Kitabı oxu: «Datenschutzrecht»
Datenschutzrecht
von
Jürgen Kühling
Manuel Klar
Florian Sackmann
5., neu bearbeitete Auflage
Datenschutzrecht › Autor
Universitätsprofessor Dr. iur. Jürgen Kühling LL.M. (Brüssel) ist seit Anfang 2007 Inhaber des Lehrstuhls für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg. Kühling ist 1971 geboren, studierte von 1990 bis 1995 an den Universitäten Trier und Nancy II und erwarb im Jahr 1995 den Master in Legal Theory an der KUB und FUSL in Brüssel. Die Promotion und Habilitation an der Universität Bonn folgten 1998 und 2003. Er war von 2004 bis 2007 Professor für Öffentliches Recht, insbesondere Medien- und Telekommunikationsrecht sowie Datenschutzrecht, an der Universität Karlsruhe (TH) und dort zugleich Leiter des Instituts für Informationsrecht. Kühling hat sich in zahlreichen Publikationen, Studien und Rechtsgutachten mit dem Informationsrecht in seiner ganzen Breite (Datenschutz-, Telekommunikations- und Medienrecht) sowie mit dem Netzwirtschafts- und Infrastrukturrecht auseinandergesetzt. Er besitzt eine umfangreiche Beratungserfahrung auf nationaler und internationaler Ebene, wobei er insbesondere die öffentliche Hand in Fragen des Informationsrechts sowie des öffentlichen Wirtschaftsrechts einschließlich des Energie, Wettbewerbs- und Datenschutzrechts berät. Seit Juli 2016 ist er Mitglied der Monopolkommission und seit September 2020 deren Vorsitzender.
Dr. iur. Manuel Klar ist Rechtsanwalt in München. Er berät deutsche und international tätige Unternehmen im Datenschutzrecht. Seit 2017 ist Klar Lehrbeauftragter für Datenschutzrecht an der Universität Regensburg. Im Jahr 2015 vertiefte er seine datenschutzrechtlichen Kenntnisse im Rahmen eines rechtsvergleichenden Forschungsaufenthaltes an der University of California (Berkeley). Vor seiner Anwaltstätigkeit war Klar Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling und promovierte dort zu einem datenschutzrechtlichen Thema. Er hat zahlreiche Fachbeiträge zu verschiedenen datenschutzrechtlichen Themen publiziert.
Dr. iur. Florian Sackmann ist Rechtsanwalt und war Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling. Er promovierte dort zu einem datenschutzrechtlichen Thema. Er studierte Rechtswissenschaften an der Universität Regensburg und leistete sein Referendariat im Bezirk des OLG Nürnberg ab. 2016 war er zeitweise für ein DAX-Unternehmen im Bereich Compliance tätig. Sackmann hat mehrere Fachbeiträge zu unterschiedlichen datenschutzrechtlichen Fragestellungen veröffentlicht.
Impressum
Bibliografische Informationen der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.
ISBN 978-3-8114-9038-3
E-Mail: kundenservice@cfmueller.de
Telefon: +49 6221 1859 599
Telefax: +49 6221 1859 598
© C.F. Müller GmbH, Waldhofer Straße 100, 69123 Heidelberg
Hinweis des Verlages zum Urheberrecht und Digitalen Rechtemanagement (DRM) Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen. Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert. Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.
