Big Data vs. Datenschutzgrundverordnung (DSGVO). Die konzeptionellen Grundlagen der DSGVO und ihre Anwendung bei der digitalen Transformation von Konzernen

Inhaltsverzeichnis

Inhaltsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Aktualität des Themas und Problemstellung
1.2 Ziel und Aufbau der Arbeit

2 Begriffliche Grundlagen
2.1 Begriffe Big Data, Cloud Computing und KI
2.2 Begriff Privatsphäre
2.3 Begriff Datenschutz

3 Konzeptionelle Grundlagen der DSGVO
3.1 Zielsetzung und Notwendigkeit der Erneuerung der DSGVO
3.2 Anwendungsbereich der DSGVO
3.2.1 Regelungsadressaten der DSGVO
3.2.2 Sachlicher Anwendungsbereich
3.2.3 Räumlicher Anwendungsbereich
3.3 Pflichten des Verantwortlichen durch die DSGVO
3.3.1 Rechtmäßige Verarbeitung von Daten und Erlaubnistatbestände
3.3.2 Rechte der betroffenen Personen
3.3.3 Organisatorische Maßnahmen
3.3.4 Haftung und Sanktionen

4 DSGVO im Rahmen der digitalen Transformation bei Konzernen
4.1 Konzernspezifische Vorschriften der DSGVO
4.2 Anwendung der DSGVO im Bereich Big Data
4.3 Herausforderungen und Chancen der DSGVO für die digitale Transformation

5 Fazit und Ausblick

Anhang

Verzeichnis der Gesetze, Verordnungen und Verwaltungsanweisungen

Rechtsprechungsverzeichnis

Literaturverzeichnis

Tabellenverzeichnis

Tab. 1: Wichtige Verarbeitungsgrundsätze der DSGVO

Tab. 2: Wichtige Rechte der betroffenen Personen nach der DSGVO

Tab. 3: Grundsätze der rechtmäßigen Verarbeitung personenbezogener Daten

Tab. 4: Rechte der betroffenen Personen nach der DSGVO

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Die digitale Transformation durch Technologien wie Big Data, Künstliche Intelligenz (KI) und Cloud Computing muss durch einen Rechtsrahmen zum Schutz der beteiligten Parteien verbindlich geregelt werden. Dabei resultieren aus dem Datenschutz auf sämtlichen Verarbeitungsstufen zentrale Herausforderungen, da diese Technologien mit großen Datenmengen und multiplen Zugriffsberechtigungen verbunden sind.¹

1.1 Aktualität des Themas und Problemstellung

In den vergangenen Jahren standen insbesondere datenverarbeitende Konzerne wie Facebook und Google wegen unberechtigter Zugriffe auf Daten vermehrt in der Kritik. So wurden beispielsweise im Jahr 2019 Daten von Millionen Facebook Nutzern öffentlich zugänglich in einer Cloud gespeichert.² Die Kritik basiert auf dem Interesse der betroffenen Personen und Unternehmen (z. B. Kunden), ihre Privatsphäre zu schützen. Zur Wahrung dieses Schutzbedürfnisses ist die Ausarbeitung rechtlicher Rahmenbedingung nötig.

Die technologischen Entwicklungen im Rahmen der Datenverarbeitung, insbesondere von Big Data, führen zu steigenden Möglichkeiten, in die Privatsphäre von Personen und Unternehmen einzugreifen.³ Für Unternehmen stellen Kundendaten einen wichtigen immateriellen Vermögenswert dar, was das Interesse an der Datenerhebung branchenunabhängig stärkt. Auch Industrien wie das produzierende Gewerbe unterliegen durch die digitale Transformation einem Wandel und verfügen über große Mengen an Daten und zugehörigen Analysemöglichkeiten.⁴

Das Ziel von Konzernen mittels neuer Technologien möglichst viele Daten zu erheben und zu analysieren, steht dem Ziel der Wahrung der Privatsphäre sowie des Schutzes der Daten von Personen mittels rechtlicher Vorgaben konträr gegenüber. Der daraus resultierende Zielkonflikt zwischen der digitalen Transformation und dem rechtlichen Schutz durch die neuartige Verordnung (EU) 2016/679 (Datenschutzgrundverordnung)⁵ wird im Rahmen dieser Arbeit untersucht. Die Problemstellung umfasst zudem die rechtlichen Auswirkungen der seit 2018 geltenden DSGVO auf Unternehmen.

