www.wikidata.de-de.nina.az

Datenschutz Grundverordnung Die DSGVO oder DS GVO französisch Règlement général sur la protection des données RGPD engli

Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.


Verordnung (EU) 2016/679

Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
Kurztitel: Datenschutz-Grundverordnung
Bezeichnung:
(nicht amtlich) 		DSGVO, DS-GVO
Geltungsbereich: EWR
Rechtsmaterie: Datenschutzrecht
Grundlage: AEUV, insbesondere Art. 16 und Charta der Grundrechte der Europäischen Union', insbesondere Art. 8
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Anzuwenden ab: 25. Mai 2018
Fundstelle: ABl. L 119, 4. Mai 2016, S. 1–88
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten!

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der Richtlinie (EU) 2016/680 für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union. Sie ist darüber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes Recht.

Zu diesem Datenschutzrahmen trat im November 2018 die auch für die Organe und Stellen der Europäischen Union verbindliche Verordnung (EU) 2018/1725 in Kraft.

Unmittelbare Geltung; nationale Sonderregelungen Bearbeiten

Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Die Mitgliedstaaten bringen jedoch durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang (Art. 85 und Art. 86 der Verordnung). Für diese und andere Rechtsvorschriften ist die Datenschutz-Grundverordnung bereits seit deren Inkrafttreten am 24. Mai 2016 maßgeblich. Den Mitgliedstaaten ist es sonst grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.

Regelungsbedarf gibt es damit sowohl im Hinblick auf die Öffnungsklauseln der Datenschutz-Grundverordnung als auch wegen des Bedarfs der Bereinigung nationalen Datenschutzrechts. Diese Ziele sollen in Deutschland auf Bundesebene mit der Neufassung des Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze erreicht werden. Das Gesetz vom 30. Juni 2017 hebt nationales Datenschutzrecht auf oder überführt die bei Inkrafttreten der Datenschutz-Grundverordnung unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes in andere Gesetzesbereiche, es passt Regelungen an und schafft teils neue Vorschriften für den Datenschutz. Bereits bei der Diskussion um die diversen Referentenentwürfe des Bundesinnenministeriums, das bei der Gesetzgebung federführend war, haben Datenschützer die unzureichende Berücksichtigung der Erfahrungen der letzten Jahre bemängelt. Juristen bezweifeln die Vereinbarkeit des angepassten Bundesdatenschutzgesetzes mit europäischem Recht.

Inhalt Bearbeiten

Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat.

Aufbau der DSGVO Bearbeiten

Die DSGVO besteht aus 99 Artikeln in elf Kapiteln:

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflichten des Verantwortlichen und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten, Berichtigung und Löschung – das „Recht auf Vergessenwerden“ – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling, Beschränkungen)
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen (u. a. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, Datenverarbeitung am Arbeitsplatz, Zugang der Öffentlichkeit zu amtlichen Dokumenten, Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften)
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen (u. a. Aufhebung der Richtlinie 95/46/EG und Inkrafttreten der DSGVO)

Vor den 99 Artikeln sind 173 Erwägungsgründe (ErwG) angeführt, die zur Auslegung der Artikel mit herangezogen werden.

Bereiche der Neuregelung Bearbeiten

Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt. Insbesondere bleibt der Begriff der „personenbezogenen Daten“ in Art. 4 weiterhin weit gefasst:

Weiterhin gilt ebenfalls, dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig ist. Diese sind in Art. 6 aufgeführt, wovon mindestens einer erfüllt sein muss:

  • Die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

Zusammenfassend gilt:

Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsätzliche Präzisierungen:

Grundsätze der Verarbeitung personenbezogener Daten Bearbeiten

Die DSGVO führt in Art. 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Der Verantwortliche muss die Einhaltung all dieser Grundsätze nachweisen. Die Nichteinhaltung dieser Grundsätze und der Rechenschaftspflicht kann mit einem angemessenen Bußgeld in Höhe von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 lit. a).

Diese Grundsätze stellen die Programmatik der Verordnung dar. Die Regelung war fast wortlautgleich Teil der Datenschutzrichtlinie (Art. 6 Richtlinie 95/46/EG) und als diese bis 1998 in nationale Gesetzgebung umzusetzen. Sie sind mehr als symbolische Wiederholungen der Art. 16 AEUV, Art. 8 GRCh oder „Transmissionsriemen“ zwischen diesen Bestimmungen und der Verordnung – dies belegt insbesondere die hohe Bußgeldbewehrung der Nichteinhaltung der Bestimmung.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Bearbeiten

Der Dreiklang Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz bedingt einander.

Der Rechtmäßigkeits-Grundsatz lässt sich weit und eng auslegen. Eine enge Auslegung bezieht sich auf die Zulässigkeit der Verarbeitung (Frage nach den „Ob?“), eine weitere Auslegung stellt die Frage nach dem „Wie?“. Die herrschende Meinung legt die Vorschrift eng aus, stellt jedoch fest, dass der ErwG 40 in dieser Hinsicht nicht eindeutig ist.

Es ist festzustellen, dass insbesondere der Grundsatz der Verarbeitung nach Treu und Glauben noch weiter zu fassen ist, als in der deutschen Rechtsprechung üblich, so sprechen die anderen Sprachversionen beispielsweise von „fairness“ (englisch, nicht etwa von „good faith“), „loyauté“ (französisch, Anständigkeit, nicht etwa „bonne foi“), „correttezza“ (italienisch, Richtigkeit, nicht etwa „buona fede“) und „behoorlijkheid“ (niederländisch, Angemessenheit, nicht etwa „goede trouw“).

Transparenz stellt hier die Umsetzung der beiden vorgenannten Grundsätze dar: Es muss einerseits retrospektiv nachvollziehbar sein, der Datenverarbeitung Schritt für Schritt zu folgen. Dies hatte bereits 1983 das Bundesverfassungsgericht im Volkszählungsurteil festgestellt. Der Transparenzgedanke der Verordnung geht jedoch über diese reine Rückschau hinaus. Es muss vielmehr vorausblickend möglich sein, nicht nur den Prozess der Verarbeitung zu überblicken und verstehen, sondern auch den Zusammenhang und damit auch bspw. den Grund der Verarbeitung und den Zeitpunkt und Grund der Übermittlung an Dritte. (ErwG 39)

Zweckbindung Bearbeiten

Zweckgebundene Daten und das Konzept ihrer konformen Verwendung tragen zu Transparenz, Rechtssicherheit und Vorhersehbarkeit bei, die Grundsätze zielen darauf ab, die Betroffenen zu schützen, indem sie Beschränkungen für die Verwendung ihrer Daten durch die dafür Verantwortlichen festlegen und die Angemessenheit der Verarbeitung stärken. Der Grundsatz orientiert sich wie die anderen Grundsätze der Verordnung an höherrangigem Recht. Art. 8 EMRK zielt auf den Schutz des Privatlebens ab und verlangt eine Rechtfertigung für jeden Eingriff in die Privatsphäre. Entsprechend entwickelte der EGMR den „Test zur Bemessung der Erwartung an die Privatheit“. Das Gericht weitete diesen Schutz und Test, einschließlich des Schutzes personenbezogener Daten, schrittweise von Fällen der Sammlung und Archivierung personenbezogener Daten durch Geheimdienste auf die jüngsten Fälle aus, in denen das Gericht diese Garantien auf das Arbeitsumfeld und auf öffentliche Räume noch vor dem Inkrafttreten der Verordnung aus der EMRK ableitete und anwandte. Entsprechend weitreichend ist der Grundsatz der Zweckbindung.

Damit die Zweckbindung überhaupt realisiert werden kann, muss der Zweck festgelegt, eindeutig und legitim sein (Art. 5 Abs. 1 lit. b). Entsprechend muss der Zweck bereits zum Zeitpunkt der Erhebung feststehen (ErwG 39), eine allgemeine Angabe wie „geschäftsmäßige Verarbeitung“ oder „Bankgeschäfte“ reichen der herrschenden Meinung nach nicht aus. Vielmehr muss der Zweck „so klar zum Ausdruck gebracht werden, dass Zweifel daran, ob und in welchem Sinne der Verantwortliche der Verarbeitung den Zweck festgelegt hat, ausgeschlossen sind“.

Austausch personenbezogener Daten in der EU Bearbeiten

Der Austausch personenbezogener Daten in der EU darf nicht (mehr) mit dem Argument abgelehnt werden, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Art. 1 Abs. 3 formuliert:

„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Geltungsbereich Bearbeiten

Die DSGVO unterscheidet (im Gegensatz etwa zum deutschen Bundesdatenschutzgesetz a. F.) nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen – für alle Verantwortlichen gilt dasselbe Recht. Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten laut Art. 2 nicht unter die Verordnung. Die Erwägungsgründe 16 und 18 erläutern dies näher:

Marktortprinzip Bearbeiten

Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen oder Organisationen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten. Dies bedeutet, dass die DSGVO nicht nur Anwendung findet, wenn die Datenverarbeitung im Gebiet der Union oder durch einen im Gebiet der Union ansässigen Anbieter stattfindet, sondern nach Art. 3 der Verordnung auch, wenn die Datenverarbeitung mit einem Angebot in Zusammenhang steht, das sich an Personen im Unionsgebiet richtet. Die genaue Bestimmung, wann ein solches Ausrichten vorliegt, ist bisher im Datenschutzrecht nicht eindeutig geklärt.

Anforderungen an eine Einwilligung Bearbeiten

Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenüber dem deutschen Bundesdatenschutzgesetz a. F. reduziert: Die Schriftform ist nicht mehr die Regel, auch eine stillschweigende Einwilligungserklärung ist nach Erwägungsgrund (32) zulässig, wenn sie eindeutig ist. Da aber andererseits dies vom Verantwortlichen nachzuweisen ist, wird die Schriftform doch gängig bleiben. Für besondere personenbezogene Daten ist sie weiterhin vorgeschrieben. In der Praxis werden beispielsweise Consent-Banner verwendet.

Begrenzung der verarbeiteten Daten Bearbeiten

Die etwa im deutschen Bundesdatenschutzgesetz a. F. festgeschriebene Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt.

Transparenz Bearbeiten

Der Erwägungsgrund 39 hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

  • Nach Art. 15 hat jede Person ein Auskunftsrecht über die dort genannten personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
  • Die Informationen darüber sind laut Art. 12 in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern.
  • Nach Art. 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung in einer Datenschutzerklärung umfangreich Auskunft unter anderem über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren.
  • Nach Art. 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Art. 18 ein Recht auf Einschränkung („Sperrung“) der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden.
  • Nach Art. 30 hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen.

Die Effektivität all dieser Rechte ist allerdings von der unausgesprochenen Voraussetzung abhängig, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, von wem und wie ihre Daten verarbeitet werden, und ihre Rechte einzufordern. Dies wird von Kritikern als nicht realistisch angesehen.

Darüber hinaus soll die DSGVO laut Erwägungsgrund 13 auch Transparenz und Rechtssicherheit für die verarbeitenden Unternehmen bewirken, „einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen“.

Recht auf Vergessenwerden Bearbeiten

Das Recht auf Vergessenwerden, das in der Überschrift des Art. 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen.

Es ist aber zu beachten, dass der Verantwortliche andererseits Daten von sich aus schon löschen muss, wenn die Rechtsgrundlage für die weitere Verarbeitung entfallen ist. Dem können gesetzliche Aufbewahrungspflichten (z. B. für Buchungsbelege gemäß § 147 Abgabenordnung) entgegenstehen.

Recht auf Datenübertragbarkeit Bearbeiten

Als eine eher marktsteuernde Regelung verlangt Art. 20, dass eine betroffene Person das Recht hat, die Daten, die sie betreffen und die sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.

Sanktionen Bearbeiten

Für die effektive Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Verantwortliche, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist.

Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun in bestimmten Fällen nach Art. 83 Abs. 5 auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt (im Vergleich dazu sah das deutsche Bundesdatenschutzgesetz a. F. bisher ein Bußgeld von bis zu 300.000 Euro vor).

Am 14. Oktober 2019 legte die DSK, die Konferenz der staatlichen Datenschutzbeauftragten, ein Konzept zur Bußgeldbemessung bei Verstößen nach der DSGVO vor. Dieses Konzept soll für Unternehmen (nicht aber für Vereine oder natürliche Personen) den Kriterienkatalog nach Art. 83 Abs. 2 DSGVO konkretisieren. Erreicht werden soll eine Harmonisierung für rein deutsche Sachverhalte (nicht aber für grenzüberschreitende Fälle). Das Werk soll nur bis zur Verabschiedung von entsprechenden Leitlinien des Europäischen Datenschutzausschuss gelten. Das Konzept ist kein Bußgeldkatalog, der die Gerichte bindet. Zur Darstellung (mit kritischen Anmerkungen) siehe BRAK-Magazin Heft 6 aus 2020, S. 14 und 15.

Die Mitgliedstaaten können darüber hinaus weitere Sanktionsmöglichkeiten vorsehen. Zum Beispiel kann laut Erwägungsgrund 149 vorgesehen werden, Gewinne aufgrund des Verstoßes gegen die DSGVO einzuziehen.

Privacy by Design, Privacy by Default Bearbeiten

Nach den Grundsätzen Datenschutz durch Technikgestaltung („privacy by design“, „data protection by design“) und durch datenschutzfreundliche Voreinstellungen („privacy by default“, „data protection by default“) muss die betroffene Person darauf vertrauen können, dass die grundsätzlichen Datenschutzanforderungen von der ersten Nutzung an gewahrt bleiben, und zwar auch dann, wenn die vorgegebenen Voreinstellungen zunächst nicht geändert werden. Die Konzepte gehören zu den Kernelementen der Verordnung.

Durch den Grundsatz privacy by design wird der Tatsache Rechnung getragen, dass die Sicherstellung des Datenschutzes nicht allein durch die Einhaltung von Vorschriften gewährleistet werden kann; die Grundsätze des Datenschutzes müssen bereits vor Beginn der technischen Planung in die Konzeptionierung von Verarbeitungsvorgängen integriert werden. Daher ergeben sich drei Handlungsfelder für „Datenschutz durch Technikgestaltung“:

  1. Technik von Verarbeitungsvorgängen, z. B. durch das Softwaredesign: Was technisch verhindert wird oder unterbunden werden kann oder technisch nicht möglich ist, muss nicht mehr verboten und überwacht werden,
  2. Geschäftsabläufe, z. B. durch „Funktionstrennung“: Falls Daten lediglich verarbeitet werden, daraus Trends und Zusammenhänge zu erkennen und keine gewonnenen Informationen auf die betreffenden Personen unmittelbar anzuwenden. Vielmehr sollen diese durch technische und organisatorische Maßnahmen frühestmöglich anonymisiert werden,
  3. Gestaltung datenschutzfreundlicher Architektur, sowohl physisch (z. B. durch das Vermeiden von personenbezogenen Daten auf Ordnerrücken) als auch elektronisch.

Beim Grundsatz privacy by default handelt es sich um eine Spezialisierung des Grundsatzes „privacy by design“. Er fußt insbesondere auf dem „Privacy Paradox“, wonach Benutzer erklären, dass sie sich um ihre Daten und den Datenschutz sorgen, jedoch so handeln, als ob dies nicht der Fall wäre. Die Gründe hierfür sind Gegenstand der Forschung; angenommen werden Faulheit, Unkenntnis oder eine intuitive, irrationale Abwägung der Vor- und Nachteile. Ziel ist, dass Verantwortliche Systeme bereitstellen, deren Voreinstellungen bereits möglichst datenschutzfreundlich sind. Benutzer eines Systems sollen hierbei jedoch explizit nicht davor geschützt werden, freiwillig und informiert datenschutzunfreundlichere Einstellungen vorzunehmen, vielmehr sollen betroffene Personen befähigt werden, die Verarbeitung personenbezogener Daten zu überwachen (ErwG 78).

Die Umsetzung der Grundsätze erfolgt durch „geeignete technische und organisatorische Maßnahmen“ (Art. 25 Abs. 1). Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind oder die in Soft- und Hardware umgesetzt werden, unter organisatorischen Maßnahmen solche Schutzversuche, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Hierzu können beispielsweise das physikalische Löschen von Daten, die kryptographische Verschlüsselung oder interne IT- und Datenschutz-Regelungen gehören.

Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter, Vertreter in der Europäischen Union Bearbeiten

Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor, zumindest bei allen öffentlichen Stellen und solchen privaten Unternehmen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Damit wird ein Mindeststandard für die Einrichtung dieser Stellen erreicht.

Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.

Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, einer der nachfolgenden Punkte trifft zu.

  • Es sind regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes).
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO).
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO).
  • Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 des Bundesdatenschutzgesetzes).
  • Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO).

Der Begriff der „umfangreichen Verarbeitung“ und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe wie Rechtsanwälte und Ärzte, aber etwa auch Apotheker (als „Angehörige eines Gesundheitsberufes“) in der Regel keinen Datenschutzbeauftragten stellen müssen.

Nicht in der Europäischen Union ansässige Verantwortliche, auf die die Datenschutz-Grundverordnung Anwendung findet, müssen zudem einen Vertreter in der Europäischen Union bestellen.

Öffnungsklauseln Bearbeiten

Die DSGVO sieht vor, dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt. Dies erfolgt über so genannte „Öffnungsklauseln“, von denen die DSGVO – je nach Zählweise – 50 bis 60 enthält. Einige verlangen eine Rechtshandlung der Mitgliedstaaten, die Mehrzahl erlaubt jedoch die Ausnutzung von Spielräumen durch nationale Vorschriften. Die Bestimmungen lassen sich in verschiedener Hinsicht systematisieren. Der Handlungsspielraum ist grundsätzlich insofern begrenzt, als die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf. Die Hintergründe dieser vielen „Öffnungsklauseln“ werden – gerade von seinerzeitigen Vertretern der EU – meist auf politischer Ebene verortet, indem sie als Kompromisse im Rahmen eines Konsensfindungsprozesses gewertet werden. Seitens der Wissenschaft gibt indessen auch alternative Erklärungsansätze, die mitunter Auslegungshilfen für die Rechtsanwendung bereit halten.

Ein Beispiel für eine Öffnungsklausel findet sich etwa im Datenschutz von Beschäftigten, also dem Beschäftigtendatenschutz

: Art. 88 Abs. 1 sieht eine Öffnungsklausel vor, nach der die Mitgliedstaaten „spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen können. Es ist umstritten, ob diese Formulierung ein Abweichen vom Schutzniveau der allgemeinen Vorschriften zulässt.

Weitere Öffnungsklauseln finden sich u. a.

  • in Art. 9 Abs. 2 und Abs. 4 zur Festlegung besonderer Bedingungen für die Verarbeitung besonderer Arten personenbezogener Daten, wie Gesundheitsdaten oder Daten zu sexuellen Vorlieben;
  • in Art. 10 zur Erlaubnis der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten;
  • in Art. 28 für rechtliche Grundlagen der Auftragsdatenverarbeitung;
  • in Art. 37 zur Bestellung von Datenschutzbeauftragten, abweichend von den in Art. 37 festgelegten Voraussetzungen;
  • in Art. 85 zum Ausgleich des Spannungsfelds zwischen Datenschutz und Meinungsfreiheit (Medienprivileg);
  • in Art. 87 für die Regelung der Verarbeitung nationaler Kennziffern oder anderer Kennzeichen von allgemeiner Bedeutung;
  • in Art. 89 für die Regelung von Ausnahmen von Betroffenenrechten bei Verarbeitungen für wissenschaftliche, historische, statistische oder archivarische Zwecke;

Debatte über die DSGVO Bearbeiten

Seit dem Vorschlag des Gesetzgebungsentwurfs der Europäischen Kommission hatte es umfassende Debatten im Rahmen des Gesetzgebungsverfahrens gegeben. Insbesondere das Europäische Parlament hatte durch zahlreiche öffentliche Anhörungen viele der geäußerten Kritikpunkte aufgegriffen und im Rahmen des von Jan Philipp Albrecht als Berichterstatter verhandelten Kompromisses einfließen lassen. Auch im Ministerrat waren unterschiedlichste Standpunkte eingeflossen. Aus beiden Vorlagen wurde im Rahmen der Trilogverhandlungen am 15. Dezember 2015 ein finaler Verordnungstext erarbeitet, der am Ende nahezu einstimmig vom Plenum des Europäischen Parlaments sowie den Innen- und Justizministern der EU-Mitgliedstaaten angenommen wurde und zum 24. Mai 2016 formal in Kraft trat. Die während der mehr als vier Jahre dauernden Verhandlungen aufgeworfenen Kritikpunkte unterschiedlicher Seiten der Debatte werden nachstehend ausschnittsweise zusammengefasst:

Debatte über Entwürfe Bearbeiten

Zwischenzeitliche Entwürfe sahen vor, dass ein interner Datenschutzbeauftragter und interne Dokumentationspflichten nur für Unternehmen mit mehr als 250 Mitarbeitern verpflichtend sind. Dies – so Kritiker – hätte den Datenschutz in Deutschland und Österreich geschwächt. Die endgültige Fassung sieht eine verpflichtende Benennung des internen Datenschutzbeauftragten bei Behörden und bei Verantwortlichen vor, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen oder in der umfangreichen Verarbeitung sensibler Daten besteht (Art. 37 Abs. 1). Die Mitgliedstaaten sind aber befugt, strengere Regelungen zu erlassen (Art. 37 Abs. 4). Die internen Dokumentationspflichten gelten nicht für Unternehmen mit weniger als 250 Mitarbeitern, sofern die Datenverarbeitung kein Risiko für die Betroffenen birgt, nur gelegentlich erfolgt und nicht die Verarbeitung sensibler Daten einschließt (Art. 30 Abs. 5).