Vorwort
Die Datenschutzordnung in der Europäischen Union und in Deutschland erhielt durch die Geltung der Datenschutz-Grundverordnung der EU (DS-GVO) und das Inkrafttreten des begleitenden Bundesdatenschutzgesetzes (BDSG) am 25. Mai 2018 eine neue Gestalt. Ausgangspunkt bei der Rechtsanwendung im allgemeinen Datenschutzrecht ist seitdem primär die EU-Regelung und nur noch ergänzend das deutsche BDSG. Inzwischen konnten fast drei Jahre Erfahrungen mit dem neuen Rechtsregime gesammelt werden und es hat sich die Befürchtung bewahrheitet, dass die Komplexität der Datenschutzordnung durch die Vielzahl neuer, anspruchsvoller Herausforderungen nochmals gestiegen ist. Hinzu kommt eine Vielzahl aktueller Probleme wie die facettenreichen Diskussionen um die Rechtmäßigkeit der Datenverarbeitung in sozialen Netzwerken, beim Cloud-Computing oder im Bereich der Mobilitätsdaten eindrucksvoll belegen. Das Zusammenspiel von unionsrechtlichen Vorgaben und nationalem Recht gestaltet sich angesichts der zahlreichen Öffnungsklauseln der DS-GVO nochmals anspruchsvoller. Erste Gerichtsurteile zeigen auch, dass das deutsche BDSG die Öffnungsklauseln in Einzelfällen überdehnt hat und daher insoweit unionsrechtswidrig ist. Deshalb bietet die vorliegende Einführung nicht nur eine Erläuterung der einzelnen materiell-rechtlichen, prozeduralen und institutionellen Vorgaben des neuen Rechtsregimes, sondern will gerade das komplexe Zusammenspiel der verschiedenen Rechtsebenen verständlich machen. Dabei liegt der Fokus auf dem allgemeinen Datenschutzrecht in der DS-GVO und im BDSG.
Zugleich ist das geltende Datenschutzrecht nicht zuletzt angesichts umfassender verfassungsgerichtlicher Vorgaben zur Normierung hinreichend bestimmter und bereichsspezifischer Ermächtigungsgrundlagen für Datenverarbeitungen im nationalen Recht weiterhin äußerst ausdifferenziert. So finden sich zwar für einen Großteil der Datenverarbeitungsprozesse in der DS-GVO und ergänzend im BDSG (und in den tendenziell vergleichbaren Datenschutzgesetzen der Länder) abschließende Regelungen. Hinzu kommt jedoch eine Vielzahl ergänzender, sektorspezifischer Bestimmungen für Sonderkonstellationen, wie der Datenverarbeitung im Gesundheitswesen oder in der Sozialverwaltung. Angesichts der Fülle der einschlägigen Normen verfolgt die vorliegende Einführung insoweit das Ziel, das Zusammenspiel von allgemeinem und bereichsspezifischem Datenschutzrecht zu verdeutlichen. Näher behandelt werden im Übrigen nur die unionsrechtlich kodifizierten bereichsspezifischen Regeln, also die Bestimmungen im Bereich der öffentlichen Sicherheit und Strafverfolgung einerseits und dem Telemedien- und Telekommunikationssektor andererseits. Beides erfolgt allerdings nur im Überblick, um den Charakter des Lehrbuchs als Einführung zu wahren.
Trotz des Einführungscharakters des vorliegenden Buches soll gleichwohl die für das Verständnis wichtige und daher umfassende Darstellung zunächst der Grundlagen im deutschen Verfassungsrecht sowie im europäischen Recht erfolgen. Dies schließt eine Erläuterung der Genesis der Kodifikationen auf nationaler, internationaler und supranationaler Ebene ein. Für die Datenschutzordnung gilt im besonderen Maße, dass die jetzige Struktur ohne Kenntnis ihrer Entstehung nicht verstanden werden kann.
Ziel der vorliegenden Einführung ist es also, den Leser durch das komplexe Normen-Labyrinth zu leiten und ihm dabei ein systematisches Verständnis des Zusammenspiels der unions- und verfassungsrechtlichen Grundlagen, des horizontalen Datenschutzgesetzes der EU, des Bundes (und der Länder) sowie der bereichsspezifischen Regelungen zu vermitteln. Daher wird ganz bewusst stark an die Normen als textlichem Ausgangsbefund angeknüpft. Dementsprechend wird die Lektüre der einschlägigen Normen beim Durchgang durch das vorliegende Werk nachdrücklich empfohlen. Angesichts des beschränkten Umfangs dieses Buches wird die Darstellung auf das Notwendigste komprimiert. Dafür werden weiterführende Literaturhinweise gegeben. Im Übrigen wird die komplexe Materie des Datenschutzrechts unter Bezugnahme auf praktische Anwendungsfälle erläutert. Zudem erleichtern Grafiken und Übersichten – die sich ebenso wie die Anwendungsfälle bereits im Vorlesungsbetrieb bewährt haben – das Verständnis. Da die Fälle überwiegend an Original-Streitigkeiten aus der Praxis angelehnt sind, sollen sie nicht nur der Kontrolle und Vertiefung des Erlernten dienen, sondern zugleich plastisch vor Augen führen, worüber im datenschutzrechtlichen Alltag gestritten wird.