1.2 Ziel und Aufbau der Arbeit

Ziel der Arbeit ist es, die konzeptionellen Grundlagen sowie die Anwendung und die damit verbundenen Pflichten der DSGVO darzustellen. Zudem wird die DSGVO im Rahmen der digitalen Transformation, insbesondere bezüglich Big Data, bei Konzernen untersucht und daraus resultierende Chancen und Herausforderungen abgeleitet.

Basis der Ausführungen bilden die Erläuterungen der begrifflichen Grundlagen von Big Data mit Cloud Computing und KI sowie Privatsphäre und Datenschutz. Im darauffolgenden Kapitel werden die konzeptionellen Grundlagen sowie die Anwendung der DSGVO und die daraus resultierenden Pflichten für das verantwortliche Unternehmen dargestellt. Anschließend erfolgt die spezifische Analyse der Anwendung der DSGVO im Rahmen der digitalen Transformation bei Konzernen und die Ableitung von Chancen und Herausforderungen. Ein Fazit und Ausblick beschließen die Arbeit.

2 Begriffliche Grundlagen

Im nachfolgenden Kapitel erfolgt eine Definition der in dieser Arbeit verwendeten Begrifflichkeiten.

2.1 Begriffe Big Data , Cloud Computing und KI

Big Data⁶ basierend auf einer ganzheitlichen Sichtweise ist nicht nur der erstellte Content oder dessen Verbrauch, sondern vielmehr die Analyse aller ihn umgebenden Daten . ⁷ Darauf aufbauend obliegt Big Data einer dynamischen prozessorientierten Interpretation. So steht der Begriff als Treiber für die Verschmelzung verschiedener IT Prozesse und für die Nutzung der nachfolgend charakterisierten Daten.⁸

Vor dem Hintergrund der rasanten technologischen Entwicklung unterliegen die verschiedenen Definitionsansätze von Big Data fortwährend Veränderungen und Erweiterungen. Allerdings werden in der Literatur zur Konkretisierung des Begriffs übereinstimmend die „4V’s“ als Attribute verwendet.⁹

Definitionsgemäß steht die Eigenschaft „volume“ für eine große Menge an Daten. Die Menge wird dabei anhand eines dynamischen Indikators gemessen. Dieser besagt, dass gegenwärtige Datenbankmanagementsysteme diese Datenmengen nicht hinreichend verarbeiten können. Somit ist dieses Attribut durch den technischen Fortschritt variabel.¹⁰

Die Eigenschaft „velocity“ bezieht sich auf die steigende Geschwindigkeit bei der Erfassung, Verarbeitung, Speicherung und Analyse von Daten. Einerseits besteht eine Wechselwirkung zwischen der Datenmenge und der Geschwindigkeit dadurch, dass ein großes Datenvolumen adäquate Programme und Systeme benötigt, die eine zeitlich angemessene Verarbeitung garantieren. Andererseits werden durch die Echtzeitdaten Datenströme mit größeren Datenmengen erzeugt.¹¹

Das Attribut „variety“ steht für die Vielfalt der Daten, die durch die wachsenden Datenmengen, aber auch durch die Verschiedenheit der Art, der Semantik und der Struktur der Daten getrieben wird.¹² Durch den technologischen Fortschritt erfährt das ursprüngliche Model stets Erweiterungen.¹³ Hervorzuheben ist das ergänzende Attribut der Zuverlässigkeit („veracity“) der Daten, welches durch die steigende Menge, Geschwindigkeit und Vielfalt zur Qualitätssicherung erforderlich ist.¹⁴

Ermöglicht wird Big Data durch das Cloud Computing, das Quelle, Nutzer und Analyseplattform darstellt.¹⁵ Der Begriff Cloud Computing wird nach herrschender Literaturmeinung als ein webtechnologisches Konzept definiert, bei dem jederzeit auf Abruf und je nach Bedarf auf einen gemeinsam genutzten Pool an Computerressourcen (IT-Infrastrukturen, Plattformen, Anwendungen) zugegriffen werden kann. Die Ressourcen können dabei mit geringem Verwaltungsaufwand sowie ohne Interaktion mit dem Anbieter schnell bereitgestellt und nutzungsabhängig abgerechnet werden.¹⁶ Die Datenverarbeitung durch Unternehmen ist somit ohne den Aufbau einer eigenen Infrastruktur möglich.

Big Data bildet zudem die Grundlage für KI. Diese ermöglicht die Automatisierung von menschlicher Intelligenz und die Entwicklung von maschinellen Lernen durch Algorithmen.¹⁷

Der unternehmerische Mehrwert von Big Data entsteht durch die Analyse mittels Software, sogenannter Big Data Anwendungen. Ergebnisse der ausgewerteten personenbezogenen Daten werden u. a. für die Entwicklung personalisierter Produkte genutzt.¹⁸

2.2 Begriff Privatsphäre

Der Begriff Privatsphäre basiert gemäß der herrschenden Literaturmeinung auf einem Kontrollansatz und umfasst einen nichtöffentlichen Bereich. Auf Ebene der Individuen wird demnach die Möglichkeit verstanden, die zwischenmenschlichen Interaktionen zu steuern und zu kontrollieren.¹⁹ Der Begriff ist auf die Ebene von Unternehmen übertragbar und stellt dort eine wichtige Ressource für die Unabhängigkeit, die Entscheidungsfindung und das Funktionieren des Organisationssystems dar.²⁰

2.3 Begriff Datenschutz

Ausgehend von dem Kontrollansatz der Privatsphäre wird unter dem Begriff Datenschutz die Fähigkeit eines Individuums verstanden, persönliche Informationen, auch gegenüber anderen Individuen und Organisationen, zu kontrollieren.²¹ Hierbei ist sowohl die Sammlung als auch die Verarbeitung der Informationen schützenswert.²² Datenschutz greift sinngemäß, sobald Individuen innerhalb von formellen und informellen Beziehungen Informationen teilen.²³

3 Konzeptionelle Grundlagen der DSGVO

Zur Wahrung des Datenschutzes entwickelten die Gesetzgeber rechtliche Rahmenbedingungen auf nationaler sowie internationaler Ebene. Hervorzuheben ist die Klassifizierung des Schutzes der personenbezogenen Daten als Grundrecht der EU.²⁴ Weiterhin ist auf europäischer Ebene zum Schutz von personenbezogener Daten und des freien Datenverkehrs zwischen den Mitgliedstaaten die RL 95/46/EG²⁵ verabschiedet worden, die der Vorläufer der DSGVO ist. Dieser ersten Maßnahme zur Harmonisierung des Datenschutzes in der EU folgte zwei Jahre später eine spezielle Vorschrift für Telekommunikation²⁶, die durch spezielle ePrivacy Vorgaben²⁷ ergänzt worden ist.

Das nachfolgende Kapitel dient der Erarbeitung der konzeptionellen Grundlagen der DSGVO, um anschließend den Einfluss der Verordnung auf die digitale Transformation bei Konzernen zu analysieren.