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) erwartet, dass die Abschaffung des internen Datenschutzbeauftragten zu Kostensteigerungen aufgrund wachsender Bürokratie führe. Unternehmen müssten intern eine Stelle für die Behördenkommunikation einrichten und bei der Einführung neuer Software mit Verzögerungen rechnen, weil die Landesämter für Datenschutz personell nicht gut genug ausgestattet seien. 66 unabhängige Verbraucher- und Datenschutzorganisationen forderten Jean-Claude Juncker im April 2015 auf, den „Goldstandard des europäischen Datenschutzes“ zu erhalten.

Der BvD bemängelte ferner fehlende klare Regeln für den Datentransfer aus der EU in Drittstaaten (z. B. USA) und forderte eine EU-weite Bestellung betrieblicher Datenschutzbeauftragter.

Andererseits wird die Weitergabe von Verbraucherdaten an Konkurrenten (Datenportabilität) nicht nur Anbieter wie Facebook betreffen, sondern auch für kleinere Unternehmen gelten.

Der deutsche Bundesrat erhob am 30. März 2012 Subsidiaritätsrüge gegen den Verordnungsvorschlag. Die Länderkammer war der Auffassung, dass der Vorschlag mit dem Subsidiaritätsprinzip nicht im Einklang stehe und deshalb gegen Art. 5 Abs. 3 EUV verstoße. Nach dieser Vorschrift darf die Europäische Union in den Bereichen, die nicht in ihre ausschließliche Zuständigkeit fallen, nur tätig werden, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen ihres Umfangs oder ihrer Wirkungen auf EU-Ebene besser zu implementieren sind.

Von vielen Seiten wurde die oft vage und unklare Formulierung des Entwurfs kritisiert. Danach sollten auch viele elementare Regelungen erst gar nicht in die Grundverordnung eingefügt, sondern diesen erst durch gesonderte Rechtsakte der EU-Kommission Geltung verschafft werden.

Im Verhandlungsbeschluss des Europäischen Parlaments waren die Kritikpunkte bereits weitgehend ausgeräumt. Nachdem aber die ursprünglich angenommenen Datenschutzaspekte der Verordnung nach einem Pressebericht vom März 2015 von der zuständigen Arbeitsgruppe der EU in großen Teilen aufgeweicht wurden, kam es zu erneuter Kritik. So wird in einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von personenbezogenen Daten ohne festgelegte Zwecke erlaubt, ebenso wie die Weitergabe dieser Daten an Dritte.

Kritik am endgültigen Verordnungstext Bearbeiten

Auch nach Verabschiedung der Datenschutz-Grundverordnung wird grundlegende Kritik, insbesondere von Seiten der Rechtswissenschaft geübt:

So bezeichnete der Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, Thomas Hoeren, die Datenschutz-Grundverordnung als „eines der schlechtesten Gesetze des 21. Jahrhunderts“.

Der Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Recht der Technik der Universität Kassel, Alexander Roßnagel, meinte, die Datenschutz-Grundverordnung ignoriere „alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data (Datenflut und deren Beherrschung), Suchmaschinen, Cloud Computing, Ubiquitous computing (Durchdringung des Alltags und von Dingen durch Computer) und andere Technikanwendungen“. In einer Studie wird der deutsche Gesetzgeber aufgefordert, die unübersichtliche Gemengelage aus neuen europäischen Regelungen und fortgeltendem deutschen Recht aufzulösen.

Auch der Deutsche Anwaltverein (DAV) sieht bei der DSGVO insoweit Änderungsbedarf, als der nationale Gesetzgeber zum Schutz der berufsspezifischen Rechte und Pflichten der Rechtsanwälte (z. B.: Unabhängigkeit vor staatlichen Einflüssen, Anwaltsgeheimnis, absolute Treuepflicht des Rechtsanwalts gegenüber seinem Mandanten) in der Verordnung ermöglichte Öffnungsklauseln nutzen muss, um all dies überhaupt weiter gewährleisten zu können. Der DAV zog das Fazit einer „Ausdünnung des deutschen Datenschutzrechts“.

Die Forderung des DAV an den nationalen Gesetzgeber geht in drei Richtungen:

  • Keine Zugangsbefugnisse der Datenschutz-Aufsichtsbehörden ohne ausdrückliche vorherige Zustimmung der Anwaltskammer.
  • Generelle und umfassende Erlaubnisklausel für anwaltliche Datenverarbeitung von personenbezogenen Daten im Rahmen der Mandate.
  • Einschränkung der Auskunftspflichten und Auskunftsrechte.

Lobbyarbeit Bearbeiten

Rund um die Verhandlungen der Datenschutz-Grundverordnung kritisierten EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und von US-amerikanischen IT-Unternehmen. Technologie-Unternehmen aus den USA fürchten demnach den negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa und übten entsprechenden Druck auf die Regierung von US-Präsident Obama aus. So forderte der amerikanische EU-Botschafter William E. Kennard in einer Rede in Brüssel am 4. Dezember 2012, dass die zentralen Forderungen der Verordnung gestrichen werden müssen: das Löschen sämtlicher Daten einer Person aus den Unternehmensdatenbanken auf Wunsch und die ausdrückliche Einverständniserklärung einer Person, bevor ihre Daten überhaupt gesammelt werden dürfen.

Von amerikanischen Unternehmen wird ein California-Effekt durch die EU-Gesetzgebung befürchtet. Ähnlich wie strengere Umweltgesetze in Kalifornien den Mindeststandard in den USA schleichend anheben, wird erwartet, dass die höheren Standards in der EU das Datenschutzniveau für alle weltweit operierenden Unternehmen anheben würden. Während bisher in den USA lediglich Finanz- und Gesundheitsdaten einem gewissen Datenschutz unterliegen, ist die Erfassung und das Zusammenführen sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatunternehmen erlaubt. Amerikanische Bürgerrechtsorganisationen erhofften sich andererseits eine Steigerung des Datenschutzstandards in den USA und unterstützten daher die Pläne in der EU.

Die Plattform LobbyPlag.eu zeigt, dass viele Abänderungsanträge von Abgeordneten im EU-Parlament wortgleich aus Lobbypapieren von Unternehmen wie Amazon, eBay, der Lobbygruppe „Digitaleurope“ mit den Mitgliedern Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments und Dell oder von der US-amerikanischen Handelskammer übernommen wurden. Für die Abänderungen traten unter anderen die Abgeordneten Malcolm Harbour (ECR), Andreas Schwab (CDU/EPP), Klaus-Heiner Lehne (EPP) oder Marielle Gallo (EPP) ein. Andererseits weist die Plattform auch auf wortgleiche Übernahmen aus den Unterlagen von Datenschutzorganisationen wie Bits of Freedom und EDRi durch Abgeordnete wie Amelia Andersdotter (PPEU/Piraten) oder Eva Lichtenberger (EFA/Die Grünen) hin.

Im zuständigen LIBE-Ausschuss des EU-Parlaments wurden schlussendlich über 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission eingebracht. Generell setzten sich die meisten sozialdemokratischen und grünen Abgeordneten für eine Verstärkung oder Präzisierung des Entwurfs ein, während sich die meisten konservativen und liberalen Abgeordneten für eine Lockerung im Sinne der IT-Wirtschaft starkmachten.

LobbyPlag erarbeitete eine Liste der Abgeordneten, die, gemessen an den von ihnen eingebrachten Änderungsanträgen, am nachdrücklichsten für weniger bzw. für mehr Datenschutz eintraten. Bis Anfang Juni 2013 brachte sich für die Aufweichung des Datenschutzes demnach Axel Voss (EPP/CDU) am stärksten ein, bei der Stärkung des Datenschutzes sah man Jan Philipp Albrecht (EFA/Die Grünen) an erster Stelle. Beide hatten in der Summe je 147 Änderungsanträge zugunsten der Abschwächung beziehungsweise Stärkung des Datenschutzes eingebracht.

Unter Druck durch Teile der deutschen Wirtschaft, die fürchtete, im globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden, argumentierten auch Vertreter des Deutschen Innenministeriums, dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstünde.

Verfahren Bearbeiten

Nach langen Verhandlungen scheiterte ein Entwurf der irischen Ratspräsidentschaft im Juni 2013 im EU-Ministerrat. Unter anderem meldeten die Vertreter Deutschlands, Großbritanniens und Frankreichs zahlreiche Bedenken an. Die anvisierte Positionierung vor der Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten. Am 21. Oktober 2013 nahm das Europäische Parlament im Innen- und Justizausschuss seine durch den Grünen-Europaabgeordneten Jan Philipp Albrecht als EP-Berichterstatter ausgearbeitete Verhandlungsposition mit überwältigender Mehrheit an und bestätigte sie am 12. März 2014 durch das Plenum.

Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert worden waren, sollten am 12. und 13. März 2015 die Justizminister der Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung erzielen, bevor die übrigen Kapitel verhandelt wurden. Erst im Juni 2015 einigten sich die EU-Justizminister auf einen Entwurf der Datenschutz-Grundverordnung.

Am 24. Juni begannen die Abstimmungsverhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission (sogenannter Trilog). Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung wurde am 17. Dezember vom Innen- und Rechtsausschuss des Parlaments mit großer Mehrheit angenommen. Am 8. April 2016 beschloss der EU-Ministerrat die vorliegende Fassung das EU-Parlament nahm die Regelungen am 14. April ebenfalls an.

Die Veröffentlichung im Amtsblatt der Europäischen Union erfolgte am 4. Mai 2016, weshalb sie gemäß Art. 99 Abs. 1 DSGVO am 24. Mai 2016 in Kraft trat und gemäß Art. 99 Abs. 2 ab dem 25. Mai 2018 anzuwenden ist. Mehrere Corrigenda (d. h. Berichtigungen inhaltlicher Fehler) ergingen seit Inkrafttreten – z. T. beschränkt auf einige Sprachfassungen der DSGVO (DE, ET, IT, HU) – am 27. Oktober 2016.

Befürchtung der Schwächung durch das TiSA-Abkommen Bearbeiten

Unterlagen aus den Geheimverhandlungen zum Trade in Services Agreement (TiSA), die im November 2016 Greenpeace zugespielt wurden, belegen nach Aussage von Greenpeace, dass Lobbyisten versuchen, neben Netzneutralität und Bankenregulierung auch den Datenschutz nachhaltig zu schwächen und die Datenschutz-Grundverordnung faktisch unwirksam zu machen. Unternehmen sollen Kunden- und Nutzerdaten ins außereuropäische Ausland transferieren und dort ohne Zweckbindung weiterverarbeiten können.

Umsetzung in den Mitgliedstaaten Bearbeiten

Angaben gemäß DSGVO an einer Überwachungskamera im öffentlichen Raum in Hamburg

Deutschland Bearbeiten

Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst. Mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU wurden weitere weitreichende Anpassungen verabschiedet, unter anderem wurde die Zahl, ab der ein Datenschutzbeauftragter zu bestellen ist, von 10 auf 20 Personen angehoben, die ständig mit der Verarbeitung von personenbezogenen Daten befasst sein müssen. Seit Oktober 2021 liegt der Evaluierungsbericht des Bundesinnenministeriums zur Anpassung des deutschen Datenschutzrechts an die DSGVO vor.

Zuständige Behörden sind der bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die 16 Landesbeauftragten für den Datenschutz sowie das bayerische Landesamt für Datenschutzaufsicht. Für die öffentlich-rechtlichen Rundfunkanstalten handeln deren Rundfunkdatenschutzbeauftragte als Aufsichtsbehörden nach Art. 51 DSGVO.

Österreich Bearbeiten

Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz, DSG) geändert und an die DSGVO angepasst. Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen. Demnach solle die Behörde den Strafkatalog der DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“. Zuständige Behörde in Österreich ist die Datenschutzbehörde mit Sitz in Wien. Leiterin der Behörde ist Andrea Jelinek.

Umsetzung und weltweite Folgeerscheinungen Bearbeiten

Die Umsetzung der umfassenden Änderungen durch die Datenschutz-Grundverordnung dauert bis heute noch immer an, obwohl die DS-GVO bereits seit 25. Mai 2018 gilt. Für 2020 ist von der EU-Kommission auch die Evaluierung der DSGVO geplant (Art. 97 Abs. 1 DSGVO).

Einige große US-Medienverlage wie die der Chicago Tribune oder die Los Angeles Times, so wurde bekannt, haben ihre Internetpräsenzen teilweise für viele europäische Nutzer gesperrt.

In Österreich hat die Immobilienverwaltung der Stadt Wien, Stadt Wien – Wiener Wohnen, angekündigt, rund 200.000 Namensschilder an Klingeln zu entfernen, da sie befürchtet, gegen die DSGVO zu verstoßen. Diese Ankündigung wurde im November 2018 wieder zurückgezogen.

In Deutschland wurden bis Ende 2018 in 41 Fällen Bußgeldbescheide aufgrund von Datenschutzverstößen erlassen, davon alleine 33 in Nordrhein-Westfalen. Die Bußgelder bewegen sich in niedriger Höhe, in Nordrhein-Westfalen waren es insgesamt 15.000 Euro, in Baden-Württemberg allerdings bei einer Einzelstrafe 80.000 Euro. Neben den Bußgeldverfahren haben mittlerweile aber auch mehrere Oberlandesgerichte in Deutschland wettbewerbsrechtliche Ansprüche bei Verstößen gegen die DSGVO bejaht (OLG Hamburg; KG Berlin; OLG Naumburg; OLG Stuttgart).

Die französische Datenschutzbehörde CNIL verhängte im Januar 2019 nach Beschwerden der Nichtregierungsorganisationen La Quadrature du Net aus Frankreich und NOYB aus Österreich ein Bußgeld über 50 Millionen Euro gegen Google LLC wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten und zum Speicherzeitraum und weil die von Google eingeholte Einwilligung zur Anzeige personalisierter Werbung ungültig sei.

Nachdem im Jahr 2020 rund 160 Millionen Euro an DSGVO-Strafzahlungen verhängt wurden, so waren es 2021 bereits über eine Milliarde Euro.

Kritiker beklagen Verzögerungen oder Fehlen oder Vermeidung von Strafverfolgung durch das One-Stop-Shop-System, bei dem viele wichtige Ermittlungen von den Behörden in Irland oder Luxemburg durchgeführt werden müssen, da sich die meisten großen US-Technologieunternehmen in diesen Ländern niedergelassen haben. Im Rahmen der von der Kommission von der Leyen propagierten „digitalen Souveränität“ beabsichtigen europäische Datenschutzbeauftragte, den Strafverfolgungsmechanismus zu verbessern.

Seit dem Inkrafttreten der DSGVO wurden auch in zahlreichen Staaten außerhalb des EWR Datenschutzgesetze angepasst. Beispielsweise ist in den USA am 1. Januar 2020 der California Consumer Privacy Act (CCPA) in Kraft getreten. In China trat im Jahr 2021 ein neues Gesetz zum Schutz Persönlicher Daten (PIPL) in Kraft. Weithin wird die DSGVO als erstes umfassendes Datenschutzgesetz gesehen und gilt als „weltweites Vorbild“.

Die DSGVO hatte immense Folgen für den Online-Werbemarkt, da sie das Sammeln und Nutzen von personenbezogenen Daten für personalisierte Werbung und Inhalte der verschiedenen Akteure erschwerte.

Siehe auch Bearbeiten

Literatur Bearbeiten

Kommentare Bearbeiten

  • Lutz Bergmann, Roland Möhrle, Armin Herb: Kommentar zum Datenschutzrecht. 63. Liefg. November 2022, Boorberg-Verlag, Stuttgart 2020, ISBN 978-3-415-00616-4.
  • Martin Eßer, Philipp Kramer, Kai von Lewinski (Hrsg.): Auernhammer, DSGVO/BDSG. Kommentar. 7. Auflage. Köln 2020, ISBN 978-3-452-29526-2.
  • Eugen Ehmann, Martin Selmayr: Datenschutz-Grundverordnung: DS-GVO. München 2017, ISBN 978-3-406-70215-0.
  • Peter Gola: Datenschutz-Grundverordnung: DS-GVO VO (EU) 2016/679. C. H. Beck, München 2017, ISBN 978-3-406-69543-8.
  • Jürgen Kühling, Benedikt Buchner: Datenschutz-Grundverordnung: DS-GVO. 2. Auflage. C. H. Beck, München 2018, ISBN 978-3-406-71932-5.
  • Boris Paal, Daniel Pauly: Datenschutz-Grundverordnung: DS-GVO. C. H. Beck, München 2017, ISBN 978-3-406-69570-4.
  • Kai-Uwe Plath (Hrsg.): DSGVO/BDSG. 3. Auflage. Dr. Otto Schmidt Verlag, Köln 2018, ISBN 978-3-504-56075-1.
  • Gernot Sydow (Hrsg.): Europäische Datenschutzgrundverordnung, Handkommentar. Nomos, Baden-Baden 2017, ISBN 978-3-8487-1782-8.
  • Hans-Jürgen Schaffland, Gabriele Holthaus, Astrid Schaffland: Datenschutz-Grundverordnung (DS-GVO). Kommentar. Erich Schmidt Verlag, Berlin 2017, ISBN 978-3-503-17404-1.
  • Sibylle Gierschmann, Katharina Schlender, Rainer Stentzel, Winfried Veil: Kommentar Datenschutz-Grundverordnung. 1. Auflage. Bundesanzeiger Verlag, Köln 2018, ISBN 978-3-8462-0638-6.
  • Rolf Schwartmann, Andreas Jaspers, Gregor Thüsing, Dieter Kugelmann (Hrsg.): DS-GVO/BDSG. Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. 1. Auflage. C.F. Müller, Heidelberg 2018, ISBN 978-3-8114-4664-9.
  • Wolfgang Däubler, Peter Wedde, Thilo Weichert, Imke Sommer: EU-Datenschutz-Grundverordnung und BDSG-neu. Kompaktkommentar. 1. Auflage. Bund-Verlag, Frankfurt am Main 2018, ISBN 978-3-7663-6615-3.