Das vorliegende Buch richtet sich primär an Juristen, die in Wissenschaft und Praxis mit datenschutzrechtlichen Fragen zu tun haben, seien es Studierende, Wissenschaftler, Rechtsanwälte, Datenschutzbeauftragte, Ministerialbeamte oder Richter. Auch Vertreter anderer Disziplinen wie Informatiker oder Betriebswirte, die sich einen Überblick über das rechtliche Umfeld verschaffen wollen, sollen sich angesprochen fühlen. Dabei soll gerade jenen, die zum ersten Mal mit datenschutzrechtlichen Fragen konfrontiert sind, eine Hilfe an die Hand gegeben werden.
Literatur und Rechtsprechung befinden sich auf dem Stand vom Dezember 2020. Vereinzelt konnten auch noch spätere Entwicklungen berücksichtigt werden. Die Autoren danken den wissenschaftlichen Mitarbeitern Herrn Maximilian Dürr, Herrn Cornelius Sauerborn, Herrn Roman Schildbach und Herrn Martin Weiß für den wertvollen Input, sowie den studentischen Hilfskräften Frau Antonia Schöne, Frau Katharina Philipp, Frau Melissa Mahmoud, Frau Elina Mayer und Frau Marie Solleder für ihre umfassende und sehr hilfreiche Unterstützung bei der Erstellung des Manuskripts und der formalen Überarbeitung. Schließlich danken wir Herrn Christian Lenz vom Verlag C.F. Müller für die hervorragende Betreuung während der Manuskripterstellung. Kritik und Hinweise sind bitte an den Lehrstuhl für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg zu richten (Juergen.Kuehling@jura.uni-regensburg.de).
Regensburg/München/Roding, im Januar 2021
Jürgen Kühling, Manuel Klar und Florian Sackmann
Inhaltsübersicht
Vorwort
Inhaltsverzeichnis
Abkürzungsverzeichnis
Fallverzeichnis
Abbildungsverzeichnis
Ausgewählte Literatur
Einführung
1. Kapitel Grundlagen
A. Internationale Grundlagen
B. Unionsprimärrechtliche Grundlagen
C. Rechtsrahmen im Grundgesetz
D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts
2. Kapitel Datenschutz im Zusammenspiel von DS-GVO, BDSG und LDSGen
A. Anwendungsbereich des Datenschutzrechts
B. Wesentliche Begriffe im Datenschutzrecht
C. Regelungsgrundsätze der DS-GVO
D. Rechtmäßigkeit der Datenverarbeitung
E. Einwilligung der betroffenen Person (Art. 7 f. DS-GVO)
F. Gemeinsame Verantwortlichkeit und Auftragsverarbeitung (Art. 26 und 28 DS-GVO)
G. Grenzüberschreitender Datenverkehr
H. Rechte der betroffenen Person
I. Institutionelles und prozedurales Datenschutzrecht
3. Kapitel Besondere Datenverarbeitungssituationen und bereichsspezifisches Datenschutzrecht
A. Besondere Datenverarbeitungssituationen in DS-GVO und BDSG
B. Datenschutz im Bereich der öffentlichen Sicherheit und Strafverfolgung – DSRL-JI (§§ 45 ff. BDSG)
C. Datenschutz im Bereich der Telekommunikation und der Telemedien
Stichwortverzeichnis
Inhaltsverzeichnis
Vorwort
Inhaltsübersicht
Abkürzungsverzeichnis
Fallverzeichnis
Abbildungsverzeichnis
Ausgewählte Literatur
Einführung
1. Kapitel Grundlagen
A. Internationale Grundlagen
I. Vereinte Nationen
II. OECD
III. Europarat
1. Recht auf Achtung des Privatlebens und der Korrespondenz (Art. 8 EMRK)
2. Datenschutz-Konvention des Europarats
B. Unionsprimärrechtliche Grundlagen
I. Einführung
II. Kompetenzgrundlagen für Sekundärrechtsakte
1. Kompetenz zum Erlass von Rechtsakten
2. Kompetenz zum Abschluss internationaler Übereinkünfte
III. Unionsgrundrechte
1. Grundlagen
2. Anwendungsbereich der Unionsgrundrechte und Zusammenspiel mit mitgliedstaatlichem Grundrechtschutz
3. Recht auf Achtung des Privatlebens und der Kommunikation (Art. 7 GrCh)
4. Datenschutzgrundrecht (Art. 8 GrCh)
C. Rechtsrahmen im Grundgesetz
I. Einführung
II. Datenschutzrechtliche Gesetzgebungskompetenz in Bund und Ländern
III. Grundrechte
1. Anwendbarkeit deutscher Grundrechte neben den Unionsgrundrechten
2. Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG)
a) Volkszählungsurteil als Ursprung des Rechts auf informationelle Selbstbestimmung
b) Weiterer dogmatischer Ausbau
aa) Schutzbereich
bb) Drittwirkung/Schutzpflichten
cc) Abwägungstopoi
dd) Bestimmtheit und Normenklarheit
c) „Recht auf Vergessen(werden)“
d) Abgrenzung zum Recht am eigenen Bild und Recht am eigenen Wort
3. Fernmeldegeheimnis (Art. 10 Abs. 1 Var. 3 GG)
a) Schutzbereich
b) Abwägungstopoi
c) Insbesondere: Richtervorbehalt
d) Vorratsdatenspeicherung
e) Abgrenzung zum Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG)
4. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG)
a) Grundlagen
b) Abgrenzung zu anderen Grundrechten durch das BVerfG
aa) Abgrenzung zu Art. 10 Abs. 1 Var. 3 GG
bb) Abgrenzung zu Art. 13 Abs. 1 GG
cc) Abgrenzung zum Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG)
dd) Kritik
D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts
I. Einführung
II. Anfänge und weitere Entwicklung des deutschen Datenschutzrechts
1. Der Weg zum BDSG 1977
2. Das BDSG 1990
3. Richtlinie 95/46/EG (DSRL) und BDSG 2001
4. Kleinere Novellen in 2009 und 2010
5. Grundstruktur des BDSG a.F.
III. Die Prägung des Datenschutzrechts durch das Unionsrecht
1. Die verschiedenen Sekundärrechtsakte im Überblick
2. Umfassende horizontale Regelung in der Richtlinie 95/46/EG (DSRL)
a) Entstehung, Rechtsgrundlage und Kerngehalt
b) Materiell-rechtlicher Schwerpunkt
aa) Weiter Anwendungsbereich
bb) Grundprinzipien
c) Harmonisierung der Betroffenenrechte
d) Institutionelle Vorgaben
e) Präzisierung und Verschärfung durch die Rechtsprechung des EuGH
aa) Verdeutlichung des Wirkkreises der DSRL
bb) Schärfung des territorialen Anwendungsbereichs
cc) Strenge Anforderungen an einen Drittlandtransfer
dd) Stärkung der Unabhängigkeit der Aufsicht
3. Sonstige bisherige Steuerungsvorgaben der EU
a) Überblick über die Regelwerke
b) E-Privacy-Richtlinie 2002/58/EG (EDSRL)
aa) Rechtsgrundlage und Verfahren, Anwendungsbereich, Begriffsbestimmungen
bb) Wesentliche Regelungen
c) Die gescheiterte Vorratsdatenspeicherungsrichtlinie 2006/24/EG
aa) Entstehungsgeschichte; Rechtsgrundlage und Verfahren; Anwendungsbereich
bb) Wesentliche Regelungen
cc) Rechtliche Bewertung und Urteil des EuGH
d) Rahmenbeschluss 2008/977/JI
IV. Die Reform des EU-Datenschutzrechts
1. Umfassende horizontale Regelung in der DS-GVO
a) Allgemeine Diskussion um den Kommissionsentwurf
b) Das Gesamtkonzept in der Fortentwicklung
c) Aufbau und Umfang
2. Sonstige Steuerungsvorgaben der EU
a) Datenschutz bei der Verbrechensbekämpfung – DSRL-JI
b) Künftige E-Privacy-Verordnung (E-Privacy-VO)
c) Neuanlauf zur Vorratsdatenspeicherung?