3.1 Zielsetzung und Notwendigkeit der Erneuerung der DSGVO

Der Binnenmarkt als das Kernkonzept der EU basiert auf dem freien Austausch von physischen Waren und aufgrund des technologischen Fortschritts auch auf der Verkehrsfreiheit von personenbezogenen Daten.²⁸ Die Datenverkehrsfreiheit darf aber weder zu einer Beeinträchtigung des Rechts auf Schutz von personenbezogenen Daten der natürlichen Personen²⁹ führen, noch dürfen die Schutzmaßnahmen den Datenverkehr beschränken.³⁰ Diese gegenläufige Zielsetzung bildet die Grundlage der DSGVO.³¹

Die bisher geltende RL 95/46/EG hat keine vollständige Gesetzeskonformität der Unternehmen und Rechtsangleichung bezüglich des Schutzes von personenbezogenen Daten erreicht, was zu einer Behinderung des freien Datenverkehrs geführt hat.³² Damit diese Grundfreiheit gewahrt wird, muss die EU „einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes“³³ durch die DSGVO schaffen.³⁴

Die Verabschiedung der DSGVO sowie die Aufhebung der RL 95/46/EG erfolgte im Jahr 2016.³⁵ Durch den Richtliniencharakter ist diese hinsichtlich der Ziele rechtlich verbindlich, wobei die Mittel zur Zielerreichung innerstaatlich festgelegt werden.³⁶

3.2 Anwendungsbereich der DSGVO

Der für die Anwendbarkeit vorausgesetzte sachliche und räumliche Anwendungsbereich wird im nachfolgenden Kapitel erläutert. Eine Differenzierung bezüglich des persönlichen Anwendungsbereichs erfolgt nicht.³⁷ Grundsätzlich sind zur Überwachung der Anwendung von den Mitgliedstaaten unabhängige Aufsichtsbehörden zu ernennen.³⁸

3.2.1 Regelungsadressaten der DSGVO

Die DSGVO adressiert Verantwortliche und Auftragsverarbeiter, die nach Legaldefinition jegliche Rechtssubjekte, wie Behörden und juristische Personen, umfassen.³⁹ Demnach hat der Verantwortliche alleine oder gemeinsam mit anderen die Verfügungs- und Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung, wogegen der Auftragsverarbeiter zwar in den Verarbeitungsvorgang involviert ist, allerdings keine Entscheidungsmacht besitzt.⁴⁰ Im Folgenden wird explizit auf den Verantwortlichen⁴¹ abgestellt Die Begriffe Verantwortliche und Verarbeiter werden synonym verwendet.

3.2.2 Sachlicher Anwendungsbereich

Voraussetzung für die Eröffnung des sachlichen Anwendungsbereichs der DSGVO ist die Verarbeitung von personenbezogenen Daten, die sämtliche Informationsarten erfassen.⁴² Das Kriterium Verarbeitung umfasst jeglichen systematischen Vorgang (z. B. Erhebung und Nutzung), der im unmittelbaren oder mittelbaren Zusammenhang mit personenbezogenen Daten steht und nicht unter den Negativkatalog⁴³ fällt.⁴⁴ Um zudem einen technologieunabhängigen Schutz zu gewährleisten, werden sowohl manuelle als auch automatisierte Formen der Verarbeitung erfasst.⁴⁵ Für das zweite Kriterium „Personenbezug“ muss die Identifizierbarkeit der natürlichen Person anhand einer Kennung (z. B. Name oder Kennnummer) vorliegen. Daneben ist die Identifizierbarkeit auf Basis von spezifischen Merkmalen, wie sozialer oder genetischer Identität, zu bejahen.⁴⁶ Eine Kombination mehrerer Informationen zur Identifizierung ist zulässig.⁴⁷

Die weite Auslegung der Identifizierbarkeit durch die einschlägige Rechtsprechung zur RL 95/46/EG ist bei der DSGVO beizubehalten.⁴⁸ Nach Ansicht des EuGH gelten IP-Adressen als personenbezogene Daten, sofern der Verantwortliche über die Möglichkeiten verfügt, die zur Identifikation des Nutzers notwendigen Daten zu erlangen.⁴⁹ Die Identifizierbarkeit ist auch bei pseudonymisierten Daten zu bejahen, sofern unter Einbezug zusätzlicher Informationen eine Reidentifizierung möglich ist. Bei der Pseudonymisierung werden persönliche Merkmale in Rohdaten mittels einer Zuordnungsregel durch Pseudonyme ersetzt.⁵⁰

