil I, 8. Aufl., München 2019 (zit.: MüKo-BGB/Bearbeiter)

Münchener Kommentar zum Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)

Band 2, §§ 35–52, 3. Aufl., München 2019 (zit.: MüKo-GmbHG/Bearbeiter)

Münchener Kommentar zum Strafgesetzbuch (StGB)

Band 4, §§ 185–262, 3. Aufl., München 2017 (zit.: MüKo-StGB/Bearbeiter)

Paal, Boris P./Pauly, Daniel A.

Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., München 2018 (zit.: Paal/Pauly/Bearbeiter)

Piltz, Carlo

BDSG, Frankfurt a.M. 2018 (zit.: Piltz)

Plath, Kai-Uwe

DSGVO/BDSG, 3. Aufl., Köln 2018 (zit.: Plath/Bearbeiter)

Pollirer, Hans J./Weiss, Ernst M./Knyrim, Rainer/Haidinger, Viktoria

DSG, 4. Aufl., Wien 2019 (zit.: Pollirer/Weiss/Knyrim/Haidinger, DSG)

Riesenhuber, Karl

Europäische Methodenlehre, 3. Aufl., Berlin 2015 (zit.: Riesenhuber/Bearbeiter)

Riesz, Thomas/Schilchegger, Michael

TKG: Telekommunikationsgesetz, Wien 2016 (zit.: Riesz/Schilchegger/Bearbeiter, Telekommunikationsgesetz)

Rolfs, Christian/Giesen, Richard/Kreikebohm, Ralf/Meßling, Miriam/Udsching, Peter

Beck’scher Online-Kommentar Sozialrecht, 59. Edition, München 2020 (zit.: BeckOK-Sozialrecht/Bearbeiter)

Roßnagel, Alexander

Europäische Datenschutz-Grundverordnung, Baden-Baden 2017 (zit.: Roßnagel/Bearbeiter)

Roßnagel, Alexander/Hornung, Gerrit/Jandt, Silke

Teil-Rechtsgutachten zu den datenschutzrechtlichen Fragen der medizinischen Forschung, Stand 12/2009 (zit.: Roßnagel/Hornung/Jandt, Teil-Rechtsgutachten zu den datenschutzrechtlichen Fragen der medizinischen Forschung)

Rücker, Daniel/Kugler, Tobias

New European General Data Protection Regulation, München, Oxford, Baden-Baden 2018 (zit.: Rücker/Kugler/Bearbeiter)

Schaffland, Hans-Jürgen/Wiltfang, Noeme

Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Stand 2021, Berlin (zit.: Schaffland/Wiltfang/Bearbeiter)

Schantz, Peter/Wolff, Heinrich Amadeus

Das neue Datenschutzrecht, München 2017 (zit.: Schantz/Wolff/Bearbeiter)

Schmeh, Klaus

Kryptografie, 6. Aufl., Heidelberg 2016 (zit.: Schmeh)

Schönke, Adolf/Schröder, Horst

Strafgesetzbuch (StGB), 30. Aufl., München 2019 (zit.: Schönke/Schröder/Bearbeiter)

Schrems, Max

Kämpf um deine Daten, Wien 2014 (zit.: Schrems)

Schwartmann, Rolf/Jaspers, Andreas/Thüsing, Gregor/Kugelmann, Dieter

DS-GVO/BDSG, 2. Aufl, Heidelberg 2020 (zit.: Schwartmann/Jaspers/Thüsing/Kugelmann/Bearbeiter)

Schwarze, Jürgen/Becker, Ulrich/Hatje, Armin/Schoo, Johann

EU-Kommentar, 4. Aufl., Baden-Baden 2019 (zit.: Schwarze/Becker/Hatje/Schoo/Bearbeiter)

Simitis, Spiros

Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zit.: Simitis/Bearbeiter)

Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra

Datenschutzrecht: DSGVO mit BDSG, Baden-Baden 2019 (zit. Simitis/Hornung/Spiecker gen. Döhmann/Bearbeiter)

Specht, Louisa

Diktat der Technik, Baden-Baden 2019

Specht, Louisa/Mantz, Reto

Handbuch Europäisches und deutsches Datenschutzrecht, München 2019 (zit.: Specht/Mantz/Bearbeiter)

Specht-Riemenschneider, Louisa/Buchner, Benedikt/Heinze, Christian/Thomsen, Oliver

Festschrift für Jürgen Taeger: IT-Recht in Wissenschaft und Praxis, Frankfurt a.M. 2020 (zit.: FS Taeger/Bearbeiter)

Specht-Riemenschneider, Louisa/Werry, Nikola/Werry, Susanne

Datenrecht in der Digitalisierung, Berlin 2020 (zit.: Specht-Riemenschneider/Werry/Werry/Bearbeiter)

