33,99 €
Das Buch richtet sich primär an Juristen, die in Wissenschaft und Praxis mit datenschutzrechtlichen Fragen zu tun haben, seien es Studierende, Wissenschaftler, Rechtsanwälte, Datenschutzbeauftragte, Ministerialbeamte oder Richter. Auch Vertreter anderer Disziplinen wie Informatiker oder Betriebswirte, die sich einen Überblick über das rechtliche Umfeld verschaffen wollen, sollen sich angesprochen fühlen. Dabei soll gerade jenen, die zum ersten Mal mit datenschutzrechtlichen Fragen konfrontiert sind, eine Hilfe an die Hand gegeben werden. weniger anzeigen
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
von
Jürgen Kühling
Manuel Klar
Florian Sackmann
5., neu bearbeitete Auflage
www.cfmueller.de
Datenschutzrecht › Autor
Universitätsprofessor Dr. iur. Jürgen Kühling LL.M. (Brüssel) ist seit Anfang 2007 Inhaber des Lehrstuhls für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg. Kühling ist 1971 geboren, studierte von 1990 bis 1995 an den Universitäten Trier und Nancy II und erwarb im Jahr 1995 den Master in Legal Theory an der KUB und FUSL in Brüssel. Die Promotion und Habilitation an der Universität Bonn folgten 1998 und 2003. Er war von 2004 bis 2007 Professor für Öffentliches Recht, insbesondere Medien- und Telekommunikationsrecht sowie Datenschutzrecht, an der Universität Karlsruhe (TH) und dort zugleich Leiter des Instituts für Informationsrecht. Kühling hat sich in zahlreichen Publikationen, Studien und Rechtsgutachten mit dem Informationsrecht in seiner ganzen Breite (Datenschutz-, Telekommunikations- und Medienrecht) sowie mit dem Netzwirtschafts- und Infrastrukturrecht auseinandergesetzt. Er besitzt eine umfangreiche Beratungserfahrung auf nationaler und internationaler Ebene, wobei er insbesondere die öffentliche Hand in Fragen des Informationsrechts sowie des öffentlichen Wirtschaftsrechts einschließlich des Energie, Wettbewerbs- und Datenschutzrechts berät. Seit Juli 2016 ist er Mitglied der Monopolkommission und seit September 2020 deren Vorsitzender.
Dr. iur. Manuel Klar ist Rechtsanwalt in München. Er berät deutsche und international tätige Unternehmen im Datenschutzrecht. Seit 2017 ist Klar Lehrbeauftragter für Datenschutzrecht an der Universität Regensburg. Im Jahr 2015 vertiefte er seine datenschutzrechtlichen Kenntnisse im Rahmen eines rechtsvergleichenden Forschungsaufenthaltes an der University of California (Berkeley). Vor seiner Anwaltstätigkeit war Klar Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling und promovierte dort zu einem datenschutzrechtlichen Thema. Er hat zahlreiche Fachbeiträge zu verschiedenen datenschutzrechtlichen Themen publiziert.
Dr. iur. Florian Sackmann ist Rechtsanwalt und war Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling. Er promovierte dort zu einem datenschutzrechtlichen Thema. Er studierte Rechtswissenschaften an der Universität Regensburg und leistete sein Referendariat im Bezirk des OLG Nürnberg ab. 2016 war er zeitweise für ein DAX-Unternehmen im Bereich Compliance tätig. Sackmann hat mehrere Fachbeiträge zu unterschiedlichen datenschutzrechtlichen Fragestellungen veröffentlicht.
Bibliografische Informationen der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.
ISBN 978-3-8114-9038-3
E-Mail: [email protected]
Telefon: +49 6221 1859 599Telefax: +49 6221 1859 598
www.cfmueller.de
© C.F. Müller GmbH, Waldhofer Straße 100, 69123 Heidelberg
Hinweis des Verlages zum Urheberrecht und Digitalen Rechtemanagement (DRM)Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.
Die Datenschutzordnung in der Europäischen Union und in Deutschland erhielt durch die Geltung der Datenschutz-Grundverordnung der EU (DS-GVO) und das Inkrafttreten des begleitenden Bundesdatenschutzgesetzes (BDSG) am 25. Mai 2018 eine neue Gestalt. Ausgangspunkt bei der Rechtsanwendung im allgemeinen Datenschutzrecht ist seitdem primär die EU-Regelung und nur noch ergänzend das deutsche BDSG. Inzwischen konnten fast drei Jahre Erfahrungen mit dem neuen Rechtsregime gesammelt werden und es hat sich die Befürchtung bewahrheitet, dass die Komplexität der Datenschutzordnung durch die Vielzahl neuer, anspruchsvoller Herausforderungen nochmals gestiegen ist. Hinzu kommt eine Vielzahl aktueller Probleme wie die facettenreichen Diskussionen um die Rechtmäßigkeit der Datenverarbeitung in sozialen Netzwerken, beim Cloud-Computing oder im Bereich der Mobilitätsdaten eindrucksvoll belegen. Das Zusammenspiel von unionsrechtlichen Vorgaben und nationalem Recht gestaltet sich angesichts der zahlreichen Öffnungsklauseln der DS-GVO nochmals anspruchsvoller. Erste Gerichtsurteile zeigen auch, dass das deutsche BDSG die Öffnungsklauseln in Einzelfällen überdehnt hat und daher insoweit unionsrechtswidrig ist. Deshalb bietet die vorliegende Einführung nicht nur eine Erläuterung der einzelnen materiell-rechtlichen, prozeduralen und institutionellen Vorgaben des neuen Rechtsregimes, sondern will gerade das komplexe Zusammenspiel der verschiedenen Rechtsebenen verständlich machen. Dabei liegt der Fokus auf dem allgemeinen Datenschutzrecht in der DS-GVO und im BDSG.
Zugleich ist das geltende Datenschutzrecht nicht zuletzt angesichts umfassender verfassungsgerichtlicher Vorgaben zur Normierung hinreichend bestimmter und bereichsspezifischer Ermächtigungsgrundlagen für Datenverarbeitungen im nationalen Recht weiterhin äußerst ausdifferenziert. So finden sich zwar für einen Großteil der Datenverarbeitungsprozesse in der DS-GVO und ergänzend im BDSG (und in den tendenziell vergleichbaren Datenschutzgesetzen der Länder) abschließende Regelungen. Hinzu kommt jedoch eine Vielzahl ergänzender, sektorspezifischer Bestimmungen für Sonderkonstellationen, wie der Datenverarbeitung im Gesundheitswesen oder in der Sozialverwaltung. Angesichts der Fülle der einschlägigen Normen verfolgt die vorliegende Einführung insoweit das Ziel, das Zusammenspiel von allgemeinem und bereichsspezifischem Datenschutzrecht zu verdeutlichen. Näher behandelt werden im Übrigen nur die unionsrechtlich kodifizierten bereichsspezifischen Regeln, also die Bestimmungen im Bereich der öffentlichen Sicherheit und Strafverfolgung einerseits und dem Telemedien- und Telekommunikationssektor andererseits. Beides erfolgt allerdings nur im Überblick, um den Charakter des Lehrbuchs als Einführung zu wahren.
Trotz des Einführungscharakters des vorliegenden Buches soll gleichwohl die für das Verständnis wichtige und daher umfassende Darstellung zunächst der Grundlagen im deutschen Verfassungsrecht sowie im europäischen Recht erfolgen. Dies schließt eine Erläuterung der Genesis der Kodifikationen auf nationaler, internationaler und supranationaler Ebene ein. Für die Datenschutzordnung gilt im besonderen Maße, dass die jetzige Struktur ohne Kenntnis ihrer Entstehung nicht verstanden werden kann.
Ziel der vorliegenden Einführung ist es also, den Leser durch das komplexe Normen-Labyrinth zu leiten und ihm dabei ein systematisches Verständnis des Zusammenspiels der unions- und verfassungsrechtlichen Grundlagen, des horizontalen Datenschutzgesetzes der EU, des Bundes (und der Länder) sowie der bereichsspezifischen Regelungen zu vermitteln. Daher wird ganz bewusst stark an die Normen als textlichem Ausgangsbefund angeknüpft. Dementsprechend wird die Lektüre der einschlägigen Normen beim Durchgang durch das vorliegende Werk nachdrücklich empfohlen. Angesichts des beschränkten Umfangs dieses Buches wird die Darstellung auf das Notwendigste komprimiert. Dafür werden weiterführende Literaturhinweise gegeben. Im Übrigen wird die komplexe Materie des Datenschutzrechts unter Bezugnahme auf praktische Anwendungsfälle erläutert. Zudem erleichtern Grafiken und Übersichten – die sich ebenso wie die Anwendungsfälle bereits im Vorlesungsbetrieb bewährt haben – das Verständnis. Da die Fälle überwiegend an Original-Streitigkeiten aus der Praxis angelehnt sind, sollen sie nicht nur der Kontrolle und Vertiefung des Erlernten dienen, sondern zugleich plastisch vor Augen führen, worüber im datenschutzrechtlichen Alltag gestritten wird.
Das vorliegende Buch richtet sich primär an Juristen, die in Wissenschaft und Praxis mit datenschutzrechtlichen Fragen zu tun haben, seien es Studierende, Wissenschaftler, Rechtsanwälte, Datenschutzbeauftragte, Ministerialbeamte oder Richter. Auch Vertreter anderer Disziplinen wie Informatiker oder Betriebswirte, die sich einen Überblick über das rechtliche Umfeld verschaffen wollen, sollen sich angesprochen fühlen. Dabei soll gerade jenen, die zum ersten Mal mit datenschutzrechtlichen Fragen konfrontiert sind, eine Hilfe an die Hand gegeben werden.
Literatur und Rechtsprechung befinden sich auf dem Stand vom Dezember 2020. Vereinzelt konnten auch noch spätere Entwicklungen berücksichtigt werden. Die Autoren danken den wissenschaftlichen Mitarbeitern Herrn Maximilian Dürr, Herrn Cornelius Sauerborn, Herrn Roman Schildbach und Herrn Martin Weiß für den wertvollen Input, sowie den studentischen Hilfskräften Frau Antonia Schöne, Frau Katharina Philipp, Frau Melissa Mahmoud, Frau Elina Mayer und Frau Marie Solleder für ihre umfassende und sehr hilfreiche Unterstützung bei der Erstellung des Manuskripts und der formalen Überarbeitung. Schließlich danken wir Herrn Christian Lenz vom Verlag C.F. Müller für die hervorragende Betreuung während der Manuskripterstellung. Kritik und Hinweise sind bitte an den Lehrstuhl für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg zu richten ([email protected]).