3.2.3 Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich folgt dem Niederlassungsprinzip und stellt nicht auf den Ort der Verarbeitung ab.⁵¹ Eine feste Einrichtung gilt rechtsformneutral an dem Ort der effektiven und tatsächlichen Tätigkeitsausübung als niedergelassen.⁵² Die Auslegung des Begriffs Niederlassung ist durch die Rechtsprechung des EuGH dahingehend erweitert worden, dass es unerheblich ist, ob die Niederlassung selbst verarbeitende Tätigkeiten ausführt, sofern eine untrennbare Verbindung der Tätigkeit mit der Datenverarbeitung besteht. Zudem wird nach geltender Rechtsprechung eine feste Einrichtung durch einen einzigen Vertreter mit einem ausreichenden Grad an Beständigkeit begründet.⁵³

Darüber hinaus ist der räumliche Anwendungsbereich auch bei nicht in der EU niedergelassenen Verarbeitern eröffnet, die Daten einer in der EU ansässigen Person verarbeiten. Dieser Tatbestand greift, sofern die Verarbeitung erfolgt, um den Personen entgeltlich oder unentgeltlich Waren anzubieten oder deren Verhalten zu beobachten.⁵⁴ Dieses Marktortprinzip soll den Datenschutz unabhängig vom Aufenthaltsort oder der Staatsangehörigkeit gewährleisten.⁵⁵ Besteht keine Niederlassung des Verantwortlichen in der EU, so muss schriftlich ein Vertreter als Anlaufstelle benannt werden.⁵⁶

3.3 Pflichten des Verantwortlichen durch die DSGVO

Der nachfolgende Abschnitt stellt die Pflichten, die zu ergreifenden Maßnahmen der DSGVO aus Sicht des Verantwortlichen dar.

3.3.1 Rechtmäßige Verarbeitung von Daten und Erlaubnistatbestände

Die allgemeinen Grundsätze der Verarbeitung personenbezogener Daten bilden die Grundlage für alle materiellen Regelungen der Vorschrift und definieren die rechtmäßige Art und Weise der Datenverarbeitung.⁵⁷ Die in der nachfolgenden Tab. 1 exemplarisch dargestellten Grundsätze zeigen somit die Zielsetzung für die Gestaltung der Datenverarbeitungssysteme durch den Verantwortlichen auf.⁵⁸

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1: Wichtige Verarbeitungsgrundsätze der DSGVO

(Quelle: Eigene Darstellung in Anlehnung an ROSSNAGEL, A. (2018), S. 93-102 Rn. 42-85)

Im Rahmen der DSGVO sind die Grundsätze in allgemeiner und abstrakter Weise formuliert, die somit für die Praxis konkretisiert werden müssen.⁵⁹ Eine europaweit einheitliche Auslegung dieser unbestimmten Rechtsbegriffe durch die Aufsichtsbehörden ist zwar vorgesehen, allerdings tragen die nationalen Gerichte die Berechtigung zur Überprüfung und Änderung.⁶⁰ Hervorzuheben ist die Zweckbindung als zentraler Grundsatz, der das Datenschutzrecht der EU von den Vorschriften anderer Rechtsordnungen differenziert.⁶¹ Ein Verstoß gegen die aufgeführten Grundsätze führt zur Rechtswidrigkeit der Verarbeitung.⁶²