Spickhoff, Andreas

Medizinrecht, 3. Aufl., München 2018 (zit.: Spickhoff/Bearbeiter)

Spindler, Gerald/Schuster, Fabian

Recht der elektronischen Medien, 4. Aufl., München 2019 (zit.: Spindler/Schuster/Bearbeiter)

Sydow, Gernot

Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit.: Sydow/Bearbeiter)

Sydow, Gernot

Bundesdatenschutzgesetz, Baden-Baden 2020 (zit.: Sydow/Bearbeiter)

Taeger, Jürgen

Smart World – Smart Law?, Tagungsband DSRI-Herbstakademie, Edewecht 2016 (zit.: Taeger/Bearbeiter, DSRITB 2016)

Taeger, Jürgen

Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, Tagungsband DSRI-Herbstakademie, Edewecht 2017 (zit.: Taeger/Bearbeiter, DSRITB 2017)

Taeger, Jürgen

Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, Tagungsband DSRI-Herbstakademie, Edewecht 2018 (zit.: Taeger/Bearbeiter, Rechtsfragen digitaler Transformationen)

Taeger, Jürgen

Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, Tagungsband DSRI-Herbstakademie, Edewecht 2019 (zit.: Taeger/Bearbeiter, DSRITB 2019)

Taeger, Jürgen

Den Wandel begleiten – IT-rechtliche Herausforderungen der Digitalisierung, Tagungsband DSRI-Herbstakademie, Edewecht 2020 (zit.: Taeger/Bearbeiter, DSRITB 2020)

Taeger, Jürgen/Gabel, Detlev

DSGVO BDSG, 3. Aufl., Frankfurt/Main 2019 (zit.: Taeger/Gabel/Bearbeiter)

Thome, Günter/Sollbach, Wolfgang

Grundlagen und Modelle des Information Lifecycle Management, Heidelberg 2007 (zit.: Thome/Sollbach)

Thüsing, Gregor

Beschäftigtendatenschutz und Compliance, 3. Aufl., München 2021 (zit.: Thüsing)

Vedder, Christoph/Heintschel von Heinegg, Wolff

Europäisches Unionsrecht, 2. Aufl., München 2018 (zit.: Vedder/Heintschel/v. Heinegg/Bearbeiter)

Weber, Wolfgang/Kabst, Rüdiger/Baum, Matthias

Einführung in die Betriebswirtschaftslehre, 10. Aufl., Wiesbaden 2017 (zit.: Weber/Kabst/Baum)

Wenhold, Céline

Nutzerprofilbildung durch Webtracking, Baden-Baden 2018

Weth, Stephan/Herberger, Maximilian/Wächter, Michael/Sorge, Christoph

Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., München 2019 (zit.: Weth/Herberger/Wächter/Sorge/Bearbeiter)

Wiedemann, Gerhard

Handbuch des Kartellrechts, 4. Aufl., München 2020 (zit.: Wiedemann/Bearbeiter)

Wolff, Heinrich Amadeus/Brink, Stefan

Beck’scher Online-Kommentar Datenschutzrecht, 35. Edition, München 2021 (zit.: BeckOK-DS/Bearbeiter)

Wybitul, Tim

EU-Datenschutz-Grundverordnung im Unternehmen, Frankfurt/Main 2016 (zit.: Wybitul/Bearbeiter)

Zippelius, Reinhold

Juristische Methodenlehre, 12. Aufl., München 2021 (zit.: Zippelius)

Kapitel 1 Grundlagen des Umgangs mit der DSGVO

I. Die Anwendung der DSGVO und der nationalen Begleitgesetze

1

Die DSGVO wurde häufig in einem Satz dadurch charakterisiert, dass sie keine Revolution, sondern eher eine Evolution des Datenschutzrechts mit sich gebracht habe. Das stimmt in vielen Bereichen, z.B. weil die der DSGVO zugrundeliegenden Datenschutzprinzipien1 bereits aus der DSRL bekannt waren und weil u.a. einige Zulässigkeitsvorschriften2 fast wortgleich aus der DSRL übernommen worden waren.

2

Es ist aber auch richtig, dass die DSGVO in mehreren Bereichen bedeutsame Änderungen bewirkt hat. Zwei prominente Beispiele hierfür sind die signifikant erhöhten Bußgelder3 und die starke Ausprägung der Verpflichtungen zur Implementierung eines Datenschutz-Managementsystems,4 das in dem von der DSGVO verlangten Reifegrad vorher nur in sehr wenigen Unternehmen konsequent umgesetzt war.