Regensburg/München/Roding, im Januar 2021
Jürgen Kühling, Manuel Klarund Florian Sackmann
Vorwort
Inhaltsverzeichnis
Abkürzungsverzeichnis
Fallverzeichnis
Abbildungsverzeichnis
Ausgewählte Literatur
Einführung
1. KapitelGrundlagen
A.Internationale Grundlagen
B.Unionsprimärrechtliche Grundlagen
C.Rechtsrahmen im Grundgesetz
D.Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts
2. KapitelDatenschutz im Zusammenspiel von DS-GVO, BDSG und LDSGen
A.Anwendungsbereich des Datenschutzrechts
B.Wesentliche Begriffe im Datenschutzrecht
C.Regelungsgrundsätze der DS-GVO
D.Rechtmäßigkeit der Datenverarbeitung
E.Einwilligung der betroffenen Person (Art. 7 f. DS-GVO)
F.Gemeinsame Verantwortlichkeit und Auftragsverarbeitung (Art. 26 und 28 DS-GVO)
G.Grenzüberschreitender Datenverkehr
H.Rechte der betroffenen Person
I.Institutionelles und prozedurales Datenschutzrecht
3. KapitelBesondere Datenverarbeitungssituationen und bereichsspezifisches Datenschutzrecht
A.Besondere Datenverarbeitungssituationen in DS-GVO und BDSG
B.Datenschutz im Bereich der öffentlichen Sicherheit und Strafverfolgung – DSRL-JI (§§ 45 ff. BDSG)
C.Datenschutz im Bereich der Telekommunikation und der Telemedien
Stichwortverzeichnis
Vorwort
Inhaltsübersicht
Abkürzungsverzeichnis
Fallverzeichnis
Abbildungsverzeichnis
Ausgewählte Literatur
Einführung
1. KapitelGrundlagen
A.Internationale Grundlagen
I.Vereinte Nationen
II.OECD
III.Europarat
1.Recht auf Achtung des Privatlebens und der Korrespondenz (Art. 8 EMRK)
2.Datenschutz-Konvention des Europarats
B.Unionsprimärrechtliche Grundlagen
I.Einführung
II.Kompetenzgrundlagen für Sekundärrechtsakte
1.Kompetenz zum Erlass von Rechtsakten
2.Kompetenz zum Abschluss internationaler Übereinkünfte
III.Unionsgrundrechte
1.Grundlagen
2.Anwendungsbereich der Unionsgrundrechte und Zusammenspiel mit mitgliedstaatlichem Grundrechtschutz
3.Recht auf Achtung des Privatlebens und der Kommunikation (Art. 7 GrCh)
4.Datenschutzgrundrecht (Art. 8 GrCh)
C.Rechtsrahmen im Grundgesetz
I.Einführung
II.Datenschutzrechtliche Gesetzgebungskompetenz in Bund und Ländern
III.Grundrechte
1.Anwendbarkeit deutscher Grundrechte neben den Unionsgrundrechten
2.Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG)
a)Volkszählungsurteil als Ursprung des Rechts auf informationelle Selbstbestimmung
b)Weiterer dogmatischer Ausbau
aa)Schutzbereich
bb)Drittwirkung/Schutzpflichten
cc)Abwägungstopoi
dd)Bestimmtheit und Normenklarheit
c)„Recht auf Vergessen(werden)“
d)Abgrenzung zum Recht am eigenen Bild und Recht am eigenen Wort
3.Fernmeldegeheimnis (Art. 10 Abs. 1 Var. 3 GG)
a)Schutzbereich
b)Abwägungstopoi
c)Insbesondere: Richtervorbehalt
d)Vorratsdatenspeicherung
e)Abgrenzung zum Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG)
4.Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG)
a)Grundlagen
b)Abgrenzung zu anderen Grundrechten durch das BVerfG
aa)Abgrenzung zu Art. 10 Abs. 1 Var. 3 GG
bb)Abgrenzung zu Art. 13 Abs. 1 GG
cc)Abgrenzung zum Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG)
dd)Kritik
D.Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts
I.Einführung
II.Anfänge und weitere Entwicklung des deutschen Datenschutzrechts
1.Der Weg zum BDSG 1977
2.Das BDSG 1990
3.Richtlinie 95/46/EG (DSRL) und BDSG 2001
4.Kleinere Novellen in 2009 und 2010
5.Grundstruktur des BDSG a.F.
III.Die Prägung des Datenschutzrechts durch das Unionsrecht
1.Die verschiedenen Sekundärrechtsakte im Überblick
2.Umfassende horizontale Regelung in der Richtlinie 95/46/EG (DSRL)
a)Entstehung, Rechtsgrundlage und Kerngehalt
b)Materiell-rechtlicher Schwerpunkt
aa)Weiter Anwendungsbereich
bb)Grundprinzipien
c)Harmonisierung der Betroffenenrechte
d)Institutionelle Vorgaben
e)Präzisierung und Verschärfung durch die Rechtsprechung des EuGH
aa)Verdeutlichung des Wirkkreises der DSRL
bb)Schärfung des territorialen Anwendungsbereichs
cc)Strenge Anforderungen an einen Drittlandtransfer
dd)Stärkung der Unabhängigkeit der Aufsicht
3.Sonstige bisherige Steuerungsvorgaben der EU
a)Überblick über die Regelwerke
b)E-Privacy-Richtlinie 2002/58/EG (EDSRL)
aa)Rechtsgrundlage und Verfahren, Anwendungsbereich, Begriffsbestimmungen
bb)Wesentliche Regelungen
c)Die gescheiterte Vorratsdatenspeicherungsrichtlinie 2006/24/EG
aa)Entstehungsgeschichte; Rechtsgrundlage und Verfahren; Anwendungsbereich
bb)Wesentliche Regelungen
cc)Rechtliche Bewertung und Urteil des EuGH
d)Rahmenbeschluss 2008/977/JI
IV.Die Reform des EU-Datenschutzrechts
1.Umfassende horizontale Regelung in der DS-GVO
a)Allgemeine Diskussion um den Kommissionsentwurf
b)Das Gesamtkonzept in der Fortentwicklung
c)Aufbau und Umfang
2.Sonstige Steuerungsvorgaben der EU
a)Datenschutz bei der Verbrechensbekämpfung – DSRL-JI
b)Künftige E-Privacy-Verordnung (E-Privacy-VO)
c)Neuanlauf zur Vorratsdatenspeicherung?
3.Nationale Begleitung durch das neue BDSG
a)Entstehung des Datenschutzanpassungsgesetzes
b)Aufbau des BDSG
c)Anwendungsbereich des BDSG
V.Zusammenspiel der verschiedenen Datenschutzregelungen
1.Dreifache Ausdifferenzierung des Datenschutzregimes
2.Unions- und nationale Ebene
3.Bundes- und Landesebene
4.Allgemeine und bereichsspezifische Regelungen
5.Prüfungsstruktur einer datenschutzrechtlichen Frage
2. KapitelDatenschutz im Zusammenspiel von DS-GVO, BDSG und LDSGen
A.Anwendungsbereich des Datenschutzrechts
I.Sachlicher Anwendungsbereich der DS-GVO (Art. 2 DS-GVO)
1.Automatisierte und nichtautomatisierte Verarbeitung (Art. 2 Abs. 1 DS-GVO)
a)Verarbeitung personenbezogener Daten
b)Ganz oder teilweise automatisiert
c)Nichtautomatisierte Verarbeitung bei Speicherung in Dateisystem
2.Ausnahmen vom Anwendungsbereich (Art. 2 Abs. 2 und 3 DS-GVO)
3.Vorgaben im BDSG (§ 1 Abs. 1 BDSG)
II.Räumlicher Anwendungsbereich der DS-GVO (Art. 3 DS-GVO)
1.Niederlassung in der EU (Art. 3 Abs. 1 DS-GVO)
2.Niederlassung außerhalb der EU (Art. 3 Abs. 2 DS-GVO)
a)Angebot von Waren und Dienstleistungen in der EU (Art. 3 Abs. 2 lit. a DS-GVO)
b)Verhaltensbeobachtung (Art. 3 Abs. 2 lit. b DS-GVO)
3.Anwendbarkeit aufgrund völkerrechtlicher Vorgaben (Art. 3 Abs. 3 DS-GVO)
4.Vorgaben im BDSG (§ 1 Abs. 4 BDSG)
B.Wesentliche Begriffe im Datenschutzrecht
I.Personenbezogene Daten
1.Personenbezug und betroffene Person (Art. 4 Nr. 1 DS-GVO)
a)Informationen mit Bezug zu einer Person
b)Identifiziertheit und Identifizierbarkeit der Person
c)Beispiele
2.Anonyme Informationen und Pseudonymisierung
a)Anonyme Informationen
b)Pseudonymisierung (Art. 4 Nr. 5 DS-GVO)
3.Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO)
a)Genetische Daten (Art. 4 Nr. 13 DS-GVO)
b)Biometrische Daten (Art. 4 Nr. 14 DS-GVO)
c)Gesundheitsdaten (Art. 4 Nr. 15 DS-GVO)
d)Sonstige besonders schützenswerte Daten (Art. 9 Abs. 1 DS-GVO)
II.Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DS-GVO)
1.Erheben und Erfassen
2.Organisation und Ordnen
3.Speichern
4.Anpassung oder Veränderung
5.Auslesen und Abfragen
6.Verwendung
7.Offenlegung durch Übermittlung, Verbreitung und sonstige Bereitstellung
8.Abgleich und Verknüpfung
9.Einschränkung
10.Löschen und Vernichten
III.Verantwortlicher, Auftragsverarbeiter, Empfänger und Dritter
1.Verantwortlicher (Art. 4 Nr. 7 DS-GVO)
2.Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO)
3.Empfänger und Dritter (Art. 4 Nr. 9 und 10 DS-GVO)
IV.Öffentliche und nichtöffentliche Stellen
1.Keine Unterscheidung in der DS-GVO
2.Öffentliche Stellen i.S.d. BDSG
a)Öffentliche Stellen des Bundes (§ 2 Abs. 1 BDSG)
b)Öffentliche Stellen der Länder (§ 2 Abs. 2 BDSG)
3.Nichtöffentliche Stellen i.S.d. BDSG (§ 2 Abs. 4 BDSG)
C.Regelungsgrundsätze der DS-GVO
I.Rechtmäßigkeit – Verbot mit Zulässigkeitstatbeständen/Erforderlichkeit (Art. 5 Abs. 1 lit. a Var. 1 DS-GVO)
1.Zulässigkeit aufgrund der Einwilligung der betroffenen Person