Kumulativ zu den Grundsätzen ist für die Rechtmäßigkeit eine gesetzliche Rechtfertigung notwendig, da die Verarbeitung stets als Eingriff in das Grundrecht auf Datenschutz gilt.⁶³ Als Erlaubnistatbestände sind die Anbahnung oder Durchführung von Verträgen, berechtigte Interessen und Abwägung von Interessen der Beteiligten sowie die Einwilligung angeführt.⁶⁴ Hervorzuheben ist die Einwilligung, die eine freiwillige, in informierter Weise und unmissverständlich abgegebene Willenserklärung der betroffenen Person erfordert (z. B. Ankreuzen eines Kästchens auf der Internetseite).⁶⁵

3.3.2 Rechte der betroffenen Personen

Die Durchsetzbarkeit des Datenschutzes baut auf spezifischen Rechten für die von der Datenverarbeitung betroffenen Personen auf.⁶⁶

Abbildung in dieser Leseprobe nicht enthalten

Tab. 2: Wichtige Rechte der betroffenen Personen nach der DSGVO

(Quelle: Eigene Darstellung in Anlehnung an Art. 12-21, Erw. 58-70 DSGVO (2016); HOHMANN, C./MIEDZIANOWSKI, N. (2018), S. 125-129 Rn. 1-14)

[...]

---

¹ Vgl. im Internet: MEHMOOD, A. et al. (2016), S. 1821-1822.

² Vgl. im Internet: O. V. (2019).

³ Vgl. HENDERSON, S. C./SNYDER, C. A. (1999), S. 213.

⁴ Vgl. LOKHANDE, S./KHARE, N. (2015), S. 38-39.

⁵ Im Folgenden wird der Kurztitel Datenschutzgrundverordnung (DSGVO) verwendet.

⁶ Erste Ansatzpunkte für Big Data in der Vergangenheit stellten die zunehmenden Datenströme durch technologische Entwicklungen und die somit fehlenden hinreichenden Verarbeitungsmöglichkeiten mit bis dahin traditionellen Datenbankmanagementsystemen dar. Vgl. ABADI, D. J. et al. (2003), S. 121; OLHORST, F. J. (2013), S. 1-2.

⁷ Vgl. im Internet: GANTZ, J./REINSEL, D. (2011), S. 7.

⁸ Vgl. im Internet: GANTZ, J./REINSEL, D. (2011), S. 6; OLHORST, F. J. (2013), S. 1.

⁹ Vgl. im Internet: BORNE, K. (2014); LOKHANDE, S./KHARE, N. (2015), S. 37-38; im Internet: MANYIKA, J. et al. (2011), S. 1; ZIKOPOULOS, P. C. et al. (2012), S. 9.

¹⁰ Vgl. im Internet: JAIN, P./GYANCHANDANI, M./KHARE, N. (2016), S. 1; LOKHANDE, S./KHARE, N. (2015), S. 37; im Internet: MANYIKA, J. et al. (2011), S. 1.

¹¹ Vgl. im Internet: MANYIKA, J. et al. (2011), S. 1.

¹² Vgl. im Internet: GANTZ, J./REINSEL, D. (2011), S. 6. Als Beispiele für die Vielfalt können die verschiedenen Datenformate (z.B. Videos, Töne) und durch die Application Programming Interface Ökonomie (d. h. Programmierschnittstelle zwischen Soft- und Hardware zur Überführung von Kommunikationsprotokollen auf verschiedene Geräte) begünstigten kontinuierlichen Datenströme und gesteigerten Zugriffsrechte der Anbieter angeführt werden. Vgl. BIANCO F., J. A./LENZI, K. G./FIGUEIREDO, F. A. P. DE (2013), S. 352; im Internet: GANTZ, J./REINSEL, D. (2011), S. 6; im Internet: JAIN, P./GYANCHANDANI, M./KHARE, N. (2016), S. 2.

¹³ Vgl. im Internet: BORNE, K. (2014).

¹⁴ Vgl. im Internet: MARR, B. (2014); OLHORST, F. J. (2013), S. 1; ZIKOPOULOS, P. C. et al. (2012), S. 9.

¹⁵ Vgl. im Internet: GANTZ, J./REINSEL, D. (2011), S. 7.

¹⁶ Vgl. BAUN, C. et al. (2011), S. 4; im Internet: BITKOM (Hrsg.) (2009), S. 14; im Internet: MELL, P./GRANCE, T. (2011), S. 2.

¹⁷ Vgl. HELBIG, H. (1996), S. 11; KINGSTON, J. (2017), S. 431-432; SIMON, H. A. (1995), S. 95.

¹⁸ Vgl. Acquisti, A./Taylor, C./Wagman, L. (2016), S. 444; CULIK, N./DÖPKE, C. (2017), S. 227; im Internet: MANYIKA, J. et al. (2011), S. 12.

¹⁹ Vgl. ALTMAN, I. (1975), S. 10; LAUFER, R. S./WOLFE, M. (1977), S. 37-38; MASON, R. O. (1986), S. 5; WESTIN, A. F. (1970), S. 32.

²⁰ Vgl. WESTIN, A. F. (1970), S. 49, 51.

²¹ Vgl. HENDERSON, S. C./SNYDER, C. A. (1999), S. 213; MASON, R. O. (1986), S. 5; STONE, E. F. et al. (1983), S. 459.

²² Vgl. MASON, R. O. (1986), S. 5.

²³ Vgl. PETRONIO, S. S. (2002), S. 85; WALDMAN, E. A. (2018), S. 129.

²⁴ Vgl. Art. 8 GRCH (2016).

²⁵ Vgl. Art. 1 I RL 95/46/EG (1995).

²⁶ Vgl. Art. 1 I RL 97/66/EG (1997).

²⁷ Vgl. RL 2002/58/EG (2002). Zudem unterliegen Cookies der speziellen RL 2009/136/EG (2009).

²⁸ Vgl. Art. 28, Art. 30, Art. 34, Art. 35 AEUV (2016).

²⁹ Im Rahmen der nationalen Umsetzung der DSGVO können Mitgliedstaaten einen Unternehmenspersönlichkeitsschutz einführen. Vgl. PLATH, K.-U. (2018), Art. 4 Randnummer (Rn.) 3, 4.

³⁰ Vgl. Art. 1 II, III DSGVO (2016).

³¹ Vgl. Art. 1 I DSGVO (2016).

³² Vgl. DSGVO (2016), Rn. 9; HOOFNAGLE, C. J./SLOOT, B. VAN DER/ZUIDERVEEN BORGESIUS, F. (2019), S. 69.

³³ DSGVO (2016), Rn. 6.

³⁴ Vgl. im Internet: EU-KOMMISSION (2012), S. 116-121.

³⁵ Vgl. Rn. 171, Art. 99 II DSGVO (2016).

³⁶ Vgl. Art. 288 3 AEUV (2016).

³⁷ PLATH, K.-U. (2018), Art. 2 Rn. 2. Allerdings gilt dies vorbehaltlich der in Art. 2 II DSGVO (2016) genannten Ausnahmen. Der persönliche Anwendungsbereich für datenverarbeitende natürliche Personen ergibt sich durch den Umkehrschluss aus Art. 2 II lit. c DSGVO (2016), der besagt, dass nur unter bestimmten Voraussetzungen die Anwendbarkeit der DSGVO bei diesem Personenkreis versagt. Vgl. PLATH, K.-U. (2018), Art. 2 Rn. 2.

³⁸ Vgl. Art. 51 I DSGVO (2016).

³⁹ Vgl. Art. 4 Nr. 7, 8, Erwägungsgrund (Erw.) 2 DSGVO (2016); HUSEMANN, C. (2018), S. 83 Rn. 3.

⁴⁰ Vgl. Art. 4 Nr. 7, 8 DSGVO (2016); PLATH, K.-U. (2018), Art. 4 Rn. 27, 32. Zum Vorliegen der gemeinsamen Verantwortung bei Konzernen vgl. unten (u.) Abschnitt 4.1, S. 11-12.

⁴¹ Ausgenommen wird der Cloudanbieter als Auftragsverarbeiter. Vgl. u. Abschnitt 4.2, S. 14.

⁴² Vgl. Art. 2 I DSGVO (2016).

⁴³ Nach Art. 2 II in Verbindung mit (iVm) Erw. 18 1, 2 DSGVO (2016) unterliegen rein persönliche oder familiäre Verarbeitungen, wie die Nutzung sozialer Netzwerke, nicht der DSGVO.

⁴⁴ Vgl. PLATH, K.-U. (2018), Art. 4 Rn. 9-10.

⁴⁵ Vgl. Art. 2 I iVm Erw. 15 DSGVO (2016).

⁴⁶ Vgl. Art. 4 Nr. 1 DSGVO (2016).

⁴⁷ Vgl. Art. 4 Nr. 1 2. Halbsatz DSGVO (2016); ESSER, M./KRAMER, P./LEWINSKI, K. (2018), Art. 4 Rn. 19.

⁴⁸ Vgl. Erw. 26 DSGVO (2016); PLATH, K.-U. (2018), Art. 4 Rn. 8.

⁴⁹ Vgl. im Internet: EUGH (2011), Rn. 51; im Internet: EUGH (2016), Rn. 48-49.

⁵⁰ Vgl. Art. 4 Nr. 5, Erw. 26 2 DSGVO (2016); HAMMER, V./KNOPP, M. (2015), S. 507; ESSER, M./KRAMER, P./LEWINSKI, K. (2018), Art. 4 Rn. 68. Zur Anonymisierung vgl. u. Abschnitt 4.2, S. 12.

⁵¹ Vgl. Art. 3 I iVm Erw. 22 DSGVO (2016).

⁵² Vgl. Erw. 22 DSGVO (2016).

⁵³ Vgl. im Internet: EUGH (2014), Rn. 51-57; im Internet: EUGH (2015), Rn. 27-33.

⁵⁴ Vgl. Art. 3 II iVm Erw. 24, 25 DSGVO (2016); HUSEMANN, C. (2018), S. 87 Rn. 15.

⁵⁵ Vgl. Erw. 14 DSGVO (2016).

⁵⁶ Vgl. Art. 27 iVm Art. 4 Nr. 17, Erw. 80 DSGVO (2016); HUSEMANN, C. (2018), S. 88 Rn. 18.

⁵⁷ Vgl. Art. 5 DSGVO (2016); ROSSNAGEL, A. (2018), S. 92 Rn. 39.

⁵⁸ Für eine vollständige Übersicht zu den Verarbeitungsgrundsätzen vgl. Anhang I, S. V.

⁵⁹ Vgl. ROSSNAGEL, A. (2018), S. 93 Rn. 43-46.

⁶⁰ Vgl. Art. 65 DSGVO (2016); ROSSNAGEL, A. (2018), S. 33 Rn. 36-37.

⁶¹ Vgl. ROSSNAGEL, A. (2018), S. 97 Rn. 60.

⁶² Vgl. ALBRECHT, J. P. (2016), S. 91; ROSSNAGEL, A. (2018). S. 92 Rn. 39.

⁶³ Vgl. Art. 7 95/46/EG (1995); Art. 8 II, Art. 52 I GRCH (2016); GROEBEN, H. VON DER/SCHWARZE, J./HATJE, A. (2015), Art. 16 AEUV Rn. 101; NEBEL, M. (2018), S. 104-106 Rn. 94, 97.

⁶⁴ Vgl. Art. 6 I lit. a, b, f DSGVO (2016).

⁶⁵ Vgl. Art. 6 I lit. a iVm Erw. 32, 42, 44 DSGVO (2016); NEBEL, M. (2018), S. 105 Rn. 95.

⁶⁶ Vgl. Erw. 11 DSGVO (2016).