Literatur Bearbeiten

  • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.): DSGVO – BDSG. Texte und Erläuterungen (= BfDI-Info. Nr. 1). Bonn 2022 (320 S., bund.de [PDF; 4,7 MB; abgerufen am 4. Dezember 2022]).
  • Tassilo-Rouven König: Beschäftigtendatenschutz. 1. Auflage. Nomos-Verlag 2020, ISBN 978-3-8487-5702-2.
  • Jürgen Kühling, Manuel Klar, Florian Sackmann: Datenschutzrecht,. 4. Auflage. Heidelberg 2018, ISBN 978-3-8114-4571-0.
  • Jürgen Kühling, Mario Martini u. a.: Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum nationalen Regelungsbedarf. Münster 2016, ISBN 978-3-95645-890-3.
  • Jan Philipp Albrecht, Florian Jotzo: Das neue Datenschutzrecht der EU. Baden-Baden 2016, ISBN 978-3-8487-2804-6.
  • Alexander Roßnagel: Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts. Baden-Baden 2016, ISBN 978-3-8487-3074-2.
  • Stefan Schulz: Redaktionsschluss: die Zeit nach der Zeitung. Hanser, München 2016, ISBN 978-3-446-25070-3 (Hier auch zum Zustandekommen der Verordnung und die Berichterstattung in den Medien dazu).
  • Gerald Spyra: Die Datenschutzgrundverordnung. Forderungen und Hinweise – Was gilt heute, was gilt morgen? TÜV Media, 2016, ISBN 978-3-7406-0106-5.
  • Gerald Spyra: Datenschutzgrundverordnung und BDSG. Überblick, Kontext und Erläuterungen für die Praxis. TÜV Media, 2017, ISBN 978-3-7406-0253-6.
  • Niko Härting: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis. 2016, ISBN 978-3-504-42059-8.
  • Kevin Marschall: Erweiterte Informationspflichten in der DSGVO. Änderungen für die Unternehmen. In: Datenschutz-Berater (DSB). Nr. 11, 2016, S. 230–232.
  • Kevin Marschall: Datenpannen – „neue“ Meldepflicht nach der europäischen DS-GVO? In: Datenschutz und Datensicherheit (DuD). Nr. 3, 2015, S. 183–189.
  • Maxi Nebel, Alexander Roßnagel, Philipp Richter: Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO. In: Zeitschrift für Datenschutz (ZD). Nr. 10, 2015, S. 455–460.
  • Kevin Marschall, Pinkas Müller: Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO. Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. In: Zeitschrift für Datenschutz (ZD). Nr. 9, 2016, S. 415–420.
  • Jürgen Kühling, Mario Martini: Die Datenschutz-Grundverordnung. Revolution oder Evolution im Datenschutzrecht im europäischen und nationalen Datenschutzrecht? In: Europäische Zeitschrift für Wirtschaftsrecht. 2016, S. 448–454.
  • Peter Schantz: Die Datenschutz-Grundverordnung. Beginn einer neuen Zeitrechnung im Datenschutzrecht. In: Neue Juristische Wochenschrift. 2016, S. 1841–1847.
  • Thomas Kranig, Andreas Sachs, Markus Gierschmann: Datenschutz-Compliance nach der DS-GVO. Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden. Bundesanzeiger Verlag, Köln 2017, ISBN 978-3-8462-0760-4.
  • Stefan Loubichi: EU-Datenschutzgrundverordnung. Was bis zum 25.5.2018 beachtet sein muss(te). In: atw International Journal of Nuclear Power. Nr. 5, 2018, S. 289–294, ISSN 1431-5254 (PDF, aufgenommen in die Bibliothek des Deutschen Bundestages, 57. Jg., Nr. 6. Juni 2018).

Dokumentation Bearbeiten

Weblinks Bearbeiten

Website der Europäischen Union Bearbeiten

Europäischer Datenschutzausschuss Bearbeiten

Information der Europäischen Kommission Bearbeiten

Sonstige Webseiten Bearbeiten

  • GDPRhub – freies englischsprachiges Wiki mit über 2000 DSGVO-Entscheidungen
  • Leitfaden der Österreichischen Datenschutzbehörde zur DSGVO dsb.gv.at

