Die europäische Datenschutz-Grundverordnung. Eine völlige Neugestaltung oder lediglich eine Weiterentwicklung?

Inhaltsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung und Erkenntnisinteresse
1.3 Wissenschaftliche Motivation
1.4 Aufbau der Arbeit und Analyse

2 Grundlagen des Datenschutzes
2.1 Geschichtlicher Hintergrund
2.1.1 Datenschutzrichtlinie 95/46/EG
2.1.2 Das nationale Datenschutzrecht
2.2 Begriffsbestimmungen
2.2.1 Personenbezogene Daten
2.2.2 Verarbeitung
2.2.3 Pseudonymisierung
2.3 Aufbau der Europäischen Datenschutzgrundverordnung
2.4 Anwendungsbereich DSGVO und BDSG-neu
2.4.1 Sachlicher Anwendungsbereich DSGVO
2.4.2 Räumlicher Anwendungsbereich DSGVO
2.4.3 Anwendungsbereich BDSG-neu
2.5 Grundprinzipien der EU-Datenschutzgrundverordnung
2.5.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2.5.2 Zweckbindung
2.5.3 Datenminimierung
2.5.4 Richtigkeit
2.5.5 Speicherbegrenzung
2.5.6 Integrität und Vertraulichkeit
2.5.7 Rechenschaftspflicht

3 Neuerungen der EU-DSGVO im Umgang mit personenbezogenen Daten
3.1 Betroffenenrechte
3.1.1 Informationspflichten durch den Verantwortlichen
3.1.2 Recht auf Auskunft
3.1.3 Recht auf Berichtigung und Löschung
3.1.4 Recht auf Datenübertragbarkeit
3.1.5 Auswirkungen auf Unternehmen
3.1.6 Resümee
3.2 Dokumentationserfordernis: Verzeichnis von Verarbeitungstätigkeiten
3.2.1 Dokumentationspflichten der DSGVO
3.2.2 Verzeichnis von Verarbeitungstätigkeiten
3.2.3 Verarbeitungsverzeichnis des Auftragsverarbeiters
3.2.4 Muster: Verzeichnis von Verarbeitungstätigkeiten im eCommerce
3.2.5 Auswirkungen auf Unternehmen
3.2.6 Resümee
3.3 Privacy by Design
3.3.1 Datenschutz durch Technikgestaltung
3.3.2 Anwendungsbeispiel: Transportdrohne
3.3.3 Auswirkungen auf Unternehmen
3.3.4 Resümee
3.4 Privacy by Default
3.4.1 Datenschutz durch datenschutzfreundliche Voreinstellung
3.4.2 Anwendungsbeispiel: Verhinderung des Trackings durch Voreinstellung
3.4.3 Auswirkungen auf Unternehmen
3.4.4 Resümee

4 Fazit: Handlungsempfehlung für Unternehmen

Literaturverzeichnis

Tabellenverzeichnis

Tabelle 1: Informationspflichten durch Verantwortliche

Tabelle 2: Zeitpunkt der Mitteilung der Information

Tabelle 3: Auskunftsanspruch der Betroffenen

Tabelle 4: Auskunftserteilung: Form, Frist, Kosten

Tabelle 5: Recht auf Berichtigung

Tabelle 6: Recht auf Löschung

Tabelle 7: Implizite und explizite Dokumentationspflichten

Tabelle 8: Gegenüberstellung: Verzeichnis von Verarbeitungstätigkeiten

Abbildungsverzeichnis

Abbildung 1: Verzeichnis von Verarbeitungstätigkeiten im eCommerce

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung

Am 14. April 2016 wurde die Europäische Datenschutz-Grundverordnung vom EU-Parlament angenommen, und am 04. Mai 2016 wurde sie im EU-Amtsblatt veröffentlicht. Rechtskräftig wurde die DSGVO am 25. Mai 2016. Diesem Ereignis folgte, dass die neue Verordnung zwei Jahre später am 25. Mai 2018 wirksam wurde. Dies sorgte dafür, dass in Deutschland zum einen die Datenschutz Richtlinie 95/46/EG vollständig und zum anderen das alte Bundesdatenschutzgesetz teilweise abgelöst wurden.¹ Seitdem herrscht in den EU-Ländern ein einheitliches Datenschutzrecht. Dieses dient zu der Harmonisierung der Datenschutzvorschrif­ten in den Mitgliedstaaten. Die DSGVO steht über den nationalen Datenschutzge­setzen, sie weist allerdings Regelungslücken auf. Mit rund vier Dutzend Öffnungsklau­seln haben die einzelnen Staaten die Möglichkeit, diese Grauzonen mittels nationaler Datenschutzgesetze abzudecken. Infolgedessen trat in Deutschland das neue Bun­desdatenschutzgesetz in Kraft. Dies erfolgte zeitgleich mit der DSGVO.² Die DSGVO zielt darauf ab, ein einheitliches und hohes Datenschutzniveau zu erreichen, den Datenaustausch zu vereinfachen, gleichzeitig den damit verbundenen Verwaltungsaufwand zu reduzieren und hierbei die Datenschutzrechte von Privatpersonen nicht zu vernachlässigen.³ Mit diesem neuen Datenschutzgesetz gehen jedoch auch verschiedene Problemstellun­gen einher. So entstehen beispielsweise neue Interessenskonflikte zwischen Unternehmen und Privatpersonen. Die damit verbundene Grundproblematik ist, dass Individuen durch das Datenschutzrecht umfangreiche Rechte in Bezug auf ihre personenbezogenen Daten besitzen, während private Institute sowie auch öffentliche Unternehmen diese Daten nutzen möchten, um ihre Aufgaben zu erfüllen. Komplexer wird es für Unternehmen, wenn sie infolge der DSGVO, Neuerungen hinsichtlich des Datenschutzes beachten müssen. Einige dieser Neuregelungen der DSGVO sind für deutsche Unternehmen nicht neu, da sie bereits zuvor im Bundesdatenschutzgesetz verankert waren. Jedoch liegt das Problem darin, dass Unternehmen nunmehr überprüfen müssen, ob ihre Prozesse und ihr Datenschutzmanagement DSGVO-konform sind. Falls der bisher praktizierte Datenschutz nicht ausreicht, müssen Unternehmen ihr Datenschutzmanagement anpassen. Um diese Option überhaupt in Betracht ziehen zu können, muss erst einmal verstanden werden, was die neue DSGVO verlangt. Hinzu kommt, dass Unternehmen bei einer Nichteinhaltung der Regelungen mit hohen Sanktionen rechnen müssen. Die Höhe der Bußgeldstrafen können bei Unternehmen bis zu 20 Mio. Euro betragen. Diese Sanktionen können jedoch auch bis zu 4% des weltweiten jährlichen Konzernumsatzes sein.⁴ Somit kann es durch eine Missachtung dieser gesetzlichen Regelungen unter Umständen sogar zu einer Gefährdung der Existenz von Unternehmen kommen.