2.Zulässigkeit aufgrund eines sonstigen gesetzlichen Zulässigkeitstatbestandes
II.Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a Var. 2 DS-GVO)
III.Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a Var. 3 DS-GVO)
IV.Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b DS-GVO)
V.Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und Systemdatenschutz
VI.Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO)
VII.Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO)
VIII.Integrität und Vertraulichkeit/Datensicherheit (Art. 5 Abs. 1 lit. f DS-GVO)
IX.Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
D.Rechtmäßigkeit der Datenverarbeitung
I.Zulässigkeitstatbestände des Art. 6 Abs. 1 DS-GVO
1.Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO)
2.Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO)
a)Vertragserfüllung
b)Durchführung vorvertraglicher Maßnahmen
c)Weiterverarbeitungen
3.Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO)
4.Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 UAbs. 1 lit. d DS-GVO)
5.Aufgabenwahrnehmung (Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO)
a)Allgemeine Anforderungen
b)Erfordernis einer Rechtsgrundlage
c)Generalklausel des § 3 BDSG
d)Teilweise eingeschränkte Betroffenenrechte
e)Widerspruchsrecht (Art. 21 Abs. 1 DS-GVO)
6.Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO)
a)Allgemeine Anforderungen
b)Informationspflicht und Widerspruch gegen die Verarbeitung
c)Anwendungsbeispiele
aa)Werbung
bb)IT-Sicherheit
cc)Konzerninterne Datentransfers
II.Rechtmäßigkeit zweckändernder Verarbeitungen
1.Kompatibilität von neuem und ursprünglichem Zweck (Art. 6 Abs. 4 DS-GVO)
2.Weiterverarbeitungen zu Archiv-, Forschungs- und statistischen Zwecken (Art. 5 Abs. 1 lit. b Hs. 2 DS-GVO)
3.Ergänzende Vorgaben im BDSG (§§ 23 ff. BDSG)
a)Zweckändernde Verarbeitung durch öffentliche Stellen
aa)Allgemeine Vorgaben (§ 23 BDSG)
bb)Besondere Anforderungen für zweckändernde Datenübermittlungen (§ 25 BDSG)
b)Zweckändernde Verarbeitung durch nichtöffentliche Stellen (§ 24 BDSG)
III.Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO)
1.Grundsätzliches Verarbeitungsverbot (Art. 9 Abs. 1 DS-GVO)
2.Einzelne Zulässigkeitstatbestände (Art. 9 Abs. 2 DS-GVO)
a)Einwilligung (Art. 9 Abs. 2 lit. a DS-GVO)
b)Arbeitsrecht, Recht der sozialen Sicherheit und Sozialschutz (Art. 9 Abs. 2 lit. b DS-GVO)
c)Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DS-GVO)
d)Stiftungen, Vereinigungen, sonstige Organisationen (Art. 9 Abs. 2 lit. d DS-GVO)
e)Offensichtlich öffentlich gemachte Daten (Art. 9 Abs. 2 lit. e DS-GVO)
f)Verfolgung rechtlicher Ansprüche (Art. 9 Abs. 2 lit. f DS-GVO)
g)Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DS-GVO)
h)Versorgung im Gesundheitsbereich (Art. 9 Abs. 2 lit. h DS-GVO)
i)Öffentliche Gesundheitsinteressen (Art. 9 Abs. 2 lit. i DS-GVO)
j)Archivarische, wissenschaftliche und statistische Zwecke (Art. 9 Abs. 2 lit. j DS-GVO)
3.Weitere Schutzregelungen und spezifische Pflichten
4.Exkurs: Gesundheitsdatenschutzrecht als national geprägtes sektorspezifisches Regelungsregime
IV.Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO)
V.Verbot automatisierter Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DS-GVO)
1.Grundsätzliches Verbot (Art. 22 Abs. 1 DS-GVO)
2.Ausnahmen vom Verbot in der DS-GVO (Art. 22 Abs. 2 DS-GVO)
3.Ausnahmen vom Verbot im BDSG (§ 37 BDSG)
E.Einwilligung der betroffenen Person (Art. 7 f. DS-GVO)
I.Einführung
II.Die Einwilligung gegenüber öffentlichen und privaten Stellen
III.Grundrechtliche Vorprägung
IV.Inhaltliche Wirksamkeitsvoraussetzungen (Art. 7 DS-GVO)
1.Freiwillig (Art. 4 Nr. 11 DS-GVO; Art. 7 Abs. 4 DS-GVO)
2.Informierte Einwilligung (Art. 4 Nr. 11 DS-GVO)
3.Bestimmtheit (Art. 5 Abs. 1 lit. b, 6 Abs. 1 UAbs. 1 lit. a DS-GVO)
4.Einwilligung bei sensiblen Daten (Art. 9 Abs. 2 lit. a DS-GVO)
V.Formale Wirksamkeitsvoraussetzungen
1.Abgabe/Einwilligungsbewusstsein (Art. 4 Nr. 11, Erwägungsgrund 32 DS-GVO)
2.Form
3.Transparenzgebot (Art. 7 Abs. 2 S. 1 DS-GVO)
4.Nachweisbarkeit (Art. 7 Abs. 1 DS-GVO)
VI.Widerrufbarkeit (Art. 7 Abs. 3 DS-GVO)
VII.Einsichtsfähigkeit und Einwilligung Minderjähriger (Art. 8 DS-GVO)
F.Gemeinsame Verantwortlichkeit und Auftragsverarbeitung (Art. 26 und 28 DS-GVO)
I.Gemeinsame Verantwortlichkeit (Art. 26 DS-GVO)
1.Stärkung und Ausdifferenzierung der Rechtsfigur durch den EuGH
2.Rezeption in der Anwendungspraxis
II.Auftragsverarbeitung (Art. 28 DS-GVO)
1.Begriff der Auftragsverarbeitung
a)Definition
b)Abgrenzung zum Verantwortlichen
c)Abgrenzung zur Figur der gemeinsamen Verantwortlichkeit
2.Eigenständige Pflichten des Auftragsverarbeiters
3.„Privilegierung“ der Auftragsverarbeitung
4.Auswahl des Auftragsverarbeiters durch den Verantwortlichen (Art. 28 Abs. 1 DS-GVO)
5.Vereinbarungen zur Auftragsverarbeitung (Art. 28 Abs. 3, 6 bis 9 DS-GVO)
a)Beschreibung der Verarbeitung, Pflichten und Rechte des Verantwortlichen (Art. 28 Abs. 3 S. 1 DS-GVO)
b)Weisungsbefugnis (Art. 28 Abs. 3 S. 2 lit. a DS-GVO)
c)Vertraulichkeit (Art. 28 Abs. 3 S. 2 lit. b DS-GVO)
d)Sicherheit (Art. 28 Abs. 3 S. 2 lit. c DS-GVO)
e)Unterauftragsverarbeiter (Art. 28 Abs. 3 S. 2 lit. d DS-GVO)
f)Unterstützungspflichten (Art. 28 Abs. 3 S. 2 lit. e und f DS-GVO)
g)Rückgabe/Löschung (Art. 28 Abs. 3 S. 2 lit. g DS-GVO)
h)Informations- und Kontrollbefugnisse (Art. 28 Abs. 3 S. 2 lit. h DS-GVO)
i)Haftungsverteilung (optional)
6.Unterauftragsverarbeitung
7.Besonderheiten bei der Aufsicht
8.IT-Systemwartung
III.Exkurs: Besonderheiten bei berufsrechtlicher Schweigepflicht
G.Grenzüberschreitender Datenverkehr
I.Übermittlung innerhalb des datenschutzrechtlichen Binnenraums
II.Übermittlung in Drittländer (Art. 44 ff. DS-GVO)
1.Angemessenes Schutzniveau beim Empfänger (Art. 45 DS-GVO)
a)Feststellung durch Europäische Kommission
b)Sondersituation bei Datenübermittlungen in die USA
2.Kein angemessenes Schutzniveau beim Empfänger (Art. 46 und 49 DS-GVO)
H.Rechte der betroffenen Person
I.Übergreifende Vorgaben
1.Transparenzgebot und Modalitäten (Art. 12 Abs. 1, 3, 5 DS-GVO)
2.Ausnahmen (Art. 12 Abs. 5 S. 2, Abs. 4 DS-GVO)
3.Öffnungsklauseln (Art. 23, 85 Abs. 2, 89 Abs. 2 und 3 DS-GVO)
II.Betroffenenrechte im Einzelnen
1.Information
a)Datenerhebung bei der betroffenen Person (Direkterhebung)
aa)Allgemeine Vorgaben (Art. 13 Abs. 1, 2 DS-GVO)
bb)Ausnahmen (Art. 13 Abs. 4 DS-GVO; § 32 Abs. 1, 2 BDSG)
b)Datenerhebung nicht bei der betroffenen Person (Dritterhebung)
aa)Allgemeine Vorgaben (Art. 14 Abs. 1, 2 DS-GVO)
bb)Ausnahmen (Art. 14 Abs. 5 DS-GVO; § 29 Abs. 1, § 33 Abs. 1, 2 BDSG)
2.Auskunft
a)Voraussetzungen und Rechtsfolgen (Art. 15 DS-GVO; § 34 Abs. 4 BDSG)
b)Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2, 28 Abs. 2, 29 Abs. 1 S. 2, 34 Abs. 1 f. BDSG)
3.Berichtigung
a)Voraussetzungen und Rechtsfolgen (Art. 16 und 19 DS-GVO)
b)Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2 S. 1, 28 Abs. 3 BDSG)
4.Löschung
a)Voraussetzungen und Rechtsfolgen (Art. 17 Abs. 1 DS-GVO; § 4 Abs. 5 BDSG)
b)Nachberichts- und Informationspflichten (Art. 17 Abs. 2, 19 DS-GVO)
c)Ausnahmen (Art. 12 Abs. 5 S. 2, 17 Abs. 3 DS-GVO; § 35 BDSG)
5.Einschränkung (Sperrung)
a)Voraussetzungen und Rechtsfolgen (Art. 18 und 19 DS-GVO; § 35 BDSG)
b)Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2 S. 1, 28 Abs. 4 BDSG)
6.Recht auf Datenübertragbarkeit
a)Bedeutung
b)Voraussetzungen und Rechtsfolgen (Art. 20 DS-GVO)
c)Ausnahmen (Art. 12 Abs. 5 S. 2, 20 Abs. 3 DS-GVO; § 28 Abs. 4 BDSG)
7.Widerspruch
a)Voraussetzungen und Rechtsfolgen (Art. 21 DS-GVO)
b)Ausnahmen (Art. 12 Abs. 5 S. 2 DS-GVO; §§ 27 Abs. 2, 28 Abs. 4, 36 BDSG)
8.Sonstige Rechte (Art. 22, 34, 77, 78, 79, 82 DS-GVO)