3. Nationale Begleitung durch das neue BDSG
a) Entstehung des Datenschutzanpassungsgesetzes
b) Aufbau des BDSG
c) Anwendungsbereich des BDSG
V. Zusammenspiel der verschiedenen Datenschutzregelungen
1. Dreifache Ausdifferenzierung des Datenschutzregimes
2. Unions- und nationale Ebene
3. Bundes- und Landesebene
4. Allgemeine und bereichsspezifische Regelungen
5. Prüfungsstruktur einer datenschutzrechtlichen Frage
2. Kapitel Datenschutz im Zusammenspiel von DS-GVO, BDSG und LDSGen
A. Anwendungsbereich des Datenschutzrechts
I. Sachlicher Anwendungsbereich der DS-GVO (Art. 2 DS-GVO)
1. Automatisierte und nichtautomatisierte Verarbeitung (Art. 2 Abs. 1 DS-GVO)
a) Verarbeitung personenbezogener Daten
b) Ganz oder teilweise automatisiert
c) Nichtautomatisierte Verarbeitung bei Speicherung in Dateisystem
2. Ausnahmen vom Anwendungsbereich (Art. 2 Abs. 2 und 3 DS-GVO)
3. Vorgaben im BDSG (§ 1 Abs. 1 BDSG)
II. Räumlicher Anwendungsbereich der DS-GVO (Art. 3 DS-GVO)
1. Niederlassung in der EU (Art. 3 Abs. 1 DS-GVO)
2. Niederlassung außerhalb der EU (Art. 3 Abs. 2 DS-GVO)
a) Angebot von Waren und Dienstleistungen in der EU (Art. 3 Abs. 2 lit. a DS-GVO)
b) Verhaltensbeobachtung (Art. 3 Abs. 2 lit. b DS-GVO)
3. Anwendbarkeit aufgrund völkerrechtlicher Vorgaben (Art. 3 Abs. 3 DS-GVO)
4. Vorgaben im BDSG (§ 1 Abs. 4 BDSG)
B. Wesentliche Begriffe im Datenschutzrecht
I. Personenbezogene Daten
1. Personenbezug und betroffene Person (Art. 4 Nr. 1 DS-GVO)
a) Informationen mit Bezug zu einer Person
b) Identifiziertheit und Identifizierbarkeit der Person
c) Beispiele
2. Anonyme Informationen und Pseudonymisierung
a) Anonyme Informationen
b) Pseudonymisierung (Art. 4 Nr. 5 DS-GVO)
3. Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO)
a) Genetische Daten (Art. 4 Nr. 13 DS-GVO)
b) Biometrische Daten (Art. 4 Nr. 14 DS-GVO)
c) Gesundheitsdaten (Art. 4 Nr. 15 DS-GVO)
d) Sonstige besonders schützenswerte Daten (Art. 9 Abs. 1 DS-GVO)
II. Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DS-GVO)
1. Erheben und Erfassen
2. Organisation und Ordnen
3. Speichern
4. Anpassung oder Veränderung
5. Auslesen und Abfragen
6. Verwendung
7. Offenlegung durch Übermittlung, Verbreitung und sonstige Bereitstellung
8. Abgleich und Verknüpfung
9. Einschränkung
10. Löschen und Vernichten
III. Verantwortlicher, Auftragsverarbeiter, Empfänger und Dritter
1. Verantwortlicher (Art. 4 Nr. 7 DS-GVO)
2. Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO)
3. Empfänger und Dritter (Art. 4 Nr. 9 und 10 DS-GVO)
IV. Öffentliche und nichtöffentliche Stellen
1. Keine Unterscheidung in der DS-GVO
2. Öffentliche Stellen i.S.d. BDSG
a) Öffentliche Stellen des Bundes (§ 2 Abs. 1 BDSG)
b) Öffentliche Stellen der Länder (§ 2 Abs. 2 BDSG)
3. Nichtöffentliche Stellen i.S.d. BDSG (§ 2 Abs. 4 BDSG)
C. Regelungsgrundsätze der DS-GVO
I. Rechtmäßigkeit – Verbot mit Zulässigkeitstatbeständen/Erforderlichkeit (Art. 5 Abs. 1 lit. a Var. 1 DS-GVO)
1. Zulässigkeit aufgrund der Einwilligung der betroffenen Person
2. Zulässigkeit aufgrund eines sonstigen gesetzlichen Zulässigkeitstatbestandes
II. Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a Var. 2 DS-GVO)
III. Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a Var. 3 DS-GVO)
IV. Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b DS-GVO)
V. Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und Systemdatenschutz
VI. Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO)
VII. Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO)
VIII. Integrität und Vertraulichkeit/Datensicherheit (Art. 5 Abs. 1 lit. f DS-GVO)
IX. Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
D. Rechtmäßigkeit der Datenverarbeitung
I. Zulässigkeitstatbestände des Art. 6 Abs. 1 DS-GVO
1. Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO)
2. Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO)
a) Vertragserfüllung
b) Durchführung vorvertraglicher Maßnahmen
c) Weiterverarbeitungen
3. Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO)
4. Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 UAbs. 1 lit. d DS-GVO)
5. Aufgabenwahrnehmung (Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO)
a) Allgemeine Anforderungen
b) Erfordernis einer Rechtsgrundlage
c) Generalklausel des § 3 BDSG
d) Teilweise eingeschränkte Betroffenenrechte
e) Widerspruchsrecht (Art. 21 Abs. 1 DS-GVO)
6. Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO)
a) Allgemeine Anforderungen
b) Informationspflicht und Widerspruch gegen die Verarbeitung
c) Anwendungsbeispiele
aa) Werbung
bb) IT-Sicherheit
cc) Konzerninterne Datentransfers
II. Rechtmäßigkeit zweckändernder Verarbeitungen
1. Kompatibilität von neuem und ursprünglichem Zweck (Art. 6 Abs. 4 DS-GVO)
2. Weiterverarbeitungen zu Archiv-, Forschungs- und statistischen Zwecken (Art. 5 Abs. 1 lit. b Hs. 2 DS-GVO)
3. Ergänzende Vorgaben im BDSG (§§ 23 ff. BDSG)
a) Zweckändernde Verarbeitung durch öffentliche Stellen
aa) Allgemeine Vorgaben (§ 23 BDSG)
bb) Besondere Anforderungen für zweckändernde Datenübermittlungen (§ 25 BDSG)
b) Zweckändernde Verarbeitung durch nichtöffentliche Stellen (§ 24 BDSG)
III. Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO)
1. Grundsätzliches Verarbeitungsverbot (Art. 9 Abs. 1 DS-GVO)
2. Einzelne Zulässigkeitstatbestände (Art. 9 Abs. 2 DS-GVO)
a) Einwilligung (Art. 9 Abs. 2 lit. a DS-GVO)
b) Arbeitsrecht, Recht der sozialen Sicherheit und Sozialschutz (Art. 9 Abs. 2 lit. b DS-GVO)
c) Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DS-GVO)
d) Stiftungen, Vereinigungen, sonstige Organisationen (Art. 9 Abs. 2 lit. d DS-GVO)