Einzelnachweise Bearbeiten

  1. Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. In: ABL. L 119/89 vom 4. Mai 2016.
  2. (Memento des Originals vom 12. Juni 2018 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bfdi.bund.de Website des Bundesdatenschutzbeauftragten, abgerufen am 10. Juni 2018.
  3. General Data Protection Regulation (GDPR) entered into force in the EEA. EFTA Sekretariat, 19. Juli 2018, abgerufen am 8. Januar 2020. Beschluss des gemeinsamen EWR-Ausschusses Nr. 154/2018 vom 6. Juli 2018
  4. Jürgen Kühling, Mario Martini u. a.: Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016, S. 1.
  5. Vorgangsablauf im DIP und Text des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU – DSAnpUG-EU (BGBl. 2017 I S. 2097)
  6. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Stellungnahme zum Entwurf eines Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU – DSAnpUG-EU. (PDF) netzpolitik.org, 31. August 2016, abgerufen am 1. Februar 2017.
  7. Bundesministerium des Innern: Stellungnahme zum Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). (PDF) netzpolitik.org, 31. August 2016, abgerufen am 1. Februar 2017.
  8. Kommission schlägt umfassende Reform des Datenschutzrechts vor, um Nutzern mehr Kontrolle über ihre Daten zu geben und die Kosten für Unternehmen zu verringern. In: europa.eu. Europäische Kommission, 25. Januar 2012, abgerufen am 2. Januar 2019 (deutsch, englisch, französisch, dänisch, spanisch, niederländisch, italienisch, schwedisch, portugiesisch, finnisch, griechisch, tschechisch, estnisch, ungarisch, litauisch, lettisch, maltesisch, polnisch, slowakisch, slowenisch, bulgarisch, rumänisch).
  9. Falk Lüke: Reding stellt EU-Datenschutzreform vor. In: heise online. Heise Medien GmbH & Co. KG, 25. Januar 2012, abgerufen am 2. Januar 2019.
  10. Was muss ich wissen zur EU-Datenschutz Grundverordnung? (PDF; 234 kB) Bitkom, 2016, S. 5, abgerufen am 2. Dezember 2017.
  11. Wissenschaftliche Dienste des Deutschen Bundestages – Fachbereich: PE 6: Fachbereich Europa: Vorgaben der Verordnung (EU) Nr. 995/2010 – Auslegungsgrundsätze des EuGH. Hrsg.: Deutschen Bundestag. PE 6 – 3000 – 83/16, 15. Juni 2016, S. 4, Abschnitt 2.1. Erwägungsgründe und Bestimmungen eines Rechtsakts (Satz 2) (bundestag.de [PDF; abgerufen am 2. Januar 2019]): „Der EuGH vertritt in ständiger Rechtsprechung die Ansicht, dass „[…] die Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsakts abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht.““
  12. Peter Gola, Andreas Jaspers u. a.: Datenschutz-Grundverordnung im Überblick. DATAKONTEXT: München 2016, ISBN 978-3-89577-774-5, S. 22.
  13. Information Commissioner's Office: The principles. In: Guide to the General Data Protection Regulation. Abgerufen am 26. Juni 2018 (englisch): „The principles lie at the heart of the GDPR. They are set out right at the start of the legislation, and inform everything that follows. They don’t give hard and fast rules, but rather embody the spirit of the general data protection regime – and as such there are very limited exceptions.“
  14. EuGH: Urteil in der Rechtssache C‑131/12. (ECLI:EU:C:2014:317). 13. Mai 2014, abgerufen am 26. Juni 2018 (Rn. 71): „Jede Verarbeitung personenbezogener Daten muss – vorbehaltlich der in Art. 13 der Richtlinie 95/46 zugelassenen Ausnahmen – den in Art. 6 der Richtlinie aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und einem der in Art. 7 der Richtlinie aufgeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (vgl. Urteile Österreichischer Rundfunk u. a., EU:C:2003:294, Rn. 65; ASNEF und FECEMD, C‑468/10 und C‑469/10, EU:C:2011:777, Rn. 26, und Worten, C‑342/12, EU:C:2013:355, Rn. 33).“
  15. Eike Michael Frenzel: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. Kommentar. Hrsg.: Boris Paal, Daniel Pauly. 2. Auflage. C. H. Beck, München 2018, ISBN 978-3-406-71838-0, Art 5 Rn. 2.
  16. EuGH: Urteil in der Rechtssache C‑201/14. (ECLI:EU:C:2015:638). 1. Oktober 2015, abgerufen am 26. Juni 2018 (Rn. 34): „Folglich verpflichtet das in Art. 6 der Richtlinie 95/46 vorgesehene Erfordernis der Verarbeitung personenbezogener Daten nach Treu und Glauben eine Verwaltungsbehörde, die betroffenen Personen davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden.“
  17. Philipp Reimer: Europäische Datenschutzgrundverordnung. Handkommentar. Hrsg.: Gernot Sydow. Nomos, Baden-Baden 2017, ISBN 978-3-8487-1782-8, Art. 5 Rn. 1.
  18. Eike Michael Frenzel: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. Kommentar. Hrsg.: Boris Paal, Daniel Pauly. 2. Auflage. C. H. Beck, München 2018, ISBN 978-3-406-71838-0, Art 5 Rn. 16.
  19. Tobias Herbst: Datenschutz-Grundverordnung/BDSG. Kommentar. Hrsg.: Jürgen Kühling, Benedikt Buchner. C. H. Beck, München 2018, ISBN 978-3-406-71932-5, Art. 5 Rn. 10f.
  20. Information Commissioner's Office: Lawful basis for processing. In: Guide to the General Data Protection Regulation. Abgerufen am 26. Juni 2018 (englisch): „The first principle requires that you process all personal data lawfully, fairly and in a transparent manner. Processing is only lawful if you have a lawful basis under Article 6. And to comply with the accountability principle in Article 5(2), you must be able to demonstrate that a lawful basis applies.“
  21. Übersetzungszentrum für die Einrichtungen der Europäischen Union: Grundsatz von Treu und Glauben. IATE ID: 1087248. Abgerufen am 2. Januar 2019 (englisch, französisch, italienisch, niederländisch).
  22. Bundesverfassungsgericht: (PDF) Az. 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 484/83. (Nicht mehr online verfügbar.) S. 46, archiviert vom Original am 7. März 2010; abgerufen am 26. Juni 2018: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“
  23. Artikel-29-Datenschutzgruppe: Opinion 03/2013 on purpose limitation. (PDF) Workingpaper 203. Europäischen Kommission, 2. April 2013, abgerufen am 26. Juni 2018 (englisch): „Purpose specification and the concept of compatible use contribute to transparency, legal certainty and predictability; they aim to protect the data subject by setting limits on how controllers are able to use their data and reinforce the fairness of the processing.“
  24. EGMR: Urteil in der Beschwerdesache 12433/86. Lüdi ./. Schweiz. In: Human Rights Documentation. Europarat, 15. Juni 1992, abgerufen am 26. Juni 2018 (englisch, französisch, bulgarisch, russisch, slowenisch, spanisch).
  25. EGMR: Urteil in der Beschwerdesache 20605/92. Halford ./. Vereinigtes Königreich. In: Human Rights Documentation. Europarat, 4. Mai 2000, abgerufen am 26. Juni 2018 (englisch, französisch, armenisch, lettisch, slowakisch, slowenisch, spanisch).
  26. EGMR: Urteil in der Beschwerdesache 27798/95. Amann ./. Schweiz. In: Human Rights Documentation. Europarat, 16. Februar 2000, abgerufen am 26. Juni 2018 (englisch, französisch, spanisch).
  27. EGMR: Urteil in der Beschwerdesache 28341/95. Rotaru ./. Rumänien. In: Human Rights Documentation. Europarat, 25. Juni 1997, abgerufen am 26. Juni 2018 (englisch, französisch, aserbaidschanisch, mazedonisch, rumänisch, serbisch, spanisch).
  28. EGMR: Urteil in der Beschwerdesache 62617/00. Copland ./. Vereinigtes Königreich. In: Human Rights Documentation. Europarat, 3. April 2007, abgerufen am 26. Juni 2018 (englisch, französisch, albanisch, armenisch, aserbaidschanisch, bosnisch, bulgarisch, georgisch, isländisch, mazedonisch, rumänisch, russisch, spanisch, türkisch, ukrainisch).
  29. EGMR: Urteil in der Beschwerdesache 4158/05. Gillan und Quinton ./. Vereinigtes Königreich. In: Human Rights Documentation. Europarat, 12. Januar 2010, abgerufen am 26. Juni 2018 (englisch, französisch, deutsch, albanisch, armenisch, aserbaidschanisch, bosnisch, bulgarisch, kroatisch, georgisch, isländisch, mazedonisch, rumänisch, russisch, spanisch, türkisch, ukrainisch).
  30. Ulf Brühann: Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. In: Eberhard Grabitz, Meinhard Hilf, Martin Nettesheim (Hrsg.): Das Recht der Europäischen Union. Kommentar. 40. Auflage. Beck, München 2010, ISBN 978-3-406-60907-7, Abschnitt A 30, Art. 6 Rn 9.
  31. Eike Michael Frenzel: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. Kommentar. Hrsg.: Boris Paal, Daniel Pauly. 2. Auflage. C. H. Beck, München 2018, ISBN 978-3-406-71838-0, Art 5 Rn. 27.
  32. Ulrich Dammann, Spiros Simitis: EG-Datenschutzrichtlinie. Kommentar. Nomos, Baden-Baden 1997, ISBN 978-3-7890-4517-2, Artikel 6 Rn. 6.
  33. vgl. LG Köln, Teilurteil vom 18. März 2019 – 26 O 25/18 Rz. 21.
  34. Peter Gola, Andreas Jaspers u. a.: Datenschutz-Grundverordnung im Überblick. DATAKONTEXT: München 2016, ISBN 978-3-89577-774-5, S. 18: „Da Betroffene – wie durch Meinungsumfragen umfassend belegt – derartige Datenschutzklauseln überwiegend nicht lesen und diese Leseabneigung mit steigendem Umfang des Texts nicht nachlassen wird, …“
  35. https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
  36. https://www.brak-mitteilungen.de/flipbook/magazin/
  37. Dennis-Kenji Kipker: Privacy by Default und Privacy by Design. In: Datenschutz und Datensicherheit. Band 39, Nr. 6, Mai 2015, S. 410, doi:10.1007/s11623-015-0438-0.
  38. Mario Martini: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz. Kommentar. Hrsg.: Boris Paal, Daniel Pauly. 2. Auflage. C. H. Beck, München 2018, ISBN 978-3-406-71838-0, Art 25 Rn. 8.
  39. Ann Cavoukian: (PDF) Working Paper. (Nicht mehr online verfügbar.) Information and Privacy Commissioner of Ontario, 5. April 2000, archiviert vom Original am 25. Februar 2007; abgerufen am 24. Juni 2018 (englisch): „Privacy design principles need to be built into the technology architecture at the outset of the technology initiative. For privacy design principles to be useful, beyond general discussion and agreement in the planning stage, however, they need additional specificity.“
  40. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Ein modernes Datenschutzrecht für das 21. Jahrhundert. (PDF) Eckpunkte. Landesbeauftragter für den Datenschutz Baden-Württemberg, 18. März 2010, S. 7, abgerufen am 24. Juni 2018: „Die technische Integration des Datenschutzes in Produkte und Verfahren, z. B. im Hinblick auf Datenvermeidung oder Datensparsamkeit sowie einfachen und wirkungsvollen Selbstdatenschutz der Nutzerinnen und Nutzer, würde dagegen spätere Datenschutzprobleme vermeiden helfen.“
  41. Ann Cavoukian: (PDF) (Nicht mehr online verfügbar.) Information and Privacy Commissioner of Ontario, Januar 2009, archiviert vom Original am 30. März 2016; abgerufen am 24. Juni 2018 (englisch): „In brief, Privacy by Design refers to the philosophy and approach of embedding privacy into the design specifications of various technologies. […] This approach originally had technology as its primary area of application, but I have since expanded its scope to two other areas. In total, the three areas of application are: (1) technology; (2) business practices; and (3) physical design.“
  42. Ann Cavoukian: (PDF) The 7 Foundational Principles: Implementation and Mapping of Fair Information Practices. (Nicht mehr online verfügbar.) Information and Privacy Commissioner of Ontario, Mai 2010, archiviert vom Original am 21. März 2018; abgerufen am 24. Juni 2018 (englisch).
  43. Alexander Roßnagel, Andreas Pfitzmann, Hansjürgen Garstka: Modernisierung des Datenschutzrechts. Gutachten. Hrsg.: Bundesministerium des Innern. Berlin September 2001, DNB 963524534, S. 35 unten (semanticscholar.org [PDF; abgerufen am 24. Juni 2018]).
  44. Giovanni Buttarelli: Bewältigung der Herausforderungen in Verbindung mit Big Data: Ein Ruf nach Transparenz, Benutzerkontrolle, eingebautem Datenschutz und Rechenschaftspflicht. (PDF) Stellungnahme 7/2015. Europäischer Datenschutzbeauftragter, 19. November 2015, S. 17f, abgerufen am 24. Juni 2018.
  45. Wilhelm Steinmüller, Leonhard Ermer, Wolfgang Schimmel: Datenschutz bei riskanten Systemen: Eine Konzeption entwickelt am Beispiel eines medizinischen Informationssystems (= Informatik-Fachberichte. Band 13). Springer-Verlag, Berlin / Heidelberg 1978, ISBN 978-3-540-08684-0, doi:10.1007/978-3-642-48218-2.
  46. Marit Hansen: Data Protection by Default in Identity-Related Applications. In: Simone Fischer-Hübner, Elisabeth de Leeuw, Chris Mitchell (Hrsg.): Policies and Research in Identity Management. Third IFIP WG 11.6 Working Conference (= IFIP Advances in Information and Communication Technology. Band 396). Springer, Heidelberg / Berlin 2013, ISBN 978-3-642-37281-0, doi:10.1007/978-3-642-37282-7_2 (englisch, inria.fr [PDF]).
  47. Artikel-29-Datenschutzgruppe – Arbeitsgruppe Polizei und Justiz: Die Zukunft des Datenschutzes: Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten. (PDF) Workingpaper 168. Europäischen Kommission, 1. Dezember 2009, S. 15f, abgerufen am 24. Juni 2018: „Die Anwendung eines solchen Grundsatzes [“Privacy by Design”] würde die Notwendigkeit für den Einsatz von Technologien zum Schutz der Privatsphäre (PET), von “Privacy by Default”- Voreinstellungen und der erforderlichen Tools unterstreichen, die die Nutzer dazu befähigen, ihre personenbezogenen Daten besser zu schützen (z. B. Zugangskontrollen, Verschlüsselung).“
  48. John Schwartz: 'Opting In': A Privacy Paradox. In: The Washington Post. Nash Holdings LLC, 3. September 2000, abgerufen am 24. Juni 2018.
  49. Susan Athey, Christian Catalini, Catherine E. Tucker: The Digital Privacy Paradox: Small Money, Small Costs, Small Talk. In: MIT Sloan Research Paper. Nr. 5196-17. Stanford Graduate School of Business, Stanford 17. April 2018, doi:10.2139/ssrn.2916489 (englisch).
  50. Tobias Dienlin, Sabine Trepte: Is the privacy paradox a relic of the past? An in‐depth analysis of privacy attitudes and privacy behaviors. In: European Journal of Social Psychology. Band 45, Nr. 3. John Wiley & Sons, 14. Juli 2014, ISSN 1099-0992, doi:10.1002/ejsp.2049 (englisch).
  51. Monika Taddicken: The ‘Privacy Paradox’ in the Social Web: The Impact of Privacy Concerns, Individual Characteristics, and the Perceived Social Relevance on Different Forms of Self-Disclosure. In: Journal of Computer-Mediated Communication. Band 21, Nr. 2, 1. Januar 2014, S. 248–273, doi:10.1111/jcc4.12052 (englisch).
  52. Digitalcourage: (Nicht mehr online verfügbar.) 9. Mai 2014, archiviert vom Original am 24. Juli 2017; abgerufen am 24. Juni 2018.
  53. Datenschutz-Wiki-Bearbeiter: Technische und organisatorische Maßnahmen. In: Datenschutz-Wiki. Ruhr-Universität Bochum, BvD, 29. April 2016, abgerufen am 24. Juni 2018.
  54. M 4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung. In: IT-Grundschutz-Katalog. Bundesamt für Sicherheit in der Informationstechnik, 2013, abgerufen am 24. Juni 2018.
  55. M 2.1 Festlegung von Verantwortlichkeiten und Regelungen. In: IT-Grundschutz-Katalog. Bundesamt für Sicherheit in der Informationstechnik, 2013, abgerufen am 24. Juni 2018.
  56. M 2.505 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten. In: IT-Grundschutz-Katalog. Bundesamt für Sicherheit in der Informationstechnik, 2013, abgerufen am 24. Juni 2018.
  57. David Engemann: Braucht ein Kleinunternehmer einen Datenschutzbeauftragten? Landesbeauftragte für Datenschutz und Informationsfreiheit NRW sowie der Händlerbund auf die Frage nach der Bestellung eines Datenschutzbeauftragten für Kleinunternehmer. 6. Februar 2018, abgerufen am 26. Februar 2018.
  58. Jürgen Kühling, Mario Martini, et al: Die DSGVO und das nationale Recht. MV-Verlag, Münster 2016, S. 9 ff. (uni-regensburg.de [PDF]).
  59. Marian Müller: Die Öffnungsklauseln der Datenschutzgrundverordnung: Ein Beitrag zur Europäischen Handlungsformenlehre. Münster 2018, S. 175 ff. (uni-muenster.de [PDF]).
  60. Raoul-Darius Veit: Einheit und Vielfalt im europäischen Datenschutzrecht. Mohr Siebeck, Tübingen 2023, ISBN 978-3-16-161462-0, S. 211 ff. (mohrsiebeck.com).
  61. dazu Riesenhuber. In: BeckOK Datenschutzrecht, Stand 1. Februar 2018, Art. 88, Rn. 67 ff. mwN.
  62. Christoph Weiss: Die Neuordnung des Datenschutzes in Europa. In: fm4.orf.at. FM4, 28. Februar 2012, abgerufen am 2. Januar 2019.
  63. Berufsverband der Datenschutzbeauftragten Deutschlands: (Memento vom 18. Mai 2015 im Internet Archive) In: BvDnet.de vom 10. Mai 2015.
  64. BvD: (Memento vom 15. Juli 2015 im Internet Archive) vom 13. Juli 2015.
  65. Pressemitteilung: Subsidiaritätsrüge zur europäischen Datenschutz-Grundverordnung. Bundesrat, 30. März 2012, abgerufen am 24. Februar 2015.
  66. Verhandlungsposition des Europäischen Parlamentes vom 21. Oktober 2013
  67. Svenja Bergt: Weichspüler für den Datenschutz. In: TAZ. 4. März 2015, abgerufen am 4. März 2015.
  68. Heise-Online: Rechtsexperte: Datenschutz-Grundverordnung als „größte Katastrophe des 21. Jahrhunderts“
  69. Neue Datenschutz-Grundverordnung der EU laut Experten ohne Wirkung. In: Heise.de. Abgerufen am 5. Oktober 2016.
  70. (Nicht mehr online verfügbar.) In: uni-kassel.de. Universität Kassel, 29. September 2016, archiviert vom Original am 15. Dezember 2017; abgerufen am 2. Januar 2019.
  71. SN 39/16: Zur Öffnungsklausel der Datenschutz-Grundverordnung, Stellungnahme Nr.: 39/2016 des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht zu den Öffnungsklauseln der Datenschutz-Grundverordnung (EU) 2016/679 vom 27. April 2016, Berlin, August 2016.
  72. Stellungnahme Nr.: 39/2016, S. 3.
  73. Inanspruchnahme der Öffnungsklauseln in Art. 90 DSGVO iVm Art. 58 Absatz 1 Buchstaben e und f DSGVO, „um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung von mandatsbezogenen Informationen in Einklang zu bringen“ (Stellungnahme Nr.: 39/2016, S. 3).
  74. Inanspruchnahme der Öffnungsklauseln in Art. 6 Abs. 1 Satz 1 lit. e DSGVO, da die Verarbeitung personenbezogener Daten im öffentlichen Interesse gemäß Art. 6 Abs. 1 Satz 1 Buchstabe e DSGVO liegt, wenn sie der anwaltlichen Berufsausübung dient (Stellungnahme Nr.: 39/2016, S. 5 ff).
  75. In Art. 15 DSGVO sind Auskunftsrechte geregelt. Ein Auskunftsrecht soll nicht bestehen, „wenn und soweit die personenbezogenen Daten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen“ (Stellungnahme Nr.: 39/2016, S. 7).
  76. Kevin J. O’Brien: Silicon Valley Companies Lobbying Against Europe’s Privacy Proposals. In: New York Times. 25. Januar 2013, abgerufen am 30. März 2013.
  77. (Memento des Originals vom 18. Februar 2013 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/lobbyplag.eu
  78. (Nicht mehr online verfügbar.) In: Lobbyplag. Archiviert vom Original am 17. Juli 2013; abgerufen am 11. Juni 2013.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/lobbyplag.eu
  79. Uwe Ebbinghaus, Stefan Schulz, Thomas Thiel: Machtprobe mit Silicon Valley. 11. März 2014, abgerufen am 16. März 2014.
  80. Volker Briegleb, Stefan Krempl: EU-Parlament gibt grünes Licht für Datenschutzreform. In: heise.de. 21. Oktober 2013, abgerufen am 22. Oktober 2013.
  81. Markus Beckedahl: EU-Datenschutzgrundverordnung passiert erste Lesung im EU-Parlament. In: netzpolitik.org, 12. März 2014.
  82. EU-Datenschutzgrundverordnung: EU-Minister einigen sich auf Datenschutzreform. In: Die Zeit. 15. Juni 2015 (zeit.de [abgerufen am 16. Juni 2015]).
  83. Pressemitteilung der Europäischen Kommission vom 15. Dezember 2015.
  84. Rat der Europäischen Union: Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
  85. Rat der Europäischen Union: Data protection reform: Council adopts position at first reading (Pressemitteilung vom 8. April 2016).
  86. Europäisches Parlament: Parlament verabschiedet EU-Datenschutzreform – EU fit fürs digitale Zeitalter (Pressemitteilung vom 14. April 2016).
  87. Verordnung (EU) 2016/679. In: Amtsblatt der Europäischen Union. L 119, 4. Mai 2016, S. 1–88.
  88. siehe konsolidierte Fassung
  89. Rat der Europäischen Union: Corrigendum zu 2012/0011 (COD), Nr. 12399/16 vom 27. Oktober 2016 (PDF).
  90. Andreas Albert und Nicolai Kwasniewski: „Wie ein Abkommen den Datenschutz durchlöchert“. In: Spiegel Online. 25. November 2016.
  91. Richtige Bestellung Datenschutzbeauftragter (DSB). In: DSGVO-Vorlagen. 21. Juli 2019, abgerufen am 11. Oktober 2019 (deutsch).
  92. Evaluierung des Bundesdatenschutzgesetzes (BDSG). Abgerufen am 19. November 2021.
  93. Bundesgesetzblatt für die Republik Österreich: Datenschutz-Anpassungsgesetz 2018. (PDF) 31. Juli 2017, abgerufen am 17. November 2017.
  94. Wirtschaftskammer Österreich: (Nicht mehr online verfügbar.) Wirtschaftskammer Österreich, 26. September 2017, archiviert vom Original am 1. Dezember 2017; abgerufen am 22. November 2017.
  95. Österreich spült sich EU-Regeln weich. In: orf.at. 25. April 2018, abgerufen am 26. April 2018.
  96. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne. In: heise.de. 24. April 2018, abgerufen am 26. April 2018.
  97. dsb.gv.at
  98. Unternehmen kommen bei DSGVO-Umsetzung kaum voran. In: wiwo.de. 27. September 2018, abgerufen am 8. Januar 2019.
  99. Kaum Fortschritte – Umsetzung der Datenschutz-Grundverordnung. In: industrie.de. Konradin Mediengruppe, 4. Oktober 2018, abgerufen am 8. Januar 2019.