I.Institutionelles und prozedurales Datenschutzrecht
I.Aufsichtsbehörden (Art. 51 ff. DS-GVO)
1.Institutionen auf EU-Ebene
a)Europäischer Datenschutzbeauftragter (Art. 16 Abs. 2 S. 2 AEUV)
b)Europäischer Datenschutzausschuss (Art. 68, 73 ff. DS-GVO)
2.Institutionen auf nationaler Ebene
a)Der oder die Bundesbeauftragte für den Datenschutz (§§ 8 ff. BDSG)
b)Die Landesdatenschutzbehörden
3.Abstimmung aufsichtsrechtlicher Entscheidungen auf EU-Ebene
a)Zuständigkeit – Grundsatz (Art. 55 Abs. 1 DS-GVO)
b)Zuständigkeit bei grenzüberschreitender Datenverarbeitung (Art. 56 DS-GVO)
c)Kooperation, Abstimmung und Zusammenarbeit zwischen den Aufsichtsbehörden (Art. 60 f. DS-GVO)
d)Kohärenzverfahren (Art. 63 ff. DS-GVO)
4.Aufgaben und Befugnisse der Aufsichtsbehörden (Art. 57 DS-GVO)
a)Aufgaben
b)Befugnisse
aa)Befugnisse nach der DS-GVO
bb)Ergänzende Befugnisse nach nationalem Recht
II.Dokumentations-, Melde- und Kontrollpflichten des Verantwortlichen
1.Dokumentationspflichten (Art. 5 Abs. 2, 30 Abs. 1, 2 DS-GVO)
2.Meldepflichten
a)Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DS-GVO)
b)Benachrichtigungspflicht gegenüber der betroffenen Person (Art. 34 DS-GVO)
3.Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)
a)Inhalt und Umfang
b)Voraussetzungen und Verfahren
c)Rolle der Aufsichtsbehörden
4.Datenschutzbeauftragter (Art. 37 f. DS-GVO)
a)Benennung und persönliche Voraussetzungen
b)Rechtsstellung
c)Aufgaben
III.Selbstregulierung
1.Zertifizierung (Art. 42 f. DS-GVO)
2.Genehmigte Verhaltensregeln (Art. 40 f. DS-GVO)
IV.Datenschutzfreundliche Produktgestaltung (Art. 25 DS-GVO)
1.Privacy by Design
2.Privacy by Default
V.Rechtsfolgen bei Verstößen (Art. 77 ff. DS-GVO)
1.Bußgeld (Art. 83 DS-GVO)
2.Schadensersatz (Art. 82 DS-GVO)
3.Strafrechtliche Sanktionen (§ 42 BDSG)
4.Wettbewerbsrechtliche Implikationen
5.Einfluss des Kartellrechts
3. KapitelBesondere Datenverarbeitungssituationen und bereichsspezifisches Datenschutzrecht
A.Besondere Datenverarbeitungssituationen in DS-GVO und BDSG
I.Videoüberwachung
1.Vorgaben der DS-GVO
a)Anwendungsbereich
b)Abwägungstopoi für die materielle Rechtmäßigkeit
c)Transparenzvorgaben
d)Speicherdauer
e)Datenschutz-Folgenabschätzung
f)Besonderheiten beim Einsatz von Gesichtserkennungssoftware
2.Regelungsgehalt des § 4 BDSG und dessen eingeschränkte Anwendbarkeit
3.Videoüberwachung am Arbeitsplatz
II.Datenschutz im Beschäftigtenkontext
1.Öffnungsklausel im EU-Recht (Art. 88 DS-GVO)
2.Nationale Regelung des § 26 BDSG
a)Überblick
b)Begründung, Durchführung, Beendigung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG)
c)Aufdeckung von Straftaten (§ 26 Abs. 1 S. 2 BDSG)
d)Erforderlichkeit der Datenverarbeitung
e)Einwilligung der betroffenen Person (§ 26 Abs. 2 BDSG)
f)Verarbeitung besonderer Kategorien personenbezogener Daten (§ 26 Abs. 3 BDSG)
g)Geeignete Schutzmaßnahmen (§ 26 Abs. 5 BDSG)
III.Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten (Art. 86 DS-GVO)
IV.Verarbeitung nationaler Kennziffern (Art. 87 DS-GVO)
V.Datenverarbeitung zu Archiv-, Forschungs- und statistischen Zwecken
1.Privilegierung und Öffnungsklauseln in der DS-GVO
2.Rechtsgrundlagen im BDSG
a)Forschungszwecke und statistische Zwecke (§ 27 BDSG)
b)Im öffentlichen Interesse liegende Archivzwecke (§ 28 BDSG)
VI.Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
1.Einschränkung der Betroffenenrechte (Art. 14 Abs. 5 lit. d DS-GVO; § 29 BDSG)
2.Einschränkung aufsichtsbehördlicher Befugnisse (§ 29 Abs. 3 BDSG)
VII.Verbraucherkredite (§ 30 BDSG)
VIII.Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften (§ 31 BDSG)
1.Scoring (§ 31 Abs. 1 BDSG)
2.Bonitätsauskünfte (§ 31 Abs. 2 BDSG)
B.Datenschutz im Bereich der öffentlichen Sicherheit und Strafverfolgung – DSRL-JI (§§ 45 ff. BDSG)
I.Allgemeines
II.Materielles Recht
III.Institutionelles Recht
IV.Prozedurales Recht
C.Datenschutz im Bereich der Telekommunikation und der Telemedien
I.Entwicklung der Bestimmungen
1.Status Quo der Bestimmungen in DS-GVO, EDSRL, TKG und TMG
2.Zwischenzeitlich angestrebte Beseitigung von Unklarheiten durch das TTDSG
3.Längerfristige Änderungen durch die geplante E-Privacy-VO
a)Verhältnis der geplanten E-Privacy-VO zu der DS-GVO und dem TKG
b)Anwendungsbereich und wesentliche Inhalte der E-Privacy-VO im Überblick
II.Bereichsspezifischer Datenschutz im Telekommunikationsrecht
1.Bedeutung und Ausgangspunkt des bereichsspezifischen Datenschutzrechts in der Telekommunikation
2.Anwendungsbereich (§ 91 TKG/§ 1 TTDSG-E)
a)Regelung in § 91 TKG
b)Geplante Anpassung des Anwendungsbereichs an die Vorgaben aus der EDSRL in § 1 TTDSG-E
c)OTT-Dienste
3.Einzelne Tatbestände des Telekommunikationsdatenschutzes
a)Fernmeldegeheimnis (§ 88 TKG/§§ 3, 4 TTDSG-E)
b)Informationspflichten (§ 93 TKG)
c)Personal Information Management Services
d)Zulässigkeitsvorgaben orientiert an Datenkategorien
aa)Bestandsdaten (§ 95 TKG)
bb)Verkehrsdaten (§ 96 TKG/§ 9 TTDSG-E)
cc)Standortdaten (§ 98 TKG/§ 13 TTDSG-E)
e)Ausgewählte Verarbeitungszwecke
aa)Verarbeitung zur Entgeltermittlung und Abrechnung (§ 97 TKG/§ 10 TTDSG-E)
bb)Einzelverbindungsnachweis (§ 99 TKG/§ 11 TTDSG-E)
cc)Störungs- und Missbrauchsverhinderung (§ 100 TKG/§ 12 TTDSG-E)
f)Besondere Endnutzerschutzbestimmungen
4.Regelungen zur öffentlichen Sicherheit
a)Technische Vorkehrungen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten
b)Telekommunikationsüberwachung (§ 110 TKG/§ 169 TKG-N)
c)Spezielle Auskunftsverfahren
aa)Datenerhebung und -speicherung als Voraussetzung für ein Auskunftsersuchen (§ 111 TKG/§ 171 TKG-N)
bb)Automatisiertes Auskunftsverfahren (§ 112 TKG/§ 172 TKG-N)
cc)Manuelles Auskunftsverfahren (§ 113 TKG/§ 173 TKG-N)
III.Bereichsspezifischer Datenschutz im Telemedienrecht
1.Umstrittene Anwendbarkeit der Regelungen des TMG
2.Ausgewählte Probleme des Telemediendatenschutzes
a)Verwendung von Cookies
b)Auskunft über Bestandsdaten
Stichwortverzeichnis
a.A.
andere Ansicht
a.E.
am Ende
a.F.
alte Fassung
Abb.
Abbildung
ABl.EG
Amtsblätter EG
ABl.EU
Amtsblätter EU
Abs.
Absatz
AEUV
Vertrag über die Arbeitsweise der Europäischen Union
AG
Aktiengesellschaft
Anm.
Anmerkung
AO
Abgabenordnung
AöR
Archiv des Öffentlichen Rechts (Zeitschrift)
APR
Allgemeines Persönlichkeitsrecht
ArbG
Arbeitsgericht
arg.
argumentum
Art.
Artikel
AT
Allgemeiner Teil
Aufl.
Auflage
AWG
Außenwirtschaftsgesetz
BAG
Bundesarbeitsgericht
BayDSG
Bayerisches Datenschutzgesetz
BayVBl.
Bayerische Verwaltungsblätter
BB
Betriebsberater (Zeitschrift)
Bd.
Band
BDSG
Bundesdatenschutzgesetz
Beschl.
Beschluss
BetrVG
Betriebsverfassungsgesetz
BfDI
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
BfF
Bundesamt für Finanzen
BFH
Bundesfinanzhof
BGB
Bürgerliches Gesetzbuch
BGBl.
Bundesgesetzblatt
BGH
Bundesgerichtshof
BGHZ
Sammlung der Entscheidungen des Bundesgerichtshofs in Zivilsachen
BND
Bundesnachrichtendienst
BNDG
BND-Gesetz
BNetzA
Bundesnetzagentur
BPersVG
Bundespersonalvertretungsgesetz
BR-Drs.
Bundesratsdrucksache
BT
Besonderer Teil
BT-Drs.
Bundestagsdrucksache
BVerfG
Bundesverfassungsgericht
BVerfGE
Entscheidungssammlung des Bundesverfassungsgerichts
BVerfSchG
Bundesverfassungsschutzgesetz
bzw.
beziehungsweise
CAHDATA
Ad-hoc-Datenschutzkomitee des Europarats
CR
Computer & Recht (Zeitschrift)
d.h.
das heißt
DANA
Datenschutznachrichten
DGB
Deutscher Gewerkschaftsbund
dies.
dieselbe(n)
DÖV
Die Öffentliche Verwaltung (Zeitschrift)
DSB
Datenschutzbeauftragte(r)
DS-GVO
Datenschutzgrund-Verordnung
DS-GVO-E
Entwurf einer Datenschutz-Grundverordnung
DSRL
Datenschutzrichtlinie
DSRL-JI
EU-Datenschutzrichtlinie für den Polizei- und Justizbereich
DStRE
Deutsches Steuerrecht Entscheidungsdienst (Zeitschrift)
DuD
Datenschutz und Datensicherheit (Zeitschrift)
e.V.
eingetragener Verein
ed.