e) Offensichtlich öffentlich gemachte Daten (Art. 9 Abs. 2 lit. e DS-GVO)
f) Verfolgung rechtlicher Ansprüche (Art. 9 Abs. 2 lit. f DS-GVO)
g) Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DS-GVO)
h) Versorgung im Gesundheitsbereich (Art. 9 Abs. 2 lit. h DS-GVO)
i) Öffentliche Gesundheitsinteressen (Art. 9 Abs. 2 lit. i DS-GVO)
j) Archivarische, wissenschaftliche und statistische Zwecke (Art. 9 Abs. 2 lit. j DS-GVO)
3. Weitere Schutzregelungen und spezifische Pflichten
4. Exkurs: Gesundheitsdatenschutzrecht als national geprägtes sektorspezifisches Regelungsregime
IV. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO)
V. Verbot automatisierter Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DS-GVO)
1. Grundsätzliches Verbot (Art. 22 Abs. 1 DS-GVO)
2. Ausnahmen vom Verbot in der DS-GVO (Art. 22 Abs. 2 DS-GVO)
3. Ausnahmen vom Verbot im BDSG (§ 37 BDSG)
E. Einwilligung der betroffenen Person (Art. 7 f. DS-GVO)
I. Einführung
II. Die Einwilligung gegenüber öffentlichen und privaten Stellen
III. Grundrechtliche Vorprägung
IV. Inhaltliche Wirksamkeitsvoraussetzungen (Art. 7 DS-GVO)
1. Freiwillig (Art. 4 Nr. 11 DS-GVO; Art. 7 Abs. 4 DS-GVO)
2. Informierte Einwilligung (Art. 4 Nr. 11 DS-GVO)
3. Bestimmtheit (Art. 5 Abs. 1 lit. b, 6 Abs. 1 UAbs. 1 lit. a DS-GVO)
4. Einwilligung bei sensiblen Daten (Art. 9 Abs. 2 lit. a DS-GVO)
V. Formale Wirksamkeitsvoraussetzungen
1. Abgabe/Einwilligungsbewusstsein (Art. 4 Nr. 11, Erwägungsgrund 32 DS-GVO)
2. Form
3. Transparenzgebot (Art. 7 Abs. 2 S. 1 DS-GVO)
4. Nachweisbarkeit (Art. 7 Abs. 1 DS-GVO)
VI. Widerrufbarkeit (Art. 7 Abs. 3 DS-GVO)
VII. Einsichtsfähigkeit und Einwilligung Minderjähriger (Art. 8 DS-GVO)
F. Gemeinsame Verantwortlichkeit und Auftragsverarbeitung (Art. 26 und 28 DS-GVO)
I. Gemeinsame Verantwortlichkeit (Art. 26 DS-GVO)
1. Stärkung und Ausdifferenzierung der Rechtsfigur durch den EuGH
2. Rezeption in der Anwendungspraxis
II. Auftragsverarbeitung (Art. 28 DS-GVO)
1. Begriff der Auftragsverarbeitung
a) Definition
b) Abgrenzung zum Verantwortlichen
c) Abgrenzung zur Figur der gemeinsamen Verantwortlichkeit
2. Eigenständige Pflichten des Auftragsverarbeiters
3. „Privilegierung“ der Auftragsverarbeitung
4. Auswahl des Auftragsverarbeiters durch den Verantwortlichen (Art. 28 Abs. 1 DS-GVO)
5. Vereinbarungen zur Auftragsverarbeitung (Art. 28 Abs. 3, 6 bis 9 DS-GVO)
a) Beschreibung der Verarbeitung, Pflichten und Rechte des Verantwortlichen (Art. 28 Abs. 3 S. 1 DS-GVO)
b) Weisungsbefugnis (Art. 28 Abs. 3 S. 2 lit. a DS-GVO)
c) Vertraulichkeit (Art. 28 Abs. 3 S. 2 lit. b DS-GVO)
d) Sicherheit (Art. 28 Abs. 3 S. 2 lit. c DS-GVO)
e) Unterauftragsverarbeiter (Art. 28 Abs. 3 S. 2 lit. d DS-GVO)
f) Unterstützungspflichten (Art. 28 Abs. 3 S. 2 lit. e und f DS-GVO)
g) Rückgabe/Löschung (Art. 28 Abs. 3 S. 2 lit. g DS-GVO)