  100. Rüdiger Franz: Zweifel an Nutzen – EU-Datenschutz macht Bonner Wirtschaft viel Arbeit. In: general-anzeiger-bonn.de. 8. Januar 2019, abgerufen am 9. Januar 2019.
  101. Dietmar Neuerer: Unternehmen drohen Bußgelder in „erheblichem Umfang“. In: handelsblatt.de. Abgerufen am 30. Oktober 2018.
  102. David Zajonz: Drei Monate DSGVO – Die große Abmahnwelle ist ausgeblieben. In: tagesschau.de. 25. August 2018, abgerufen am 8. Januar 2019.
  103. Beschriftung der Gegensprechanlagen, Webseite von Stadt Wien – Wiener Wohnen, abgerufen am 31. Oktober 2018.
  104. Heike Anger, Dietmar Neuerer: Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO. In: handelsblatt.de. 19. Januar 2019, abgerufen am 25. Januar 2019: „Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO. Mit Blick auf die Höhe der Bußgelder besteht derzeit offenbar noch Schonfrist. So verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro bislang die höchste Einzelstrafe. Im konkreten Fall landeten aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet. Hamburg verhängte insgesamt Bußgelder in Höhe von 25.000 Euro, Nordrhein-Westfalen von knapp 15.000 Euro.“
  105. OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17. Abgerufen am 27. März 2020.
  106. KG Berlin Urteil vom 21. März 2019 – 23 U 268/13. Abgerufen am 27. März 2020.
  107. OLG Naumburg, Urteil vom 7. November 2019 – 9 U 6/19. Abgerufen am 27. März 2020.
  108. OLG Stuttgart, Urteil vom 27. Februar 2020 – 2 U 257/19. Abgerufen am 27. März 2020.
  109. CNIL: Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC. In: Légifrance. 19. Januar 2019, abgerufen am 25. Januar 2019 (französisch, « [C]omme cela a également été relevé au titre du manquement aux obligations de transparence, l’information fournie n’est pas suffisamment claire et compréhensible en ce qu’il est difficile pour un utilisateur d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée. » (deutsch: „Wie auch im Zusammenhang mit der Verletzung der Transparenzanforderungen festgestellt wurde, sind die bereitgestellten Informationen nicht ausreichend klar und verständlich, sodass es für einen Benutzer nicht nachvollziehbar ist, welche Verarbeitungen mit seinen Daten durchgeführt werden.“)).
  110. CNIL: Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC. In: Légifrance. 19. Januar 2019, abgerufen am 25. Januar 2019 (französisch, « Elle constate néanmoins que s’agissant de la dernière catégorie [‹ Informations conservées pendant de longues périodes pour des raisons précises. ›], seules des explications très générales sur la finalité de cette conservation sont fournies et aucune durée précise ni les critères utilisés pour déterminer cette durée ne sont indiqués. Or cette information figure parmi celles devant être obligatoirement délivrées aux personnes en application du a) du °2 de l’article 13 du Règlement. » (deutsch: „Es wird festgestellt, dass in der letztgenannten Kategorie [‚Informationen, die aus bestimmten Gründen über einen längeren Zeitraum aufbewahrt werden.‘] nur sehr allgemeine Erläuterungen Speicherzweck gegeben werden und keine genaue Dauer oder die Kriterien zur Bestimmung dieser Dauer angegeben werden. Diese Informationen sind jedoch obligatorischen Informatione, gemäß Art. 13 Abs. 2 lit. a der Verordnung zur Verfügung zu stellen sind.“)).
  111. Simon Rebiger, Ingo Dachwitz: Die DSGVO zeigt erste Zähne: 50-Millionen-Strafe gegen Google verhängt. In: netzpolitik.org. 21. Januar 2019, abgerufen am 25. Januar 2018.
  112. heise online: Fast 160 Millionen Euro DSGVO-Bußgelder im Jahr 2020. Abgerufen am 28. Januar 2022.
  113. t3n – digital pioneers | Das Magazin für digitales Business. Abgerufen am 28. Januar 2022.
  114. Europäische Regulierungsbehörde verzweifelt an mangelnder Durchsetzung der DSGVO abgerufen am 9. Januar 2020.
  115. Erster Tag für die neue Europäische Kommission abgerufen am 9. Januar 2020.
  116. Kalifornien nimmt sich EU-Datenschutz zum Vorbild. Der Spiegel, 29. Juni 2018, abgerufen am 28. Januar 2022 (deutsch).
  117. Chinesische DSGVO: Chinas neue Datenregeln haben massive Folgen für deutsche Unternehmen. Abgerufen am 28. Januar 2022.
  118. heise online: 2 Jahre DSGVO: Zwischen weltweitem Vorbild und digitaler Innovationsbremse. Abgerufen am 28. Januar 2022.
  119. Neues Gesetz: Kalifornien orientiert sich an Europas Datenschutzregeln. In: FAZ.NET. ISSN 0174-4909 (faz.net [abgerufen am 10. August 2022]).
  120. Bernd Skiera, Klaus Miller, Yuxi Jin, Lennart Kraft, René Laub, Julia Schmitt: The impact of the GDPR on the online advertising market. Frankfurt am Main 2022.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Die Datenschutz Grundverordnung DSGVO oder DS GVO franzosisch Reglement general sur la protection des donnees RGPD englisch General Data Protection Regulation GDPR ist eine Verordnung der Europaischen Union mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen sowohl private wie offentliche EU weit vereinheitlicht werden Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europaischen Union sichergestellt und auch andererseits der freie Datenverkehr innerhalb des Europaischen Binnenmarktes gewahrleistet werden Verordnung EU 2016 679Titel Verordnung EU 2016 679 des Europaischen Parlaments und des Rates vom 27 April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 46 EGKurztitel Datenschutz GrundverordnungBezeichnung nicht amtlich DSGVO DS GVOGeltungsbereich EWRRechtsmaterie DatenschutzrechtGrundlage AEUV insbesondere Art 16 und Charta der Grundrechte der Europaischen Union insbesondere Art 8Verfahrensubersicht Europaische Kommission Europaisches Parlament IPEX WikiAnzuwenden ab 25 Mai 2018Fundstelle ABl L 119 4 Mai 2016 S 1 88Volltext Konsolidierte Fassung nicht amtlich GrundfassungRegelung ist in Kraft getreten und anwendbar Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europaischen Union beachten Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95 46 EG zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Zusammen mit der Richtlinie EU 2016 680 fur den Datenschutz in den Bereichen Polizei und Justiz 1 bildet die DSGVO seit dem 25 Mai 2018 den gemeinsamen Datenschutzrahmen in der Europaischen Union 2 Sie ist daruber hinaus seit dem 20 Juli 2018 auch in den Nicht EU Staaten des Europaischen Wirtschaftsraumes EWR Island Liechtenstein und Norwegen geltendes Recht 3 Zu diesem Datenschutzrahmen trat im November 2018 die auch fur die Organe und Stellen der Europaischen Union verbindliche Verordnung EU 2018 1725 in Kraft Inhaltsverzeichnis 1 Unmittelbare Geltung nationale Sonderregelungen 2 Inhalt 2 1 Aufbau der DSGVO 2 2 Bereiche der Neuregelung 2 2 1 Grundsatze der Verarbeitung personenbezogener Daten 2 2 1 1 Rechtmassigkeit Verarbeitung nach Treu und Glauben Transparenz 2 2 1 2 Zweckbindung 2 2 2 Austausch personenbezogener Daten in der EU 2 2 3 Geltungsbereich 2 2 4 Marktortprinzip 2 2 5 Anforderungen an eine Einwilligung 2 2 6 Begrenzung der verarbeiteten Daten 2 2 7 Transparenz 2 2 8 Recht auf Vergessenwerden 2 2 9 Recht auf Datenubertragbarkeit 2 2 10 Sanktionen 2 2 11 Privacy by Design Privacy by Default 2 2 12 Verpflichtung zur Bestellung betrieblicher und behordlicher Datenschutzbeauftragter Vertreter in der Europaischen Union 2 2 13 Offnungsklauseln 3 Debatte uber die DSGVO 3 1 Debatte uber Entwurfe 3 2 Kritik am endgultigen Verordnungstext 4 Lobbyarbeit 5 Verfahren 6 Befurchtung der Schwachung durch das TiSA Abkommen 7 Umsetzung in den Mitgliedstaaten 7 1 Deutschland 7 2 Osterreich 8 Umsetzung und weltweite Folgeerscheinungen 9 Siehe auch 10 Literatur 10 1 Kommentare 10 2 Literatur 10 3 Dokumentation 11 Weblinks 11 1 Website der Europaischen Union 11 1 1 Europaischer Datenschutzausschuss 11 1 2 Information der Europaischen Kommission 11 2 Sonstige Webseiten 12 EinzelnachweiseUnmittelbare Geltung nationale Sonderregelungen BearbeitenIm Gegensatz zur Richtlinie 95 46 EG die von den EU Mitgliedstaaten in nationales Recht umgesetzt werden musste gilt die Datenschutz Grundverordnung seit dem 25 Mai 2018 unmittelbar in allen EU Mitgliedstaaten Die Mitgliedstaaten bringen jedoch durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemass dieser Verordnung mit dem Recht auf freie Meinungsausserung und Informationsfreiheit in Einklang Art 85 und Art 86 der Verordnung Fur diese und andere Rechtsvorschriften ist die Datenschutz Grundverordnung bereits seit deren Inkrafttreten am 24 Mai 2016 massgeblich Den Mitgliedstaaten ist es sonst grundsatzlich nicht erlaubt den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwachen oder zu verstarken Allerdings enthalt die Verordnung verschiedene Offnungsklauseln die es den einzelnen Mitgliedstaaten ermoglichen bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln Daher wird die Datenschutz Grundverordnung auch als Hybrid zwischen Richtlinie und Verordnung bezeichnet 4 Regelungsbedarf gibt es damit sowohl im Hinblick auf die Offnungsklauseln der Datenschutz Grundverordnung als auch wegen des Bedarfs der Bereinigung nationalen Datenschutzrechts Diese Ziele sollen in Deutschland auf Bundesebene mit der Neufassung des Bundesdatenschutzgesetzes und der Anderung weiterer Gesetze erreicht werden 5 Das Gesetz vom 30 Juni 2017 5 hebt nationales Datenschutzrecht auf oder uberfuhrt die bei Inkrafttreten der Datenschutz Grundverordnung unwirksamen Regelungen des bisherigen Bundesdatenschutzgesetzes in andere Gesetzesbereiche es passt Regelungen an und schafft teils neue Vorschriften fur den Datenschutz Bereits bei der Diskussion um die diversen Referentenentwurfe des Bundesinnenministeriums das bei der Gesetzgebung federfuhrend war haben Datenschutzer die unzureichende Berucksichtigung der Erfahrungen der letzten Jahre bemangelt 6 Juristen bezweifeln die Vereinbarkeit des angepassten Bundesdatenschutzgesetzes mit europaischem Recht 7 Inhalt BearbeitenDie Datenschutz Grundverordnung ist Teil der EU Datenschutzreform welche die Europaische Kommission am 25 Januar 2012 vorgestellt hat 8 9 Aufbau der DSGVO Bearbeiten Die DSGVO besteht aus 99 Artikeln in elf Kapiteln Kapitel 1 Artikel 1 bis 4 Allgemeine Bestimmungen Gegenstand und Ziele sachlicher und raumlicher Anwendungsbereich Begriffsbestimmungen Kapitel 2 Artikel 5 bis 11 Grundsatze und Rechtmassigkeit Grundsatze und Rechtmassigkeit der Verarbeitung personenbezogener Daten Bedingungen fur die Einwilligung Verarbeitung besonderer Kategorien personenbezogener Daten Kapitel 3 Artikel 12 bis 23 Rechte der betroffenen Person Transparenz und Modalitaten Informationspflichten des Verantwortlichen und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten Berichtigung und Loschung das Recht auf Vergessenwerden Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall einschliesslich Profiling Beschrankungen Kapitel 4 Artikel 24 bis 43 Verantwortlicher und Auftragsverarbeiter Allgemeine Pflichten Sicherheit personenbezogener Daten Datenschutz Folgenabschatzung und vorherige Konsultation Datenschutzbeauftragter Verhaltensregeln und Zertifizierung Kapitel 5 Artikel 44 bis 50 Ubermittlungen personenbezogener Daten an Drittlander oder an internationale Organisationen Kapitel 6 Artikel 51 bis 59 Unabhangige Aufsichtsbehorden Kapitel 7 Artikel 60 bis 76 Zusammenarbeit und Koharenz Europaischer Datenschutzausschuss Kapitel 8 Artikel 77 bis 84 Rechtsbehelfe Haftung und Sanktionen Kapitel 9 Artikel 85 bis 91 Vorschriften fur besondere Verarbeitungssituationen u a Verarbeitung und Freiheit der Meinungsausserung und Informationsfreiheit Datenverarbeitung am Arbeitsplatz Zugang der Offentlichkeit zu amtlichen Dokumenten Verarbeitung zu im offentlichen Interesse liegenden Archivzwecken zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken bestehende Datenschutzvorschriften von Kirchen und religiosen Vereinigungen oder Gemeinschaften Kapitel 10 Artikel 92 bis 93 Delegierte Rechtsakte und Durchfuhrungsrechtsakte Kapitel 11 Artikel 94 bis 99 Schlussbestimmungen u a Aufhebung der Richtlinie 95 46 EG und Inkrafttreten der DSGVO Vor den 99 Artikeln sind 173 Erwagungsgrunde ErwG angefuhrt die zur Auslegung der Artikel mit herangezogen werden 10 11 Bereiche der Neuregelung Bearbeiten Viele Bereiche des Datenschutzes werden durch die DSGVO nicht neu geregelt Insbesondere bleibt der Begriff der personenbezogenen Daten in Art 4 weiterhin weit gefasst personenbezogene Daten sind alle Informationen die sich auf eine identifizierte oder identifizierbare naturliche Person im Folgenden betroffene Person beziehen als identifizierbar wird eine naturliche Person angesehen die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen zu einer Kennnummer zu Standortdaten zu einer Online Kennung oder zu einem oder mehreren besonderen Merkmalen die Ausdruck der physischen physiologischen genetischen psychischen wirtschaftlichen kulturellen oder sozialen Identitat dieser naturlichen Person sind identifiziert werden kann Weiterhin gilt ebenfalls dass die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulassig ist Diese sind in Art 6 aufgefuhrt wovon mindestens einer erfullt sein muss Die betroffene Person hat ihre Einwilligung gegeben die Verarbeitung ist fur die Erfullung eines Vertrags oder zur Durchfuhrung vorvertraglicher Massnahmen erforderlich die Verarbeitung ist zur Erfullung einer rechtlichen Verpflichtung erforderlich die Verarbeitung ist erforderlich um lebenswichtige Interessen zu schutzen die Verarbeitung ist fur die Wahrnehmung einer Aufgabe erforderlich die im offentlichen Interesse liegt die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich Im letzten Fall ist eine Interessensabwagung gegenuber den Interessen der betroffenen Person erforderlich Zusammenfassend gilt Die DSGVO andert die Konzeption und weitgehend auch die Detailregelungen des geltenden Datenschutzrechts nicht grundlegend Vielmehr werden vielfach Bestimmungen der EG Datenschutzrichtlinie 95 46 ubernommen die die Grundlage des Bundesdatenschutzgesetzes bilden Andererseits gibt es aber auch zahlreiche neue datenschutzrechtliche Vorgaben deren Erfullung allein schon hinsichtlich des immens erhohten Bussgeldrahmens korrekter Beachtung bedarf 12 Zu folgenden Themenbereichen liefert die DSGVO Neuregelungen oder grundsatzliche Prazisierungen Grundsatze der Verarbeitung personenbezogener Daten Bearbeiten Die DSGVO fuhrt in Art 5 explizit folgende sechs Grundsatze fur die Verarbeitung personenbezogener Daten auf Rechtmassigkeit Verarbeitung nach Treu und Glauben Transparenz Zweckbindung Verarbeitung nur fur festgelegte eindeutige und legitime Zwecke Datenminimierung dem Zweck angemessen und erheblich sowie auf das notwendige Mass beschrankt Richtigkeit es sind alle angemessenen Massnahmen zu treffen damit unrichtige personenbezogene Daten unverzuglich geloscht oder berichtigt werden Speicherbegrenzung Daten mussen in einer Form gespeichert werden die die Identifizierung der betroffenen Personen nur so lange ermoglicht wie es erforderlich ist Integritat und Vertraulichkeit angemessene Sicherheit der personenbezogenen Daten einschliesslich Schutz vor unbefugter oder unrechtmassiger Verarbeitung und vor unbeabsichtigtem Verlust unbeabsichtigter Zerstorung oder unbeabsichtigter Schadigung Der Verantwortliche muss die Einhaltung all dieser Grundsatze nachweisen Die Nichteinhaltung dieser Grundsatze und der Rechenschaftspflicht kann mit einem angemessenen Bussgeld in Hohe von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 seines gesamten weltweit erzielten Jahresumsatzes geahndet werden Art 83 Abs 5 lit a Diese Grundsatze stellen die Programmatik der Verordnung dar 13 Die Regelung war fast wortlautgleich Teil der Datenschutzrichtlinie Art 6 Richtlinie 95 46 EG und als diese bis 1998 in nationale Gesetzgebung umzusetzen 14 Sie sind mehr als symbolische Wiederholungen der Art 16 AEUV Art 8 GRCh oder Transmissionsriemen zwischen diesen Bestimmungen und der Verordnung dies belegt insbesondere die hohe Bussgeldbewehrung der Nichteinhaltung der Bestimmung 15 Rechtmassigkeit Verarbeitung nach Treu und Glauben Transparenz Bearbeiten Hauptartikel Rechtmassigkeit und Treu und Glauben Der Dreiklang Rechtmassigkeit Verarbeitung nach Treu und Glauben Transparenz bedingt einander 16 Der Rechtmassigkeits Grundsatz lasst sich weit und eng auslegen Eine enge Auslegung bezieht sich auf die Zulassigkeit der Verarbeitung Frage nach den Ob eine weitere Auslegung 17 stellt die Frage nach dem Wie Die herrschende Meinung 18 19 20 legt die Vorschrift eng aus stellt jedoch fest dass der ErwG 40 in dieser Hinsicht nicht eindeutig ist Es ist festzustellen dass insbesondere der Grundsatz der Verarbeitung nach Treu und Glauben noch weiter zu fassen ist als in der deutschen Rechtsprechung ublich so sprechen die anderen Sprachversionen beispielsweise von fairness englisch nicht etwa von good faith loyaute franzosisch Anstandigkeit nicht etwa bonne foi correttezza italienisch Richtigkeit nicht etwa buona fede und behoorlijkheid niederlandisch Angemessenheit nicht etwa goede trouw 21 Transparenz stellt hier die Umsetzung der beiden vorgenannten Grundsatze dar Es muss einerseits retrospektiv nachvollziehbar sein der Datenverarbeitung Schritt fur Schritt zu folgen Dies hatte bereits 1983 das Bundesverfassungsgericht im Volkszahlungsurteil festgestellt 22 Der Transparenzgedanke der Verordnung geht jedoch uber diese reine Ruckschau hinaus Es muss vielmehr vorausblickend moglich sein nicht nur den Prozess der Verarbeitung zu uberblicken und verstehen sondern auch den Zusammenhang und damit auch bspw den Grund der Verarbeitung und den Zeitpunkt und Grund der Ubermittlung an Dritte ErwG 39 Zweckbindung Bearbeiten Zweckgebundene Daten und das Konzept ihrer konformen Verwendung tragen zu Transparenz Rechtssicherheit und Vorhersehbarkeit bei die Grundsatze zielen darauf ab die Betroffenen zu schutzen indem sie Beschrankungen fur die Verwendung ihrer Daten durch die dafur Verantwortlichen festlegen und die Angemessenheit der Verarbeitung starken 23 Der Grundsatz orientiert sich wie die anderen Grundsatze der Verordnung an hoherrangigem Recht Art 8 EMRK zielt auf den Schutz des Privatlebens ab und verlangt eine Rechtfertigung fur jeden Eingriff in die Privatsphare Entsprechend entwickelte der EGMR den Test zur Bemessung der Erwartung an die Privatheit 24 25 Das Gericht weitete diesen Schutz und Test einschliesslich des Schutzes personenbezogener Daten schrittweise von Fallen der Sammlung und Archivierung personenbezogener Daten durch Geheimdienste 26 27 auf die jungsten Falle aus in denen das Gericht diese Garantien auf das Arbeitsumfeld 28 und auf offentliche Raume 29 noch vor dem Inkrafttreten der Verordnung aus der EMRK ableitete und anwandte Entsprechend weitreichend ist der Grundsatz der Zweckbindung Damit die Zweckbindung uberhaupt realisiert werden kann muss der Zweck festgelegt eindeutig und legitim sein Art 5 Abs 1 lit b Entsprechend muss der Zweck bereits zum Zeitpunkt der Erhebung feststehen ErwG 39 eine allgemeine Angabe wie geschaftsmassige Verarbeitung oder Bankgeschafte reichen der herrschenden Meinung nach nicht aus 30 31 32 Vielmehr muss der Zweck so klar zum Ausdruck gebracht werden dass Zweifel daran ob und in welchem Sinne der Verantwortliche der Verarbeitung den Zweck festgelegt hat ausgeschlossen sind 32 Austausch personenbezogener Daten in der EU Bearbeiten Der Austausch personenbezogener Daten in der EU darf nicht mehr mit dem Argument abgelehnt werden dass der Datenschutz innerhalb der EU verschieden gehandhabt wird Art 1 Abs 3 formuliert Der freie Verkehr personenbezogener Daten in der Union darf aus Grunden des Schutzes naturlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschrankt noch verboten werden Geltungsbereich Bearbeiten Die DSGVO unterscheidet im Gegensatz etwa zum deutschen Bundesdatenschutzgesetz a F nicht zwischen der Verarbeitung personenbezogener Daten durch offentliche und nicht offentliche Stellen fur alle Verantwortlichen gilt dasselbe Recht Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten laut Art 2 nicht unter die Verordnung Die Erwagungsgrunde 16 und 18 erlautern dies naher 16 Diese Verordnung gilt nicht fur Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tatigkeiten die nicht in den Anwendungsbereich des Unionsrechts fallen wie etwa die nationale Sicherheit betreffende Tatigkeiten 18 Diese Verordnung gilt nicht fur die Verarbeitung von personenbezogenen Daten die von einer naturlichen Person zur Ausubung ausschliesslich personlicher oder familiarer Tatigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tatigkeit vorgenommen wird Als personliche oder familiare Tatigkeiten konnte auch das Fuhren eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online Tatigkeiten im Rahmen solcher Tatigkeiten gelten Diese Verordnung gilt jedoch fur die Verantwortlichen oder Auftragsverarbeiter die die Instrumente fur die Verarbeitung personenbezogener Daten fur solche personlichen oder familiaren Tatigkeiten bereitstellen