Edition
EDSA
Europäischer Datenschutzausschuss
EDSB
Europäischer Datenschutzbeauftragter
EDSRL
Richtlinie 2002/58 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) vom 12.7.2002, zuletzt geändert durch die Richtlinie 2009/136/EG
EG
Europäische Gemeinschaft
EGMR
Europäischer Gerichtshof für Menschenrechte
EGV
EG-Vertrag
EKEK
Richtlinie 2018/1972 über den europäischen Kodex für die elektronische Kommunikation
EKMR
Europäische Kommission für Menschenrechte
EMRK
Europäische Menschenrechtskonvention
endg.
endgültig
Entsch.
Entscheidung
EP
Europäisches Parlament
E-Privacy-VO
E-Privacy-Verordnung (geplant)
E-Privacy-VO-KOM-E
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der RL 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) v. 10.1.2017, KOM (2017) 10 endg.
E-Privacy-VO-P-E
Draft European Parliament Legislative Resolution on the proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017)0010 – C8-0009/2017 – 2017/0003(COD)
E-Privacy-VO-RatsE
Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) vom 10.2.2021
etc.
et cetera
EU
Europäische Union
EuGH
Europäischer Gerichtshof
EuGRZ
Zeitschrift für Europäische Grundrechte
EuR
Europarecht
EUV
Vertrag über die Europäische Union (Lissabon, 2007)
EUV a.F.
Vertrag über die Europäische Union (Nizza, 2001)
EuZW
Europäische Zeitschrift für Wirtschaftsrecht
EWR
Europäischer Wirtschaftsraum
f.
folgend
FAG
Finanzausgleichsgesetz vom 20.12.2001 (BGBl. I S. 3955, 3956), das zuletzt durch Artikel 2 des Gesetzes vom 14.8.2017 (BGBl. I S. 3122) geändert worden ist
ff.
folgende
FVG
Finanzverwaltungsgesetz
GA
Goltdammers Archiv für Strafrecht (Zeitschrift)
GASP
Gemeinsame Außen- und Sicherheitspolitik
GesR
Gesundheitsrecht (Zeitschrift)
GG
Grundgesetz
ggf.
gegebenenfalls
GR
Grundrecht
GrCh
Charta der Grundrechte der Europäischen Union (2016/C 202/02; Grundrechte-Charta)
grdl.
grundlegend
grds.
grundsätzlich
GVBl.
Gesetz- und Verordnungsblatt
HB
Handelsblatt
HGB
Handelsgesetzbuch
HRRS
Höchstrichterliche Rechtsprechung–Strafrecht
Hrsg.
Herausgeber
Hs.
Halbsatz
HTML
Hypertext Markup Language
i. Ü.
im Übrigen
i.d.R.
in der Regel
i.E.
im Ergebnis
i.R.v.
im Rahmen von
i.S. d
im Sinne des
i.S.v.
im Sinne von
i.V.m.
in Verbindung mit
IFG
Informationsfreiheitsgesetz vom 5.9.2005 (BGBl. I S. 2722), das durch Artikel 2 Absatz 6 des Gesetzes vom 7.8.2013 (BGBl. I S. 3154) geändert worden ist
IMAP
Internet Message Access Protocol
IMEI
International Mobile Equipment Identity
IMSI
International Mobile Subscriber Identity
insbes.
insbesondere
IP-Adresse
Internet Protocol-Adresse
ISDN
Integrated Service Digital Network
ITRB
IT-Rechts-Berater
JuS
Juristische Schulung (Zeitschrift)
K108
Datenschutzkonvention des Europarats
K108-E
Entwurf zur Modernisierung der Datenschutzkonvention des Europarats
K&R
Kommunikation & Recht (Zeitschrift)
Kap.
Kapitel
KG
Kammergericht
KOM
Dokumente der Kommission der Europäischen Union
LAG
Landesarbeitsgericht
LDSG(e/en)
Landesdatenschutzgesetz(e/en)
LG
Landgericht
lit.
litera
m.w.N.
mit weiteren Nachweisen
MADG
MAD-Gesetz (Gesetz über den militärischen Abschirmdienst)
Mio.
Millionen
MMR
Multimedia & Recht (Zeitschrift)
NJW
Neue Juristische Wochenschrift (Zeitschrift)
Nr.
Nummer
NVwZ
Neue Zeitschrift für Verwaltungsrecht
NZA
Neue Zeitschrift für Arbeitsrecht
o.Ä.
oder Ähnliche
OECD
Organisation for Economic Co-operation and Development
OLG
Oberlandesgericht
OVG
Oberverwaltungsgericht
PAuswG
Personalausweisgesetz
PJZS
Polizeiliche und justizielle Zusammenarbeit in Strafsachen
PNR
Passenger Name Record
POP3
Post Office Protocol Version 3
RDV
Recht der Datenverarbeitung (Zeitschrift)
RFiD
Radio Frequency Identification
RL
Richtlinie
Rn.
Randnummer
Rspr.
Rechtsprechung
S.
Seite
SCHUFA
Schutzgemeinschaft für allgemeine Kreditsicherung
Ser.
Series (Amtliche Entscheidungssammlung des EGMR, Zitierweise bis 1990)
SEV
Sammlung der Europäischen Verträge
SFS
Svensk författningssamling (amtliche Sammlung von Gesetzen und Verordnungen des schwedischen Reichstags)
SGB
Sozialgesetzbuch
Slg.
Sammlung
SMS
Short Message Service
sog.
so genannt(e)
st. Rspr.
ständige Rechtsprechung
StGB
Strafgesetzbuch
StPO
Strafprozeßordnung
str.
strittig
StV
Strafverteidiger (Zeitschrift)
SÜG
Sicherheitsüberprüfungsgesetz
TK
Telekommunikation
TKG
Telekommunikationsgesetz
TKG-N
Telekommunikationsgesetz in der Fassung des Regierungsentwurfs des Telekommunikationsmodernisierungsgesetzes vom 1.1.2021
TKÜV
Telekommunikations-Überwachungsverordnung
TMG
Telemediengesetz
TTDSG
Telekommunikations-Telemedien-Datenschutz-Gesetz
TTDSG-E
Regierungsentwurf des TTDSG in der Fassung vom 10.2.2021
TTDSG-RefE 2020
Referentenentwurf des TTDSG in der Fassung vom 14.7.2020
TTDSG-RefE 2021
Referentenentwurf des TTDSG in der Fassung vom 12.1.2021
TÜV
Technischer Überwachungsverein
u.a.
unter anderem
u.U.
unter Umständen
Urt.
Urteil
USA
United States of America
UWG
Gesetz gegen den unlauteren Wettbewerb
v.a.
vor allem
Var.
Variante
VBlBW
Verwaltungsblätter Baden-Württemberg (Zeitschrift)
VDSRL
Richtlinie 2006/24/EG des Europäischen Parlaments und Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (Vorratsdatenspeicherungsrichtlinie)
VerBAV
Veröffentlichungen des Bundesaufsichtsamtes für das Versicherungs- und Bausparwesen
vgl.
vergleiche
VO
Verordnung
VoIP
Voice over IP (Internet Protocol)
VuR
Verbraucher und Recht (Zeitschrift)
VwVfG
Verwaltungsverfahrensgesetz
WP
working paper
WRP
Wettbewerb in Recht und Praxis (Zeitschrift)
z.B.
zum Beispiel
z.T.
zum Teil
ZD
Zeitschrift für Datenschutz
ZRP
Zeitschrift für Rechtspolitik
Fallbeispiel 1 Anonyme Kontaktanzeige – Datenschutz nach Art. 8 EMRK
Lösung
Fallbeispiel 2 EU-Agrarbeihilfen – Datenschutz nach der GrCh
Lösung
Fallbeispiel 3 Ermittlung von Mobilfunkdaten durch IMSI-Catcher – Fernmeldegeheimnis
Lösung
Fallbeispiel 4 Löschbegehren gegen Online-Archiv – Recht auf Vergessen I
Lösung
Fallbeispiel 5 Löschbegehren gegen Suchmaschinenbetreiber – Recht auf Vergessen II
Lösung
Fallbeispiel 6 Vorratsdatenspeicherungsrichtlinie – Vereinbarkeit mit Kompetenzgefüge, GrCh, EMRK
Lösung
Fallbeispiel 7 Google Spain – Räumlicher Anwendungsbereich der DS-GVO
Lösung
Fallbeispiel 8 IP-Adressen – Personenbezogene Daten und Haushaltsausnahme
Lösung
Fallbeispiel 9 Verwertungsgesellschaft – Zulässigkeitstatbestände (I)
Lösung
Fallbeispiel 10Fitnessstudio – Zulässigkeitstatbestände (II)
Lösung
Fallbeispiel 11Fußball-EM – Einwilligung
Lösung
Fallbeispiel 12Expansion im Limonadenhandel – Drittlandtransfer und Datenschutzverträge
Lösung
Fallbeispiel 13Internet-Bewertungsportal – Betroffenenrechte
Lösung
Fallbeispiel 14Datensammlung des BfF für Auslandsgesellschaften – Reichweite des Auskunftsanspruchs
Lösung
Fallbeispiel 15Videoüberwachung einer Arztpraxis
Lösung
Fallbeispiel 16Versicherungskaufmann – Beschäftigtendatenschutz
Lösung
Fallbeispiel 17Instant-Messenger-App – Telekommunikationsdatenschutz
Lösung
1Betroffenheit des Fernmeldegeheimnisses beim E-Mail-Versand
2Schutzbereichsentsprechungen der Datenschutzgrundrechte im Mehrebenensystem
3Chronologische Entwicklung des Datenschutzrechts vor der Reform
4Die Europäische Datenschutzreform
5Datenschutzvorschriften im Mehrebenensystem
6Prüfungsreihenfolge im Datenschutzrecht
7Zentrale Grundbegriffe des Datenschutzrechts
8Personenbezogene Daten – Begriff
9Personenbezogene und anonyme Daten
10Verbot mit Zulässigkeitstatbeständen
11Grundsätze und Rechenschaftspflicht des Verantwortlichen nach Art. 5 DS-GVO
12Zulässigkeitstatbestände des Art. 6 Abs. 1 UAbs. 1 DS-GVO
13Prüfung der Rechtmäßigkeit einer Übermittlung personenbezogener Daten in ein Drittland
14Grenzüberschreitender Datenverkehr im Rahmen der DS-GVO
15Wesentliche Rechte der betroffenen Person
16Aufsichtsbehörden auf EU-Ebene
17Aufsichtsbehörden in Deutschland
18Verbundverwaltung im Mehrebenensystem
19Kohärenzverfahren bei Einspruch anderer betroffener Aufsichtsbehörde nach Art. 60 Abs. 4 i.V.m. 65 Abs. 1 lit. a DS-GVO
20Kohärenzverfahren bei widersprechender Stellungnahme des EDSA nach Art. 64 i.V.m. 65 Abs. 1 lit. c DS-GVO
21Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
22Pflicht zur Benennung eines Datenschutzbeauftragten
23Wesentliche Pflichten des Verantwortlichen
Albrecht, Jan Philipp/Jotzo, Florian
Das neue Datenschutzrecht der EU, Baden-Baden 2017
Calliess, Christian/Ruffert, Matthias (Hrsg.)