1.2 Zielsetzung und Erkenntnisinteresse

Bezugnehmend auf die neue DSGVO, soll diese Arbeit die wesentlichen Neuerungen im Vergleich zum alten BDSG darstellen und überprüfen, ob es sich hierbei um neue Richtlinien oder um eine Weiterentwicklung der Rechtslage handelt. Dabei wird das Hauptaugenmerk hauptsächlich auf den Neuerungen liegen, die in Bezug auf Unternehmen wesentlich sind. Im Mittelpunkt steht für Unternehmen dabei vor allem wie sie mit personenbezogenen Daten umgehen müssen. Diese herausgearbeiteten Neuerungen sollen durch Anwendungsbeispiele für Unternehmen veranschaulicht werden. Mittels dieser Anwendungsbeispiele und der theoretischen Abdeckung soll diese Arbeit Unternehmen die Möglichkeit bieten, ihren Status Quo zu analysieren und ggf. Änderungen vorzunehmen.

1.3 Wissenschaftliche Motivation

Im wissenschaftlichen Kontext findet das Thema Datenschutz aktuell insbesondere in den EU-Mitgliedstaaten große Beachtung. Mit der neuen Verordnung sind Unternehmen dazu verpflichtet, sich an die aktuellen Regelungen anzupassen. Deshalb haben Unternehmen ein großes Interesse an einer Erkenntnisgewinnung bezüglich dieses Themas. Jedoch befassen sich nicht nur Institute mit dem Datenschutz, ebenso sind auch die EU-Bürger interessiert daran, Erkenntnisse im Hinblick auf die Neuerungen zu gewinnen. Dabei liegt das Interessenfeld der Bürger vor allem an den Rechten, die sie hinsichtlich der Verarbeitung ihrer personenbezogenen Daten besitzen. Seitdem die neue DSGVO wirksam ist, werden beispielsweise EU-Bürger häufig mit der Situation konfrontiert, dass sie einer Datenverarbeitung einwilligen müssen. Willigt der Betroffene nicht ein, so ist es Unternehmen untersagt die Daten dieser Person zu benutzen. Daher ist die DSGVO für die Bürger und für die Unternehmen im Hinblick auf den Datenschutz sehr wichtig und auch aus diesem Grund außerordentlich interessant. Aus unternehmerischer Sicht führt dieses Thema zu sehr vielen Fragen. Mit dem Inkrafttreten der neuen Verordnung sind Unternehmen gezwungen zu überprüfen, inwiefern sich die DSGVO von dem zuvor geltenden BDSG unterscheidet. Mit den Neuerungen, die die neue Verordnung mit sich bringt, müssen Unternehmen sich sorgfältig auseinandersetzen, um sie rechtlich korrekt umsetzen zu können. Denn ist dies nicht der Fall, so müssen Unternehmen mit hohen Sanktionen rechnen. Während für andere EU-Länder ziemlich viele neuen Regelungen zu beachten sind, stellt sich in Deutschland die Frage, wie sehr hier ansässige Unternehmen davon betroffen sind, da die alte Verordnung die Datenschutzregelungen bereits sehr detailliert beschrieben hatte.

1.4 Aufbau der Arbeit und Analyse

Der Aufbau dieser Arbeit orientiert sich in erster Linie an den Themengebieten, die bei der Umsetzung der neuen DSGVO für Unternehmen Priorität haben. Zunächst sollen durch einen geschichtlichen Rückblick die Weiterentwicklung des Datenschutzes dargestellt sowie die Ziele der verschiedenen Datenschutzgesetze verdeutlicht werden. Da für die weitere Argumentation in dieser Arbeit ein umfangreiches Hintergrundwissen notwendig ist, wird im Anschluss auf den Aufbau der DSGVO eingegangen. Zum einen soll deshalb die Struktur der neuen Verordnung dargestellt werden und zum anderen soll durch die Betrachtung der Anwendungsbereiche festgestellt werden, wie sehr sich der Anwendungsbereich der DSGVO im räumlichen Sinne ausbreitet und wie der sachliche Anwendungsbereich in der neuen Verordnung interpretiert wird. Um die Wichtigkeit der DSGVO herauszustellen, werden im nächsten Abschnitt die einzelnen Grundprinzipien der DSGVO analysiert.

Der darauffolgende Teil der Arbeit befasst sich mit den einzelnen Themenschwerpunk­ten, die im Fokus des innerbetrieblichen Datenschutzes stehen. Die Themengebiete beziehen sich vor allem auf die Betroffenenrechte sowie auf die daraus folgende Dokumentationspflichten. Im Rahmen der Dokumentationspflicht liegt das Hauptaugen-merk vor allem auf dem „Verzeichnis von Verarbeitungstätigkeiten“. Die letzten Themenabschnitte beziehen sich auf die technischen und organisatorischen Maßnahmen. Die Konzepte „Privacy by Design“ sowie „Privacy by Default“ werden dabei getrennt voneinander untersucht und intensiv behandelt. Die Neuerungen, die sich in diesen Themenschwerpunkten ergeben, sollen durch die neue Rechtslage des Datenschutzes analysiert und erläutert werden. Für jedes Themengebiet wird nach dem Vergleich der alten und neuen Rechtslage zusätzlich ein zur Veranschaulichung dargestellt. Dabei liegt der Fokus vor allem auf den Auswirkungen auf die Unternehmen. Abschließend erfolgt ein Resümee zu den einzelnen Themengebieten.

Das Fazit soll abschließend einen Gesamteindruck in Bezug auf die Veränderungen in der Rechtslage des Datenschutzes, die mit dem Inkrafttreten der DSGVO auf Unternehmen zukommen, vermitteln. Dabei geht es auch auf den schmalen Grat zwischen den Neuentwicklungen und den Weiterentwicklungen dieser Regelungen ein, sodass auf der Basis dieser Arbeit eine Handlungsempfehlung für Unternehmen ausgesprochen werden kann, mit der diese auch mit der neuen Gesetzgebung im Bereich des Datenschutzes gut aufgestellt sind.

2 Grundlagen des Datenschutzes

Die EU-DSGVO wurde vom EU-Parlament am 14. April 2016 beschlossen und anschließend am 04. Mai 2016 bekannt gegeben. Rechtskräftig wurde die neue Verordnung am 25. Mai 2016 und zwei Jahre später, am 25. Mai 2018, wurde sie wirksam. Dies hatte zur Folge, dass die bisherige Datenschutz-Richtlinie vollständig und das alte BDSG teilweise abgelöst wurde.⁵ Einige wichtige Ziele der Verordnung sind ein einheitlich hohes Datenschutzniveau⁶ sowie die Vereinfachung des Datenaustausches und die Reduzierung des damit verbundenen Verwaltungsaufwands, ohne dass das Datenschutzrecht privater Personen dabei vernachlässigt wird.⁷ Die neue Verordnung bietet den einzelnen Staaten zahlreiche Öffnungsklauseln, die durch nationale Daten­schutzgesetze abgedeckt werden können.⁸ Dies erfolgt in Deutschland durch das BDSG-neu, welches ebenfalls am 25. Mai 2016 rechtskräftig wurde. Bekannt gemacht wurde das BDSG-neu am 5. Juli 2017 im Bundesgesetzblatt.⁹

2.1 Geschichtlicher Hintergrund

Nachfolgend soll ein grundlegender Überblick über die historische Entwicklung des Datenschutzrechts skizziert werden. Die neue Verordnung bringt einzelne Veränderungen mit sich und formuliert Ziele. Um in den nächsten Kapiteln ein besseres Verständnis über diese Veränderungen und Ziele zu gewinnen, ist es entscheidend zu wissen, wie sich diese Richtlinien und Ziele über die Jahre bis zur Datenschutzreform entwickelt haben.

2.1.1 Datenschutzrichtlinie 95/46/EG

Erstmals wurde der erste Gedanke eines harmonisierten Datenschutzniveaus durch einen Vorschlag einer Richtlinie der EU-Kommission am 27.07.1990 formuliert.¹⁰ Dieser Vorschlag wurde im Rechtsetzungsprozess am 16.10.1992 grundlegend geändert¹¹ und als Richtlinie 95/46/EG¹² verabschiedet. Diese Richtlinie verfolgte ähnlich wie die EU-DSGVO das Ziel, der Bevölkerung in den EG-Mitgliedsstaaten einen Schutz hinsichtlich ihrer personenbezogenen Daten zu gewährleisten. Dies sollte durch eine Harmonisierung der Rechtslage in den Mitgliedstaaten erreicht werden. Zugleich sollte diese Harmonisierung dafür sorgen, dass ein gemeinsamer Datenschutzstandard entsteht. Daher verpflichteten sich alle EG-Mitgliedsstaaten, die neue Datenschutzrichtlinie in ihre nationalen Gesetze einzubinden. In der Bundesrepublik Deutschland erfolgte die Umsetzung der EU-DSRL durch das BDSG von 2001. Jedoch konnte mit diesem Gesetz das Ziel einer einheitlichen Führung des Datenschutzes nicht erreicht werden. Die unterschiedlichen Umsetzungen der Richtlinie führten dazu, dass eine neue Verordnung nötig wurde. Somit entwarf die Kommission im Januar 2012 die Datenschutz-Grundverordnung.¹³

2.1.2 Das nationale Datenschutzrecht

Auf nationaler Ebene begannen die ersten Diskussionen um den Schutz personenbezogener Datenverarbeitungen um 1970 herum. Der Auslöser dieser Vorsichtsmaßnahme war die Gefährdung des Persönlichkeitsrechts durch neu entwickelte Großrechnertechnologien, wodurch eine sehr schnelle Verarbeitung der Daten möglich erschien.

2.1.2.1 Die ersten Landesdatenschutzgesetze

Auf diesen technologischen Fortschritt reagierte 1970 das Bundesland Hessen als weltweit erstes Land und verabschiedete ein Landesdatenschutzgesetz mit 17 Paragraphen. Einige Rechte und Instrumente dieses Gesetzes sind heute noch im Datenschutzrecht vorhanden. Im seinem § 2 enthielt das Landesdatenschutzgesetz die Regelung, dass es unbefugten Personen nicht gestattet war, ermittelte Unterlagen sowie Daten und Ergebnisse einzusehen, zu verändern oder zu vernichten. Zusätzlich existierte das sogenannte Datengeheimnis, welches Personen im Bereich der Datenerfassung, dem Datentransport, der Datenspeicherung und der maschinellen Datenverarbeitung betraf. Überdies hatten betroffene Personen einen Anspruch auf eine Berichtigung falscher Daten. Bereits damals wurde die Einführung eines unabhängigen Datenschutzbeauftragten zum Zwecke der Kontrolle für Behörden und öffentlichen Stellen im § 7 des Landesdatenschutzgesetzes festgehalten.¹⁴

2.1.2.2 Das erste Bundesdatenschutzgesetz 1977

Der erste Entwurf eines Bundesdatenschutzgesetzes wurde im Jahr 1971 vorgelegt. Dieser Entwurf wurde mehrere Jahre lang diskutiert und überarbeitet. Verkündet wurde das Gesetz am 1. Februar 1977 im Bundesgesetzblatt und trat am 1. Januar 1979 in vollem Umfang in Kraft. Zwei der darin verankerten Grundsätze, welche auch dem heutigen Datenschutzrecht nicht fremd sind, waren die Datenverarbeitung und die Datenspeicherung. Eine Durchführung der Verarbeitung und Speicherung konnte nur dann erfolgen, sofern eine freiwillige Zustimmung der Individuen oder ein Gesetz vorlag. Als zusätzliche Bestimmung, die über das Landesdatenschutzgesetz hinausreichte, wurde im BDSG von 1977 auch die Verarbeitung personenbezogener Daten anhand Unternehmen geregelt.¹⁵

2.1.2.3 Novellierung des BDSG 1990

Die erste umfassende Novellierung des BDSG folgte im Jahr 1990. Der Haupt­auslöser für diese Änderung waren Vorschriften bezüglich der öffentlichen Bereiche.¹⁶ Dabei wurde die Datenerhebungsphase sowie die Datenverarbeitungsphase in den Anwendungsbereich des BDSG eingebunden. Zudem wurden der verschuldensunabhängige Schadenersatzanspruch und die gesetzliche Festschreibung im Falle eines finanziellen Ausgleichs bei Nichtvermögensschäden normiert. Ebenso gab es wichtige Veränderungen hinsichtlich des nicht öffentlichen Bereiches. Dies hatte zur Folge, dass die Zweckbindung im Bereich der Datenverarbeitung verstärkt wurde. Gestärkt wurden außerdem die Rechtsstellung der Betroffenen sowie auch die Rechtsstellung und die Befugnisse der Kontrollinstanzen.

Eine weitere wichtige Veränderung, die durch die Novellierung des BDSG zustande kam, war die Erstellung von Sonderregelungen im Bereich der Datenverarbeitung und der Datennutzung anhand von Forschungsinstituten und Medien.¹⁷

2.1.2.4 Zweite Novellierung des BDSG 2001

Eine zweite Ergänzung des BDSG erfolgte im Jahr 2001. Dabei lag der Fokus dieser Novellierung auf der Umsetzung der Richtlinie 95/46EG.¹⁸ Der eigentlich für die Verabschiedung der EU-konformen Fassung vorgesehene Zeitpunkt war der 24. Oktober 1998.¹⁹ Jedoch wurde dieser Termin überschritten, weil wichtige Stimmen neben der Anpassung des Datenschutzes an das EU-Recht zusätzlich noch eine Modernisierung des Datenschutzrechts forderten. So wurden neben der Veränderung bisheriger Vorschriften auch neue Regelungen in das BDSG aufgenommen. Unter diese Regelungen fiel auch die Erweiterung des sachlichen Anwendungsbereichs, womit die Datenerhebung dem generellen Verbot mit Erlaubnisvorbehalt unterstellt wurde. Zudem wurde das Sitzprinzip im Bereich des räumlichen Anwendungsbereichs für Mitgliedsstaaten des EWR eingeführt. Eine weitere Veränderung hob die Benachrichtigungspflicht hervor. So wurde der Moment, an dem der Betroffene durch einen Verantwortlichen benachrichtigt werden muss, auf den Zeitpunkt der Datenerhebung vorverlegt. Eingeführt wurden ebenso die Direkter­hebung von Daten beim Betroffenen, die Erlaubnis der anlassunabhängigen Kontrolle für Aufsichtsbehörden sowie die Aufnahme neuer Zulässigkeitsvoraussetzungen für bestimmte Verarbeitungsverfahren. Zusätzlich wurden besondere Arten von perso­nenbezogenen Daten definiert, und die Datenermittlungen wurden in Länder außerhalb des EWR transferiert, wenn dort ein angemessenes Datenschutzniveau bestand.²⁰

2.1.2.5 BDSDG-Novelle 2009/2010

Schließlich kam es im Jahr 2009 in drei verschiedenen Novellen erneut zu umfangreichen Ergänzungen und Änderungen des BDSG. Diese Konkretisierungen bezogen sich auf die Datenschutzregelungen in der Privatwirtschaft. Anders als die erste und dritte Novelle trat die zweite Gesetzesergänzung bereits zum 1. Juli 2009 in Kraft. Die erste und dritte Novellierung erfolgte zum 1. April bzw. zum 11. Juni 2010. Der Grund dafür war der dringende Handlungsbedarf in Bezug auf die Verstöße großer deutscher Unternehmen im Bereich des Datenschutzes. Aus diesem Grund verabschiedete der Bundestag die zweite Novelle sehr kurzfristig. Sie sollte vor allem eine Maßnahme gegen die sog. Datenschutzskandale sein, welche in der Öffentlichkeit eine große Aufmerksamkeit auf sich zogen.²¹ Aufgrund dieser Skandale wurden Neuregelungen eingeführt. Eine dieser neuen Richtlinien war, dass bei einer unerlaubten Kenntniserhaltung von Daten eine Informationspflicht nach § 42a BDSG erforderlich wurde. Der Anlass für die Zustimmung zu dieser Regelung war ein Skandal um verlorene Bankdaten in Berlin. Ein weiteres Beispiel ist in diesem Zusammenhang die Aufnahme der Beschäftigtendatenschutznorm in § 32 aufgrund von Skandalen bei Lidl. Bei einer gesonderten Betrachtung der drei Gesetzesergänzungen ist zu beobachten, dass in der ersten Novelle Neuregelungen im Bereich der Datenverarbeitung durch Auskunfteien sowie der Datenübermittlung an Auskunfteien wiederzufinden sind. Zusätzlich enthält die erste Novelle auch Regelungen für die Anforderungen, für die Zulässigkeit von Scoringverfahren und für die Weiterentwicklung der Auskunft- und Informationsrechte der Betroffenen. Anders als in der ersten Novelle lag das Hauptaugenmerk in der zweiten Novelle auf materiell-rechtlichen Änderungen. So wurde hier über die Schaffung von Rechtsklarheit bei der Auftragsdatenverarbeitung hinaus versucht, geltende Grundsätze im Rahmen des Beschäftigtendatenschutzes zusammenzufassen. Jedoch betraf die wichtigste Veränderung, die aus der Novelle hervorging, den institutionellen Bereich. Unternehmensintern betrachtet wurde hier die Stellung des Datenschutzbeauftragten gestärkt. Auf unternehmensexterner Ebene entstand durch die Gesetzesergänzung eine Erweiterung der Befugnisse der Aufsichtsbehörden sowie auch der ihnen zur Verfügung stehenden Sanktionsmaßnahmen. Die dritte Novelle bezog sich auf Veränderungen im Bereich der Verbraucherkreditrichtlinie und hatte somit ihren Schwerpunkt nicht im Datenschutzrecht.²²

2.2 Begriffsbestimmungen

Art. 4 Abs. 1 der DSGVO definiert einige Begriffsbestimmungen. In diesem Kapitel soll auf die für das Verständnis in dieser Arbeit relevanten, in Art. 4 Abs. 1 DSGVO definierten Begriffsbestimmungen eingegangen werden.

2.2.1 Personenbezogene Daten

Einer der wichtigsten Begriffe in Bezug auf die Anwendung der DSGVO ist „personenbezogene Daten“. Die Definition dieses Begriffes ist in Art. 4 Abs. 1 Nr. 1 normiert. Demnach sind Informationen die einem bestimmten Individuum zugeordnet werden können, in der neuen Verordnung als personenbezogene Daten zu verstehen. Dabei kann es sich um eine identifizierte sowie identifizierbare Person handeln. Somit wird eine Person dann als bestimmbar angesehen, wenn Informationen wie z.B der Name der Person, die Standortdaten, Kennnummern sowie mehrere bestimmte typische Besonderheiten identifiziert werden können. Dazu zählen auch wirtschaftliche, kulturelle, physische, physiologische und soziale Daten, die mit der Person übereinstimmen. Ob es sich um eine direkte oder indirekte Identifizierung handelt, ist dabei nicht von Bedeutung. Weitere personenbezogene Daten sind beispielsweise das Geburtsdatum, die Postanschrift und die E-Mail-Adresse einer Person.²³

2.2.2 Verarbeitung

Der Begriff „Verarbeitung“ wird in Art. 4 Nr. 2 DSGVO definiert. Laut der Begriffsbestimmung gelten alle Vorgänge sowie jegliche Vorgangsreihen, die in Verbindung mit personenbezogenen Daten stehen, als Verarbeitung dieser Daten. Hierbei ist es nicht von Bedeutung, ob diese Verfahren automatisiert sind. Unternehmen die Datenerhebung, Datenerfassung, Datenabsicherung oder Datenkategorisierung vornehmen, verarbeiten mittels diesen Vorgängen Daten. Auch Datenkorrektur, Datenlöschung sowie Datenvernichtung sind laut dieser Definition unter Verarbeitung zu bezeichnen, da sie eine Änderung und eine Verwendung hervorrufen. Passen Unternehmen Daten an oder lesen sie aus, so fällt dies ebenso unter den Begriff der Datenverarbeitung. Dazu gehört auch die Datenabfrage. Letztendlich sind laut der Definition alle Verarbeitungen, Offenlegungen oder Bereitstellungen unabhängig von der Form als Verarbeitung zu verstehen. Dabei kann es sich auch um einen Abgleich sowie um eine Verknüpfung der Daten handeln.²⁴

2.2.3 Pseudonymisierung

Ein weiterer Begriff, der in Art. 4 Nr. 5 DSGVO erläutert wird, ist die „Pseudonymisierung“. Die Pseudonymisierung bezeichnet einen Vorgang, bei dem personenbezogene Daten einem Individuum ohne Zusatzinformationen nicht mehr zugeordnet werden können.²⁵ Eine Pseudonymisierung kann erzeugt werden, indem der Name, die Adresse oder andere Personenmerkmale durch bestimmte Angaben ausgetauscht werden. Die bei einer Identifizierung zur Verfügung stehenden zusätzlichen Informationen müssen gesondert aufbewahrt werden. Dabei unterliegt die Pseudonymisierung aufgrund des Einsatzes technischer und organisatorischer Mittel einer weiteren Absicherung.²⁶

2.3 Aufbau der Europäischen Datenschutzgrundverordnung

Die EU-DSGVO beinhaltet insgesamt elf Kapitel. In diesen Kapiteln sind insgesamt 99 Artikel und 173 Erwägungsgründe wiederzufinden. Die neue Verordnung erweist sich damit als ausführlicher als das BDSG a. F. mit 48 Paragrafen. Zusätzlich ist noch zu erwähnen, dass die EU-DSGVO Artikel beinhaltet, während das BDSG a. F. wie auch das BDSG n. F. aus Paragrafen bestehen. Die Ziele, welche mit den einzelnen Artikeln verfolgt wurden, sind in den sog. Erwägungsgründen wiederzufinden. Diese sind damit nicht als gesetzliche Regelungen anzusehen, helfen jedoch bei der Interpretation der Artikel und können zu einem besseren Verständnis der EU-DSGVO beitragen.²⁷

2.4 Anwendungsbereich DSGVO und BDSG-neu

Die DSGVO hat als EU-Verordnung Vorrang vor anderen Rechtsvorschriften der ein­zelnen EU-Mitgliedstaaten und wirkt direkt und unmittelbar. Vorschriften, welche in den nationalen Gesetzgebungen der einzelnen Mitgliedstaaten verankert sind, haben nur dann Geltung, wenn die DSGVO dies vorsieht. Während das BDSG-neu als Auffanggesetz konzipiert wurde und somit zur Anwendung kommt, wenn weitere vorhandene Vorschriften keine Regelungen zur personenbezogenen Datenverarbeitung bzw. Datennutzung enthalten, ist die DSGVO eine Vorrangregelung. Als Verordnung geht die DSGVO wie nor­male gesetzliche Regelungen vor.²⁸ Der weitere Verlauf des Kapitels soll die verschiedenen gesetzlichen Regelungen der sachlichen sowie räumlichen Anwendungsbereiche der DSGVO und des BDSG-neu darstellen.

2.4.1 Sachlicher Anwendungsbereich DSGVO

Die DSGVO regelt in Art. 2 DSGVO den sachlichen Anwendungsbereich. Normiert ist, dass diese Verordnung zur Anwendung kommt, wenn personenbezogene Daten verarbeitet werden. Dabei kann die Verarbeitung voll- oder teilautomatisiert sein. Bei der teilweise automatisierten Verarbeitung werden bestimmte Verarbeitungsschritte durch Personen ausgeführt. Dies kann zum Beispiel das Erfassen von Daten in einem Computersystem sein. Sind Verarbeitungen weder teilweise noch ganz automatisiert, so kommt die DSGVO trotzdem zur Anwendung, wenn eine Speicherung der Dateien auf einer Ablageorganisation erfolgt oder wenn diese Dateien zumindest für die Speicherung vorgesehen werden.²⁹ Wird der sachliche Anwendungsbereich genauer in Betracht gezogen, so fällt eine Abgrenzung zu weiterhin bestehenden EU-Richtlinien auf. Eine dieser Richtlinien ist die sog. ePrivacy-Richtlinie 2002/58 EG. In dieser Richtlinie sind die Bereitstellungen der öffentlichen zugänglichen elektronischen Kommunikationsdienste festgelegt. Das Verhältnis zwischen dieser Richtlinie und der DSGVO wird in Art. 95 DSGVO festgelegt. Festgehalten wird in diesem Artikel, dass diese Richtlinie noch immer Anwendung findet, ohne dass zusätzliche Pflichten der DSGVO auferlegt werden. Allerdings wird eine Änderung angestrebt, um die Beziehung zwischen der Verordnung und der Richtlinie 2002/58/EG zu verdeutlichen.³⁰ Geplant wird hierzu die ePrivacy-Verordnung. Die ePrivacy-Verordnung soll die DSGVO ergänzen und vertiefen.

Die DSGVO definiert in Art. 2 Abs. 2 Bereiche, welche vom Anwendungsbereich nicht erfasst sind. Ausgeschlossen aus dem Anwendungsbereich sind gemäß Art. 2 Abs. 2 lit. a) Tätigkeiten die dem Unionsrecht nicht unterliegen. Ebenfalls nicht erfasst werden Handlungen, bei denen Art. 5 Abs. 2 EUV Anwendung findet. Somit ist die Verordnung im Bereich der Außen- und Sicherheitspolitik nicht anwendbar. Eine weitere Ausnahme ist bezüglich des Verarbeitens personenbezogener Daten der Behörden im Bereich der Straftaten und der Strafvollstreckung zu beobachten. Somit ist die Verordnung nicht anzuwenden, wenn es sich um eine Aufdeckung, eine Verfolgung oder einer Ermittlung eine Straftat handelt. Ebenso findet die Verordnung bei Verhütungszwecken ebenfalls keine Anwendung. Durch die Ausnahmen soll die öffentliche Sicherheit gewährleistet werden.

Aus wirtschaftlicher Perspektive ist jedoch die wichtigste Abgrenzung in Art. 2 Abs. 2 lit. c) DSGVO geregelt. Hat die Verarbeitung der personenbezogenen Daten familiäre Absichten, so fällt dies nicht in den Anwendungsbereich. Weiterhin wird die Verordnung bei persönlichen Zwecken ebenfalls nicht angewendet.³¹ Die Abgrenzung dieser sogenannten „Haushaltsausnahme“ führt dazu, dass die DSGVO auf alltägliche Tätigkeiten wie die Nutzung von Facebook, Instagram und weiteren sozialen Netzwerken keine Anwendung findet.

2.4.2 Räumlicher Anwendungsbereich DSGVO

Zusätzlich zum sachlichen Anwendungsbereich wird in Art. 3 DSGVO der räumliche Anwendungsbereich geregelt.³² Durch die neue Verordnung ändert sich für Verantwortliche sowie auch für Auftragsverarbeiter, mit einer Niederlassung in der EU, nicht viel. Dabei bezieht sich der räumliche Anwendungsbereich nicht nur auf Tätigkeiten in der EU, sondern durch das Niederlassungsprinzip oder das Marktortprinzip auch auf Tätigkeiten außerhalb der EU. Somit hat die neue Verordnung eine extraterritoriale Wirkung.

2.4.2.1 Niederlassungsprinzip

Nach Art. 3 Abs. 1 DSGVO muss die Verordnung angewendet werden, sofern Aktivitäten einer EU-Niederlas­sung eines Verantwortlichen oder Auftragsverarbeiters stattfinden. Dabei ist nicht der Ort der Datenverarbeitung, sondern der Ort der Niederlassung entscheidend. Angewendet wird hierbei das sog. Niederlassungsprinzip, bei dem die Rechtswahl durch die Niederlassung eines Unternehmens getroffen wird.³³ Daraus resultiert für die DSGVO, dass eine Anwendung ebenfalls legitim sein kann, auch wenn die Verarbeitung nicht zwingend innerhalb der EU ist. In diesem Kontext kann das Wort Niederlassung nur gebraucht werden, wenn eine wirkungsvolle Durchführung einer Arbeit in einer festen Einrichtung vorliegt. Besitzt ein nicht innerhalb der EU eingetragenes Unternehmen in einem EU-Mitgliedstaat eine Bankverbindung, ein Postfach und eine Ansprechperson, der auf die Wünsche der Kunden aus diesem EU-Mitgliedstaat eingeht, so reichen die genannten Ressourcen des Unternehmens aus personeller wie auch aus materieller Sicht aus, damit das Unternehmen in diesem EU-Mitgliedstaat als eine „feste Einrichtung“ bezeichnet werden kann. Aus diesem Grund muss sich dieses Unternehmen aufgrund des Niederlassungsprinzips auch als nicht innerhalb der EU eingetragenes Unternehmen an die DSGVO halten.³⁴

2.4.2.2 Marktortprinzip

Wie zu Beginn des Kapitels erwähnt, hat die Verordnung auch eine extraterritoriale Wirkung.³⁵ Gemäß Art. 3 Abs. 2 DSGVO ist die Verordnung nicht nur für Unternehmen oder Auftragsverarbeiter, die ihre Niederlassung in der EU haben, anzuwenden, sondern sie kann auch das anzuwendende Gesetz für Unternehmen oder Auftragsverarbeitungen mit nicht europäischer Niederlassung sein. Damit das sog. Marktortprinzip zur Geltung kommen kann, muss jedoch eine der folgenden beiden Alternativen vorliegen.³⁶

2.4.2.2.1 Das Anbieten von Waren oder Dienstleistungen in der EU

Art. 3 Abs. 2 lit. a) DSGVO bezieht sich auf die Relation zwischen Datenverarbeitungen und angebotenen Waren sowie Dienstleistungen in der EU.³⁷ Dabei ist nicht entscheidend, ob daraus ein Entgelt resultiert. Dies betrifft vor allem internationale Organisationen, die über das Internet Waren oder Dienstleistungen anbieten. In diesem Fall muss erst einmal überprüft werden, ob das Unternehmen die Absicht verfolgt, durch die angebotenen Waren oder Dienstleistungen, Kunden in mindestens einem EU-Mitgliedstaat anzusprechen. Jedoch richtet ein Unternehmen seine Waren oder Dienstleistungen beispielsweise nicht auf irische Kunden aus, nur weil seine Website in englischer Sprache zur Verfügung steht. Gemäß Erwägungsgrund 23 sind Unternehmen verpflichtet, das Anbieten von Waren und Dienstleistungen an Kunden aus mindestens einem EU-Mitgliedstaat offensichtlich zu beabsichtigen. Es reicht nicht aus, wenn der Zugang auf die Unternehmenswebsite über eine E-Mail-Adresse oder andere Kontaktdaten gewährleistet ist. Ist die Sprache die verwendet wird gebräuchlich im Drittland der Unternehmensniederlassung, wird auch dies nicht als Anhaltspunkt angesehen. Ausreichende Anhaltspunkte liegen jedoch vor, wenn eine Sprache verwendet wird, die in den EU-Ländern zum großen Teil gesprochen wird, wenn spezifische Währungen verwendet werden oder wenn es Liefermöglichkeiten in eins der Mitgliedsländer der Europäischen Union gibt. Ändert sich der Domainname der Website automatisch, so kann auch dies als ein Anhaltspunkt gesehen werden.

So existiert beispielsweise ein australisches Unternehmen, das seine Waren und Dienstleistungen über einen eigenen Online-Shop vermarktet. Das Unternehmen hat weder Vertreter im Ausland noch Tochtergesellschaften. Die verfügbare Sprache des Online-Shops ist Englisch. Akzeptiert werden in diesem Online-Shop Zahlungen in australischem Dollar sowie in Euro. Lieferungen sind in die Länder Deutschland, Spanien und Frankreich möglich. Je nach dem, von welchem EU-Mitgliedsstaat aus der Online-Shop aufgerufen wird, erfolgt eine Umleitung von „.au“ auf die entsprechende länderspezifische Top-Level-Domain. Durch das Zusammentreffen mehrerer Indizien kann nachvollzogen werden, dass das Unternehmen seine Waren und Dienstleistungen für europäische Kunden anbietet. Daher fällt dieses Anwendungsbeispiel in den Gültigkeitsbereich der DSGVO.³⁸

2.4.2.2.2 Beobachten des Verhaltens betroffener europäischer Kunden

In Art. 3 Abs. 2 lit. b) DSGVO wird eine weitere Regelung des räumlichen Anwendungs­bereichs definiert.³⁹ Die DSGVO soll zur Anwendung kommen, wenn die Datenverarbeitung zu einer Beobachtung des innerhalb der EU stattfindenden Verhaltens von Kunden führt. Ein Verhalten wird dann als „Beobachtung“ qualifiziert, wenn eine Verarbeitung der Daten stattfindet, um das Kaufverhalten, die Präferenzen und Meinungen einer Person in einem EU-Mitgliedsstaat zu analysieren oder vorherzusagen. Bekannte Einstufungen sind jede Art von Web-Tracking, wie zum Beispiel Cookies oder Social Media Plug-Ins.

Das nachfolgende Beispiel zeigt auf, wann ein Verhalten vorliegt, das nach der DSGVO als Web-Tracking qualifiziert werden kann: Ein in Thailand niedergelassenes Unternehmen vertreibt Gartenmöbel und Gartenaccessoires über seine eigene Website. Dadurch, dass die Produkte nur in US- Dollar bezahlt werden können und eine Lieferung nach Europa ausgeschlossen ist, ist es nicht möglich, Art. 3 Abs. 2 lit. a) DSGVO anzuwenden. Allerdings möchte das Unternehmen im Hinblick auf eine mögliche Geschäftserweiterung den europäischen Markt besser kennen lernen. Daher müssen die Aufrufer der Website dem Unternehmen ihr Einverständnis für die Nutzung von Cookies erteilen. Dadurch gelingt es dem Unternehmen, die IP-Geolokalisationsdaten herauszufinden, um das jeweilige Land, in dem sich der Website-Nutzer befindet, zu bestimmen. Auf diese Weise kann das Unternehmen herausfinden, wie viele europäische Nutzer die Website aufrufen, aus welchem europäischen Land sie kommen und für welche Produkte sie sich interessieren.⁴⁰ Durch die Verwendung von Web-Tracking-Tools, mit denen das potenzielle Kaufverhalten der Nutzer aus den EU-Mitgliedstaaten analysiert werden kann, kommt die DSGVO zur Anwendung.

2.4.3 Anwendungsbereich BDSG-neu

Deutsche Unternehmen müssen sich zusätzlich zu den Anwendungsbereichen der DSGVO, auch mit den Anwendungsbereichen des neuen BDSG auseinandersetzen. Dabei sind im Bereich der Datenverarbeitung personenbezogener Daten nicht-öffentlicher Stellen keine Unterschiede zwischen der DSGVO und dem BDSG-neu aufzuweisen. Zusätzlich betrifft die neue Fassung des BDSG, laut § 1 Abs. 1 BDSG-neu, die Datenverarbeitung mittels öffentlicher sowie staatlicher Stellen. Dabei wird das BDSG-neu auf öffentliche Stellen angewendet, wenn dies nicht bereits durch ein Landesdatenschutzgesetz erfolgt.⁴¹

In räumlicher Hinsicht betrachtet betreffen viele Regelungen des BDSG-neu öffentliche Stellen. Daher gibt das BDSG-neu für Privatunternehmen nur wenige spezifische Normen vor. Angewendet werden soll das BDSG-neu dann, wenn gemäß § 1 Abs. 4 Nr. 1. BDSG-neu Privatunternehmen als Verantwortliche personenbezogene Datenverarbeitungen in Deutschland tätigen. Es kommt ebenfalls zur Anwendung, wenn gemäß § 1 Abs. 4 Nr. 2. BDSG-neu Verantwortliche sowie auch Auftragsverarbeiter personenbezogene Daten im Zuge der Tätigkeit einer deutschen Niederlassung verarbeiten, oder wenn nach § 1 Abs. 4 Nr. 3. BDSG-neu Verantwortliche und Auftragsarbeiter trotz nicht vorhandener Niederlassung in der EU oder im EWR in den Geltungsbereich der DSGVO fallen.⁴²

Erreicht wird somit eine Umgrenzung des nationalen Anwendungsbereichs durch das BDSG-neu. Problematisch wird es jedoch für Unternehmen, die grenzüberschreitende Tätigkeiten durchführen. Das BDSG-neu umgrenzt zwar den nationalen Anwendungsbereich, doch existiert keine Kollisionsregel, wenn neben dem BDSG-neu weitere nationale Umsetzungsgesetze von anderen Mitgliedsstaaten zur An­wendung kommen. Ein Anwendungsbeispiel wäre in diesem Fall ein nicht-europäi­sches Unternehmen, welches während der Verarbeitung seiner Produkte sowohl den deutschen als auch den österreichischen Markt anvisiert. Dies bedeutet zwar, dass zunächst die EU-Verordnung zur Anwendung kommt. Wenn das Unternehmen jedoch die Rechtslage der Öffnungsklauseln betrachtet, so befindet es sich aufgrund der Erlaubnis zur Schaffung nationaler Bestimmungen in einer komplizierten Situation. In Deutschland würde in diesem Fall gemäß § 1 Abs. 4 Nr. 3 zur Anwendung kommen. Existiert zugleich eine ähnliche Anwendungsregelung im nationalen Datenschutzgesetz Österreichs, so stünde das Unternehmen vor der Frage, welche der gesetzlichen Regelungen nun priorisiert werden müsste.⁴³

2.5 Grundprinzipien der EU-Datenschutzgrundverordnung

Der Datenschutz kennzeichnet sich seit Jahrzehnten durch einige Grundprinzipien. In der neuen Verordnung wurden in Art. 5 DSGVO diese Grundprinzipien vom BDSG a. F. teilweise übernommen und erweitert.⁴⁴ Die in Art. 5 DSGVO festgelegten Grundsätze müssen erfordern eine Berücksichtigung im Bereich der personenbezogenen Datenverarbeitung.⁴⁵ Die aufgeführten Grundsätze ähneln an vielen Stellen dem Art. 6 DSRL. Die DSGVO enthält folgende Grundprinzipien: Rechtmäßigkeit, Verarbeitung nach Treu und Glaube Art. 5 Abs. 1 lit. a), Zweckbindung Art. 5 Abs. 1 lit. b), Datenminimierung Art. 5 Abs. 1 lit. c), Richtigkeit Art. 5 Abs. 1 lit. d), Speicherbegrenzung Art. 5 Abs. 1 lit. e), Integrität und Vertraulichkeit Art. 5 Abs. 1 lit. f), Rechenschaftspflicht Art. 5 Abs. 2.⁴⁶ In den nachfolgenden Unterkapiteln sollen diese Grundsätze getrennt voneinander dargestellt und erklärt werden, um im weiteren Verlauf dieser wissenschaftlichen Arbeit ein richtiges Verständnis erlangen zu können.

[...]

---

¹ Vgl. Wedde, P. (2016): EU-Datenschutz-Grundverordnung: Kurzkommentar mit Synopse BDSG/EU-DSGVO. Frankfurt am Main: Bund Verlag, S. 10f.

² Vgl. Schantz, P.; Wolff, P. (2017): Das neue Datenschutzrecht: Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis. München: Beck C.H., S. 67.

³ Vgl. Linder, A. (2016): EU-Datenschutz-Grundverordnung: Gesetzeswortlaut mit eingereihten Erwägungsgründen. Norderstedt: Books on Demand, S. 142.

⁴ Vgl. Wedde 2016, S. 180.

⁵ Vgl. Wedde 2016, S.10f.

⁶ Vgl. Hoeren, T. (2018): Internetrecht. Berlin: Walter de Gruyter GmbH, S. 446.

⁷ Vgl. Linder 2016, S. 142.

⁸ Vgl. Schantz; Wolff 2017, S. 67.

⁹ Vgl. Gola, P.; Jaspers, A.; Müthlein, T.; Schwartmann, R. (2018): DS-GVO/BDSG im Überblick: Informationen zur Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz bei der Anwendung in der Privatwirtschaft. Frechen: Datakontext GmbH, S. 22.

¹⁰ Vgl. Europäische Gemeinschaften (1995): Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. Amtsblatt der Europäischen Gemeinschaften. Nr. L 281/31. URL: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:31995L0046&from=DE (abgerufen am 07.07.2019).

¹¹ Vgl. Europäische Gemeinschaften (1992): Geänderter Vorschlag für eine Richtlinie des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Amtsblatt der Europäischen Gemeinschaften Nr. C 311 / 30. URL: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:JOC_1992_311_R_0030_01&from=DE (abgerufen am 16.05.2019).

¹² Vgl. Europäische Gemeinschaften 1995, S. 1.

¹³ Vgl. Helfrich, M.; Geis, I. (2019): Datenschutzrecht: Datenschutz-Grundverordnung, Datenschutzrichtlinie für Strafjustiz, Bundesdatenschutzgesetz, Fluggastdatengesetz, Telemediengesetz, Telekommunikationsgesetz (Auszug). München: Dtv Verlagsgesellschaft, S. XIX.

¹⁴ Vgl. Moos, F. (2006): Datenschutzrecht – schnell erfasst. Berlin: Springer, S. 4.

¹⁵ Vgl. Moos 2006, S. 5.

¹⁶ Vgl. Gola, P.; Jaspers, A. (2011): Das Bundesdatenschutzgesetz im Überblick: Information zum BDSG Bei Anwendung in der Privatwirtschaft. Heidelberg: Datakontext GmbH, S. 7.

¹⁷ Vgl. Moos 2006, S. 7f.

¹⁸ Vgl. Europäische Gemeinschaften 1995, S. 1.

¹⁹ Vgl. Gola; Jaspers 2011, S. 8.

²⁰ Vgl. Moos 2006, S. 8.

²¹ Vgl. Gola; Jaspers 2011, S. 9.

²² Vgl. Kühling, J.; Seidel, C.; Sivridis, A. (2011): Datenschutzrecht. Regensburg: C.F. Müller, S. 77f.

²³ Vgl. Linder 2016, S. 21.

²⁴ Vgl. Linder 2016, S. 21.

²⁵ Vgl. Linder 2016, S. 21.

²⁶ Vgl. Voigt, P.; von dem Bussche, A. (2018): EU-Datenschutz-Grundverordnung (DSGVO): Praktikerhandbuch. Berlin: Springer, S. 18.

²⁷ Vgl. Mühlich, R.; Maskow, B.; Kuhrau, S.; Köcher, J.; Agethen, M.; Schreiner, K.; Lambertz, P. (2018): Datenschutz 2018: Alles, was sie jetzt wissen müssen! Jena: Verlag Herkert GmbH, S. 27.

²⁸ Vgl. Mühlbauer, H. (2018): EU-Datenschutzgrundverordnung (DSGVO): Praxiswissen für die Unternehmen - Schnellübersichten, Berlin: Beuth Verlag GmbH, S. 6.

²⁹ Vgl. Linder 2016, S. 17.

³⁰ Vgl. Linder 2016, S. 139.

³¹ Vgl. Linder 2016, S. 17.

³² Vgl. Linder 2016, S. 19.

³³ Vgl. Schneider, J. (2017): Datenschutz: nach der EU-Datenschutz-Grundverordnung, München: C.H. Beck oHG, S. 71.

³⁴ Vgl. Voigt; von dem Bussche 2018, S. 38.

³⁵ Vgl. Wybitul, T.: (1992): EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht? URL: http://hoganlovells-blod.de/wp-content/uploads/2016/057Wybitul-BB-2016-1077.pdf, (abgerufen am 25.08.2019)

³⁶ Vgl. Schneider 2017, S. 72.

³⁷ Vgl. Linder 2016, S. 20.

³⁸ Vgl. Voigt; von dem Bussche 2018, S. 43.

³⁹ Vgl. Linder 2016, S. 20.

⁴⁰ Vgl. Voigt; von dem Bussche 2018, S. 43.

⁴¹ Vgl. Gola P.; Heckmann D. (2019): BDSG Bundesdatenschutzgesetz: Kommentar (13. Aufl.). München: C.H. Beck, S. 4.

⁴² Vgl. Helfrich; Geis 2019, S. 261.

⁴³ Vgl. Voigt; von dem Bussche 2018, S. 35.

⁴⁴ Vgl. Mühlich; Maskow; Kuhrau; Köcher; Agethen; Schreiner; Lambertz 2018, S. 41.

⁴⁵ Vgl. Wedde 2016, S. 12.

⁴⁶ Vgl. Prof. Härting, N. (2016): Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, Köln: Otto Schmidt KG, S. 25f.