1. Stand der Umsetzung in den Unternehmen

3

Jedes Unternehmen, das in relevantem Umfang personenbezogene Daten verarbeitet, musste und muss sich deshalb intensiv mit den Regelungen befassen und in spezifischen DSGVO-Umsetzungsprojekten oder im Rahmen laufender Kontrollen die Relevanz für die eigene Datenverarbeitung ermitteln und notwendige Anpassungsmaßnahmen ableiten und ergreifen.5 Nach unseren Erfahrungen ist es zwar so, dass die allermeisten Unternehmen ihre DSGVO-Umsetzungsprojekte mittlerweile abgeschlossen haben. Es ist aber auch nicht zu verkennen, dass bei weitem nicht alle Unternehmen bereits eine 100 %ige DSGVO-Konformität erreicht haben. Nach einer Umfrage des Branchenverbandes Bitkom aus dem September 2019 hätten zwar 67 % der Unternehmen Maßnahmen zur Umsetzung der DSGVO ergriffen; es seien eineinhalb Jahre nach Inkrafttreten der neuen Regelungen aber nur 25 % der Unternehmen vollständig DSGVO-konform.6 Darüber hinaus muss aus einem statischen Datenschutz-Managementsystem, das im Rahmen eines DSGVO-Umsetzungsprojekts entsteht, ein dynamisches System werden, das sich laufend optimiert. Anderenfalls ist eine nachhaltige DSGVO-Compliance gerade nicht gewährleistet.7 Es ist daher wichtig, sich fortwährend zu vergegenwärtigen, dass der Übergang zur DSGVO auch einen systematischen Schwenk mit sich gebracht hat, der in zeitlicher und in inhaltlicher Hinsicht ebenfalls fortwährend bewältigt werden muss.

2. Zeitliche Geltung

4

In zeitlicher Hinsicht war der Übergang weniger problematisch, weil es eine klare Stichtagsregelung gibt: Bis zum 24.5.2018 war das alte Recht vollumfänglich anwendbar; erst seit dem 25.5.2018 gilt die DSGVO. Dort wo die DSGVO also Erleichterungen gegenüber der ehemaligen Rechtslage bewirkt hat, z.B. durch den Verzicht auf das ehemals in § 11 Abs. 2 S. 2 BDSG a.F. normierte Schriftformerfordernis, dürfen diese erst seit dem Stichtag in rechtssicherer Weise in Anspruch genommen werden.

5

Ungeachtet dessen bedeutet dies nicht, dass das alte Recht ab sofort keine Rolle mehr spielt. Gerade in derzeit noch laufenden Gerichtsverfahren müssen Sachverhalte häufig noch nach altem Recht – und ggf. parallel auch nach der DSGVO–beurteilt werden. Ein aktuelles Beispiel bildet das Gerichtsverfahren in Sachen Planet49: Der EuGH hat in seiner Entscheidung8 einleitend festgestellt, dass der Ausgangsrechtsstreit nach der Zurückverweisung an den vorlegenden BGH u.U. auf Grundlage der nach der letzten mündlichen Verhandlung zur Geltung gekommenen DSGVO entschieden werden müsse und die Vorlagefragen daher sowohl nach Maßgabe der DSRL als auch der DSGVO zu beantworten waren.

3. Unmittelbare Geltung

6

Ein ganz maßgeblicher Unterschied des „neuen Datenschutzrechts“ gegenüber den alten Regelungen ergibt sich aus dem Rechtscharakter der DSGVO als einer Verordnung: Sie gilt als Verordnung gemäß Art. 288 Abs. 2 AEUV unmittelbar in jedem Mitgliedstaat und bedarf deshalb keiner Umsetzung durch die Mitgliedstaaten. Bei den zusätzlich erlassenen nationalen Datenschutzgesetzen handelt es sich deshalb auch nicht um Umsetzungsakte, sondern um (freiwillige) Begleitgesetze, die den direkten und unmittelbaren Geltungsanspruch der DSGVO unberührt lassen. Die Adressaten der DSGVO einschließlich der mit personenbezogenen Daten umgehenden Unternehmen sind direkt an die Pflichten aus der DSGVO gebunden.

4. Zusammenspiel mit anderen Regelwerken

7

Die DSGVO verfolgt dabei aber keinen Vollharmonisierungsansatz in dem Sinne, dass es keinerlei Datenschutzvorschriften in anderen Regelwerken auf europäischer oder nationaler Ebene mehr geben kann und soll. Zwar wurde die DSRL gemäß Art. 94 Abs. 1 DSGVO zeitlich zum 25.5.2018 aufgehoben, damit sind aber keineswegs alle Parallelgesetze beseitigt. Im Gegenteil bettet sich die DSGVO in ein Regelungsgeflecht aus manchen neuen und manchen weitergeltenden Datenschutzregelungen ein. Hieraus entsteht eine nicht zu unterschätzende Komplexität.

a) Begleitgesetze auf Basis von Öffnungsklauseln

8

Zunächst enthält die DSGVO selbst eine Reihe sogenannter „Öffnungsklauseln“, in denen sie den Mitgliedstaaten gestattet, spezifizierende oder abweichende Regelungen zu treffen. Beispiele hierfür sind Art. 8 Abs. 1 UAbs. 2 DSGVO, wonach die Mitgliedstaaten eine Absenkung der Altersgrenze für Einwilligungen von Minderjährigen von 16 auf bis zu 13 Jahren vorsehen dürfen; und Art. 37 Abs. 4 S. 1, 2. HS DSGVO, der es den Mitgliedstaaten gestattet, von Art. 37 Abs. 1 DSGVO abweichende Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten vorzusehen.

9

In vielen Mitgliedstaaten sind entsprechende Gesetzgebungsverfahren bereits abgeschlossen, die der Inanspruchnahme dieser insgesamt ca. 80 Öffnungsklauseln dienen. Der deutsche Gesetzgeber war hierbei besonders schnell: Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU vom 30.6.2017) war bereits am 5.7.2017 im Bundesgesetzblatt verkündet worden.9

10

Das Artikelgesetz enthält unter anderem als Art. 1 das BDSG, welches die Begleitvorschriften zur DSGVO enthält, die auf deren Öffnungsklauseln gestützt sind.10 Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG parallel zur DSGVO am 25.5.2018 in Kraft.

11

Am 29.11.2019 ist in Deutschland das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) in Kraft getreten. Es handelt sich ebenfalls um ein Artikelgesetz, durch das – allerdings überwiegend nur terminologische – Änderungen an diversen Einzelgesetzen vorgenommen wurden, um so die Datenschutzregelungen in diesen Gesetzen mit den Begrifflichkeiten der DSGVO zu harmonisieren.

b) Spezialgesetzliche Datenschutzregelungen in Richtlinien und Gesetzen

12

Explizit nicht durch die DSGVO abgelöst wurde die RL 2002/58/EG.11 In Art. 95 DSGVO wird folgerichtig das Verhältnis der Regelungswerke zueinander geregelt, und zwar in dem Sinne, dass die RL 2002/58/EG vorrangig vor der DSGVO gilt, soweit sie besondere Pflichten enthält, die dasselbe Ziel wie die DSGVO-Pflichten verfolgen. Die RL 2002/58/EG ist also in ihrem Anwendungsbereich lex specialis zur DSGVO.

13

Daraus folgt, dass auch die mitgliedstaatlichen Vorschriften zur Umsetzung der RL 2002/58/EG Vorrang haben vor der DSGVO; in Deutschland sind dies einige – aber nicht alle – Datenschutzregelungen im TKG, manche Datenschutzvorschriften im TMG und die Regelung in § 7 Abs. 2 und 3 UWG. Problematisch hierbei ist, dass die Datenschutzvorschriften in TKG und TMG keine 1:1-Umsetzungen der Richtlinienvorgaben sind. Sie enthalten vielmehr auch Regeln mit datenschutzrechtlicher Natur, die in der RL 2002/58/EG nicht vorgesehen sind- oder möglicherweise gerade keine Umsetzung der entsprechenden Vorschriften in der RL 2002/58/EG sind. Soweit dies der Fall ist, partizipieren solche überschießenden Regelungen nicht am Anwendungsvorrang und werden prinzipiell von der DSGVO verdrängt.

Praxishinweis

Aktuell ergibt sich hieraus eine besondere Problematik bei der Frage des rechtmäßigen Einsatzes von Cookies auf Unternehmens-Webseiten. Es bestehen unterschiedliche Ansichten darüber, ob die Regelungen im TMG eine ordnungsgemäße Umsetzung von Art. 5 Abs. 3 der RL 2002/58/EG darstellen. Die deutschen Datenschutzaufsichtsbehörden verneinen dies mit der Folge, dass sie insbesondere § 15 Abs. 3 TMG für unanwendbar halten und die Zulässigkeit am Maßstab der DSGVO messen.12

c) Datenschutzregelungen außerhalb des Anwendungsbereichs der DSGVO

14

13

15

Der Vollständigkeit halber sei abschließend erwähnt, dass es auch datenschutzrechtliche Regelungsmaterien gibt, die weder in die Anwendungsbereiche der DSGVO noch der RL 2016/680/EU fallen, wie etwa im Bereich der Landesverteidigung. Für die Datenverarbeitung durch Unternehmen spielen diese Regelungen freilich allenfalls eine Nebenrolle.

d) Zwischenergebnis

16

Der vorstehende Überblick zeigt, dass es nunmehr ein schwieriger zu bewältigendes Regelungsgeflecht von DSGVO, Richtlinien und nationalen Begleit- und Umsetzungsgesetzen gibt. Gerade dort, wo nationale Datenschutzvorschriften nicht eindeutig und trennscharf einer Öffnungsklausel der DSGVO oder einer umzusetzenden Richtlinienvorgabe zugewiesen werden können, besteht eine unsichere Rechtslage.