EUV/AEUV – Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl., München 2016
Ehlers, Dirk (Hrsg.)
Europäische Grundrechte und Grundfreiheiten, 4. Aufl., Berlin 2015
Ehmann, Eugen/Helfrich, Marcus
EG-Datenschutzrichtlinie – Kurzkommentar, Köln 1999
Ehmann, Eugen/Selmayr, Martin (Hrsg.)
DS-GVO. Datenschutz-Grundverordnung. Kommentar, 2. Aufl. München 2018
Eßer, Martin/Kramer, Philipp/von Lewinski, Kai (Hrsg.)
Auernhammer – DSGVO, BDSG. Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Nebengesetze. Kommentar, 7. Aufl. Köln 2020
Feiler, Lukas/Forgó, Nikolaus
EU-DSGVO. EU-Datenschutzgrundverordnung. Kommentar, Wien 2017
Geppert, Martin u.a. (Hrsg.)
Beck‘scher TKG-Kommentar, 4. Aufl., München 2013
Gierschmann, Sibylle/Schlender, Katharina/u.a. (Hrsg.)
Kommentar Datenschutz-Grundverordnung, Köln 2017
Gola, Peter (Hrsg.)
Datenschutz-Grundverordnung. DS-GVO. VO (EU) 2016/679. Kommentar, 2. Aufl., München 2018
Gola, Peter/Heckmann, Dirk (Hrsg.)
Bundesdatenschutzgesetz – Kommentar, 13. Aufl., München 2019
Grabenwarter, Christoph
Europäische Menschenrechtskonvention, 6. Aufl., München 2016
Grote, Rainer/Marauhn, Thilo (Hrsg.)
EMRK/GG Konkordanzkommentar zum europäischen und deutschen Grundrechtsschutz, 2. Aufl., Tübingen 2013
Jarass, Hans D./Kment, Martin
EU-Grundrechte, 2. Aufl. München 2019
Kühling, Jürgen/Buchner, Benedikt (Hrsg.)
Datenschutz-Grundverordnung. Kommentar, 3. Aufl., München 2020
Kühling, Jürgen/Martini, Mario u.a.
Die Datenschutz-Grundverordnung und das nationale Recht: Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016
Kühling, Jürgen/Schall, Tobias/Biendl, Michael
Telekommunikationsrecht, 2. Aufl., Heidelberg 2014
Meyer-Ladewig, Jens/Nettesheim, Martin/von Raumer, Stefan
Europäische Menschenrechtskonvention – Handkommentar, 4. Aufl., Baden-Baden 2017
Paal, Boris/Pauly, Daniel (Hrsg.)
Datenschutz-Grundverordnung, 2. Aufl., München 2018
Plath, Kai-Uwe (Hrsg.)
Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen von TMG und TKG, 3. Aufl., Köln 2018
Roßnagel, Alexander (Hrsg.)
Das neue Datenschutzrecht, Baden-Baden 2017
Schaffland, Hans-Jürgen/Holthaus, Gabriele/Schaffland, Astrid
Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Loseblattwerk, Berlin, Stand 2020
Schantz, Peter/Wolff, Heinrich Amadeus
Das neue Datenschutzrecht. Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017
Schwartmann, Rolf/Jaspers, Andreas/Thüsing, Gregor/Kugelmann, Dieter (Hrsg.)
Datenschutz-Grundverordnung/BDSG, Heidelberger Kommentar, 2. Aufl., Heidelberg 2020
Schwartmann, Rolf/Pabst, Heinz-Joachim (Hrsg.)
Landesdatenschutzgesetz Nordrhein-Westfalen, Handkommentar, Baden-Baden 2020
Simitis, Spiros (Hrsg.)
Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014
Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.)
Datenschutzrecht, DSGVO mit BDSG, Kommentar, Baden-Baden 2019
Spindler, Gerald/Schuster, Fabian (Hrsg.)
Recht der elektronischen Medien – Kommentar, 4. Aufl., München 2019
Sydow, Gernot (Hrsg.)
Bundesdatenschutzgesetz, Handkommentar, Baden-Baden 2019
Sydow, Gernot (Hrsg.)
Europäische Datenschutzgrundverordnung, Handkommentar, 2. Aufl., Baden-Baden 2018
Taeger, Jürgen/Gabel, Detlev (Hrsg.)
Kommentar, DSGVO – BDSG, 3. Aufl. Frankfurt a.M. 2019
Tinnefeld, Marie-Theres/Buchner, Benedikt/u.a.
Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit in europäischer Sicht, 7. Aufl., Berlin 2019
von Bogdandy, Armin/Bast, Jürgen (Hrsg.)
Europäisches Verfassungsrecht: Theoretische und dogmatische Grundzüge, 2. Aufl., Berlin 2009
Wedde, Peter
EU-Datenschutz-Grundverordnung. Kurzkommentar mit Synopse BDSG/EU-DSGVO, Frankfurt am Main 2016
Wolff, Heinrich/Brink, Stefan (Hrsg.)
Beck‘scher Online-Kommentar Datenschutzrecht, 33. Edition, München 2020
Stand: 1.8.2020
1
Entsprechend der Regel, die Gordon E. Moore vor gut 50 Jahren aufgestellt hat,[1] wonach die Anzahl von Transistoren auf einem Mikrochip sich alle ein bis zwei Jahre verdoppelt, werden Computer immer leistungsfähiger. Proportional dazu steigen die Möglichkeiten, Informationen über Personen zu erfassen und auszuwerten. Die technische Entwicklung der letzten 50 Jahre ist beeindruckend. Es besteht jedoch weitgehend Konsens, dass nicht alles, was technisch machbar ist, gesellschaftlich auch wünschenswert ist.
2
Der Wandel der Datenverarbeitung selbst und mit ihm der Bedeutungsanstieg eines effektiven normativen Datenschutzes in den letzten Jahren ist vor diesem Hintergrund enorm. Dabei sind zwei Treiber zu erkennen: Die eingangs skizzierte technische Entwicklung einerseits, die vor allem die Datenverarbeitung in allen öffentlichen und privaten Bereichen beschleunigt und vervielfacht hat, und zunehmende staatliche Kontroll- und Überwachungsmaßnahmen andererseits, nicht zuletzt vor dem Hintergrund der fortdauernden terroristischen Bedrohungslage.
3
Dabei zeichnet sich immer deutlicher ab, in welcher Totalität unser Alltag durch datenverarbeitende Prozesse begleitet und geprägt sein wird.[2] Durch die Miniaturisierung, die Verringerung des Energieverbrauchs, die Verbesserungen der Datenaufbewahrung und der Telekommunikationsmöglichkeiten erleben wir gegenwärtig eine beschleunigte Entwicklung und Verbreitung mobiler Kommunikationssysteme. Zudem sinken die Preise für die Speicherung von Daten rasant. Hinzu kommt die Vernetzung der vielfältigen Rechnerkapazitäten durch das Internet. Visionen einer datenbasierten Gesellschaft scheinen in naher Zukunft Realität zu werden. In dieser Welt des „allgegenwärtigen Rechnens“ („Ubiquitous Computing“) ist der Mensch stets und überall mit Computeranwendungen konfrontiert.
4
Digitalisierung, Telemedizin, Cloud-Computing und das „Internet of Things“ sind schon heute in den Medien als Schlagworte omnipräsent.[3] Das Smartphone ist für einen Großteil der Bevölkerung bereits ständiger Begleiter. „Smarte“ Haustechnik optimiert die Heimautomation und spart Energie. Sie wird teils ergänzt durch ständige intelligente persönliche Assistenten, die das Heim oder den Medienkonsum steuern, aber zugleich eine ständige Datenübertragungsquelle im Haus sind – gleichsam ein freiwilliger „großer Lauschangriff“ auf der Basis des Vertrauens zu privaten Unternehmen. Autos kommunizieren mit ihrer Umgebung und sollen in einigen Jahren weitgehend autonom ihren Weg durch den Straßenverkehr finden. Die fortschreitende Vernetzung mit hohen Bandbreiten ermöglicht den Transport unvorstellbarer Mengen von Daten. Diese Möglichkeiten führen zu einer immer arbeitsteiligeren Datenverarbeitung, um Rechenkapazitäten und Know-How möglichst effizient zu nutzen und auszulasten, so dass selbst bei einfachen Vorgängen oft eine Vielzahl von Personen potentiell Zugriff auf Daten erhält. Nicht nur die dahinterstehende Technik, sondern auch die Datenströme werden immer komplexer und sind selbst wiederum nur automatisiert zu verwalten. Zunehmend agieren datenverarbeitende Geräte daher automatisiert und erfordern keine menschliche Interaktion mehr. Dabei entwickeln sich die Algorithmen selbstständig weiter und schaffen so eine künstliche und lernende Intelligenz. Das alles führt zu sehr komplexen und allgegenwärtigen Datenverarbeitungsstrukturen, die selbst für Fachleute im Einzelfall nur noch schwer zu überblicken sind.
5
Die Vorteile sind enorm: Neue Produkte und Dienste wie soziale Netzwerke entstehen. Über alle Bereiche hinweg können die Produktion und der Verbrauch von Gütern deutlich effizienter gestaltet werden. Barrieren durch Landesgrenzen, Sprache und Entfernungen werden abgebaut. Der Zugang zu Informationen wird vereinfacht und diese damit für eine viel größere Zahl an Personen verfügbar.
6
Andererseits können Bewegungen im Netz sowie zahlreiche App-basierte Aktivitäten mit dem Smartphone weitgehend registriert werden, so dass jegliches Verhalten digitale Spuren hinterlässt. Damit ist die vollständige Erfassung der Handlungen in diesem immer wichtiger werdenden virtuellen Sozialraum möglich. Das gilt vor allem für die sog. Social-Web-Angebote wie die von Instagram oder Facebook.[4] Derartige Online-Plattformen eröffnen für Tausende von Nutzern die Möglichkeit des sozialen Austauschs mit all ihren privatheitsrelevanten Implikationen. Soziale Beziehungen und Strukturen werden zunehmend über das World Wide Web aufgebaut und abgewickelt – damit aber zugleich digital nachgezeichnet und datentechnisch erfassbar.