h) Informations- und Kontrollbefugnisse (Art. 28 Abs. 3 S. 2 lit. h DS-GVO)
i) Haftungsverteilung (optional)
6. Unterauftragsverarbeitung
7. Besonderheiten bei der Aufsicht
8. IT-Systemwartung
III. Exkurs: Besonderheiten bei berufsrechtlicher Schweigepflicht
G. Grenzüberschreitender Datenverkehr
I. Übermittlung innerhalb des datenschutzrechtlichen Binnenraums
II. Übermittlung in Drittländer (Art. 44 ff. DS-GVO)
1. Angemessenes Schutzniveau beim Empfänger (Art. 45 DS-GVO)
a) Feststellung durch Europäische Kommission
b) Sondersituation bei Datenübermittlungen in die USA
2. Kein angemessenes Schutzniveau beim Empfänger (Art. 46 und 49 DS-GVO)
H. Rechte der betroffenen Person
I. Übergreifende Vorgaben
1. Transparenzgebot und Modalitäten (Art. 12 Abs. 1, 3, 5 DS-GVO)
2. Ausnahmen (Art. 12 Abs. 5 S. 2, Abs. 4 DS-GVO)
3. Öffnungsklauseln (Art. 23, 85 Abs. 2, 89 Abs. 2 und 3 DS-GVO)
II. Betroffenenrechte im Einzelnen
1. Information
a) Datenerhebung bei der betroffenen Person (Direkterhebung)
aa) Allgemeine Vorgaben (Art. 13 Abs. 1, 2 DS-GVO)
bb) Ausnahmen (Art. 13 Abs. 4 DS-GVO; § 32 Abs. 1, 2 BDSG)
b) Datenerhebung nicht bei der betroffenen Person (Dritterhebung)
aa) Allgemeine Vorgaben (Art. 14 Abs. 1, 2 DS-GVO)
bb) Ausnahmen (Art. 14 Abs. 5 DS-GVO; § 29 Abs. 1, § 33 Abs. 1, 2 BDSG)
2. Auskunft
a) Voraussetzungen und Rechtsfolgen (Art. 15 DS-GVO; § 34 Abs. 4 BDSG)
b) Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2, 28 Abs. 2, 29 Abs. 1 S. 2, 34 Abs. 1 f. BDSG)
3. Berichtigung
a) Voraussetzungen und Rechtsfolgen (Art. 16 und 19 DS-GVO)
b) Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2 S. 1, 28 Abs. 3 BDSG)
4. Löschung
a) Voraussetzungen und Rechtsfolgen (Art. 17 Abs. 1 DS-GVO; § 4 Abs. 5 BDSG)
b) Nachberichts- und Informationspflichten (Art. 17 Abs. 2, 19 DS-GVO)
c) Ausnahmen (Art. 12 Abs. 5 S. 2, 17 Abs. 3 DS-GVO; § 35 BDSG)
5. Einschränkung (Sperrung)
a) Voraussetzungen und Rechtsfolgen (Art. 18 und 19 DS-GVO; § 35 BDSG)
b) Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2 S. 1, 28 Abs. 4 BDSG)
6. Recht auf Datenübertragbarkeit
a) Bedeutung
b) Voraussetzungen und Rechtsfolgen (Art. 20 DS-GVO)
c) Ausnahmen (Art. 12 Abs. 5 S. 2, 20 Abs. 3 DS-GVO; § 28 Abs. 4 BDSG)
7. Widerspruch
a) Voraussetzungen und Rechtsfolgen (Art. 21 DS-GVO)
b) Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2, 28 Abs. 4, 36 BDSG)
8. Sonstige Rechte (Art. 22, 34, 77, 78, 79, 82 DS-GVO)
I. Institutionelles und prozedurales Datenschutzrecht
I. Aufsichtsbehörden (Art. 51 ff. DS-GVO)
1. Institutionen auf EU-Ebene
a) Europäischer Datenschutzbeauftragter (Art. 16 Abs. 2 S. 2 AEUV)
b) Europäischer Datenschutzausschuss (Art. 68, 73 ff. DS-GVO)
2. Institutionen auf nationaler Ebene
a) Der oder die Bundesbeauftragte für den Datenschutz (§§ 8 ff. BDSG)