Marktortprinzip Bearbeiten Hauptartikel Marktortprinzip Das europaische Datenschutzrecht gilt auch fur aussereuropaische Unternehmen oder Organisationen soweit diese ihre Waren oder Dienstleistungen im europaischen Markt anbieten Dies bedeutet dass die DSGVO nicht nur Anwendung findet wenn die Datenverarbeitung im Gebiet der Union oder durch einen im Gebiet der Union ansassigen Anbieter stattfindet sondern nach Art 3 der Verordnung auch wenn die Datenverarbeitung mit einem Angebot in Zusammenhang steht das sich an Personen im Unionsgebiet richtet Die genaue Bestimmung wann ein solches Ausrichten vorliegt ist bisher im Datenschutzrecht nicht eindeutig geklart Anforderungen an eine Einwilligung Bearbeiten Prinzipiell sind die Anforderungen an eine wirksame Einwilligung gegenuber dem deutschen Bundesdatenschutzgesetz a F reduziert Die Schriftform ist nicht mehr die Regel auch eine stillschweigende Einwilligungserklarung ist nach Erwagungsgrund 32 zulassig wenn sie eindeutig ist Da aber andererseits dies vom Verantwortlichen nachzuweisen ist wird die Schriftform doch gangig bleiben Fur besondere personenbezogene Daten ist sie weiterhin vorgeschrieben In der Praxis werden beispielsweise Consent Banner verwendet Begrenzung der verarbeiteten Daten Bearbeiten Die etwa im deutschen Bundesdatenschutzgesetz a F festgeschriebene Datensparsamkeit wird durch den Grundsatz der zweckbezogenen Datenminimierung ersetzt Transparenz Bearbeiten Der Erwagungsgrund 39 hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung fur die betroffenen Personen hervor Mehrere Artikel verlangen entsprechende Massnahmen Nach Art 15 hat jede Person ein Auskunftsrecht uber die dort genannten personenbezogenen Daten die Gegenstand der Verarbeitung sind 33 Die Informationen daruber sind laut Art 12 in praziser transparenter verstandlicher und leicht zuganglicher Form in einer klaren und einfachen Sprache zu liefern Nach Art 13 und 14 muss jeder betroffenen Person bei einer Datenerhebung in einer Datenschutzerklarung umfangreich Auskunft unter anderem uber Zweck Empfanger und Verantwortliche der Datenverarbeitung Dauer der Datenspeicherung Rechte zur Berichtigung Sperren und Loschen und Verwendung der Daten fur Profiling Zwecke gegeben werden Wenn sich der Zweck andert ist die betroffene Person aktiv zu informieren Nach Art 16 hat die betroffene Person ein Recht auf Berichtigung falscher Daten sowie laut Art 18 ein Recht auf Einschrankung Sperrung der Datenverarbeitung wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden Nach Art 30 hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis von Verarbeitungstatigkeiten die ihrer Zustandigkeit unterliegen zu fuhren Die Effektivitat all dieser Rechte ist allerdings von der unausgesprochenen Voraussetzung abhangig dass betroffene Personen selbst verpflichtet sind sich aktiv darum zu kummern von wem und wie ihre Daten verarbeitet werden und ihre Rechte einzufordern Dies wird von Kritikern als nicht realistisch angesehen 34 Daruber hinaus soll die DSGVO laut Erwagungsgrund 13 auch Transparenz und Rechtssicherheit fur die verarbeitenden Unternehmen bewirken einschliesslich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Recht auf Vergessenwerden Bearbeiten Das Recht auf Vergessenwerden das in der Uberschrift des Art 17 ausdrucklich so genannt wird ist eines der zentralen Rechte der DSGVO Es umfasst einerseits dass eine betroffene Person das Recht hat das Loschen aller sie betreffenden Daten zu fordern wenn die Grunde fur die Datenspeicherung entfallen Es ist aber zu beachten dass der Verantwortliche andererseits Daten von sich aus schon loschen muss wenn die Rechtsgrundlage fur die weitere Verarbeitung entfallen ist Dem konnen gesetzliche Aufbewahrungspflichten z B fur Buchungsbelege gemass 147 Abgabenordnung entgegenstehen Recht auf Datenubertragbarkeit Bearbeiten Als eine eher marktsteuernde Regelung verlangt Art 20 dass eine betroffene Person das Recht hat die Daten die sie betreffen und die sie selbst dem Verantwortlichen ubergeben hat in einem strukturierten gangigen und maschinenlesbaren Format zu erhalten auch und insbesondere fur den Zweck sie anderen ohne Behinderung durch den Verantwortlichen zu ubermitteln Sanktionen Bearbeiten Fur die effektive Durchsetzung des Datenschutzrechts sind nun weitaus hohere Bussgelder als bisher moglich Zudem konnen die Datenschutzaufsichtsbehorden kunftig durchsetzbare Anordnungen und Bussgelder nicht nur gegen private Verantwortliche sondern auch gegenuber Behorden erlassen wenn das im nationalen Recht vorgesehen ist Die Hohe der Bussgelder fur Ordnungswidrigkeiten ist nun in bestimmten Fallen nach Art 83 Abs 5 auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt im Vergleich dazu sah das deutsche Bundesdatenschutzgesetz a F bisher ein Bussgeld von bis zu 300 000 Euro vor Am 14 Oktober 2019 legte die DSK die Konferenz der staatlichen Datenschutzbeauftragten ein Konzept zur Bussgeldbemessung bei Verstossen nach der DSGVO vor 35 Dieses Konzept soll fur Unternehmen nicht aber fur Vereine oder naturliche Personen den Kriterienkatalog nach Art 83 Abs 2 DSGVO konkretisieren Erreicht werden soll eine Harmonisierung fur rein deutsche Sachverhalte nicht aber fur grenzuberschreitende Falle Das Werk soll nur bis zur Verabschiedung von entsprechenden Leitlinien des Europaischen Datenschutzausschuss gelten Das Konzept ist kein Bussgeldkatalog der die Gerichte bindet Zur Darstellung mit kritischen Anmerkungen siehe BRAK Magazin Heft 6 aus 2020 S 14 und 15 36 Die Mitgliedstaaten konnen daruber hinaus weitere Sanktionsmoglichkeiten vorsehen Zum Beispiel kann laut Erwagungsgrund 149 vorgesehen werden Gewinne aufgrund des Verstosses gegen die DSGVO einzuziehen Privacy by Design Privacy by Default Bearbeiten Nach den Grundsatzen Datenschutz durch Technikgestaltung privacy by design data protection by design und durch datenschutzfreundliche Voreinstellungen privacy by default data protection by default muss die betroffene Person darauf vertrauen konnen dass die grundsatzlichen Datenschutzanforderungen von der ersten Nutzung an gewahrt bleiben und zwar auch dann wenn die vorgegebenen Voreinstellungen zunachst nicht geandert werden 37 Die Konzepte gehoren zu den Kernelementen der Verordnung 38 Durch den Grundsatz privacy by design wird der Tatsache Rechnung getragen dass die Sicherstellung des Datenschutzes nicht allein durch die Einhaltung von Vorschriften gewahrleistet werden kann die Grundsatze des Datenschutzes mussen bereits vor Beginn der technischen Planung in die Konzeptionierung von Verarbeitungsvorgangen integriert werden 39 40 Daher ergeben sich drei Handlungsfelder fur Datenschutz durch Technikgestaltung 41 42 Technik von Verarbeitungsvorgangen z B durch das Softwaredesign Was technisch verhindert wird oder unterbunden werden kann oder technisch nicht moglich ist muss nicht mehr verboten und uberwacht werden 43 Geschaftsablaufe z B durch Funktionstrennung Falls Daten lediglich verarbeitet werden daraus Trends und Zusammenhange zu erkennen und keine gewonnenen Informationen auf die betreffenden Personen unmittelbar anzuwenden Vielmehr sollen diese durch technische und organisatorische Massnahmen fruhestmoglich anonymisiert werden 44 Gestaltung datenschutzfreundlicher Architektur sowohl physisch z B durch das Vermeiden von personenbezogenen Daten auf Ordnerrucken als auch elektronisch 45 Beim Grundsatz privacy by default handelt es sich um eine Spezialisierung des Grundsatzes privacy by design 46 47 Er fusst insbesondere auf dem Privacy Paradox 48 49 50 wonach Benutzer erklaren dass sie sich um ihre Daten und den Datenschutz sorgen jedoch so handeln als ob dies nicht der Fall ware Die Grunde hierfur sind Gegenstand der Forschung angenommen werden Faulheit Unkenntnis oder eine intuitive irrationale Abwagung der Vor und Nachteile 51 Ziel ist dass Verantwortliche Systeme bereitstellen deren Voreinstellungen bereits moglichst datenschutzfreundlich sind 52 Benutzer eines Systems sollen hierbei jedoch explizit nicht davor geschutzt werden freiwillig und informiert datenschutzunfreundlichere Einstellungen vorzunehmen vielmehr sollen betroffene Personen befahigt werden die Verarbeitung personenbezogener Daten zu uberwachen ErwG 78 Die Umsetzung der Grundsatze erfolgt durch geeignete technische und organisatorische Massnahmen Art 25 Abs 1 Unter technischen Massnahmen sind alle Schutzversuche zu verstehen die im weitesten Sinne physisch umsetzbar sind oder die in Soft und Hardware umgesetzt werden unter organisatorischen Massnahmen solche Schutzversuche die durch Handlungsanweisung Verfahrens und Vorgehensweisen umgesetzt werden 53 Hierzu konnen beispielsweise das physikalische Loschen von Daten 54 die kryptographische Verschlusselung oder interne IT und Datenschutz Regelungen gehoren 55 56 Verpflichtung zur Bestellung betrieblicher und behordlicher Datenschutzbeauftragter Vertreter in der Europaischen Union Bearbeiten Die DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor zumindest bei allen offentlichen Stellen und solchen privaten Unternehmen bei denen besonders risikoreiche Datenverarbeitungen erfolgen Damit wird ein Mindeststandard fur die Einrichtung dieser Stellen erreicht nbsp Dieser Artikel oder Absatz stellt die Situation in Deutschland dar Bitte hilf uns dabei die Situation in anderen Staaten zu schildern Kleinunternehmer und kleine Unternehmen mussen keinen Datenschutzbeauftragten stellen es sei denn einer der nachfolgenden Punkte trifft zu 57 Es sind regelmassig mindestens 20 Personen standig mit der automatisierten Verarbeitung personenbezogener Daten beschaftigt 38 Abs 1 Satz 1 des Bundesdatenschutzgesetzes Verantwortlicher ist eine offentliche Stelle oder Behorde Art 37 Abs 1 lit a DSGVO Die Kerntatigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen Art 37 Abs 1 lit c DSGVO Es ist eine Datenschutz Folgenabschatzung durchzufuhren 38 Abs 1 Satz 2 des Bundesdatenschutzgesetzes Die Kerntatigkeit ist die umfangreiche oder systematische Uberwachung von betroffenen Personen Art 37 Abs 1 lit c DSGVO Der Begriff der umfangreichen Verarbeitung und die Voraussetzungen fur eine Datenschutz Folgenabschatzung werden im Erwagungsgrund 91 etwas genauer beschrieben damit bestimmte freie Berufe wie Rechtsanwalte und Arzte aber etwa auch Apotheker als Angehorige eines Gesundheitsberufes in der Regel keinen Datenschutzbeauftragten stellen mussen Nicht in der Europaischen Union ansassige Verantwortliche auf die die Datenschutz Grundverordnung Anwendung findet mussen zudem einen Vertreter in der Europaischen Union bestellen Offnungsklauseln Bearbeiten Die DSGVO sieht vor dass durch nationales Recht an vielen Stellen eine Erweiterung oder detaillierte Festlegung des Datenschutzrechtes erfolgt Dies erfolgt uber so genannte Offnungsklauseln von denen die DSGVO je nach Zahlweise 50 bis 60 enthalt Einige verlangen eine Rechtshandlung der Mitgliedstaaten die Mehrzahl erlaubt jedoch die Ausnutzung von Spielraumen durch nationale Vorschriften Die Bestimmungen lassen sich in verschiedener Hinsicht systematisieren 58 59 60 Der Handlungsspielraum ist grundsatzlich insofern begrenzt als die Harmonisierung des Datenschutzes durch die DSGVO nicht unterlaufen werden darf Die Hintergrunde dieser vielen Offnungsklauseln werden gerade von seinerzeitigen Vertretern der EU meist auf politischer Ebene verortet indem sie als Kompromisse im Rahmen eines Konsensfindungsprozesses gewertet werden Seitens der Wissenschaft gibt indessen auch alternative Erklarungsansatze die mitunter Auslegungshilfen fur die Rechtsanwendung bereit halten 59 60 Ein Beispiel fur eine Offnungsklausel findet sich etwa im Datenschutz von Beschaftigten also dem Beschaftigtendatenschutz Hauptartikel Beschaftigtendatenschutz Art 88 Abs 1 sieht eine Offnungsklausel vor nach der die Mitgliedstaaten spezifischere Vorschriften zur Gewahrleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschaftigtendaten im Beschaftigungskontext vorsehen konnen Es ist umstritten ob diese Formulierung ein Abweichen vom Schutzniveau der allgemeinen Vorschriften zulasst 61 Weitere Offnungsklauseln finden sich u a in Art 9 Abs 2 und Abs 4 zur Festlegung besonderer Bedingungen fur die Verarbeitung besonderer Arten personenbezogener Daten wie Gesundheitsdaten oder Daten zu sexuellen Vorlieben in Art 10 zur Erlaubnis der Verarbeitung von Daten uber strafrechtliche Verurteilungen und Straftaten in Art 28 fur rechtliche Grundlagen der Auftragsdatenverarbeitung in Art 37 zur Bestellung von Datenschutzbeauftragten abweichend von den in Art 37 festgelegten Voraussetzungen in Art 85 zum Ausgleich des Spannungsfelds zwischen Datenschutz und Meinungsfreiheit Medienprivileg in Art 87 fur die Regelung der Verarbeitung nationaler Kennziffern oder anderer Kennzeichen von allgemeiner Bedeutung in Art 89 fur die Regelung von Ausnahmen von Betroffenenrechten bei Verarbeitungen fur wissenschaftliche historische statistische oder archivarische Zwecke Debatte uber die DSGVO BearbeitenSeit dem Vorschlag des Gesetzgebungsentwurfs der Europaischen Kommission hatte es umfassende Debatten im Rahmen des Gesetzgebungsverfahrens gegeben Insbesondere das Europaische Parlament hatte durch zahlreiche offentliche Anhorungen viele der geausserten Kritikpunkte aufgegriffen und im Rahmen des von Jan Philipp Albrecht als Berichterstatter verhandelten Kompromisses einfliessen lassen Auch im Ministerrat waren unterschiedlichste Standpunkte eingeflossen Aus beiden Vorlagen wurde im Rahmen der Trilogverhandlungen am 15 Dezember 2015 ein finaler Verordnungstext erarbeitet der am Ende nahezu einstimmig vom Plenum des Europaischen Parlaments sowie den Innen und Justizministern der EU Mitgliedstaaten angenommen wurde und zum 24 Mai 2016 formal in Kraft trat Die wahrend der mehr als vier Jahre dauernden Verhandlungen aufgeworfenen Kritikpunkte unterschiedlicher Seiten der Debatte werden nachstehend ausschnittsweise zusammengefasst Debatte uber Entwurfe Bearbeiten Zwischenzeitliche Entwurfe sahen vor dass ein interner Datenschutzbeauftragter und interne Dokumentationspflichten nur fur Unternehmen mit mehr als 250 Mitarbeitern verpflichtend sind Dies so Kritiker hatte den Datenschutz in Deutschland und Osterreich geschwacht 62 Die endgultige Fassung sieht eine verpflichtende Benennung des internen Datenschutzbeauftragten bei Behorden und bei Verantwortlichen vor deren Kerntatigkeit in der Durchfuhrung von Verarbeitungsvorgangen oder in der umfangreichen Verarbeitung sensibler Daten besteht Art 37 Abs 1 Die Mitgliedstaaten sind aber befugt strengere Regelungen zu erlassen Art 37 Abs 4 Die internen Dokumentationspflichten gelten nicht fur Unternehmen mit weniger als 250 Mitarbeitern sofern die Datenverarbeitung kein Risiko fur die Betroffenen birgt nur gelegentlich erfolgt und nicht die Verarbeitung sensibler Daten einschliesst Art 30 Abs 5 Der Berufsverband der Datenschutzbeauftragten Deutschlands BvD erwartet dass die Abschaffung des internen Datenschutzbeauftragten zu Kostensteigerungen aufgrund wachsender Burokratie fuhre Unternehmen mussten intern eine Stelle fur die Behordenkommunikation einrichten und bei der Einfuhrung neuer Software mit Verzogerungen rechnen weil die Landesamter fur Datenschutz personell nicht gut genug ausgestattet seien 66 unabhangige Verbraucher und Datenschutzorganisationen forderten Jean Claude Juncker im April 2015 auf den Goldstandard des europaischen Datenschutzes zu erhalten 63 Der BvD bemangelte ferner fehlende klare Regeln fur den Datentransfer aus der EU in Drittstaaten z B USA und forderte eine EU weite Bestellung betrieblicher Datenschutzbeauftragter 64 Andererseits wird die Weitergabe von Verbraucherdaten an Konkurrenten Datenportabilitat nicht nur Anbieter wie Facebook betreffen sondern auch fur kleinere Unternehmen gelten 62 Der deutsche Bundesrat erhob am 30 Marz 2012 Subsidiaritatsruge gegen den Verordnungsvorschlag Die Landerkammer war der Auffassung dass der Vorschlag mit dem Subsidiaritatsprinzip nicht im Einklang stehe und deshalb gegen Art 5 Abs 3 EUV verstosse 65 Nach dieser Vorschrift darf die Europaische Union in den Bereichen die nicht in ihre ausschliessliche Zustandigkeit fallen nur tatig werden sofern und soweit die Ziele der in Betracht gezogenen Massnahmen von den Mitgliedstaaten nicht ausreichend verwirklicht werden konnen sondern wegen ihres Umfangs oder ihrer Wirkungen auf EU Ebene besser zu implementieren sind Von vielen Seiten wurde die oft vage und unklare Formulierung des Entwurfs kritisiert Danach sollten auch viele elementare Regelungen erst gar nicht in die Grundverordnung eingefugt sondern diesen erst durch gesonderte Rechtsakte der EU Kommission Geltung verschafft werden Im Verhandlungsbeschluss des Europaischen Parlaments waren die Kritikpunkte bereits weitgehend ausgeraumt 66 Nachdem aber die ursprunglich angenommenen Datenschutzaspekte der Verordnung nach einem Pressebericht vom Marz 2015 von der zustandigen Arbeitsgruppe der EU in grossen Teilen aufgeweicht wurden kam es zu erneuter Kritik So wird in einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von personenbezogenen Daten ohne festgelegte Zwecke erlaubt ebenso wie die Weitergabe dieser Daten an Dritte 67 Kritik am endgultigen Verordnungstext Bearbeiten Auch nach Verabschiedung der Datenschutz Grundverordnung wird grundlegende Kritik insbesondere von Seiten der Rechtswissenschaft geubt So bezeichnete der Leiter des Instituts fur Informations Telekommunikations und Medienrecht an der Universitat Munster Thomas Hoeren die Datenschutz Grundverordnung als eines der schlechtesten Gesetze des 21 Jahrhunderts 68 Der Leiter des Fachgebiets Offentliches Recht mit Schwerpunkt Recht der Technik der Universitat Kassel Alexander Rossnagel meinte die Datenschutz Grundverordnung ignoriere alle modernen Herausforderungen fur den Datenschutz wie Soziale Netzwerke Big Data Datenflut und deren Beherrschung Suchmaschinen Cloud Computing Ubiquitous computing Durchdringung des Alltags und von Dingen durch Computer und andere Technikanwendungen 69 In einer Studie wird der deutsche Gesetzgeber aufgefordert die unubersichtliche Gemengelage aus neuen europaischen Regelungen und fortgeltendem deutschen Recht aufzulosen 70 Auch der Deutsche Anwaltverein DAV sieht bei der DSGVO insoweit Anderungsbedarf als der nationale Gesetzgeber zum Schutz der berufsspezifischen Rechte und Pflichten der Rechtsanwalte z B Unabhangigkeit vor staatlichen Einflussen Anwaltsgeheimnis absolute Treuepflicht des Rechtsanwalts gegenuber seinem Mandanten in der Verordnung ermoglichte Offnungsklauseln nutzen muss um all dies uberhaupt weiter gewahrleisten zu konnen 71 Der DAV zog das Fazit einer Ausdunnung des deutschen Datenschutzrechts 72 Die Forderung des DAV an den nationalen Gesetzgeber geht in drei Richtungen Keine Zugangsbefugnisse der Datenschutz Aufsichtsbehorden ohne ausdruckliche vorherige Zustimmung der Anwaltskammer 73 Generelle und umfassende Erlaubnisklausel fur anwaltliche Datenverarbeitung von personenbezogenen Daten im Rahmen der Mandate 74 Einschrankung der Auskunftspflichten und Auskunftsrechte 75 Lobbyarbeit BearbeitenRund um die Verhandlungen der Datenschutz Grundverordnung kritisierten EU Abgeordnete massives Lobbying von Seiten der US Regierung und von US amerikanischen IT Unternehmen Technologie Unternehmen aus den USA furchten demnach den negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa und ubten entsprechenden Druck auf die Regierung von US Prasident Obama aus So forderte der amerikanische EU Botschafter William E Kennard in einer Rede in Brussel am 4 Dezember 2012 dass die zentralen Forderungen der Verordnung gestrichen werden mussen das Loschen samtlicher Daten einer Person aus den Unternehmensdatenbanken auf Wunsch und die ausdruckliche Einverstandniserklarung einer Person bevor ihre Daten uberhaupt gesammelt werden durfen 76 Von amerikanischen Unternehmen wird ein California Effekt durch die EU Gesetzgebung befurchtet Ahnlich wie strengere Umweltgesetze in Kalifornien den Mindeststandard in den USA schleichend anheben wird erwartet dass die hoheren Standards in der EU das Datenschutzniveau fur alle weltweit operierenden Unternehmen anheben wurden Wahrend bisher in den USA lediglich Finanz und Gesundheitsdaten einem gewissen Datenschutz unterliegen 76 ist die Erfassung und das Zusammenfuhren samtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatunternehmen erlaubt Amerikanische Burgerrechtsorganisationen erhofften sich andererseits eine Steigerung des Datenschutzstandards in den USA und unterstutzten daher die Plane in der EU Die Plattform LobbyPlag eu zeigt dass viele Abanderungsantrage von Abgeordneten im EU Parlament wortgleich aus Lobbypapieren von Unternehmen wie Amazon eBay der Lobbygruppe Digitaleurope 76 mit den Mitgliedern Apple Microsoft Cisco Intel IBM Oracle Texas Instruments und Dell oder von der US amerikanischen Handelskammer ubernommen wurden Fur die Abanderungen traten unter anderen die Abgeordneten Malcolm Harbour ECR Andreas Schwab CDU EPP Klaus Heiner Lehne EPP oder Marielle Gallo EPP ein Andererseits weist die Plattform auch auf wortgleiche Ubernahmen aus den Unterlagen von Datenschutzorganisationen wie Bits of Freedom und EDRi durch Abgeordnete wie Amelia Andersdotter PPEU Piraten oder Eva Lichtenberger EFA Die Grunen hin 77 Im zustandigen LIBE Ausschuss des EU Parlaments wurden schlussendlich uber 3 100 Abanderungsantrage gegenuber dem Entwurf der EU Kommission eingebracht Generell setzten sich die meisten sozialdemokratischen und grunen Abgeordneten fur eine Verstarkung oder Prazisierung des Entwurfs ein wahrend sich die meisten konservativen und liberalen Abgeordneten fur eine Lockerung im Sinne der IT Wirtschaft starkmachten LobbyPlag erarbeitete eine Liste der Abgeordneten die gemessen an den von ihnen eingebrachten Anderungsantragen am nachdrucklichsten fur weniger bzw fur mehr Datenschutz eintraten Bis Anfang Juni 2013 brachte sich fur die Aufweichung des Datenschutzes demnach Axel Voss EPP CDU am starksten ein bei der Starkung des Datenschutzes sah man Jan Philipp Albrecht EFA Die Grunen an erster Stelle Beide hatten in der Summe je 147 Anderungsantrage zugunsten der Abschwachung beziehungsweise Starkung des Datenschutzes eingebracht 78 Unter Druck durch Teile der deutschen Wirtschaft die furchtete im globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden argumentierten auch Vertreter des Deutschen Innenministeriums dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstunde 79 Verfahren BearbeitenNach langen Verhandlungen scheiterte ein Entwurf der irischen Ratsprasidentschaft im Juni 2013 im EU Ministerrat Unter anderem meldeten die Vertreter Deutschlands Grossbritanniens und Frankreichs zahlreiche Bedenken an Die anvisierte Positionierung vor der Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten Am 21 Oktober 2013 nahm das Europaische Parlament im Innen und Justizausschuss seine durch den Grunen Europaabgeordneten Jan Philipp Albrecht als EP Berichterstatter ausgearbeitete Verhandlungsposition mit uberwaltigender Mehrheit an 80 und bestatigte sie am 12 Marz 2014 durch das Plenum 81 Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der Offentlichkeit zu Gunsten eines schwacheren Datenschutzes verandert worden waren sollten am 12 und 13 Marz 2015 die Justizminister der Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung erzielen bevor die ubrigen Kapitel verhandelt wurden 67 Erst im Juni 2015 einigten sich die EU Justizminister auf einen Entwurf der Datenschutz Grundverordnung 82 Am 24 Juni begannen die Abstimmungsverhandlungen zwischen Rat Europaischem Parlament und Europaischer Kommission sogenannter Trilog Eine am 15 Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung 83 wurde am 17 Dezember vom Innen und Rechtsausschuss des Parlaments mit grosser Mehrheit angenommen Am 8 April 2016 beschloss der EU Ministerrat die vorliegende Fassung 84 85 das EU Parlament nahm die Regelungen am 14 April ebenfalls an 86 Die Veroffentlichung im Amtsblatt der Europaischen Union erfolgte am 4 Mai 2016 87 weshalb sie gemass Art 99 Abs 1 DSGVO am 24 Mai 2016 in Kraft trat und gemass Art 99 Abs 2 ab dem 25 Mai 2018 anzuwenden ist Mehrere Corrigenda d h Berichtigungen inhaltlicher Fehler ergingen seit Inkrafttreten 88 z T beschrankt auf einige Sprachfassungen der DSGVO DE ET IT HU am 27 Oktober 2016 89 Befurchtung der Schwachung durch das TiSA Abkommen BearbeitenUnterlagen aus den Geheimverhandlungen zum Trade in Services Agreement TiSA die im November 2016 Greenpeace zugespielt wurden belegen nach Aussage von Greenpeace dass Lobbyisten versuchen neben Netzneutralitat und Bankenregulierung auch den Datenschutz nachhaltig zu schwachen und die Datenschutz Grundverordnung faktisch unwirksam zu machen Unternehmen sollen Kunden und Nutzerdaten ins aussereuropaische Ausland transferieren und dort ohne Zweckbindung weiterverarbeiten konnen 90 Umsetzung in den Mitgliedstaaten Bearbeiten nbsp Angaben gemass DSGVO an einer Uberwachungskamera im offentlichen Raum in HamburgDeutschland Bearbeiten Mit dem Datenschutz Anpassungs und Umsetzungsgesetz EU vom 30 Juni 2017 wurde unter anderem das Bundesdatenschutzgesetz neu gefasst 5 Mit dem Zweiten Datenschutz Anpassungs und Umsetzungsgesetz EU 2 DSAnpUG EU wurden weitere weitreichende Anpassungen verabschiedet unter anderem wurde die Zahl ab der ein Datenschutzbeauftragter zu bestellen ist von 10 auf 20 Personen angehoben die standig mit der Verarbeitung von personenbezogenen Daten befasst sein mussen 91 Seit Oktober 2021 liegt der Evaluierungsbericht des Bundesinnenministeriums zur Anpassung des deutschen Datenschutzrechts an die DSGVO vor 92 Zustandige Behorden sind der bzw die Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit die 16 Landesbeauftragten fur den Datenschutz sowie das bayerische Landesamt fur Datenschutzaufsicht Fur die offentlich rechtlichen Rundfunkanstalten handeln deren Rundfunkdatenschutzbeauftragte als Aufsichtsbehorden nach Art 51 DSGVO Osterreich Bearbeiten Mit dem Datenschutz Anpassungsgesetz 2018 hat Osterreich das Bundesgesetz zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten Datenschutzgesetz DSG geandert und an die DSGVO angepasst 93 94 Im April 2018 wurde im Nationalrat eine Abanderung der Novelle beschlossen Demnach solle die Behorde den Strafkatalog der DSGVO so zur Anwendung bringen dass die Verhaltnismassigkeit gewahrt wird 95 96 Zustandige Behorde in Osterreich ist die Datenschutzbehorde mit Sitz in Wien 97 Leiterin der Behorde ist Andrea Jelinek Umsetzung und weltweite Folgeerscheinungen BearbeitenDie Umsetzung der umfassenden Anderungen durch die Datenschutz Grundverordnung dauert bis heute noch immer an obwohl die DS GVO bereits seit 25 Mai 2018 gilt 98 99 100 Fur 2020 ist von der EU Kommission auch die Evaluierung der DSGVO geplant Art 97 Abs 1 DSGVO Einige grosse US Medienverlage wie die der Chicago Tribune oder die Los Angeles Times so wurde bekannt haben ihre Internetprasenzen teilweise fur viele europaische Nutzer gesperrt 101 102 In Osterreich hat die Immobilienverwaltung der Stadt Wien Stadt Wien Wiener Wohnen angekundigt rund 200 000 Namensschilder an Klingeln zu entfernen da sie befurchtet gegen die DSGVO zu verstossen 103 Diese Ankundigung wurde im November 2018 wieder zuruckgezogen In Deutschland wurden bis Ende 2018 in 41 Fallen Bussgeldbescheide aufgrund von Datenschutzverstossen erlassen davon alleine 33 in Nordrhein Westfalen Die Bussgelder bewegen sich in niedriger Hohe in Nordrhein Westfalen waren es insgesamt 15 000 Euro in Baden Wurttemberg allerdings bei einer Einzelstrafe 80 000 Euro 104 Neben den Bussgeldverfahren haben mittlerweile aber auch mehrere Oberlandesgerichte in Deutschland wettbewerbsrechtliche Anspruche bei Verstossen gegen die DSGVO bejaht OLG Hamburg 105 KG Berlin 106 OLG Naumburg 107 OLG Stuttgart 108 Die franzosische Datenschutzbehorde CNIL verhangte im Januar 2019 nach Beschwerden der Nichtregierungsorganisationen La Quadrature du Net aus Frankreich und NOYB aus Osterreich ein Bussgeld uber 50 Millionen Euro gegen Google LLC wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten 109 und zum Speicherzeitraum 110 und weil die von Google eingeholte Einwilligung zur Anzeige personalisierter Werbung ungultig sei 111 Nachdem im Jahr 2020 rund 160 Millionen Euro an DSGVO Strafzahlungen verhangt wurden 112 so waren es 2021 bereits uber eine Milliarde Euro 113 Kritiker beklagen Verzogerungen oder Fehlen oder Vermeidung von Strafverfolgung durch das One Stop Shop System bei dem viele wichtige Ermittlungen von den Behorden in Irland oder Luxemburg durchgefuhrt werden mussen da sich die meisten grossen US Technologieunternehmen in diesen Landern niedergelassen haben 114 Im Rahmen der von der Kommission von der Leyen propagierten digitalen Souveranitat beabsichtigen europaische Datenschutzbeauftragte den Strafverfolgungsmechanismus zu verbessern 115 Seit dem Inkrafttreten der DSGVO wurden auch in zahlreichen Staaten ausserhalb des EWR Datenschutzgesetze angepasst Beispielsweise ist in den USA am 1 Januar 2020 der California Consumer Privacy Act CCPA in Kraft getreten 116 In China trat im Jahr 2021 ein neues Gesetz zum Schutz Personlicher Daten PIPL in Kraft 117 Weithin wird die DSGVO als erstes umfassendes Datenschutzgesetz gesehen und gilt als weltweites Vorbild 118 119 Die DSGVO hatte immense Folgen fur den Online Werbemarkt da sie das Sammeln und Nutzen von personenbezogenen Daten fur personalisierte Werbung und Inhalte der verschiedenen Akteure erschwerte 120 Siehe auch BearbeitenGesundheitsdatenschutzLiteratur BearbeitenKommentare Bearbeiten Lutz Bergmann Roland Mohrle Armin Herb Kommentar zum Datenschutzrecht 63 Liefg November 2022 Boorberg Verlag Stuttgart 2020 ISBN 978 3 415 00616 4 Martin Esser Philipp Kramer Kai von Lewinski Hrsg Auernhammer DSGVO BDSG Kommentar 7 Auflage Koln 2020 ISBN 978 3 452 29526 2 Eugen Ehmann Martin Selmayr Datenschutz Grundverordnung DS GVO Munchen 2017 ISBN 978 3 406 70215 0 Peter Gola Datenschutz Grundverordnung DS GVO VO EU 2016 679 C H Beck Munchen 2017 ISBN 978 3 406 69543 8 Jurgen Kuhling Benedikt Buchner Datenschutz Grundverordnung DS GVO 2 Auflage C H Beck Munchen 2018 ISBN 978 3 406 71932 5 Boris Paal Daniel Pauly Datenschutz Grundverordnung DS GVO C H Beck Munchen 2017 ISBN 978 3 406 69570 4 Kai Uwe Plath Hrsg DSGVO BDSG 3 Auflage Dr Otto Schmidt Verlag Koln 2018 ISBN 978 3 504 56075 1 Gernot Sydow Hrsg Europaische Datenschutzgrundverordnung Handkommentar Nomos Baden Baden 2017 ISBN 978 3 8487 1782 8 Hans Jurgen Schaffland Gabriele Holthaus Astrid Schaffland Datenschutz Grundverordnung DS GVO Kommentar Erich Schmidt Verlag Berlin 2017 ISBN 978 3 503 17404 1 Sibylle Gierschmann Katharina Schlender Rainer Stentzel Winfried Veil Kommentar Datenschutz Grundverordnung 1 Auflage Bundesanzeiger Verlag Koln 2018 ISBN 978 3 8462 0638 6 Rolf Schwartmann Andreas Jaspers Gregor Thusing Dieter Kugelmann Hrsg DS GVO BDSG Datenschutz Grundverordnung Bundesdatenschutzgesetz 1 Auflage C F Muller Heidelberg 2018 ISBN 978 3 8114 4664 9 Wolfgang Daubler Peter Wedde Thilo Weichert Imke Sommer EU Datenschutz Grundverordnung und BDSG neu Kompaktkommentar 1 Auflage Bund Verlag Frankfurt am Main 2018 ISBN 978 3 7663 6615 3 Literatur Bearbeiten Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit Hrsg DSGVO BDSG Texte und Erlauterungen BfDI Info Nr 1 Bonn 2022 320 S bund de PDF 4 7 MB abgerufen am 4 Dezember 2022 Tassilo Rouven Konig Beschaftigtendatenschutz 1 Auflage Nomos Verlag 2020 ISBN 978 3 8487 5702 2 Jurgen Kuhling Manuel Klar Florian Sackmann Datenschutzrecht 4 Auflage Heidelberg 2018 ISBN 978 3 8114 4571 0 Jurgen Kuhling Mario Martini u a Die Datenschutz Grundverordnung und das nationale Recht Erste Uberlegungen zum nationalen Regelungsbedarf Munster 2016 ISBN 978 3 95645 890 3 Jan Philipp Albrecht Florian Jotzo Das neue Datenschutzrecht der EU Baden Baden 2016 ISBN 978 3 8487 2804 6 Alexander Rossnagel Europaische Datenschutz Grundverordnung Vorrang des Unionsrechts Anwendbarkeit des nationalen Rechts Baden Baden 2016 ISBN 978 3 8487 3074 2 Stefan Schulz Redaktionsschluss die Zeit nach der Zeitung Hanser Munchen 2016 ISBN 978 3 446 25070 3 Hier auch zum Zustandekommen der Verordnung und die Berichterstattung in den Medien dazu Gerald Spyra Die Datenschutzgrundverordnung Forderungen und Hinweise Was gilt heute was gilt morgen TUV Media 2016 ISBN 978 3 7406 0106 5 Gerald Spyra Datenschutzgrundverordnung und BDSG Uberblick Kontext und Erlauterungen fur die Praxis TUV Media 2017 ISBN 978 3 7406 0253 6 Niko Harting Datenschutz Grundverordnung Das neue Datenschutzrecht in der betrieblichen Praxis 2016 ISBN 978 3 504 42059 8 Kevin Marschall Erweiterte Informationspflichten in der DSGVO Anderungen fur die Unternehmen In Datenschutz Berater DSB Nr 11 2016 S 230 232 Kevin Marschall Datenpannen neue Meldepflicht nach der europaischen DS GVO In Datenschutz und Datensicherheit DuD Nr 3 2015 S 183 189 Maxi Nebel Alexander Rossnagel Philipp Richter Was bleibt vom Europaischen Datenschutzrecht Uberlegungen zum Ratsentwurf der DS GVO In Zeitschrift fur Datenschutz ZD Nr 10 2015 S 455 460 Kevin Marschall Pinkas Muller Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO Bestellung Rolle Aufgaben und Anforderungen im Fokus europaischer Veranderungen In Zeitschrift fur Datenschutz ZD Nr 9 2016 S 415 420 Jurgen Kuhling Mario Martini Die Datenschutz Grundverordnung Revolution oder Evolution im Datenschutzrecht im europaischen und nationalen Datenschutzrecht In Europaische Zeitschrift fur Wirtschaftsrecht 2016 S 448 454 Peter Schantz Die Datenschutz Grundverordnung Beginn einer neuen Zeitrechnung im Datenschutzrecht In Neue Juristische Wochenschrift 2016 S 1841 1847 Thomas Kranig Andreas Sachs Markus Gierschmann Datenschutz Compliance nach der DS GVO Handlungshilfe fur Verantwortliche inklusive Pruffragen fur Aufsichtsbehorden Bundesanzeiger Verlag Koln 2017 ISBN 978 3 8462 0760 4 Stefan Loubichi EU Datenschutzgrundverordnung Was bis zum 25 5 2018 beachtet sein muss te In atw International Journal of Nuclear Power Nr 5 2018 S 289 294 ISSN 1431 5254 PDF aufgenommen in die Bibliothek des Deutschen Bundestages 57 Jg Nr 6 Juni 2018 Dokumentation Bearbeiten Democracy Im Rausch der Daten Dokumentarfilm von David BernetWeblinks BearbeitenWebsite der Europaischen Union Bearbeiten Europaischer Datenschutzausschuss Bearbeiten Webseite des Europaischen Datenschutzausschusses EDSA mit Guidelines und Entscheidungen der europaischen BehordenInformation der Europaischen Kommission Bearbeiten Was regelt die Datenschutz Grundverordnung Europaische Kommission Fragen und Antworten Datenschutz Grundverordnung Memento vom 17 Mai 2018 im Internet Archive Factsheet der Europaischen Kommission vom 24 Januar 2018 Mitteilung der Kommission an das Europaische Parlament den Rat den Europaischen Wirtschafts und Sozialausschuss und den Ausschuss der Regionen Der Schutz der Privatsphare in einer vernetzten Welt Ein europaischer Datenschutzrahmen fur das 21 Jahrhundert Reform der EU Datenschutzvorschriften 2018 Europaische Kommission EU Data Protection Reform ensuring its enforcement englisch Fact sheet der Europaischen Kommission aus dem Januar 2018Einzelne VerordnungenVerordnung EU 2016 679 des Europaischen Parlaments und des Rates vom 27 April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 46 EG Datenschutz Grundverordnung in der konsolidierten Fassung vom 4 Mai 2016 auch im PDF PDF 624 kB verfugbar Verordnung EU 2016 679 des Europaischen Parlaments und des Rates vom 27 April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 46 EG Datenschutz Grundverordnung Ursprungliche Fassung neben einigen Zusatzinformationen sind in dieser Seite auch Links zu den einzelnen Anderungen und Berichtigungen sowie zu nicht amtlichen konsolidierten Fassungen enthalten Mitteilung der Kommission an das Europaische Parlament und den Rat Besserer Schutz und neue Chancen Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz Grundverordnung ab 25 Mai 2018 Kommission veroffentlicht Leitfaden zu neuen Datenschutzbestimmungen Memento vom 25 Januar 2018 im Internet Archive Pressemitteilung der Europaischen Kommission vom 24 Januar 2018 Vorschriften fur Unternehmen und Organisationen betreffend der Datenschutz Grundverordnung Anwendungsbereich der Verordnung Grundsatze der Datenschutz Grundverordnung Offentliche Verwaltungen und Datenschutz Europaische KommissionSonstige Webseiten Bearbeiten GDPRhub freies englischsprachiges Wiki mit uber 2000 DSGVO Entscheidungen Leitfaden der Osterreichischen Datenschutzbehorde zur DSGVO dsb gv atEinzelnachweise Bearbeiten Richtlinie EU 2016 680 des Europaischen Parlaments und des Rates vom 27 April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten durch die zustandigen Behorden zum Zwecke der Verhutung Ermittlung Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008 977 JI des Rates In ABL L 119 89 vom 4 Mai 2016 Umsetzung der JI Richtlinie in Deutschland Memento des Originals vom 12 Juni 2018 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www bfdi bund de Website des Bundesdatenschutzbeauftragten abgerufen am 10 Juni 2018 General Data Protection Regulation GDPR entered into force in the EEA EFTA Sekretariat 19 Juli 2018 abgerufen am 8 Januar 2020 Beschluss des gemeinsamen EWR Ausschusses Nr 154 2018 vom 6 Juli 2018 Jurgen Kuhling Mario Martini u a Die Datenschutz Grundverordnung und das nationale Recht Erste Uberlegungen zum innerstaatlichen Regelungsbedarf Munster 2016 S 1 a b c Vorgangsablauf im DIP und Text des Datenschutz Anpassungs und Umsetzungsgesetzes EU DSAnpUG EU BGBl 2017 I S 2097 Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit BfDI Stellungnahme zum Entwurf eines Datenschutz Anpassungs und Umsetzungsgesetzes EU DSAnpUG EU PDF netzpolitik org 31 August 2016 abgerufen am 1 Februar 2017 Bundesministerium des Innern Stellungnahme zum Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung EU 2016 679 Datenschutz Grundverordnung und zur Umsetzung der Richtlinie EU 2016 680 Datenschutz Anpassungs und Umsetzungsgesetz EU DSAnpUG EU PDF netzpolitik org 31 August 2016 abgerufen am 1 Februar 2017 Kommission schlagt umfassende Reform des Datenschutzrechts vor um Nutzern mehr Kontrolle uber ihre Daten zu geben und die Kosten fur Unternehmen zu verringern In europa eu Europaische Kommission 25 Januar 2012 abgerufen am 2 Januar 2019 deutsch englisch franzosisch danisch spanisch niederlandisch italienisch schwedisch portugiesisch finnisch griechisch tschechisch estnisch ungarisch litauisch lettisch maltesisch polnisch slowakisch slowenisch bulgarisch rumanisch Falk Luke Reding stellt EU Datenschutzreform vor In heise online Heise Medien GmbH amp Co KG 25 Januar 2012 abgerufen am 2 Januar 2019 Was muss ich wissen zur EU Datenschutz Grundverordnung PDF 234 kB Bitkom 2016 S 5 abgerufen am 2 Dezember 2017 Wissenschaftliche Dienste des Deutschen Bundestages Fachbereich PE 6 Fachbereich Europa Vorgaben der Verordnung EU Nr 995 2010 Auslegungsgrundsatze des EuGH Hrsg Deutschen Bundestag PE 6 3000 83 16 15 Juni 2016 S 4 Abschnitt 2 1 Erwagungsgrunde und Bestimmungen eines Rechtsakts Satz 2 bundestag de PDF abgerufen am 2 Januar 2019 Der EuGH vertritt in standiger Rechtsprechung die Ansicht dass die Begrundungserwagungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden konnen um von den Bestimmungen des betreffenden Rechtsakts abzuweichen noch um diese Bestimmungen in einem Sinne auszulegen der ihrem Wortlaut offensichtlich widerspricht Peter Gola Andreas Jaspers u a Datenschutz Grundverordnung im Uberblick DATAKONTEXT Munchen 2016 ISBN 978 3 89577 774 5 S 22 Information Commissioner s Office The principles In Guide to the General Data Protection Regulation Abgerufen am 26 Juni 2018 englisch The principles lie at the heart of the GDPR They are set out right at the start of the legislation and inform everything that follows They don t give hard and fast rules but rather embody the spirit of the general data protection regime and as such there are very limited exceptions EuGH Urteil in der Rechtssache C 131 12 ECLI EU C 2014 317 13 Mai 2014 abgerufen am 26 Juni 2018 Rn 71 Jede Verarbeitung personenbezogener Daten muss vorbehaltlich der in Art 13 der Richtlinie 95 46 zugelassenen Ausnahmen den in Art 6 der Richtlinie aufgestellten Grundsatzen in Bezug auf die Qualitat der Daten und einem der in Art 7 der Richtlinie aufgefuhrten Grundsatze in Bezug auf die Zulassigkeit der Verarbeitung von Daten genugen vgl Urteile Osterreichischer Rundfunk u a EU C 2003 294 Rn 65 ASNEF und FECEMD C 468 10 und C 469 10 EU C 2011 777 Rn 26 und Worten C 342 12 EU C 2013 355 Rn 33 Eike Michael Frenzel Datenschutz Grundverordnung Bundesdatenschutzgesetz Kommentar Hrsg Boris Paal Daniel Pauly 2 Auflage C H Beck Munchen 2018 ISBN 978 3 406 71838 0 Art 5 Rn 2 EuGH Urteil in der Rechtssache C 201 14 ECLI EU C 2015 638 1 Oktober 2015 abgerufen am 26 Juni 2018 Rn 34 Folglich verpflichtet das in Art 6 der Richtlinie 95 46 vorgesehene Erfordernis der Verarbeitung personenbezogener Daten nach Treu und Glauben eine Verwaltungsbehorde die betroffenen Personen davon zu unterrichten dass die personenbezogenen Daten an eine andere Verwaltungsbehorde weitergeleitet werden um von dieser in ihrer Eigenschaft als deren Empfanger verarbeitet zu werden Philipp Reimer Europaische Datenschutzgrundverordnung Handkommentar Hrsg Gernot Sydow Nomos Baden Baden 2017 ISBN 978 3 8487 1782 8 Art 5 Rn 1 Eike Michael Frenzel Datenschutz Grundverordnung Bundesdatenschutzgesetz Kommentar Hrsg Boris Paal Daniel Pauly 2 Auflage C H Beck Munchen 2018 ISBN 978 3 406 71838 0 Art 5 Rn 16 Tobias Herbst Datenschutz Grundverordnung BDSG Kommentar Hrsg Jurgen Kuhling Benedikt Buchner C H Beck Munchen 2018 ISBN 978 3 406 71932 5 Art 5 Rn 10f Information Commissioner s Office Lawful basis for processing In Guide to the General Data Protection Regulation Abgerufen am 26 Juni 2018 englisch The first principle requires that you process all personal data lawfully fairly and in a transparent manner Processing is only lawful if you have a lawful basis under Article 6 And to comply with the accountability principle in Article 5 2 you must be able to demonstrate that a lawful basis applies Ubersetzungszentrum fur die Einrichtungen der Europaischen Union Grundsatz von Treu und Glauben IATE ID 1087248 Abgerufen am 2 Januar 2019 englisch franzosisch italienisch niederlandisch Bundesverfassungsgericht Urteil vom 15 Dezember 1983 PDF Az 1 BvR 209 83 1 BvR 269 83 1 BvR 362 83 1 BvR 420 83 1 BvR 484 83 Nicht mehr online verfugbar S 46 archiviert vom Original am 7 Marz 2010 abgerufen am 26 Juni 2018 Mit dem Recht auf informationelle Selbstbestimmung waren eine Gesellschaftsordnung und eine diese ermoglichende Rechtsordnung nicht vereinbar in der Burger nicht mehr wissen konnen wer was wann und bei welcher Gelegenheit uber sie weiss Artikel 29 Datenschutzgruppe Opinion 03 2013 on purpose limitation PDF Workingpaper 203 Europaischen Kommission 2 April 2013 abgerufen am 26 Juni 2018 englisch Purpose specification and the concept of compatible use contribute to transparency legal certainty and predictability they aim to protect the data subject by setting limits on how controllers are able to use their data and reinforce the fairness of the processing EGMR Urteil in der Beschwerdesache 12433 86 Ludi Schweiz In Human Rights Documentation Europarat 15 Juni 1992 abgerufen am 26 Juni 2018 englisch franzosisch bulgarisch russisch slowenisch spanisch EGMR Urteil in der Beschwerdesache 20605 92 Halford Vereinigtes Konigreich In Human Rights Documentation Europarat 4 Mai 2000 abgerufen am 26 Juni 2018 englisch franzosisch armenisch lettisch slowakisch slowenisch spanisch EGMR Urteil in der Beschwerdesache 27798 95 Amann Schweiz In Human Rights Documentation Europarat 16 Februar 2000 abgerufen am 26 Juni 2018 englisch franzosisch spanisch EGMR Urteil in der Beschwerdesache 28341 95 Rotaru Rumanien In Human Rights Documentation Europarat 25 Juni 1997 abgerufen am 26 Juni 2018 englisch franzosisch aserbaidschanisch mazedonisch rumanisch serbisch spanisch EGMR Urteil in der Beschwerdesache 62617 00 Copland Vereinigtes Konigreich In Human Rights Documentation Europarat 3 April 2007 abgerufen am 26 Juni 2018 englisch franzosisch albanisch armenisch aserbaidschanisch bosnisch bulgarisch georgisch islandisch mazedonisch rumanisch russisch spanisch turkisch ukrainisch EGMR Urteil in der Beschwerdesache 4158 05 Gillan und Quinton Vereinigtes Konigreich In Human Rights Documentation Europarat 12 Januar 2010 abgerufen am 26 Juni 2018 englisch franzosisch deutsch albanisch armenisch aserbaidschanisch bosnisch bulgarisch kroatisch georgisch islandisch mazedonisch rumanisch russisch spanisch turkisch ukrainisch Ulf Bruhann Richtlinie 95 46 EG zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr In Eberhard Grabitz Meinhard Hilf Martin Nettesheim Hrsg Das Recht der Europaischen Union Kommentar 40 Auflage Beck Munchen 2010 ISBN 978 3 406 60907 7 Abschnitt A 30 Art 6 Rn 9 Eike Michael Frenzel Datenschutz Grundverordnung Bundesdatenschutzgesetz Kommentar Hrsg Boris Paal Daniel Pauly 2 Auflage C H Beck Munchen 2018 ISBN 978 3 406 71838 0 Art 5 Rn 27 a b Ulrich Dammann Spiros Simitis EG Datenschutzrichtlinie Kommentar Nomos Baden Baden 1997 ISBN 978 3 7890 4517 2 Artikel 6 Rn 6 vgl LG Koln Teilurteil vom 18 Marz 2019 26 O 25 18 Rz 21 Peter Gola Andreas Jaspers u a Datenschutz Grundverordnung im Uberblick DATAKONTEXT Munchen 2016 ISBN 978 3 89577 774 5 S 18 Da Betroffene wie durch Meinungsumfragen umfassend belegt derartige Datenschutzklauseln uberwiegend nicht lesen und diese Leseabneigung mit steigendem Umfang des Texts nicht nachlassen wird https www datenschutzkonferenz online de media ah 20191016 bu C3 9Fgeldkonzept pdf https www brak mitteilungen de flipbook magazin Dennis Kenji Kipker Privacy by Default und Privacy by Design In Datenschutz und Datensicherheit Band 39 Nr 6 Mai 2015 S 410 doi 10 1007 s11623 015 0438 0 Mario Martini Datenschutz Grundverordnung Bundesdatenschutzgesetz Kommentar Hrsg Boris Paal Daniel Pauly 2 Auflage C H Beck Munchen 2018 ISBN 978 3 406 71838 0 Art 25 Rn 8 Ann Cavoukian Privacy Design Principles for an Integrated Justice System PDF Working Paper Nicht mehr online verfugbar Information and Privacy Commissioner of Ontario 5 April 2000 archiviert vom Original am 25 Februar 2007 abgerufen am 24 Juni 2018 englisch Privacy design principles need to be built into the technology architecture at the outset of the technology initiative For privacy design principles to be useful beyond general discussion and agreement in the planning stage however they need additional specificity Konferenz der Datenschutzbeauftragten des Bundes und der Lander Ein modernes Datenschutzrecht fur das 21 Jahrhundert PDF Eckpunkte Landesbeauftragter fur den Datenschutz Baden Wurttemberg 18 Marz 2010 S 7 abgerufen am 24 Juni 2018 Die technische Integration des Datenschutzes in Produkte und Verfahren z B im Hinblick auf Datenvermeidung oder Datensparsamkeit sowie einfachen und wirkungsvollen Selbstdatenschutz der Nutzerinnen und Nutzer wurde dagegen spatere Datenschutzprobleme vermeiden helfen Ann Cavoukian Privacy by Design PDF Nicht mehr online verfugbar Information and Privacy Commissioner of Ontario Januar 2009 archiviert vom Original am 30 Marz 2016 abgerufen am 24 Juni 2018 englisch In brief Privacy by Design refers to the philosophy and approach of embedding privacy into the design specifications of various technologies This approach originally had technology as its primary area of application but I have since expanded its scope to two other areas In total the three areas of application are 1 technology 2 business practices and 3 physical design Ann Cavoukian Privacy by Design PDF The 7 Foundational Principles Implementation and Mapping of Fair Information Practices Nicht mehr online verfugbar Information and Privacy Commissioner of Ontario Mai 2010 archiviert vom Original am 21 Marz 2018 abgerufen am 24 Juni 2018 englisch Alexander Rossnagel Andreas Pfitzmann Hansjurgen Garstka Modernisierung des Datenschutzrechts Gutachten Hrsg Bundesministerium des Innern Berlin September 2001 DNB 963524534 S 35 unten semanticscholar org PDF abgerufen am 24 Juni 2018 Giovanni Buttarelli Bewaltigung der Herausforderungen in Verbindung mit Big Data Ein Ruf nach Transparenz Benutzerkontrolle eingebautem Datenschutz und Rechenschaftspflicht PDF Stellungnahme 7 2015 Europaischer Datenschutzbeauftragter 19 November 2015 S 17f abgerufen am 24 Juni 2018 Wilhelm Steinmuller Leonhard Ermer Wolfgang Schimmel Datenschutz bei riskanten Systemen Eine Konzeption entwickelt am Beispiel eines medizinischen Informationssystems Informatik Fachberichte Band 13 Springer Verlag Berlin Heidelberg 1978 ISBN 978 3 540 08684 0 doi 10 1007 978 3 642 48218 2 Marit Hansen Data Protection by Default in Identity Related Applications In Simone Fischer Hubner Elisabeth de Leeuw Chris Mitchell Hrsg Policies and Research in Identity Management Third IFIP WG 11 6 Working Conference IFIP Advances in Information and Communication Technology Band 396 Springer Heidelberg Berlin 2013 ISBN 978 3 642 37281 0 doi 10 1007 978 3 642 37282 7 2 englisch inria fr PDF Artikel 29 Datenschutzgruppe Arbeitsgruppe Polizei und Justiz Die Zukunft des Datenschutzes Gemeinsamer Beitrag zu der Konsultation der Europaischen Kommission zu dem Rechtsrahmen fur das Grundrecht auf den Schutz der personenbezogenen Daten PDF Workingpaper 168 Europaischen Kommission 1 Dezember 2009 S 15f abgerufen am 24 Juni 2018 Die Anwendung eines solchen Grundsatzes Privacy by Design wurde die Notwendigkeit fur den Einsatz von Technologien zum Schutz der Privatsphare PET von Privacy by Default Voreinstellungen und der erforderlichen Tools unterstreichen die die Nutzer dazu befahigen ihre personenbezogenen Daten besser zu schutzen z B Zugangskontrollen Verschlusselung John Schwartz Opting In A Privacy Paradox In The Washington Post Nash Holdings LLC 3 September 2000 abgerufen am 24 Juni 2018 Susan Athey Christian Catalini Catherine E Tucker The Digital Privacy Paradox Small Money Small Costs Small Talk In MIT Sloan Research Paper Nr 5196 17 Stanford Graduate School of Business Stanford 17 April 2018 doi 10 2139 ssrn 2916489 englisch Tobias Dienlin Sabine Trepte Is the privacy paradox a relic of the past An in depth analysis of privacy attitudes and privacy behaviors In European Journal of Social Psychology Band 45 Nr 3 John Wiley amp Sons 14 Juli 2014 ISSN 1099 0992 doi 10 1002 ejsp 2049 englisch Monika Taddicken The Privacy Paradox in the Social Web The Impact of Privacy Concerns Individual Characteristics and the Perceived Social Relevance on Different Forms of Self Disclosure In Journal of Computer Mediated Communication Band 21 Nr 2 1 Januar 2014 S 248 273 doi 10 1111 jcc4 12052 englisch Digitalcourage Privacy by Default Datenschutz darf keine Ausnahme bleiben Nicht mehr online verfugbar 9 Mai 2014 archiviert vom Original am 24 Juli 2017 abgerufen am 24 Juni 2018 Datenschutz Wiki Bearbeiter Technische und organisatorische Massnahmen In Datenschutz Wiki Ruhr Universitat Bochum BvD 29 April 2016 abgerufen am 24 Juni 2018 M 4 32 Physikalisches Loschen der Datentrager vor und nach Verwendung In IT Grundschutz Katalog Bundesamt fur Sicherheit in der Informationstechnik 2013 abgerufen am 24 Juni 2018 M 2 1 Festlegung von Verantwortlichkeiten und Regelungen In IT Grundschutz Katalog Bundesamt fur Sicherheit in der Informationstechnik 2013 abgerufen am 24 Juni 2018 M 2 505 Festlegung von technisch organisatorischen Massnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten In IT Grundschutz Katalog Bundesamt fur Sicherheit in der Informationstechnik 2013 abgerufen am 24 Juni 2018 David Engemann Braucht ein Kleinunternehmer einen Datenschutzbeauftragten Landesbeauftragte fur Datenschutz und Informationsfreiheit NRW sowie der Handlerbund auf die Frage nach der Bestellung eines Datenschutzbeauftragten fur Kleinunternehmer 6 Februar 2018 abgerufen am 26 Februar 2018 Jurgen Kuhling Mario Martini et al Die DSGVO und das nationale Recht MV Verlag Munster 2016 S 9 ff uni regensburg de PDF a b Marian Muller Die Offnungsklauseln der Datenschutzgrundverordnung Ein Beitrag zur Europaischen Handlungsformenlehre Munster 2018 S 175 ff uni muenster de PDF a b Raoul Darius Veit Einheit und Vielfalt im europaischen Datenschutzrecht Mohr Siebeck Tubingen 2023 ISBN 978 3 16 161462 0 S 211 ff mohrsiebeck com dazu Riesenhuber In BeckOK Datenschutzrecht Stand 1 Februar 2018 Art 88 Rn 67 ff mwN a b Christoph Weiss Die Neuordnung des Datenschutzes in Europa In fm4 orf at FM4 28 Februar 2012 abgerufen am 2 Januar 2019 Berufsverband der Datenschutzbeauftragten Deutschlands EU Plane zum Datenschutz belasten Wirtschaft Memento vom 18 Mai 2015 im Internet Archive In BvDnet de vom 10 Mai 2015 BvD Datenschutzer mahnen klare Regeln fur den Datentransfer aus der EU in Drittstaaten an BvD veroffentlicht Positionspapier zur EU Datenschutzgrundverordnung Memento vom 15 Juli 2015 im Internet Archive vom 13 Juli 2015 Pressemitteilung Subsidiaritatsruge zur europaischen Datenschutz Grundverordnung Bundesrat 30 Marz 2012 abgerufen am 24 Februar 2015 Verhandlungsposition des Europaischen Parlamentes vom 21 Oktober 2013 a b Svenja Bergt Weichspuler fur den Datenschutz In TAZ 4 Marz 2015 abgerufen am 4 Marz 2015 Heise Online Rechtsexperte Datenschutz Grundverordnung als grosste Katastrophe des 21 Jahrhunderts Neue Datenschutz Grundverordnung der EU laut Experten ohne Wirkung In Heise de Abgerufen am 5 Oktober 2016 Studie EU Datenschutz Grundverordnung verfehlt alle Ziele Kasseler Juristen entwirren Rechtslage Nicht mehr online verfugbar In uni kassel de Universitat Kassel 29 September 2016 archiviert vom Original am 15 Dezember 2017 abgerufen am 2 Januar 2019 SN 39 16 Zur Offnungsklausel der Datenschutz Grundverordnung Stellungnahme Nr 39 2016 des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht zu den Offnungsklauseln der Datenschutz Grundverordnung EU 2016 679 vom 27 April 2016 Berlin August 2016 Stellungnahme Nr 39 2016 S 3 Inanspruchnahme der Offnungsklauseln in Art 90 DSGVO iVm Art 58 Absatz 1 Buchstaben e und f DSGVO um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung von mandatsbezogenen Informationen in Einklang zu bringen Stellungnahme Nr 39 2016 S 3 Inanspruchnahme der Offnungsklauseln in Art 6 Abs 1 Satz 1 lit e DSGVO da die Verarbeitung personenbezogener Daten im offentlichen Interesse gemass Art 6 Abs 1 Satz 1 Buchstabe e DSGVO liegt wenn sie der anwaltlichen Berufsausubung dient Stellungnahme Nr 39 2016 S 5 ff In Art 15 DSGVO sind Auskunftsrechte geregelt Ein Auskunftsrecht soll nicht bestehen wenn und soweit die personenbezogenen Daten dem Berufsgeheimnis einschliesslich einer satzungsmassigen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden mussen Stellungnahme Nr 39 2016 S 7 a b c Kevin J O Brien Silicon Valley Companies Lobbying Against Europe s Privacy Proposals In New York Times 25 Januar 2013 abgerufen am 30 Marz 2013 Ubersicht auf der Internetprasenz von LobbyPlag eu Memento des Originals vom 18 Februar 2013 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot lobbyplag eu Amendments Overview Nicht mehr online verfugbar In Lobbyplag Archiviert vom Original am 17 Juli 2013 abgerufen am 11 Juni 2013 nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot lobbyplag eu Uwe Ebbinghaus Stefan Schulz Thomas Thiel Machtprobe mit Silicon Valley 11 Marz 2014 abgerufen am 16 Marz 2014 Volker Briegleb Stefan Krempl EU Parlament gibt grunes Licht fur Datenschutzreform In heise de 21 Oktober 2013 abgerufen am 22 Oktober 2013 Markus Beckedahl EU Datenschutzgrundverordnung passiert erste Lesung im EU Parlament In netzpolitik org 12 Marz 2014 EU Datenschutzgrundverordnung EU Minister einigen sich auf Datenschutzreform In Die Zeit 15 Juni 2015 zeit de abgerufen am 16 Juni 2015 Pressemitteilung der Europaischen Kommission vom 15 Dezember 2015 Rat der Europaischen Union Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der VERORDNUNG DES EUROPAISCHEN PARLAMENTS UND DES RATES zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 46 EG Datenschutz Grundverordnung Rat der Europaischen Union Data protection reform Council adopts position at first reading Pressemitteilung vom 8 April 2016 Europaisches Parlament Parlament verabschiedet EU Datenschutzreform EU fit furs digitale Zeitalter Pressemitteilung vom 14 April 2016 Verordnung EU 2016 679 In Amtsblatt der Europaischen Union L 119 4 Mai 2016 S 1 88 siehe konsolidierte Fassung Rat der Europaischen Union Corrigendum zu 2012 0011 COD Nr 12399 16 vom 27 Oktober 2016 PDF Andreas Albert und Nicolai Kwasniewski Wie ein Abkommen den Datenschutz durchlochert In Spiegel Online 25 November 2016 Richtige Bestellung Datenschutzbeauftragter DSB In DSGVO Vorlagen 21 Juli 2019 abgerufen am 11 Oktober 2019 deutsch Evaluierung des Bundesdatenschutzgesetzes BDSG Abgerufen am 19 November 2021 Bundesgesetzblatt fur die Republik Osterreich Datenschutz Anpassungsgesetz 2018 PDF 31 Juli 2017 abgerufen am 17 November 2017 Wirtschaftskammer Osterreich EU Datenschutz Grundverordnung DSGVO Das Datenschutz Anpassungsgesetz 2018 Nicht mehr online verfugbar Wirtschaftskammer Osterreich 26 September 2017 archiviert vom Original am 1 Dezember 2017 abgerufen am 22 November 2017 Osterreich spult sich EU Regeln weich In orf at 25 April 2018 abgerufen am 26 April 2018 Keine Strafen Osterreich zieht neuem Datenschutz die Zahne In heise de 24 April 2018 abgerufen am 26 April 2018 dsb gv at Unternehmen kommen bei DSGVO Umsetzung kaum voran In wiwo de 27 September 2018 abgerufen am 8 Januar 2019 Kaum Fortschritte Umsetzung der Datenschutz Grundverordnung In industrie de Konradin Mediengruppe 4 Oktober 2018 abgerufen am 8 Januar 2019 Rudiger Franz Zweifel an Nutzen EU Datenschutz macht Bonner Wirtschaft viel Arbeit In general anzeiger bonn de 8 Januar 2019 abgerufen am 9 Januar 2019 Dietmar Neuerer Unternehmen drohen Bussgelder in erheblichem Umfang In handelsblatt de Abgerufen am 30 Oktober 2018 David Zajonz Drei Monate DSGVO Die grosse Abmahnwelle ist ausgeblieben In tagesschau de 25 August 2018 abgerufen am 8 Januar 2019 Beschriftung der Gegensprechanlagen Webseite von Stadt Wien Wiener Wohnen abgerufen am 31 Oktober 2018 Heike Anger Dietmar Neuerer Behorden verhangen erste Bussgelder wegen Verstossen gegen DSGVO In handelsblatt de 19 Januar 2019 abgerufen am 25 Januar 2019 Die meisten Bussgelder verhangte Nordrhein Westfalen 33 gefolgt von Hamburg 3 und Baden Wurttemberg und Berlin jeweils 2 und dem Saarland 1 Allein beim Bayerischen Landesamt fur Datenschutzaufsicht BayLDA das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen bei Freiberuflern in Vereinen und Verbanden sowie im Internet uberwacht laufen derzeit 85 Bussgeldverfahren nach der DSGVO Mit Blick auf die Hohe der Bussgelder besteht derzeit offenbar noch Schonfrist So verhangte der Landesdatenschutzbeauftragte von Baden Wurttemberg mit 80 000 Euro bislang die hochste Einzelstrafe Im konkreten Fall landeten aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet Hamburg verhangte insgesamt Bussgelder in Hohe von 25 000 Euro Nordrhein Westfalen von knapp 15 000 Euro OLG Hamburg Urteil vom 25 Oktober 2018 3 U 66 17 Abgerufen am 27 Marz 2020 KG Berlin Urteil vom 21 Marz 2019 23 U 268 13 Abgerufen am 27 Marz 2020 OLG Naumburg Urteil vom 7 November 2019 9 U 6 19 Abgerufen am 27 Marz 2020 OLG Stuttgart Urteil vom 27 Februar 2020 2 U 257 19 Abgerufen am 27 Marz 2020 CNIL Deliberation de la formation restreinte n SAN 2019 001 du 21 janvier 2019 prononcant une sanction pecuniaire a l encontre de la societe GOOGLE LLC In Legifrance 19 Januar 2019 abgerufen am 25 Januar 2019 franzosisch C omme cela a egalement ete releve au titre du manquement aux obligations de transparence l information fournie n est pas suffisamment claire et comprehensible en ce qu il est difficile pour un utilisateur d avoir une apprehension globale des traitements dont il peut faire l objet et de leur portee deutsch Wie auch im Zusammenhang mit der Verletzung der Transparenzanforderungen festgestellt wurde sind die bereitgestellten Informationen nicht ausreichend klar und verstandlich sodass es fur einen Benutzer nicht nachvollziehbar ist welche Verarbeitungen mit seinen Daten durchgefuhrt werden CNIL Deliberation de la formation restreinte n SAN 2019 001 du 21 janvier 2019 prononcant une sanction pecuniaire a l encontre de la societe GOOGLE LLC In Legifrance 19 Januar 2019 abgerufen am 25 Januar 2019 franzosisch Elle constate neanmoins que s agissant de la derniere categorie Informations conservees pendant de longues periodes pour des raisons precises seules des explications tres generales sur la finalite de cette conservation sont fournies et aucune duree precise ni les criteres utilises pour determiner cette duree ne sont indiques Or cette information figure parmi celles devant etre obligatoirement delivrees aux personnes en application du a du 2 de l article 13 du Reglement deutsch Es wird festgestellt dass in der letztgenannten Kategorie Informationen die aus bestimmten Grunden uber einen langeren Zeitraum aufbewahrt werden nur sehr allgemeine Erlauterungen Speicherzweck gegeben werden und keine genaue Dauer oder die Kriterien zur Bestimmung dieser Dauer angegeben werden Diese Informationen sind jedoch obligatorischen Informatione gemass Art 13 Abs 2 lit a der Verordnung zur Verfugung zu stellen sind Simon Rebiger Ingo Dachwitz Die DSGVO zeigt erste Zahne 50 Millionen Strafe gegen Google verhangt In netzpolitik org 21 Januar 2019 abgerufen am 25 Januar 2018 heise online Fast 160 Millionen Euro DSGVO Bussgelder im Jahr 2020 Abgerufen am 28 Januar 2022 t3n digital pioneers Das Magazin fur digitales Business Abgerufen am 28 Januar 2022 Europaische Regulierungsbehorde verzweifelt an mangelnder Durchsetzung der DSGVO abgerufen am 9 Januar 2020 Erster Tag fur die neue Europaische Kommission abgerufen am 9 Januar 2020 Kalifornien nimmt sich EU Datenschutz zum Vorbild Der Spiegel 29 Juni 2018 abgerufen am 28 Januar 2022 deutsch Chinesische DSGVO Chinas neue Datenregeln haben massive Folgen fur deutsche Unternehmen Abgerufen am 28 Januar 2022 heise online 2 Jahre DSGVO Zwischen weltweitem Vorbild und digitaler Innovationsbremse Abgerufen am 28 Januar 2022 Neues Gesetz Kalifornien orientiert sich an Europas Datenschutzregeln In FAZ NET ISSN 0174 4909 faz net abgerufen am 10 August 2022 Bernd Skiera Klaus Miller Yuxi Jin Lennart Kraft Rene Laub Julia Schmitt The impact of the GDPR on the online advertising market Frankfurt am Main 2022 Bitte den Hinweis zu Rechtsthemen beachten Normdaten Werk GND 1105568555 lobid OGND AKS LCCN n2017055709 VIAF 24146824948007631105 Abgerufen von https de wikipedia org w index php title Datenschutz Grundverordnung amp oldid 237104796