7
Es entsteht so zunehmend ein virtuelles Abbild des Verhaltens und der sozialen Interaktionen von Menschen, das mittels Big-Data-Techniken automatisiert ausgewertet werden kann. Big Data und insbesondere Big-Data-Anwendungen bezeichnen dabei als Sammel- oder Oberbegriffe grundsätzlich solche Anwendungen, Applikationen oder Analyseprogramme, die eine außerordentlich große und ggf. heterogene Datenmenge innerhalb kurzer Zeit (oder in Echtzeit) auswerten.[5] Als Kernmerkmale werden häufig die „drei Vs“ genannt: volume (Menge), velocity (Geschwindigkeit/Echtzeit) und variety (unterschiedliche Daten).[6] Hinzu kommen teilweise noch validity (Richtigkeit bzw. Wahrheitsgehalt der Daten) oder alternativ veracity (Genauigkeit) und value (wirtschaftlicher Wert), so dass man auch von „fünf Vs“ sprechen kann.[7] Eine außergewöhnlich hohe Trennschärfe bietet der Begriff damit nicht und kann schon gar nicht als rechtliche Definition verstanden werden. Jedoch treten im Rahmen von Big-Data-Anwendungen in der Regel eine Reihe von Besonderheiten auf, die sodann (datenschutz-)rechtliche Fragestellungen aufwerfen. Hierzu zählt vor allem, dass – anders als bei vielen herkömmlichen Analysetechniken – nicht gezielt nach der Antwort auf eine bestimmte Fragestellung gesucht wird, sondern die Anwendung ergebnisoffen nach Mustern und Zusammenhängen sucht, woraus sich gänzlich neue Erkenntnisse ergeben können.[8] Durch das Aufzeigen von Korrelationen kann die Big-Data-Anwendung so oftmals dazu beitragen, die richtigen Fragen überhaupt erst zu stellen. Dementsprechend groß sind die Hoffnungen, die in verschiedensten Lebensbereichen – beispielsweise im Gesundheitssektor – in Big-Data-Techniken gesetzt werden. Demgegenüber stehen jedoch die Risiken, die mit der systematischen Auswertung solch großer Datenmengen einhergehen.[9] Die Persönlichkeitsrechtsverletzungen bei einer Big-Data-Anwendung werden in der Regel Folgen für eine große Zahl von Betroffenen entfalten. Werden darüber hinaus auch noch sensible Daten (wie Gesundheitsdaten) verarbeitet, können Datenschutzrechtsverstöße besonders schwer wiegen. Letztlich ist zu befürchten, dass ein unkontrolliertes Sammeln großer Mengen von personenbezogenen Daten in Verbindung mit einer detaillierten und intelligenten Auswertung dieser den Menschen zum vielbeschworenen „gläsernen Bürger“ macht.
8
Durch die immer weitergehende Durchdringung sämtlicher Lebensbereiche mit datenverarbeitenden Prozessen, die eine weitreichende Abbildung der „Offline-Welt“ in datentechnisch erfassbaren Formen ermöglicht, ist die oben skizzierte Entwicklung nicht mehr davon abhängig, ob man sich bewusst „im Internet“ bewegt. Es geschieht vielmehr beiläufig, so dass es auch immer schwieriger wird, sich entsprechenden Datenverarbeitungen zu entziehen. Andererseits eröffnet sich eine ganz neue Dimension innovativer und attraktiver Dienste. Die Anwendungen reichen vom Einsatz in der Arbeitswelt über den Reisebereich bis hin zu neuen Unterhaltungsformen. Insbesondere ist das Smartphone inzwischen zu einer mobilen Informations-, Navigations- und Kommunikationszentrale geworden.
9
Zugleich werden jene Informationen potenziell dem Zugriff hoheitlicher Organe eröffnet. Die immer wieder aufflammende Diskussion um den Zugriff auf die Toll-Collect-Daten[10] für die Strafverfolgung ist nur ein durchaus noch beschränktes Beispiel. Die Datenbestände sozialer Netzwerke wecken viel größere Begehrlichkeiten. Hinzu kommt, dass zunehmend Datenbestände durch Private explizit für hoheitliche Zwecke geschaffen werden. Das gilt beispielsweise für den Aufbau der Kontenevidenzzentrale. Dort sind sämtliche Bestandsdaten der deutschen Banken gesammelt, also Informationen darüber, wer bei welcher Bank welche Arten von Konten führt. Noch problematischer war der massive Ausbau der Speicherpflichten für Telekommunikationsunternehmen durch die – inzwischen wohl gescheiterten[11] – mehrfachen gesetzgeberischen Anläufe zur Einführung einer Vorratsdatenspeicherung. Zuletzt hat in Zeiten der Corona-Krise die Diskussion um den Einsatz einer sogenannten „Corona-Tracing-App“ die nachvollziehbaren öffentlichen Interessen am Zugriff auf die im Smartphone gesammelte Kontaktdaten plastisch vor Augen geführt.[12]
10
Zugleich wachsen die Gefahren des missbräuchlichen Zugriffs auf jene Datenmengen – sei es von hoheitlicher oder von privater Seite, die nicht zuletzt durch die Enthüllungen von Edward Snowden einer breiten Öffentlichkeit in ihrem vollen Ausmaß vor Augen geführt wurden. So wundert es nicht, dass Insuffizienzen beim Datenschutz immer öfter in die Schlagzeilen gelangen.
11
Mit diesen Entwicklungen erlangte auch das Datenschutzrecht als modernes Rechtsgebiet eine zunehmende Bedeutung und nimmt in der öffentlichen Debatte breiten Platz ein. Möchte man auf die Vorzüge des technischen Fortschritts nämlich nicht schlechthin verzichten, so lassen sich Einschränkungen für den Schutz der Daten von betroffenen Personen grundsätzlich nicht vermeiden.
12
Aufgabe des Datenschutzrechts ist es, für jeden Einzelfall eine befriedigende Antwort zu liefern, ob konkret das Interesse der betroffenen Person am Schutz ihrer personenbezogenen Daten überwiegt oder Einschränkungen im Interesse des Gemeinwohls oder eines Dritten hinzunehmen sind. Je mehr Daten verarbeitet werden, desto häufiger stellt sich ein (ggf. multipolarer) Grundrechtskonflikt. Diesen im Wege der praktischen Konkordanz aufzulösen, kann nur auf der Basis eines konsistenten Datenschutzrechts unter Zusammenwirken von Gesetzgeber, Wissenschaft und Rechtsprechung gelingen.
13
Deutschland und die Europäische Union beschreiten dabei einen grundrechtsbasierten, datenschutzorientierten Weg, der zugleich die berechtigten Datenverarbeitungsinteressen berücksichtigen muss, soll er sich gegen andere Modelle im Wettbewerb durchsetzen. Diese können zugespitzt als „Surveillance Capitalism“[13] US-amerikanischer Ausprägung[14] und „Surveillance Communism“ chinesischer Ausprägung bezeichnet werden. Während im ersten Fall die großen US-amerikanischen Internetgiganten wie Facebook, Google & Co die Datenverarbeitungsprozesse prägen und auf eine maximale Datenausbeute zur Finanzierung der extrem leistungsfähigen und innovativen Dienste ausgerichtet sind, treten im zweiten Fall neben einer ebenfalls profitorientierten (staats-)kapitalistischen Maximalverdatung zusätzliche etatistische Überwachungsinteressen, die mit europäischen Rechtsstaatsvorstellungen allzu oft nicht kompatibel sind. Dennoch beeindrucken die innovativen Dienste, die in diesen anders austarierten Rechtssystemen entstehen. Umso wichtiger ist ein funktionsfähiges europäisches Datenschutzmodell, das auch eine „Datensouveränität“[15] im „Big-Data“-Zeitalter gewährleistet. Denn eine Vielzahl der Datenverarbeitungen ist sogar ganz im Interesse der betroffenen Person, da die Nutzung der innovativen Dienste erleichtert wird. Dies ist aber auch für die Möglichkeiten und Grenzen eines Geschäftsmodells „Leistung gegen Daten“ relevant (siehe dazu → Rn. 514). Eine Hypertrophie des Datenschutzes ist dabei unbedingt zu vermeiden (dazu → Rn. 53 f.).
14
Dieses Buch soll den Einstieg in die Materie ermöglichen und ist sowohl für Studierende als auch für Praktiker geeignet. Das Buch hat dabei folgenden Aufbau: Eingangs werden die Grundlagen des internationalen Datenschutzrechts, aber vor allem auch die wichtigen primär- und verfassungsrechtlichen Quellen differenziert aufbereitet. Die ausführliche Darstellung der Entwicklung des Datenschutzrechts soll das notwendige Systemverständnis schaffen. Im zweiten Kapitel steht die Datenschutz-Grundverordnung (DS-GVO) im Vordergrund sowie deren Zusammenspiel mit den deutschen Datenschutzgesetzen auf Bundes- und Landesebene. Das dritte Kapitel befasst sich mit besonderen Verarbeitungssituationen in DS-GVO und BDSG und behandelt die bereichsspezifischen Datenschutzvorschriften im Rahmen der Verbrechensbekämpfung und im Telekommunikations- und Mediensektor.
Vgl. Borchers, 50 Jahre Moores Gesetz: Von der Performance von Prozessoren und der Komplexität von Chips, Heise online v. 19.4.2015, abrufbar unter: https://heise.de/-2612257 (Abruf: 12.1.2021).
Dazu bereits Kühling, Die Verwaltung 2007, 153.
Zur Kategorisierung der Entwicklungsstufen hin zu allgegenwärtiger Datenverarbeitung vgl. noch die Vorauflage.
Vgl. dazu Erd, NVwZ 2011, 19.
Die folgenden Ausführungen zu dem Begriffsverständnis von Big Data sind angelehnt an Kühling/Sackmann/Schildbach, Rechtsgutachten über den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im SGB V und SGB X im Hinblick auf Big-Data-Anwendungen, 2019, S. 6 f., abrufbar unter: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Gesundheit/Berichte/Rechtsgutachten-Big-Data.pdf (Abruf: 12.1.2021).
Vgl. die Definition der Unternehmensgruppe Gartner, abrufbar unter: https://www.gartner.com/en/conferences/na/data-analytics-us (Abruf: 12.1.2021); siehe auch Rüping, Bundesgesundheitsblatt 2015, 794; Spindler, MedR 2016, 691.
Culik/Döpke, ZD 2017, 226 (227); Hoffmann-Riem, in: Hoffmann-Riem (Hrsg.), Big-Data – Regulative Herausforderungen, 2018, S. 19 f.; Weichert, Big-Data im Gesundheitsbereich, Gutachten 2019, S. 16, abrufbar unter: http://www.abida.de/sites/default/files/ABIDA%20Gutachten-Gesundheitsbereich.pdf (Abruf: 12.1.2021).
Boehme-Neßler, DuD 2016, 419 (421 f.)
Siehe zu den Risiken bereits Weichert, ZD 2013, 251.
Vgl. Muschel, Polizei soll künftig Zugriff auf Mautdaten bekommen, Badische Zeitung online v. 10.6.2017, abrufbar unter: http://www.badische-zeitung.de/suedwest-1/polizei-soll-kuenftig-zugriff-auf-mautdaten-bekommen--137897974.html (Abruf: 12.1.2021).
Vgl. dazu auch Kühling, Todesstoß für die Vorratsdatenspeicherung: der Beschluss des OVG NRW und seine Folgen, Verfassungsblog v. 29.6.2017, abrufbar unter: http://verfassungsblog.de/todesstoss-fuer-die-vorratsdatenspeicherung-der-beschluss-des-ovg-nrw-und-seine-folgen/ (Abruf: 12.1.2021).
Dazu Kühling/Schildbach, NJW 2020, 1545.
Zuboff, The Age of Surveillance Capitalism, 2019.
Zu der grundsätzlich anderen Mentalität in Sachen Datenschutz im amerikanischen Rechtsraum, vgl. Klar/Kühling, AöR 2016, 165.
Dazu Kühling, DuD 2020, 182 (185 ff.).
A.Internationale Grundlagen
B.Unionsprimärrechtliche Grundlagen
C.Rechtsrahmen im Grundgesetz
D.Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts
15
Das Datenschutzrecht ist ein vergleichsweise junges Rechtsgebiet. Die Kodifikation des Datenschutzrechts nahm in Deutschland erst 1970 mit dem hessischen Datenschutzgesetz ihren Anfang.[1] Auch in anderen europäischen Staaten wurden in den 1970er Jahren die ersten Datenschutzgesetze verabschiedet.[2] Zeitgleich beschleunigten die Globalisierung und die fortschreitende Digitalisierung den grenzüberschreitenden Datenaustausch, so dass entsprechende Regeln auf inter- und supranationaler Ebene erforderlich wurden. Motoren dieser Entwicklung waren die OECD[3] und der Europarat (siehe hierzu A.), erst zu einem relativ späten Zeitpunkt folgten vergleichbare Entwicklungen auch auf supranationaler Ebene (siehe hierzu B.). Wichtig für das Verständnis des Datenschutzrechts sind sodann die verfassungsrechtlichen Vorprägungen sowohl mit Blick auf die Gesetzgebungskompetenzen als auch die Grundrechte (dazu C.). Schließend ist für das Verständnis des geltenden Rechts ein Überblick über die Genesis der verschiedenen Kodifikationen auf nationaler und EU-Ebene und ihr Zusammenspiel erforderlich (dazu D.).
Hessisches Datenschutzgesetz v. 30.9.1970, GVBl. I 1970, 625; ausführlich hierzu zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 1 ff.; siehe auch Simitis/Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einleitung Rn. 226.
Siehe etwa das schwedische Datenschutzgesetz von 1973, Datalag SFS 1973:289. 1977 folgte das deutsche Datenschutzgesetz (BDSG); zu dieser Entwicklung auch Breuer, in: Heselhaus/Nowak (Hrsg.), Handbuch der Europäischen Grundrechte, 2. Aufl. 2020, § 25 Rn. 7.
Organisation for Economic Co-operation and Development – Organisation für wirtschaftliche Zusammenarbeit und Entwicklung.
1. Kapitel Grundlagen › A. Internationale Grundlagen
1. Kapitel Grundlagen › A. Internationale Grundlagen › I. Vereinte Nationen
16
Wenngleich die Generalversammlung der Vereinten Nationen zum Schutz der Menschenrechte vor dem Hintergrund der wachsenden Gefahren durch die automatisierte Verarbeitung personenbezogener Daten 1990 Leitlinien[1] aufstellte, bleiben diese in ihrer materiellen Ausgestaltung des Datenschutzes weit hinter den im Folgenden dargestellten Abkommen zurück. Sie formulieren sehr allgemein gehalten den Grundsatz der Richtigkeit von Daten, der Zweckbestimmung und der Einsichtnahme der betroffenen Person aus und treffen allgemeine Aussagen zum grenzüberschreitenden Datenverkehr. Die Leitlinien sind dabei völkerrechtlich nicht bindend, sondern haben lediglich empfehlenden Charakter.
17
Während im normativen Bereich auf Ebene der Vereinten Nationen zwischenzeitlich keine datenschutzrechtlich relevanten Entwicklungen zu verzeichnen sind, haben die bestürzenden und aufklärenden Enthüllungen Edward Snowdens im Frühsommer 2013 eine zumindest politische und zum Teil ambivalente Dynamik freigesetzt.
18
Insbesondere auf Ebene der Vereinten Nationen haben deutsche Entscheidungsträger den Versuch unternommen, den Schutz der Privatheit und entsprechend den Datenschutz im digitalen Zeitalter auf die Agenda zu setzen. Nachdem durch die Veröffentlichung der so genannten Snowden-Dokumente die schier unbegrenzte Überwachung der weltweiten Kommunikation und die massenhafte Erhebung und Verarbeitung auch personenbezogener Daten durch eine Reihe von Geheimdiensten[2] deutlich geworden war, wurden durch die Generalversammlung der Vereinten Nationen auf Initiative Deutschlands und Brasiliens[3] hin zwei Resolutionen über „Das Recht auf Privatheit im digitalen Zeitalter“ verabschiedet.[4] In diesen in erster Linie politischen, aber rechtlich nicht bindenden Entscheidungen der Generalversammlung wird das Recht auf Privatheit und Datenschutz auch im digitalen Zeitalter bekräftigt und klargestellt, dass die gleichen Rechte, die Menschen offline haben, auch online geschützt werden müssen. Zudem wird die Hohe Kommissarin der Vereinten Nationen für Menschenrechte ersucht, dem Menschenrechtsrat und der Generalversammlung einen Bericht über den Schutz und die Förderung des Rechts auf Privatheit im Kontext des innerstaatlichen und exterritorialen Überwachens und/oder Abfangens von digitaler Kommunikation und Sammelns personenbezogener Daten, namentlich in massivem Umfang, vorzulegen.
19
Nachdem dieser Bericht dem Menschenrechtsrat wie auch der Generalversammlung vorgelegt wurde,[5] entschied der Menschenrechtsrat am 26.3.2015 ein Mandat für einen UN-Sonderberichterstatter zum „Recht auf Privatheit“ einzurichten.[6] Der Bericht stellt fest, dass die bekannt gewordenen Praktiken der Massenüberwachung und -datenerhebung wie auch -datenverwendung geeignet sind, auch gegen die garantierten Menschenrechte und insbesondere gegen das Recht auf Privatheit zu verstoßen. In jedem Fall würde in dieses und weitere Menschenrechte eingegriffen, weshalb die verantwortlichen Staaten in der Pflicht seien, diese Eingriffe zu rechtfertigen und darzulegen, inwiefern hierdurch der Kern der im Fokus stehenden Menschenrechte nicht ausgehöhlt wird. Darüber hinaus wird dargelegt, dass die Konventionsstaaten die Pflicht haben, den Schutz der betreffenden Menschenrechte zu gewährleisten, was auch bedeute, die exterritoriale Ausfuhr von Überwachungstechnologien genau zu prüfen. Schließlich hebt die Hohe Kommissarin für Menschenrechte in ihrem Bericht hervor, dass mit dem zunehmenden Zu- und Rückgriff der Konventionsstaaten auf Private – in erster Linie Telekommunikations- und Internetunternehmen – auch diese sich bewusst sein müssen, sich mit ihren Geschäftspraktiken in Mittäterschaft an Menschenrechtsverletzungen bringen zu können.[7]
20
Bereits in diesem Bericht wurde angeregt, weitere gründliche Analysen und Untersuchungen anzustrengen, um die mannigfaltigen Fragestellungen und Problemkreise des Rechts auf Privatheit (und informationeller Selbstbestimmung) im digitalen Zeitalter aufzuarbeiten und Menschenrechte effektiv zu schützen.[8] In der Folge fiel diese Anregung auf fruchtbaren Boden, denn der Menschenrechtsrat der Vereinten Nationen sieht in seiner Resolution[9] ein zunächst dreijähriges Mandat für einen Sonderberichterstatter zum „Recht auf Privatheit“ vor. Das Mandat umfasst alle Aspekte des Menschenrechts auf Privatheit, das in Art. 12 der Allgemeinen Erklärung der Menschenrechte und in Art. 17 des Internationalen Pakts über bürgerliche und politische Rechte garantiert wird. Zwischenzeitlich liegen mehrere Berichte des Sonderberichterstatters vor.[10] Der erste Bericht vom 24.2.2017 befasste sich intensiv mit der Überwachung durch staatliche Stellen. Es wird insbesondere angeregt, die internationale Zusammenarbeit zu verstärken[11] und die Öffentlichkeit umfassender zu informieren.[12] Auch wird die vielfach pauschale Gleichsetzung von mehr Überwachung mit einem Mehr an Sicherheit kritisiert.[13] Seitdem folgt jährlich ein neuer Bericht des Sonderberichterstatters.[14] In den aktuellsten Berichten aus den Jahren 2019[15] und 2020[16] liegt dabei ein besonderes Augenmerk auf der Gleichberechtigung der Geschlechter bei der Anwendung des Rechts auf Privatheit sowie auf einer Gender-Perspektive auf das Recht. Der Sonderberichterstatter beschreibt geschlechterbasierte Verstöße hierbei als systematische Form der Versagung von Menschenrechten.[17] Zur Verbesserung der Situation schlägt er unter anderem Kampagnen vor, die das öffentliche Bewusstsein hinsichtlich der Ungleichbehandlungen schärfen sollen.[18]
Richtlinien betreffend personenbezogene Daten in automatisierten Dateien, von der Generalversammlung beschlossen am 14.12.1990.
Darunter zu allererst die US-amerikanische National Security Agency (NSA) und die britische Government Communications Headquarters (GCHQ). Im und außerhalb des NSA-Untersuchungsausschusses des Bundestags tritt jedoch auch die Teilnahme des Bundesnachrichtendienstes (BND) immer deutlicher zu Tage, vgl. nur Baumgärtner/Gude/u.a., Überwachung: Neue Spionageaffäre erschüttert BND, Spiegel Online v. 23.4.2015, abrufbar unter: http://www.spiegel.de/politik/deutschland/ueberwachung-neue-spionageaffaere-erschuettert-bnd-a-1030191.html (Abruf: 12.1.2021) und Mascolo/Goetz, EU und Frankreich auf NSA-Spionageliste, Süddeutsche Zeitung v. 24.4.2015, abrufbar unter: http://www.sueddeutsche.de/politik/spionageaffaere-so-lax-gingen-bnd-und-kanzleramt-mit-der-nsa-um-1.2451318 (Abruf: 12.1.2021).
Zuvor war bekannt geworden, dass die deutsche Kanzlerin und die brasilianische Staatspräsidentin von US-amerikanischen Geheimdiensten abgehört worden waren.
A/RES/68/167 v. 18.12.2013 und A/RES/69/166 v. 18.12.2014, abrufbar unter: