Login
Werk:jurisPK-Internetrecht
Herausgeber:Heckmann
Autor:Heckmann/Scheurer
Auflage:6. Auflage 2019
Stand:07.01.2020
Quelle:juris Logo
Zitiervorschlag:Heckmann/Scheurer in: Heckmann, jurisPK-Internetrecht, 6. Aufl. 2019, Kap. 9 Zitiervorschlag
Kapitel 9
Datenschutz

Gliederung

 Rn. 1
 Rn. 1
 Rn. 1
 Rn. 1
 Rn. 4
 Rn. 6
 Rn. 9
 Rn. 9
 Rn. 9
 Rn. 14
 Rn. 21
 Rn. 26
 Rn. 27
 Rn. 32
 Rn. 36
 Rn. 39
 Rn. 42
 Rn. 47
 Rn. 47
 Rn. 52
 Rn. 58
 Rn. 58
 Rn. 60
 Rn. 63
 Rn. 65
 Rn. 66
 Rn. 66
 Rn. 66
 Rn. 69
 Rn. 71
 Rn. 71
 Rn. 72
 Rn. 77
 Rn. 77
 Rn. 83
 Rn. 85
 Rn. 88
 Rn. 96
 Rn. 96
 Rn. 96
 Rn. 102
 Rn. 103
 Rn. 164
 Rn. 166
 Rn. 171
 Rn. 174
 Rn. 175
 Rn. 178
 Rn. 182
 Rn. 183
 Rn. 189
 Rn. 192
 Rn. 196
 Rn. 199
 Rn. 200
 Rn. 202
 Rn. 202
 Rn. 205
 Rn. 209
 Rn. 216
 Rn. 218
 Rn. 221
 Rn. 221
 Rn. 225
 Rn. 229
 Rn. 229
 Rn. 231
 Rn. 246
 Rn. 252
 Rn. 254
 Rn. 255
 Rn. 257
 Rn. 258
 Rn. 259
 Rn. 259
 Rn. 262
 Rn. 262
 Rn. 266
 Rn. 280
 Rn. 280
 Rn. 283
 Rn. 286
 Rn. 294
 Rn. 296
 Rn. 300
 Rn. 300
 Rn. 306
 Rn. 307
 Rn. 309
 Rn. 310
 Rn. 318
 Rn. 323
 Rn. 328
 Rn. 335
 Rn. 339
 Rn. 344
 Rn. 345
 Rn. 349
 Rn. 352
 Rn. 352
 Rn. 355
 Rn. 360
 Rn. 360
 Rn. 366
 Rn. 373
 Rn. 378
 Rn. 387
 Rn. 395
 Rn. 396
 Rn. 406
 Rn. 410
 Rn. 410
 Rn. 419
 Rn. 420
 Rn. 423
 Rn. 426
 Rn. 431
 Rn. 442
 Rn. 442
 Rn. 450
 Rn. 455
 Rn. 468
 Rn. 468
 Rn. 503
 Rn. 513
 Rn. 513
 Rn. 518
 Rn. 524
 Rn. 524
 Rn. 524
 Rn. 528
 Rn. 528
 Rn. 529
 Rn. 535
 Rn. 540
 Rn. 542
 Rn. 542
 Rn. 552
 Rn. 557
 Rn. 570
 Rn. 577
 Rn. 580
 Rn. 584
 Rn. 585
 Rn. 589
 Rn. 597
 Rn. 601
 Rn. 607
 Rn. 610
 Rn. 610
 Rn. 613
 Rn. 615
 Rn. 615
 Rn. 619
 Rn. 623
 Rn. 623
 Rn. 625
 Rn. 627
 Rn. 629
 Rn. 633
 Rn. 640
 Rn. 640
 Rn. 647
 Rn. 650
 Rn. 653
 Rn. 654
 Rn. 659
 Rn. 659
 Rn. 659
 Rn. 661
 Rn. 661
 Rn. 661
 Rn. 663
 Rn. 665
 Rn. 669
 Rn. 671
 Rn. 672
 Rn. 673
 Rn. 675
 Rn. 676
 Rn. 677
 Rn. 679
 Rn. 680
 Rn. 681
 Rn. 683
 Rn. 683
 Rn. 691
 Rn. 692
 Rn. 693
 Rn. 693
 Rn. 696
 Rn. 702
 Rn. 712
 Rn. 715
 Rn. 715
 Rn. 720
 Rn. 722
 Rn. 724
 Rn. 726
 Rn. 733
 Rn. 737
 Rn. 742
 Rn. 747
 Rn. 750
 Rn. 753
 Rn. 757
 Rn. 761
 Rn. 766
 Rn. 766
 Rn. 767
 Rn. 779
 Rn. 786
 Rn. 787
 Rn. 789
 Rn. 792
 Rn. 795
 Rn. 795
 Rn. 797
 Rn. 798
 Rn. 798
 Rn. 801
 Rn. 803
 Rn. 805
 Rn. 806
 Rn. 811
 Rn. 813
 Rn. 821
 Rn. 821
 Rn. 826
 Rn. 827
 Rn. 846
 Rn. 847
 Rn. 857
 Rn. 866
 Rn. 866
 Rn. 866
 Rn. 872
 Rn. 878
 Rn. 885
 Rn. 889
 A. Grundlagen des Datenschutzrechts 
 I. Einführung und verfassungsrechtliche Vorgaben 
 1. Die Bedeutung des Datenschutzes 
 a. Der digitalisierte Alltag (Smart Life) 
1Die Digitalisierung des Alltags schreitet ständig voran. Sie ist mehr als die einfache Summe mehrfachen Einsatzes von Informations- und Kommunikationstechnologie. Es geht nicht nur darum, dass technische Geräte genutzt werden, Softwarelösungen einzelne Arbeitsschritte automatisieren oder notwendige Daten für nützliche Anwendungen erhoben und gespeichert werden. 
2Unter den Stichworten „Smart Grid“ (intelligente Energienetze) und „Smart Metering“ (digitale Stromzähler) zeichnen sich z.B. außerordentliche Möglichkeiten für eine effiziente Energienutzung ab. Hinzu kommen intelligente Verkehrsleitsysteme („Smart Traffic“), der intelligent vernetzte Haushalt („Smart Home Networks“) oder der automatisierte Supermarkt („Smart Shopping“). Smart Life1 ist über die technologische, ökonomische und gesellschaftliche Dimension hinausgehend deshalb eine Herausforderung in rechtlicher Hinsicht, weil eine tendenziell unbegrenzte Anzahl von Daten in unüberschaubaren Kontexten mit einer bislang nicht erfahrenen Nachhaltigkeit erhoben, gespeichert und genutzt werden. 
3Dass darunter nicht wenige vermeintlich belanglose Daten sein mögen, erscheint (zunächst) irrelevant. Bereits nach dem Diktum des Bundesverfassungsgerichts im Volkszählungsurteil2 aus dem Jahr 1983 gibt es keine (rechtlich) belanglosen Daten. Im Ergebnis wird sich Smart Life nämlich an seinen Auswirkungen auf die Gesellschaftsordnung messen lassen müssen und damit mit dem bekannten Leitsatz aus dem Volkszählungsurteil des BVerfG: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“ Von einem solchen Zustand scheint Smart Life nicht weit entfernt. Smart-Life-Anwendungen lassen sich im Hinblick auf die mit ihnen verbundene Datenverarbeitung – je nach Einzelfall – zwar auf den ersten Blick rechtfertigen: Sei es, weil die Nutzungsdaten keinen Personenbezug (mehr) haben, dass wirksam begründete Rechtsverhältnisse die Datenverarbeitung zum Geschäftsgegenstand erheben oder eine informierte Einwilligung angenommen werden kann. In manchen Fällen mag dies aber auch misslingen. Dann ist auf anderem Wege nach einem Ausgleich zwischen Geschäftsinteressen und Privatsphäre zu suchen. 
 b. Gefährdungspotentiale durch Erhebung und Verknüpfung von Profildaten 
4Smart Life bringt eine tendenziell unbegrenzte Anzahl von Daten hervor, die nachhaltig in IT-Systemen verbleiben. Anhand weniger Beispiele lässt sich verdeutlichen, dass sich IT-Innovationen die erhebliche Rechenkraft, eine enorme Speicherkapazität und eine netzwerkbedingte Streubreite von Daten3 zunutze machen. So entstehen erhebliche Profildatenmengen4 durch erhobene Schlafprofile, Gesundheitsprofile, Bewegungsprofile, Konsumgewohnheiten, Aufenthaltsdaten oder schlicht Vorlieben für bestimmte Gegenstände, Ereignisse oder Personen. Das wäre für sich noch nicht so bemerkenswert, gab es in den letzten Jahren doch bereits Datensammlungen über Kundenkartensysteme5, Kreditkartenabrechnungen u.a.m. 
5Smart Life schafft unterdessen Kontexte, die für den einfachen Nutzer schnell unüberschaubar werden können. Das sieht man an dem Beispiel einer „Schlaf-App“, deren Daten nicht zwingend im Nutzerumfeld bleiben oder unverzüglich gelöscht werden, sondern mit sozialen Netzwerken geteilt werden (können).6 Oder die Daten des Smart Meter, die nicht nur zu Abrechnungszwecken oder zum hausinternen Energiemanagement verwendet werden, sondern lukrative Informationen im Beratungsgeschäft rund um Energieeffizienz darstellen. Allenthalben dürften Daten aus smarten Technologien die Arbeit von Ermittlungsbehörden erleichtern, vorausgesetzt, ihnen ist der Zugriff auf diese Daten in rechtskonformer Weise gestattet. 
 2. Wahrnehmbarkeit und Verfügbarkeit in „Plug and Play“-Umgebungen 
6Es ist fraglich, ob sich der einzelne Nutzer smarter Applikationen über die Vielfalt der Datenverknüpfungen und der Kontextsensitivität seiner zunächst freiwillig preisgegebenen Daten im Klaren ist.7 Der Aspekt der Wahrnehmbarkeit8 ist insofern bedeutsam, weil smarten Technologien ohnehin ein gewisser Verführungsgrad9 innewohnt, der hier und da die Entstehung kritischer Distanz10 unterbindet. 
7Eine wesentliche Ursache hierfür ist das Prinzip „Plug and Play“.11 Die Entwicklung und der Einsatz von IT (insbesondere Applikationen für mobile Endgeräte, sog. Apps) müssen aus Sicht der Anbieter und der Nutzer möglichst einfach, komfortabel und weitgehend automatisiert sein. Das bringt für alle Beteiligten einen hohen Nutzen und ist zudem auch mit einem gewissen Spaß- und Kultfaktor verbunden. Die unvermeidbare Vereinfachung und Automatisierung der IT-Anwendung verführt den Nutzer, immer mehr Daten in das System einzuspeisen und innerhalb der unterschiedlichsten Anwendungen zu verknüpfen12 (was wiederum neue Funktionen freischaltet oder anderweitig nützlich oder unterhaltsam ist). 
8Im Vordergrund steht der (schnelle und vordergründige) Nutzen und weniger die „Gegenleistung“ (etwa die Preisgabe persönlicher Daten). Vor diesem Hintergrund ist auch die datenschutzrechtliche Diskussion zu eröffnen: Lässt sich die Verarbeitung personenbezogener Daten – außerhalb etwaiger gesetzlicher Ermächtigungen – in Smart-Life-Anwendungen durch Einwilligung der Nutzer rechtfertigen und wie muss diese Einwilligung im Einzelfall gestaltet werden? Der mit vielen solchen Anwendungen verbundene hohe Nutzen und Komfort technischer Innovation rechtfertigt den Auf- und Ausbau entsprechender Infrastrukturen, Netzwerke und Geschäftsmodelle nicht aus sich heraus. Er fordert aber eine technologiefreundliche Auslegung der datenschutzrechtlichen Tatbestände, will man vermeiden, dass Recht bei allem Bewahrungsinteresse legitimer Schutzgüter nicht innovationsfeindlich und anachronistisch an den Bedürfnissen der Menschen in der heutigen Zeit vorbeireguliert. 
 3. Verfassungsrechtliche Vorgaben 
 a. Die primärrechtliche Ebene – die Charta der Grundrechte der Europäischen Union 
 aa. Ausgangspunkt: die duale Zielsetzung der Datenschutz-Grundverordnung (DSGVO) 
9Die DSGVO13 verfolgt, wie auch bereits die Datenschutzrichtlinie14, eine duale Zielsetzung, vgl. Art. 1 Abs. 2 DSGVO. Die Regelungen erschöpfen sich also nicht darin, die Errichtung und Funktionsfähigkeit des europäischen Binnenmarktes zu begleiten und zu fördern. Vielmehr hat die DSGVO zudem die Aufgabe, die Grundrechte der Unionsbürger zu schützen. Der zweite Erwägungsgrund der Verordnung stellt daher auch unmissverständlich fest, dass die Verordnung „[…] zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarktes sowie zum Wohlergehen natürlicher Personen beitragen [soll]“. Zugleich folgt hieraus aber auch, dass der freie Datenverkehr seine Grenzen in den Persönlichkeitsrechten der Betroffenen finden kann.15 Die DSGVO dient damit gleichermaßen der Wahrung eines funktionstüchtigen Binnenmarktes wie auch der Wahrung der Grundrechte der Unionsbürger. 
10Damit verwirklicht die DSGVO die Aufgabe des (datenschutzrechtlichen) Grundrechtsschutzes in der Union, den der EuGH erstmals in der Sache Stauder16 und fortan in ständiger Rechtsprechung17 als „allgemeinen Grundsatz der Gemeinschaftsrechtsordnung“ bezeichnet hatte18. Dem EuGH obliegt es mithin, die Wahrung der Grundrechte als allgemeine Rechtsgrundsätze der Gemeinschaftsrechtsordnung abzusichern19, was ihn insoweit in die Stellung eines Verfassungsgerichts erhebt20. Sämtliches Gemeinschaftshandeln unterliegt daher einer Grundrechtsbindung und die Grundrechte selbst bilden den Maßstab für die Auslegung und Anwendung des Sekundärrechts der Union.21 
11Die hierbei vor dem Vertrag von Lissabon seitens des Gerichtshofes herangezogenen Rechtserkenntnisquellen zur Identifizierung und Ausformung der bestehenden Unionsgrundrechte22 finden sich nunmehr in Art. 6 Abs. 3 EUV positivrechtlich wieder. Hierzu gehören die Europäische Menschenrechtskonvention (EMRK) sowie die gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten.23 Damit stipuliert die Vorschrift deklaratorisch den Fortbestand der aus den materiellen Bezugnahmen auf die Erkenntnisquellen seitens des Gerichtshofes bisher identifizierten Grundrechte, welche künftig neben der Europäischen Grundrechtecharta (GRCh)24 als nunmehr verbindliche Rechtsquelle stehen und im Zusammenspiel den Grundrechtsschutz entwickeln und verändern können.25 
12Zudem sieht Art. 6 Abs. 2 EUV den Beitritt der EU zur EMRK vor26, etwas, das die besondere Rolle der EMRK in der grundrechtlichen Rechtsprechung des EuGH27 positivrechtlich bestätigt. Die DSGVO verwirklicht insoweit den europäischen Grundrechtsschutz sowohl in seiner subjektiv-abwehrrechtlichen als auch seiner objektivrechtlichen Dimension. Neben die negative Begrenzungsfunktion gegenüber der gemeinschaftlichen Regelungsgewalt28 tritt die objektivrechtliche Dimension29 der Unionsgrundrechte als Ausdruck der gesellschaftlichen Funktion der Grundrechte30. Darüber hinaus stellt die grundrechtliche Wesensgehaltslehre31 ein gemeinsames Substrat der grundrechtskonstituierenden Bedeutung des Unionsrechts dar32. 
13In diesem Sinne verwirklicht die DSGVO neben dem Ziel, einer Zersplitterung des Binnenmarktes durch unterschiedliche mitgliedstaatliche Schutzniveaus beim Datenschutz vorzubeugen33, gleichsam die Funktion, die notwendige Harmonisierung des Datenverkehrs in einen in Inhalt und Reichweite mit den Unionsgrundrechten in Einklang stehenden Ausgleich zu bringen. Maßgeblich sind dabei insbesondere der Schutz personenbezogener Daten gem. Art. 8 GRCh34 sowie das Recht auf Achtung des Privatlebens gem. Art. 7 der GRCh35. 
 bb. Schutz personenbezogener Daten (Art. 8 GRCh) 
14Gem. Art. 8 Abs. 1 GRCh hat jede Person das Recht auf den Schutz der sie betreffenden personenbezogenen Daten.36 Wenngleich die grundrechtliche Dimension des Datenschutzes, jedenfalls als Facette des Privatlebens im Sinne des Art. 8 EMRK, frühzeitig anerkannt wurde37, kam es mit Geltung der Grundrechtecharta zur ausdrücklichen Verankerung bereits bestehender Datenschutzgrundsätze innerhalb des Primärrechts. Ausweislich der Erläuterungen zur Charta der Grundrechte stützt sich Art. 8 GRCh auf Art. 286 EGV, jetzt Art. 16 AEUV, sowie auf die Vorgaben der Datenschutzrichtlinie.38 Im Ergebnis kam es zu einer Etablierung der bereits sekundärrechtlich konkretisierten Grundsätze des Datenschutzes im Bereich des Primärrechts.39 Zugleich ist die Etablierung eines ausdrücklichen Datenschutzgrundrechts als Reaktion der Union auf die zunehmende gesellschaftliche Relevanz und Brisanz des Datenschutzes (vgl. dazu Rn. 1 ff.) zu verstehen.40
(1) Das Verhältnis zu Art. 16 AEUV
 
15Der grundrechtliche Schutz personenbezogener Daten findet sich zudem (uneingeschränkt) in Art. 16 Abs. 1 AEUV, so dass sich die Frage stellt, welche Vorschrift vorrangig zu beachten ist. Diesbezüglich hielt der EuGH im Juli 2017 fest, dass „[…] es in beiden Bestimmungen [heißt], dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Die Voraussetzungen, unter denen solche Daten verarbeitet werden dürfen, sind aber allein in Art. 8 Charta, und zwar in dessen Abs. 2, näher geregelt.“41 Mithin ist davon auszugehen, dass bei der grundrechtlichen Beurteilung datenschutzrechtlicher Sachverhalte die Vorgaben des (einschränkbaren) Art. 8 GRCh maßgeblich sind.42
(2) Das Verhältnis zu Art. 7 GRCh
 
16Nicht abschließend geklärt ist allerdings, wie sich der Schutz personenbezogener Daten im Sinne des Art. 8 GRCh zu dem Grundrecht auf Achtung des Privatlebens gem. Art. 7 GRCh verhält.43 In der Literatur wird dabei überwiegend vertreten, dass Art. 8 GRCh lex specialis zu Art. 7 GRCh sei, da sich der Datenschutz letztlich als speziellere Ausgestaltung des Privatheitschutzes darstellt.44 Nach Auffassung des EuGH stehen die Grundrechte allerdings in einem Wechselverhältnis zueinander, welches ihre gemeinsame Anwendung und Auslegung auf einen Sachverhalt rechtfertigen kann.45 Dabei beurteilt der EuGH eine mögliche Rechtfertigung eines Eingriffs in diese Grundrechte unter anderem auch an den zu Art. 8 EMRK46 aufgestellten Grundsätzen, was zugleich die in Art. 52 Abs. 3 GRCh vorgesehene Verknüpfung von EMRK und GRCh vollzieht. Wenngleich für die Annahme der Spezialität gewichtige dogmatische Gründe sprechen, kann die jedenfalls parallele Einbeziehung des Art. 7 GRCh dazu beitragen, die Essenz des Datenschutzes – letztlich als Schutz des Betroffenen, nicht als Schutz der Daten – zu verdeutlichen.47
(3) Der Anwendungsbereich des Art. 8 GRCh
 
17Art. 8 Abs. 1 GRCh schützt grundsätzlich natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten. Ob auch juristische Personen vom Schutzbereich des Artikels umfasst sind, ist nicht abschließend geklärt. Mit Blick auf den Wortlaut, der ausdrücklich den Schutz einer „Person“ und nicht etwa eines „Menschen“ wie beispielsweise Art. 1 GRCh48 anordnet, ist es nicht abwegig, dass auch juristische Personen vom Schutzbereich umfasst sein sollen49. Gegen die umfassende Einbeziehung lässt sich allerdings die Rechtsprechung des EuGH aufführen, welcher deutlich festgestellt hat, dass „[…] sich juristische Personen […] auf den durch die Art. 7 und 8 der Charta verliehenen Schutz nur berufen [können], soweit der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt“.50 
18Sachlich schützt Art. 8 Abs. 1 GRCh das personenbezogene Datum. Zur Auslegung des Begriffs kann im Wesentlichen aufgrund des ausdrücklichen Verweises auf die Datenschutzrichtlinie in den Erläuterungen zur Charta auf die dortigen Begriffsbestimmungen zurückgegriffen werden.51 Mithin werden im Sinne des Art. 2 lit. a Datenschutzrichtlinie respektive Art. 4 Nr. 1 DSGVO alle Informationen über identifizierte beziehungsweise identifizierbare natürliche Personen geschützt (vgl. dazu ausführlich Rn. 110).52 Insbesondere kommt es auch im Anwendungsbereich der Charta nicht darauf an, ob das personenbezogene Datum sensibel ist oder ob die Verarbeitung mit Nachteilen für den Betroffenen verbunden ist.53
(4) Eingriff in das Grundrecht des Art. 8 GRCh
 
19Ein Eingriff in das Grundrecht des Art. 8 Abs. 1 GRCh liegt vor, sobald personenbezogene Daten des Grundrechtsträgers verarbeitet werden.54 Entsprechend normiert Art. 8 Abs. 2 Satz 1 GRCh, dass Daten nur nach Treu und Glauben für festgelegte Zwecke (zum Grundsatz der Zweckbindung vgl. Rn. 192 ff.) und mit Einwilligung (vgl. dazu Rn. 259 ff.) der betroffenen Person oder auf einer sonstigen gesetzlich geregelten Grundlage (vgl. dazu Rn. 309 ff.) verarbeitet werden dürfen. 
20Auch bei der Auslegung des Verarbeitungsbegriffs kann auf die sekundärrechtliche Begriffsbestimmung verwiesen werden, sodass im Ergebnis auch im Kontext der Charta ein denkbar weiter Verarbeitungsbegriff anzulegen ist.55 Der Begriff der Verarbeitung im Sinne des Art. 4 Nr. 1 DSGVO umfasst dabei jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (vgl. dazu Rn. 103 ff.). Insbesondere aber nicht abschließend56 sind das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung Verarbeitungsvorgänge im Sinne des Art. 4 Nr. 2 DSGVO und damit auch im Sinne der GRCh. 
 cc. Das Recht auf Achtung des Privatlebens (Art. 7 GRCh) 
21Neben Art. 8 GRCh kommt bei datenschutzrechtlichen Sachverhalten regelmäßig auch die Verletzung des Art. 7 GRCh in Betracht. Art. 7 GRCh schützt wie Art. 8 EMRK das Recht auf Achtung des Privat- und Familienlebens, der Wohnung sowie der Kommunikation. Für den Datenschutz sind insbesondere der Schutz des Privatlebens gem. Art. 7 Var. 1 GRCh sowie der Schutz der Kommunikation gem. Art. 7 Var. 4 GRCh von Relevanz.57
(1) Das Recht auf Achtung des Privatlebens (Art. 7 Var. 1 GRCh)
 
22Art. 7 Var. 1 GRCh normiert das Recht auf Achtung des Privatlebens. Dabei ist anerkannt, dass das Privatleben im Sinne der Norm einer weiten Auslegung zugänglich und jedenfalls mehr ist als ein „Recht, in Ruhe gelassen zu werden“.58 Der Schutz des Privatlebens dient der Persönlichkeitsentwicklung und -entfaltung des Einzelnen, indem grundrechtliche Freiräume für ein selbstbestimmtes Leben geschaffen werden (vgl. allgemein zum Schutz der Privatsphäre auch die jedenfalls vergleichbaren Ausführungen im Bereich des Grundgesetzes unter Rn. 26).59 
23Wenngleich Art. 7 GRCh damit insbesondere das Persönlichkeitsrecht des Einzelnen im Blick hat60, kommt dem Grundrecht nicht die Funktion eines allgemeinen Auffangtatbestandes zu61. Geschützt wird nicht jedwedes menschliches Verhalten, vielmehr bedarf es eines qualifizierten Persönlichkeitsbezugs.62 
24Dabei endet der Schutz des Privaten grundsätzlich nicht an der Schwelle zur Öffentlichkeit. Solange und soweit der Grundrechtsträger vernünftigerweise auch im öffentlichen Raum auf den Schutz seiner Privatheit vertrauen darf, wird diese auch dort geschützt („reasonable expectation of privacy“).63
(2) Der Schutz der Kommunikation (Art. 7 Var. 4 GRCh)
 
25Art. 7 Var. 4 GRCh schützt die zwischenmenschliche Kommunikation. Geschützt wird der Kommunikationsvorgang zwischen bestimmten, abwesenden Adressaten, nicht aber die an die Öffentlichkeit gerichtete Kommunikation.64 Dabei hat Art. 7 Var. 4 GRCh insbesondere die Gefahren moderner Kommunikationsmittel im Blick, die der Einzelne kaum mehr beherrschen kann.65 Dementsprechend ist der Begriff der Kommunikation entwicklungsoffen und technologieneutral zu interpretieren, um ein hinreichendes Schutzniveau trotz steter technischer Entwicklungen gewährleisten zu können.66 
 b. Die nationale Ebene – die Vorgaben des Grundgesetzes 
26Anders als innerhalb der Vorgaben des europäischen Primärrechts wurzelt der verfassungsrechtliche Datenschutz in Deutschland nicht in einem originären Datenschutzgrundrecht. Die wesentliche grundgesetzliche Verankerung findet sich im Grundrecht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.67 Daneben gibt es weitere Grundrechte, die einen Schutz der Privatsphäre intendieren (wie die Kommunikationsfreiheiten des Art. 10 GG oder das Grundrecht auf Unverletzlichkeit der Wohnung, Art. 13 GG), welche zumindest mittelbar eine Schutzwirkung erzielen, die dem Anliegen des Datenschutzrechts zugutekommt. Ein explizites „Grundrecht auf Datenschutz“ wie auf europäischer Ebene gibt es auf Bundesebene nicht. 
 aa. Grundrecht auf informationelle Selbstbestimmung 
27Das Bundesverfassungsgericht hat in seinem sog. Volkszählungsurteil vom 15.12.198368 die wesentlichen Verfassungsgrundsätze entwickelt, die bis heute dem deutschen Verfassungsverständnis des Schutzes personenbezogener Daten zugrunde liegen. Weitere Entscheidungen des Bundesverfassungsgerichts haben diese Grundsätze marginal ergänzt und konkretisiert. In seinem Kern hat das Volkszählungsurteil – was aufgrund der rasanten technischen Weiterentwicklung und expliziten Entstehung signifikanter neuer Gefährdungslagen durchaus kritisch gesehen werden kann69 – bis heute Bestand. Daran ändert die Ergänzung des Grundrechts auf informationelle Selbstbestimmung durch ein „Schwestergrundrecht“, nämlich als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme70, nichts. 
28Das Grundrecht auf informationelle Selbstbestimmung wird als Ausprägung des allgemeinen Persönlichkeitsrechts auf Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG71 gestützt. Danach gehört zur freien Entfaltung der Persönlichkeit auch das Recht des Einzelnen, selbst darüber zu bestimmen, wer was wann von ihm weiß.72 Geschützt ist damit die Verfügungsbefugnis des Einzelnen hinsichtlich seiner Daten73, die sich kraft des Gesetzesvorbehalts dieser Grundrechtsgewährleistung nur dadurch einschränken lässt, dass entweder der Gesetzgeber die Datenverarbeitung durch Dritte erlaubt oder der Einzelne als Betroffener in den Datenzugriff einwilligt. Dass auch dies nur innerhalb einer hinreichend bestimmten und verhältnismäßigen Eingriffsermächtigung geschehen darf, versteht sich von selbst. 
29Die Bezugnahme auf das allgemeine Persönlichkeitsrecht verdeutlicht zugleich, dass die informationelle Selbstbestimmung nur personenbezogene Daten (ausführlich zum Rechtsbegriff des personenbezogenen Datums unter Rn. 103 ff.) erfasst. Das erklärt auch, dass sich die Datenschutzgesetze als Regelwerke zum Persönlichkeitsschutz verstehen. Ein umfassender Informationsschutz wird damit genauso wenig gewährleistet wie eine dezidierte Datensicherheit. 
30Bedenkt man, dass heutige Gefährdungspotenziale im Rahmen komplexer und verletzlicher Datenverarbeitungssysteme keineswegs zwischen Personenbezug und Sachbezug unterscheiden, erscheint der verfassungsrechtlich intendierte persönlichkeitsspezifische Datenschutz defizitär. Bereits 2009 wurde die Entwicklung eines zeitgemäßen, sachadäquaten IT-Sicherheitsrechts gefordert.74 Zwischenzeitlich, am 25.07.2015, ist das IT-Sicherheitsgesetz in Kraft getreten.75 Es sieht als zentrale Regelungsinhalte zur Verbesserung der IT-Sicherheit IT-Mindestsicherheitsstandards und Meldepflichten bei IT-Sicherheitsvorfällen für Betreiber Kritischer Infrastrukturen und Telekommunikationsanbieter vor.76 Es bedarf hier jedoch weiterer gesetzgeberischer Weichenstellungen77, insbesondere zum Schutz der Privatanwender78 oder auch auf dem Gebiet von „Security by Design“79. 
31Umgekehrt ist aber auch eine überschießende Tendenz des geltenden Datenschutzrechts zu konstatieren. Das bis heute praktisch unbestrittene Diktum des Bundesverfassungsgerichts, es gebe (vor dem Hintergrund des Grundrechtsschutzes der informationellen Selbstbestimmung) „keine belanglosen Daten“80, führt bei einer den gesamten Tagesablauf abbildenden Datenverarbeitung durch smarte Applikationen81 zu kontraproduktiven Verwerfungen: Besteht nämlich die Notwendigkeit einer permanenten Rechtfertigung von Schutzbereichsverletzungen durch gesetzliche Erlaubnis oder persönliche Einwilligung, führt solch ein unmotivierter Grundrechtsschutz entweder zu unpraktikabler Technikgestaltung oder zu einem stumpfen Schwert. Ohne die nicht unproblematische Sphärentheorie82 reaktivieren zu wollen, bedarf es auch insoweit einer Anpassung des Datenschutzrechts an die Bedingungen und Befindlichkeiten des Internetzeitalters. Das Grundrecht auf informationelle Selbstbestimmung lässt hierfür den notwendigen Spielraum. 
 bb. Schutz der Privatsphäre 
32Die verfassungsrechtliche Verankerung des „Datenschutzes“ erschöpft sich nicht in dem Grundrecht auf informationelle Selbstbestimmung. Bezweckt Datenschutz nämlich den Schutz bzw. die selbstbestimmte Preisgabe personenbezogener Daten, dann geht es um Persönlichkeitsschutz und zugleich um den Schutz der Privatsphäre. Privatheit bedeutet die Möglichkeit zur Schaffung von Nähe und setzt damit die Möglichkeit zur Schaffung von Distanz voraus.83 Die meisten Gefährdungen des Datenschutzes sind zugleich Beeinträchtigungen der Privatsphäre. Gerade im Internetzeitalter, in dem sich ein großer Teil des täglichen Lebens im „virtuellen Raum“ im Rahmen digitalisierter Informationsbeziehungen abspielt, kann sich Privatheit nur noch dadurch entfalten, dass die Kenntnis bestimmter Informationen auf einen Personenkreis beschränkt bleibt, zu dem sich der Betroffene in einer vertraulichen Beziehung befindet.84 
33Vor diesem Hintergrund zählen auch solche Grundrechte zu den verfassungsrechtlichen Säulen des Datenschutzes, die in irgendeiner Weise den Einzelnen zur Schaffung von Nähe bzw. Distanz befähigen.85 In räumlicher Hinsicht ist dies das Grundrecht auf Gewährleistung der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG)86, ermöglicht dieses Grundrecht doch den Rückzug in ein Refugium und bietet die Dispositionsbefugnis zum Einlass Dritter zugleich die Selbstbestimmung darüber, wer wann welche Informationen aus dem Aufenthalt in diesem privaten Bereich empfangen darf. In funktionaler Hinsicht sind aber auch die Kommunikationsfreiheiten in Art. 5 Abs. 1 und 10 Abs. 1 GG zu nennen. Internetspezifisch ist hier die Möglichkeit der Erzeugung von „user generated content“, dessen Zuordnung in eine Privatsphäre oder in die soziale Sphäre der öffentlichen Nutzung sozialer Medien zuweilen schwerfällt. 
34Die vorstehenden Erwägungen wurden daher auch in die hinsichtlich des Datenschutzrechts geführte Reformdiskussion eingebracht. Schneider vertritt etwa die Auffassung, dass eine Orientierung des Datenschutzrechts am personenbezogenen Datum nicht mehr zeitgemäß sei.87 Er bezeichnete die Regelungen des BDSG a.F. und TMG als „Behelfskonstruktionen des Datenschutzes“ und forderte eine Neuausrichtung der Normen anhand des materiellen Schutzguts „Privacy“.88 Dies könne im Ergebnis eine Abtrennung der BDSG-Regelungen des Datenschutzes hinsichtlich des nicht-öffentlichen Bereichs vom öffentlichen Bereich erforderlich machen.89 Im Rahmen einer Neuregelung des Datenschutzes für den öffentlichen Bereich könnte man dann die unterschiedlichen Grundrechte, die das Recht auf Privatheit prägen, angemessen berücksichtigen.90 
35Die Datenschutzbestimmungen kommen aber auch nach Geltung der DSGVO weiterhin nur dann zur Anwendung, wenn sich ein Personenbezug herstellen lässt, Art. 2 Abs. 1 DSGVO (vgl. dazu Rn. 102 ff.). Schneider konnte sich mit seinen Vorschlägen daher letztlich nicht durchsetzen. 
 cc. Grundrecht auf Datenschutz auf nationaler Ebene? 
36Nicht zuletzt infolge zahlreicher „Datenpannen“ und „Datenskandalen“ seit dem Jahr 2008 ist die Diskussion um ein dezidiertes „Grundrecht auf Datenschutz“ (auf Bundesebene) entbrannt.91 Dies wird vielfach als bloße „Symbolpolitik“ abgetan. Die Befürworter sehen demgegenüber die Notwendigkeit, die Konturen für einen wirksamen und den modernen Herausforderungen gerecht werdenden Datenschutz zu schärfen und dabei dem Anliegen des Persönlichkeitsschutzes als Abwehrrecht gegenüber zunehmenden Datenzugriffen, Datenhandel und sorgloser Datenverarbeitung stärker Rechnung zu tragen.92 
37Dem lässt sich entgegenhalten, dass sich die Abgrenzung gegensätzlicher Interessen im Kontext von Datenverarbeitung und Datennutzung auch auf der Grundlage bestehender Grundrechtsgewährleistungen vornehmen lässt. Dies gilt sowohl für die Kommunikationsfreiheiten nach Art. 5 Abs. 1 GG als auch gegenüber gewerblichen Interessen nach Art. 12 Abs. 1 und Art. 14 Abs. 1 GG. Dies setzt allerdings voraus, dass das Grundrecht auf informationelle Selbstbestimmung zeitgemäß ausgelegt wird. 
38Dessen ungeachtet finden sich auf Landesebene in den meisten Bundesländern Grundrechte, die „den Datenschutz“ explizit adressieren.93 Die praktische Bedeutung solcher Landesgrundrechte ist – nicht zuletzt auch wegen Art. 142 GG – allerdings eher untergeordnet.94 Weil die Bundesländer das Mindestniveau bundesverfassungsrechtlicher Grundrechtsgewährleistungen nicht unterschreiten dürfen, darf ein Landesgrundrecht „auf Datenschutz“ die Grundrechte Daten verarbeitender Stellen (Art. 5, 12, 14 GG) ebenso wenig einschränken als dies auf der Grundlage des Grundrechts auf informationelle Selbstbestimmung zulässig wäre. Hier zeigt sich, dass sich die Geltung und Reichweite von Grundrechten bei Grundrechtskollisionen doch weitgehend nach dem anpassungsfähigen (Meta-)Grundsatz der Verhältnismäßigkeit bemisst. 
 dd. Grundrecht auf Anonymität im Internet? 
39Im Rahmen der Erörterung der verfassungsrechtlichen Grundlagen des Datenschutzes ist auch auf das Grundrecht auf Anonymität der Internetnutzung95 hinzuweisen, das insbesondere mittels Initiativen des Gesetzgebers auf dem Gebiet der Vorratsdatenspeicherung ausgehebelt werden könnte. Die anlasslose Vorratsdatenspeicherung soll im Bedarfsfall zu nichts anderem als der Identifizierung derjenigen durch staatliche Stellen führen, deren Daten seitens privater Stellen erhoben und gespeichert wurden.96 Hierbei darf allerdings nicht unberücksichtigt bleiben, dass die Verfolgung von Sicherheitsinteressen nicht zur Aushebelung eines effektiven Grundrechtsschutzes führen darf. Das OLG Hamm betont etwa:
„Die für das Internet typische anonyme Nutzung entspricht zudem auch der grundrechtlichen Interessenlage, da eine Beschränkung der Meinungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugerechnet werden, mit Art. 5 Abs. 1 Satz 1 GG nicht vereinbar ist. Die Verpflichtung, sich namentlich zu einer bestimmten Meinung zu bekennen, würde allgemein die Gefahr begründen, dass der Einzelne aus Furcht vor Repressalien oder sonstigen negativen Auswirkungen sich dahingehend entscheidet, seine Meinung nicht zu äußern. Dieser Gefahr der Selbstzensur soll durch das Grundrecht auf freie Meinungsäußerung entgegengewirkt werden.“97
 
40Die anonyme Internetnutzung ist folglich „eine nicht rechtfertigungsbedürftige Leitperspektive der europäischen Gesellschaft“.98 
41Die im Kontext der Beschränkung anonymer Entfaltungsmöglichkeiten im Internet anzustellende Güterabwägung muss angesichts der Bedeutung des Grundrechts auf Anonymität für den Einzelnen und des Gemeinwohls dazu führen, dass eine anonyme Internetnutzung grundsätzlich zugelassen werden muss. Es ist daher bspw. erforderlich, Alternativen zur anlasslosen Vorratsdatenspeicherung in Betracht zu ziehen. Eine Abkehr von der Vorratsdatenspeicherung muss dabei keineswegs bedeuten, dass die Folgen einer dann zulässigen Anonymität im Internet als „Kollateralschäden“ einfach hingenommen werden müssen.99 Als alternatives Konzept ist bspw. ein Anonymitätsfolgenausgleich möglich, mit dem der Gesetzgeber seinem Schutzauftrag insoweit gerecht werden könnte, als eine Kompensation für die in Kauf genommene Anonymität und die mit ihr einhergehenden Risiken geschaffen würde.100 Mittels eines solchen Anonymitätsfolgenausgleichs könnte der Gedanke von Fairness, Rücksichtnahme und Verantwortung durch konzertierte Aktionen – nicht zuletzt in den Schulen und im Internet – gestärkt werden. Erforderlich sind zudem die Vermittlung von adäquaten Hilfsangeboten, eine Stärkung des Selbstschutzes (auch und besonders in Form von „Medienkompetenz“), eine Stärkung der Wächterfunktion der (Internet-)Gesellschaft (besonders durch Solidarisierung mit den Opfern), gezielte Hilfsangebote durch Erweiterung und Übertragung der Mittel des klassischen Opferschutzes sowie Hilfe durch korrigierendes Verhalten der Provider. Schließlich könnte die Entwicklung vertrauenswürdiger Umgebungen im Internet und die Schaffung von Ombudsleuten bei kritischen Internet-Diensten Risiken reduzieren.101 
 c. Die Anwendbarkeit der nationalen Grundrechte neben den primärrechtlichen Vorgaben 
42Ob auch mit Geltung der DSGVO Raum für die nationalen Grundrechte im Kontext des Datenschutzes verbleibt, ist fraglich. Ausgangspunkt für die Frage der Anwendbarkeit der Grundrechte der Charta bildet dabei Art. 51 Abs. 1 Satz 1 GRCh. Diesem zufolge gilt die Charta für die Organe, Einrichtungen und sonstigen Stellen der Union unter Wahrung des Subsidiaritätsprinzips sowie für die Mitgliedstaaten, wenn diese das Recht der Union durchführen.102 Auf Grundlage einer extensiven Interpretation des Tatbestandes folgert der EuGH daraus, dass „[…]die in der Unionrechtsordnung garantierten Grundrechte in allen unionsrechtlich geregelten Fallgestaltungen, aber nicht außerhalb derselben Anwendung finden“.103 Mithin sollen nach der Überzeugung des EuGH die Grundrechte der Charta zur Anwendung gelangen, wenn die mitgliedstaatliche Tätigkeit im Zusammenhang mit dem Unionsrecht steht.104 
43Das BVerfG hingegen beschränkt die Anwendbarkeit der Charta auf solche Fälle, in denen die maßgeblichen Vorschriften durch das Unionsrecht determiniert sind.105 Insbesondere darf nach der Überzeugung des BVerfG die Rechtsprechung des EuGH nicht dergestalt missverstanden werden, dass für eine Bindung der Mitgliedstaaten an die Vorgaben der Charta „jeder sachliche Bezug einer Regelung zum bloß abstrakten Anwendungsbereich des Unionsrechts oder rein tatsächliche Auswirkungen auf dieses ausreiche“.106 
44Auch unter Berücksichtigung der Rechtsprechung des BVerfG lässt sich im Kontext der DSGVO festhalten, dass jedenfalls jene Bereiche, welche ausschließlich und abschließend durch die DSGVO reguliert sind, allein dem Grundrechtsregime der Charta unterfallen.107 
45Ob allerdings nationale Konkretisierungen der DSGVO auf Grundlage der Spezifizierungsklauseln108 als Durchführung des Unionsrechts zu werten sind, kann zumindest kritisch gesehen werden. Vertreten wird dabei, dass die nationalen Grundrechte jedenfalls dann zur Anwendung gelangen, wenn der nationale Gesetzgeber auf Grundlage einer Spezifizierungsmöglichkeit der DSGVO nationale Datenschutzbestimmungen erlässt.109 Soweit das BDSG respektive bereichsspezifisches nationales Datenschutzrecht zur Anwendung gelangt, sollen dementsprechend die Bestimmungen des Grundgesetzes das maßgebliche Grundrechtsregime darstellen.110 
46Dem kann allerdings entgegengehalten werden, dass die DSGVO, auch unter Berücksichtigung nationaler Konkretisierungsmöglichkeiten, die umfassende (mithin auch grundrechtliche) Vereinheitlichung des Datenschutzrechts auf europäischer Ebene bewirken soll.111 Ziel der Verordnung ist insbesondere „ein gleichmäßiges und hohes Datenschutzniveau“112 sowie „ein unionsweiter wirksamer Schutz personenbezogener Daten“113 auf Grundlage einer diesbezüglich erforderlichen Verordnung114. Wenngleich den Mitgliedstaaten ein „Spielraum für die Spezifizierung ihrer Vorschriften“115 eingeräumt wird, darf dieser nicht dazu genutzt werden, die intendierte Vereinheitlichung des Datenschutzrechts durch die DSGVO zu untergraben. Mit Blick auf die damit verbundene deutliche Reduktion des mitgliedstaatlichen Ermessens spricht daher vieles dafür, dass auch im Bereich nationaler Konkretisierungen des Datenschutzrechts die Mitgliedstaaten dergestalt determiniert sind, dass die Grundrechte der Charta zum Zuge kommen.116 Unter Berücksichtigung, dass der datenschutzrechtliche Grundrechtsgehalt beider Regelungsinstitute aber jedenfalls vergleichbar ist,117 ist damit allerdings keinesfalls eine Absenkung des Schutzniveaus verbunden. 
 II. Die sekundär- und einfachrechtlichen Bestimmungen des Datenschutzrechts 
 1. Die Richtlinie 95/46/EG – die Datenschutzrichtlinie der EU 
47Die Datenschutzrichtlinie, deren Ziele und Grundsätze auch nach Geltung der DSGVO Gültigkeit behalten118, sollte insbesondere zur Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie der Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten beitragen119. 
48Gestützt auf den damaligen Art. 100a EGV wurde die Datenschutzrichtlinie am 24.10.1995 durch den Ministerrat und das Europäische Parlament verabschiedet. Das europäische Recht hat mithin auf zwei Entwicklungen gleichermaßen reagiert, die für sich genommen wie auch in Kombination die Notwendigkeit einheitlicher Regelungen im Datenschutz erkennen lassen: die mit der informationstechnologischen Durchdringung weiter Teile des gesellschaftlichen und wirtschaftlichen Lebens einhergehende stetig wachsende Zahl an Datenerhebungs-, Speicherungs- und Übermittlungsvorgängen einerseits und die aus der europäischen Integration folgende Zunahme an grenzüberschreitenden Datenverarbeitungsvorgängen andererseits. Es ist demnach gemäß Erwägungsgrund 8 der Datenschutzrichtlinie „[…] ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich […]“, um „[…] Hemmnisse für den Verkehr personenbezogener Daten zu beseitigen […]“. 
49Betreffend die Umsetzung überließ es die Datenschutzrichtlinie dem jeweiligen mitgliedstaatlichen Gesetzgeber, ob die hierin getroffenen Regelungen im Wege eines allgemeinen Datenschutzes oder auch durch bereichsspezifische Regelungen ausgestaltet werden sollten. Erwägungsgrund 23 der Richtlinie führt hierzu aus, dass die Mitgliedstaaten „[…] den Schutz von Personen sowohl durch ein allgemeines Gesetz zum Schutz von Personen bei der Verarbeitung personenbezogener Daten als auch durch gesetzliche Regelungen für bestimmte Bereiche […]“ sicherstellen können. Dies bedeutet aber zugleich auch, dass das deutsche bereichsspezifische Datenschutzrecht stets auf seine Vereinbarkeit mit der Datenschutzrichtlinie überprüft werden musste.120 Nach der Überzeugung des EuGH waren dabei allerdings bereits die Vorgaben der Datenschutzrichtlinie als vollharmonisierend anzusehen.121 
50Zur Umsetzung und Auslegung sowie möglicher Änderungen oder Ergänzungen wurde zudem gem. Art. 29 der Datenschutzrichtlinie die sog. Artikel-29-Datenschutzgruppe eingerichtet. Die Datenschutzgruppe stellt ein beratendes Gremium dar, das sich aus je einem Vertreter der Datenschutzbehörden der Mitgliedstaaten, dem europäischen Datenschutzbeauftragten sowie einem nicht stimmberechtigten Vertreter der Kommission zusammensetzt. Die Aufgaben der Gruppe werden in Art. 30 der Datenschutzrichtlinie benannt und umfassen unter anderem die Beratung der Kommission bei Änderungsvorlagen zur Richtlinie, sowie sonstigen Entwürfen betreffend zusätzliche Maßnahmen des Datenschutzes in der Gemeinschaft und alle sonstigen Gemeinschaftsentwürfe, welche die vom Datenschutz betroffenen Freiheiten betreffen (vgl. Art. 30 Abs. 1 lit. c Datenschutzrichtlinie).122 
51Mit Geltung der DSGVO übernimmt der Europäische Datenschutzausschuss (EDSA) gem. Art. 68 ff. DSGVO die Funktionen der Artikel-29-Datenschutzgruppe.123 Der Ausschuss mit Sitz in Brüssel setzt sich aus den Leitern der nationalen Datenschutzbehörden sowie dem Europäischen Datenschutzbeauftragten zusammen und handelt im Rahmen seiner Aufgaben und Befugnisse gem. Art. 69 Abs. 1 DSGVO unabhängig.124 Die Handlungsmöglichkeiten des Ausschusses beschränken sich dabei nicht mehr nur noch auf beratende Tätigkeiten. Vielmehr sieht Art. 70 DSGVO einen umfassenden Aufgaben- und Kompetenzkatalog vor, anhand dessen der Ausschuss die einheitliche Anwendung der Verordnung sicherstellen soll, Art. 70 Abs. 1 Satz 1 DSGVO.125 
 2. Die Europäische Vereinheitlichung des Datenschutzrechts – die DSGVO 
52Wie viele andere Bereiche des nationalen Rechts ist auch das Datenschutzrecht der Mitgliedstaaten der Europäischen Union wesentlich von europarechtlichen Vorgaben geprägt. Die Datenschutzrichtlinie, welche gem. Art. 99 Abs. 2 DSGVO noch bis zum 24.05.2018 Geltung hatte, sowie die Datenschutzrichtlinie für elektronische Kommunikation126 (RL 2002/58/EG) sollten den Rechtsrahmen für die Gewährleistung eines funktionierenden Binnenmarktes im Rahmen des innergemeinschaftlichen Datenverkehrs bei gleichzeitigem Schutz der Grundrechte der Unionsbürger bilden. Allerdings bestand insbesondere mit Blick auf die schon im Jahre 1995 verabschiedete allgemeine Datenschutzrichtlinie ein erheblicher Modernisierungsbedarf, um den zunehmenden und unaufhörlichen Veränderungen in der Informationstechnologie und damit in Art, Umfang und Zielrichtung der Datenverarbeitung genügen zu können.127 
53Zu diesem Zweck hat die Europäische Kommission ein „Gesamtkonzept für den Datenschutz in der Europäischen Union“128 entworfen. Das europäische Parlament hat den Bericht zum Gesamtkonzept am 04.07.2011 in erster Lesung angenommen. Insbesondere war zunächst eine Neukonzeption der allgemeinen Datenschutzrichtlinie sowie des Rahmenbeschlusses zur Datenverarbeitung bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen129 geplant. Das insoweit maßgebliche Gesamtkonzept sah die Beherrschung der Auswirkungen neuer Technologien als wesentlich für den gemeinschaftsrechtlichen Datenschutz an. Es ginge darum, sicherzustellen, dass personenbezogene Daten unabhängig von der jeweiligen Verarbeitungstechnologie wirksam geschützt würden und dass sich die Verarbeitungsverantwortlichen über die Auswirkungen neuer Technologien vollumfänglich bewusst wären.130 Diese und andere Herausforderungen würden seitens der EU ein umfassendes und kohärentes Konzept verlangen, das die „lückenlose Einhaltung des Grundrechts des Einzelnen auf Schutz seiner Daten in der EU und anderswo garantiert“131. In diesem Zusammenhang weist der Bericht auch auf die neue Regelung des Art. 16 AEUV132 hin, welche in Absatz 1 das Recht des Einzelnen auf Schutz der personenbezogenen Daten kodifiziert hat (vgl. zum Verhältnis zu Art. 8 GRCh Rn. 15 ff.). Art. 16 Abs. 2 AEUV statuiert, dass Parlament und Rat insoweit im ordentlichen Gesetzgebungsverfahren entsprechende Vorschriften erlassen können. Der Bericht geht davon aus, dass, gestützt auf die neue Rechtsgrundlage, der EU-Datenschutz einheitlich geregelt werden kann, einschließlich der Bereiche der polizeilichen und justiziellen Zusammenarbeit in Strafsachen.133 Im Rahmen der Reform sollten zudem die Rechte des Einzelnen gestärkt werden, bspw. durch mehr Transparenz für die von Datenverarbeitungen betroffenen Personen134, Stärkung des Prinzips der Datensparsamkeit und einer Präzisierung des „Rechts auf Vergessen“135, was insbesondere auch im Internet von erheblicher Bedeutung ist136. Das Gesamtkonzept sah daneben eine Reihe weiterer Maßnahmen und Änderungen vor, die im Gesetzgebungsverfahren auf den Weg gebracht werden sollten. 
54Im Jahr 2012 waren die datenschutzrechtlichen Reformbestrebungen auf europäischer Ebene bereits deutlich vorangeschritten. Mit der Veröffentlichung zweier Entwürfe durch die EU-Kommission am 25.01.2012, dem einer Datenschutz-Grundverordnung137 sowie einer Richtlinie für polizeiliche und justizielle Datenverarbeitung in Europa138, kündigte sich eine bedeutsame Verlagerung des materiellen Datenschutzes hin zum europäischen Gesetzgeber an. 
55Zu den Reformüberlegungen hatte zwischenzeitlich der Berichterstatter des zuständigen EU-Parlamentsausschusses für Bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (sog. LIBE-Ausschuss), Jan Phillip Albrecht, Stellung genommen.139 Eine diesbezügliche Aussprache und Debatte fand am 10.01.2013 statt.140 Am 21.10.2013 wurde eine Kompromissfassung im LIBE-Ausschuss mit einer überwältigenden Mehrheit von 95% angenommen und die Aufnahme von Verhandlungen mit dem Rat der Europäischen Union gem. Art. 70 GO beschlossen.141 
56Zwar hatte das Plenum des Europäischen Parlaments bereits am 12.03.2014 dem Kompromissentwurf der Datenschutzreform zugestimmt; allerdings fanden die parallel stattfindenden Beratungen im Rat der Europäischen Union in Form des Rats der Innen- und Justizminister erst mit der allgemeinen Ausrichtung des Rats vom 15.06.2015 ihren Abschluss.142 Der sich anschließende und mit Hochdruck geführte Trilog zwischen Parlament, Rat und Kommission endete am 15.12.2015 mit einem Gesamtkompromiss bestehend aus der Datenschutz-Grundverordnung und der Richtlinie für polizeiliche und justizielle Datenverarbeitung in Europa.143 
57Die DSGVO und die bezeichnete Richtlinie für polizeiliche und justizielle Datenverarbeitung in Europa, RL (EU) 2016/680, konnten daher zeitgleich am 14.04.2016 durch das EU-Parlament beschlossen und am 04.05.2016 im Amtsblatt der Europäischen veröffentlicht werden.144 In Kraft getreten ist die Datenschutz-Grundverordnung am 24.05.2016; sie gilt jedoch gemäß Art. 99 Abs. 2 DSGVO erst nach einer Übergangszeit von zwei Jahren, seit dem 25.05.2018. Auch bei der Richtlinie gilt gemäß Art. 63 Abs. 1 RL (EU) 2016/680 eine Umsetzungsfrist von zwei Jahren. 
 3. Weitere Rechtsquellen europäischen Ursprungs zum Datenschutzrecht 
 a. Die Richtlinie (EU) 2016/680 zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (JI-RL) 
58Die JI-RL145 enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (also die Bereiche Polizei und Justiz), Art. 1 Abs. 1 JI-RL. Sie dient dem Schutz der natürlichen Personen, insbesondere im Hinblick auf deren informationelle Selbstbestimmung in diesem Bereich, Art. 1 Abs. 2 lit. a JI-RL. Andererseits soll unter dem statuierten Datenschutzniveau der freie Verkehr personenbezogener Daten zwischen diesen Behörden zu den genannten Zwecken innerhalb der Union und die Übermittlung solcher personenbezogenen Daten an Drittländer und internationale Organisationen erleichtert werden, Art. 1 Abs. 2 lit. b JI-RL.146 
59Die Umsetzung der Richtlinienvorgaben in nationales Recht erfolgte insbesondere durch das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)147. Die Richtlinienbestimmungen finden sich dabei insbesondere innerhalb des dritten Teils des neugefassten Bundesdatenschutzgesetzes (BDSG) wider (vgl. dazu Rn. 885 ff.).148 
 b. Die VO (EG) 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr 
60Für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Europäischen Union gibt die VO (EG) 45/2001 entsprechende Erlaubnistatbestände vor. 
61Gemäß Art. 5 der Verordnung ist die Verarbeitung dann zulässig, wenn dies für die Wahrnehmung einer Aufgabe erforderlich ist, die aufgrund der Verträge zur Gründung der Europäischen Gemeinschaften oder anderer aufgrund dieser Verträge erlassener Rechtsakte im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die dem Organ oder der Einrichtung der Gemeinschaft oder einem Dritten, dem die Daten übermittelt werden, übertragen wurde. 
62Ist die Datenverarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, erforderlich, so ist sie ebenfalls zulässig. Auch stellen die Einwilligung und die Wahrung lebenswichtiger Interessen der betroffenen Person hiernach geeignete Rechtsgrundlagen für eine Verarbeitung dar. 
 c. Die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (E-Privacy-RL) 
63Neben der Datenschutzrichtlinie (vgl. dazu Rn. 48 ff.) wurde durch die Europäische Union im Jahre 2002 zusätzlich noch eine Datenschutzrichtlinie für elektronische Kommunikation149 verabschiedet. Hierbei handelt es sich um eine bereichsspezifische Richtlinienregelung, welche die Bestimmungen der Datenschutzrichtlinie auf den Bereich der elektronischen Kommunikation überträgt und falls nötig ergänzt. 
64Die Datenschutzrichtlinie für elektronische Kommunikation bleibt auch unter der Datenschutzgrund-Verordnung vorerst bestehen, vgl. Art. 95 DSGVO. Mithin kommen die Vorgaben der Richtlinie beziehungsweise deren nationale Umsetzungsakte bis zur Geltung der bislang noch im Gesetzgebungsverfahren befindlichen e-Privacy-VO zur Anwendung.150 Dies gilt allerdings nur für solche Vorschriften, welche tatsächlich einen Umsetzungsakt der Richtlinie darstellen. In der Konsequenz können beispielsweise die datenschutzrechtlichen Vorgaben des vierten Abschnitts des TMG keine Fortgeltung beanspruchen.151 Allem voran können daher nach Überzeugung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder insbesondere die Vorgaben der §§ 12, 13 sowie 15 TMG mit Geltung der DSGVO nicht mehr herangezogen werden.152 
64.1Im Rahmen der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019 (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, abrufbar unter www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf, zuletzt abgerufen am 06.05.2019) bekräftigt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nochmals, dass die Vorgaben der §§ 12, 15 Abs. 1, Abs. 3 TMG durch die Bestimmungen der DSGVO verdrängt werden (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 2 ff.).
Aktualisierung vom 06.05.2019
!
 d. Der Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre in der elektronischen Kommunikation – ePVO) 
65Am 10.01.2017 hat die EU-Kommission den offiziellen Entwurf für eine künftige e-Privacy-Verordnung (ePVO)153 veröffentlicht, welche sowohl die vorab beschriebene E-Privacy-RL als auch die sogenannte „Cookie-Richtlinie“ (RL 2009/136/EG) ablösen und harmonisieren soll. Das Ziel der zeitgleichen Geltungserlangung mit den Vorgaben der DSGVO konnte allerdings nicht erreicht werden. Zwischenzeitlich wird sogar davon ausgegangen, dass die ePVO nicht vor dem Jahr 2020 Geltung erlangen wird.154 Zu den Vorgaben sowie zum aktuellen Stand des Gesetzgebungsverfahrens der ePVO unter Rn. 623 ff. 
 4. Nationale Bestimmungen zum Datenschutzrecht 
 a. Das Verhältnis zwischen europäischer Verordnung und nationalem Recht 
 aa. Der Anwendungsvorrang der DSGVO 
66Die DSGVO wurde in der Rechtsform einer europäischen Verordnung nach Art. 288 Abs. 2 AEUV erlassen. Demnach besitzt sie allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Einer zusätzlichen nationalen Umsetzung bedarf es nicht, die DSGVO leitet einen unmittelbaren Geltungsanspruch aus dem Unionsrecht ab.155 
67Der Rechtscharakter der DSGVO wird bisweilen in Frage gestellt, zum Teil wird diese wegen der zahlreichen Spezifizierungsklauseln (dazu Rn. 71) als Hybrid zwischen Verordnung und Richtlinie eingeordnet.156 Da die Intention des Unionsgesetzgebers zum Erlass einer Verordnung allerdings bereits unverkennbar aus dem Verordnungstext hervorgeht157, ist die Bezeichnung als „hinkende Verordnung“158 treffender159. Dafür spricht neben dem gesetzgeberischen Willen insbesondere der Umstand, dass die teils bestehenden Konkretisierungsmöglichkeiten keinen Einfluss auf die unmittelbare Anwendbarkeit beziehungsweise Geltung der Vorgaben der DSGVO im Übrigen haben.160 
68Die Normierungen der Verordnung gehen dem nationalen Recht im Sinne eines Anwendungsvorrangs, nicht etwa eines Geltungsvorrangs, vor.161 Das hat zur Folge, dass nationales Recht im Kollisionsfall, also dann, wenn Unionsrecht und nationales Recht einander widersprechen, verdrängt und damit unanwendbar wird.162 Folglich gilt die DSGVO unmittelbar in jedem Mitgliedstaat und verdrängt, soweit ihr Anwendungsbereich reicht, entgegenstehendes nationales Recht. 
 bb. Möglichkeit zur Konkretisierung durch die Mitgliedstaaten aufgrund der Spezifizierungsklauseln der DSGVO 
69Die DSGVO enthält zahlreiche Spezifizierungsklauseln. Dabei handelt es sich um Regelungen, die den Mitgliedstaaten erlauben, nationale Bestimmungen innerhalb des Anwendungsbereichs der DSGVO zu treffen, ohne dass diese von der DSGVO wiederum verdrängt würden. Sinn und Zweck der Spezifizierungsmöglichkeiten durch die Mitgliedstaaten ist die weitergehende Konkretisierung und Präzisierung der Vorgaben der DSGVO, nicht aber die Etablierung eines eigenständigen nationalen Datenschutzregimes.163 
70Die Spezifizierungsklauseln selbst können wiederum in unterschiedlicher Art und Weise kategorisiert werden164: Zum einen kann auf den Inhalt abgestellt werden, sodass nach allgemeinen (bspw. Art. 23 DSGVO) und spezifischen (bspw. Art. 8 Abs. 1 DSGVO) Spezifizierungsklauseln differenziert werden kann165, zum anderen kann aber auch darauf abgestellt werden, ob dem nationalen Gesetzgeber lediglich die fakultative Möglichkeit zukommen soll, eine Regelung zu treffen, oder ob diesen sogar ein obligatorischer Handlungsauftrag trifft166. Hinsichtlich fakultativer Spezifizierungsklauseln kann wiederum danach unterschieden werden, ob diese die Konkretisierung, Ergänzung oder Modifikation der DSGVO zulassen.167 
 b. Nationale Konkretisierungen 
 aa. Die grundlegende Systematik der datenschutzrechtlichen Bestimmungen 
71Die rechtliche Beurteilung datenschutzrechtlich relevanter Vorgänge bleibt auch mit der Geltung der DSGVO aufgrund der teilweise fortbestehenden Zersplitterung des Datenschutzrechts komplex.168 Maßgeblich für das Auffinden der einschlägigen Normen ist zum einen, welche verantwortliche Stelle in datenschutzrechtlich relevanter Weise tätig wird und zum anderen, welche Art von personenbezogenen Daten von der Verarbeitung betroffen ist.169 In Frage kommen primär die Vorschriften der DSGVO, die Normierungen des Bundesdatenschutzgesetzes (BDSG)170, landesdatenschutzrechtliche Bestimmungen sowie bereichsspezifische Regelungen.171 
 bb. Der Anwendungsbereich des BDSG 
72§ 1 Abs. 1 Satz 1 BDSG bestimmt, dass auch das an die DSGVO angepasste BDSG grundsätzlich für jedwede Form der Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes und der Länder gilt. Mithin wird dessen Anwendungsbereich im Vergleich zur DSGVO erweitert.172 
73Dabei bestimmt § 1 Abs. 2 Satz 1 sowie ergänzend § 1 Abs. 2 Satz 2 BDSG, dass bereichsspezifisches Datenschutzrecht des Bundes vorrangig anzuwenden ist.173 Der Anwendungsvorrang gilt allerdings nur, soweit diese besonderen Normen einen mit den BDSG-Vorschriften deckungsgleichen Regelungsgegenstand betreffen. Sofern die jeweilige bereichsspezifische Norm den betreffenden Sachverhalt lediglich teilweise regelt, kann ergänzend auf die Vorgaben des BDSG zurückgegriffen werden.174 Erforderlich für das Greifen der Subsidiaritätswirkung ist demnach das Vorliegen von Tatbestandskonkurrenz.175 Das BDSG übernimmt damit eine „[…] lückenfüllende Auffangfunktion“.176 
74Bedarf für eine ergänzende Anwendung des BDSG besteht immer dann, wenn spezielle Regelungen nur teilweise den Regelungsgegenstand des BDSG erfassen.177 In diesen Fällen ist das BDSG zusätzlich neben der bereichsspezifischen Norm anzuwenden.178 Hinsichtlich der bereichsspezifischen Regelungen gilt, dass diese nicht unter allen Umständen das Schutzniveau des BDSG als Mindeststandard gewährleisten müssen.179 Im überwiegenden Gemeinwohlinteresse kann durchaus auch eine weitergehende, das Schutzniveau des BDSG verlassende Datenverarbeitung zugelassen werden.180 
75Darüber hinaus besagt § 1 Abs. 5 BDSG, dass die Vorschriften des Gesetzes keine Anwendung finden, soweit das Recht der Europäischen Union, im Besonderen die DSGVO, in der jeweils geltenden Fassung, unmittelbar gilt. Der Gesetzgeber trägt damit dem Anwendungsvorrang der DSGVO Rechnung (vgl. dazu Rn. 66 ff.).181 Da der Anwendungsvorrang ohnehin besteht, wäre eine entsprechende Klarstellung nicht erforderlich.182 Mithin sollte allerdings deutlich gemacht werden, dass auch für den Fall, dass das BDSG aus Gründen der Verständlichkeit Teile der DSGVO aufgreift, der Anwendungsvorrang der Verordnung nicht in Frage gestellt wird.183 
76Grundsätzlich empfiehlt sich, zunächst die Vorschriften der DSGVO zu prüfen und lediglich für den Fall, dass dort Konkretisierungsmöglichkeiten vorgesehen sind, das BDSG heranzuziehen.184 
 c. Bereichsspezifische nationale Regulierungen 
 aa. Bereichsspezifische Vorschriften des Sozialwesens 
77Abschließende185 Sonderbestimmungen zum Schutz personenbezogener Daten im Sozialwesen enthalten die Sozialgesetzbücher. Eine Anpassung an die Vorgaben der DSGVO erfolgte insbesondere bereits für das SGB X, welches grundsätzliche Vorgaben über den Sozialdatenschutz trifft.186 Weitere Änderungen im Bereich des Sozialdatenschutzes sind derzeit geplant, z.B. im SGB V bezüglich der gesetzlichen Krankenversicherung.187 
78Die Regelungen zum Sozialdatenschutz sind in den verschiedenen Sozialgesetzbüchern verstreut. § 35 SGB I enthält die grundsätzliche Bestimmung über das sog. „Sozialgeheimnis“, wonach jeder Anspruch darauf hat, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden. Sozialdaten sind gem. § 67 Abs. 2 Satz 1 SGB X personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem SGB X verarbeitet werden. Die §§ 67a ff. SGB X enthalten allgemeine Vorgaben über die Verarbeitung von Sozialdaten. Ergänzend bzw. abweichend hiervon enthalten die anderen Sozialgesetzbücher bereichsspezifische Vorschriften, z.B. enthält das SGB V Vorschriften über die gesetzliche Krankenversicherung. Insoweit gilt der Grundsatz lex specialis derogat legi generali. 
79Das Verhältnis der verschiedenen Sozialgesetzbücher zur DSGVO und dem BDSG wird aus § 35 Abs. 2 SGB I ersichtlich. Hiernach regeln die §§ 67a ff. SGB X und die Vorschriften der übrigen Bücher des Sozialgesetzbuches die Verarbeitung von Sozialdaten abschließend, soweit nicht die DSGVO unmittelbar gilt. Daher verdrängen die Vorgaben des Sozialdatenschutzes das BDSG vollständig, soweit nicht auf dieses verwiesen wird.188 Damit soll für jedes Sozialdatum ein adäquater Schutz sichergestellt werden.189 
80Gesetzliche Erlaubnistatbestände für die Verarbeitung von Sozialdaten finden sich in den §§ 67a ff. SGB X190, allgemein in Art. 6 DSGVO und den jeweiligen bereichsspezifischen Vorschriften der anderen Sozialgesetzbücher. § 67a Abs. 1 Satz 1 SGB X erlaubt die Erhebung von Sozialdaten, soweit die Kenntnis von diesen zur Erfüllung einer Aufgabe der erhebenden Stelle nach dem SGB X erforderlich ist. Satz 2 dieser Vorschrift erstreckt die Erlaubnis auch auf besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Eine Erhebung hat nach § 67a Abs. 2 Satz 1 SGB X grundsätzlich bei der betroffenen Person zu erfolgen (Grundsatz der Direkterhebung). Nur ausnahmsweise gestattet § 67a Abs. 2 Satz 2 SGB X die Erhebung ohne Mitwirkung des Betroffenen. 
81Weitere Erlaubnistatbestände, insbesondere zur Übermittlung der Sozialdaten, sind in den §§ 67e ff. SGB X geregelt. So dürfen im Rahmen von § 67e SGB X Sozialdaten zur Bekämpfung von Leistungsmissbrauch und illegaler Ausländerbeschäftigung erhoben und übermittelt werden. § 68 SGB X regelt die Übermittlung im Rahmen der Gefahrenabwehr, Strafverfolgung und dem Gerichtswesen. Sozialdaten dürfen des Weiteren für die Erfüllung sozialer Aufgaben (§ 69 SGB X), die Durchführung des Arbeitsschutzes (§ 70 SGB X), die Erfüllung besonderer gesetzlicher Pflichten und Mitteilungsbefugnisse (§ 71 SGB X), den Schutz der inneren und äußeren Sicherheit (§ 72 SGB X), die Durchführung eines Strafverfahrens (§ 73 SGB X), bei der Verletzung der Unterhaltspflicht und beim Versorgungsausgleich (§ 74 SGB X), zur Durchsetzung öffentlich-rechtlicher Ansprüche und im Vollstreckungsverfahren (§ 74a SGB X) und für die Forschung und Planung (§ 75 SGB X) übermittelt werden. Besondere Zulässigkeitsvoraussetzungen für die Übermittlung regeln die §§ 76 ff. SGB X. 
82Neben diesen Erlaubnistatbeständen greift zusätzlich der unmittelbar geltende Art. 6 DSGVO, jedoch nur insoweit, als dies zur Erfüllung gesetzlicher Vorgaben erforderlich ist (Gesetzmäßigkeit der Verwaltung).191 
 bb. Bereichsspezifische Vorschriften im Telemedien- und Telekommunikationsbereich 
83Weitere nationale bereichsspezifische Erlaubnistatbestände enthält derzeit noch das Telemediengesetz (TMG). 
84Ob und wie weit die Vorgaben des TMG nach Geltung der DSGVO noch zur Anwendung gelangen können, ist derzeit nicht absehbar. Eine einheitliche Linie in der Literatur existiert diesbezüglich nicht. Überwiegend wird die vollständige Überlagerung des Telemediendatenschutzes durch die DSGVO (jedenfalls bis zur Geltung der ePVO) angenommen.192 Da nicht ausgeschlossen werden kann, dass zumindest Teile des bislang geltenden TMG weiterhin Wirkung entfalten193, wird auf IT09A00.doc#alt_rd_372 (Rn. 432) ff. der Vorauflage verwiesen. 
 d. Landesdatenschutzgesetze 
85Bezüglich der öffentlichen Stellen der Länder ordnet § 1 Abs. 1 Satz 1 Nr. 2 BDSG die Geltung des BDSG an, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie Bundesrecht ausführen (a) oder als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt (b). Landesgesetzliche sowie an die Vorgaben der DSGVO angepasste194 Regelungen existieren mittlerweile in allen 16 Bundesländern. Dies hat zur Folge, dass das BDSG für öffentliche Stellen der Länder nur noch dort eine Rolle spielt, wo im BDSG geregelte Sachverhalte durch landesgesetzliche Regelungen nicht erfasst werden. Die Legaldefinition der öffentlichen Stellen der Länder findet sich in § 2 Abs. 2 BDSG. 
86Landesdatenschutzrecht und spezialgesetzliche Datenschutzgesetze kommen in Betracht, sofern eine öffentliche Stelle eines Landes als Auftraggeber handelt. Denkbar sind bspw. die Auslagerung personenbezogener Daten im Rahmen von Daten-Archivierung, Fachverfahren oder Dokumenten-Management-Systemen in die Cloud durch eine Landesbehörde oder eine Gemeinde.195 
87Unter den Anwendungsbereich des BDSG fällt hingegen gem. § 1 Abs. 1 Satz 1 Nr. 1 BDSG die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes. Die Legaldefinition der öffentlichen Stellen des Bundes findet sich in § 2 Abs. 1 BDSG. 
 e. StGB 
88Neben den Vorschriften der DSGVO und des BDSG können zudem die Vorgaben des StGB zur Anwendung gelangen.196 Die Schnittstelle zwischen Datenschutzrecht und Strafrecht bildet dabei insbesondere die Vorschrift des § 203 StGB. 
89Durch das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen vom 30.10.2017197 wurde die Regelung umfassend abgeändert (vgl. dazu bereits Kapitel 8 Rn. 336 ff.). Das Gesetzgebungsvorhaben verfolgt dabei eine doppelte Zielsetzung: Berufsgeheimnisträger sollen unter erleichterten Bedingungen Dritte zur Erfüllung ihrer beruflichen oder dienstlichen Tätigkeit heranziehen können. Insofern soll das Strafpotential des § 203 Abs. 1 StGB reduziert werden. Andererseits erkennt der Gesetzgeber, dass durch den verstärkten Einsatz Dritter zur Erfüllung der (datengetriebenen) Tätigkeiten ein weitergehender strafrechtlicher Schutz notwendig wird. Insofern soll der Schutz des § 203 StGB nunmehr auch auf diejenigen Personen, derer sich der Berufsgeheimnisträger bedient, erstreckt werden.198 
90Grundsätzlich gilt, dass sich derjenige gem. § 203 Abs. 1 StGB strafbar macht, der unbefugt ein fremdes Geheimnis offenbart, dass ihm aufgrund seiner besonderen Stellung anvertraut worden ist. Vor der Neuregelung der Norm drohte den Berufsgeheimnisträgern insbesondere bei der Auftragsverarbeitung (vgl. dazu umfassend Rn. 221 ff.) ein erhebliches Strafbarkeitsrisiko, da die Datenübermittlung beispielsweise im Rahmen einer Cloud-Dienstleistung (ausführlich zu Cloud-Computing Rn. 659 ff.) als Offenbaren im Sinne des § 203 Abs. 1 StGB gewertet werden kann.199 
91Allen voran im Bereich des IT-Outsourcings ist nunmehr § 203 Abs. 3 sowie Abs. 4 StGB von gesteigerter Relevanz.200 Während Absatz 3 die Möglichkeit zur Einbeziehung mitwirkender Personen erleichtert, sieht Absatz 4 eine Ausdehnung der Strafbarkeit auf den somit miterfassten Personenkreis vor.201 
92Gem. § 203 Abs. 3 Satz 1 StGB liegt keine Offenbarungshandlung vor, wenn ein Berufsgeheimnisträger ein Geheimnis an einen bei ihm berufsmäßig tätigen Gehilfen oder an eine bei ihm zur Vorbereitung auf den Beruf tätige Person zugänglich macht.202 Vorausgesetzt wird, dass der Offenbarungsadressat im Sinne des § 203 Abs. 3 Satz 1 StGB auf Dauer und gewerbsmäßig angelegt bei dem Berufsgeheimnisträger angesiedelt beziehungsweise eingebunden ist.203 
93Zudem sieht § 203 Abs. 3 Satz 2 StGB vor, dass Berufsgeheimnisträger Geheimnisse gegenüber sonstigen Personen offenbaren dürfen, wenn diese an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken und die Offenbarung für die Inanspruchnahme der Tätigkeit der mitwirkenden Person erforderlich ist. Bei der mitwirkenden Person kommt es nicht darauf an, dass sich diese in der Sphäre des Berufsgeheimnisträgers befindet, es bedarf lediglich der Einbindung der Person in die Tätigkeit des Berufsgeheimnisträgers.204 Entsprechende Mitwirkungshandlungen kommen insbesondere im Bereich der externen Datenverarbeitung, aber auch auf Grundlage weiterer schuldrechtlicher Vereinbarungen in Betracht.205 
94Wenngleich die reformierte Vorschrift nunmehr Klarheit mit Blick auf das Tatbestandsmerkmal „Offenbarung“ bei mitwirkenden Personen schafft, verbleibt eine Hürde für den Anwender: Die Offenbarung ist nur gestattet, soweit dies […] erforderlich ist. Es bleibt demnach dabei, dass eine unbeschränkte und unbegrenzte Weitergabe geschützter Daten auch nach der Gesetzesänderung nicht zulässig ist. Vielmehr ist nach wie vor im Einzelfall zu prüfen, ob der Dritte die Daten für die Tätigkeit tatsächlich benötigt und wie diese Daten gegebenenfalls zu schützen sind oder ob nicht doch ein „milderes Mittel“ zur Verfügung steht. 
95Um zugleich einer Abschwächung des Geheimnisschutzes vorzubeugen, sieht § 203 Abs. 4 StGB eine Ausdehnung des strafrechtlichen Geheimnisschutzes vor.206 Mithin wird gem. § 203 Abs. 4 Satz 1 StGB mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person bekannt geworden ist. Ergänzend dazu sehen die Vorgaben des § 203 Abs. 4 Satz 2 StGB umfassende Geheimhaltungsverpflichtungen, auch bei Einbeziehung weiterer Unterauftragsverhältnisse, vor.207 
 III. Anwendungsbereich und allgemeine Grundsätze der DSGVO 
 1. Der Anwendungsbereich der DSGVO 
 a. Eröffnung des persönlichen Anwendungsbereichs 
96Art. 1 Abs. 1 DSGVO stellt klar, dass die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält. Der Schutz der DSGVO ist dabei nicht an die Staatsangehörigkeit oder den Aufenthaltsort des Betroffenen gebunden, vielmehr soll das Menschenrecht Datenschutz umfassend zur Geltung gelangen.208 
97Mit Blick darauf, dass bereits regelmäßig im Rahmen der Geburtsvorbereitung personenbezogene Daten über den noch ungeborenen Menschen verarbeitet werden, stellt sich die Frage, ob der Schutz der DSGVO bereits vor der Geburt eingreift. Die DSGVO selbst adressiert diesen Fall nicht. Vertreten wird daher, dass der Schutz der DSGVO erst mit Vollendung der Geburt greifen soll.209 Allerdings wurde auch die Ansicht geäußert, dass bereits der Nasciturus vom Schutzbereich der DSGVO umfasst sein soll, um dem Persönlichkeitsschutz der Betroffenen vor dem Hintergrund immer umfassenderer pränataler Diagnostikmöglichkeiten Rechnung tragen zu können.210 Da die betroffenen Daten in der Regel auch einen Personenbezug zur Mutter aufweisen, kann der Streit regelmäßig dahinstehen, da die Vorgaben des Datenschutzes somit jedenfalls mittelbar für das ungeborene Kind eingreifen.211 
98Regelmäßig endet der Schutz der DSGVO mit dem Tod der betroffenen Person. Ausgangspunkt ist dabei Erwägungsgrund 27, welcher klarstellt, dass die Verordnung nicht für die personenbezogenen Daten Verstorbener gilt. Allerdings können die Mitgliedstaaten dem Erwägungsgrund zufolge Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen. 
99Während das reformierte BDSG keine ausdrückliche Regelung bezüglich der personenbezogenen Daten Verstorbener beinhaltet, planen beispielsweise Spanien und Ungarn eine entsprechende Normierung.212 
100Allerdings ist zu beachten, dass ein Personenbezug jedenfalls dann gegeben ist, wenn das Datum des Verstorbenen zugleich Informationen über noch lebende Personen wie etwa Erben und/oder Familienangehörige aufweist.213 Zudem können die Daten der Verstorbenen weiteren spezialgesetzlichen Regelungen wie beispielsweise dem Sozialgeheimnis gem. § 35 Abs. 1 SGB I unterfallen.214 
101Juristische Personen sind nicht vom Anwendungsbereich der DSGVO umfasst.215 Wie bei Art. 8 GRCh (vgl. dazu Rn. 14 ff.) kommt allerdings in Betracht, dass personenbezogene Daten einer natürlichen Person im Zusammenhang mit der juristischen Person dergestalt betroffen sind, dass das Datenschutzrecht zur Anwendung gelangt.216 Ein solcher Fall kann beispielsweise angenommen werden, wenn die Verarbeitung nicht nur das Unternehmen als solches, sondern gleichermaßen natürliche Personen im unmittelbaren Zusammenhang mit dem Unternehmen betrifft.217 
 b. Eröffnung des sachlichen Anwendungsbereichs (Art. 2 DSGVO) 
102Der sachliche Anwendungsbereich der DSGVO ist grundsätzlich bei der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten eröffnet sowie bei der nicht-automatisierten Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, Art. 2 Abs. 1 DSGVO.218 Art. 2 Abs. 2 DSGVO regelt dabei Ausnahmetatbestände, in welchen die DSGVO trotz Vorliegen eines Personenbezugs nicht zur Anwendung gelangt. Wie sich aus Art. 95 DSGVO ergibt, bleibt auch die ePrivacy-Richtlinie (RL 2002/58/EG) jedenfalls bis zur Geltung der ePVO erhalten und wird der DSGVO als lex specialis vorgehen (vgl. dazu Rn. 623 ff.). 
 aa. Bezugsobjekt des Datenschutzrechts: das personenbezogene Datum 
103Die zentrale Definition der personenbezogenen Daten findet sich in Art. 4 Nr. 1 DSGVO. Erfasst werden alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Definition des personenbezogenen Datums beruht zwar auf den Vorgaben der Datenschutzrichtlinie (Art. 2 lit. a), weist aber im Detail klarstellende Ergänzungen des Wortlauts auf.219 Bestehen bleibt allerdings die Frage nach der Relativität oder Absolutheit des Personenbezugs. Ausgehend von Erwägungsgrund 26 Satz 3 der DSGVO sowie der Rechtsprechung des EuGH ist jedoch zu erwarten, dass sich ein jedenfalls vermittelnd relatives Verständnis des Personenbezugs durchsetzen wird.220
(1) Informationen
 
104Erforderlich ist zunächst, dass es sich um Informationen identifizierter oder identifizierbarer natürlicher Personen handelt (zum Begriff der Person vgl. Rn. 96). Keine Informationen sind daher grundsätzlich Angaben über Personengruppen. Auch hierbei kann es sich jedoch um Einzelangaben handeln, wenn die Angabe über die Personengruppe auf eine oder mehrere Einzelpersonen „durchschlägt“. Dies ist immer dann der Fall, wenn ein bestimmtes Gruppenergebnis auch den einzelnen Gruppenmitgliedern zugerechnet werden soll.221 
105Beispiele: Die Angabe, dass ein Kunde in einem Online-Musik-Shop einen bestimmten Titel heruntergeladen hat, stellt eine Einzelangabe dar. Wenn der Online-Shop dagegen registriert, wie häufig der betreffende Titel im Monat insgesamt heruntergeladen wurde, stellt dies eine Angabe über eine Personengruppe (die Kunden des Shops) dar, so dass es sich nicht (mehr) um eine Einzelangabe handelt. Dieses Datum darf der Onlineshop daher ohne datenschutzrechtliche Einschränkungen weiterverarbeiten. Wenn ein Unternehmen Daten über bestimmte Gruppen von Arbeitnehmern aufzeichnet (Leistung, Produktivität u.Ä.), so kann diese Gruppenangabe auf den einzelnen Arbeitnehmer „durchschlagen“, wenn ihm das Gruppenergebnis in einer Beurteilung seiner Leistung zugerechnet werden soll.
(2) Personenbezug
 
106Der Begriff des Personenbezugs ist sehr weit gefasst. Ob bestimmte Daten als Angaben über persönliche oder über sachliche Verhältnisse eingeordnet werden, ist dabei in der Rechtspraxis ohne Belang, da beide Angaben personenbezogene Daten darstellen. Es werden alle Informationen erfasst, die einer Person zugeordnet werden können. Hierzu gehören auch triviale und unbedeutend erscheinende Daten. Das BVerfG222 wie auch der EuGH223 haben insoweit bereits entschieden, dass es keine belanglosen Daten gibt und daher alle personenbezogenen Daten vom Schutzbereich des Grundrechts auf informationelle Selbstbestimmung und damit von den Datenschutzgesetzen erfasst werden. 
107Beispiel: So stellt z.B. schon die Angabe über die Geschwindigkeit der Internetverbindung, die ein Nutzer verwendet, eine Angabe über ein sachliches Verhältnis und damit ein personenbezogenes Datum dar. Roos/Rothkegel sind beispielsweise der Ansicht, dass es für den Personenbezug genügt, wenn die verantwortliche Stelle im Zuge eines von ihr veranlassten Strafverfahrens gemäß § 406e Abs. 1 Satz 1 StPO Akteneinsicht beantragen kann, um so die Identität des Täters zur Geltendmachung zivilrechtlicher Ansprüche herauszufinden.224 
108Keine personenbezogenen Daten sind dagegen Daten, die sich ausschließlich auf eine Sache beziehen, z.B. Produktionsdaten eines bestimmten Computers. Diese Produktionsdaten stellen jedoch wiederum personenbezogene Daten dar, wenn der Computer einer identifizierbaren natürlichen Person gehört und die Daten in Zusammenhang mit dieser verwendet werden sollen. 
109In Zweifelsfällen sollte daher wegen des weitgefassten Begriffs der „persönlichen oder sachlichen Verhältnisse“ vom Vorliegen von personenbezogenen Daten und somit auch von der Anwendbarkeit der datenschutzrechtlichen Vorschriften ausgegangen werden.
(3) Identifiziert/Identifizierbarkeit (vormals Bestimmbarkeit)
 
110Die DSGVO ersetzt das Begriffspaar der bestimmten bzw. bestimmbaren Person durch die im Ergebnis präziseren, aber inhaltlich letztlich identischen Tatbestandsmerkmale der identifizierten/identifizierbaren Person.225 Es handelt sich nur dann um personenbezogene Daten, wenn die entsprechenden Informationen über persönliche oder sachliche Verhältnisse einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. 
111Identifiziert ist eine Person jedenfalls dann, wenn sich die Daten direkt auf eine bestimmte Person beziehen, wenn sie also einen unmittelbaren Rückschluss auf die Identität der betroffenen Person zulassen.226 
112Wann eine Person als identifizierbar im Sinne der Norm verstanden werden muss, lässt sich insbesondere den Vorgaben des Art. 4 Nr. 1 HS. 2 DSGVO entnehmen. Als identifizierbar wird eine Person regelmäßig anzusehen sein, wenn diese direkt oder indirekt identifiziert werden kann. Dabei kommen allen voran die Zuordnung zu einer Kennung wie einem Namen, zu Kennnummern, zu Standortdaten oder zu Online-Kennungen in Betracht. Weiterhin kann auch die Zuordnung aufgrund besonderer Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, bei der Identifizierbarkeit relevant sein. In der Praxis wird es vielfach nur sehr schwer zu bestimmen sein, ob und mit welchem Aufwand die datenverarbeitende Stelle einen Personenbezug herstellen kann. Im Zweifel sollte daher von Daten einer identifizierbaren natürlichen Person ausgegangen werden. 
113Auch der Wortlaut des Art. 4 Nr. 1 DSGVO führt keine eindeutige Klärung der Frage herbei, ob der Begriff der Identifizierbarkeit relativ oder absolut auszulegen ist.227 Überzeugend ist dabei die Auffassung, dass der Begriff der identifizierbaren Person zumindest vermittelnd relativ ist.228 Es kommt nach dieser Auffassung maßgeblich auf die Möglichkeiten an, die der jeweils betroffenen datenverarbeitenden Stelle zur Verfügung stehen. Wissen, Mittel und Möglichkeiten Dritter müssen im Sinne der vermittelnd relativen Theorie nur dann herangezogen werden, wenn dies aus Gründen der Vernunft geboten ist.229 Ein Datum, das für eine Stelle identifizierbar ist, weil ihr die notwendigen Mittel zur Herstellung eines Personenbezugs zur Verfügung stehen, kann für eine andere nicht identifizierbar sein, so dass es sich dann für diese um kein personenbezogenes Datum handelt. Die Gegenauffassung will den Personenbezug absolut (= objektiv) bestimmen.230 Hiernach soll bereits die rein theoretische Möglichkeit der Identifizierbarkeit einer Person genügen, um von einem personenbezogenen Datum auszugehen. Mit anderen Worten ist es ausreichend, dass irgendjemand den Personenbezug herstellen kann, um nach dem absoluten Ansatz ein personenbezogenes Datum bejahen zu können. 
114Beispiel: Der gewählte Name eines Nutzers in einem anmeldepflichtigen Online-Forum ist für andere „normale“ Nutzer kein personenbezogenes Datum, wenn der Nutzername keine Bestandteile des Realnamens enthält und keine zusätzlichen Informationen über den Nutzer verfügbar sind, da die anderen Nutzer mit den ihnen zur Verfügung stehenden Mitteln keinen Personenbezug herstellen können. Der Betreiber des Forums kann dagegen den Personenbezug herstellen, zumindest dann, wenn eine Anmeldung unter Realnamen erforderlich ist.
(4) Besondere Kategorien personenbezogener Daten
 
115Auch die DSGVO differenziert zwischen einfachen und besonderen Kategorien personenbezogener Daten. Letztere definiert Erwägungsgrund 10 Satz 5 DSGVO nunmehr als sensible Daten.231 Angelehnt an die Vorgaben des Art. 8 der Datenschutzrichtlinie findet sich in Art. 9 Abs. 1 DSGVO eine pauschalierende Aufzählung sensibler Datenkategorien, welche einem grundsätzlichem Verarbeitungsverbot unterliegen.232 Die Verarbeitung sensibler Daten ist ausschließlich dann zulässig, wenn ein Ausnahmetatbestand im Sinne des Art. 9 Abs. 2 DSGVO gegeben ist. 
116Mit dieser Bestimmung trägt der Verordnungsgeber dem Umstand Rechnung, dass die Verarbeitung der in Art. 9 Abs. 1 DSGVO aufgelisteten Datenkategorien regelmäßig besonders grundrechtsrelevant ist.233 Mithin handelt es sich um höchstpersönliche Daten, welche ein erhöhtes Diskriminierungspotential für die Betroffenen aufweisen.234 
117Die Differenzierung zwischen verschiedenen Datenkategorien wurde bereits im Rahmen der Datenschutzrichtlinie kritisch bewertet.235 Durch die Fortschreibung der Unterscheidung zwischen besonderen und einfachen Kategorien personenbezogener Daten wird sich auch die Vorschrift der DSGVO insbesondere mit dem Vorwurf der Willkür auseinandersetzen müssen.236 
118Art. 9 Abs. 1 DSGVO adressiert dabei Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Darüber hinaus werden aber auch genetische Daten (vgl. Art. 4 Nr. 13 DSGVO), biometrische Daten (vgl. Art. 4 Nr. 14 DSGVO), Gesundheitsdaten (vgl. Art. 4 Nr. 15 DSGVO) sowie Daten über das Sexualleben oder der sexuellen Orientierung besonders durch Art. 9 DSGVO geschützt. 
119Wenngleich die Aufzählung des Art. 9 Abs. 1 DSGVO abschließend zu verstehen ist237, kann bereits der mittelbare Bezug zu den Datenkategorien ausreichend sein, um den Anwendungsbereich der Norm zu eröffnen238. So kann beispielsweise ein Geodatum (vgl. dazu Rn. 156) besonders schützenswert sein, wenn sich daraus ergibt, dass der Betroffene einen Treffpunkt der LGBT-Szene aufgesucht hat.239 Petri spricht insofern von einem „kontextbezogenen oder mittelbar sensiblen Datum“.240
(5) Fallgruppen personenbezogener Daten im Internet
(a) IP-Adressen
 
120Die Frage, ob IP-Adressen personenbezogene Daten sind, war in der Vergangenheit sowohl in der Rechtsprechung als auch im Schrifttum stark umstritten, scheint jedoch aufgrund der jüngeren EuGH-Rechtsprechung vom 19.10.2016 weitestgehend geklärt zu sein.241 Es gab bereits vorher eine starke Tendenz zur Annahme des Personenbezugs242, aber auch gegenteilige Auffassungen hielten sich beständig243. Der Meinungsstreit ist deshalb von so großer Bedeutung, weil für die Verarbeitung von personenbezogenen IP-Adressen andere Rechtsgrundlagen gelten als für die Verarbeitung von nicht personenbezogenen Daten.244 Maßgeblich ist insoweit das in Art. 6 Abs. 1 Satz 1 DSGVO verankerte generelle Verbot mit Erlaubnisvorbehalt (vgl. dazu Rn. 183 ff.).245 
121Die datenschutzrechtliche Betrachtung hat nunmehr anhand der Vorgaben des Art. 4 Nr. 1 DSGVO zu erfolgen. Nach dem Wortlaut des Art. 4 Nr. 1 DSGVO weist eine IP-Adresse grundsätzlich dann einen Personenbezug auf, wenn durch diese eine natürliche Person identifiziert wird oder werden kann. In diesem Sinne hält Erwägungsgrund 30 der DSGVO fest, dass „[natürlichen] Personen […] unter Umständen Online-Kennungen wie IP-Adressen […] zugeordnet [werden]. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Person zu erstellen und sie zu identifizieren.“ Dieser Grundsatz gilt sowohl für dynamische als auch statische IP-Adressen. Wird die Identifizierbarkeit einer natürlichen Person bejaht, stellt sich weiterhin die Frage, wem gegenüber die IP-Adresse einen Personenbezug aufweist. 
122Beim Aufsuchen einer Webseite hinterlässt der Nutzer zahlreiche Spuren. Unter den insoweit besonders relevanten IP-Adressen versteht man die aus vier (jeweils durch einen Punkt getrennten) Teilen bestehende Gerätekennungen, die sich nach den Vorgaben des Internet Protocol Version 4 (IPv4) jeweils aus den Zahlen zwischen 0 und 255 zusammensetzen246, bspw. 123.31.232.12. Dadurch wird jedem Computer eine eigene „technische Adresse“ zugewiesen, sobald er sich einem IP-Netzwerk anschließt. Durch diese Nummernfolge wird der Internetanschluss, von dem eine bestimmte Anfrage gesendet wird, eindeutig identifiziert.247 Die IP-Adresse wird bei der Einwahl in das Internet vom Access-Provider vergeben. 
123Zu unterscheiden sind dabei zwei Arten von IP-Vergaben: Zum einen vergeben Provider an ihre Kunden sog. dynamische IP-Adressen. Dies bedeutet, dass einem Rechner bei jeder Einwahl in das Internet eine andere IP-Adresse zugewiesen wird. Für den Provider hat dieses Vorgehen den Vorteil, dass er weniger IP-Adressen reservieren muss als er Kunden besitzt, da zu keinem Zeitpunkt alle Kunden gleichzeitig mit dem Internet verbunden sind.248 Zum anderen gibt es eine statische IP-Vergabe, bei der sich nicht bei jeder Einwahl in das Internet die entsprechende Adresse ändert. Dies geschieht vor allem bei Routern an Standleitungen. 
124Zur Frage, ob damit letztlich personenbezogene Daten bei IP-Adressen vorliegen, entschied der EuGH am 19.10.2016249: Art. 2 lit. a der Datenschutzrichtlinie sei so auszulegen, dass eine dynamische IP-Adresse für den Telemedienanbieter dann ein personenbezogenes Datum im Sinne der Richtlinie darstellt, wenn er über rechtliche Mittel verfügt, welche es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Hinsichtlich der zweiten Vorlagefrage erklärte der EuGH, Art. 7 lit. f der Datenschutzrichtlinie sei dahin auszulegen, dass er einer mitgliedstaatlichen Regelung entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann. Die derzeitige Fassung des § 15 Abs. 1 TMG ist insoweit also als europarechtswidrig einzustufen. 
125Das EuGH-Urteil250 beschreitet letztlich einen Mittelweg. Allerdings stellt der Gerichtshof entscheidend darauf ab, ob eine Rechtsgrundlage zur Heranziehung des Sonderwissens des Internetzugangsanbieters besteht. Keinesfalls darf das EuGH-Urteil dahingehend missverstanden werden, dass dynamische IP-Adressen nun stets personenbezogene Daten sind. Schließlich hat ein Telemedienanbieter keine rechtlichen Mittel zur Verfügung, den Personenbezug herzustellen, wenn der Besuch der Webseite nicht im Zusammenhang mit einer Straftat steht.251 Hansen/Struwe nennen dafür als Beispiel das Online-Shopping.252 Verantwortlichen Stellen ist nichtsdestotrotz anzuraten, IP-Adressen immer nach den Vorgaben des Datenschutzrechts zu behandeln, um so keine Datenschutzverstöße zu begehen.253 Das neue Vorabentscheidungsurteil254 lässt sich im Übrigen auf statische IP-Adressen übertragen. Auch bei diesen kann ein Personenbezug ohne weiteres nur durch den Access-Provider hergestellt werden.255 
126Allerdings bleibt auch nach dem Urteil des EuGH unklar, ob die bloß abstrakte Existenz eines rechtlichen Mittels für die Annahme eines Personenbezuges genügt, oder ob es zudem darauf ankommt, dass die jeweils verarbeitende Stelle tatsächlich respektive nur unter einem unverhältnismäßig hohen Aufwand in der Lage ist, dieses Mittel auch einsetzen zu können.256 Beispielhaft führen Kühling/Klar den Fall an, dass der Betroffene einer anderen Rechtsordnung unterliegt.257 
127Seit dem 06.06.2012 wird die Vergabe von IP-Adressen weltweit an den neuen Internetstandard IPv6 angepasst.258 Diese Umstellung wurde erforderlich, weil das Adressspektrum für IPv4 IP-Adressen begrenzt ist und lediglich eine Vergabe von rund 4 Mrd. IP-Adressen ermöglicht.259 Unter Verwendung des Internetstandards IPv6 stehen nunmehr rund 340 Sextillionen Adressen zur Verfügung.260 Mittels des Internetstandards IPv6 könnte folglich eine lebenslange Identifizierung jedes mit dem Internet verbundenen Geräts über einen festen Zahlencode ermöglicht werden.261 Die IPv6-Adressen bestehen hierbei aus zwei Teilen. Erstens einem „Global Routing Präfix“262 und zweitens einem „Interface Identifier“.263 Das „Global Routing Präfix“ wird den Internetnutzern bei der Einwahl aus dem Adressbuch des Diensteanbieters zugewiesen.264 Die Zuweisung kann hierbei statisch oder dynamisch erfolgen. Technische Begrenzungen gibt es insoweit nicht. Der „Interface Identifier“ wird von dem verwendeten Endgerät erzeugt. Auch dieser kann theoretisch statisch oder dynamisch erzeugt werden.265 Beide Adressteile sind für an der Erzeugung unbeteiligte Dritte grundsätzlich nicht personenbeziehbar. Im Ergebnis ist die IPv6-Adresse damit in datenschutzrechtlicher Hinsicht wie eine statisch oder dynamisch vergebene IPv4-Adresse zu behandeln.266
(b) E-Mail-Adressen
 
128Auch die Frage, ob E-Mail-Adressen personenbezogene Daten darstellen, kann nicht allgemein beantwortet werden. Unproblematisch stellt eine E-Mail-Adresse ein personenbezogenes Datum dar, wenn sie erkennbare Bestandteile des Namens bzw. den vollständigen Namen des Benutzers der E-Mail-Adresse enthält. Von einem personenbezogenen Datum ist auch dann auszugehen, wenn im Internet zusammen mit der E-Mail-Adresse weitere Informationen über den Betroffenen abgerufen werden können, mit deren Hilfe sich ein Personenbezug unproblematisch herstellen lässt267, oder wenn der Diensteanbieter selbst über die notwendigen Informationen verfügt. 
129Dagegen wird man bei E-Mail-Adressen, die weder Namensbestandteile enthalten noch im Internet zusammen mit anderen Daten des Betroffenen abrufbar sind, einen Personenbezug verneinen müssen, da ein Diensteanbieter eine derartige E-Mail-Adresse mit den ihm zur Verfügung stehenden Mitteln normalerweise keiner Person zuordnen kann. 
130Beispiel: Wenn Sabine Mustermann unter der beruflichen E-Mail-Adresse „sabine.mustermann@XYGmbH.de“ erreichbar ist, ist ihr dieses Datum im Regelfall zuordenbar und deshalb personenbezogen. Richtet sie sich aber bei einem Freemail-Anbieter die E-Mail-Adresse „sonnenschein@anbieter.de“ ein, stellt dies für andere Diensteanbieter ohne weitergehende Informationen zunächst kein personenbezogenes Datum dar.
(c) Cookies
 
131Auch bei den sog. Cookies muss bei der Frage, ob diese personenbezogene Daten darstellen, differenziert werden. Hierbei handelt es sich um kleine Dateien, die vom Server des jeweiligen Anbieters an diejenigen Rechner verschickt werden, von denen aus eine bestimmte Internetseite aufgerufen wurde. Im Unterschied zu sog. aktiven Inhalten enthalten Cookies keine ausführbaren Programmbefehle, sondern nur Informationen, um einen Nutzer zu identifizieren.268 Diese Cookies werden dann auf dem Rechner des jeweiligen Nutzers gespeichert. Die Cookies selbst speichern dann wiederum bestimmte Informationen, z.B. die bisherigen Zugriffe des Nutzers auf den entsprechenden Server, welche Angebote der Internetseite aufgerufen wurden und ähnliche Angaben. Durch die Verwendung von Cookies wird die Benutzung von Webseiten, die individuelle Benutzereinstellungen erlauben, vereinfacht, weil beim nächsten Besuch der Webseite wieder auf diese Einstellungen zurückgegriffen werden kann. Allerdings können Cookies darüber hinaus auch zur Sammlung von Informationen über Internetnutzer verwendet werden. Es wird zwischen Session-Cookies, die nur für die Dauer des jeweiligen Besuchs der Webseite gespeichert werden, und Permanent-Cookies, die dauerhaft auf dem Rechner des Nutzers gespeichert werden und durch die der Nutzer bei einem späteren Besuch der Webseite „wiedererkannt“ werden kann, unterschieden. 
132Entscheidend bei der Frage, ob derartige Cookies einen Personenbezug aufweisen, ist, welche Daten die Cookies im Einzelfall aufzeichnen und welche Daten dem Diensteanbieter bereits über den Nutzer zur Verfügung stehen. Die Gefahr, dass Cookies einen Personenbezug aufweisen, besteht jedenfalls immer.269 Wenn der Nutzer, auf dessen Festplatte ein Cookie abgelegt wird, für den Diensteanbieter bereits eine identifizierbare Person darstellt, stellen die Daten, die durch das Cookie gesammelt werden, ebenfalls personenbezogene Daten dar. Ebenso liegen personenbezogene Daten in den Fällen vor, in denen durch das Cookie selbst Informationen übertragen werden, die für sich genommen bereits einen Personenbezug herstellen. Sofern ein Personenbezug feststellbar ist, sollte dies Anlass für eine eingehende Prüfung geben. Im Extremfall kann anhand der in Cookies angelegten Daten die gesamte Internetnutzung eines Betroffenen nachvollzogen werden.270 Dass es sich hierbei um einen besonders sensiblen Vorgang handelt, liegt auf der Hand.271 
133Keine personenbezogenen Daten liegen dagegen in den Fällen vor, in denen durch das Cookie lediglich Daten übertragen werden, die es gerade nicht ermöglichen, einen Personenbezug herzustellen. 
134Beispiele: Der registrierte Kunde eines Online-Shops, auf dessen Rechner ein Cookie mit den Daten seiner Lieblingsbücher gespeichert wird, ist für den Diensteanbieter identifizierbar, sodass die betreffenden Daten personenbezogene Daten darstellen. Ein Cookie, das den Namen des jeweiligen Nutzers speichert, um ihn auf der Hauptseite des Diensteanbieters persönlich zu begrüßen, beinhaltet personenbezogene Daten. Wenn ein von einer Webseite abgelegter Cookie dagegen nur den letzten Besuch des Nutzers auf der Webseite speichert, um neue Informationen bei dem nächsten Besuch der Webseite anzuzeigen, stellt dies ohne weitere Angaben kein personenbezogenes Datum dar. 
135Nach der RL 2009/136/EG (sog. Cookie-Richtlinie) gelten strengere Regeln für Cookies. Art. 5 Abs. 3 RL 2002/58/EG lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Ob diese Vorgaben bereits in den aktuellen Vorschriften des Telemediengesetzes enthalten sind, ist fraglich.272 Die in einem Gesetzentwurf des Bundesrats273 vorgesehene Aufnahme eines § 13 Abs. 8 TMG, mit dem eine Opt-in-Pflicht für Cookies vorgeschrieben werden sollte, konnte sich im Gesetzgebungsverfahren jedenfalls nicht durchsetzen274. In verschiedenen EU-Staaten existieren allerdings bereits auf der Richtlinie beruhende gesetzliche Ausgestaltungen in Bezug auf Cookies. So wurde die Richtlinie bspw. im Vereinigten Königreich umgesetzt.275 Die International Chamber of Commerce des Vereinigten Königreichs empfiehlt in ihrem „Cookie-Guide“ hierbei, Cookies in vier Kategorien einzuteilen, um eine bessere datenschutzrechtliche Unterscheidung zu ermöglichen: „strictly necessary cookies“, die ermöglichen, dass die Webservices überhaupt angeboten werden, „performance cookies“, die Webmastern eine Evaluierungsmöglichkeit verschaffen, „functionality cookies”, die die Funktionalität der Webseite verbessern, und „targeting cookies or advertising cookies“, die das Nutzerverhalten analysieren und für Werbezwecke auf der Webseite platziert werden.276 
136Zuletzt hat das OLG Frankfurt festgestellt, dass die für die Cookie-Nutzung erforderliche Einwilligung auch durch eine vorformulierte Erklärung erfolgen kann, wofür bereits das Entfernen eines voreingestellten Häkchens (also eine sog. „Opt-out“-Möglichkeit) genügen soll.277 Zumindest enthalte der Art. 5 Abs. 3 RL 2002/58/EG keine Regelung, die ein „Opt-in“ zwingend vorschreibe. Neben der Einwilligungsschwelle in Form des Opt-out beschäftigte sich das OLG Frankfurt noch mit dem Standort und dem Umfang der Informationspflichten bei der Verwendung von Cookies. Es hält die Platzierung weiterer erforderlicher Hinweise zur Cookie-Nutzung in einem Link für ausreichend. Zudem soll nach Ansicht des OLG Frankfurt die Identität von Dritten, die aufgrund der Einwilligung auf die Cookies zugreifen können, nicht von der Informationspflicht umfasst sein. Rauer/Ettig fordern bezüglich des Links, dass er leicht zugänglich und dauerhaft abrufbar ist.278 
137Kritik äußern Starnecker/Wessels an den Ausführungen des OLG Frankfurt zum Umfang der Informationspflichten betreffend der Identität Dritter279: Vor dem Hintergrund einer grundrechtskonformen Auslegung sei es geboten, nicht lediglich den Umstand der Beteiligung Dritter, sondern auch deren Identität offenzulegen. Nur auf diese Art und Weise könne tatsächlich eine informierte Einwilligung des Nutzers sichergestellt werden. 
138Ob die Entscheidung des OLG Frankfurt insofern für mehr Rechtssicherheit sorgen wird, erscheint fraglich, auch deshalb, weil bereits die Revision beim BGH anhängig ist.280 Der BGH hat zwischenzeitlich das Verfahren ausgesetzt und dem EuGH zur Vorabentscheidung vorgelegt.281 Insbesondere soll durch das Vorabentscheidungsverfahren282 geklärt werden, ob es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 lit. f der RL 2002/58/EG i.V.m. Art. 2 lit. h der Datenschutzrichtlinie handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird. Dabei bezieht sich der BGH ausdrücklich auf die Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a sowie auf Erwägungsgrund 32 der DSGVO, welche (richtigerweise, vgl. dazu Rn. 268) dafür sprechen, dass das Opt-out-Verfahren im Rahmen der Einwilligungserklärung nicht herangezogen werden kann.283 Mit der Veröffentlichung der Schlussanträge des Generalanwalts, an welche der EuGH zwar nicht gebunden ist, diesen aber regelmäßig folgt, wird am 28.02.2019 gerechnet.284 
138.1Wie zu erwarten war, hat sich auch der Generalanwalt im Rahmen seiner Schlussanträge vom 21.03.2019 gegen die Anwendbarkeit des Opt-Out-Verfahrens bei der Einholung etwaiger Einwilligungserklärungen ausgesprochen (Generalanwalt beim EuGH (Szpunar), Schlussantrag vom 21.03.2019 - C-673/17). Speziell für den Fall der Cookies führt der Generalanwalt aus, dass „[…] das Kriterium der aktiven Einwilligung nicht erfüllt [ist], wenn ein Nutzer ein vorhandenes Häkchen entfernt und somit aktiv werden muss, sofern er nicht in das Setzen von Cookies einwilligt. In einer solchen Situation ist es praktisch unmöglich, objektiv zu bestimmen, ob ein Nutzer seine Einwilligung auf Grundlage einer freiwillig und in Kenntnis der Sachlage getroffenen Entscheidung erteilt hat. Muss ein Nutzer ein Feld ankreuzen, kann davon hingegen mit sehr viel größerer Wahrscheinlichkeit ausgegangen werden.“ (Generalanwalt beim EuGH (Szpunar), Schlussantrag vom 21.03.2019 - C-673/17 Rn. 88).
Aktualisierung vom 09.05.2019
!
138.2Mit Urteil vom 01.10.2019 hat sich nunmehr auch der EuGH gegen die Anwendbarkeit des Opt-Out-Verfahrens bei der Einholung etwaiger Einwilligungserklärungen ausgesprochen. Diesbezüglich führt das Gericht aus, dass es bei voreingestellten Ankreuzkästchen praktisch unmöglich sei, in objektiver Weise zu klären, ob die betroffene Person durch die bloße Untätigkeit tatsächlich eine Einwilligung abgeben hat (EuGH v. 01.10.2019 - C-673/17 Rn. 55 - ECLI:EU:C:2019:801). Jedenfalls aber kann bei Einsatz des Opt-Out-Verfahrens nicht sichergestellt werden, dass die betroffene Person die erforderlichen Informationen über den Einwilligungsvorgang tatsächlich zur Kenntnis genommen hat, da nicht ausgeschlossen werden kann, dass das Kästchen schlechterdings nicht wahrgenommen wurde (EuGH v. 01.10.2019 - C-673/17 Rn. 55 - ECLI:EU:C:2019:801). Darüber hinaus bezieht sich das Gericht auf Erwägungsgrund 32 der nunmehr geltenden DSGVO, da diesem zur Folge insbesondere bereits angekreuzte Kästchen keine Einwilligung darstellen können (EuGH v. 01.10.2019 - C-673/17 Rn. 61 ff. - ECLI:EU:C:2019:801). Damit bestätigt der EuGH, dass dem Erfordernis einer aktiven Einwilligungshandlung nicht durch die bloße Duldung eines Verarbeitungsprozesses entsprochen werden kann. Bei der Ausgestaltung der Einwilligungserklärung ist vielmehr eine selbstbestimmte, aktive Entscheidung der betroffenen Personen zu forcieren (weiterführend hierzu: Scheurer, Spielerisch selbstbestimmt, S. 160 ff.).
Aktualisierung vom 15.10.2019
!
139Wenngleich die Frage des datenschutzkonformen Einsatzes etwaiger Cookies nach Geltung der DSGVO problematisch ist, bietet die entsprechende Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder einen zwischenzeitlichen Orientierungspunkt.285 Dieser zufolge kommt als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien ausschließlich Art. 6 Abs. 1 DSGVO in Betracht, wobei insbesondere Art. 6 Abs. 1 Satz 1 lit. a DSGVO, Art. 6 Abs. 1 Satz 1 lit. b DSGVO sowie Art. 6 Abs. 1 Satz 1 lit. f DSGVO von Relevanz sind.286 Dabei stellt die Konferenz fest, dass Verarbeitungen, welche zwingend für die Erbringung des jeweiligen Dienstes erforderlich sind, auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. b DSGVO oder gegebenenfalls Art. 6 Abs. 1 Satz 1 lit. f DSGVO erfolgen können.287 Wenngleich weitergehende, also nicht zwingend erforderliche Verarbeitungstätigkeiten auf Grundlage einer Interessenabwägung im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden können, bedarf es nach Ansicht der Datenschutzkonferenz jedenfalls bei dem Einsatz etwaiger Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, oder aber bei der Erstellung von Nutzerprofilen einer vorherigen informierten Einwilligung im Sinne der DSGVO.288 Weiterhin weist die Konferenz daraufhin, dass der Diensteanbieter zu einer DSGVO-konformen Überarbeitung der korrespondierenden Datenschutzerklärungen verpflichtet ist.289 
140Jandt weist zutreffend darauf hin, dass auch auf Grundlage des Positionspapiers Trackingverfahren gestützt auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO denkbar sind.290 Mithin beziehen sich die Vorgaben der Datenschutzkonferenz ausdrücklich auf Trackingverfahren, welche das Verhalten der Person im Internet nachvollziehbar machen beziehungsweise der Erstellung von Nutzerprofilen dienen, nicht aber auf solche, welche beispielsweise der Reichweitenanalyse dienen.291 Im Sinne eines Umkehrschlusses ist es daher durchaus denkbar, dass auch die Datenschutzkonferenz bestimmte Tracking-Mechanismen auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. f DSGVO für zulässig erachtet.292 
140.1In diesem Sinne hält die Orientierungshilfe der DSK für Anbieter von Telemedien vom März 2019 fest, dass die Verarbeitung personenbezogener Daten durch nicht-öffentliche Verantwortliche bei der Erbringung von Telemedien auch auf Grundlage einer Interessenabwägung gem. Art. 6 Abs. 1 Satz 1 lit. f DSGVO erfolgen kann (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 7). Dabei konkretisiert die Orientierungshilfe die Anforderung an die Interessenabwägung und empfiehlt eine dreistufige Prüfung (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 11).
Aktualisierung vom 06.05.2019
!
140.2Auf der ersten Stufe ist nach Ansicht der DSK das Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten zu prüfen. Berechtigte Interessen des Verantwortlichen können sich dabei insbesondere im Rahmen der Bereitstellung besonderer Funktionalitäten sowie bei der allgemeinen Ausgestaltung der Webseite ergeben. Darüber hinaus kann auch die Wahrung der Integrität und Sicherheit des Online-Angebots ein berechtigtes Interesse darstellen. Auch die Reichweitenanalyse sowie die statistische Analyse kann ein berechtigtes Interesse des Verantwortlichen sein. Zudem erkennt die DSK auch die Optimierung des Webangebots, die Wiederkennung und Merkmalszuordnung der jeweiligen Nutzer sowie die Betrugsprävention und die Abwehr etwaiger Bot- und/oder DDOS-Attacken als berechtigte Interessen des Verantwortlichen an (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 12).
Aktualisierung vom 06.05.2019
!
140.3Auf der zweiten Stufe gibt die DSK zu bedenken, dass die Verarbeitung stets zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich sein muss (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 13). Die intendierte Verarbeitung muss also der Verwirklichung des berechtigten Interesses dienlich sein. Gleichermaßen darf das Interesse nicht bereits durch mildere, also weniger eingriffsintensive Mittel erreicht werden (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 13).
Aktualisierung vom 06.05.2019
!
140.4Abschließend ist im Rahmen der dritten Stufe eine umfassende Interessenabwägung durchzuführen (vgl. dazu ausführlich Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 13 ff.). Wenngleich dabei nach Ansicht der DSK keine allgemeingültigen Regeln aufgestellt werden können, sollten sich die Verantwortlichen an den folgenden Grundsätzen orientieren:
 Verfassungsrechtlich fundierte Interessen, wie etwa das Grundrecht auf den Schutz personenbezogener Daten gem. Art. 8 GRCh, sind höher zu gewichten als einfach-rechtliche Interessen.
 Dient das vorab benannte und berechtigte Interesse nicht nur dem Verantwortlichen, sondern gleichermaßen auch der Allgemeinheit, wie etwa im Bereich der Forschung, ist ein solches Interesse grundsätzlich höher zu gewichten.

Aktualisierung vom 06.05.2019
!
140.5Auch der EuGH hält fest, dass Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58 grundsätzlich dazu verpflichtet, Cookies auf Grundlage einer klaren und umfassend informierten Einwilligung zu setzen (EuGH v. 01.10.2019 - C-673/17 Rn. 46 - ECLI:EU:C:2019:801). Daraus folgt allerdings nicht, dass für jedweden Cookie-Einsatz nunmehr die Einwilligung der betroffenen Personen erforderlich ist. Vielmehr sieht Art. 5 Abs. 3 Satz 2 der Richtlinie 2002/58 ausdrücklich vor, dass eine Einwilligung der betroffenen Nutzer dann nicht erforderlich sein soll, wenn die „technische Speicherung“ unbedingt erforderlich ist, um den jeweiligen Dienst zur Verfügung zu stellen. Mithin ist davon auszugehen, dass sich das Gebot der Einwilligung auch in Zukunft lediglich auf das Setzen von werbebezogenen, technisch also nicht notwendigen Cookies bezieht.
Aktualisierung vom 15.10.2019
!
141Freilich kann das Vorgehen der Datenschutzkonferenz auch kritisch gesehen werden, da es letztlich dem Gesetz- beziehungsweise dem Verordnungsgeber obliegt, die Datenschutzanforderungen an Cookie- beziehungsweise Tracking-Mechanismen zu bestimmen.293 Für den Rechtsanwender bietet die Positionsbestimmung jedoch einen wichtigen Anhaltspunkt bis zur endgültigen Klärung durch die Legislative.
(d) Social Plug-ins
 
141.1Hinsichtlich der konkreten Ausgestaltung etwaiger „Cookie-Banner“ zur Einholung der überwiegend erforderlichen Einwilligungserklärungen hat sich zwischenzeitlich auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) geäußert (Bayerisches Landesamt für Datenschutzaufsicht, 8. Tätigkeitsbericht 2017/2018, 2019, S. 55). Bei der Einholung einer Einwilligung durch eine vorgeschaltete Webseite oder Web-App sind insbesondere die folgenden Anforderungen zu beachten (vgl. hierzu Bayerisches Landesamt für Datenschutzaufsicht, 8. Tätigkeitsbericht 2017/2018, 2019, S. 55):
 Bei dem erstmaligen Aufruf der Webseite muss das Banner, beispielsweise als eigenständiges HTML-Element, erscheinen. Vorweg muss das Banner zunächst alle verarbeitungsrelevanten Skripte der Webseite oder App blockieren. Erst nachdem der Nutzer eine hinreichend informierte Einwilligung, beispielsweise durch das (proaktive) Setzen eines Häkchens innerhalb des Banners, erteilt hat, dürfen etwaige Verarbeitungsprozesse initiiert werden.
 Inhaltlich muss das Element alle einwilligungsbedürftigen Verarbeitungsvorgänge ausweisen, wobei insbesondere über die beteiligten Akteure sowie über die beabsichtigten Funktionen informiert werden muss. Bestenfalls sollten die Nutzer über ein Auswahlmenü entscheiden können, welche Funktionen aktiviert werden sollen. Dabei sollte der Verantwortliche darauf achten, dass nicht nur Cookie-spezifische Verarbeitungstätigkeiten ausgewiesen werden, sondern gleichermaßen auch weitere einwilligungsbedürftige Verarbeitungen im Zusammenhang mit dem Aufruf der Webseite oder der App.
 Um den Nachweispflichten des Art. 7 Abs. 1 DSGVO zu entsprechen, ist der Verantwortliche in der Pflicht die Entscheidungen des Nutzers zu speichern. Zu diesem Zweck ist es nicht erforderlich, den Nutzer direkt zu identifizieren, eine indirekte Identifizierung ist ausreichend.

Aktualisierung vom 09.05.2019
!
141.2In diesem Sinne hält der EuGH fest, dass die betroffenen Personen in die Lage versetzt werden müssen, die Konsequenzen ihrer Einwilligung abschätzen zu können (EuGH v. 01.10.2019 - C-673/17 Rn. 74 - ECLI:EU:C:2019:801). Mithin muss bei der Ausgestaltung der Einwilligung darauf geachtet werden, dass die Einwilligung „[…] in voller Kenntnis der Sachlage erteilt wird.“ (EuGH v. 01.10.2019 - C-673/17 Rn. 74 - ECLI:EU:C:2019:801). Entsprechende Cookie-Consent-Banner müssen daher nach der Überzeugung des EuGH klar, verständlich sowie hinreichend detailliert sein. Insgesamt muss die betroffene Person auf Grundlage der erteilten Informationen in die Lage versetzt werden, „[…] die Funktionsweise der verwendeten Cookies zu verstehen.“ (EuGH v. 01.10.2019 - C-673/17 Rn. 46 - ECLI:EU:C:2019:801).
Aktualisierung vom 15.10.2019
!
142Viele Diensteanbieter ermöglichen ihren Nutzern, Inhalte von Telemedien, wie bspw. Videoclips, Bilder oder Presseartikel, im Wege eines E-Mail-Formulars („Tell-a-friend-Funktion“294) Dritten zu empfehlen. Inhalte können auch in virtuellen Lesezeichen-Registern, sog. Social-Bookmarking-Systemen, gesammelt und verwaltet werden.295 Unter Social Plug-ins296 werden kleine Anwendungen verstanden, die zur Weiterempfehlung von Inhalten eine vorhandene Verbindung zu einem sozialen Netzwerk nutzen, um darin die Empfehlung automatisch, vergleichbar mit RSS-Feeds, zu verbreiten. Social Plug-ins werden von Facebook, Google und vielen weiteren Netzwerken verwendet. 
143Mit Hilfe der beliebten Social Plug-ins297 können hochqualitative Persönlichkeitsprofile und dazu Zielgruppen mit gleichen oder ähnlichen Bedürfnissen für personalisierte Werbemaßnahmen erzeugt werden298. Ferner kann mit Hilfe des Like-Buttons ein kostenloses Empfehlungsmarketing betrieben werden.299 
144Im April 2010 hat Facebook den sogenannten Like-Button („Gefällt mir“) vorgestellt.300 Der kleine Button ermöglicht Facebook-Mitgliedern, ihren Kontakten („Freunden“) Medieninhalte zu empfehlen. Mit einem Klick auf den Like-Button erzeugt Facebook automatisch eine kleine Nachricht, sog. News Feed, die innerhalb von Facebook eingesehen werden kann.301 Nach den Untersuchungen des Yahoo Labs haben die Nutzer in einem Zeitraum von drei Monaten bspw. 6,8 Mio. mal Artikel der New York Times auf Facebook empfohlen, und einen einzelnen Beitrag aus dem Wall Street Journal mehr als 340.000 mal als empfehlenswert bewertet.302 
145Der Like-Button wird vom Diensteanbieter in seine Webseiten eingebettet. Über das Facebook-Portal kann für eine bestimmte URL einer Webseite eine sog. Inlineframe-Programmzeile (iframe) oder ein JavaScript generiert und in den eigenen HTML-Code kopiert werden. Der Like-Button beinhaltet Webtracking-Funktionen, die der Diensteanbieter im Wege der Facebook-Webseite nutzen kann. 
146Unstreitig ist, dass mit Hilfe des Like-Buttons personenbezogene Daten über denjenigen Nutzer einer Webseite erhoben werden, der auch über einen Nutzeraccount bei Facebook verfügt.303 Durch den Like-Button werden personenbezogene Daten des Betroffenen erhoben, da dieser über den Facebook-Cookie eindeutig als Facebook-Nutzer identifiziert werden kann.304 
147Facebook erhebt und verarbeitet die personenbezogenen Daten mit Hilfe des Like-Buttons und ist daher verantwortliche Stelle i.S.v. Art. 4 Nr. 7 (zum Begriff des datenschutzrechtlich Verantwortlichen Rn. 202 ff.).305 Der Diensteanbieter wird dabei insbesondere nicht als Auftragsverarbeiter tätig, da es regelmäßig an den Voraussetzungen des Art. 28 DSGVO fehlt. 
148Weiterhin kann noch nicht abschließend beurteilt werden, ob der Diensteanbieter, der mit der Einbettung des Like-Buttons die Datenverarbeitung ermöglicht hat, ebenfalls als verantwortliche Stelle zu bewerten ist.306 Ein entsprechender Vorlagebeschluss wurde dem EuGH zuletzt durch das OLG Düsseldorf vorgelegt. Insbesondere soll die Frage geklärt werden, ob ein Webseitenbetreiber durch die Einbindung des „Like-Buttons“ datenschutzrechtlich verantwortliche Stelle im Sinne von Art. 2 lit. d der Datenschutzrichtlinie ist.307 Dabei scheint das OLG Düsseldorf ähnlich wie das BVerwG308 zur Ablehnung der datenschutzrechtlichen Verantwortlichkeit zu tendieren, indem es darauf hinweist, dass der Einbindende weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden. Zudem mache die Gegenansicht eine derartige Einbindung praktisch unmöglich, denn der hierdurch ausgelöste Datenverarbeitungsvorgang sei für den Einbindenden nicht zu kontrollieren. Diese Auffassung ist allerdings durchaus angreifbar, weshalb bei der Einbindung von Social-Plug-ins weiterhin Vorsicht geboten ist.309 Eine weitere Vorlagefrage des OLG Düsseldorf behandelt die Problematik, ob in zivilrechtlicher Hinsicht Art. 2 lit. d der Datenschutzrichtlinie insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortende Datenschutzverstöße ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.310 Ansonsten scheint das OLG Düsseldorf eine Haftung des Einbindenden für eventuelle Verstöße von Facebook als „Störer“ in Betracht zu ziehen, wie sie das BVerwG bereits angedeutet hatte.311 
149Entgegen der Ansicht des OLG Düsseldorf vertritt der mit der Rechtssache betraute Generalanwalt Bobek die Meinung, dass der Betreiber einer Webseite, auf der ein Plug-in eines Dritten wie etwa der Facebook-Gefällt-mir-Button eingebunden wird, als teils datenschutzrechtlich mitverantwortlich eingeordnet werden müsse.312 Jedenfalls im Kontext solcher Verarbeitungsvorgänge, für die der Webseitenbetreiber einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste, muss nach Überzeugung des Generalanwalts eine gemeinsame Verantwortlichkeit zwischen dem Dritten und dem Webseitenbetreiber angenommen werden.313 Im konkreten Fall kommt der Generalanwalt zu der Überzeugung, dass der Webseitenbetreiber sowie Facebook Ireland zumindest in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten die Mittel und Zwecke der Datenverarbeitung gemeinsam festlegen und daher als gemeinsam Verantwortliche einzuordnen seien.314 Soweit es an einer solchen gemeinsamen Zweck- und Mittelfestlegung fehle, wie etwa bei den vorhergehenden sowie den nachfolgenden Datenverarbeitungsvorgängen, sei eine gemeinsame Verantwortlichkeit allerdings abzulehnen.315 Zusammengefasst führt der Generalanwalt aus, „[…] dass eine Person […], die ein Plug-in eines Dritten in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung personenbezogener Daten des Nutzers veranlasst (wobei der betreffende Dritte das Plug-in bereitgestellt hat), als ein für die Verarbeitung Verantwortlicher im Sinne des Art. 2 Buchst. d der Richtlinie 95/46 anzusehen ist. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung personenbezogener Daten leistet.“316 
150Wenngleich auch im Kontext dieser Entscheidung festzuhalten ist, dass die Schlussanträge des Generalanwalts für den Gerichtshof nicht bindend sind, so ist diesen jedenfalls eine gewisse Indizwirkung für das letztliche Urteil zuzusprechen. Eine wirksame Einwilligung in die Datenverarbeitung des Like-Buttons kommt zumeist nicht in Betracht, da weder Facebook noch die Diensteanbieter eine den Anforderungen des Art. 7 DSGVO genügende Erklärung vorhalten.317 Auch diesbezüglich wird es auf die entsprechende Entscheidung des EuGH ankommen, wobei den Schlussanträgen des Generalanwalts entnommen werden kann, dass zumindest dieser der Ansicht ist, dass es auf eine wirksame Einwilligungserklärung gegenüber dem Webseitenbetreiber ankommen solle.318 
151Ob eine gesetzliche Erlaubnis einschlägig ist, wird unterschiedlich beurteilt. Soweit der Like-Button selbst als Telemedium verstanden wird, kann die Datenverarbeitung zur Identifizierung des Nutzers und zur Bereitstellung der Facebook-Funktionalitäten erforderlich sein.319 In Betracht kommt zudem eine Rechtfertigung auf Grundlage berechtigter Interessen gem. Art. 6 Abs. 1 Satz 1 lit. f DSGVO wobei insbesondere Marketing respektive Werbung berechtigte Interessen im Sinne der Norm darstellen können.320 Auch diesbezüglich ist die Entscheidung des EuGH abzuwarten.
(e) Browser-Fingerprint
 
151.1Der EuGH hat sich mit Urteil vom 29.07.2019 weitestgehend der Ansicht des Generalanwalts angeschlossen. Das Gericht stellte fest, dass die Einbindung eines Social Plug-Ins im Rahmen einer Webseite eine gemeinsame Verantwortlichkeit im Sinne des Datenschutzrechts zwischen dem Betreiber der Webseite und dem Anbieter des Plug-Ins begründen kann. Diesbezüglich führt das Gericht aus, dass der Betreiber der Webseite durch die Einbindung des Plug-Ins maßgeblich über das Mittel der Datenerhebung sowie letztlich auch über das Mittel der Datenübermittlung an den Anbieter des Plug-Ins entscheidet (EuGH v. 29.07.2019 - C-40/17 Rn. 78 - ECLI:EU:C:2019:629). Hinsichtlich der gemeinsamen Zweckfestlegung zielt der EuGH insbesondere darauf ab, dass sowohl der Betreiber der Webseite als auch der Anbieter des Plug-Ins mit der jeweiligen Einbindung gemeinsame wirtschaftliche Interessen verfolgen (EuGH v. 29.07.2019 - C-40/17 Rn. 80 - ECLI:EU:C:2019:629). Einschränkend hält aber auch der Gerichtshof fest, dass sich die gemeinsame Verantwortlichkeit lediglich auf jene Bereiche erstreckt, in denen der Webseitenbetreiber tatsächlichen Einfluss auf die Zwecke und Mittel der fraglichen Verarbeitung geltend machen kann (EuGH v. 29.07.2019 - C-40/17 Rn. 85 - ECLI:EU:C:2019:629). Mithin liegt die gemeinsame Verantwortlichkeit auch nach der Überzeugung des EuGH lediglich in der Phase der Erhebung und der Weitergabe der personenbezogenen Daten durch Übermittlung vor (EuGH v. 29.07.2019 - C-40/17 Rn. 85 - ECLI:EU:C:2019:629).
Aktualisierung vom 20.08.2019
!
152Neben der Zuordnung von Nutzungsprofilen zu Nutzern durch IP-Adressen, hinterlegten Cookies oder Spyware besteht nach neuen Erkenntnissen auch die Möglichkeit, aus der Konfiguration des Internetbrowsers einen eindeutigen Fingerabdruck, sog. Browser-Fingerprint, abzuleiten.321 
153Bei Browser-Fingerprinting handelt es sich um eine Methode, einen einzelnen Browser eindeutig zu identifizieren. Dabei wird auf Daten zurückgegriffen, die von jedem Browser automatisch preisgegeben werden. Der Host, die Browserversion, der sog. User Agent String, Header und Detailinformationen zu Plug-ins (Java, Quicktime, etc.), Zeitzone, Monitorkonfiguration, Systemschriftarten, Konfiguration bzgl. Cookies und Supercookies werden fortlaufend vom Browser an den Server übermittelt. Aus der Kombination dieser browserspezifischen Daten kann ein eindeutiger „Fingerabdruck“ des Browsers erzeugt werden.322 
154Die Konfigurationsdaten des Browsers, die unter dem Schlagwort Browser-Fingerprint zusammengefasst werden, können Einzelangaben über persönliche und sachliche Verhältnisse gem. Art. 4 Nr. 1 DSGVO enthalten. Browser-Fingerprints sind daher personenbezogene Daten, wenn der Nutzer für den Diensteanbieter bereits eine identifizierte oder identifizierbare Person darstellt. In Betracht kommt dabei, dass aufgrund des Browser-Fingerprints die Namens- und Adressdaten oder personenbezogenes Zusatzwissen aus Nutzer- oder Nutzungsprofilen wie die Browser-History, Eingaben bei Suchmaschinen, Cookies oder die IP-Adresse für den Verantwortlichen ersichtlich sind.323 
155Neben dem Browser-Fingerprinting bestehen noch weitere technische Methoden zur Zuordnung von Internetnutzern zu einem bestimmten Gerät bzw. Internetzugang, wobei insbesondere dem Canvas-Fingerprinting in letzter Zeit verstärkt Bedeutung zukommt.324 Vereinfacht dargestellt wird bei dieser Methode der Browser des Internetnutzers veranlasst, für den Nutzer nicht erkennbar ein Bild bzw. Canvas zu erstellen. Beim Rendern der Canvas-Elemente entstehen somit zunächst unscheinbare Abweichungen – etwa durch individuelle Einstellungen des Browsers, des Betriebssystems und der installierten Schriftarten –, die aber im Quelltext erkennbar sind und so ein Tracking des Nutzers ermöglichen.325
(f) Geodaten
 
156Ein wesentliches Problem bei der rechtlichen Beurteilung von Geodaten bzw. der Erhebung und Verarbeitung solcher Daten im Rahmen von Geoinformationssystemen ist die Frage, ob und inwieweit es sich dabei überhaupt um personenbezogene Daten im Sinne des Datenschutzrechts handelt.326 Da Geodaten grundsätzlich als rechnerlesbare Geoinformationen und selbige als Informationen über Sachverhalte und Objekte mit Raumbezug definiert werden können, stellt sich also die Frage, inwieweit für sie der Anwendungsbereich der Datenschutzgesetze eröffnet sein kann. Der Datenschutz bei Geodaten muss demnach bei der Feststellung anknüpfen, dass Geoinformationen zunächst ortsbezogen und gerade nicht personenbezogen sind. Freilich können diese ortsbezogenen Informationen nach den Umständen des Einzelfalles als personenbezogenes Datum zu qualifizieren sein. 
157Das Problem bei Geodaten bzw. Geoinformationen besteht grundsätzlich darin, dass sich die Abgrenzung, wann es sich um ein datenschutzrechtlich nicht geschütztes Sachdatum handelt und in welchen Fällen ein Personenbezug vorliegt, für den Einzelfall als sehr schwierig erweisen kann.327 In der Literatur werden verschiedene Ansätze vertreten, wie die Abgrenzung zwischen reinen Sachdaten und personenbezogenen Daten bei Geoinformationen unter Berücksichtigung des informationellen Selbstbestimmungsrechts, aber auch der wirtschaftlichen Interessen der Betreiber von Geoinformationssystemen, zielführend durchgeführt werden kann. Generell muss zwischen den in Art. 4 Nr. 1 DSGVO genannten Kriterien als mögliche Abgrenzungskriterien im Rahmen von Geoinformationen unterschieden werden, die für eine Eröffnung des Anwendungsbereichs des Datenschutzrechts kumulativ vorliegen müssen: das Merkmal der Informationen (1), die sich auf eine natürliche Person (2) beziehen und einer identifizierten oder identifizierbaren Person (3) zuzuordnen sind. Die Auslegung und Gewichtung dieser Merkmale für die Einordnung von Geoinformationen als Sachdatum oder personenbezogenes Datum wird teils sehr unterschiedlich beurteilt. Die wesentlichen Linien des so geführten Streits sollen im Folgenden dargestellt werden. 
158Sehr häufig wird bei der Abgrenzung zwischen Sachdatum und personenbezogenem Datum das Merkmal der Identifizierbarkeit als wesentliches Abgrenzungskriterium herangezogen. Eine (ortsbezogene) Geoinformation, die keine unmittelbare Verbindung zur Identität einer Person darstellt, soll immer dann ein personenbezogenes Geodatum darstellen, wenn der von der Geoinformation Betroffene identifizierbar im Sinne des Art. 4 Nr. 1 DSGVO ist. Dabei ist die genaue Auslegung und Anwendung des Merkmals der Identifizierbarkeit selbst eine kontrovers diskutierte Angelegenheit (vgl. dazu Rn. 103 ff.). 
159Darüber hinaus wird der Anwendung des Merkmals der Identifizierbarkeit als wesentliches Abgrenzungskriterium für die Frage des Personenbezuges zum Teil vorgeworfen, dass es vor allem im Bereich der Geodaten zu weit führe. Gerade bei Angaben, die sich auf eine Sache beziehen, also bei sach- oder ortsbezogenen Angaben, bestünde eine nur mittelbare Betroffenheit des Einzelnen. Bei Geoinformationen würde die durch das Merkmal des Personenbezugs intendierte Begrenzungsfunktion aufgehoben. Generell müsse das Merkmal des Personenbezugs sowohl bei Personen-, Sach- als auch bei Sach-Personen-Beziehungen restriktiv ausgelegt werden. Denn in beiden Fällen könne jede sachbezogene Angabe ein personenbezogenes Datum mit Blick auf die Personen sein, die eine irgendwie geartete Beziehung zu dem betreffenden Gegenstand aufweisen würden.328 Die demnach notwendige restriktive Auslegung des personenbezogenen Datums in Abgrenzung zum Sachdatum bedeute, dass in der Regel nur solche Angaben über eine Sache als personenbezogenes Datum des Eigentümers, Besitzers usw. angesehen werden könnten, welche die Sache identifizieren und sie in dem nach dem jeweiligen Lebenszusammenhang zur Beschreibung der Sachbeziehung notwendigen Umfang charakterisierten.329 
160Wieder andere streben die Beurteilung des Personenbezugs von Geodaten im Rahmen abstrakter Kategorisierungen und allgemeiner Fallgruppen an. Im Rahmen einer abgestuften Schutzwürdigkeit soll sich der Personenbezug des Datums und der Intensität der Verbindung zwischen Person und Gegenstand bemessen lassen.330 Dabei werden insbesondere vier Kategorien unterschieden, bei denen in unterschiedlicher Intensität ein Personenbezug gegeben sei. Lokalisierungen von Personen im Sinne einer Ermittlung des Aufenthaltsortes seien demnach ebenso personenbezogen wie Informationen über den Ort eines der Person zuzuordnenden Gegenstandes.331 Handele es sich um Informationen zu einem Ort, der mit besonders persönlichkeitsrelevanten Tatsachen in einem untrennbaren Verhältnis stehe (z.B. Wohnort), sei ein Personenbezug regelmäßig anzunehmen.332 Hingegen umfasse eine vierte Kategorie Angaben über Orte, die eine eigentumsrechtliche Zuordnung zum Betroffenen erlauben könnten und bei denen eine Personenbeziehbarkeit das Datenschutzrecht nur dann zur Anwendung kommen lasse, wenn sie sich auf die Individualität einer Person bezöge.333 
161Eine andere Ansicht möchte im Bereich der Geoinformationen das Merkmal der Identifizierbarkeit als wesentliches Abgrenzungsmerkmal hinter andere Abgrenzungskriterien zurücktreten lassen. Die Identifizierbarkeit bei Geodaten zum primären Abgrenzungsmerkmal zu erheben, würde das Datenschutzrecht beim Gegenstand ansetzen lassen, anstatt beim Betroffenen anzusetzen.334 Die Frage des Personenbezugs im Rahmen von Geodaten darauf zu reduzieren, ob eine Person identifizierbar sei, müsse die Tatsache, dass bei allen Geoinformationen grundsätzlich ein Personenbezug hergestellt werden könne, durch unscharfe und letztlich willkürliche, weil nicht aus dem Gesetz ableitbare, Mittel- bzw. Grenzwerte der Identifizierbarkeit überdecken.335 Zielführender sei im Rahmen der Abgrenzungstechnik, den Merkmalen der Informationen im Sinne des Art. 4 Nr. 1 DSGVO entsprechendes erhöhtes Gewicht beizumessen. Nach dieser Ansicht sind Geodaten daher immer dann als personenbezogen einzustufen, wenn kumulativ die folgenden Voraussetzungen vorliegen: Sie werden einer Person, die zunächst nicht zwangsläufig identifizierbar sein muss, zugeordnet oder sie sind von der datenverarbeitenden Stelle (auch zusammengefasst) dazu bestimmt, einer Person zugeordnet zu werden (1); die Daten müssen geeignet sein, ein sachliches Verhältnis einer Person zu beschreiben, was eine kontextbezogene Verarbeitung in dem Sinne voraussetzt, dass Identität, Merkmale oder Verhalten einer Person betroffen sind, die beeinflussen sollen, wie eine Person behandelt oder beurteilt wird (2), und die betroffene Person identifiziert bzw. ohne unverhältnismäßigen Aufwand identifizierbar ist.336
(g) Pseudonymisierung
 
162Die DSGVO definiert den Vorgang der Pseudonymisierung in Art. 4 Nr. 5 DSGVO. Demnach ist die Pseudonymisierung ein Verarbeitungsvorgang, welcher zur Folge hat, dass das verarbeitete personenbezogene Datum ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann. Vorausgesetzt wird allerdings, dass die zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können. 
163Dabei ist allerdings grundlegend zu beachten, dass bei der Pseudonymisierung anders als bei der Anonymisierung (vgl. dazu Rn. 171) der Personenbezug erhalten bleibt.337 Darüber hinaus verdeutlicht die Begriffsdefinition des Art. 4 Nr. 5 DSGVO, dass der Vorgang der Pseudonymisierung eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellt und somit dem grundsätzlichen Verbot mit Erlaubnisvorbehalt des Art. 6 Abs. 1 Satz 1 DSGVO unterfällt.338 
 bb. Bezugshandlung des Datenschutzrechts: die Verarbeitung 
164Die DSGVO greift bei der Definition des Verarbeitungsbegriffs im Wesentlichen auf die Begriffsbestimmung der Datenschutzrichtlinie zurück (vgl. dazu bereits Rn. 20).339 Mithin bestimmt Art. 4 Nr. 2 DSGVO, dass unter den Begriff der Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen ist. Darunter fallen gem. Art. 4 Nr. 2 DSGVO insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 
165Die Aufzählung ist dabei nicht abschließend zu verstehen, vielmehr wird letztlich jeder Vorgang erfasst, der unmittelbar oder jedenfalls mittelbar auf das personenbezogene Datum einwirkt.340 In Zweifelsfällen sollte wegen der sehr weit gefassten Definitionen des „Verarbeitens“ bei einem Umgang mit personenbezogenen Daten von einem datenschutzrechtlich relevanten Vorgang ausgegangen werden. 
 cc. Bereichsausnahmen (Art. 2 Abs. 2 DSGVO) 
166In den Fällen des Art. 2 Abs. 2 DSGVO findet die Verordnung ausdrücklich keine Anwendung. Von zentraler Bedeutung sind dabei insbesondere die Vorgaben des Art. 2 Abs. 2 lit. a, c sowie d DSGVO. 
167Art. 2 Abs. 2 lit. a DSGVO stellt unmissverständlich klar, dass die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten in den Bereichen findet, welche nicht Bestandteil des Unionsrechts sind. Der Vorschrift kommt, bereits wegen fehlender Gesetzgebungskompetenz341 der Union nach Art. 16 Abs. 2 AEUV, der wiederum auf die Art. 3, 4, 6 EUV verweist342, lediglich deklaratorische Bedeutung zu343. 
168Art. 2 Abs. 2 lit. b DSGVO nimmt eine Verarbeitung durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die unter die Art. 23-42 EUV fallen, also die Gemeinsame Außen- und Sicherheitspolitik betreffen, vom Anwendungsbereich der DSGVO aus. 
169Art. 2 Abs. 2 lit. c DSGVO überführt die sogenannte „Haushaltsausnahme“344 der Datenschutzrichtlinie (Art. 3 Abs. 2 der Richtlinie) in das Regelungsregime der DSGVO. Mithin findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Als natürliche Person (vgl. zum Begriff Rn. 96 ff.) gelten auch Personenmehrheiten, die als rein private Kooperation organisiert sind, nicht jedoch eingetragene Vereine oder sonstige NGOs.345 Die Tätigkeit ist ausschließlich346 persönlicher oder familiärer347 Art, wenn sie ohne jeglichen beruflichen oder wirtschaftlichen348 Bezug vorgenommen wird349. Diesbezüglich ist auf die Verkehrsanschauung abzustellen.350 Einer besonderen Beziehung zum Betroffenen bedarf es allerdings nicht.351 Insbesondere auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten könnte der Bereichsausnahme unterfallen.352 Die Zurverfügungstellung von Instrumenten353, die Datenverarbeitungen und damit auch die an sich privilegierte Tätigkeit ermöglicht, unterfällt jedoch dem Anwendungsbereich des DSGVO354. 
170Art. 2 Abs. 2 lit. d DSGVO regelt, dass die DSGVO bei der Verarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, nicht anwendbar ist. Der Behördenbezug ist streng zu verstehen, sodass „private Verantwortliche“ dem Anwendungsbereich der DSGVO unterfallen.355 Der Betroffenenschutz bestimmt sich in diesem Fall nach der JI-RL (vgl. dazu sowohl Rn. 59 als auch Rn. 885 ff.) als eigenem Unionsrechtsakt im Sinne des Erwägungsgrundes 19 DSGVO.356 Zu beachten ist auch die Sonderstellung der Gerichte, vgl. insoweit Erwägungsgrund 20 DSGVO. 
 dd. Anonymisierung 
171Im Fall anonymisierter Daten ist die Identifizierbarkeit der natürlichen Person regelmäßig ausgeschlossen. Diesbezüglich stellt Erwägungsgrund 26 Satz 5 klar, dass „[die] Grundsätze des Datenschutzes […] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. 
172Unter einer anonymen Nutzung eines Dienstes ist daher eine Nutzung zu verstehen, bei der der Diensteanbieter die entsprechenden Einzelangaben nicht mehr bzw. nur mit einem unverhältnismäßig hohen Aufwand einer bestimmbaren Person zuordnen kann (zu der Frage der Identifizierbarkeit vgl. Rn. 110 ff.). 
173Es wird teilweise vertreten, dass ein Diensteanbieter im Internet selbst keine anonyme Nutzung seines Telemediendienstes anbieten könne, da er zur Kommunikation mit dem Nutzer zumindest dessen IP-Adresse benötige und diese ein personenbezogenes Datum sein kann.357 Allerdings stellt die IP-Adresse eines Nutzers für einen Telemediendiensteanbieter nicht notwendigerweise ein personenbezogenes Datum dar, da er oftmals die IP-Adresse mit den ihm zur Verfügung stehenden Mitteln keiner bestimmten Person zuordnen kann (vgl. dazu Rn. 120 ff.). Derartige Diensteanbieter im Internet können daher sehr wohl eine anonyme Nutzung ihres Dienstes anbieten. 
 c. Eröffnung des räumlichen Anwendungsbereichs (Art. 3 DSGVO) 
174Eine zentrale Weichenstellung der DSGVO ist die Einführung des Marktortprinzips, welches bereits seitens des EuGH im Fall Google Spain angedeutet worden war.358 Der primäre Anknüpfungspunkt für die EU-Datenschutzgesetzgebung ist damit nicht mehr die Niederlassung innerhalb der EU. Die DSGVO greift bereits dann, wenn die Datenverarbeitung Personen betrifft, die sich zur Zeit der Datenverarbeitung in der EU aufhalten, und diesen Personen Produkte und Dienstleistungen angeboten werden oder das Verhalten dieser Personen überwacht wird. Der territoriale Anwendungsbereich der DSGVO erstreckt sich mithin auch auf in Drittstaaten niedergelassene Auftragsverarbeiter.359 
 aa. Die Unionsniederlassung des Verantwortlichen (Art. 3 Abs. 1 DSGVO) 
175Art. 3 Abs. 1 DSGVO eröffnet den räumlichen Anwendungsbereich der DSGVO, soweit Daten im Rahmen der Tätigkeit einer Niederlassung in der EU verarbeitet werden. Wo die Verarbeitung tatsächlich stattfindet, ist ausweislich des Normwortlauts irrelevant, der Bezug auf die EU bezieht sich allein auf die Niederlassung, sodass auch die Verarbeitung außerhalb der Union erfasst wird, wenn oben genannter Zusammenhang besteht.360 
176Eine ausdrückliche Definition des Begriffs der Niederlassung fehlt.361 Aus Erwägungsgrund 22 DSGVO ergibt sich jedoch, dass eine Niederlassung die „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ voraussetzt, wobei deren Rechtsform unerheblich ist.362 Hinsichtlich der Festigkeit ist auf die tatsächlichen Umstände abzustellen, sodass selbst interne Abteilungen eine Niederlassung darstellen können, sofern persönliche und sachliche Mittel zusammenwirken, die erforderlich für die Tätigkeit sind, und ein gewisser Grad an Beständigkeit besteht.363 Mobile Geschäftsstätten genügen jedoch nicht.364 
177Die Datenverarbeitung muss im Rahmen der Tätigkeit also im Sinne eines Zusammenhangs365 erfolgen. Ausreichend hierfür ist eine geschäftliche Verbindung in Form einer wirtschaftlichen, untrennbaren Verknüpfung366, wobei grundsätzlich ein großzügiger367 Maßstab anzulegen ist. 
 bb. Das Markortprinzip als Erweiterung des räumlichen Anwendungsbereichs der DSGVO (Art. 3 Abs. 2 DSGVO) 
178Art. 3 Abs. 2 DSGVO eröffnet den Anwendungsbereich der DSGVO über Art. 3 Abs. 1 DSGVO hinaus auch dann, wenn keine Niederlassung in der EU besteht, aber eine sich in der EU aufhaltende Person betroffen ist. Anknüpfungspunkt ist demnach der Marktort. 
179Dieser liegt zum einen innerhalb der EU, wenn Personen in der EU Waren oder Dienstleistungen angeboten werden (lit. a). Hinsichtlich des Begriffs der Ware ist, mangels Definition, auf die Judikatur des EuGH zur Warenverkehrsfreiheit im Sinne der Art. 28 ff. AEUV abzustellen.368 Dasselbe gilt entsprechend für erbrachte Dienstleistungen, welche sich nach den Vorgaben des Art. 57 AEUV bemessen. Auf die Entgeltlichkeit kommt es jedoch im Unterschied dazu nicht an.369 
180Der Begriff des Angebots ist europarechtlich autonom und insbesondere anhand des Erwägungsgrundes 23 Satz 2 DSGVO auszulegen. Allen voran muss die Abgabe eines Angebots offensichtlich beabsichtigt worden sein.370 Dabei kann allerdings bereits eine invitatio ad offerendum genügen371, während die bloße Zugänglichkeit der Webseite oder von Kontaktdaten nicht ausreichend ist372. Abzustellen ist auf den Ort, an dem das Angebot unterbreitet wird, nicht dagegen auf den Leistungsort373. 
181Zum anderen ist der Marktort auch dann in der EU zu verorten, wenn das Verhalten von Personen in der EU beobachtet wird (lit. b). Das ist nach Erwägungsgrund 24 DSGVO dann der Fall, wenn Tracking-Techniken374 eingesetzt werden, um die Internetaktivitäten nachzuvollziehen (sog. Webtracking375), einschließlich möglicher nachfolgender Verwendung (insb. Profiling im Sinne von Art. 4 Nr. 4 DSGVO). Hinsichtlich des Orts des Verhaltens ist auf die Belegenheit der technischen Geräte abzustellen.376 Ob auch ein Verhalten, das keine Internetaktivität zum Gegenstand hat, erfasst ist, scheint fraglich.377 
 2. Allgemeine Grundsätze bei der Verarbeitung personenbezogener Daten 
182Die zentralen Datenverarbeitungsgrundsätze finden sich in Art. 5 DSGVO. Die Grundsätze verlangen insbesondere, dass die Verarbeitung personenbezogener Daten rechtmäßig, fair und transparent abläuft, nur für spezifische, explizite und legitime Zweck erfolgt, und auf das für die Zweckerreichung Notwendige begrenzt bleibt. Diese Grundsätze folgen mittelbar aus dem Grundrecht auf Schutz personenbezogener Daten in Art. 8 GRCh (vgl. dazu Rn. 14 ff.). 
 a. Das Verbotsprinzip des Art. 6 Abs. 1 Satz 1 DSGVO 
183Die Verarbeitung personenbezogener Daten stellt stets einen Eingriff in die Grundrechte der Betroffenen dar (vgl. dazu Rn. 9 ff.).378 Das nunmehr in Art. 6 Abs. 1 Satz 1 DSGVO verankerte „Verbot mit Erlaubnisvorbehalt“379 stellt sicher, dass datenschutzrechtlich relevante Vorgänge nur dann rechtmäßig sind, wenn eine Rechtsvorschrift dies gestattet oder der Betroffene eingewilligt hat. Der Umgang mit personenbezogenen Daten ist folglich nicht grundsätzlich erlaubt, sondern bedarf einer ausdrücklichen Ermächtigung. Eine gesetzliche Ermächtigung kann sich dabei sowohl aus der DSGVO, aus dem BDSG, aber auch aus den bereichsspezifischen Datenschutzvorschriften (vgl. dazu auch Rn. 77 ff.) ergeben. 
184In diesem Zusammenhang gilt es zu berücksichtigen, dass jede einzelne datenschutzrechtlich relevante Handlung eigenständige Grundrechtsrelevanz aufweist, weswegen der Verantwortliche in jeder Phase der Datenverarbeitung auf das Vorliegen einer eigenständigen Ermächtigungsgrundlage angewiesen ist. 
185In der wissenschaftlichen Reformdiskussion ist das Verbot mit Erlaubnisvorbehalt gerade in jüngerer Zeit ganz erheblicher Kritik ausgesetzt.380 Angesichts der rasanten Ausweitung der Datenverarbeitung sei dieses Prinzip zumindest im nicht-öffentlichen Bereich kaum noch geeignet, um einen sachgerechten Grundrechtsschutz zu gewährleisten.381 Mithin berücksichtige das Verbot mit Erlaubnisvorbehalt weder die schützenswerten Grundrechtspositionen der Verantwortlichen, noch differenziert dieses hinreichend zwischen den unterschiedlichen Verbotsadressaten.382 An seine Stelle müsse daher bspw. ein abwägungsfähiges Schutzmodell gesetzt werden, wobei die Regelungsziele des Datenschutzes nicht wesentlich geändert würden.383 
186Diese Kritik am Verbot mit Erlaubnisvorbehalt wird seitens der Befürworter eines restriktiveren Datenschutzes unter Verweis auf verfassungsrechtliche Gewährleistungsansprüche zurückgewiesen.384 Weichert etwa weist auf die naheliegenden Bedenken hin, wonach mittels der Aufgabe des Verbots mit Erlaubnisvorbehalt vor allem die Interessen der Wirtschaft und der Sicherheitsverwaltung bedient werden könnten.385 Dem steht allerdings der grundrechtliche Datenschutz entgegen, wonach es in erster Linie den Betroffenen obliegt, über ihre personenbezogenen Daten zu verfügen.386 
187Das Verbot mit Erlaubnisvorbehalt ist sowohl auf primärrechtlicher als auch auf nationaler verfassungsrechtlicher Ebene verankert. Diesbezüglich führt Art. 8 Abs. 2 Satz 1 GRCh aus, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen (vgl. dazu auch Rn. 19 ff.). Im Bereich des Grundgesetzes kann das Verbot mit Erlaubnisvorbehalt auf die Vorgaben des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG gestützt werden, welches das BVerfG im „Volkszählungsurteil“387 entwickelt hat (vgl. dazu Rn. 27 ff.). Hiernach soll der Einzelne grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können. 
188Wenn weder eine gesetzliche Erlaubnis noch eine Einwilligung vorliegt, ist die betreffende Datenerhebung bzw. -verwendung rechtswidrig. Insbesondere ist eine Verarbeitung, die weder durch eine Ermächtigungsgrundlage abgedeckt ist, und für die keine Einwilligung vorliegt, gem. Art. 83 Abs. 5 lit. a bußgeldbewehrt. Bei Verstößen droht eine Geldbuße in Höhe von bis zu 20.000.000 € respektive im Falle eines Unternehmens in Höhe von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres. 
 b. Grundsatz der Transparenz 
189Art. 5 Abs. 1 lit. a DSGVO beinhaltet einen allgemeinen Transparenzgrundsatz. Mithin müssen personenbezogene Daten für die betroffene Person in einer nachvollziehbaren Weise verarbeitet werden. 
190Der Betroffene kann von seiner informationellen Selbstbestimmung nur dann effizient Gebrauch machen, wenn die Datenverarbeitung transparent ausgestaltet ist.388 Erst das Verständnis um die datenschutzrechtlich relevanten Vorgänge ermöglicht es, Risiken und Gefahren zu erkennen und ggf. notwendige Beschränkungen auszusprechen. 
191Die Verpflichtung, für Transparenz zu sorgen, wird gerade im digitalen Kontext häufig nur unzureichend berücksichtigt. Neue undurchsichtige Geschäftsmodelle der sozialen Netzwerke oder Suchmaschinen stehen oftmals im Widerspruch zu den Individualinteressen.389 Über das übliche Maß hinaus ist der Nutzer auf diesem Gebiet von den ihm seitens der Betreiber zur Verfügung gestellten Informationen abhängig und zudem regelmäßig nicht in der Lage, sich die komplexen Geschäftsmodelle in der für eine konsequente Rechtewahrnehmung erforderlichen Weise zu erschließen. 
 c. Grundsatz der Zweckbindung 
192Die Zulässigkeit einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist zudem maßgeblich von der Beachtung des Grundsatzes der Zweckbindung abhängig. Die datenschutzrechtlich relevante Handlung darf nur zur Erfüllung der in der diesbezüglich herangezogenen gesetzlichen Grundlage genannten Zielsetzung bzw. der getroffenen Einwilligungsvereinbarung erfolgen. Seine gesetzliche Grundlage findet der Grundsatz nunmehr in Art. 5 Abs. 1 lit. b DSGVO. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden, eine Weiterverarbeitung zu anderen Zwecken hat grundsätzlich zu unterbleiben. Vielmehr bedarf eine Zweckänderung als eigenständiger Eingriff in die informationelle Selbstbestimmung grundsätzlich einer eigenen Ermächtigungsgrundlage.390 
193Der Zweckbindungsgrundsatz untersagt die Zusammenführung der bei verschiedenen Stellen vorhandenen Daten und wirkt somit der Erstellung von Persönlichkeitsprofilen, die ein Gesamtbild der in den Daten verkörperten sozialen Beziehungen offenbaren können, entgegen. Auch der Zweckbindungsgrundsatz soll für den Nutzer letztlich eine transparente Datenverarbeitung gewährleisten. Dieser soll sicher sein können, dass seine personenbezogenen Daten, die zu einem bestimmten Zweck erhoben wurden, grundsätzlich auch nur zu gerade diesem Zweck verwendet werden. Die erforderliche Transparenz der Datenverarbeitung ist bei Ermächtigungsgrundlagen, die eine Datenerhebung zu unbestimmten Zwecken ermöglichen, nicht gegeben. Solche Vorschriften verstoßen gegen den verfassungsrechtlichen Grundsatz der Bestimmtheit und Normenklarheit.391 
194Beispiel: Werden die Adresse und Telefonnummer eines Nutzers im Rahmen einer reinen Verfügbarkeitsprüfung für eine Internet-Breitbandverbindung erhoben, dürfen diese Daten dann nicht ohne eine entsprechende Einwilligung des Nutzers zu Marketingzwecken genutzt werden. 
195So wünschenswert der Zweckbindungsgrundsatz aus datenschutzrechtlicher Perspektive ist, so sehr stellt er Verantwortliche insbesondere im Kontext etwaiger Big Data-Anwendungen vor Herausforderungen. Mithin widerspricht das Konzept der klaren und eindeutigen Zweckfestlegung zum Zeitpunkt der Datenerhebung grundsätzlich einer weiterführenden, oftmals vorab gerade nicht festgelegten Auswertung der Datensätze, wie dies bei Big Data-Analysen regelmäßig der Fall ist.392 Sofern die Zweckänderung nicht über den Kompatibilitätstest des Art. 6 Abs. 4 DSGVO393 beziehungsweise über weitergehende gesetzliche Bestimmungen wie etwa §§ 23, 24 BDSG gerechtfertigt werden kann, verbleibt den Verantwortlichen daher regelmäßig nur der Ausweg, die vorgesehene Zweckänderung erneut über einen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO zu legitimieren.394 Für den Fall, dass der Verantwortliche dabei auf das Instrument der Einwilligung zurückgreifen möchte, ist dieser wiederum gehalten, die strengen Anforderungen an die Bestimmtheit und Informiertheit der Erklärung hinreichend zu berücksichtigen (vgl. dazu auch Rn. 258 ff.).395 Vor diesem Hintergrund wird bereits vertreten, dass die Abwägungsbestimmung des Art. 6 Abs. 1 Satz 1 lit. f DSGVO bei Big Data-Anwendungen „[…] ein höchst relevanter Auffangtatbestand“ sei.396 
 d. Grundsatz der Erforderlichkeit, der Datenminimierung und der Speicherbegrenzung 
196Maßnahmen der Datenverarbeitung müssen sich auf das zur Zweckerreichung erforderliche Maß beschränken.397 Mit anderen Worten dürfen also so viele Daten wie nötig, aber gleichzeitig nur so wenig wie möglich gesammelt und verwendet werden. Eine Bevorratung von personenbezogenen Daten für künftige Zwecke ist grundsätzlich unzulässig. Dem tragen auch die in Art. 5 Abs. 1 lit. c und lit. e niedergelegten Prinzipien der Datenminimierung und der Speicherbegrenzung Rechnung, welche zwingend Bestandteil eines guten datenschutzrechtlichen Grundkonzeptes sein müssen. 
197Die technische Ausgestaltung der Datenverarbeitungsanlagen bleibt dabei allerdings dem Verantwortlichen überlassen, ist aber an diesen Grundsätzen auszurichten. Hierdurch wird insbesondere unternehmerischen Interessen, die auf die eigenständige Organisation eines Gewerbebetriebs und weitgehend unbeeinflusste unternehmerische Entscheidungsspielräume ausgerichtet sind, Rechnung getragen. 
198Das Prinzip der Datenminimierung versteht sich schließlich auch als Mahnung an den Bürger, keine Daten preiszugeben, soweit dies nicht unbedingt erforderlich ist. 
 e. Effektive Datenschutzkontrolle 
199Angesichts der begrenzten Steuerungsmöglichkeiten des Gesetzgebers, der häufig mangelhaften Transparenz der Datenverarbeitungsprozesse und deren für den Normalbürger nur schwer erschließbaren technischen Rahmenbedingungen bedarf es einer effektiven und unabhängigen Datenschutzkontrolle, die den Bürger bei der Durchsetzung seiner Interessen unterstützt und sich zudem eigenständig für das informationelle Selbstbestimmungsrecht der Betroffenen stark macht.398 Datenschutz darf in diesem Zusammenhang nicht lediglich als Gewährleistung der informationellen Selbstbestimmung als Abwehrrecht gegenüber dem Staat verstanden werden, sondern muss vielmehr auch verstärkt die Kontrolle des privaten Bereichs erfassen. 
 f. Selbst- und Systemdatenschutz 
200Zunehmend an Bedeutung gewinnt im digitalisierten Alltag der Gedanke des Selbstdatenschutzes.399 Hiernach ist der Staat insbesondere gehalten, den Bürger zu effektiven Schutzvorkehrungen zu befähigen und dessen Medienkompetenz auszubauen.400 Albrecht bemängelt in diesem Zusammenhang, dass der zunehmende Bedarf an Medienkompetenz noch immer nicht in den Lehrplänen von Schulen und anderen Bildungseinrichtungen Berücksichtigung findet und dass Schulen mitunter sogar zu innovationsfeindlichen Orten erklärt werden.401 Bender nimmt hinsichtlich der Förderung von Medienkompetenz zudem die Diensteanbieter in die Pflicht.402 Diese seien aufgrund ihrer Verantwortung sowie geschäftsbedingter Interessen nicht nur verpflichtet, personenbezogene Daten optimal zu schützen. Vielmehr träfe gerade diejenigen Diensteanbieter, die in besonders großem Umfang personenbezogene Daten ihrer Nutzer verarbeiten, die Pflicht, auf eine Steigerung der Medienkompetenz ihrer Nutzer hinzuwirken.403 Im Ergebnis müsse jeder Nutzer befähigt werden, auf Grundlage einer informierten Einwilligung selbst über die Preisgabe seiner Daten zu entscheiden.404 Dazu gehöre auch, dass den Nutzern seitens der Diensteanbieter die Funktionsweise der Dienste erläutert werde, damit sie verstehen können, wie sie sich selbst am besten schützen können.405 Eine restriktive, auf die Wahrung von Geschäfts- und Betriebsgeheimnissen gestützte Informationspolitik kann dann allerdings nicht statthaft sein.406 
201Selbstdatenschutz kann dabei schon mit recht geringem Aufwand betrieben werden. So ist beispielsweise die Angabe der Telefonnummer nicht erforderlich, wenn man sich bei einem sozialen Netzwerk registriert. Hierbei können die Bemühungen eines sorgsam auf die Preisgabe seiner Daten achtenden Bürgers mittels technischer Schutzvorkehrungen unterstützt werden.407 
 IV. Der datenschutzrechtlich Verantwortliche 
 1. Der Adressat der datenschutzrechtlichen Pflichten 
202Während das BDSG a.F. von der „verantwortlichen Stelle“ gesprochen hat (vgl. § 3 Abs. 7 BDSG a.F.), findet sich nunmehr in der DSGVO der Begriff des „Verantwortlichen“, ohne dass damit eine wesentliche inhaltliche Änderung einhergeht.408 Die Legaldefinition des Verantwortlichen findet sich in Art. 4 Nr. 7 HS. 1 DSGVO. Verantwortlich ist der Definition zur Folge die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Handelnder hinter einer juristischen Person ist regelmäßig z.B. – im Falle einer GmbH – der Geschäftsführer oder – im Falle einer AG – der Vorstand; bei einer Behörde409 agiert ihr Behördenleiter410, wodurch auch in diesen Fällen wiederum stets eine natürliche Person angesprochen und damit letztendlich persönlich verantwortlich ist411. 
203Aus Art. 5 Abs. 2 DSGVO, der statuiert, dass der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Verarbeitungsgrundsätze verantwortlich ist und dahingehend auch Rechenschaft leisten muss, ergibt sich das – der gesamten DSGVO konzeptionell zu Grunde liegende – Prinzip der Eigenverantwortlichkeit.412 Aus der Stellung des Verantwortlichen als primärer Normadressat der datenschutzrechtlichen Pflichten413 folgt, dass dessen Ermittlung (nicht nur) für die Aufsichtsbehörden von zentraler Bedeutung ist414. Dies gilt in besonderem Maße für Internet- bzw. technologiebasierte Sachverhalte mit mehreren – mitunter gestuft – beteiligten Stellen415, wie z.B. Transaktionen mithilfe der Blockchain-Technologie416, Fanpages auf Facebook (hierzu Rn. 761), Smart Services417 und vernetzte Fahrzeuge418. Weitere bereits in der Literatur diskutierte bzw. zumindest angesprochene Themenbereiche betreffen das Franchising419 und die betriebliche Mitbestimmung420. Hintergrund ist, dass bei Überschreiten der Grenzen des einzelnen Verantwortlichen stets eine – rechtfertigungsbedürftige – Verarbeitung in Form der Offenlegung durch Übermittlung personenbezogener Daten vorliegt (vgl. Art. 4 Nr. 2 DSGVO). 
204Ein Konzerndatenschutz dahingehend, dass ein Zusammenschluss von mehreren, rechtlich selbstständigen Unternehmen als ein Verantwortlicher im Sinne des Datenschutzrechts gilt, besteht auch nach der DSGVO nicht.421 Jedoch werden – wie aufgezeigt – die „gemeinsam Verantwortlichen“ schon in der Begriffsbestimmung des Art. 4 Nr. 7 HS. 1 DSGVO angesprochen. Eine gesonderte Regelung findet sich in Art. 26 DSGVO (siehe Rn. 209 ff.). Das Institut der gemeinsamen Verantwortlichkeit war schon in der Datenschutzrichtlinie vorgesehen (vgl. dort Art. 2 lit. d Satz 1), fand jedoch im BDSG a.F. keine Umsetzung.422 
 2. Der (alleinige) Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO 
205Kennzeichnend für den Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO ist ausweislich des Normwortlauts die Entscheidungsgewalt über Zwecke und Mittel der Verarbeitung. Art. 4 Nr. 7 HS. 2 DSGVO statuiert überdies, dass im Falle der Festlegung beider vorgenannter Parameter durch Unionsrecht oder dem Recht der Mitgliedstaaten auch der Verantwortliche bzw. die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden können. Dies ermöglicht dem nationalen Gesetzgeber im öffentlichen Bereich eine gerechte und zweckgemäße (Um-)Verteilung der Zuständigkeiten.423 Von dieser Möglichkeit hat der deutsche Gesetzgeber in § 45 Satz 2 BDSG Gebrauch gemacht. Er erklärt die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen im Rahmen des Anwendungsbereichs der Richtlinie (EU) 2016/680 zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr für datenschutzrechtlich verantwortlich. 
206Aus der notwendigen Entscheidungshoheit folgt, dass der Verantwortliche auch rechtlich und/oder tatsächlich bestimmenden Einfluss auf die Datenverarbeitung ausübt. Dabei verlangt dies nicht in jedem Fall eine inhaltliche Verantwortung, vielmehr genügt grundsätzlich bereits eine „rein technische“.424 Relevant wird dies etwa bei Internetforen, sozialen Netzwerken (vgl. zum Praxisbeispiel der Facebook-Fanpages Rn. 768) und Website-Hostprovidern.425 
207Für die Einordnung als Verantwortlicher bedarf es außerdem einer gewissen organisatorischen Selbstständigkeit.426 Damit einher geht jedoch nicht zwingend die Eigenschaft als Rechtsträger, nachdem es sich bei dem Verantwortlichen schon dem Wortlaut der Legaldefinition in Art. 4 Nr. 7 HS. 1 DSGVO nach auch um Behörden, Einrichtungen und sonstige Stellen handeln kann. 
208Das Handeln von Beschäftigten wird dem Verantwortlichen unter drei kumulativen Voraussetzungen zugerechnet:427
 1.Der Beschäftigte nimmt die relevanten datenschutzrechtlichen Verarbeitungstätigkeiten unter der unmittelbaren Verantwortung des Verantwortlichen vor, was aus der Abgrenzung zum „Dritten“ folgt, vgl. Art. 4 Nr. 10 DSGVO.
 2.Der Beschäftigte ist in den Organisationsbereich des Verantwortlichen eingegliedert.
 3.Der Beschäftigte ist dem Verantwortlichen unmittelbar rechtlich unterworfen. Diese Anforderung ergibt sich ihrerseits aus der Abgrenzung zum Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO.
 
208.1Während Verarbeitungsprozesse der Arbeitnehmer in aller Regel der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers unterfallen, stellt sich die Frage, ob auch Verarbeitungsvorgänge des Betriebsrats der datenschutzrechtlichen Verantwortung des Arbeitgebers zugerechnet werden müssen. Unter Berücksichtigung der Vorgaben der DSGVO, konkret der Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO, mehren sich Stimmen innerhalb der Aufsichtsbehörden, die den Betriebsrat als eigenständigen Verantwortlichen ansehen möchten. Wenngleich etwa der Präsident des BayLDA die Auffassung vertritt, dass der Betriebsrat nicht als Verantwortlicher einzustufen sei, weist dieser darauf hin, dass die Mehrheit der deutschen Aufsichtsbehörden wohl der Meinung ist, dass der Betriebsrat als Verantwortlicher einzustufen sei, wobei auch diese konstatieren, dass „[…] die Gegenargumente […] nicht unbeachtlich [seien]“ (vgl. Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1, 2). Eine abschließende, einheitliche Stellungnahme der Datenschutzkonferenz fehlt bislang (Bonanni/Niklas, ArbRB 2018, 371, 372).
Aktualisierung vom 27.05.2019
!
208.2Das der Betriebsrat allerdings auch weiterhin nicht als Verantwortlicher im Sinne des Datenschutzrechts zu qualifizieren ist, kann mit guten Gründen vertreten werden (in diesem Sinne: Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1, 2; Hitzelberger-Kijima, öAT 2018, 136, 138; Bonanni/Niklas, ArbRB 2018, 371, 372; Gola in: Gola, DSGVO, 2. Aufl. 2018, Art. 4 Rn. 56; Seifert in: Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 88 DSGVO Rn. 209; für eine Verantwortlichkeit des Betriebsrats etwa: Kleinebrink, DB 2018, 2566, 2567). Somit ist der Betriebsrat, anders als etwa der Arbeitgeber, nicht völlig frei in der Zweckbestimmung der jeweiligen Verarbeitung. Vielmehr ergeben sich die Zwecke der Verarbeitung regelmäßig aus den Vorgaben des Betriebsverfassungsgesetzes (BetrVG). Auch die Mittel der Verarbeitung liegen regelmäßig nicht in der Dispositionsbefugnis des Betriebsrates. Vielmehr ist der Arbeitgeber gem. § 40 Abs. 2 BetrVG dazu gehalten, die Mittel der Verarbeitung – also allen voran solche der Informations- und Kommunikationstechnik – zur Verfügung zu stellen (Kranig/Wybitul/Zimmer-Helfrich, ZD 2019, 1; Bonanni/Niklas, ArbRB 2018, 371, 373).
Aktualisierung vom 27.05.2019
!
208.3Das Bundesarbeitsgericht hat die Frage, ob der Betriebsrat als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO eingestuft werden muss, jüngst offengelassen (vgl. BAG v. 07.05.2019 - 1 ABR 53/17). Das Gericht hält im Rahmen seiner Entscheidung fest, dass der Betriebsrat bei der Verarbeitung personenbezogener Daten die einschlägigen Bestimmungen des Datenschutzrechts einhalten muss. Diese Pflicht ergibt sich bereits unmittelbar aus den Vorgaben des Datenschutzrechts, da die Verarbeitung personenbezogener Daten (auch durch den Betriebsrat) nur unter dessen Voraussetzungen zulässig ist. Dies gilt, so das BAG, unabhängig davon, ob der Betriebsrat der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers unterfällt oder dieser als eigenständig Verantwortlicher eingestuft werden muss (BAG v. 07.05.2019 - 1 ABR 53/17 Rn. 45).
Aktualisierung vom 15.10.2019
!
 3. Die gemeinsame Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO i.V.m. Art. 26 DSGVO 
209Wie eingangs dargestellt, geht die Legaldefinition des Art. 4 Nr. 7 DSGVO bereits auf die „joint controllers“ ein. Mit Art. 26 DSGVO ist ihnen zusätzlich eine eigenständige Vorschrift gewidmet. Abzugrenzen von der gemeinsamen Verantwortlichkeit ist der Fall, dass lediglich mehrere Verantwortliche vorhanden sind, die nebeneinander selbstständig für verschiedene Bereiche verantwortlich sind.428 Bei der gemeinsamen Verantwortlichkeit geht es vielmehr um ein bewusstes und gewolltes Zusammenwirken.429 So erklärt Art. 26 Abs. 1 Satz 1 DSGVO zwei oder mehr Verantwortliche zu gemeinsam Verantwortlichen, wenn sie die Zwecke der und die Mittel zur Verarbeitung gemeinsam festlegen. 
210Die Norm darf allerdings nicht dahingehend verstanden werden, dass diese die Verarbeitung durch mehrere Verantwortliche „privilegiert“.430 Vielmehr wird auch im Rahmen der gemeinsamen Verantwortlichkeit vorausgesetzt, dass ein jeder Verarbeitungsvorgang durch den jeweils Verantwortlichen auf Grundlage einer eigenständigen Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO erfolgt.431 
211Sinn und Zweck der europäischen Vorgaben zur gemeinsamen Verantwortlichkeit ist die normative Anerkennung von tatsächlichen Kooperationsformen der digitalen Welt wie etwa das arbeitsteilige Zusammenwirken in sozialen Netzwerken, bei Online-Plattformen, Apps, Cloud-Computing etc.432 Hierdurch lassen sich die Rechte und Freiheiten der Betroffenen effektiv schützen, sofern – wie Art. 5 Abs. 1 lit. a DSGVO im Allgemeinen und Erwägungsgrund 79 DSGVO im Besonderen festlegen – eine klare Zuteilung von Verantwortlichkeiten und Transparenzpflichten vorhanden ist. Diesen Anforderungen möchte Art. 26 DSGVO konkret dahingehend beikommen, dass die Vorschrift eine Pflicht zum Abschluss einer Vereinbarung – im Sinne einer vertraglichen Einigung433 – enthält, die bestimmte (Mindest-434)Inhalte aufweisen muss (vgl. Absatz 1 Satz 2: konkrete Aufteilung der Pflichten nach der DSGVO zwischen den Verantwortlichen, dies insbesondere mit Blick auf die Wahrnehmung der Betroffenenrechte; siehe zu den Betroffenenrechten im Einzelnen Rn. 352; Absatz 2 Satz 1 DSGVO: tatsächliche Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Betroffenen), andere hingegen lediglich kann (vgl. Absatz 1 Satz 3: Anlaufstelle für die Betroffenen). 
212Dem Ziel einer hinreichenden Transparenz soll zum einen dadurch Rechnung getragen werden, dass die Vereinbarung nach Art. 26 Abs. 1 DSGVO die Festlegungen ausdrücklich „in transparenter Form“ zu treffen hat, was einen gewissen Grad an Anschaulichkeit435 sowie Detailliertheit436 voraussetzt. Zum anderen statuiert Art. 26 Abs. 2 Satz 2 DSGVO eine Offenlegungspflicht gegenüber den Betroffenen dergestalt, dass ihnen die „wesentlichen Inhalte“ der Vereinbarung zur Verfügung gestellt werden müssen, was etwa einzelne Regelungen zur Vertraulichkeit und/oder Sanktionsvorschriften im Innenverhältnis ausschließt.437 
213Wenngleich auch die Vorschrift keine expliziten Formanforderungen stellt, ergibt sich aus der Offenlegungspflicht, dass die Vereinbarung jedenfalls elektronisch verfügbar sein muss, etwa – als eigener Menüpunkt438 – über die Internetseite des Unternehmens439. Zudem legen auch die zum Teil detaillierten Anforderungen an den Inhalt nahe, dass diese nicht durch eine rein mündliche Absprache ausreichend erfüllt werden können. Selbiges ergibt sich im Übrigen auch bereits aus dem Transparenzerfordernis. Art. 26 Abs. 3 DSGVO legt schließlich fest, dass die Aufteilung der Pflichten im Innenverhältnis keine Auswirkungen auf die Stellung als Verantwortlicher im Außenverhältnis hat, wodurch sich eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen nach § 421 BGB ergibt (vgl. in diesem Zusammenhang auch Art. 82 Abs. 4 DSGVO).440 Die betroffenen Personen können daher ihre Rechte weiterhin bei und gegenüber jedem einzelnen Verantwortlichen geltend machen. Dies ist wiederum Ausfluss des Prinzips der Eigenverantwortlichkeit (vgl. Rn. 203). 
214Verstöße der Verantwortlichen gegen die Vorgaben des Art. 26 DSGVO ziehen gem. Art. 83 Abs. 4 lit. a DSGVO eine bußgeldbewehrte Ordnungswidrigkeit nach sich. Einen denkbaren Anwendungsfall bildet dabei etwa der Abschluss einer Vereinbarung zwischen den gemeinsam Verantwortlichen, ohne dass daraus hervorgeht, wie die datenschutzrechtlichen Pflichten zwischen den Vertragspartnern aufgeteilt sind.441 Vor Androhung bzw. Verhängung einer Geldbuße wird die zuständige Aufsichtsbehörde in diesem Fall jedoch aller Voraussicht nach erst innerhalb angemessener Frist die Vervollständigung der Vereinbarung verlangen.442 
215§ 63 BDSG regelt auf nationaler Ebene annähernd inhaltsgleich die gemeinsame Verantwortlichkeit für den Anwendungsbereich der Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Im Anwendungsbereich des § 63 BDSG sind die Verantwortlichen allerdings nicht gehalten, die erforderliche Vereinbarung über die gemeinsame Verantwortlichkeit zu offenbaren.443 Für nicht-öffentliche Stellen finden sich insoweit keine ergänzenden Vorschriften im BDSG. 
 4. Sonderfall: die Datentreuhänderschaft 
216Wie schon im BDSG a.F. findet sich auch in der DSGVO keine Regelung zum Datentreuhänder, wobei eine gesetzliche Verankerung mitunter schon lange gefordert wird.444 Datentreuhänder werden in der Praxis als unabhängige Einrichtungen eingesetzt, z.B. in Gestalt eines Notars, die etwa im Bereich der Forschung personenbezogene Daten in anonymisierter oder zumindest pseudonymisierter Form aufbewahren, die ihrerseits wiederum für die Verknüpfung von Daten aus verschiedenen Quellen benötigt werden.445 
217Einen weiteren denkbaren Anwendungsfall bildet der Bereich des Cloud-Computings, konkret mit Blick auf die Modelle einer „deutschen Cloud“ (siehe hierzu allgemein Rn. 658 ff.). Insbesondere vor dem Hintergrund der Gefahr der Datenoffenbarung auf Grundlage des US-amerikanischen CLOUD Acts (Clarifying Lawful Overseas Use of Data Act)446 werden Datentreuhändermodelle innerhalb unterschiedlicher Cloud-Lösungen diskutiert. Gestützt auf die Vorgaben des CLOUD Acts können US-amerikanische Ermittlungsbehörden einen Durchsuchungsbefehl (Search Warrant) beantragen, welcher die betroffenen US-amerikanischen Diensteanbieter zur Aushändigung der geforderten Datensätze verpflichtet.447 Nicht entscheidend ist dabei, ob sich die Datensätze innerhalb der USA befinden, sodass beispielsweise auch personenbezogene Daten in Deutschland auf Grundlage des CLOUD Acts herausgegeben werden könnten. Die Pflicht zur Herausgabe erstreckt sich allerdings nach den Vorgaben des CLOUD Acts lediglich auf solche Daten, über die das betroffene Unternehmen tatsächlich verfügen kann. Im Umkehrschluss könnte das zur Folge haben, dass die Pflicht zur Herausgabe dann ausgeschlossen ist, wenn das betroffene Unternehmen keine Möglichkeit hat, über die Daten zu verfügen.448 An diesem Punkt setzt das Cloud-Datentreuhändermodell an, indem der (US-amerikanische) Diensteanbieter zwar Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO bleibt, die tatsächliche Verfügungsbefugnis über die Daten jedoch einem (deutschen) Treuhänder übergeben wird.449 Mangels entsprechender Verfügungsbefugnis könnte der Diensteanbieter nicht zur Herausgabe der (personenbezogenen) Daten auf Grundlage des CLOUD Acts gezwungen werden.450 Problematisch ist dabei allerdings, dass auch zahlreiche deutsche Unternehmen, welche als Treuhänder in Betracht kommen, eine Niederlassung in den USA betreiben, sodass es zumindest denkbar ist, dass US-Amerikanische Behörden das Herausgabeverlangen unmittelbar an den Treuhänder richten.451 
 5. Sonderfall: Verantwortlichkeit innerhalb der Blockchain 
218Auch innerhalb neuer, komplexer und allen voran dezentraler Systeme stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Wenngleich insbesondere im Kontext etwaiger Blockchain-Anwendungen452 maßgeblich pseudonymisierte Datensätze (zur Pseudonymisierung vgl. insb. Rn. 162) verarbeitet werden, wird dadurch die Anwendbarkeit des Datenschutzrechts nicht ausgeschlossen.453 Mithin können jedenfalls Intermediäre wie Wechselstuben oder aber etwaige Vertragspartner anhand zusätzlicher Informationen die Identität einzelner Blockchain-Teilnehmer bestimmen.454 Insbesondere für den Fall, dass es auf Grundlage einer Blockchain-Anwendung zu einer Leistungsbeziehung kommen soll, wäre eine rein anonyme Nutzung des Dienstes sogar hinderlich.455 
219Im Kontext zulassungsbeschränkter, also geschlossener („unechter“) Blockchains456 ist die Bestimmung des Verantwortlichen in der Regel leicht vorzunehmen. Verantwortlich ist regelmäßig der Intermediär, der die Zwecke und Mittel im Rahmen der geschlossenen Blockchain festliegt, den Dienst also in aller Regel betreibt.457 
220Die Bestimmung des Verantwortlichen im Rahmen einer „echten“ Blockchain, welche sich maßgeblich dadurch kennzeichnet, ohne einen entsprechenden Intermediär auszukommen, ist hingegen problematisch. Mithin kann gerade nicht auf eine zentrale Stelle, welche die Zwecke und Mittel der Verarbeitung festlegt, zurückgegriffen werden.458 Insbesondere vor dem Hintergrund der jüngeren EuGH-Rechtsprechung zur gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DSGVO (vgl. dazu insb. Rn. 774 ff.) kommt allerdings eine gemeinsame Verantwortlichkeit zwischen den einzelnen Nutzern und dem jeweiligen Diensteanbieter in Betracht.459 Für diese Lösung spricht, dass der Diensteanbieter grundlegend den Zweck und die Mittel der Verarbeitung innerhalb der jeweiligen Blockchain-Anwendung festlegt, der Nutzer hingegen die Zwecke und Mittel der Verarbeitung durch den tatsächlichen Einsatz der Anwendung im konkreten Fall bestimmt.460 
 6. Die Auftragsverarbeitung (Art. 28 DSGVO) 
 a. Allgemeines 
221Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Demnach soll es dem Verantwortlichen ermöglicht werden, seinen Handlungsradius durch Auslagerung der Datenverarbeitungsvorgänge auszuweiten.461 
222Sinn und Zweck dieses rechtlichen Instituts ist es, den wirtschaftlichen und zeitlichen Aufwand, den die immer komplexer werdenden Datenverarbeitungsvorgänge mit sich bringen, zu minimieren.462 Gleichzeitig wird der Datenverarbeiter in der Sphäre des Verantwortlichen angesiedelt, sodass es sich nicht um einen Dritten i.S.v. Art. 4 Nr. 10 DSGVO handelt. Demnach handelt es sich, aus deutscher Sicht weiterhin, um einen Fall der Privilegierung.463 Dies bedeutet jedoch nicht zwingend, dass keine Rechtsgrundlage für die Weitergabe der Daten notwendig ist.464 
223Noch nicht abschließend ist dabei geklärt, auf welcher Rechtsgrundlage die Weitergabe der Daten im Rahmen der Auftragsverarbeitung gerechtfertigt ist. Mithin wird vertreten, dass die Verarbeitung in diesem Kontext auf Grundlage der allgemeinen Rechtfertigungstatbestände, insbesondere Art. 6 Abs. 1 Satz 1 lit. f DSGVO, zulässig ist.465 Nach anderer Ansicht genügt bereits, dass die Voraussetzungen des Art. 28 DSGVO erfüllt sind.466 Mit Blick darauf, dass die Auftragsverarbeitung eine Form der Privilegierung darstellt, ist es überzeugend, allein auf die Vorgaben des Art. 28 DSGVO abzustellen.467 
224Die Auftragsverarbeitung wird dem Grundgedanken nach den Zwecken des Auftraggebers untergeordnet, der Auftragsverarbeiter handelt „ohne eigenen Wertungs- und Entscheidungsspielraum“.468 Es handelt sich demnach gerade nicht um einen Fall gemeinsamer Verantwortlichkeit, der sich durch Gleichberechtigung auszeichnet.469 Unschädlich ist aber, wenn dem Auftragsverarbeiter ein gewisser Spielraum, etwa bei einem Cloud-Anbieter hinsichtlich der eingesetzten Mittel, eingeräumt ist.470 Dies gilt jedenfalls hinsichtlich der Art, nicht aber des Zwecks der Verarbeitung.471 Der Rechtsfigur der „Funktionsübertragung“ bedarf es somit nur noch am Rande.472 
224.1Klassische Fälle der Auftragsverarbeitung sind beispielsweise im Bereich der Lohn- und Gehaltsabrechnung sowie im Rahmen der allgemeinen Finanzbuchhaltung durch externe Rechenzentren angesiedelt. Auch die Verarbeitung von Kundendaten sowie die Auslagerung des Dokumentenmanagements (Erfassung, Konvertierung, Digitalisierung, Entsorgung) sind in aller Regel Fälle der Auftragsverarbeitung (vgl. Datenschutzkonferenz, Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO, 2018, S. 4).
Aktualisierung vom 27.05.2019
!
224.2Keine Auftragsverarbeitung liegt in aller Regel bei der Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte oder auch Wirtschaftsprüfer), eines Inkassounternehmens, eines Bankinstituts zum Zwecke des Geldtransfers oder eines Postdienstes zum Zweck des Brieftransports vor (Datenschutzkonferenz, Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO, 2018, S. 4).
Aktualisierung vom 27.05.2019
!
 b. Wesentliche Änderungen im Vergleich zu den Vorgaben des BDSG a.F. 
225Art. 28 Abs. 3 DSGVO verpflichtet den Verantwortlichen, mit dem Auftragsverarbeiter einen Vertrag zu schließen, der sich inhaltlich im Wesentlichen mit den Vorgaben aus § 11 Abs. 2 BDSG a.F. deckt.473 
226Den Vorgaben der DSGVO können darüber hinaus allerdings weitergehende Pflichten entnommen werden. Zu nennen sind dabei insbesondere die Hinweispflicht bei Datenschutzverletzungen, die Dokumentationspflicht bei Weisungen, die Hinweispflicht bei einer gesetzlichen Pflicht des Auftragsverarbeiters zur Übermittlung in ein Drittland, oder aber die Unterstützungspflicht des Auftragsverarbeiters für den Auftraggeber (Art. 30-34 DSGVO) sowie die Nachweispflicht gegenüber dem Auftraggeber bezüglich der Einhaltung der Voraussetzungen des Art. 26.474 
227Die Regelungen der DSGVO zur Auftragsdatenverarbeitung bringen aber auch Erleichterungen für die Person des Verantwortlichen mit sich. Nach den Vorgaben des BDSG a.F. war es insbesondere im Bereich des Cloud-Computings problematisch, den Prüfpflichten i.S.d. § 11 Abs. 2 Satz 4 BDSG a.F. nachzukommen (zu der Datenverarbeitung bei Cloud-Computing im Speziellen Rn. 659 ff.).475 Art. 28 Abs. 5 DSGVO hilft hier weiter, indem er die Einhaltung genehmigter Verhaltensregeln und Zertifizierung als „Faktor“ für hinreichende Garantien i.S.d. Art. 28 Abs. 1, Abs. 4 DSGVO gelten lässt (zur regulierten Selbstregulierung vgl. Rn. 513 ff.).476 
228Der Auftragsverarbeiter hat nun selbstständig datenschutzrechtliche Pflichten zu erfüllen:
 die Pflicht nach Art. 27 Abs. 1 DSGVO zur Bestellung eines Vertreters,
 die Pflicht nach Art. 30 Abs. 2 DSGVO zur Führung eines Verzeichnisses der im Auftrag durchgeführten Verarbeitungstätigkeiten,
 die Pflicht nach Art. 31 DSGVO zur Zusammenarbeit mit der Aufsichtsbehörde,
 die Pflicht nach Art. 32 Abs. 1 DSGVO zur Implementierung von technischen und organisatorischen Maßnahmen der Datensicherheit,
 die Pflicht nach Art. 37 Abs. 1 DSGVO zur Bestellung eines betrieblichen Datenschutzbeauftragten und
 die Pflicht nach Art. 44 DSGVO zur Beachtung der allgemeinen Grundsätze der Datenübermittlung in Drittländer.
 
 c. Voraussetzungen an die Auftragsverarbeitung nach den Vorgaben der DSGVO 
 aa. Ordnungsgemäße Auswahl 
229Nach Art. 28 Abs. 1 DSGVO muss der Auftragsverarbeiter „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ wird. Den Verantwortlichen trifft damit eine „Auswahlverantwortung“477, die sich in zeitlicher Hinsicht auf die gesamte Dauer der Datenverarbeitung erstreckt478. 
230Hierbei kann die „Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42“ als Nachweis herangezogen werden, Art. 28 Abs. 5 DSGVO. Dies soll die in der Praxis schwierig auszugestaltende Zuverlässigkeitsprüfung gerade im Online-Bereich erleichtern.479 Als entscheidungserhebliche Kriterien gelten insbesondere Fachwissen, Zuverlässigkeit und Ressourcen, vgl. Erwägungsgrund 81. 
 bb. Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter 
231Nach Art. 28 Abs. 3 Satz 1 DSGVO bedarf es eines „Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet“.480 
232Dieser ist grundsätzlich schriftlich abzufassen, wobei auch der Rückgriff auf elektronische Formate möglich ist, Art. 28 Abs. 9 DSGVO. Das elektronische Format ist nicht mit der elektronischen Form nach § 126a BGB gleichzusetzen.481 Ob die einfache E-Mail mit Blick auf die Dokumentations- und Nachweispflichten der DSGVO ausreichend ist, kann allerdings bezweifelt werden.482 
233Zu den notwendigen Vertragsbestandteilen gehören „Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen“, Art. 28 Abs. 3 Satz 1 DSGVO. Ferner ist insbesondere der Katalog des Art. 28 Abs. 3 Satz 2 DSGVO zu beachten. Inhaltlich sind diese Vorgaben mit denen des § 11 Abs. 2 BDSG a.F. vergleichbar.483 Der Vertrag kann nach Art. 28 Abs. 6 DSGVO auch auf Standardvertragsklauseln im Sinne des Art. 28 Abs. 7, 8 DSGVO beruhen, selbst wenn diese „Teil der gemäß den Artikeln 42 DSGVO und 43 DSGVO erteilten Zertifizierung“ sind. 
234Die Festlegung von Gegenstand484 und Dauer der Verarbeitung dürften ohnehin im IT-Outsourcingvertrag bzw. in den Service Level Agreements485 enthalten sein. Insoweit kann bei der entsprechenden Festlegung auf diese Vereinbarungen verwiesen werden486, wobei grundlegende Angaben zu Gegenstand und Dauer aber auch in der Auftragsverarbeitungsvereinbarung getroffen werden sollten487. 
235Im Einzelnen statuiert Art. 28 Abs. 3 Satz 2 lit. a DSGVO den Grundsatz der Weisungsgebundenheit nach Art. 29 DSGVO. Mithin darf die Datenverarbeitung nur auf dokumentierte Weisung hin geschehen. Dabei handelt es sich weniger um eine Formvorgabe, sondern vielmehr um eine Verpflichtung des Auftragsverarbeiters, entsprechende Weisungen zu dokumentieren.488 Wenngleich die Vorgaben des Art. 28 Abs. 3 Satz 2 lit. a DSGVO keine konkreten Angaben zu Art und Weise der Dokumentation treffen, sollte der Auftragsverarbeiter darauf achten, dass erteilte Weisungen auf Grundlage der Dokumentation hinreichend nachvollziehbar sind.489 Diesbezüglich bietet sich der Rückgriff auf elektronische oder schriftliche Mittel an.490 Im Rahmen der konkreten Vertragsgestaltung sollten sowohl die jeweiligen Weisungsbefugten auf Seiten des Verantwortlichen benannt491 als auch hinsichtlich der Dokumentation entsprechende Formvorgaben getroffen werden492. 
236Der Auftragsverarbeiter darf lediglich in den Fällen, in denen er auf Grundlage des unionalen oder des mitgliedstaatlichen Rechts zur (weiteren) Verarbeitung verpflichtet ist, vom Grundsatz der Weisungsgebundenheit abweichen. Mithin soll der Auftragsverarbeiter nicht vor die Wahl des Gesetzes- oder des Vertragsbruchs gestellt werden.493 Ergänzend sieht Art. 28 Abs. 3 Satz 2 lit. a HS. 2 DSGVO allerdings vor, dass der Auftragsverarbeiter dem Verantwortlichen in diesem Fall die entsprechenden rechtlichen Anforderungen vor der Verarbeitung mitteilt, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 
237Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen rechtswidrig ist, so ist der Auftragsverarbeiter gem. Art. 28 Abs. 3 Satz 3 DSGVO dazu verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren. In der Folge obliegt es dem Auftragsverarbeiter allerdings nicht, die Weisungen des Verantwortlichen stets auf ihre Rechtmäßigkeit hin zu überprüfen.494 Lediglich im Falle evidenter Rechtswidrigkeit oder aber positiver Kenntnis der Rechtswidrigkeit ist der Auftragsverarbeiter zur Mitteilung verpflichtet.495 
238Art. 28 Abs. 3 Satz 2 lit. b DSGVO verpflichtet zur Verschwiegenheit, so dass in der Konsequenz gewährleistet werden muss, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Wenngleich die DSGVO die Art und Weise der Verschwiegenheitsverpflichtung nicht weitergehend ausformuliert, ist diese mit den Vorgaben und Anforderungen des § 5 BDSG a.F. jedenfalls vergleichbar.496 Zwar sollte der Auftragsverarbeiter die entsprechenden Verschwiegenheitsverpflichtungen seiner Beschäftigten beweisfest vorhalten,497 eine unmittelbare Vereinbarung zwischen dessen Beschäftigten und dem Verantwortlichen ist allerdings nicht erforderlich498. 
239Weiterhin sind gem. Art. 28 Abs. 3 Satz 2 lit. c DSGVO alle erforderlichen Maßnahmen nach Art. 32 DSGVO zu ergreifen. Konsequenz der gegenüber § 9 BDSG a.F. konkreteren Vorschrift wird eine einzelfallorientiertere Maßnahmenfestlegung sein.499 Die Vorschrift soll dem Verantwortlichen „ein ergänzendes Handlungsinstrument […] aus eigenem vertraglichem Recht“500 gegen den Auftragsverarbeiter geben. Auch wenn der Wortlaut des Art. 28 Abs. 3 Satz 2 lit. c DSGVO nahelegt, dass im Rahmen des Auftragsverarbeitungsvertrages keine konkreten Maßnahmen zur Datensicherheit fixiert werden müssen, sollte dies bereits aus Gründen der Rechenschaftspflichten des Verantwortlichen gem. Art. 5 Abs. 2 DSGVO erfolgen.501 Die entsprechenden Maßnahmen sollten dem Vertrag als Anlage beigefügt und entsprechend dokumentiert werden.502 
240Darüber hinaus verpflichtet Art. 28 Abs. 3 Satz 2 lit. e DSGVO den Auftragsverarbeiter, den Verantwortlichen hinsichtlich technischer und organisatorischer Maßnahmen bei der Wahrnehmung der Betroffenenrechte nach Möglichkeit zu unterstützen. Davon umfasst sind insbesondere die in Art. 12-22 normierten Rechte, da der Verantwortliche diesen Verpflichtungen regelmäßig nicht ohne die Unterstützung des Auftragsverarbeiters nachkommen kann.503 Insbesondere soll die Unterstützungspflicht dazu beitragen, die Rechte der Betroffenen auch im Rahmen einer Auftragsverarbeitungskonstellation hinreichend zu gewährleisten.504 Diesbezüglich ist es ebenfalls empfehlenswert, entsprechend konkrete Bestimmungen im Rahmen der Vereinbarung zu treffen, wobei es auch denkbar ist, für unterschiedliche Unterstützungsleistungen gesonderte Vergütungsabreden zu treffen.505 
241Das einschränkende Kriterium „nach Möglichkeit“ stellt zugleich die Grenze der Zumutbarkeit für den Auftragsverarbeiter auf, die jeweils individuell hinsichtlich des jeweiligen Datenverarbeitungsvorgangs zu bestimmen ist.506 Als äußerte Grenze ist jedenfalls das rechtlich oder tatsächlich Unmögliche festzusetzen.507 
242Der Auftragsverarbeiter hat den Verantwortlichen gem. Art. 28 Abs. 3 Satz 2 lit. f DSGVO zudem bei der Einhaltung der Art. 32-36 DSGVO zu unterstützen. Als Grenze gelten die dem Auftragsverarbeiter tatsächlich zur Verfügung stehenden Informationen, neue Pflichten werden demnach nicht begründet.508 
243Gem. Art. 28 Abs. 3 Satz 2 lit. g DSGVO hat der Auftragsverarbeiter nach Ende der Verarbeitungsleistung sämtliche personenbezogene Daten nach Wahl zu löschen oder zurückzugeben, sofern keine Verpflichtung zur Speicherung besteht. Allerdings dürfen nach Sinn und Zweck keinerlei Daten beim Auftragsverarbeiter verbleiben.509 Einschränkend wird dabei vertreten, dass dies nur umgesetzt werden muss, soweit dies in der technischen Realität möglich ist.510 Auch diesbezüglich sollten die Beteiligten vor Beginn der Verarbeitung eine Regelung fixieren, um Rechtssicherheit nach Beendigung der Auftragsverarbeitung gewährleisten zu können.511 
244Der Auftragsverarbeiter unterliegt zudem gem. Art. 28 Abs. 3 Satz 2 lit. h DSGVO einer umfassenden Informationspflicht gegenüber dem Verantwortlichen. Konkret hat der Auftragsverarbeiter alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen. Ein dergestalt umfassendes Informationsrecht512 ist erforderlich, damit der Verantwortliche seinerseits überprüfen kann, ob er den Anforderungen des Art. 28 DSGVO hinreichend gerecht wird.513 Davon können beispielsweise Protokolldaten umfasst sein, welche der Auftragsverarbeiter im Rahmen seiner Datenschutz- und Datensicherheitsmaßnahmen angefertigt hat.514 
245Darüber hinaus hat der Auftragsverarbeiter Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen. Folglich unterliegt der Auftragsverarbeiter nicht nur einer Duldungs-, sondern einer aktiven Mitwirkungspflicht hinsichtlich etwaiger Kontroll- und/oder Inspektionsmaßnahmen des Verantwortlichen.515 Dabei ist es allerdings nicht erforderlich, dass der Verantwortliche selbst die Kontrollen durchführt – er kann vielmehr auch externe Auditoren beauftragen oder eine Kontrolle durch die Aufforderung zur Vorlage eines substantiierten Datenschutzkonzepts ersetzen.516 
245.1In Zusammenarbeit mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit hat das BayLDA eine praxisgerechte Formulierungshilfe zur Umsetzung der Anforderungen des Art. 28 Abs. 3 DSGVO erstellt. Das Muster kann nach Angabe des Landesamtes „[…] mühelos ergänzt, gekürzt oder modifiziert […]“ werden, um dem jeweiligen Sachverhalt zu entsprechen (Bayerisches Landesamt für Datenschutzaufsicht, 8. Tätigkeitsbericht 2017/2018, 2019, S. 40). Das Muster ist abrufbar unter https://www.lda.bayern.de/media/formulierungshilfe_av.pdf (abgerufen am 27.05.2019).
Aktualisierung vom 27.05.2019
!
 cc. Insbesondere: weitere Auftragsverarbeitung (Unterauftrag) 
246Nach Art. 28 Abs. 2 Satz 1 DSGVO darf der Auftragsverarbeiter keine weiteren Auftragsverarbeiter in Anspruch nehmen, ohne vorher eine gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen eingeholt zu haben. 
247Ob diesbezüglich auch der Rückgriff auf die elektronische Form zulässig ist, ist mit Blick auf die ausdrückliche Erwähnung der elektronischen Form in Art. 28 Abs. 9 DSGVO umstritten. Dabei wird vertreten, dass zur Genehmigung des Unterauftrages tatsächlich „[…] eine Verkörperung der Genehmigung auf Papier und eine eigenhändige Unterschrift […]“ erforderlich sei.517 Da die Unterbeauftragung stets mit einem erhöhten Risiko für den Verantwortlichen als auch für die letztlich Betroffenen verbunden sei, bedarf es des Rückgriffs auf die Schriftform und der damit verbundenen erhöhten Warnfunktion.518 Dem wird allerdings entgegengehalten, dass es widersprüchlich sei, an die Genehmigung der Unterbeauftragung höhere Anforderungen zu stellen, als an den Abschluss des zugrundeliegenden Auftragsverarbeitungsverhältnisses.519 Mithin wird auch von einem schlichten Redaktionsversehen ausgegangen.520 Wenngleich für letzteres keine Anhaltspunkte offensichtlich sind, ist es letztlich überzeugend den Rekurs auf die elektronisch Form auch im Rahmen der Unterbeauftragung zuzulassen. Anderenfalls würde auch die durch Art. 28 Abs. 9 DSGVO intendierte und praktisch höchst relevante Möglichkeit der elektronischen Auftragsverarbeitungsvereinbarung konterkariert werden.521 
248Die Möglichkeit der allgemeinen Genehmigung gem. Art. 28 Abs. 2 Satz 1 Alt. 2 DSGVO eignet sich insbesondere in den Fällen, in denen dem Verantwortlichen bereits bei Vertragsabschluss bekannt ist, dass der Auftragsverarbeiter zahlreiche Unterauftragsverhältnisse abschließen möchte.522 Wird eine allgemeine Genehmigung erteilt, hat der Auftragsverarbeiter den Verantwortlichen allerdings „immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter“ zu unterrichten. Dadurch soll dem Verantwortlichen die Möglichkeit erhalten bleiben, entsprechend der gesonderten Einwilligung „gegen derartige Änderungen Einspruch zu erheben“. Aus den Vorgaben des Art. 28 Abs. 3 DSGVO wird jedoch nicht ersichtlich, welche Rechtsfolgen an den Einspruch des Verantwortlichen geknüpft sind. Mit Blick auf das allgemeine Weisungsrecht des Verantwortlichen ist es naheliegend, dass der Einspruch die Unzulässigkeit der Unterbeauftragung im konkreten Fall zur Folge hat.523 Aus Gründen der Rechtssicherheit empfiehlt es sich aber, eine entsprechende Regelung für den Fall des Einspruchs im Rahmen der Auftragsverarbeitungsvereinbarung zu treffen.524 
249Aus Art. 28 Abs. 4 Satz 1 DSGVO ergibt sich, dass auch der weitere Auftragsverarbeiter die Verarbeitungstätigkeiten im Namen des Verantwortlichen und nicht etwa in dem des Auftragsverarbeiters ausführt. 
250Für die Verpflichtung des weiteren Auftragsverarbeiters gelten nach Art. 28 Abs. 4 Satz 1 DSGVO dieselben Voraussetzungen, insbesondere das Erfordernis eines Vertrags, wie für das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter. Hierdurch soll sichergestellt werden, dass auch in diesem Verhältnis das gleiche datenschutzrechtliche Schutzniveau gilt.525 
250.1Problematisch, zugleich aber von erheblicher praktischer Relevanz ist die Konstellation, in der ein Auftragsverarbeiter innerhalb der Europäischen Union einen Unterauftragnehmer in einem „unsicheren Drittland“ hinzuzieht. Jedenfalls nach Ansicht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) wird dieser Fall gerade nicht von den EU-Standardvertragsklauseln für Auftragsverarbeiter erfasst (Bayerisches Landesamt für Datenschutzaufsicht, 84. Tätigkeitsbericht 2017/2018, S. 84). Die Standardvertragsklauseln seien nach Ansicht des BayLDA lediglich in jenen Fällen anwendbar, in denen der unmittelbare Auftragsverarbeiter in einem „unsicheren Drittland“ ansässig sei. Das BayLDA folgert daraus, dass der Auftraggeber in dieser Konstellation verpflichtet sei, selbst entsprechende Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen (Bayerisches Landesamt für Datenschutzaufsicht, 84. Tätigkeitsbericht 2017/2018, S. 84). Dabei behält sich die Aufsichtsbehörde vor, Fehlgestaltungen zu unterbinden sowie Sanktionen und Maßnahmen nach Maßgabe des jeweiligen Einzelfalls zu ergreifen (Bayerisches Landesamt für Datenschutzaufsicht, 84. Tätigkeitsbericht 2017/2018, S. 85).
Aktualisierung vom 20.08.2019
!
251Verstößt der weitere Auftragsverarbeiter gegen seine Datenschutzpflichten, so „haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen“ dafür, Art. 28 Abs. 4 Satz 2 DSGVO. 
 d. Die Auftragsverarbeitung im Bereich des Cloud-Computings 
252Cloud-Computing Dienste (vgl. dazu insbesondere Rn. 659 ff.) sind mit Art. 4 Nr. 8 DSGVO vereinbar, lassen sich also unter den Begriff des Auftragsverarbeiters subsumieren.526 
253Insbesondere im Kontext des Cloud-Computings standen Anbieter in der Praxis vor dem Problem, ihren Prüfpflichten nach § 11 Abs. 2 Satz 4 BDSG a.F. ordnungsgemäß nachzukommen.527 Art. 28 Abs. 5 DSGVO hilft hier weiter, indem er die Einhaltung genehmigter Verhaltensregeln und Zertifizierung als „Faktor“ für hinreichende Garantien i.S.d. Art. 28 Abs. 1, Abs. 4 VO DSGVO gelten lässt.528 
 e. Die Haftung im Bereich der Auftragsverarbeitung 
254Bei einem Verstoß gegen seine Pflichten aus der DSGVO muss der Datenverarbeiter mit einem Bußgeld rechnen, Art. 83 Abs. 3, 4 lit. a DSGVO (vgl. umfassend zum Haftungsregime der DSGVO Rn. 524 ff.). Darüber hinaus muss der Datenverarbeiter unter den Voraussetzungen des Art. 82 Abs. 1, 2 DSGVO nun auch auf Schadensersatz haften. Art. 82 Abs. 1 DSGVO erfasst dabei expressis verbis auch immaterielle Schäden. Die Schadensersatzhöhe soll sich nach Erwägungsgrund 146 Satz 3 an der bisherigen EuGH-Rechtsprechung orientieren. Bei der Bemessung des Schadensersatzes soll nach EuGH – unter Berufung auf den europarechtlichen Effektivitätsgrundsatz – auch die Abschreckung eine Rolle spielen.529 
 f. Erforderlichkeit einer Auftragsverarbeitungsvereinbarung bei Prüfung und Wartung 
255Die Vorgaben der DSGVO enthalten, anders als etwa § 11 Abs. 5 BDSG a.F., keine ausdrücklichen Bestimmungen hinsichtlich der Einordnung etwaiger Wartungs- und oder Prüfungsleistungen durch Dritte.530 In der Folge wird daher vertreten, dass auch bei Wartungs- und/oder Prüf-Dienstleistungen, bei denen eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen werden kann, der Abschluss eines Auftragsverarbeitungsvertrages im Sinne des Art. 28 DSGVO erforderlich ist.531 
256Mit Blick auf die konkreten Besonderheiten der Prüf- und/oder Wartungsdienstleistungen bietet es sich allerdings an, auf praxisgerechte, schlanke Vereinbarungen zurückzugreifen, welche den Schwerpunkt insbesondere auf die Sicherheit und Vertraulichkeit der Verarbeitung durch den Dritten legen.532 
 g. Fortgeltung abgeschlossener Verträge nach § 11 BDSG a.F. 
257Die DSGVO sieht keine ausdrückliche Regelung hinsichtlich der Fortgeltung bereits abgeschlossener Verträge nach § 11 BDSG a.F. vor.533 Wenngleich die zentralen Aspekte des Art. 28 DSGVO auch innerhalb der Vorgaben des § 11 BDSG a.F. aufgefunden werden können, ist davon auszugehen, dass Altverträge regelmäßig nicht den Anforderungen der DSGVO entsprechen.534 Bereits abgeschlossene Verträge sollten daher jedenfalls kritisch überprüft und entsprechend angepasst werden.535 
 V. Die zentralen Erlaubnistatbestände der DSGVO 
258Der Katalog der Erlaubnistatbestände für die Datenverarbeitung ist in Art. 6 Abs. 1 Satz 1 DSGVO abschließend normiert (vgl. zum Verbotsprinzip Rn. 183 ff.). Die einzelnen Erlaubnistatbestände sind aus Art. 7 der Datenschutzrichtlinie weitestgehend bekannt. Zu nennen sind daher – neben der Einwilligung – auch hier unter anderem der Vertrag, die Datenverarbeitung kraft rechtlicher Verpflichtung und die berechtigten Interessen. 
 1. Die Einwilligung (Art. 6 Abs. 1 Satz 1 lit. a DSGVO) 
 a. Allgemeines 
259Das Konzept der Einwilligung bleibt auch unter den Vorgaben der DSGVO ein wesentlicher Grundpfeiler des Datenschutzrechts.536 Die Legaldefinition der Einwilligung findet sich nunmehr in Art. 4 Nr. 11 DSGVO. Eine Einwilligung der betroffenen Person ist der Norm zur Folge jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Deutlich wird, dass der Verordnungsgeber die bereits bekannten Kernelemente der datenschutzrechtlichen Einwilligungserklärung unangetastet lassen wollte, diese aber auf Grundlage der DSGVO teils neu konturierte.537 
260Anders als die Datenschutzrichtlinie differenziert die DSGVO jedoch nicht mehr zwischen einer „expliziten“ Einwilligung und einer „ohne jeden Zweifel“. Dafür soll die Einwilligung gem. Art. 4 Nr. 11 VO DSGVO nur noch über eine eindeutig bestätigende Handlung konstituiert werden können. Art. 7 DSGVO enthält die näheren Voraussetzungen der Einwilligung, wobei insbesondere das in Art. 7 Abs. 4 DSGVO normierte Koppelungsverbot im Fokus juristischer Diskurse steht.538 
261Weiterhin beschäftigt sich die DSGVO erstmals mit der Frage der Einwilligungsfähigkeit Minderjähriger. Jedenfalls innerhalb des Anwendungsbereichs des Art. 8 DSGVO sind dessen gesonderte Anforderungen hinreichend zu berücksichtigen (vgl. dazu insbesondere Rn. 262 ff.). 
 b. Formelle Wirksamkeitsvoraussetzungen 
 aa. Die Einwilligungsfähigkeit 
262Eine wirksame Einwilligung liegt nur dann vor, wenn diese bewusst und eindeutig erteilt wird. Allgemein muss der Einwilligende in der Lage sein, die Konsequenzen seiner datenschutzrechtlichen Handlung hinreichend abschätzen zu können.539 Die Anforderungen, die im Rahmen der Art. 4 Nr. 11, Art. 7 DSGVO an eine bewusste und eindeutige Handlung zu stellen sind, entsprechen denen, die allgemein an rechtsgeschäftliche Handlungen gestellt werden. Demnach muss neben einem objektiven Tatbestand der Kundgabe der entsprechenden Erklärung auch ein subjektiver Tatbestand erfüllt sein, der den Handlungswillen, das Erklärungsbewusstsein und einen Geschäftswillen erfordert.540 Dies setzt voraus, dass ein durchschnittlich verständiger Nutzer erkennt, dass er durch die Abgabe der Erklärung rechtsverbindlich der Erhebung bzw. Verwendung seiner personenbezogenen Daten zustimmt.541 Erforderlich ist also die Einsichtsfähigkeit der betroffenen Person im konkreten Fall, nicht aber deren Geschäftsfähigkeit.542 
262.1Darüber hinaus ist die Höchstpersönlichkeit der Einwilligungserklärung zu berücksichtigen. Die Einholung der Einwilligung muss bei der unmittelbar betroffenen Person erfolgen (Heckmann/Paschke in: Ehmann/Selmayr, DSGVO, Art. 7 Rn. 10; Gierschmann in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 7 Rn. 38; Gola in: Gola, DSGVO, Art. 4 Rn. 86; Ernst in: Paal/Pauly, DSGVO/BDSG, Art. 4 Rn. 65). Zur Begründung der Höchstpersönlichkeit kann sowohl auf die Grundrechtsrelevanz der Erklärung als auch auf die konkreten Anforderungen an den Erklärungsakt abgestellt werden. Mithin obliegt es allein der betroffenen Person mittels der Einwilligung über ihre informationelle Selbstbestimmung zu disponieren. Darüber hinaus sollten die Verantwortlichen im Blick haben, dass die jeweils betroffene Person hinreichend über die Verarbeitungsvorgänge auf Grundlage der Einwilligung zu informieren ist. Dieser Anforderung kann durch die Informierung Dritter kaum entsprochen werden (ausführlich hierzu Scheurer, Spielerisch selbstbestimmt, S. 130 ff.).
Aktualisierung vom 15.10.2019
!
263Die DSGVO greift erstmalig jedenfalls teilweise die Frage der Einwilligungsfähigkeit Minderjähriger auf. Sofern ein Dienst der Informationsgesellschaft einem Kind direkt angeboten wird, ist die Verarbeitung auf Grundlage einer Einwilligung des Kindes grundsätzlich nur dann rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat, Art. 8 Abs. 1 Satz 1 DSGVO. Hat das Kind das sechzehnte Lebensjahr noch nicht vollendet, ist die Verarbeitung auf Grundlage einer Einwilligung nur dann rechtmäßig, wenn die Träger der elterlichen Verantwortung die Einwilligung für das Kind oder mit dessen Zustimmung erteilt haben. 
264Zwar schaffen die novellierten Vorgaben der DSGVO „[…] eine weitere Schutzschicht, wenn die personenbezogenen Daten schutzbedürftiger natürlicher Personen, insbesondere von Kindern verarbeitet werden“543, der Anwendungsbereich der Norm unterliegt dabei allerdings engen Grenzen544. Zugleich ist noch nicht absehbar, wie die Verifikationspflichten des Art. 8 Abs. 2 Satz 1 DSGVO praktisch wirksam umgesetzt werden können. Reine Checkbox-Lösungen, welche den Betroffenen zur Altersbestätigung auffordern, oder aber die Absicherung mittels AGB können jedenfalls nicht als angemessene Anstrengung unter Berücksichtigung der verfügbaren Technik gewertet werden.545 
265Auch die Artikel-29-Datenschutzgruppe erkennt an, dass die Überprüfung in gewissen Fällen eine „Herausforderung“ darstellen kann, und hält fest, dass die zu ergreifenden Überprüfungsmaßnahmen in Abhängigkeit zu dem Verarbeitungsrisiko gestellt werden sollten: Verarbeitungsvorgänge mit geringem Risiko können unter Umständen auf eine Verifikation mittels elterlicher E-Mail zurückgreifen, Vorgänge mit hohem Risiko bedürfen hingegen weiterer Maßnahmen.546 Bei Letzteren bietet sich beispielsweise der Rückgriff auf ein Double-Opt-In-Verfahren an, welches sowohl Eltern als auch das betroffene Kind zur Verifikation miteinbezieht.547 
 bb. Die Formfreiheit der Einwilligungserklärung nach den Vorgaben der DSGVO 
266(1) Grundsatz der Formfreiheit: Anders als § 4a Abs. 1 Satz 3 BDSG a.F. sehen die Vorgaben der DSGVO kein Schriftformerfordernis für die datenschutzrechtliche Einwilligung vor. Stattdessen kann die Einwilligung grundsätzlich formfrei erfolgen. Vielmehr bedarf es nunmehr einer eindeutig positiv bejahenden Handlung, vgl. Art. 4 Nr. 11 DSGVO. Diese kann sowohl ausdrücklich als auch konkludent erfolgen. 
267Konkludente Einwilligungen können nach Erwägungsgrund 32 Satz 3 der DSGVO auch durch die Auswahl technischer Einstellungen im Internet beispielsweise durch entsprechende Browsereinstellungen erfolgen.548 
268Die bloße Untätigkeit eines Betroffenen sowie ein Schweigen dürfen jedoch in datenschutzrechtlicher Hinsicht nicht als Einwilligung gewertet werden. Somit ist das bisher oftmals bei der Verwendung von Cookies herangezogene Opt-out-Verfahren nach Geltungserlangung der DSGVO nicht mehr statthaft.549 
268.1In diesem Sinne hat sich zwischenzeitlich auch der Generalanwalt beim EuGH dafür ausgesprochen, dass das sog. Opt-Out-Verfahren zur Einholung einer datenschutzrechtlichen Einwilligungserklärung nicht geeignet ist (vgl. dazu bereits Rn. 138.1).
Aktualisierung vom 09.05.2019
!
269Aufgrund der Regelung des Art. 7 Abs. 1 DSGVO, der die Beweislast über das Vorliegen einer Einwilligung dem Datenverarbeiter auferlegt, ist jedoch davon auszugehen, dass auch zukünftig gerichtsfeste Formen der Dokumentation von Einwilligungen vorrangig in der Praxis verwendet werden.550 Daraus folgt allerdings keinesfalls die Rückkehr des Schriftformgebots „durch die Hintertüre“, vielmehr sind die Verantwortlichen gehalten, innovative, mithin auch elektronische Einwilligungsprozesse zu etablieren, welche sowohl dem Grundrechtsgehalt der Einwilligungserklärung als auch den Anforderungen an die Nachweisbarkeit genügen.551 
270Sollen besondere Kategorien von Daten (vgl. Art. 9 Abs. 1 DSGVO, z.B. Gesundheitsdaten oder biometrische Daten; dazu unter Rn. 115 ff.) verarbeitet werden, für die ein besonders hoher Schutzbedarf besteht, ist die konkludente Einwilligung ausgeschlossen. In diesem Kontext bedarf es zwingend einer ausdrücklichen Einwilligung des Betroffenen, vgl. Art. 9 Abs. 2 lit. a) DSGVO.552 Zwar bietet es sich zur Einholung einer ausdrücklichen Einwilligungserklärung an, auf die Schriftform zurückzugreifen, dies ist aber keinesfalls zwingend erforderlich.553 Vielmehr kann auch dem Erfordernis einer ausdrücklichen Einwilligungserklärung durch das Bereitstellen entsprechender elektronischer Formulare, der Aufforderung zur Einsendung eines eingescannten Dokuments oder aber durch die Verwendung einer elektronischen Signatur entsprochen werden.554 
271Eine weitere Möglichkeit zur (elektronischen) Sicherstellung der ausdrücklichen Einwilligungserklärung ist die Etablierung eines zweistufigen Überprüfungsmechanismus:555 Die betroffene Person erhält dabei zunächst eine E-Mail des Verantwortlichen, welche Informationen über einen geplanten Verarbeitungsvorgang sowie die Aufforderung zur Abgabe der entsprechenden ausdrücklichen Einwilligungserklärung enthält. Nachdem der Verantwortliche die Einwilligungserklärung der betroffenen Person empfangen hat, erhält die betroffene Person nochmals eine Nachricht (E-Mail/SMS), welche zur Bestätigung der Einwilligungserklärung auffordert. 
272Die ausdrückliche Einwilligung ist auch bei automatisierten Entscheidungen im Einzelfall (Art. 22 Abs. 2 lit. c DSGVO) und der Datenübermittlung in ein Drittland erforderlich (Art. 49 Abs. 1 lit. a DSGVO). 
273(2) Formularmäßige Einwilligungserklärungen: Auch nach den Vorgaben der DSGVO ist die formularmäßige Einholung der Einwilligungserklärung insbesondere anhand allgemeiner Geschäftsbedingungen weiterhin zulässig.556 
274Bei formularmäßigen Einwilligungen in Datenverarbeitungsvorgänge, die vielfach von Internetdienstleistern verwendet werden, stellt sich dabei insbesondere die Frage, inwieweit diese Erklärungen Allgemeine Geschäftsbedingungen i.S.d. § 305 Abs. 1 BGB darstellen und damit zudem der nationalen Kontrolle nach den §§ 305 ff. BGB unterfallen würden. Dabei verweist Erwägungsgrund 42 Satz 3 der DSGVO ausdrücklich darauf, dass bei der Ausgestaltung entsprechender Einwilligungserklärungen die Vorgaben der RL 93/13/EWG (sog. Klausel-RL)557 zu berücksichtigen sind. Die Umsetzung der genannten RL findet sich im deutschen Recht insbesondere in den §§ 305 ff. BGB wieder, so dass es letztlich überzeugt, die (nationale) AGB-Kontrolle jedenfalls dann heranzuziehen, wenn das Datenschutzrecht keine spezielleren Vorgaben trifft.558 
275Dies ist allen voran auch deshalb von großer praktischer Bedeutung, weil ein Verstoß gegen die §§ 305 ff. BGB zugleich einen Wettbewerbsverstoß gem. § 3 UWG i.V.m. § 4 Nr. 11 UWG bedeuten und somit Unterlassungsansprüche gem. § 8 UWG auslösen kann (vgl. zu derartigen Unterlassungsansprüchen eingehend Kapitel 4.2 ff.). Dagegen begründen direkte Verstöße gegen die datenschutzrechtlichen Regelungen nach der (bislang vorhandenen) Rechtsprechung an sich keinen Wettbewerbsverstoß, weil es sich um wertneutrale Ordnungsvorschriften handelt.559 
276Das OLG Brandenburg hat in einer Entscheidung, die sich auf von eBay verwendete Einwilligungsklauseln bezog, offen gelassen, ob es sich hierbei um AGB handelt.560 Derartige formularmäßige Einwilligungserklärungen sind jedoch nach der Rechtsprechung des BGH eindeutig als AGB einzuordnen.561 Dies verdeutlicht insbesondere ein Vergleich mit ähnlichen Einwilligungsklauseln, die von den Anbietern von Mobilfunkdienstleistungen verwendet werden. Diese stuft der BGH als AGB ein.562 Zwar handelt es sich bei derartigen Klauseln nach dem Wortlaut des § 305 Abs. 1 Satz 1 BGB nicht um Vertragsbedingungen, sondern um einseitige Erklärungen, jedoch sind auch diese Erklärungen vorformuliert, so dass sich aus dem Schutzzweck der AGB-Vorschriften ergibt, dass auch diese Erklärungen einer AGB-Kontrolle unterliegen.563 
277Somit können derartige Einwilligungsklauseln insbesondere auch einer Inhaltskontrolle nach den §§ 307 ff. BGB unterliegen. Grundsätzlich ist eine Einwilligung in Datenverarbeitungen nach der Rechtsprechung in AGB möglich und stellt insbesondere keinen Verstoß gegen § 307 Abs. 2 Nr. 1 BGB dar.564 Ein Verstoß gegen die datenschutzrechtlichen Regelungen bedeutet jedoch eine unangemessene Benachteiligung des Nutzers i.S.d. § 307 Abs. 1, 2 BGB und führt somit zur Unwirksamkeit der entsprechenden Klauseln.565 Weiterhin liegt darin dann auch eine verbraucherschutzgesetzwidrige Praktik i.S.d. § 2 UKlaG.566 
278Eine unangemessene Benachteiligung der Nutzer i.S.d. § 307 Abs. 1, 2 BGB ist jedoch nicht bereits dann anzunehmen, wenn durch die in den AGB enthaltene Einwilligung Datenverwendungen ermöglicht werden, die dem Diensteanbieter durch die Vorgaben des Datenschutzrechts nicht erlaubt werden. Hier kann nicht davon gesprochen werden, dass entsprechende AGB-Klauseln von wesentlichen Grundgedanken der gesetzlichen Regelungen abweichen, da die DSGVO ja gerade Einwilligungen in Datenverarbeitungen gem. Art. 6 Abs. 1 Satz 1 lit. a DSGVO ausdrücklich vorsieht, die durch die übrigen Tatbestände nicht ermöglicht werden.567 
279Die in den AGB enthaltene Einwilligung muss jedenfalls auch dem Transparenzgebot für AGB genügen.568 Das Transparenzgebot ist dabei allerdings europaweit im Sinne der DSGVO auszulegen. Dabei muss zum Beispiel auch klar sein, auf welche Unternehmensbestandteile sich eine Einwilligung bezieht. Eine Klausel, die beinhaltet, dass der Nutzer seine Einverständniserklärung abgibt, dass seine Daten innerhalb einer Unternehmensgruppe weitergegeben werden, kann keinen Bestand haben, da für einen Verbraucher nicht klar ist, welche Unternehmen zu einer Unternehmensgruppe gehören oder in Zukunft gehören werden.569 Ferner muss sich der Nutzer im Klaren sein, wer auf die Daten zugreifen kann.570 
 c. Materielle Wirksamkeitsvoraussetzungen 
 aa. Grundsatz der informierten Einwilligung 
280Nach dem Grundsatz der informierten Einwilligung muss der Betroffene über alle für ihn relevanten Inhalte und Folgen der Einwilligung informiert werden. Allerdings müssen nicht alle potentiell möglichen Gefahren, sondern lediglich die Folgen dargestellt werden, deren Eintritt hinreichend wahrscheinlich ist.571 Umfang und Ausmaß der Informationspflicht richtet sich nach den Gegebenheiten des Einzelfalls, wobei in jedem Fall sichergestellt werden muss, dass der Betroffene auf Grundlage der erteilten Informationen die Konsequenzen seiner Einwilligungserklärung abschätzen kann.572 Der Betroffene ist in der Sprache zu informieren, in der die restliche Vertragsabwicklung erfolgt.573 
281Nach Ansicht der Artikel-29-Datenschutzgruppe muss die rechtswirksame Einwilligungserklärung jedenfalls zu den folgenden Punkten Informationen bereithalten: die Identität des Verantwortlichen, den Zweck der geplanten Verarbeitung, Qualität und Quantität der Daten, welche verarbeitet werden sollen, Informationen über das Widerrufsrecht der Betroffenen, Informationen über eine mögliche automatisierte Entscheidungsfindung gem. Art. 22 Abs. 2 lit. c DSGVO sowie Angaben zu möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien gem. Art. 46 DSGVO.574 
282Hierbei ist zu beachten, dass die Informierung auf verschiedene Arten erfolgen kann und die DSGVO diesbezüglich keine Formvorgaben aufstellt575, allerdings wird eine nachweisbare Informierung, wie die Informierung in Schriftform bzw. elektronischer Form, in der Praxis wohl weiterhin die bevorzugte Form bleiben. Eine Ausnahme vom Grundsatz der formfreien Informationserteilung findet sich hingegen in § 26 Abs. 2 Satz 4 BDSG. Danach hat der Arbeitgeber die beschäftigten Personen über den Zweck der Datenverarbeitung und ihr Widerrufsrecht nach Art. 7 Abs. 3 DSGVO in Textform aufzuklären.576 
 bb. Grundsatz der bestimmten Einwilligung 
283Weiterhin ist erforderlich, dass für den Nutzer erkennbar ist, auf welche Daten sich die beabsichtigte Einwilligung genau beziehen soll und zu welchen Zwecken die Daten verarbeitet werden sollen.577 In diesem Sinne statuiert Art. 6 Abs. 1 Satz 1 lit. a DSGVO, dass die Einwilligung für einen oder mehrere bestimmte Zwecke abgegeben werden muss. Anhand der Bindung der Einwilligungserklärung an festgelegte, bestimmte Zwecke soll für die Betroffenen ein Mehr an Kontrolle gewährleistet werden sowie dem Grundsatz der Transparenz zu zusätzlicher Geltung im Rahmen der Einwilligungserklärung verholfen werden.578 
284Um dem Bestimmtheitserfordernis im Rahmen der Einwilligung zu entsprechen, ist der Verantwortliche gehalten insbesondere eine schleichende Ausweitung des ursprünglichen Zweckes zu vermeiden („function creep“), die Einwilligungserklärung möglichst granular zu gestalten sowie eine klare Trennung der Informationsbestandteile zu den jeweiligen Verarbeitungszwecken vorzunehmen.579 Davon unberührt bleibt allerdings die Möglichkeit, in die Verarbeitung zu mehreren Zwecken anhand einer Erklärung einzuwilligen.580 Der Verantwortliche ist in diesem Fall aber gehalten, die Erklärung entsprechend transparent zu gestalten.581 Beispielsweise bietet es sich im Rahmen der Erklärung an, für jeden bestimmten Zweck eine gesonderte Opt-In-Checkbox vorzuhalten.582 
285Beispiel fehlender Zweckumfassung: Wenn ein Verantwortlicher die Zusendung von Informationsmaterial anbietet und der Nutzer hierfür Adressdaten zur Verfügung stellt, dann liegt hierin keine Einwilligung des Nutzers, dass die für die Zusendung erforderlichen Adressdaten an Dritte weitergegeben werden.583 
 cc. Grundsatz der freiwilligen Einwilligung 
286Weiterhin ist das Freiwilligkeitsprinzip im Rahmen der datenschutzrechtlichen Einwilligung von elementarer Bedeutung. Dies bedeutet, dass im Rahmen der Einwilligung kein Zwang auf den Betroffenen ausgeübt werden darf (Art. 7 Abs. 4 DSGVO). Freiheit von Zwang liegt nach Erwägungsgrund 42 dann vor, wenn der Betroffene „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“. 
287Auch das Erzeugen eines inneren Zwangs beim Betroffenen steht einer wirksamen Einwilligung entgegen.584 In diesem Sinne hält Erwägungsgrund 43 Satz 1 fest, dass die Einwilligung keine gültige Rechtsgrundlage liefern sollte, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares (strukturelles) Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. 
288Ein strukturelles Ungleichgewicht wird insbesondere vermutet, wenn die Verarbeitung durch eine Behörde erfolgt.585 Aber auch Unternehmen, allem voran, wenn diese in einem bestimmten Sektor über eine Monopolstellung verfügen, besitzen ein Machtungleichgewicht gegenüber dem Verbraucher.586 Gleiches gilt grundsätzlich auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer (vgl. dazu insb. Rn. 775). 
289Allerdings bedarf es jeweils einer Einzelfallprüfung, denn auch in solchen Konstellationen kann der Betroffene eine echte, freie Wahl besitzen. Die informationelle Selbstbestimmung gestattet dem Betroffenen, auch in solchen Konstellationen in die Datenverarbeitung einzuwilligen. 
290Die Freiwilligkeit von Einwilligungen ist zudem auch bei Globaleinwilligungen abzulehnen, bei denen eine Einwilligung für verschiedene Verarbeitungsvorgänge einheitlich abgegeben werden soll.587 Vielmehr bedarf es einer gesonderten Einwilligung für jede Verarbeitung personenbezogener Daten, sofern die Verarbeitung nicht durch andere gesetzliche Ermächtigungstatbestände abgedeckt ist.588 
291Im Rahmen des Freiwilligkeitsprinzips sind insbesondere die Vorgaben des Art. 7 Abs. 4 DSGVO von gesteigerter Relevanz. Mithin muss bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand größtmöglich Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages von der Einwilligung zu einer Verarbeitung abhängig ist, die für die Erfüllung des Vertrages nicht erforderlich ist. Erfasst werden sollen insbesondere die Fälle, in denen der Verantwortliche den Abschluss eines Vertrages von der Erteilung einer gewünschten Einwilligungserklärung abhängig macht.589 Die Norm möchte gerade verhindern, dass die Einwilligung in die Verarbeitung personenbezogener Daten direkt oder indirekt zur Gegenleistung des Vertrages wird.590 
292Allerdings soll daraus kein „absolutes Koppelungsverbot“ folgen.591 Vielmehr kann es auch unter Berücksichtigung des Art. 7 Abs. 4 DSGVO Fälle geben, in denen die Verknüpfung zwischen Vertragserfüllung und Einwilligungsersuchen nicht zur Unfreiwilligkeit der Erklärung führt.592 Anderenfalls würde das Instrument der Einwilligung im Rahmen etwaiger Vertragsbeziehungen an Bedeutung verlieren: Bereits erforderliche Verarbeitungsvorgänge sind auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. b DSGVO legitimiert, nicht erforderliche Verarbeitungen könnten bei einem absoluten Verständnis des Art. 7 Abs. 4 DSGVO nicht einwilligungsbasiert gerechtfertigt werden.593 
293Zudem muss die Einwilligung vor der Datenverarbeitung erteilt werden. Eine nachträgliche Billigung einer Datenverarbeitung kann lediglich ex nunc Wirkung entfalten. 
 d. Die Nachweispflicht des Art. 7 Abs. 1 DSGVO 
294Erfolgt die Verarbeitung auf Grundlage der Einwilligung des Betroffenen, ist der Verantwortliche gem. Art. 7 Abs. 1 DSGVO zum entsprechenden Nachweis der Einwilligung verpflichtet. Somit liegt die Beweislast für das Vorliegen einer rechtswirksamen Einwilligungserklärung auf Seiten des Verantwortlichen.594 
295Die DSGVO verzichtet dabei auf eine konkrete Ausgestaltung der Nachweispflicht, so dass es im Ermessen des Verantwortlichen liegt, unter Berücksichtigung der jeweiligen Tätigkeit geeignete Nachweismethoden zu entwickeln.595 Der Verantwortliche ist dabei gehalten, den Nachweis der Einwilligung über den Zeitraum der geplanten Verarbeitung bereitzuhalten.596 Nach Beendigung der Verarbeitung beziehungsweise nach einem Widerruf des Betroffenen sollte die Einwilligungserklärung nur solange aufbewahrt werden, wie dies zwingend aus rechtlichen Gründen erforderlich ist.597 
 e. Möglichkeit des Widerrufs 
296Schließlich muss der Verantwortliche gem. Art. 7 Abs. 3 Satz 1 DSGVO sicherstellen, dass ein Nutzer seine gegebene Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. In der Folge bleiben Verarbeitungsvorgänge bis zum Zeitpunkt des Widerrufs rechtmäßig, der Verantwortliche ist aber nach Erhalt des Widerrufs zur Einstellung der einwilligungsbasierten Verarbeitungen verpflichtet.598 Der Verantwortliche kann in diesem Fall nicht stillschweigend auf einen gesetzlichen Erlaubnistatbestand ausweichen, vielmehr ist dieser aufgrund der Informations- und Transparenzpflichten der DSGVO dazu verpflichtet den Betroffenen gegebenenfalls über den Wechsel der Rechtsgrundlage zu informieren.599 Ob beispielsweise eine Verarbeitung nach Widerruf auf Grundlage berechtigter Interessen möglich ist, kann vor dem Hintergrund des klar geäußerten entgegenstehenden Willens bezweifelt werden.600 
297Auch insoweit muss der Verantwortliche die notwendige technische Infrastruktur schaffen, damit der Nutzer von dieser Möglichkeit tatsächlich jederzeit Gebrauch machen kann, z.B. indem eine E-Mail-Adresse angegeben wird, an die der Nutzer sich mit seinem Widerrufsbegehren wenden kann. Wenngleich Art. 7 Abs. 3 Satz 4 DSGVO festlegt, dass der Widerruf der Einwilligung so einfach sein muss wie die Erteilung der Einwilligung, besteht zwischen Erteilung und Widerruf keine Formakzessorietät.601 Der Verantwortliche ist letztlich dazu gehalten, den Widerruf der Einwilligung über mehrere Kanäle zu ermöglichen.602 
298Auf das Recht des jederzeitigen Widerrufs muss der Nutzer gem. Art. 7 Abs. 3 Satz 3 DSGVO vor der Erklärung seiner Einwilligung hingewiesen werden. Auch der Inhalt dieser Unterrichtung muss für den Nutzer jederzeit abrufbar sein. 
299Die jederzeitige, letztlich für den Verantwortlichen nicht vorhersehbare Widerrufbarkeit der Einwilligung wird, insbesondere vor dem Hintergrund der bisherigen arbeitsgerichtlichen Rechtsprechung zur Widerrufbarkeit der Einwilligung, auch kritisch gesehen.603 Auch im Rahmen bestehender Vertragsverhältnisse wird teils von einer eingeschränkten Widerrufbarkeit der Einwilligung ausgegangen, sofern die Einwilligung ursprünglich konstitutiv für die Begründung des entsprechenden Vertrages war.604 
 f. Bereichsspezifische Bestimmungen zur Einwilligung 
 aa. Im Gesundheitswesen 
300Grundsätzlich kann festgehalten werden, dass die Einwilligung mit Geltung der DSGVO auch im Kontext besonderer personenbezogener Daten (vgl. dazu Rn. 115 ff.) legitimierende Wirkung entfalten kann.605 Insbesondere hat der deutsche Gesetzgeber im Rahmen des § 22 BDSG (Verarbeitung besonderer Kategorien personenbezogener Daten) keine weitergehenden Bestimmungen zur datenschutzrechtlichen Einwilligungserklärung getroffen, so dass es allein auf die Anforderungen der DSGVO ankommt.606 
301Weiterhin hat der deutsche Gesetzgeber auch im Rahmen des reformierten Sozialdatenschutzes (vgl. dazu auch Rn. 77 ff.) grundsätzlich darauf verzichtet, bereichsspezifische Vorgaben zur Einwilligungserklärung zu treffen.607 Lediglich § 67b Abs. 2 Satz 1 SGB X schreibt für die Einwilligung im Sozialdatenschutz vor, dass diese schriftlich oder elektronisch erfolgen muss, um der Nachweispflicht aus Art. 7 Abs. 1 DSGVO gerecht zu werden. Mithin kann von einer grundsätzlichen Anwendbarkeit der Einwilligung in diesem Bereich ausgegangen werden.608 Auf die Einwilligung sollte im Kontext des Sozialrechts allerdings nur dann zurückgegriffen werden, wenn Unsicherheiten bezüglich des Vorliegens eines gesetzlichen Erlaubnistatbestandes vorliegen oder aber wenn die Einwilligung in die Verarbeitung auch im Interesse des Betroffenen liegt.609 Ein solcher Interessengleichlauf kann beispielsweise in den Fällen angenommen werden, in denen die Einwilligung maßgeblich zur Beschleunigung des Verfahrens beiträgt.610 
302Sofern Gesundheitsdaten auf Grundlage einer Einwilligungserklärung verarbeitet werden sollen, sind allerdings die besonderen Vorgaben des Art. 9 Abs. 2 lit. a DSGVO zusätzlich zu beachten. Mithin bedarf es einer ausdrücklichen Einwilligungserklärung. Die Einwilligung durch konkludentes, also schlüssiges Verhalten ist dementsprechend ausgeschlossen.611 
303Neben den erhöhten formalen Anforderungen an die Einwilligungserklärung im Bereich besonderer Kategorien personenbezogener Daten kommt insbesondere dem Kriterium der Freiwilligkeit zentrale Bedeutung zu (allgemein zum Grundsatz der Freiwilligkeit Rn. 286 ff.). Diesbezüglich hält Erwägungsgrund 43 Satz 1 fest, dass die freiwillige Abgabe regelmäßig dann zu verneinen ist, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht. Gerade aber im Bereich der Heilbehandlung oder bei damit verbundenen Leistungen nach den Sozialgesetzbüchern ist regelmäßig von einem signifikanten Ungleichgewicht zwischen den Beteiligten innerhalb des Gesundheitswesens auszugehen.612 
304Das Ungleichgewicht zwischen den Beteiligten führt nicht pauschal zu einer Unwirksamkeit der Einwilligung. Vielmehr muss im Einzelfall überprüft werden, ob die betroffene Person eine echte und freie Wahl hatte.613 
305Der Auffassung, dass das (vermeintliche) Freiwilligkeitsdefizit bei Einwilligungen im Kontext eines Machtungleichgewichts im Gesundheitswesen durch erhöhte Anforderungen an die Bestimmtheits- und Informationspflichten der Erklärung auszugleichen sei614, ist nicht zu folgen. Insbesondere im Gesundheitswesen, in dem besonders sensible personenbezogene Daten verarbeitet werden, ist insgesamt ein hoher Grad an Informierung und Bestimmtheit erforderlich, der nicht signifikant steigerungsfähig ist, um das Machtungleichgewicht pauschal auszugleichen. 
 bb. Im Beschäftigungsverhältnis 
306Bei der Datenverarbeitung auf Grundlage einer Einwilligung im Beschäftigungsverhältnis sind insbesondere die Normierungen des § 26 Abs. 2 BDSG zu beachten. Zu dessen Vorgaben vgl. Rn. 857 ff. 
 cc. Im Rahmen des Anwendungsbereichs der JI-RL 
307§ 51 BDSG regelt die Voraussetzungen, unter denen eine Einwilligung zu Zwecken der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten durch die zuständigen öffentlichen Stellen wirksam zustande kommen kann.615 Nach § 51 Abs. 1 BDSG muss hierfür eine Rechtsvorschrift vorliegen, die eine Einwilligung überhaupt ermöglicht. Im Regelfall wird dies jedoch nicht der Fall sein, da der Staat dem Betroffenen im Wesentlichen keine Wahlfreiheit überlässt.616 Sollte dies ausnahmsweise dennoch der Fall sein, schreibt § 51 Abs. 1 und 2 BDSG vor, dass der Verantwortliche den Nachweis einer Einwilligung führen muss und welcher Form diese Einwilligung genügen muss. § 51 Abs. 3 BDSG sieht ein Widerrufsrecht für die Einwilligung vor, welches ex nunc wirkt. Nur die freiwillige Einwilligung der betroffenen Person vermag die Verarbeitung zu rechtfertigen, § 51 Abs. 4 BDSG. Soweit besondere Kategorien personenbezogener Daten (§ 46 Nr. 4 BDSG) verarbeitet werden sollen, muss sich die Einwilligung explizit auch auf diese beziehen, § 51 Abs. 5 BDSG. 
308Insgesamt lässt sich für die Einwilligung im Anwendungsbereich der JI-Richtlinie festhalten, dass diese weitestgehend den Anforderungen der DSGVO entspricht. Auf die bereits hierzu getroffenen Ausführungen kann daher umfassend verwiesen werden.617 
 2. Gesetzliche Erlaubnistatbestände 
309Der Katalog der Erlaubnistatbestände für die Datenverarbeitung in Art. 6 Abs. 1 Satz 1 DSGVO ist abschließend und Ausfluss des sog. Verbotsprinzips (vgl. dazu Rn. 183 ff.). Die einzelnen Erlaubnistatbestände sind aus Art. 7 der Datenschutzrichtlinie wohlbekannt. Zu nennen sind daher – neben der Einwilligung – auch hier unter anderem der Vertrag, die Datenverarbeitung kraft rechtlicher Verpflichtung und die berechtigten Interessen. 
 a. Zur Vertragserfüllung (Art. 6 Abs. 1 Satz 1 lit. b DSGVO) 
310Neben der Einwilligung basiert auch der Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. b DSGVO, der eine Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen zulässt, auf einer freien Entscheidung des Betroffenen.618 
311Die Existenz der Norm ist selbsterklärend, denn ein Vertrag wird regelmäßig, vor allem im immer weiterwachsenden Bereich des Fernabsatzgeschäftes, nicht erfüllbar sein, ohne hierfür personenbezogene Daten zu verarbeiten. Der Begriff des „Vertrages“ ist dabei weit auszulegen und soll sowohl rechtsgeschäftliche als auch rechtsgeschäftsähnliche Konstellationen erfassen.619 
312Damit werden Verarbeitungen auch abseits von „klassischen“ gegen- bzw. mehrseitigen Verträgen zum einen im Bereich von Gefälligkeitsverhältnissen gedeckt, soweit sich aus diesen gewisse erfüllbare, rechtsgeschäftsähnliche Pflichten ableiten lassen, zum anderen auch solche im Zusammenhang mit Mitgliedschaften in Personenvereinigungen.620 Zulässige Verarbeitungen können sich so unter anderem auf die Anschrift, Kreditkarten- oder Bankangaben sowie Lohn- und Gehaltsinformationen im Bereich eines Arbeitsvertrages erstrecken.621 
313Die Verarbeitung wird primär im Bereich der „Erfüllung“ des Vertrages zugelassen. Hierunter fallen die Erfüllung der Haupt- sowie Nebenpflichten, darunter auch Rücksichtnahme- und Schutzpflichten, nachvertragliche Sorgfaltspflichten, die Vertragsbeendigung und eine mögliche Rückabwicklung.622 Davon nicht umfasst sind Vorgänge, die auf der Nichterfüllung eines Vertrages oder auf Konflikten innerhalb der Erfüllung basieren, wobei beispielsweise zur Übermittlung von Mahnschreiben die Verarbeitung zentraler Informationen über eine betroffene Person wie Name, Anschrift und Auskünfte über gewisse Vertragspflichten zulässig sind und noch zur „normalen“ Vertragserfüllung gehören.623 
314Gemessen wird die Verarbeitung an der „Erforderlichkeit“, wobei diese nicht im Sinne einer strengen Verhältnismäßigkeit gesehen werden soll, sondern schon dann vorliegt, wenn der Vertrag nicht oder nur mit einem dem Verantwortlichen unzumutbar hohen Aufwand ohne die Verarbeitung im jeweiligen Umfang erfüllt werden kann.624 Sofern die Verarbeitung danach als objektiv sinnvoll und für den Vertragszweck förderlich gesehen werden kann, ist sie auch erforderlich.625 
315Auf dieser Grundlage kann damit allerdings nicht die Zusammenführung von Clickstream-Daten626 einer Webseite mit den Daten über gekaufte Artikel zur Auswertung der Präferenzen eines Kunden gerechtfertigt werden, selbst wenn dies im Vertragstext Erwähnung gefunden hat, da es dabei an der Erforderlichkeit für den konkreten Leistungsaustausch fehlt627. Auch wird regelmäßig die Überwachung der elektronischen Kommunikation oder die Videoüberwachung im Bereich eines Beschäftigungsverhältnisses sowie die Vorbeugung von betrügerischen Handlungen im Onlinehandel nicht mehr als für die Erfüllung des jeweiligen Vertrages erforderlich zu sehen sein und muss gegebenenfalls auf eine andere Rechtsgrundlage gestützt werden.628 
316Zulässig ist weiterhin auch die Verarbeitung noch vor Vertragsschluss im Rahmen vorvertraglicher Maßnahmen. Dies können etwa die Anschrift eines Kunden und der genaue Gehalt einer Anfrage in Bezug auf die Zusendung eines Angebots oder auch Daten über ein Fahrzeug im Bereich von Anfragen bezüglich eines Vertrages über eine Versicherung sein.629 Auf dem Gebiet der vorvertraglichen Maßnahmen liegt die Erforderlichkeit vornehmlich dann vor, wenn der Vertragsschluss von der Verarbeitung personenbezogener Daten abhängig ist, aber auch dann, wenn die diesem vorausgehenden Handlungen nicht ohne die Verarbeitung sinnvoll und dem Verantwortlichen zumutbar ausgeführt werden können.630 
317Zentrales Element bei beiden Verarbeitungsmodalitäten ist somit der Grundsatz der freien Entscheidung. Während dies bei einem gegenseitigen Rechtsgeschäft noch selbstverständlich scheint, ist hierauf bei vorvertraglichen Maßnahmen besonders zu achten. Nur wenn die Ursache für den jeweiligen Verarbeitungsvorgang eine „Anfrage der betroffenen Person“ darstellt, greift der Legitimationstatbestand. Erwägungsgrund 44 spricht von einem „geplanten“ Vertragsabschluss, was auch auf die willensgetragene Entscheidung auf der Seite des Betroffenen hindeutet. Somit ist die durch einen Unternehmer initiierte Direktwerbung ebenso wenig von Art. 6 Abs. 1 Satz 1 lit. b DSGVO gedeckt wie die Verarbeitung von Daten über ärztliche Untersuchungen vor Abschluss eines Versicherungsvertrags oder die Heranziehung und Analyse von Kreditauskünften noch vor der Bewilligung eines Darlehens.631 
 b. Zur Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 Satz 1 lit. c DSGVO) 
318Art. 6 Abs. 1 Satz 1 lit. c DSGVO lässt die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen zu, soweit dies erforderlich ist. Die jeweilige Rechtsnorm kann sich gemäß Art. 6 Abs. 3 Satz 1 DSGVO sowohl aus europäischem als auch aus dem für den Verantwortlichen geltenden mitgliedstaatlichen Recht ergeben, wobei nicht für jeden Verarbeitungsvorgang ein spezifisches Gesetz vorzuliegen hat.632 Weiterhin muss die jeweilige Rechtsgrundlage nicht notwendigerweise das Ergebnis eines parlamentarischen Gesetzgebungsverfahrens darstellen, sie soll jedoch in ihrem Inhalt klar, präzise und vorhersehbar sein sowie den Zweck der Verarbeitung nennen.633 Daneben fordert Art. 6 Abs. 3 Satz 4 DSGVO, dass die Regelung sowohl ein Ziel verfolgt, das im öffentlichen Interesse liegt, als auch in Bezug auf den angestrebten Zweck den Grundsatz der Verhältnismäßigkeit wahrt. 
319Die Vorschrift stellt damit ein Einfallstor für ein Tätigwerden des nationalen Gesetzgebers bereit, wobei dieser durch seine Regelung lediglich die Zulässigkeit der Datenverarbeitung bestimmen kann, die Ausgestaltung datenschutzrechtlicher Pflichten ergibt sich weiter aus der DSGVO.634 
320Während die Wahrnehmung öffentlicher Aufgaben oftmals zwar auf einer rechtlichen Verpflichtung basiert, ist im Verhältnis zum insoweit inhaltlich ähnlichen Art. 6 Abs. 1 Satz 1 lit. e DSGVO die Bestimmung des Art. 6 Abs. 1 Satz 1 lit. c DSGVO in seinem Geltungsbereich enger, dem Verantwortlichen bleibt kein Ermessensspielraum, ob er die jeweilige Verarbeitung vornimmt.635 So kann sich die zu erfüllende Pflicht nur aus objektivem Recht ergeben, eine rein vertraglich begründete Obliegenheit ist hierfür nicht ausreichend.636 
321„Erforderlich“ ist die Verarbeitung in diesem Sinne dann, wenn entweder die Pflicht selbst in der Verarbeitung der Daten besteht, oder aber die jeweilige Pflichterfüllung nur zusammen mit einer Verarbeitung möglich ist.637 Für den Fall, dass es zur Erfüllung der konkreten Rechtspflicht ausreichend ist, beispielsweise ausschließlich anonymisierte Datensätze zu verarbeiten, sollte diese Verarbeitungsform mit Blick auf den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO bevorzugt werden.638 
322Mögliche Anwendungsbereiche der Norm finden sich insbesondere innerhalb des öffentlichen Sektors.639 Mithin sind die Übermittlung von Informationen über Löhne und Gehälter an Sozialversicherungs- und Steuerbehörden durch den Arbeitgeber, aber auch die Datenerhebung durch kommunale Einrichtungen im Falle von Verstößen gegen Parkvorschriften und der anschließenden Verhängung eines Bußgeldes vom Regelungsbereich der Norm umfasst.640 Weiter kann es sich um die Erfüllung von Aufzeichnungs-, Aufbewahrungs-, Transparenz-, Vorlage- und Aussagepflichten handeln.641 
 c. Zum Schutze lebenswichtiger Interessen (Art. 6 Abs. 1 Satz 1 lit. d DSGVO) 
323Der Schutz lebenswichtiger Interessen des Betroffenen oder einer anderen natürlichen Person stellt eine weitere Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten dar. Die Rechtsgrundlage verdeutlicht, dass lebenswichtige Interessen in akuten Notsituationen Vorrang vor dem Schutz der personenbezogenen Daten der betroffenen Person haben.642 Der Norm ist allerdings ein begrenzter Anwendungsbereich zu attestieren: Lediglich „[…] wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann“643, soll der Erlaubnistatbestand einschlägig sein.644 
324Art. 6 Abs. 1 Satz 1 lit. d DSGVO definiert hierbei nicht selbst, was unter „lebenswichtige Interessen“ fallen soll. Ausweislich des Wortlauts und einem systematischen Vergleich mit Art. 6 Abs. 1 Satz 1 lit. f DSGVO handelt es sich dabei um mehr als nur „berechtigte“ Interessen, vielmehr muss es sich um Interessen am Leben selbst, jedoch auch Interessen, die für das Fortleben ein gewisses Gewicht besitzen, handeln.645 Erwägungsgrund 112 fasst hierunter unter anderem („einschließlich“) die körperliche Unversehrtheit. Eine konkrete Lebensgefahr ist damit nicht erforderlich, ausreichend ist „[…] ein unmittelbarer Bezug zur Gesundheit oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen natürlichen Person“.646 
325Beispielhaft werden in Erwägungsgrund 46 die Überwachung von Epidemien, Naturkatastrophen und vom Menschen verursachten Katastrophen genannt. Die Behandlung einer Person im Rahmen der Erstversorgung nach einem Unfall kann ebenfalls ein einschlägiges Szenario darstellen.647 
326Im Rahmen der Erforderlichkeit ist zu beachten, dass kein Vorrang des Selbstbestimmungsrechts besteht und es nicht, wie der Wortlaut vermuten lassen könnte, darauf ankommt, ob der Betroffene überhaupt oder auch nur mutmaßlich in die Maßnahme eingewilligt hat.648 Dies ergibt sich daraus, dass Art. 9 Abs. 2 lit. c DSGVO den Fall regelt, in dem der Rückgriff auf eine Einwilligung nicht möglich ist, wodurch die Annahme naheliegt, dass diese Konstellation in der vorliegenden Vorschrift bewusst keine Erwähnung gefunden hat.649 
327Im Falle einer „anderen natürlichen Person“ überwiegt jedoch das Selbstbestimmungsrecht, hier ist die Subsidiarität dieses Erlaubnistatbestandes zu beachten.650 Diese ergibt sich aus Erwägungsgrund 46 Satz 2, wonach dieser Rechtsgrund nur heranzuziehen ist, wenn die Verarbeitung nicht offensichtlich auf eine andere Rechtsgrundlage gestützt werden kann.651 
 d. Zur Wahrnehmung öffentlicher Interessen (Art. 6 Abs. 1 Satz 1 lit. e DSGVO) 
328Rechtmäßig ist eine Verarbeitung auch dann, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Norm stellt damit die zentrale Norm der Verarbeitung durch die öffentliche Hand dar, setzt aber voraus, dass im konkreten Fall stets eine weitere europäische oder nationale Rechtsgrundlage gegeben ist.652 Die Norm entspricht im Wesentlichen der Vorgängerregelung des Art. 7 lit. e DSRL.653 
329Die Regelung ist geprägt von einer funktionalen Sichtweise, wonach jede Stelle als Adressat zu qualifizieren ist, die Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt wahrnimmt, unabhängig davon, ob es sich dabei um eine öffentliche oder nichtöffentliche Stelle handelt.654 Erfasst sind somit neben Organen der kommunalen Verwaltung, des Bundes und der Länder und weiteren Trägern hoheitlicher Gewalt auch juristische und natürliche Personen des Privatrechts.655 
330Weiterhin ergibt sich aus Erwägungsgrund 45 Satz 1, dass Art. 6 Abs. 1 Satz 1 lit. e DSGVO nur in Verbindung mit einer weiteren Rechtsgrundlage, wobei diese auch hier nicht spezifisch für diesen Vorgang geschaffen sein656 und in ihrem Inhalt den Anforderungen des Art. 6 Abs. 3 Sätze 2 und 4 DSGVO entsprechen muss657, einen tauglichen Erlaubnistatbestand bildet. 
331Während Art. 6 Abs. 1 Satz 1 lit. c DSGVO die Verarbeitung nur dann legitimiert, wenn sie aus einer zwingenden Pflicht resultiert, kann die Verarbeitung im Rahmen von Art. 6 Abs. 1 Satz 1 lit. e DSGVO auch auf freiwilliger Basis erfolgen.658 
332So wird der Fall erfasst, dass der Verarbeiter selbst durch eine ihm zugewiesene Aufgabe in Ausübung öffentlicher Gewalt oder im öffentlichen Interesse handelt, wie dies bei Steuerbehörden und deren Einforderung von Steuererklärungen, Disziplinarmaßnahmen durch Berufsvereinigungen gegen ihre Mitglieder oder auch bei der Führung einer Bibliothek, einer Schule oder eines Schwimmbades durch kommunale Behörden der Fall sein kann.659 Auch werden die Fälle erfasst, in denen der Verantwortliche lediglich auf Antrag eines mit den entsprechenden Befugnissen ausgestatteten Dritten hin tätig wird.660 Erwägungsgrund 45 Satz 6 nennt zudem den Fall der Aufgabenwahrnehmung durch eine natürliche oder juristische Person des Privatrechts, sofern diese durch das öffentliche Interesse gerechtfertigt ist, z.B. im Falle gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge. 
333Unter den Begriff des öffentlichen Interesses sollen laut der Erwägungsgrunde 55 und 56 auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften sowie die Verarbeitung personenbezogener Daten über die politische Einstellung von Personen, sofern dies dem Zweck der Funktionssicherung der Demokratie dient und geeignete Garantien vorliegen, zu subsumieren sein. 
334Der deutsche Gesetzgeber hat mit § 3 BDSG eine entsprechende Rechtsgrundlage im Sinne des Art. 6 Abs. 3 Satz 1 lit. b i.V.m. Art. 6 Abs. 1 Satz 1 lit. e DSGVO geschaffen.661 Mithin ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Aufgrund der Stellung der Norm innerhalb des ersten Teils des BDSG gilt die Rechtsgrundlage gleichermaßen für Verarbeitungsvorgänge im Anwendungsbereich der DSGVO als auch für solche innerhalb der Umsetzungsnormen der JI-RL.662 Der Anwendungsbereich der Norm ist allerdings weitestgehend eingeschränkt.663 Der allgemeine Charakter der Rechtsgrundlage („Generalklausel“) zeichnet sich dafür verantwortlich, dass der Tatbestand lediglich in den Fällen herangezogen werden kann, in denen es an einem speziellen Erlaubnistatbestand mangelt.664 Darüber darf die allgemeingehaltene Norm auch dann nicht angewendet werden, wenn der intendierte Verarbeitungsvorgang eine erhöhte Grundrechtsgefährdung für die Betroffenen aufweist.665 
 e. Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) 
335Abschließend lässt Art. 6 Abs. 1 Satz 1 lit. f DSGVO die Verarbeitung dann zu, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten im Zusammenhang mit Datenschutz auf der Seite des Betroffenen vorliegen. 
336Die Vorschrift stellt damit eine wichtige Abwägungsklausel zur Verfügung, die die Interessen der Verbraucher auf der einen Seite und die Interessen von Unternehmen auf der anderen Seite in Einklang bringen soll.666 Zugleich ist die rechtskonforme Anwendung der Norm aufgrund ihrer Unbestimmtheit jedenfalls derzeit problematisch.667 Es mangelt an konkreten Abwägungskonstellationen, wie solche, die etwa noch im Rahmen der §§ 28 ff. BDSG a.F. aufgezeigt wurden.668 Vor diesem Hintergrund wird vorgeschlagen, bisherige (nationale) Auslegungsgrundsätze jedenfalls als Auslegungshilfe im Anwendungsbereich des Art. 6 Abs. 1 Satz 1 lit. f DSGVO heranzuziehen.669 
337Der Erlaubnistatbestand findet seinen Hauptanwendungsbereich im privaten Sektor, da Art. 6 Abs. 1 Satz 2 DSGVO bestimmt, dass Behörden die Verarbeitung in Erfüllung ihrer Aufgaben nicht auf diese Grundlage stützen dürfen. Indem Behörden, sofern sie dem Betroffenen in einem Über-/Unterordnungsverhältnis gegenübertreten, der Verweis auf überwiegende Interessen versagt wird, soll eine Aufweichung des Grundsatzes des Gesetzesvorbehaltes verhindert werden, wie auch Erwägungsgrund 47 Satz 5 zu entnehmen ist.670 
338An dieser Stelle ist anzumerken, dass die vorzunehmende Abwägung nicht anhand zweier abstrakter Interessenpositionen und anschließender Gewichtung erfolgt, sondern anhand der konkreten Konstellation und unter Beachtung aller Umstände einzelfallabhängig vorgenommen werden muss.671 
 aa. Berechtigte Interessen des Verantwortlichen oder eines Dritten 
339Der Begriff des „Interesses“ ähnelt dem Begriff des „Zwecks“: Der Zweck beschreibt den konkreten Grund für die Verarbeitung der Daten, das Interesse ist weiter gefasst und umfasst allgemeine Bestrebungen des möglichen Nutzen für den Verantwortlichen.672 Ebenfalls erfasst sind die berechtigten Interessen eines Dritten, wobei diese genauso mit den Interessen- und Rechtspositionen des Betroffenen in Ausgleich zu bringen sind.673 
340Die Beurteilung, ob ein berechtigtes Interesse vorliegt, erfolgt anhand einer normativen Betrachtungsweise und greift neben rechtlichen auch wirtschaftliche und immaterielle Interessen auf.674 
341Im Sinne europarechtskonformer Auslegung ist der Begriff weit zu verstehen, hierauf deutet auch Erwägungsgrund 47 Sätze 2, 6, 7 hin.675 
342Weiterhin muss das Interesse mit geltendem Recht vereinbar sowie ausreichend klar spezifiziert sein, um eine anschließende Abwägung zu ermöglichen.676 Darüber hinaus muss das Interesse konkret und gegenwärt sein, rein spekulative Interessen genügen dementsprechend nicht.677 
343Grundsätzlich können sowohl wirtschaftliche als auch ideelle Interessen umfasst sein, wobei regelmäßig die Grundrechtspositionen des Verantwortlichen eine entscheidende Rolle spielen dürften.678 Beispiele für berechtigte Interessen sind unter anderem die Betrugsprävention, die Direktwerbung, die Übermittlung von Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke als auch die Gewährleistung der Netz- und Informationssicherheit.679 Weiterhin stellen die Verfolgung von Rechtsansprüchen, Forschungszwecke und die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit legitime Interessen dar.680 
 bb. Interessen und Rechte des Betroffenen 
344Demgegenüber stehen nun die Interessen und Rechte der betroffenen Person, wobei der Interessenbegriff aufgrund des fehlenden Zusatzes „berechtigt“ noch weiter auszulegen ist als beim Verarbeiter. So können sich selbst straffällig gewordene Personen gegen Eingriffe, wie zum Beispiel den Aushang eines Fotos in diesem Kontext, wehren.681 Auch kann hier der Betroffene neben seinen grundrechtlichen und durch die Grundfreiheiten geschützten Positionen alle Arten von Interessen geltend machen.682 
 cc. Abwägungsentscheidung 
345An die Bestandsaufnahme der einzelnen Positionen schließt sich eine Gewichtung und Abwägung an. Miteinzubeziehen sind hierbei Faktoren wie die Beziehung zwischen der betroffenen Person und dem Verantwortlichen, beispielsweise wenn die betroffene Person ein Kunde des Verantwortlichen ist oder mit ihm in einem Beschäftigungsverhältnis steht.683 Auch können die „vernünftigen Erwartungen“ der betroffenen Person bezüglich der Verarbeitung ihrer Daten zu berücksichtigen sein.684 Ebenso ist nach der Art der Daten, deren Sensibilität, möglichen Gefahren aufgrund der jeweiligen Art der Verarbeitung und etwaigen Schutzmaßnahmen sowie nach den daraus für den Betroffenen möglicherweise resultierenden Folgen zu fragen und diese entsprechend zu gewichten.685 
346An die Abwägungsentscheidung sind nochmals erhöhte Anforderungen zu stellen, wenn es sich bei dem Betroffenen um ein Kind handelt, vgl. Art. 6 Abs. 1 Satz 1 lit. f a.E. DSGVO. In dieser Konstellation ist regelmäßig davon auszugehen, dass die Interessen des betroffenen Kindes überwiegen.686 Wie dieses hier zu qualifizieren ist, lässt sich der Vorschrift selbst nicht entnehmen. Während in einer Entwurfsfassung zu Art 4 DSGVO ein Kind noch als „jede Person bis zur Vollendung des achtzehnten Lebensjahres“ definiert wurde687, fehlt diese Formulierung in der finalen Fassung. Eine Ansicht zieht deshalb zur Auslegung Art. 8 Abs. 1 Satz 1 DSGVO heran und schließt daraus, dass die Interessen einer Person bis zur Vollendung des 16. Lebensjahres eine erhöhte Schutzwürdigkeit aufweisen und somit regelmäßig überwiegen.688 Eine andere Ansicht dagegen stellt auf Art. 8 Abs. 1 Satz 3 DSGVO ab und schließt daraus, dass bis zum vollendeten 13. Lebensjahr die Interessen der betroffenen Person regelmäßig überwiegen.689 
347Darüber hinaus sind auch die Belange weiterer gesondert schutzbedürftiger Personen dezidiert im Rahmen der Abwägungsentscheidung zu berücksichtigen. Dabei können sowohl körperliche oder geistige Einschränkungen als auch besondere Machtasymmetrien zwischen dem Verantwortlichen und dem Betroffenen von Relevanz sein.690 
348Zur Begrenzung der Reichweite muss auch hier die Verarbeitung erforderlich sein in dem Sinne, dass der verfolgte Zweck nicht durch weniger beeinträchtigende Maßnahmen erreicht werden kann.691 Insbesondere muss sich die intendierte Verarbeitung auch auf Grundlage des Art. 6 Abs. 1 Satz 1 lit. f DSGVO auf das absolut Notwendige beschränken.692 
 f. Weitere europäische Erlaubnistatbestände 
349Zukünftig wird die DSGVO durch die ePVO ergänzt (vgl. hierzu ausführlich Rn. 623 ff.) mit dem Ziel, eine einheitlich geregelte elektronische Kommunikation, ein hohes Schutzniveau der Privatsphäre und gleiche Wettbewerbsbedingungen im Unionsgebiet zu erreichen.693 
350Durch sie sollen die Anbieter von elektronischen Kommunikationsdiensten, öffentlich verfügbaren Auskunftsdiensten sowie Softwareanbieter, die elektronische Kommunikation möglich machen, verpflichtet werden.694 Ebenfalls werden natürliche und juristische Personen erfasst, die Direktvermarktung mit Hilfe elektronischer Kommunikation betreiben oder Informationen sammeln, die sich auf den Endgeräten der Benutzer befinden oder diesen auf anderem Wege zuzuordnen sind. Hotspots sollen ebenfalls in den Geltungsbereich fallen, geschlossene Benutzergruppen und Corporate Networks dagegen nicht.695 
351Die ePVO wird weitere Erlaubnistatbestände für die Verarbeitung personenbezogener Daten beinhalten. So wird eine Verarbeitung von Kommunikationsdaten unter anderem zum Zwecke der Gewährleistung der Verfügbarkeit, Integrität, Vertraulichkeit und Sicherheit von Kommunikationsnetzen und -diensten, der Qualitätssicherung, der Vorbeugung oder Beendigung betrügerischer Handlungen oder auch zur Rechnungstellung zulässig sein.696 
 VI. Die Rechte der betroffenen Person 
 1. Allgemeines 
352Ein zentrales Anliegen der DSGVO ist es, die Verarbeitung personenbezogener Daten für die Betroffenen möglichst nachvollziehbar auszugestalten. Hierzu hat der Verordnungsgeber die Informations- und Mitteilungspflichten in Art. 13 ff. DSGVO deutlich verschärft. Neu ist z.B., dass der Verantwortliche in der Datenschutzerklärung den Erlaubnistatbestand i.S.d. Art. 6 DSGVO, auf den er seine (beabsichtigte/n) Verarbeitungshandlung(en) stützt, angeben muss (vgl. Art. 13 Abs. 1 lit. c bzw. Art. 14 Abs. 1 lit. c DSGVO). Weiterhin verschafft die DSGVO dem Einzelnen auch neue bzw. zumindest erstmalig kodifizierte Rechte gegenüber den für die Datenverarbeitung Verantwortlichen. Von besonderer Relevanz sind dabei das in Art. 17 DSGVO normierte „Recht auf Vergessenwerden“ (siehe Rn. 378 ff.) sowie das in Art. 20 DSGVO fixierte Recht auf Datenübertragbarkeit (siehe Rn. 387 ff.). 
353Die freie Entfaltung der Persönlichkeit unter den modernen Bedingungen der Datenverarbeitung setzt den Schutz persönlicher Daten voraus.697 Die datenschutzrechtlichen Betroffenenrechte sind Ausdruck des Grundrechts auf informationelle Selbstbestimmung und konkretisieren es dergestalt, dass jede natürliche Person über die Preisgabe oder Verweigerung persönlicher Daten frei entscheiden können soll.698 So wird bspw. mittels der Benachrichtigungspflichten der Betroffene davon in Kenntnis gesetzt, dass ihn betreffende Daten erhoben werden. Eine genaue Kenntnis über diese Daten ermöglichen die Auskunftsrechte. Bei unzutreffender, unrichtiger oder missbräuchlicher Datenverarbeitung stehen dem Betroffenen schließlich Einwirkungsrechte, die zur Berichtigung, Löschung und Einschränkung der Verarbeitung (Sperrung) von personenbezogenen Daten führen können, zur Verfügung.699 
354§§ 32 ff. BDSG ergänzen bzw. modifizieren die Betroffenenrechte durch nationales Recht, was durch die Öffnungsklausel des Art. 23 DSGVO ermöglicht wird.700 Insoweit bestehen bis zu einer höchstrichterlichen Klärung jedoch noch erhebliche Unsicherheiten in der Praxis mit Blick auf die Unionsrechtskonformität der die Betroffenenrechte teils erheblich einschränkenden, nationalen Vorgaben.701 
 2. Allgemeiner Teil (Art. 12 DSGVO) 
355Im Sinne eines „allgemeinen Teils“ verpflichtet Art. 12 Abs. 1 Satz 1 DSGVO den Verantwortlichen dazu, geeignete Maßnahmen zu treffen, um der betroffenen Person alle erforderlichen Informationen und alle Mitteilungen im Sinne der DSGVO zu übermitteln.702 Im Einzelnen bezieht sich die Vorschrift auf die Informationspflichten nach den Art. 13 und 14 DSGVO, auf die Rechte der betroffenen Person gem. Art. 15 bis 22 DSGVO sowie auf die Mitteilungen bei Datenschutzverletzungen gem. Art. 34 DSGVO.703 Diese zusätzliche Forcierung des datenschutzrechtlichen Transparenzgedankens soll maßgeblich dazu beitragen, dass die Betroffenen Umfang und Ausmaß der geplanten Verarbeitung bereits vorab hinreichend erkennen und beurteilen können.704 
356Auf Grundlage des Art. 12 DSGVO müssen die Mitteilungen und Informationen in präziser, transparenter und leicht zugänglicher Form erfolgen, wobei eine klare und einfache Sprache zu verwenden ist. Während das Element „präzise“ auf eine prägnante Darstellung der erforderlichen Informationen abzielt, bezieht sich die Anforderung der Verständlichkeit auf eine letztlich nachvollziehbare und adressatengerechte Bereitstellung der Informationen und Mitteilungen.705 Von einer leichten Zugänglichkeit kann regelmäßig dann ausgegangen werden, wenn der Betroffene die gewünschten Informationen und Mitteilungen ohne größeren Aufwand auffinden kann.706 Daher sollte es für die Betroffenen „sofort ersichtlich sein“, wie er auf die gewünschten Informationen zugreifen kann.707 Das Merkmal der klaren und einfachen Sprache verpflichtet die Verantwortlichen dazu, Informationen und Mitteilungen möglichst einfach zu formulieren, also auf komplexe Satzstrukturen sowie auf den Einsatz etwaiger Fremdwörter möglichst zu verzichten.708 Für den Fall, dass Betroffene unterschiedlicher Sprachregionen Adressat der Informations- und Mitteilungspflichten sind, sind die Informationen und Mitteilungen in der jeweiligen Landessprache vorzuhalten.709 
357Hinsichtlich der konkreten Ausgestaltung der Mitteilungs- und Informationspflichten räumt die DSGVO den jeweiligen Verantwortlichen allerdings einen erheblichen Gestaltungsspielraum ein.710 Insbesondere liegt es im Ermessen des Verantwortlichen, ob er bei der Bereitstellung der Informationen und Mitteilungen auf die Schriftform, auf elektronische Mittel oder aber auf eine mündliche Mitteilung setzt.711 Vor dem Hintergrund, dass die DSGVO in Art. 12 Abs. 7 DSGVO auch die Bereitstellung etwaiger Informationen und Mitteilungen in Kombination mit standardisierten Bildsymbolen ermöglicht, sollten die Verantwortlichen auch an weitergehende, innovative, grafische sowie mediendidaktische Möglichkeiten zur Informationsvermittlung denken.712 Neben Infografiken, Pop-Up-Hinweisen, Datenschutz-Animationen oder auch Privacy-Dashboards,713 könnte beispielsweise auch die sinnvolle Integration gamifizierter Elemente für ein Plus an Transparenz sorgen714. 
357.1Das BayLDA vertritt diesbezüglich die Auffassung, dass die Anforderungen an die Ausgestaltung der jeweiligen Informationspflichten sehr stark von der jeweiligen (intendierten) Datenverarbeitung abhängen (vgl. zum Folgenden: Bayerisches Landesamt für Datenschutzaufsicht, 8. Tätigkeitsbericht 2017/2018, 2019, S. 43). Unter Einbeziehung der Vorgaben des Europäischen Datenschutzausschusses empfiehlt das BayLDA eine abgestufte Informationserteilung. Dazu sollte der Verantwortliche auf erster Stufe (Kontakt-)Informationen sowie Angaben zu dem Zweck der Verarbeitung bereithalten. Zudem sollten die Betroffenen auf ihre Rechte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten hingewiesen werden. Weiterführende Informationen, also diejenigen Informationsbestandteile, welche nach Art. 13 beziehungsweise Art. 14 DSGVO ergänzend zur Verfügung gestellt werden müssen, sollten sodann über einen weiterführenden Link eingesehen werden können. Nach Ansicht des BayLDA soll auch der Hinweis auf ein Informationsblatt zulässig sein, welches „[…] jederzeit ausgehändigt bzw. übergeben oder zugesandt werden kann.“ (Bayerisches Landesamt für Datenschutzaufsicht, 8. Tätigkeitsbericht 2017/2018, 2019, S. 43).
Aktualisierung vom 09.05.2019
!
358Darüber hinaus wird der Verantwortliche gem. Art. 12 Abs. 2 Satz 1 DSGVO dazu verpflichtet, den Betroffenen die Ausübung ihrer Rechte gem. den Art. 15 bis 22 DSGVO zu erleichtern. Der Vorschrift sind diesbezüglich zwar keine konkreten Anforderungen zu entnehmen, ein Verstoß gegen das Gebot der Norm dürfte aber jedenfalls dann angenommen werden, wenn der Verantwortliche die Geltendmachung etwaiger Informations- und/oder Mitteilungspflichten vorsätzlich erschwert.715 Außerdem statuiert Absatz 3, dass die entsprechenden Mitteilungen grundsätzlich unverzüglich und spätestens innerhalb einer Monatsfrist nach Antragseingang zu erteilen sind. 
359Besonders hervorzuheben im Rahmen des Art. 12 DSGVO ist überdies Absatz 5, der festlegt, dass die Informationen und Mitteilungen an die Betroffenen nach der DSGVO weitestgehend kostenfrei zur Verfügung gestellt werden müssen. Damit stellt der Verordnungsgeber die Rechte der Betroffenen – soweit nicht missbräuchlich ausgeübt, vgl. Art. 12 Abs. 5 Satz 2 DSGVO – über mögliche monetäre Interessen der Verantwortlichen.716 
 3. Besonderer Teil (Art. 13 ff. DSGVO) 
 a. Benachrichtigung der betroffenen Person (Art. 13, 14 DSGVO) 
360Die Pflicht des Verantwortlichen, den Betroffenen zu benachrichtigen, ergibt sich insbesondere aus den Art. 13 und 14 der DSGVO. Wenngleich auch das BDSG a.F. entsprechende Informationspflichten, beispielsweise innerhalb der Vorgaben der §§ 4 Abs. 2, 3, 19a, 33 kannte, erweitern die novellierten Vorgaben der DSGVO diese Pflichten erheblich.717 Auch der Zweck der Art. 13, 14 DSGVO liegt darin begründet, die von der Verordnung eingeforderte Transparenz der Datenverarbeitung umzusetzen, vgl. bereits Art. 5 Abs. 1 lit. a DSGVO.718 Es handelt sich folglich um eine Konkretisierung des Transparenzgedankens, welcher zur Auslegung der Norm herangezogen werden kann.719 
361Die Benachrichtigungspflichten setzen voraus, dass personenbezogene Daten bei der betroffenen Person erhoben werden (Art. 13 DSGVO) bzw. die Datenerhebung auf andere Weise erfolgt (Art. 14 DSGVO).720 
362Der Begriff der Datenerhebung wird durch die Verordnung nicht definiert, sondern lediglich in Art. 4 Nr. 2 DSGVO als Variante einer Verarbeitung von Daten angeführt. Mit der Erhebung ist der erstmalige, zielgerichtete Zugriff des Verantwortlichen auf die Daten zum Zwecke der Weiterverarbeitung gemeint.721 Die weitere Voraussetzung des Art. 13 Abs. 1, Abs. 2 DSGVO, dass die Daten bei der betroffenen Person erhoben werden müssen, ist nicht alleine dahingehend zu verstehen, dass der Verantwortliche mit dieser interagiert. Vielmehr genügt es bereits, dass er deren Erscheinung und/oder Verhalten synchron wahrnimmt.722 Keine Datenerhebung bei der betroffenen Person stellt hingegen etwa der Zugriff auf Informationen aus öffentlich verfügbaren Quellen dar, wie z.B. auf frei zugängliche Daten über den Betroffenen aus dem Internet.723 Dies führt jedoch gerade nicht dazu, dass der Verantwortliche keine Benachrichtigungspflichten zu erfüllen hat. Vielmehr sind in diesem Fall die Vorgaben des Art. 14 DSGVO zu beachten. Konsequenterweise wird in der Literatur bereits unter Verweis auf den klaren Wortlaut dieser Transparenzvorgaben über die generelle datenschutzrechtliche Zulässigkeit bestimmter heimlicher Maßnahmen wie z.B. verdeckter Mitarbeiterkontrollen kontrovers diskutiert.724 
363Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO enthalten gesonderte Vorgaben für die Benachrichtigung der betroffenen Person im Fall einer Zweckänderung, d.h. dann, wenn der Verantwortliche bereits erhobene Daten zu einem anderen Zweck als dem Erhebungszweck weiterverarbeiten möchte.725 
364Sowohl bei Art. 13 als auch bei Art. 14 DSGVO ist – im Gegensatz zu Art. 15 DSGVO – kein Tätigwerden der betroffenen Person, wie z.B. in Form einer Antragstellung, erforderlich. Der Verantwortliche muss daher von sich aus aktiv werden. In diesem Sinne ist der Verantwortliche in der Pflicht, der betroffenen Person aktiv die erforderlichen datenschutzrechtlichen Informationen bereitzustellen.726 Insbesondere ist der Verantwortliche dazu gehalten, den Betroffenen die „Bürde“ abzunehmen, erforderliche Datenschutzinformationen aus einem Sammelsurium unterschiedlicher Rechtstexte herauszufiltern.727 
365Das Unterbleiben einer (vollständigen und inhaltlich korrekten) Benachrichtigung nach Art. 13, 14 DSGVO ist gem. Art. 83 Abs. 5 lit. b DSGVO als Ordnungswidrigkeit bußgeldbewehrt. Die Höhe der Geldbuße kann dabei bis zu 20.000.000 € oder – sofern es sich bei dem Verantwortlichen um ein Unternehmen handelt – 4 % des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres betragen. Entscheidend ist dabei, welcher Betrag höher ist. Aus einem Verstoß gegen die Vorgaben der Art. 13 ff. DSGVO folgt hingegen nicht unmittelbar die Rechtswidrigkeit der korrespondierenden Verarbeitung.728 
 b. Auskunftsrecht der betroffenen Person (Art. 15 DSGVO) 
366Das vormals in §§ 19, 34 BDSG a.F. geregelte, nunmehr ebenfalls weiter gefasste Auskunftsrecht des Betroffenen gegenüber dem Verantwortlichen erfordert zwar ein Auskunftsverlangen, ist jedoch in der Sache an keinerlei Voraussetzungen geknüpft.729 Auch bedarf das Auskunftsverlangen mangels ausdrücklicher Regelung keiner bestimmten Form und kann mithin insbesondere auch elektronisch, z.B. per E-Mail730, übermittelt werden731. Art. 15 DSGVO ergänzt die Benachrichtigungspflichten der Art. 13, 14 DSGVO und steht gleichberechtigt neben diesen.732 
367Zur Auskunft ist nach dem Normwortlaut der Verantwortliche verpflichtet. Er hat dafür Sorge zu tragen, dass er dieser Verpflichtung vollumfänglich nachkommen kann. Der Betroffene ist dabei nicht per se zur Mitwirkung verpflichtet.733 Einzig im Fall der Verarbeitung einer großen Menge von Daten soll der Verantwortliche nach Erwägungsgrund 63 Satz 7 DSGVO verlangen können, dass der Betroffene seinen Auskunftsanspruch in Bezug auf bestimmte Informationen oder Verarbeitungsvorgänge präzisiert, was seinerseits aber auch keine „echte“ Mitwirkung bedeutet. Bestehen begründete Zweifel an der Identität der betroffenen Person, kann sich hingegen nach der allgemeinen Vorgabe des Art. 12 Abs. 6 DSGVO eine Pflicht zur Mitwirkung ergeben. 
368Der Auskunftsanspruch umfasst die in Art. 15 Abs. 1 lit. a-h, Abs. 2 DSGVO aufgeführten Aspekte, wobei neben den verarbeiteten Daten als solche auch bestimmte Metainformationen der Verarbeitung eine Rolle spielen können.734 Verarbeitet der Verantwortliche keine personenbezogenen Daten der betroffenen Person, darf er das Auskunftsverlangen nicht einfach unbeantwortet lassen. Vielmehr ist er in diesem Fall zur Erteilung einer Negativauskunft verpflichtet.735 
369Der EuGH hat bereits 2013 im Rahmen eines Vorabentscheidungsverfahrens entschieden, dass Art. 12 lit. a der Datenschutzrichtlinie, welcher die Erhebung von „übermäßigen Kosten“ verboten hat, einer Erhebung von Kosten bei der behördlichen Auskunft an den Betroffenen grundsätzlich nicht entgegenstand.736 Zum Kostenumfang führte der EuGH aus, dass die erhobenen Kosten die Kosten für die Mitteilung der Daten nicht übersteigen dürfen.737 Das Urteil hatte nur die Kostenerhebung durch Behörden zum Gegenstand. Dennoch dürfte das EuGH-Urteil auch für den nicht-öffentlichen Bereich anwendbar sein.738 Nunmehr regelt Art. 12 Abs. 5 Satz 1 DSGVO den Grundsatz der Kostenfreiheit in Bezug auf die Beantwortung der Betroffenenrechte, darunter auch des Auskunftsanspruchs nach Art. 15 DSGVO, sofern im Einzelfall keine nachweisbar missbräuchliche Ausübung durch den Betroffenen erfolgt. Zudem ergibt sich aus Art. 15 Abs. 3 DSGVO, dass der Verantwortliche dem Betroffenen unentgeltlich eine erste Kopie seiner Daten zur Verfügung zu stellen hat. Für jede weitere Kopie kann nach Art. 15 Abs. 3 Satz 2 DSGVO ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden. Insbesondere Gemeinkosten dürfen daher nicht in Ansatz gebracht werden.739 
370Gem. Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gem. Art. 15 Abs. 3 DSGVO nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Entgegenstehende Rechte können sich insbesondere aus dem Vorliegen eines Geschäftsgeheimnisses, aus dem Recht auf geistiges Eigentum oder aber auch aus dem Urheberrecht ergeben.740 Sofern sich Dritte auf den Schutz ihrer personenbezogenen Daten berufen, kann sich auch daraus ein entgegenstehendes Recht ergeben.741 Daraus folgt in der Regel allerdings nicht das Recht zur vollständigen Auskunftsverweigerung, vielmehr sind die entgegenstehenden Grundrechte und Grundfreiheiten im Rahmen einer Güterabwägung hinreichend zu gewichten.742 Regelmäßig ist der Verantwortliche in diesem Fall gehalten, die Daten etwaiger Dritter vor Auskunftserteilung zu schwärzen.743 
371Entsprechende Einschränkungen im nationalen Recht befinden sich in §§ 27 Abs. 2, 28 Abs. 2, 29 Abs. 1 Satz 2, 34 BDSG. Die Unionsrechtskonformität des § 34 BDSG, insb. im Hinblick auf Absatz 1 Nr. 2 lit. b, wird bisweilen allerdings in Frage gestellt.744 
372Unterlassene, unvollständige oder fehlerhafte Auskünfte können wiederum nach Art. 83 Abs. 5 lit. b DSGVO als bußgeldbewehrte Ordnungswidrigkeiten sanktioniert werden. Eine Ausnahme gilt für eine unterlassene Negativauskunft, da die Norm an die Verletzung der Rechte der „betroffenen Person“ anknüpft.745 
 c. Recht auf Berichtigung (Art. 16 DSGVO) 
373Das Persönlichkeitsrecht eines Betroffenen kann durch den Umgang mit unrichtigen Daten mitunter erhebliche Beeinträchtigungen erfahren.746 Diesem Risiko wird mittels der die Verantwortlichen treffenden Korrekturpflichten, die auf Berichtigung, Löschung und Einschränkung der Verarbeitung (Sperrung) der gespeicherten Daten abzielen, Rechnung getragen. Auch die DSGVO misst dem in Art. 5 Abs. 1 lit. d. geregelten Grundsatz der Richtigkeit der Daten eine hohe Bedeutung bei. Dabei steht das Recht auf Berichtigung in einem engen Zusammenhang mit dem Auskunftsrecht des Art. 15 DSGVO, da der Betroffene nur bei Kenntnis über die vorliegenden Daten in der Lage ist, von dem Verantwortlichen die Berichtigung unrichtiger Daten zu verlangen.747 
374Der der betroffenen Person etwaig zustehende Berichtigungsanspruch fand sich bereits im BDSG a.F., konkret in Gestalt der §§ 20 Abs. 1, 35 Abs. 1, wieder. Während diese Vorgaben – zumindest explizit748 – noch keinen Anspruch auf Vervollständigung personenbezogener Daten enthielten, ist ein solcher nunmehr in Art. 16 Satz 2 DSGVO geregelt, wobei jedoch in besonderem Maße die Verarbeitungszwecke zu berücksichtigen sind. Aus dem Normwortlaut ergibt sich zudem beispielhaft eine konkrete Umsetzungsmöglichkeit des Vervollständigungsanspruchs, nämlich in Gestalt einer ergänzenden Erklärung, was einer „Art Gegendarstellung“749 entspricht. Den Regelfall wird jedoch in der Praxis schlicht die Hinzufügung der fehlenden Daten bilden.750 
375Denklogische Voraussetzung des unverzüglichen Berichtigungsanspruchs ist die erweisbare Unrichtigkeit der entsprechenden personenbezogenen Daten, mithin deren fehlender objektiver Wahrheitsgehalt. Hieraus ergibt sich wiederum, dass nur Tatsachen berichtigt werden können, nachdem reine Werturteile einem Wahrheitsbeweis schon nicht zugänglich sind und eine solche Rechtsfolge überdies u.U. auch einen unzulässigen Eingriff in die Meinungsfreiheit bedeuten würde.751 
376Daneben setzen Berichtigungs- und Vervollständigungsanspruch jeweils ein Tätigwerden des Betroffenen voraus, welches sich jedoch ohne weiteres in einer formlosen Antragstellung niederschlagen kann.752 Die Vereinbarung strengerer Formerfordernisse, beispielsweise mittels Vertrag, ist nicht mit den Vorgaben des Art. 12 Abs. 2 DSGVO vereinbar, da der Verantwortliche gehalten ist, der betroffenen Person die Ausübung ihrer Rechte gem. den Art. 15 bis 22 DSGVO zu erleichtern.753 
377Art. 19 Satz 1 DSGVO verpflichtet schließlich den Verantwortlichen im Fall bereits offengelegter754 Daten, eine erfolgte Berichtigung grundsätzlich allen Empfängern i.S.d. Art. 4 Nr. 9 DSGVO mitzuteilen. Nach Art. 19 Satz 2 DSGVO ist der Betroffene wiederum – falls von diesem gewünscht – über die zuvor genannte Unterrichtung zu informieren. 
 d. Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“) 
378Bei dem sog. „Recht auf Vergessenwerden“ in Art. 17 DSGVO handelt es sich im Grunde genommen nicht mehr um ein Novum. Denn dieses Recht wurde bereits in richterlicher Rechtsfortbildung durch das EuGH-Urteil in der Rechtssache Google Spain755 begründet: Der EuGH bejaht hier eine Verantwortlichkeit der Suchmaschinenbetreiber für die personenbezogenen Daten auf den von ihnen verarbeiteten Webseiten. Daher bestünde auch ein Anspruch auf Löschung der personenbezogenen Daten, wenn der Betroffene einen entsprechenden Antrag gestellt hat, und eine Abwägung seiner schutzwürdigen Interessen mit dem Informationsinteresse der Öffentlichkeit an der Verbreitung der Information zu seinen Gunsten ausfällt. Jandt weist allerdings darauf hin, dass deutsche Gerichte in der Regel das Informationsinteresse der Öffentlichkeit höher gewichten als das allgemeine Persönlichkeitsrecht.756 Vor diesem Hintergrund wurde angezweifelt, dass das Urteil die Auffindbarkeit von Inhalten im Internet tatsächlich (erheblich) beeinträchtigen werde.757 In diesem Kontext ist nach Mann ebenfalls zu beachten, dass das durch den EuGH entwickelte „Recht auf Vergessenwerden“ keine Online-Archive erfasst. Denn nur die Auffindbarkeit von Inhalten über Suchmaschinen stehe im Fokus des Urteils und nicht die grundsätzliche Verfügbarkeit von Daten im Internet.758 
379Bei der praktischen Umsetzung von Google Spain half bzw. hilft eine Entschließung der 88. Konferenz der Datenschutzbeauftragen des Bundes und der Länder weiter759: Die effektive Wahrung des Allgemeinen Persönlichkeitsrechts der Betroffenen erfordere, dass die Suchmaschinen die Ergebnisse weltweit unterbinden und nicht bloß rein national. Das per Verfassung garantierte Recht der Betroffenen auf eine unabhängige Kontrolle der Entscheidungen der Suchmaschinenbetreiber durch die Datenschutzaufsichtsbehörden760 und die Gerichte dürfe nicht durch alternative Streitbeilegungsverfahren untergraben werden. Außerdem sei eine Information der Inhaltsanbieter über die Sperrung der Suchergebnisse durch die Suchmaschinenbetreiber datenschutzrechtlich unzulässig. 
380Das in der DSGVO kodifizierte „Recht auf Vergessenwerden“ deckt sich daher dem Grunde nach mit dem altbekannten Löschungsrecht u.a. aus §§ 20 Abs. 2, 35 Abs. 2 BDSG a.F., es wurde allerdings an einigen Stellen präzisiert und weiterentwickelt. So findet sich z.B. in Art. 17 Abs. 1 lit. f DSGVO ein spezieller Löschungsgrund bei Daten über Kinder.761 Sofern die Löschungsvoraussetzungen vorliegen, hat der Verantwortliche die Daten grundsätzlich zu löschen, ohne dass es hierfür zwingend eines Tätigwerdens des Betroffenen bedarf.762 In den Fällen allerdings, in denen der betroffenen Person die Wahl zwischen einer Einschränkung der Verarbeitung im Sinne des Art. 18 Abs. 1 DSGVO oder einer Löschung der Daten gem. Art. 17 Abs. 1 DSGVO zusteht, ist der Verantwortliche gehalten die Entscheidung der betroffenen Person zu ersuchen.763 Bis zur Entscheidung des Betroffenen ist die Verarbeitung der fraglichen Daten einzuschränken.764 
381Die DSGVO definiert den Begriff der Löschung nicht näher, stellt in Art. 4 Abs. 2 DSGVO allerdings klar, dass es sich um eine Form der Verarbeitung handelt.765 Letztlich entscheidend ist dabei der Löscherfolg, nicht aber die zur Löschung herangezogenen Mittel.766 Von einer tatsächlichen Löschung der Daten kann jedenfalls dann ausgegangen werden, wenn eine Wahrnehmung der betreffenden Informationen nicht beziehungsweise nur noch unter Hinzuziehung unverhältnismäßiger Mittel möglich ist.767 Der Löschanspruch ist umfassend zu verstehen und bezieht sich beispielsweise auch auf Sicherungsmedien oder ausgehändigte Geräte zum Zwecke des Beschäftigungsverhältnisses.768 
382Grundsätzlich ist der Verantwortliche verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der in Art. 17 Abs. 1 lit. a bis lit. f DSGVO genannten Gründe vorliegt.769 Zur Bestimmung der Unverzüglichkeit kommt es grundsätzlich auf den konkreten Fall an,770 wobei in Anlehnung an die Vorgaben des § 121 BGB jedenfalls dann von einer unverzüglichen Löschung ausgegangen werden kann, wenn diese ohne schuldhaftes Zögern erfolgt771. Die Auflistung des Art. 17 Abs. 1 DSGVO ist abschließend zu verstehen,772 die Beweislast für das Vorliegen eines entsprechenden Grundes liegt auf Seiten des Betroffenen773. 
383Art.17 DSGVO erlangt mitnichten nur im Zusammenhang mit Suchmaschinen und sozialen Netzwerken Relevanz. Gerade neue und aufstrebende Technologien wie z.B. die Blockchain (vgl. dazu bereits Rn. 218 ff.) müssen sich an den neuen europäischen Vorgaben messen lassen.774 Auch im Allgemeinen mussten Überarbeitung und Anpassung von Löschkonzepten und Datenbankstrukturen idealtypisch bereits auf der Tagesordnung von öffentlichen und nicht-öffentlichen Stellen775 zugleich stehen. 
384Art. 17 Abs. 2 DSGVO konkretisiert den bisherigen Art. 12 lit. c Datenschutzrichtlinie hinsichtlich der Informations- und Mitteilungspflichten bei gelöschten, an Dritte aber schon „öffentlich gemachten“ Daten. Dabei hat der Verantwortliche zumutbare Maßnahmen zu ergreifen, um alle Stellen, die die gelöschten Daten verarbeiten (z.B. die Suchmaschinenbetreiber), darüber zu informieren, dass der Betroffene die Löschung sämtlicher Links und Kopien zu diesen Daten verlangt hat.776 
385Über den Spezialfall der Veröffentlichung hinaus777 verpflichtet Art. 19 Satz 1 DSGVO den Verantwortlichen allgemein im Fall bereits offengelegter Daten, wie z.B. in Form einer gezielten Datenübermittlung, eine bereits erfolgte Löschung grundsätzlich allen Empfängern i.S.d. Art. 4 Nr. 9 DSGVO mitzuteilen. Nach Art. 19 Satz 2 DSGVO ist der Betroffene wiederum – falls von diesem gewünscht – über die zuvor genannte Unterrichtung zu informieren. 
386Unter den abschließenden Voraussetzungen des Art. 17 Abs. 3 DSGVO ist der Verantwortliche nicht zur Löschung im Sinne des Art. 17 Abs. 1 DSGVO beziehungsweise zur Informierung gem. Art. 17 Abs. 2 DSGVO verpflichtet.778 Das einschränkende Merkmal der Erforderlichkeit („soweit die Verarbeitung erforderlich ist“) verdeutlicht, dass eine weitergehende Verarbeitung auch zu den in Art. 17 Abs. 3 DSGVO genannten Zwecken nur auf Grundlage einer entsprechenden Abwägung der konkurrierenden Rechte zulässig ist.779 
 e. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) 
387Das durch die europäische Datenschutzreform neu geschaffene, allgemeine780 Recht auf Datenübertragbarkeit ist in Art. 20 Abs. 1 DSGVO geregelt. Es wird in Anlehnung an die englische Fassung auch häufig als Recht auf Datenportabilität bezeichnet, welches die betroffene Person bei dem Verantwortlichen formfrei geltend machen kann.781 Der Anspruch setzt voraus, dass (i) dem Verantwortlichen die Daten von dem Betroffenen bereitgestellt worden sind, (ii) die Datenverarbeitung aufgrund einer der beiden Erlaubnistatbestände Einwilligung (vgl. dazu Rn. 259 ff.) oder Vertrag (vgl. dazu Rn. 310 ff.) erfolgt und dass (iii) dies mithilfe automatisierter Verfahren geschieht. Liegen diese Voraussetzungen vor, muss der Verantwortliche sämtliche Daten mit Bezug zum Betroffenen an diesen in strukturierter Form und in einem gängigen, maschinenlesbaren Format herausgeben. 
388Der Sinn und Zweck der Regelung des Art. 20 Abs. 1 DSGVO liegt maßgeblich darin begründet, dem Betroffenen den Wechsel von einem sozialen Netzwerk, einem E-Mail- bzw. Cloud-Anbieter etc. zu einem anderen Dienstleister zu vereinfachen, wobei auch die parallele Nutzung mehrerer Anbieter (sog. Multi-Homing) umfasst sein soll.782 Die Norm versteht sich dabei insbesondere als Reaktion auf zunehmende Lock-In-Effekte783, welche einen Anbieterwechsel für die Betroffenen jedenfalls erschweren784. Insgesamt lässt sich damit festhalten, dass der Anspruch des Art. 20 Abs. 1 DSGVO maßgeblich wettbewerbsrechtlich orientiert ist, wobei gleichermaßen auch datenschutzrechtliche Aspekte von Bedeutung sind.785 Ferner soll durch die Möglichkeit der Datenübertragbarkeit auch das Recht und die Kontrolle des Betroffenen über seine personenbezogenen Daten gestärkt werden.786 
389Der Anspruch setzt voraus, dass die personenbezogenen Daten durch den Betroffenen bereitgestellt wurden, wobei sich dem Gesetz nicht entnehmen lässt, unter welchen Voraussetzungen eine solche Bereitstellung durch den Betroffenen vorliegt.787 Mit Blick auf die Zielsetzung der Norm ist der Begriff der Bereitstellung allerdings weit auszulegen.788 Um dem Nutzer einen Anbieterwechsel zu ermöglichen, ist es gerade erforderlich, dass er seine Daten möglichst weitreichend portieren kann.789 Umfasst sind also in erster Linie solche Daten, die der Betroffene aktiv, also wissentlich und willentlich zur Verfügung gestellt hat.790 Darüber hinaus soll das Recht auf Datenportabilität aber auch solche Daten umfassen, die „sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person […] sind.“791 
390Seine Grenze findet der Anspruch jedoch nach überwiegender Meinung in der Literatur in Bezug auf solche Daten, die der Verantwortliche anderweitig über den Betroffenen erhoben und ggf. systematisiert beziehungsweise „veredelt“ hat.792 Diese Interpretation dürfte auch im Einklang mit den „Leitlinien zur Datenübertragbarkeit“ der Art. 29-Datenschutzgruppe stehen. Auch nach Ansicht der Datenschutzgruppe sollen „abgeleitete“ sowie aus Rückschlüssen erzeugte Daten nicht vom Anwendungsbereich der Norm umfasst sein.793 Allerdings bleibt ein eventueller Anspruch aus Art. 15 DSGVO unberührt. 
391Sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO gegeben sind, hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Anders als etwa nach den Vorgaben des Art. 17 DSGVO ist also nicht eine (zusätzliche) Löschung der Daten auf Grundlage des Art. 20 Abs. 1 möglich, sondern der Erhalt einer Kopie der vorhandenen Datensätze.794 Hinsichtlich des Datenformats können der DSGVO keine konkreten Vorgaben entnommen werden. Vorausgesetzt wird lediglich, dass die Daten strukturiert und in einem gängigen maschinenlesbaren Format bereitgehalten werden, wobei maßgeblich das Ziel der Interoperabilität verfolgt wird.795 Praktisch kommen insbesondere XML, HTML, OpenDocument oder aber auch Excel-Formate in Betracht.796 
392Darüber hinaus hat der Betroffene das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den (vormaligen) Verantwortlichen zu übermitteln. Dem ursprünglichen Verantwortlichen ist es in der Folge untersagt, lediglich bedingte Übertragungen vorzunehmen, Umfang und Ausmaß der Übertragung einzuschränken oder diese maßgeblich zeitlich zu verzögern.797 
393Die betroffene Person kann gem. Art. 20 Abs. 2 DSGVO zudem verlangen, dass die entsprechenden personenbezogenen Daten direkt von einem Verantwortlichen zu einem anderen Verantwortlichen übermittelt werden. Mithin soll der „datenschutzrechtliche Umzug“ des Betroffenen zu einem anderen Verantwortlichen auf Grundlage der Vorschrift weiter erleichtert werden.798 Die Vorschrift steht allerdings unter der einschränkenden Bedingung der technischen Machbarkeit. Damit ist eine Verhältnismäßigkeitsprüfung intendiert, da es dem Verantwortlichen beispielsweise nicht zugemutet werden kann, entsprechende Verarbeitungssysteme nur auf Grundlage eines einzelnen Portierungswunsches anzupassen.799 
394Insgesamt betrachtet bringt gerade auch das neue Recht auf Datenübertragbarkeit die berechtigte Hoffnung mit sich, dass sich unter den Anbietern in zunehmendem Maße ein Wettbewerb um datenschutzfreundliche Technologien entwickelt800, wenngleich auch die Verwirklichung dieser Zielsetzung in der Praxis erst noch abzuwarten bleibt. 
 f. Musterbeispiele zur Ausgestaltung der Informationspflichten 
395Hinsichtlich der konkreten Ausgestaltung der Informationspflichten des Verantwortlichen hat der Bayerische Landesbeauftragte für den Datenschutz jüngst eine ausführliche Orientierungshilfe veröffentlicht.801 Unter ausdrücklicher Einbeziehung der darin vorgeschlagenen Musterformulierungen soll nachfolgend ein unverbindliches Ausgestaltungsbeispiel aufgezeigt werden. 
 aa. Musterformulierungen zu den Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO802 
396Name und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a DSGVO)
„Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist (Name, Anschrift, Telefonnummer und E-Mail-Adresse der verantwortlichen Stelle).“803
Alternative Formulierung für den Fall der Verarbeitung personenbezogener Daten durch „gemeinsam Verantwortliche“ gem. Art. 26 Abs. 1 Satz 1 DSGVO:
„Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist (Name, Anschrift, Telefonnummer und E-Mail-Adresse des Verantwortlichen, die vereinbarungsgemäß die Informationsplicht nach Art. 13 Abs. 1 und 2 DSGVO erfüllt). Für die Verarbeitung Ihrer personenbezogenen Daten sind zudem noch weitere Stellen verantwortlich. Es besteht insoweit eine gemeinsame Verantwortlichkeit im Sinn des Art. 26 DSGVO. Angaben zu den weiteren gemeinsam Verantwortlichen finden Sie unter (Verweis auf die Informationen zu den ‚Empfängern‘ gemäß Art. 13 Abs. 1 lit. e DSGVO). Die für die Verarbeitung Ihrer personenbezogenen Daten gemeinsam Verantwortlichen haben in einer Vereinbarung festgelegt, welcher Verantwortliche jeweils welche Verpflichtungen nach der Datenschutz-Grundverordnung erfüllt (Art. 26 Abs. 1 Satz 2 DSGVO). Das Wesentliche dieser Vereinbarung können Sie unter (Angabe z.B. eines Weblinks) einsehen.“804
 
397Name und Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 lit. b DSGVO)
„Unseren Datenschutzbeauftragten erreichen Sie unter (Angabe von Anschrift, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftragten).“805
 
398Zwecke und Rechtsgrundlage der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)
„Wir verarbeiten Ihre personenbezogenen Daten, soweit dies zur Durchführung der nachfolgend benannten Zwecke erforderlich ist: [Nennung der spezifischen Zwecke im Rahmen der konkreten Verarbeitung]. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist [Nennung der konkreten Rechtsgrundlage(n) im konkreten Verarbeitungsfall].“806
 
399[Soweit erforderlich] Benennung der berechtigten Interessen im Sinne des Art. 13 Abs. 1 lit. d DSGVO. 
400Benennung aller Empfänger der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO). 
401Übermittlung in ein Drittland oder an eine internationale Organisation (Art. 13 Abs. 1 lit. f DSGVO)
„Wir beabsichtigen, Ihre personenbezogenen Daten an (Name des Drittlands oder der Stelle im Drittland, an die übermittelt werden soll) zu übermitteln. Die Übermittlung erfolgt [beispielsweise] auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom (Datum). Dieser Beschluss ist im Internet abrufbar unter (Nachweis).“807
 
402Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)
„Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zu Erfüllung unserer gesetzlichen Aufgaben erforderlich ist. In der Regel bewahren wir personenbezogene Daten (Anzahl) Jahre auf. Abweichende Fristen ergeben sich insbesondere aus (Angabe der betreffenden Vorschriften).“808
 
403Rechte der betroffenen Person (Art. 13 Abs. 2 lit. b DSGVO)
„Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu:
Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann [...].
Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 lit. b DSGVO).
Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr. Weitere Einschränkungen, Modifikationen und gegebenenfalls Ausschlüsse der vorgenannten Rechte können sich aus der Datenschutz-Grundverordnung oder nationalen Rechtsvorschriften ergeben.“809
 
404[Gegebenenfalls] Widerrufsrecht bei einer Einwilligung (Art. 13 Abs. 2 lit. c DSGVO)
„Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.“810
 
405Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)
„Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde [ist] […] [Nennung der Kontaktdaten].“811
 
 bb. Gesonderte Informationspflichten nach Art. 14 Abs. 1 und 2 DSGVO 
406Der Umfang der Informationspflichten im Sinne des Art. 14 Abs. 1 und Abs. 2 DSGVO entspricht weitestgehend dem Anforderungskatalog des Art. 13 DSGVO, die diesbezüglichen Musterformulierungen können daher regelmäßig auch im Anwendungsbereich des Art. 14 DSGVO herangezogen werden.812 
407Werden personenbezogene Daten allerdings nicht bei der betroffenen Person erhoben, so ist der Verantwortliche ergänzend dazu verpflichtet, den Betroffenen die Kategorien als auch die Quelle der personenbezogenen Daten mitzuteilen (Art. 14 Abs. 1 lit. d DSGVO sowie Art. 14 Abs. 2 lit. f DSGVO). 
408Entsprechend ist das Informationsblatt zur Verarbeitung der personenbezogenen Daten um die folgenden Angabe zu ergänzen: „Wir verarbeiten die folgenden Kategorien personenbezogener Daten von Ihnen: […] [Nennung der betroffenen Datenkategorien im konkreten Verarbeitungsvorgang].“813 
409Weiterhin ist die Quelle der Daten zu benennen, wobei auf die folgende Formulierung zurückgegriffen werden kann: „Wir haben Ihre Daten bei [Angabe der Quelle] erhoben“814. 
 VII.  Die Gewährleistung der Sicherheit personenbezogener Daten 
 1. Die Generalklausel des Art. 24 DSGVO 
410Art. 24 Abs. 1 Satz 1 der DSGVO verpflichtet den Verantwortlichen (vgl. dazu Rn. 202 ff.) zur Sicherstellung und zum Nachweis, dass die jeweilige Verarbeitung nach den Vorgaben der DSGVO erfolgt. Dazu ist der Verantwortliche insbesondere gehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, welche die Art, den Umfang, die Umstände und den Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen gebührend berücksichtigen. Mithin konkretisieren die Vorgaben des Art. 24 Abs. 1 DSGVO den Grundsatz der Vertraulichkeit und Integrität der Datenverarbeitung in Art. 5 Abs. 1 lit. f DSGVO, wobei sich eine weitergehende Präzisierung der zu ergreifenden Maßnahmen in Art. 32 DSGVO findet.815 
411Abhängig vom jeweiligen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der Verantwortliche die erforderlichen Maßnahmen zum Schutz der Betroffenen zu ergreifen (sog. „risikobasierter Ansatz“)816. Inhaltlich greift die Datensicherheits-Generalklausel817 weitestgehend bekannte Grundsätze auf, welche sich bislang insbesondere in § 9 BDSG a.F. i.V.m. Anlage 1 fanden818. Bei der Ausgestaltung technischer und organisatorischer Maßnahmen kann daher (jedenfalls vergleichend) auf vorhandene Materialien zu § 9 BDSG a.F. zurückgegriffen werden.819 
412Zur Beschreibung und zugleich zum Nachweis der intern getroffenen Maßnahmen sollte ein umfassendes Datensicherheitskonzept auf Grundlage einer vorab vorgenommenen Risikoanalyse erstellt werden.820 Im Rahmen der Analyse sind sowohl die Risiken für die betroffenen Personen als auch deren Eintrittswahrscheinlichkeiten bei dem jeweiligen Verarbeitungsvorgang festzustellen.821 Dabei sind der Zweck und der Umfang der Datenverarbeitung, die Art der zu verarbeitenden Daten sowie die allgemeinen Umstände der Datenverarbeitung auf ihr Gefahrenpotential für die Betroffenen zu untersuchen.822 
413Für den Fall, dass aus der Verarbeitung die Gefahr eines physischen, materiellen oder immateriellen Schadens für die betroffene Person hervorgeht, ist dies besonders risikorelevant.823 Dies ist beispielsweise der Fall, wenn die Verarbeitung ein erhöhtes Diskriminierungspotential aufweist, ein finanzieller Verlust oder andere gesellschaftliche Nachteile aufgrund der Verarbeitung drohen.824 Zudem ist bei der Beurteilung, welche Maßnahmen im Einzelfall erforderlich sind, zu berücksichtigen, welche Datenkategorien verarbeitet werden. Grundsätzlich gilt: Je sensibler die zu verarbeitenden Daten sind, desto höher sind die jeweiligen Anforderungen im Sinne des Art. 24 Abs. 1 Satz 1 DSGVO. Für den Fall, dass personenbezogene Daten besonders schutzbedürftiger Personengruppen, wie beispielsweise Kindern, verarbeitet werden, ist dies bei der Risikobeurteilung gesondert zu bewerten.825 
414Dabei ist allerdings zu beachten, dass es absolute Datensicherheit nicht geben kann.826 Bei der Beurteilung der zu ergreifenden Datensicherheitsmaßnahmen wirkt sich der dem Art. 24 DSGVO innewohnende Grundsatz der Verhältnismäßigkeit einschränkend aus.827 
415Der Begriff der Maßnahmen ist, wie auch bereits im Rahmen des § 9 BDSG a.F., extensiv zu interpretieren, sodass grundsätzlich alle Handlungen des Verantwortlichen, welche den Vorgaben des Art. 24 Abs. 1 Satz 1 DSGVO dienlich sind, erfasst werden.828 Beispielhaft benennt Erwägungsgrund 78 Satz 3 Maßnahmen zur Datenminimierung, die Pseudonymisierung, die Schaffung von Transparenz, Kontrollinstrumente für die Betroffenen sowie die Schaffung allgemeiner Sicherheitsfunktionen. 
416Wenngleich eine exakte Abgrenzung zwischen rein technischen und rein organisatorischen Maßnahmen kaum zu bewerkstelligen ist, kann allgemein festgehalten werden, dass sich technische Maßnahmen generell auf den Datenvorgang an sich beziehen, während sich organisatorische Maßnahmen auf das Umfeld der Datenverarbeitung beziehen.829 
417Art. 24 Abs. 2 DSGVO besagt, dass die Maßnahmen nach Art. 24 Abs. 1 DSGVO auch die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu der Verarbeitungstätigkeit steht. Im Vergleich mit der englischen Sprachfassung (dort „data protection policies“) wird vertreten, dass die Regelung insbesondere auf die Einbeziehung etwaiger Datenschutzrichtlinien abzielt.830 Darunter sind insbesondere solche Vorgaben zum Datenschutz zu verstehen, die der Verantwortliche sowohl intern als auch extern festlegt und vertritt sowie entsprechend publiziert.831 
418Ergänzend normiert Art. 24 Abs. 1 Satz 1 DSGVO, dass getroffene Maßnahmen, soweit erforderlich, überprüft und aktualisiert werden müssen. Offen bleibt dabei, in welchen Zeitabständen eine Überprüfung zu erfolgen hat oder welche Veränderung innerhalb des Verarbeitungsvorgangs eine erneute Überprüfung erforderlich macht.832 Mit Blick darauf, dass innerhalb des Gesetzgebungsverfahrens eine Pflicht zur Überprüfung nach zwei Jahren vorgeschlagen wurde, wird eine Orientierung an dieser Frist empfohlen.833 Abseits „starrer Fristen“ sollte eine Überprüfung und Aktualisierung jedenfalls auch anlassbezogen vorgenommen werden, beispielsweise wenn sich die Rahmenbedingungen der Verarbeitung signifikant geändert haben oder konkrete Anlässe Grund zur Überprüfung der getroffenen Maßnahmen geben.834 
 2. Datenschutz durch Technikgestaltung 
419Allgemein kann festgehalten werden, dass sich die technischen Datenschutzmaßnahmen unmittelbar auf den Vorgang der Datenverarbeitung beziehen. Von besonderer Relevanz sind dabei insbesondere die Vorgaben des Art. 25 DSGVO sowie die des Art. 32 DSGVO. 
 a. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) 
420Art. 25 DSGVO enthält erstmalig auf europäischer Ebene eine ausdrückliche Verpflichtung zu „Privacy by Design“ („Datenschutz durch Technikgestaltung“ – Art. 25 Abs. 1 DSGVO) und „Privacy by Default“ („Datenschutzfreundliche Voreinstellungen“ – Art. 25 Abs. 2 DSGVO).835 
421Das Konzept „Privacy by Design“ beschreibt die Idee, die Vorgaben des Datenschutzes schon bei der technischen und organisatorischen Ausgestaltung der Systeme umfassend zu berücksichtigen. Auch wenn der zwischenzeitlich häufig im Kontext des Art. 25 Abs. 1 DSGVO anzutreffende Begriff „Privacy by Design“ ein Schutzkonzept der Privatsphäre des Betroffenen nahelegt, liegt der Zweck des Datenschutzes durch Technikgestaltung („Data Protection by Design“) vorrangig in dem tatsächlichen, technischen Schutz der personenbezogenen Daten.836 
422Privacy by Default meint, standardisierte, datenschutzfreundliche Voreinstellungen zu treffen, welche die Verarbeitung personenbezogener Daten auf ein Minimum reduzieren.837 Dadurch soll insbesondere verhindert werden, dass die Verantwortlichen mangelnde Datenschutz- und/oder Technikkenntnisse beziehungsweise die schlichte Trägheit der Betroffenen in ihrem Sinne ausnützen.838 
 aa. Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO) 
423Art. 25 Abs. 1 DSGVO sieht vor, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen trifft, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen. Zur Sicherstellung, dass die Anforderungen der DSGVO berücksichtigt und insbesondere die Rechte der betroffenen Personen hinreichend geschützt werden, sind entsprechende Garantien in den Verarbeitungsvorgang aufzunehmen. 
424Im Ergebnis wird der Verantwortliche in die Pflicht genommen, bereits ab dem Entwicklungsstadium dafür Sorge zu tragen, dass die in Art. 5 DSGVO normierten Grundsätze (vgl. dazu Rn. 182 ff.) hinreichend berücksichtigt und entsprechende Garantien bei der Ausgestaltung des Verarbeitungsprozesses implementiert werden.839 Insbesondere im Kontext Datenschutz durch Technik ist allerdings zu berücksichtigen, dass der Begriff der Datensicherheit nicht gleichbedeutend ist mit dem Begriff des Datenschutzes.840 Allein der Umstand, dass ein Verarbeitungssystem beispielsweise zugriffssicher ausgestaltet ist, bedeutet nicht, dass ein Eingriff in die Rechte und Freiheiten der Betroffenen tatsächlich ausgeschlossen ist.841 
425Bei der Implementierung der entsprechenden Maßnahmen sind der Stand der Technik, die Kosten der Implementierungsmaßnahmen, Umfang, Umstände und Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen umfassend zu berücksichtigen. Der Verantwortliche muss nur solche Maßnahmen ergreifen, welche dem Grundsatz der Verhältnismäßigkeit entsprechen.842 Wenngleich dem Verantwortlichen dadurch ein Ermessensspielraum zugebilligt wird, sollte dieser mit Blick auf das Haftungsrisiko (allg. zur Haftung nach den Vorgaben der DSGVO, Rn. 524 ff.) jedenfalls auf eine nachvollziehbare Dokumentation bei der Entscheidung über bestimmte technische und organisatorische Maßnahmen achten.843 Die Grenze des Ermessensspielraums ist jedenfalls bei der Umsetzung zwingender gesetzlicher Vorgaben, wie etwa der hinreichenden Einbeziehung der Betroffenenrechte, erreicht.844 
 bb. Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) 
426Art. 25 Abs. 2 Satz 1 DSGVO verpflichtet den Verantwortlichen, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass aufgrund der Voreinstellungen nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich ist. 
427Für den Verantwortlichen hat dies zur Folge, dass er bei der Ausgestaltung der Verarbeitungsprozesse auf eine möglichst datensparsame und zweckgerichtete Konfiguration zu achten hat.845 Insofern konkretisiert die Vorschrift sowohl den Zweckbindungs- als auch den Erforderlichkeitsgrundsatz (vgl. dazu Rn. 196 ff.).846 
428Bei der Umsetzung der Vorgaben des Art. 25 Abs. 2 DSGVO ist es zudem nicht zwingend erforderlich, dass der Verantwortliche dem Nutzer stets umfassende Werkzeuge wie etwa entsprechende Privacy-Dashboards zur Verfügung stellt.847 Erforderlich, aber auch ausreichend ist es vielmehr, dass der Verantwortliche „[…] Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten [herstellt]“, sodass es „[…] der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen […]“848. 
429Mit Blick auf das Verhältnis zu den Vorgaben des Art. 25 Abs. 1 DSGVO lässt sich festhalten, dass datenschutzfreundliche Voreinstellungen lediglich dann vorgenommen werden können, wenn diese vorab bei der Ausgestaltung des Verarbeitungsprozesses implementiert wurden. Mithin kann zwischen dem Prinzip der datenschutzfreundlichen Voreinstellung und dem Prinzip des Datenschutzes durch Technikgestaltung ein Stufenverhältnis gesehen werden.849 
430Im Fokus der Vorschrift stehen insbesondere Online-Dienste, soziale Netzwerke oder auch mobile Applikationen welche dazu neigen, erheblich mehr Daten auf Grund der Voreinstellungen zu verarbeiten, als tatsächlich zur Erbringung des jeweiligen Dienstes erforderlich wäre.850 In diesem Kontext soll die Pflicht zu datenschutzfreundlichen Voreinstellungen auch dem technisch nichtversierten Betroffenen die datensparsame Nutzung entsprechender Dienste ermöglichen.851 
 b. Die Sicherheit der Datenverarbeitung (Art. 32 DSGVO) 
431Zur Gewährleistung der Sicherheit der Verarbeitung hat der Verantwortliche beziehungsweise der Auftragsverarbeiter (vgl. zum datenschutzrechtlich Verantwortlichen Rn. 202 ff.) gem. Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 
432Bei der Ausgestaltung des angemessenen Schutzniveaus sind nach Art. 32 Abs. 1 Satz 1 DSGVO insbesondere der Stand der Technik, die Implementierungskosten, die Art der Verarbeitung, der Umfang der Verarbeitung, die Umstände der Verarbeitung, der Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Abseits der Vorgaben des Art. 32 Abs. 1 HS. 2 DSGVO verzichtet die Norm weitestgehend darauf, konkrete Anforderungen zu benennen, um einen möglichst technikneutralen sowie entwicklungsoffenen Ansatz gewährleisten zu können.852 
433In diesem Zusammenhang bestimmt Art. 32 Abs. 2 DSGVO, dass es auf die konkreten Risiken des jeweiligen Verarbeitungsvorgangs ankommt. Insbesondere benennt Art. 32 Abs. 2 DSGVO das Risiko der unbeabsichtigten oder unrechtmäßigen Vernichtung, des Verlusts, der Veränderung oder unbefugten Offenlegung beziehungsweise den unbefugten Zugang zu personenbezogenen Daten, welche übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Es empfiehlt sich daher, vorab für jeden Verarbeitungsprozess eine entsprechende Schutzbedarfsfeststellung durchzuführen.853 
434Der Begriff der Sicherheit, beziehungsweise des Schutzniveaus, ist im Kontext des Art. 32 DSGVO in einem weiten Sinne zu verstehen, so dass neben der Datensicherheit auch die allgemeine IT-Sicherheit eine zentrale Rolle spielt.854 Dementsprechend bietet es sich aber auch an, bereits bekannte IT-Sicherheitsstandards855, beispielsweise die Vorgaben der BSI-Grundschutzkataloge oder der ISO-Normen 27000 ff., bei der Ausgestaltung der Verarbeitungssysteme heranzuziehen856. 
435Weitere konkretisierende Vorgaben zur Datensicherheit finden sich unmittelbar in Art. 32 Abs. 1 HS. 2 DSGVO. Mithin werden vier mögliche, aber nicht zwingende857 Maßnahmen aufgelistet, die bei der Herstellung eines angemessenen Schutzniveaus herangezogen werden können. Gleichwohl sollte der Verantwortliche bei der Ausgestaltung des Verarbeitungsprozesses zumindest Überlegungen hinsichtlich aller durch Art. 32 Abs. 1 HS. 2 DSGVO genannten Möglichkeiten anstellen, um ein möglichst angemessenes Schutzniveau gewährleisten zu können.858 
436Art. 32 Abs. 1 HS. 2 lit. a DSGVO benennt die Pseudonymisierung (allgemein zur Pseudonymisierung Rn. 162) sowie die Verschlüsselung personenbezogener Daten als mögliche Maßnahmen im Sinne des Art. 32 Abs. 1 DSGVO. Sowohl durch die Verschlüsselung als auch durch die Pseudonymisierung kann sichergestellt werden, dass auch bei unbefugtem Zugriff nicht ohne weiteres personenbezogene Daten eingesehen werden können.859 
437Die Verschlüsselung wirkt, anders als die Pseudonymisierung, nicht unmittelbar auf das personenbezogene Datum ein; die Verschlüsselung schließt lediglich den unberechtigten Zugriff durch Dritte aus.860 Vor diesem Hintergrund ist bei der Wahl entsprechender Verschlüsselungsmethoden der aktuelle Stand der Technik hinreichend zu berücksichtigen, wobei eine fortlaufende Überprüfung, Aktualisierung und Anpassung der Verschlüsselungstechnik angezeigt ist.861 
438Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, wird von Art. 32 Abs. 1 HS. 2 lit. b DSGVO als weitere Maßnahme zur Herstellung eines angemessenen Datensicherheitsniveaus benannt. Während die Vertraulichkeit insbesondere die Geheimhaltung des Informationsgehalts adressiert, greift das Merkmal der Integrität maßgeblich die Richtigkeit der personenbezogenen Daten auf.862 Zudem ist die Verfügbarkeit der personenbezogenen Daten in dem Sinne zu gewährleisten, dass auf diese zu Zwecken der Verarbeitung jederzeit zugegriffen werden kann.863 Darüber hinaus muss das Verarbeitungssystem hinreichend belastbar ausgestaltet sein. Ergänzend zu den klassischen Merkmalen der IT-Sicherheit bestimmt das Merkmal der Belastbarkeit („Resilienz“), dass entsprechende Systeme hinreichend gegen Ausfälle beziehungsweise Angriffe von außen abgesichert werden müssen.864 
439Eine weitere Maßnahme im Sinne des Art. 32 Abs. 1 DSGVO ist die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, Art. 32 Abs. 1 HS. 2 lit. c DSGVO. Diesbezüglich sollte ein differenziertes Notfallmanagement eingeführt werden, welches insbesondere Backup- und Wiederherstellungsmaßnahmen vorsieht.865 Abhängig von der jeweiligen Verarbeitungssituation ist zudem denkbar, das komplette Verarbeitungssystem redundant anzulegen, sodass im Störfall auf das gespiegelte System zurückgegriffen werden kann.866 Rasch im Sinne der Norm bedeutet jedenfalls, dass der Verantwortliche angemessen schnell reagieren muss, wobei Ausmaß und Umfang des Zwischenfalls im Einzelfall entscheidende Faktoren sind.867 
440Zuletzt benennt Art. 32 Abs. 1 HS. 2 DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen. Deutlich wird, dass Datensicherheit ein stetiger Prozess ist, der einer ständigen „Nachsorge“868 bedarf. Mithin ist der Verantwortliche gehalten, einen wirksamen Prüfmechanismus hinsichtlich der getroffenen Maßnahmen zu etablieren, da anderenfalls eine dauerhafte Sicherheit der Verarbeitungsprozesse kaum gewährleistet werden kann.869 
441Das Merkmal der Regelmäßigkeit hängt maßgeblich von dem jeweiligen Verarbeitungssystem und dem Kontext der Verarbeitung ab.870 Grundsätzlich lässt sich auch hier festhalten, dass mit zunehmendem Risiko des Verarbeitungsvorgangs kürzere Evaluationsfristen einzuhalten sind.871 Darüber hinaus können stets auch anlassbezogene Überprüfungen, beispielsweise im Anschluss an das Bekanntwerden neuer Sicherheitslücken oder nach der Integration neuer technischer Mittel, erforderlich werden.872 
 3. Datenschutz durch organisatorische Maßnahmen 
 a. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) 
442Zum Nachweis der Einhaltung der Vorschriften der DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten verpflichtend873 zu führen874. Die Vorschrift konkretisiert damit den Gedanken der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.875 
443Adressat der Norm ist der datenschutzrechtlich Verantwortliche, Art. 30 Abs. 1 Satz 1 DSGVO, oder aber der Auftragsverarbeiter, Art. 30 Abs. 2 DSGVO. Sofern ein Vertreter (i.S.v. Art. 27 DSGVO)876 vorhanden ist, gilt das für diesen entsprechend. 
444Gem. Art. 30 Abs. 5 DSGVO sind Unternehmen und Einrichtungen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses befreit, wenn diese weniger als 250 Mitarbeiter beschäftigen und die dort aufgeführten Voraussetzungen vorliegen.877 Mithin darf die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten des Betroffenen darstellen, nur gelegentlich erfolgen und keine besonderen Datenkategorien i.S.v. Art. 9 Abs. 1 DSGVO bzw. Daten über strafrechtliche Verurteilungen und Straftaten i.S.v. Art. 10 DSGVO erfassen. Der Ausnahmetatbestand zielt darauf ab, kleine und mittelständische Unternehmen (KMU) zu entlasten, wobei die praktische Tauglichkeit des Ausnahmetatbestands bereits von mehreren Seiten bezweifelt wurde.878 
445Insbesondere vor dem Hintergrund, dass es auch innerhalb kleinster Unternehmen regelmäßig zur Verarbeitung zahlreicher (Beschäftigten-)Daten kommt, ist der verbleibende Anwendungsbereich des Ausnahmetatbestandes fraglich.879 Darüber hinaus ist aber auch bei KMU von einer fortdauernden Verarbeitung etwaiger Kundendaten auszugehen, sodass auch aus diesem Aspekt ein geringer Anwendungsbereich der Norm verbleiben dürfte.880 In der Folge werden KMU daher jedenfalls hinsichtlich fortdauernder Verarbeitungstätigkeiten wie etwa im Bereich des Personal- oder Kundenmanagements ein Verarbeitungsverzeichnis im Sinne des Art. 30 Abs. 1 DSGVO führen müssen.881 
446Der Begriff des Verzeichnisses wird von der DSGVO nicht definiert und ist folglich anhand der verpflichtenden Angaben innerhalb des Verzeichnisses zu bestimmen. Diese haben, nach Sinn und Zweck der Vorschrift, so detailliert, systematisiert und geordnet zu erfolgen, dass die Verarbeitungsvorgänge von der Aufsichtsbehörde nachvollzogen werden können.882 Dies hat grundsätzlich schriftlich oder in einem elektronischen Format zu erfolgen, Art. 30 Abs. 3 DSGVO. 
447Inhaltlich hat der Verantwortliche die Angaben nach Art. 30 Abs. 1 Satz 2 DSGVO zu dokumentieren. Erforderlich sind also
 die Aufnahme des Namens und der Kontaktdaten (lit. a),
 die Zwecke der Verarbeitung (lit. b),
 eine Beschreibung der Kategorien betroffener Personen und Daten (lit. c),
 die Kategorien von Empfängern (lit. d),
 ggf. die Übermittlungen an ein Drittland (lit. e),
 soweit möglich vorgesehene Löschfristen (lit. f) und
 wenn möglich eine Beschreibung der Maßnahmen nach Art. 32 Abs. 1 DSGVO (lit. g).
 
448Für den Auftragsverarbeiter gelten nach Art. 30 Abs. 2 DSGVO reduzierte Anforderungen, dieser hat dessen Namen und Kontaktdaten (lit. a), die Kategorien von Verarbeitungen (lit. b), gegebenenfalls Übermittlungen an ein Drittland (lit. c) und, wenn möglich, eine Beschreibung der Maßnahmen nach Art. 32 Abs. 1 DSGVO (lit. d) zu dokumentieren. Fraglich ist in diesem Kontext, wann die Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO „möglich“ ist. Nach überzeugender Auffassung ist diese Einschränkung nicht auf das „Ob“ der Dokumentation, sondern das „Wie viel“, also den Umfang der Maßnahmen, zu beziehen.883 Insgesamt muss den Aufsichtsbehörden eine Beurteilung der Rechtmäßigkeit der getroffenen Maßnahmen auf Grundlage des Verzeichnisses ermöglicht werden.884 
449Fraglich ist darüber hinaus, ob eine Aktualisierungspflicht besteht. Eine solche lässt sich der endgültigen Fassung der Vorschrift nicht länger entnehmen, sodass von einem beredten normativen Schweigen auszugehen sein könnte.885 Nach Sinn und Zweck der Norm, die Einhaltung der Vorschriften der DSGVO nachweisen zu können, kann dem aber nur dann entsprochen werden, wenn das Verzeichnis dem aktuell tatsächlichen Stand entspricht.886 
 b. „Data Breach Notification“ (Art. 33 DSGVO) 
450Die Pflicht zur Meldung etwaiger Datenschutzverstöße an die Aufsichtsbehörde wird durch Art. 33 DSGVO begründet. Im Falle einer Verletzung des Schutzes personenbezogener Daten, also insbesondere bei Datenpannen und Datenlecks887 im Sinne des Art. 4 Nr. 12 DSGVO, ist der Verantwortliche nach Kenntniserlangung zur unverzüglichen Meldung bei der Aufsichtsbehörde (Art. 55 DSGVO) verpflichtet. Zu beachten ist, dass demnach das Entstehen der Meldepflicht und der Beginn der Meldefrist auseinanderfallen: Während die Meldepflicht bereits entsteht, wenn objektiv eine Datenschutzverletzung vorliegt, beginnt die Meldefrist erst mit subjektiver Kenntnis.888 Erfolgt die Meldung nicht binnen 72 Stunden nach Kenntniserlangung, so ist die Verzögerung gem. Art. 33 Abs. 1 Satz 2 DSGVO zu begründen. 
450.1Die Berechnung der europarechtlich determinierten Frist bestimmt sich nach den Vorgaben der Art. 2 ff. Verordnung (EWG, Euratom) NR. 1182/71 des Rates vom 03.06.1971 zur Festlegung der Regeln für die Fristen, Daten und Termine (Fristen-VO) (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, 2019, Rn. 76).
Aktualisierung vom 17.06.2019
!
450.2Zur Bestimmung des Fristbeginns kommt es auf die Vorgaben des Art. 3 Abs. 1 Fristen-VO an (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, 2019, Rn. 77). Fristauslösendes Moment ist dabei das Bekanntwerden der Datenschutzverletzung, wobei die Frist gem. Art. 3 Abs. 1 Fristen-VO erst zu Beginn der darauffolgenden Stunde in Gang gesetzt wird (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, 2019, Rn. 78). Unter Berücksichtigung dessen, dass es dem Verantwortlichen oftmals nicht möglich ist, die Datenschutzverletzung „auf einen Blick“ zu erkennen, ist davon auszugehen, dass die Aufsichtsbehörden eine regelmäßige „Aufklärungsphase“ von bis zu 24 Stunden gewähren (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, 2019, Rn. 70). Eine solche „Karenzfrist“ kann freilich nicht in den Fällen gelten, in denen die Verletzung offensichtlich und ohne weitere Nachforschung auf der Hand liegt.
Aktualisierung vom 17.06.2019
!
450.3Im Fall des Art. 33 Abs. 1 Satz 1 DSGVO endet die Frist gem. Art. 3 Abs. 2 lit. a Fristen-VO mit Ablauf der letzten Stunde der Frist. Fällt das Fristende einer nach Stunden bemessenen Frist auf einen Sonn- oder Feiertag, so ist dies auf Grundlage der Fristen-VO nicht von Relevanz (vgl. Art. 3 Abs. 4 Fristen-VO). Mithin ist eine Verlängerung der Stunden-Frist auf den nächsten Arbeitstag nicht vorgesehen (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, 2019, Rn. 80). Wird die Frist überschritten, ist dies, wie bereits festgehalten, gem. Art. 33 Abs. 1 Satz 2 DSGVO zu begründen. Wenngleich etwaige Feiertage die Frist zwar nicht verlängern, kann aber beispielsweise eine Datenpanne während der Weihnachtsfeiertage die Verzögerung im Sinne des Art. 33 Abs. 1 Satz 2 DSGVO begründen (so der Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflichten des Verantwortlichen, 2019, Rn. 75).
Aktualisierung vom 17.06.2019
!
451Von der Meldung kann gem. Art. 33 Abs. 1 Satz 1 DSGVO abgesehen werden, wenn die Verletzung voraussichtlich nicht zu einem Risiko889 für die Rechte und Freiheiten natürlicher Personen führt. 
452Eine Meldepflicht existiert in abgewandelter Form auch für den Auftragsverarbeiter. Für den Fall, dass dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, hat er dies dem Verantwortlichen unverzüglich zu melden, Art. 33 Abs. 2 DSGVO. Die Verpflichtung erstreckt sich inhaltlich jedoch nur auf die objektiven Anhaltspunkte für eine Datenschutzverletzung, die daran anschließende Risikoprognose bleibt der Bewertung durch den Verantwortlichen vorbehalten.890 
452.1Der Auftragsverarbeiter ist hingegen nicht zur Meldung gegenüber der Aufsichtsbehörde verpflichtet (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflichten des Verantwortlichen, 2019, Rn. 88). Erforderlich, aber auch ausreichend ist eine unverzügliche, also ohne schuldhaftes Zögern erfolgende Meldung im Rahmen des Innenverhältnisses (so der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflichten des Verantwortlichen, 2019, Rn. 88). Vor diesem Hintergrund empfiehlt der Bayerische Landesbeauftragte für den Datenschutz allerdings, entsprechende Vereinbarungen im Rahmen der zugrundeliegenden Auftragsverarbeitungsvereinbarung zu treffen (vgl. im Allgemeinen zur Auftragsverarbeitungsvereinbarung Rn. 221 ff.). Mithin sollten sowohl der Meldeweg (Ansprechpartner, Erreichbarkeit etc.) als auch der exakte Inhalt der Meldung im Rahmen der Vereinbarung fixiert werden (Der Bayerische Landesbeauftragte für den Datenschutz, Orientierungshilfe Meldepflicht und Benachrichtigungspflichten des Verantwortlichen, 2019, Rn. 89).
Aktualisierung vom 17.06.2019
!
453Der Mindestinhalt („zumindest“) der Meldung muss nach Art. 33 Abs. 3 DSGVO eine Beschreibung der Art der Datenschutzverletzung (lit. a), den Namen und die Kontaktdaten des Datenschutzbeauftragten bzw. einer sonstigen Anlaufstelle (lit. b), eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung (lit. c) sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung, ggf. Maßnahmen zur Abmilderung, (lit. d) enthalten. Nach Art. 33 Abs. 4 DSGVO können diese Informationen, sofern sie faktisch891 nicht im Zeitpunkt des Bekanntwerdens schon bereitgestellt werden können, ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden. 
454Schließlich hat der Verantwortliche die Datenschutzverletzung sowie alle mit ihr in Zusammenhang stehenden Fakten, insb. Auswirkung und ergriffene Abhilfemaßnahmen, zu dokumentieren, Art. 33 Abs. 5 Satz 1 DSGVO. Anhand der Dokumentation soll es der Aufsichtsbehörde insbesondere ermöglicht werden, die Einhaltung der Vorgaben des Art. 33 DSGVO zu überprüfen, vgl. Art. 33 Abs. 5 Satz 2 DSGVO. Dies schließt nach Sinn und Zweck der Vorschrift auch Grundlagen und Ergebnis der Risikoprognose mit ein.892 Nur so kann es der Aufsichtsbehörde (jedenfalls im Nachgang) ermöglicht werden, die Fälle zu überprüfen, in denen der Verantwortliche gem. Art. 33 Abs. 1 Satz 1 HS. 2 DSGVO von einer Meldung abgesehen hat.893 
 c. Die Datenschutz-Folgeabschätzung (Art. 35 DSGVO) 
455Eine starre Pflicht zur Meldung von Datenverarbeitungen, wie sie noch Art. 18 der Datenschutzrichtlinie vorsah, existiert nicht in den Vorgaben der DSGVO.894 Ersetzt wird diese durch die sog. Datenschutz-Folgenabschätzung (Art. 35 DSGVO), die ein Instrument der risikobasierten Selbsteinschätzung darstellt.895 Die Datenschutz-Folgenabschätzung ist folglich grundsätzlich immer dann durchzuführen, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für den Betroffenen zur Folge haben wird. Sie ist also zeitlich der Verarbeitungstätigkeit vorgelagert. Die Datenschutz-Folgeabschätzung ist zwar keine Rechtmäßigkeitsvoraussetzung der Verarbeitung, ein Verstoß ist jedoch gem. Art. 83 Abs. 4 lit. a DSGVO bewehrt.896 Im Prinzip handelt es sich bei der Datenschutz-Folgenabschätzung um eine Form der im deutschen Datenschutzrecht bereits bekannten Vorabkontrolle i.S.d. § 4d Abs. 5 BDSG a.F.897 
456Die Pflicht zur Datenschutz-Folgeabschätzung richtet sich an den Verantwortlichen, Art. 35 Abs. 1 Satz 1 DSGVO. Art. 28 Ab. 3 Satz 2 lit. f DSGVO sieht vor, dass der Auftragsverarbeiter durch den Verantwortlichen zur Unterstützung bei der Datenschutz-Folgeabschätzung verpflichtet wird.898 
457Nach Art. 35 Abs. 2 DSGVO ist der Datenschutzbeauftragte – soweit vorhanden – bei der Durchführung miteinzubeziehen, wobei daraus keine Verantwortlichkeit des Datenschutzbeauftragten resultiert.899 Vor dem Hintergrund, dass die Nichteinbeziehung des Datenschutzbeauftragten eine Ordnungswidrigkeit gem. Art. 83 Abs. 4 lit. a DSGVO darstellt, sollte die ordnungsgemäße Einbindung des Datenschutzbeauftragten hinreichend dokumentiert werden.900 Allerdings ist der Verantwortliche nicht verpflichtet, dem Rat des Datenschutzbeauftragten auch tatsächlich zu folgen, ein entsprechendes Vetorecht des Datenschutzbeauftragten kann der Vorschrift ebenfalls nicht entnommen werden.901 
458Art. 35 Abs. 9 DSGVO schreibt vor, dass der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeachtet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge einholt. „Gegebenenfalls“ ist missverständlich formuliert. Im Hinblick auf die englische Version „appropriate“ sollte gegebenenfalls als angemessen ausgelegt werden, was den Situationsbezug deutlicher hervorhebt.902 Auch an dieser Stelle ist sinnvoll zu dokumentieren, ob eine solche Einbindung erfolgte und wenn dies nicht der Fall ist, aus welchen Gründen davon abgesehen wurde.903 
459Art. 35 Abs. 3 DSGVO vertypt einige Regelbeispiele, die ein hohes Risiko für die Betroffenen in sich tragen und bei welchen zwingend eine Datenschutz-Folgeabschätzung erforderlich ist. Hierzu zählt die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung gründet und als Grundlage von Entscheidungen dienen (lit. a), etwa Scoring und die automatisierte Einzelentscheidung.904 Auch die zu verarbeitenden Arten personenbezogener Daten können ausschlaggebend sein, etwa wenn es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO oder um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) handelt, die in einem umfangreichen Maßstab verarbeitet werden (lit. b). Zuletzt führt auch die systematische und umfassende Überwachung öffentlich zugänglicher Bereiche (lit. c) zur Pflicht, eine Datenschutz-Folgeabschätzung durchzuführen. Eine solche Überwachung könnte etwa durch Bild- oder Tonaufnahmegeräte oder durch Sensoren stattfinden.905 
460Die Aufsichtsbehörden können darüber hinaus gem. Art. 35 Abs. 4 DSGVO eine sog. Positivliste bzw. Blacklist mit Verarbeitungsvorgängen erstellen und veröffentlichen, für die eine Datenschutz-Folgeabschätzung durchzuführen ist. Gleiches gilt nach Art. 35 Abs. 5 DSGVO für Verarbeitungstätigkeiten, für die keine Datenschutz-Folgeabschätzung erforderlich ist (Negativliste bzw. Whitelist). Die Artikel-29-Datenschutzgruppe hat hierzu eine umfangreiche Liste veröffentlicht, welche Verarbeitungstätigkeiten nach ihrer Ansicht mit einem hohen bzw. nicht ausreichend hohen Risiko i.S.d. Art. 35 DSGVO zu bewerten sind.906 Diese Übersicht versteht sich als Orientierungshilfe, anhand welcher möglichst einheitliche Standards für diese Frage entwickelt werden sollen.907 
461Zwischenzeitlich haben mehrere Aufsichtsbehörden entsprechende Positivlisten für den öffentlichen als auch für den nichtöffentlichen Bereich veröffentlicht. So hat beispielsweise die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine gemeinsame Liste für Datenverarbeitungen im nichtöffentlichen Bereich nach Art. 35 Abs. 4 DSGVO verabschiedet.908 Darin benennt die DSK 16 Verarbeitungstätigkeiten, wie etwa die umfangreiche Verarbeitung von Daten, die dem Sozial-, dem Berufs- oder einem besonderen Amtsgeheimnis unterliegen, bei denen zwingend eine Datenschutz-Folgeabschätzung durchzuführen ist. Auch die Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat eine entsprechende Liste von Verarbeitungstätigkeiten für die öffentlichen Stellen des Bundes veröffentlicht.909 Darüber hinaus haben auch zahlreiche Landesbehörden entsprechende Listen im Jahr 2018 veröffentlicht.910 
462Im Übrigen verbleibt es dabei, dass nur dann eine Datenschutz-Folgeabschätzung verpflichtend durchzuführen ist, wenn die Verarbeitung ein hohes Risiko für die Betroffenen in sich birgt. Beurteilt wird dies anhand verschiedener Risikofaktoren, z.B. durch die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Der Entscheidungsprozess sollte, auch wenn ein hohes Risiko nicht angenommen wird, dennoch dokumentiert werden.911 
463Wird eine Datenschutz-Folgeabschätzung durchgeführt, sind die Risiken zu erfassen und zu überprüfen, ob durch technische organisatorische Maßnahmen das ermittelte Risiko zumindest reduziert werden kann.912 Art. 35 Abs. 7 lit. d DSGVO benennt einige dieser „Abhilfemaßnahmen“, wozu insbesondere Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis der Einhaltung der DSGVO erbracht wird, zählen. Nach Art. 35 Abs. 8 DSGVO sind genehmigte Verhaltensregeln gem. Art. 40 DSGVO gebührend zu berücksichtigen. Art. 35 Abs. 7 DSGVO schreibt vor, was mindestens dokumentiert werden sollte. 
464Nach Art. 35 Abs. 1 Satz 2 DSGVO können ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken gemeinsam abgeschätzt werden. Erwägungsgrund 92 der DSGVO führt hierzu aus, dass „es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein“ kann, „eine Datenschutz-Folgeabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen“. Insoweit lassen sich „kleinteilige“ Abschätzungen zusammenfassen, was den Aufwand maßgeblich reduzieren kann. 
465Die Ergebnisse der Datenschutz-Folgeabschätzung sind nicht für alle Zeit feststehend. Vielmehr sind diese nach Art. 35 Abs. 11 DSGVO erforderlichenfalls zu aktualisieren. Namentlich genannt wird der Fall, dass sich das ermittelte Risiko geändert hat. Die Artikel-29-Datenschutzgruppe nennt hier beispielhaft die Fälle, dass sich der Verarbeitungsvorgang selbst ändert (z.B. Auswirkungen auf den Betroffenen oder neue/andere Bedrohungen) oder der Kontext der Verarbeitung sich ändert (z.B. Zweck, Funktionalität).913 Darüber hinaus kann sich die Pflicht zur Aktualisierung nach Ansicht der Artikel-29-Datenschutzgruppe auch in den Fällen ergeben, in denen Änderungen im Hinblick auf die Organisation oder die Gesellschaft vorliegen. Dies kann etwa der Fall sein, wenn automatisierte Entscheidungen einen größeren Effekt auf die Betroffenen aufweisen, neue Kategorien von Betroffenen einer möglichen Diskriminierung ausgesetzt sind oder personenbezogene Daten in ein Land übermittelt werden, welches aus der EU ausgetreten ist.914 Aus Best-Practice-Perspektive empfiehlt sich daher die kontinuierliche Überprüfung sowie gegebenenfalls die regelmäßige Erneuerung bereits getroffener Folgenabschätzung.915 
466Ergibt die Folgenabschätzung, dass die gewählte Form der Datenverarbeitung für den Betroffenen risikoreich ist, muss der Verantwortliche sich gem. Art. 36 Abs. 1 DSGVO mit der zuständigen Aufsichtsstelle verständigen (vorherige Konsultation). Der Umfang der Information, die der Aufsichtsbehörde zur Verfügung gestellt werden müssen, ergibt sich aus Art. 36 Abs. 3 DSGVO. 
467Unter den in Art. 35 Abs. 10 DSGVO genannten Voraussetzungen ist eine Datenschutz-Folgeabschätzung trotz hohen Risikos nicht erforderlich. Der Ausnahmetatbestand adressiert aufgrund des ausdrücklichen Verweises auf die Rechtsgrundlagen des Art. 6 Abs. 1 Satz 1 lit. c und e DSGVO vornehmlich den öffentlichen Bereich.916 Für den Fall, dass der Gesetzgeber bei dem Erlass einer Rechtsgrundlage im Sinne des Art. 6 Abs. 1 Satz 1 lit. c oder e DSGVO bereits eine (abstrakte) Datenschutz-Folgenabschätzung durchgeführt hat, soll der Ausnahmetatbestand des Art. 35 Abs. 10 DSGVO eine „doppelte Folgenabschätzung“ im konkreten Fall vermeiden.917 
 d. Der Datenschutzbeauftragte 
 aa. Die Vorgaben der DSGVO 
468Die DSGVO regelt erstmalig auf europäischer Ebene die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, Art. 37 DSGVO. Regelungsadressaten der Norm sind sowohl Behörden als auch Unternehmen. Unternehmen unterfallen der Regelung allerdings nur dann, wenn diese entweder die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen vornehmen oder aber, wenn deren Kernaktivität in der umfangreichen Verarbeitung besonders sensibler Daten besteht. 
469Auf Grundlage der Spezifizierungsklausel des Art. 37 Abs. 4 Satz 1 DSGVO wurden in Deutschland allerdings weitergehende Bestellpflichten in den §§ 5-7 BDSG für öffentliche Stellen sowie in § 38 BDSG für nicht-öffentliche Stellen normiert (vgl. dazu Rn. 503 ff.).
(1) Die Pflicht zur Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO)
 
470Behörden sind gem. Art. 37 Abs. 1 lit. a DSGVO verpflichtet einen Datenschutzbeauftragten zu bestellen. Von der Bestellpflicht nach der DSGVO sind lediglich Gerichte befreit, welche im Rahmen ihrer justiziellen Tätigkeit handeln. Mit Blick auf die Vorgaben des § 5 Abs. 1 Satz 1 BDSG (vgl. dazu Rn. 503 ff.), der öffentliche Stellen allgemein zur Bestellung eines Datenschutzbeauftragten verpflichtet, spielt die Bereichsausnahme jedenfalls in Deutschland keine Rolle. 
471Im nicht-öffentlichen Bereich kommt es für die Bestellpflicht nach den Vorgaben der DSGVO maßgeblich auf Art und Umfang der Verarbeitung sowie auf die damit verbundenen Risiken für die Betroffenen an.918 Nach Art. 37 Abs. 1 lit. a DSGVO benennt der Verantwortliche einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Der Begriff der Kerntätigkeit ist dabei im Sinne einer Haupttätigkeit zu verstehen.919 Regelmäßig wird die Verarbeitung personenbezogener Daten als Kerntätigkeit des Verantwortlichen anzusehen sein, wenn es sich bei den Verantwortlichen beispielsweise um Marktforschungsunternehmen, Auskunfteien oder auch Headhunter handelt.920 Wann eine umfangreiche, regelmäßige und systematische Überwachung vorliegt, ist aufgrund der Vielzahl unbestimmter Rechtsbegriffe regelmäßig schwer zu bestimmen, deutlich wird allerdings, dass alle Tatbestandsmerkmale kumulativ gegeben sein müssen.921 Jedenfalls kommen gezielte Informationsbeschaffungsmaßnahmen wie beispielsweise Videoüberwachungsanlagen oder aber auch Detekteien in Betracht.922 Aber auch im Bereich der Telekommunikationsdienstleistungen, der E-Mail-Werbung, des Scorings der Standortverfolgung oder bei der Bereitstellung von Wearables kann eine regelmäßige, systematische Überwachung vorliegen.923 
472In Abgrenzung zu Art. 37 Abs. 1 lit. b DSGVO kommt es bei lit. c auf die Art der zu verarbeitenden personenbezogenen Daten an. Sofern die Verarbeitung besonderer personenbezogener Daten, wie beispielsweise Gesundheitsdaten, die Haupttätigkeit des Unternehmens darstellt, ist dieses zur Bestellung eines Datenschutzbeauftragten verpflichtet. Regelmäßig sind daher Krankenhäuser, Ärzte, Apotheken, Labore oder auch Beratungsstellen zur Bestellung eines Datenschutzbeauftragten verpflichtet.924 
473In Unternehmensgruppen darf gem. Art. 37 Abs. 2 DSGVO ein gemeinsamer Datenschutzbeauftragter benannt werden, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann. Anders als nach den Vorgaben des BDSG a.F. wird damit die Benennung eines „Konzern-Datenschutzbeauftragten“ ermöglicht.925 Leicht erreichbar ist der gemeinsame Datenschutzbeauftragte jedenfalls dann, wenn dieser unter Einsatz zumutbarer Mitteln persönlich kontaktiert werden kann.926 Auch Behörden beziehungsweise öffentliche Stellen können gem. Art. 37 Abs. 3 DSGVO unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen. 
474Letztlich verbleibt gem. Art. 37 Abs. 4 Satz 1 HS. 1 DSGVO die Möglichkeit freiwillig einen Datenschutz-Beauftragten zu benennen.927 
475Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgabe auf Grundlage eines Dienstvertrages erfüllen, vgl. Art. 37 Abs. 6 DSGVO. Ob damit auch juristische Personen als Datenschutzbeauftragte in Frage kommen, lässt sich dem Gesetz nicht eindeutig entnehmen. Mit Blick darauf, dass der Datenschutzbeauftragte allerdings insbesondere auch als Ansprechperson der Aufsichtsbehörden fungiert sowie entsprechende persönliche Voraussetzungen aufweisen muss, ist es überzeugend, dass ausschließlich natürliche Personen die Funktion des Datenschutzbeauftragten übernehmen können.928 
476Gem. Art. 37 Abs. 7 DSGVO veröffentlicht der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. Die Literatur als auch die Artikel-29-Datenschutzgruppe gehen hierbei übereinstimmend davon aus, dass der Name des Datenschutzbeauftragten dabei nicht veröffentlicht werden muss.929 Ausreichend ist daher eine generische E-Mail-Adresse (z.B. datenschutz@xyz.de)930 zusammen mit der postalischen Erreichbarkeit931. Gegenüber der Aufsichtsbehörde ist der Name des Datenschutzbeauftragten allerdings zu nennen, damit der Datenschutzbeauftragte seiner Funktion als Anlaufstelle für die Aufsichtsbehörde entsprechen kann.932 
477Die Modi der Veröffentlichung regelt die DSGVO nicht. Es ist daher zu empfehlen, die Kontaktdaten ständig abrufbar bereitzustellen, etwa im Impressum der Webseite und im Intranet.933 Im Übrigen sind die Kontaktdaten des Datenschutzbeauftragten auch im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit. b DSGVO, Art. 14 Abs. 1 lit. b DSGVO bereitzustellen, also auch in der Datenschutzerklärung der Webseite (allgemein zu den Informationspflichten nach der DSGVO Rn. 360 ff.). Hinsichtlich der Übermittlung an die Aufsichtsbehörden kann davon ausgegangen werden, dass diese spezielle Formulare auf ihrer Webseite bereithalten werden.934
(2) Die erforderliche Qualifikation des Datenschutzbeauftragten
 
478Die Anforderungen, welche an die Person des Datenschutzbeauftragten zu stellen sind, werden in Art. 37 Abs. 5 DSGVO normiert. Die Benennung hat diesem zufolge auf Grundlage der beruflichen Qualifikation und insbesondere aufgrund des Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis zu erfolgen. Zudem ist die Fähigkeit zur Erfüllung des Aufgabenkatalogs in Art. 39 DSGVO zu berücksichtigen. 
479Grundsätzlich gilt, dass sich das erforderliche Qualifikationsniveau des Datenschutzbeauftragten nach den vorgenommenen oder geplanten Verarbeitungsvorgängen zu richten hat.935 Vor diesem Hintergrund wäre es zwar zu begrüßen, wenn der vorgesehene Datenschutzbeauftragte sowohl Informatik- als auch Rechtskenntnisse aufweisen kann, in der Praxis wird es aber ausreichend sein, wenn er in einer Disziplin ausgebildet worden ist.936 Ergänzend darf und muss er auf geschulte Mitarbeiter zurückgreifen können.937 Insbesondere ist es nicht erforderlich, dass der Datenschutzbeauftragte ein juristisches Studium abgeschlossen hat, ein vertieftes Verständnis des nationalen als auch des europäischen Datenschutzrechts ist allerdings zwingend vorauszusetzen.938 Zusammenfassend ist festzuhalten, dass der Datenschutzbeauftragte im Sinne eines „Allrounders“939 mehr Generalist als Spezialist sein muss. In diesem Sinne kommt der Fähigkeit, den Überblick über alle verarbeitungsrelevanten Vorgänge zu behalten, gesonderte Bedeutung zu.940
(3) Die Stellung des Datenschutzbeauftragten (Art. 38 DSGVO)
 
480Der Datenschutzbeauftragte soll seine Tätigkeit unabhängig ausüben können.941 Um dies sicherzustellen und zugleich eine wirksame und präventive Datenschutzkontrolle durch den Datenschutzbeauftragten gewährleisten zu können, wird dessen Stellung in Bezug zu dem Verantwortlichen in Art. 38 DSGVO näher ausgestaltet.942 
481Gem. Art. 38 Abs. 1 DSGVO ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Insbesondere sollte der Datenschutzbeauftragte bei Treffen des leitenden und mittleren Managements eingeladen werden, bei datenschutzrechtlich relevanten Entscheidungen einbezogen sowie bei allen Datenschutzverstößen unverzüglich konsultiert werden.943 
482Bei der Erfüllung seiner Aufgaben gem. Art. 39 DSGVO ist der Datenschutzbeauftragte gem. Art. 38 Abs. 2 DSGVO umfassend zu unterstützen. Dabei gilt auch hier der Grundsatz, dass der Datenschutzbeauftragte im Verhältnis zur Komplexität und Sensibilität der zu betreuenden Verarbeitungsvorgänge auszustatten ist.944 Neben der Bereitstellung etwaiger Sachmittel, wie beispielsweise geeignete Räumlichkeiten, IT-Ausstattung oder Fachliteratur, ist dafür zu sorgen, dass dem Datenschutzbeauftragten hinreichend Gelegenheit zur Fortbildung gegeben wird.945 
483Art. 38 Abs. 3 Satz 1 DSGVO normiert den Grundsatz der Weisungsfreiheit des Datenschutzbeauftragten innerhalb des verfügenden Teils der Verordnung. Mithin hat der Verantwortliche sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Mit der Eigenständigkeit des Datenschutzbeauftragten wäre es beispielsweise nicht vereinbar, wenn diesem ein bestimmtes Prüfungsergebnis vorgegeben oder aber die Konsultation der Aufsichtsbehörde ausgeschlossen werden würde.946 Die Beachtung rein organisatorischer Vorgaben, beispielsweise bei der Nutzung der IT des Unternehmens oder zur Erstattung von Reisekosten, beeinträchtigt die Unabhängigkeit des Datenschutzbeauftragten hingegen nicht.947 Zudem sieht Art. 38 Abs. 3 Satz 2 DSGVO vor, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. Einen ausdrücklichen Kündigungsschutz, wie in den Vorgaben des BDSG vorgesehen (vgl. dazu Rn. 508 ff.) sieht die DSGVO dabei allerdings nicht vor.948 
484Das Verhältnis zwischen den Betroffenen und dem Datenschutzbeauftragten wird durch die Vorgaben des Absatzes 4 reguliert. Bei Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten steht den Betroffenen ein Konsultationsrecht zu. Aus dem Recht der Betroffenen folgt die Pflicht des Datenschutzbeauftragten, sich mit dem jeweiligen Ansinnen tatsächlich zu befassen.949 In dieser Funktion kommt dem Datenschutzbeauftragten die Stellung eines „Ombudsmann“ zu.950 
485Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte gem. Art. 38 Abs. 5 DSGVO an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden. Die Verpflichtung zur Geheimhaltung soll insbesondere dazu beitragen, die Hemmschwelle der Betroffenen hinsichtlich des Aufsuchens des Datenschutzbeauftragten zu senken.951 Für den Fall, dass ein Betroffener an den Datenschutzbeauftragten herantritt, kann die Pflicht zur Geheimhaltung aber auch zugunsten des Verantwortlichen greifen.952 Eine Konkretisierung der Verschwiegenheitspflicht findet sich in den nationalen Vorgaben des § 6 Abs. 5 Satz 2 BDSG beziehungsweise § 38 Abs. 2 BDSG (vgl. dazu Rn. 503 ff.). 
486Der Datenschutzbeauftragte kann zudem andere Aufgaben und Pflichten wahrnehmen, wobei der Verantwortliche sicherzustellen hat, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 DSGVO. Im Allgemeinen sollte innerhalb eines Unternehmens darauf verzichtet werden, eine Person mit unterschiedlichen Funktionen wie etwa Compliance-, IT-Sicherheit und Datenschutz zu beauftragen.953 In diesem Sinne sollte beispielsweise auch von der Benennung eines Betriebsrats als Datenschutzbeauftragten abgesehen werden.954 Darüber hinaus sollte der Datenschutzbeauftragte keine Funktion innerhalb des leitenden Managements, beispielsweise innerhalb der Unternehmens-, Finanz-, Personal- oder IT-Leitung innehaben.955 Wenngleich eine Zusammenarbeit der unterschiedlichen Funktionsträger und Abteilungen im Sinne des Datenschutzes regelmäßig geboten ist, sollten unterschiedliche Beauftragte benannt werden, um einen (persönlichen) Interessenkonflikt im Einzelfall zu vermeiden.956
(4) Die Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)
 
487Der Datenschutzbeauftragte hat bei seiner Tätigkeit jedenfalls die in Art. 39 Abs. 1 DSGVO normierten Aufgaben zu erfüllen (Mindest-Aufgabenkatalog).957 Darüber hinaus kann er aber auch mit weiteren Aufgaben betraut werden, sofern nicht andere Vorschriften, wie Art. 37 DSGVO oder Art. 38 DSGVO entgegenstehen.958 
488Die zentrale Aufgabe des Datenschutzbeauftragten ist die Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten, welche die Datenverarbeitung durchführen (Art. 39 Abs. 1 lit. a DSGVO). Mitunter soll der Datenschutzbeauftragte beispielsweise durch Schulungsmaßnahmen hinreichende Kenntnisse über die geltenden Datenschutzbestimmungen vermitteln.959 Die Schulung, Beratung und Unterrichtung leitender Angestellter ist dabei von besonderer Bedeutung, da diese durch ein vertieftes Verständnis für die Vorgaben des Datenschutzes bestenfalls dazu angehalten werden, eine entsprechende „Datenschutzkultur“ innerhalb des Unternehmens vorzuleben.960 
489Darüber hinaus obliegt es dem Datenschutzbeauftragten, Empfehlungen bei der Umsetzung der DSGVO zu geben.961 Die Ausgestaltung und Konzeptionierung komplexer Datenschutzverträge würde hingegen die Pflicht zur Beratung überschreiten und kann daher nicht von dem Datenschutzbeauftragten verlangt werden.962 
490Weiterhin ist der Datenschutzbeauftragte gem. Art. 39 Abs. 1 lit. b DSGVO verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen. Darunter fallen neben den Vorgaben der DSGVO auch weitere datenschutzrechtliche Bestimmungen auf europäischer und nationaler Ebene sowie interne Datenschutzrichtlinien, die durch den jeweiligen Verantwortlichen bzw. Auftragsverarbeiter vorgegeben werden.963 Im Rahmen seiner Überwachungspflicht ist der Datenschutzbeauftragte insbesondere befugt, Informationen über die Datenverarbeitungsvorgänge zu sammeln, diese auf ihre Datenschutzkonformität hin zu analysieren sowie den Verantwortlichen zu beraten und diesem entsprechende Empfehlungen zu unterbreiten.964 
491Aus der Pflicht zur Überwachung folgt allerdings nicht, dass der Datenschutzbeauftragte die Stellung des Verantwortlichen übernimmt.965 Vielmehr verbleibt die Einhaltung der Vorgaben des Datenschutzrechts innerhalb des Aufgabenbereichs des datenschutzrechtlichen Verantwortlichen.966 
492Ergänzend zu den Vorgaben des Art. 35 Abs. 2 DSGVO normiert Art. 39 Abs. 1 lit. c DSGVO die Pflicht des Datenschutzbeauftragten zur Mitwirkung an der Datenschutz-Folgenabschätzung (vgl. dazu Rn. 455 ff.). Bereits der Wortlaut verdeutlicht dabei allerdings, dass die vollständige Übertragung der Datenschutz-Folgenabschätzung auf den Datenschutzbeauftragten nicht zulässig ist.967 Die Aufgabe des Datenschutzberaters beschränkt sich vielmehr auf eine beratende Tätigkeit sowie auf Hilfestellungen bei der Durchführung der Folgeabschätzung.968 
493Der Datenschutzbeauftragte fungiert zudem gem. Art. 39 Abs. 1 lit. d sowie lit. e DSGVO als Bindeglied zwischen der Aufsichtsbehörde und den jeweiligen Verantwortlichen. 
494Bei der Erfüllung seiner Aufgaben hat der Datenschutzbeauftragte das Risiko der Verarbeitungsprozesse gebührend zu berücksichtigen, Art. 39 Abs. 2 DSGVO. Insbesondere sind die Art, der Umfang, die Umstände und der Zweck der Verarbeitung hinreichend miteinzubeziehen. Für den Datenschutzbeauftragten hat das zur Folge, dass er bei der Ausübung seiner Tätigkeit eine gewisse Priorisierung vornehmen muss, wobei risikobelastete Verarbeitungsvorgänge in den Fokus genommen werden sollten.969
(5) Haftungsfragen im Zusammenhang mit dem Datenschutzbeauftragten
 
495Eine Haftung des Datenschutzbeauftragten kommt sowohl auf Grundlage zivilrechtlicher als auch auf Grundlage strafrechtlicher Vorschriften in Betracht.970 
496Zivilrechtlich kann sich eine Haftung des Datenschutz-Beauftragten insbesondere aus dem zugrundeliegenden Dienstverhältnis i.V.m. den allgemeinen Haftungsnormen des BGB (§§ 280 ff. BGB) ergeben.971 Dabei sind allerdings bei nichtöffentlichen Stellen die Grundsätze des innerbetrieblichen Schadensausgleichs, bei öffentlichen Stellen die beamtenrechtliche Haftungsprivilegierung zu beachten.972 
497Deliktische Ansprüche gegen den Datenschutzbeauftragten kommen insbesondere aus der Perspektive der Betroffenen in Betracht, da diese regelmäßig nicht auf vertragliche oder vertragsähnliche Ansprüche gegen den Datenschutzbeauftragten zurückgreifen können.973 Für den Fall, dass der Datenschutzbeauftragte vorsätzlich oder fahrlässig gegen den Pflichtenkanon des Art. 39 DSGVO verstößt und daraus eine Verletzung des allgemeinen Persönlichkeitsrechts der Betroffenen resultiert, kommt eine Haftung gem. § 823 Abs. 1 BGB in Betracht.974 Denkbar sind dabei beispielsweise Verstöße gegen die Verschwiegenheitsverpflichtung, Falschberatungen oder aber unterlassene Kontrollhandlungen.975 
498Mit Blick darauf, dass dem Datenschutzbeauftragten auf Grundlage der DSGVO auch dezidierte Pflichten gegenüber den Betroffenen auferlegt werden, wird vertreten, Art. 39 sowie Art. 38 Abs. 4 DSGVO zudem als Schutzgesetze im Sinne des § 823 Abs. 2 BGB zu begreifen.976 
499Im Rahmen der deliktischen Haftung ist allerdings gesondert zu prüfen, ob der Datenschutzbeauftragte tatsächlich ursächlich für die Rechtsgutsverletzung und den daraus resultierenden Schaden ist, da diesem oftmals nicht die Mittel zur Seite stehen, auf den konkreten Verarbeitungsvorgang einzuwirken.977 Die deliktische Haftung des Datenschutzbeauftragten wird daher regelmäßig nur bei der Verletzung „eigener“ gesetzlicher Pflichten, nicht aber (ergänzend) bei Datenschutzverstößen des Verantwortlichen in Betracht kommen.978 
500Bezüglich einer möglichen Haftung auf Grundlage des Straf- und Ordnungswidrigkeitsgesetzes wird diskutiert, ob dem Datenschutzbeauftragten die Stellung eines Überwachungsgaranten zukommt. Insbesondere auf Grundlage der Überwachungspflicht in Art. 39 Abs. 1 lit. b DSGVO wird angenommen, dass der Datenschutzbeauftragte eine datenschutzrechtliche „Gefahrenquelle“ beherrscht und damit mit den Beauftragten für Gewässer-, Strahlen- oder Immissionsschutz vergleichbar ist.979 Im Ergebnis wäre bei der Unterlassung seiner Pflichten eine Strafbarkeit unter Einbeziehung des § 13 StGB denkbar.980 Mit Blick darauf, dass die Artikel-29-Datenschutzgruppe allerdings eine persönliche Verantwortung des Datenschutzbeauftragten trotz Pflicht zur Überwachung ablehnt,981 kann davon ausgegangen werden, dass sich jedenfalls das strafrechtliche Risiko in Grenzen hält.982 
501Selbst für den Fall, dass eine Garantenstellung des Datenschutzbeauftragten auf Grundlage der novellierten Vorgaben angenommen wird, wäre weiterhin die Kausalität des Unterlassens für den späteren Taterfolg sowie der entsprechende Vorsatz des Datenschutzbeauftragten zu untersuchen, wobei auch Drewes letztlich zu dem Ergebnis gelangt, „[…] dass die Voraussetzungen für eine Strafbarkeit des Datenschutzbeauftragten erkennbar recht hoch sind.“983 
502Davon unberührt bleibt allerdings die Strafbarkeit für eigene Handlungen im Sinne der §§ 41, 42 BDSG beziehungsweise § 84 BDSG (vgl. dazu Rn. 597 ff.).984 
 bb. Ergänzende Vorschriften des BDSG 
503Ergänzende Vorschriften zu den Vorgaben der Art. 37 ff. DSGVO hat der deutsche Gesetzgeber in den §§ 5 ff., 38 BDSG erlassen. 
504Dabei statuiert § 38 Abs. 1 BDSG neben Art. 37 Abs. 1 lit. b und c DSGVO weitere Umstände, unter denen nichtöffentliche Verantwortliche verpflichtend einen Datenschutzbeauftragten benennen müssen. 
505Das gilt einerseits nach § 38 Abs. 1 Satz 1 BDSG dann, wenn der Verantwortliche oder der Auftragsverarbeiter in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Kurzfristige Schwankungen der Beschäftigtenanzahl sind dabei nicht zu berücksichtigen.985 Das Merkmal „beschäftigte Personen“ umfasst alle Mitarbeiter.986 Für die ständige Beschäftigung kommt es nicht darauf an, ob diese die Datenverarbeitung als Kerntätigkeit wahrnehmen.987 Als Beschäftigte im Sinne der Norm sind daher auch Praktikanten, freie Mitarbeiter, Volontäre, Auszubildende oder Leiharbeitnehmer anzusehen, wobei ebenfalls nicht entscheidend ist, ob ein Voll- oder Teilzeitbeschäftigungsverhältnis besteht.988 
505.1Der Deutsche Bundestag hat am 27.06.2019 den seitens der Bundesregierung eingebrachten Entwurf eines „Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“ unter Einbeziehung leichter Änderungsanträge beschlossen. Unter anderem sieht die Beschlussfassung eine Abänderung des Regel-Schwellenwerts in § 38 Abs. 1 Satz 1 BDSG vor. Mithin sollen Verantwortliche und Auftragsverarbeiter nunmehr ergänzend zu den Vorgaben der DSGVO zur Bestellung eines Datenschutzbeauftragten verpflichtet werden, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Aktualisierung vom 15.10.2019
!
506Automatisiert ist eine Verarbeitung unter Zugrundelegung des Verständnisses aus § 3 Abs. 2 Satz 1 BDSG a.F. dann, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt, also die Datenverarbeitung IT-gestützt erfolgt.989 Hierbei zeigt sich ein Unterschied zur Rechtslage nach § 4f Abs. 1 Satz 3 BDSG a.F., welche auch beschäftigte Personen abseits der automatisierten Verarbeitung miteinbezog.990 
507Darüber hinaus ist nach § 38 Abs. 1 Satz 2 BDSG ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungsgänge vorgenommen werden, die der Datenschutz-Folgeabschätzung nach Art. 35 DSGVO (hierzu Rn. 455 ff.) unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Letzteres bezieht sich auf die §§ 29, 30 und 30a BDSG a.F., die jedoch nicht unmittelbar in das neue Recht übernommen wurden.991 Für die Auslegung sollte dennoch auf diese zurückgegriffen werden.992 
508§ 38 Abs. 2 BDSG verweist daneben auf § 6 Abs. 4, Abs. 5 Satz 2 und Abs. 6 BDSG und erklärt diese für anwendbar. Nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 1 BDSG genießt der verpflichtend bestellte Datenschutzbeauftragte einen besonderen Schutz vor Abberufung. So wird § 626 BGB für entsprechend anwendbar erklärt, mit der Folge, dass zur Kündigung ein wichtiger Grund vorliegen muss. Der freiwillig bestellte Datenschutzbeauftragte unterfällt hingegen nach § 38 Abs. 2 BDSG nicht dem gesonderten Abberufungsschutz des § 6 Abs. 4 Satz 1 BDSG.993 
509Gleiches gilt für die Kündigung des Arbeitsverhältnisses nach § 6 Abs. 4 Satz 2 BDSG. Der Datenschutzbeauftragte kann somit grundsätzlich nicht ordentlich gekündigt werden (Sonderkündigungsschutz). Der Sonderkündigungsschutz wirkt gem. § 6 Abs. 4 Satz 3 BDSG ein Jahr nach dem Ende der Tätigkeit als Datenschutzbeauftragter nach. 
510§ 38 Abs. 2 i.V.m. § 6 Abs. 5 Satz 2 BDSG verpflichtet den Datenschutzbeauftragten zur Verschwiegenheit über die Identität der Betroffenen sowie über die Umstände, die Rückschlüsse auf die Betroffenen zulassen. Eine Befreiung durch den Betroffenen ist jedoch möglich. 
511Wenn der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht gem. § 38 Abs. 2 i.V.m. § 6 Abs. 6 BDSG auch dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Der Schutz erstreckt sich gem. § 6 Abs. 6 Satz 3 BDSG insoweit auch auf die Akten und anderen Dokumente vor Beschlagnahme. 
512Für öffentliche Stellen sind die Vorgaben der §§ 5-8 BDSG anwendbar. Mithin sind öffentliche Stellen gem. § 5 Abs. 1 Satz 1 BDSG generell zur Bestellung eines Datenschutzbeauftragten verpflichtet.994 
 e. Verhaltensregeln und Zertifizierung 
 aa. Verhaltensregeln (Art. 40 ff. DSGVO) 
513Mit den Art. 40 ff. schafft die DSGVO erstmalig einen Rechtsrahmen für eine Selbstregulierung via Zertifizierung durch unabhängige Stellen und ermutigt die Verbände dazu, konkretisierende Verhaltensregeln zu erarbeiten (regulierte Selbstregulierung).995 
514Verhaltensregeln unterscheiden sich hinsichtlich des Regelungsobjekts von den Zertifizierungen dadurch, dass erstere allgemeine Bereiche der Datenverarbeitung umfassen sollen, während sich letztere nur auf einzelne konkrete Verarbeitungsvorgänge beziehen.996 Verhaltensregeln dienen dabei der Erleichterung des Umgangs mit der DSGVO durch branchenspezifische Präzisierung der in Art. 40 Abs. 2 DSGVO genannten Aspekte.997 
515Durch bestimmte Anreize, wie beispielsweise die Nachweiserleichterung der Datenschutzkonformität, sollen die Verantwortlichen dazu bewogen werden, sich für die Maßnahmen der Selbstregulierung zu öffnen.998 Aufgrund der konkretisierenden Wirkung der genehmigten Verhaltensregelungen können diese auch maßgeblich dazu beitragen, Datenschutzvorschriften rechtssicher anzuwenden.999 Ebenso können sie die Übermittlung in Drittländer nach Art. 46 Abs. 2 lit. e DSGVO legitimieren.1000 Auch im Sanktionsfall sind diese gem. Art. 83 Abs. 2 lit. j DSGVO gebührend zu berücksichtigen. 
516Die Vereinigungen und Verbände können jedoch nicht nach Gutdünken Verhaltensregeln ausarbeiten, sondern sind an das in Art. 40 DSGVO vorgesehene Verfahren gebunden. Länderübergreifende Verhaltensregelungen unterliegen dabei den Voraussetzungen des Art. 40 Abs. 7-9 DSGVO. 
517Die Überwachung der Einhaltung der genehmigten Verhaltensregelungen erfolgt nicht nur durch die zuständigen Aufsichtsbehörden, sondern ebenfalls durch akkreditierte Stellen im Sinne des Art. 41 Abs. 1 DSGVO. 
 bb. Zertifizierung (Art. 42 ff. DSGVO) 
518Die Zertifizierung nach der DSGVO ist in den Art. 42, 43 DSGVO geregelt. Die beiden Vorschriften sind nach ihrem Sinn und Zweck nicht isoliert, sondern nur in ihrer Gesamtheit zu betrachten.1001 Die Zertifizierung bezweckt dabei Transparenz sowie die Einhaltung der DSGVO zu verbessern und einen raschen Überblick über das Datenschutzniveau des Verantwortlichen zu ermöglichen.1002 Dem deutschen Datenschutzrecht ist eine vergleichbare, allerdings lediglich „programmatische Regelung“ bereits durch die Vorgaben des § 9a BDSG a. F. bekannt.1003 
519Gem. Art. 42 Abs. 3 DSGVO muss die Zertifizierung freiwillig erfolgen und über ein transparentes Verfahren1004 zugänglich sein. Die Zertifizierung darf daher nicht unmittelbar durch nationales Recht oder jedenfalls mittelbar anhand von Ausschreibungsbedingungen durch öffentliche Auftragsgeber vorgeschrieben werden.1005 
520Die Zertifizierung erfolgt gem. Art. 42 Abs. 5 DSGVO durch die zuständige Stelle i.S.v. Art. 43 DSGVO, sofern die notwendigen Kriterien erfüllt sind. Diese werden nach Art. 58 Abs. 3 lit. f DSGVO von den Aufsichtsbehörden genehmigt. 
521Für die Zertifizierung ist es gem. Art. 42 Abs. 1 Satz 1 DSGVO ausreichend, „nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“ Mithin ist es nicht erforderlich, dass ein „Mehr an Datenschutz“1006 durch den jeweils Verantwortlichen bei der Verarbeitung etabliert wird. 
522Nach Art. 42 Abs. 7 DSGVO wird die Zertifizierung für eine Höchstdauer von drei Jahren erteilt, kann aber, je nachdem, ob die Kriterien nach Art. 42 Abs. 5 DSGVO vorliegen, sowohl verlängert als auch widerrufen werden. 
523Eine entsprechende Zertifizierung anhand eines „Datenschutzgütesiegels“ erteilt beispielsweise die EuroPriSe GmbH1007, welche auf einer Initiative des Unabhängigen Landeszentrums für Datenschutz (ULD) beruht.1008 Darüber hinaus finden sich zudem weitere private Zertifizierungsstellen, welche jedenfalls allgemeine datenschutzbezogene Zertifizierungen anbieten.1009 
 VIII. Haftung und Sanktionen bei Datenschutzverstößen 
 1. Haftung und Recht auf Schadensersatz (Art. 82 DSGVO) 
 a. Grundlegendes und Regelungszweck 
524Art. 82 DSGVO verschafft den Anspruchsinhabern die Möglichkeit eines sehr effektiven Schadensersatzanspruches, womit unter angemessenem Aufwand sowie geringem Prozessrisiko entsprechende Datenschutzverstöße geltend gemacht werden können.1010 
525Nach Maßgabe von Erwägungsgrund 146 DSGVO intendiert die Vorschrift, der betroffenen Person im Falle eines Verstoßes gegen die DSGVO einen „vollständigen und wirksamen“ Schadensersatzanspruch zu gewährleisten. Erreicht werden soll dieser Regelungszweck vor allem durch einen umfassenden Schadensbegriff, der insbesondere auch immaterielle Schäden umfasst. Der Begriff des Schadens ist ausweislich Erwägungsgrund 146 Satz 3 DSGVO weit auszulegen, wobei nunmehr auch Auftragsverarbeiter Adressaten etwaiger Haftungsansprüche sein können. Zudem sieht Art. 82 DSGVO eine gesamtschuldnerische Haftung vor. 
526Zwar ist Art. 82 DSGVO in Teilen der Datenschutzrichtlinie entnommen, geht jedoch über die bisher geltenden Regelungen der Art. 23 DS-RL und §§ 7, 8 BDSG a.F. unverkennbar hinaus, indem er ein weitaus differenzierteres Haftungssystem vorsieht.1011 
527Systematisch befindet sich Art. 82 im achten Kapitel der DSGVO. Während die Norm insbesondere die Durchsetzbarkeit der neuen europäischen Datenschutzvorgaben auf privatrechtlicher Ebene regelt, haben die sich anschließenden Art. 83 DSGVO (Geldbußen) und Art. 84 DSGVO (Sanktionen) eine administrative bzw. strafrechtliche Funktion. Als prozessuales Gegenstück fungiert Art. 79 DSGVO, welcher die Pflicht der Mitgliedstaaten normiert, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zur Durchsetzung von Schadensersatzansprüchen gegen Verantwortliche und Auftragsverarbeiter sicherzustellen. 
 b. Voraussetzungen des Art. 82 DSGVO 
 aa. Verstöße gegen die DSGVO 
528Art. 82 DSGVO statuiert einen direkt geltenden sowie zivilrechtlich eigenständigen Schadensersatzanspruch aus dem Deliktsrecht,1012 wobei Absatz 1 der Vorschrift die grundsätzlichen Voraussetzungen eines solchen Anspruchs bei Datenschutzverstößen regelt. Nach dem Wortlaut des Art. 82 Abs. 1 DSGVO kann jeder „Verstoß gegen die Verordnung“ eine Schadensersatzpflicht begründen. Mögliche Verstöße in diesem Sinne bilden insbesondere solche gegen die in der DSGVO umfassend geregelten Bestimmungen zur rechtskonformen Verarbeitung von Daten (siehe Rn. 182 ff.), zur Gewährleistung der in Art. 32 DSGVO geregelten Datensicherheit (siehe Rn. 431 ff.) sowie zu den Informations- und Mitteilungspflichten, vgl. Art. 12 ff. DSGVO (siehe Rn. 352 ff.).1013 
 bb. Anspruchsberechtigter, Anspruchsverpflichteter und Beweislast 
529Anspruchsberechtigt ist gem. Art. 82 Abs. 1 DSGVO „jede Person“, der unter den genannten Voraussetzungen ein Schaden entstanden ist. Hierzu zählen insbesondere sämtliche unmittelbar betroffenen Personen i.S.v. Art. 4 Nr. 1 DSGVO, aber auch z.B. deren Familienmitglieder als Dritte, sofern sie infolge eines Datenschutzverstoßes einen entsprechenden Nachteil erleiden.1014 Dabei wird auch in diesem Fall ein Verstoß gegen die DSGVO vorausgesetzt, wobei es aber unschädlich ist, wenn die haftungsrelevanten Pflichten alleinig den Schutz der betroffenen Person i.S.d. Art. 4 Nr. 1 DSGVO intendieren sowie grundsätzlich eine Verarbeitung personenbezogener Daten des Anspruchsberechtigten erfordern.1015 Es ist davon auszugehen, dass derartige Fälle in der Praxis wohl die Ausnahme darstellen. Dennoch ist es denkbar, dass ein Unterhaltsverpflichteter aufgrund eines rechtswidrigen Verarbeitungsvorgangs die Arbeitsstelle verliert und es dadurch zu einem Schadenseintritt bei etwaigen Unterhaltsberechtigten kommt.1016 
530Dem Wortlaut nach könnten auch juristische Personen zum Kreis der Anspruchsberechtigten zählen. Insoweit ist jedoch zu beachten, dass die haftungsrelevanten Pflichten lediglich den Schutz natürlicher Personen bezwecken (vgl. Art. 4 Nr. 1 DSGVO); auch ist es juristischen Personen nicht möglich, immaterielle Schäden geltend zu machen.1017 Mithin beschränkt sich die Anspruchsberechtigung auf natürliche Personen.1018 
531Der Anspruch ist gem. Art. 82 Abs. 1 DSGVO gegen den Verantwortlichen oder den Auftragsverarbeiter zu richten. Art. 82 Abs. 2 DSGVO enthält diesbezüglich konkretisierende Vorgaben. Im Geltungszeitraum des BDSG a.F. bestand bei Verstößen des Auftrags(daten)verarbeiters eine Haftungslücke.1019 Zur Bestimmung des Verantwortlichen ist auf die Legaldefinition des Art. 4 Nr. 7 DSGVO, bezüglich des Auftragsverarbeiters auf Art. 4 Nr. 8 DSGVO abzustellen (hierzu ausführlich Rn. 202 sowie Rn. 221 ff.).1020 
532Unter Umständen besteht der Anspruch aus Art. 82 Abs. 1 DSGVO in der Praxis gegen mehrere Verantwortliche bzw. Auftragsverarbeiter. In diesem Fall soll nach Erwägungsgrund 146 Satz 7 DSGVO jeder Einzelne an der Verarbeitung Beteiligte gem. Art. 82 Abs. 4 DSGVO im Außenverhältnis als Gesamtschuldner für den Schaden in vollem Umfang haftbar gemacht werden können. Mithin wird dem Geschädigten ein Wahlrecht bezüglich des Anspruchsgegners eingeräumt, wobei der letztliche Verschuldensgrad der jeweiligen Gesamtschuldner nicht von Belang ist.1021 
533Hierauf basierend beurteilt sich der Ausgleich im Innenverhältnis zwischen den jeweiligen Gesamtschuldnern nach Art. 82 Abs. 5 DSGVO. Danach kann der zahlende Schädiger die anderen Schädiger im Rahmen eines Gesamtschuldnerausgleichs in Regress nehmen. Für den Fall, dass der Geschädigte lediglich einen Verantwortlichen beziehungsweise Auftragsverarbeiter prozessual in Anspruch nimmt, sollte dieser den weiteren Beteiligten den Streit verkünden.1022 Anderenfalls könnten Nachteile innerhalb des Folgeprozesses drohen, wenn das Gericht zu einer anderen Beurteilung des Sach- und Streitstandes gelangt.1023 
534Zwar besteht hinsichtlich der in Art. 82 Abs. 1 DSGVO genannten Ersatzpflicht für materielle (Vermögensschäden) sowie immaterielle Schäden (Nichtvermögensschäden) grundsätzlich eine Haftung aufgrund vermuteten Verschuldens, jedoch ist es dem Verantwortlichen gem. Art. 82 Abs. 3 DSGVO möglich, sich zu exkulpieren.1024 Damit liegt die Beweislast beim Anspruchsgegner.1025 Der Entlastungsbeweis ist nur dann erfolgreich zu führen, wenn der Verantwortliche die Erfüllung sämtlicher, ihm seitens der DSGVO auferlegten Sorgfaltsanforderungen nachweisen kann.1026 Aufgrund der engen Formulierung dieser Exkulpationsmöglichkeit bleibt jedoch abzuwarten, inwieweit sie in der Praxis auch tatsächlich wahrgenommen werden kann.1027 
 cc. Schaden, Kausalität und Beweislast 
535Datenschutzverstöße verletzen in aller Regel das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG beziehungsweise Art. 7, 8 GRCh) der betroffenen Person, wirken sich also nicht (nur) auf deren Vermögen, sondern auch auf deren Persönlichkeit(srechte) aus und haben daher nicht selten immaterielle Schäden zur Folge.1028 Während dem Betroffenen in der Vergangenheit ein Ausgleich in Geld für Nichtvermögensschäden verwehrt blieb (nach § 253 BGB sind Schäden dieser Art nur dann erstattungsfähig, wenn eine entsprechende Rechtsnorm diese Möglichkeit ausdrücklich eröffnet), erhält dieser bei entsprechenden Verstößen gegen die DSGVO und Bejahung der weiteren Voraussetzungen nunmehr in jedem Fall, das heißt sowohl bei erlittenen Vermögens- als auch bei Nichtvermögensschäden, diese ersetzt. 
536Die Höhe des materiellen Schadens soll sich gemäß Erwägungsgrund 146 Satz 3 DSGVO nach dem auf der Rechtsprechungslinie des EuGH basierenden, weit gefassten Schadensbegriff bemessen, d.h. positiver Schaden, entgangener Gewinn sowie unmittelbarer bzw. mittelbarer, gegenwärtiger bzw. zukünftiger Schaden, sofern zwischen diesem und dem Haftungsgrund ein zurechenbarer Zusammenhang besteht.1029 Ein Datenverlust als solcher begründet hingegen in der Regel noch keinen nachweisbaren materiellen Schaden.1030 Demgegenüber sind etwa Schäden aufgrund verweigerter Löschung oder Kosten der Rechtsverfolgung umfasst.1031 Mittelbar Geschädigten ist es ebenso möglich, z.B. Unterhaltseinbußen geltend zu machen.1032 
537Demgegenüber fehlen Vorgaben innerhalb der DSGVO zur Bemessung der Geldentschädigung bei immateriellen Schäden. Nach den allgemeinen nationalen Regelungen obliegt die Ermittlung der konkreten Anspruchshöhe nach § 287 ZPO dem Gericht.1033 Mögliche Anhaltspunkte bieten die Erwägungsgründe 75 sowie 85 DSGVO, die beispielshaft aufzählen, welche tatsächlichen Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können. Auch ein Rückgriff auf die Bußgeldvorschriften der DSGVO, speziell die Orientierung an Art. 83 Abs. 2 DSGVO, scheint denkbar, da die Norm umfangreiche Zumessungskriterien1034 für die Verhängung bzw. die Höhe von Bußgeldern enthält.1035 
538Ferner muss für das Bestehen eines Schadensersatzanspruchs der Datenschutzverstoß kausal für den eingetretenen Schaden sein.1036 Allerdings finden sich in der DSGVO selbst keine Angaben dazu, wer diesen Beweis führen muss. Damit wäre grundsätzlich der Anspruchsteller für die anspruchsbegründende Kausalität beweispflichtig.1037 
539Gemäß Erwägungsgrund 146 DSGVO soll der Betroffene jedoch vollumfänglich Schadensersatz erhalten, weshalb es geboten erscheint, dass dieser nicht die Beweislast in Gänze zu tragen hat.1038 In der Literatur wird in diesem Zusammenhang auch bereits angeführt, dass die Informationsrechte des Betroffenen (vgl. Art. 13 f. DSGVO) insoweit mangels hinreichenden Einblicks in die Datenverarbeitungsvorgänge bei dem Verantwortlichen bzw. Auftragsverarbeiter regelmäßig nicht genügten.1039 Aus diesen Gründen erscheint ein Rückgriff auf die Rechtsprechung des EuGH zum Kartellschadensersatz sinnvoll, wobei von einer Beweislastumkehr zu Lasten des Schädigers ausgegangen wird.1040 Begründet wird dies mit der vergleichbaren Interessenlage hinsichtlich der vordergründig intendierten abschreckenden Wirkung des Schadensersatzanspruchs.1041 So betont auch der EuGH in ständiger Rechtsprechung, dass zivilrechtliche Sanktionen stets der Abschreckung dienen müssen (Effektivitätsprinzip).1042 Dies soll nach dem Gerichtshof insbesondere durch die Höhe des Schadensersatzes erreicht werden (vgl. auch Art. 4 Abs. 3 EUV), sodass Verstöße gegen die DSGVO vor allem wirtschaftlich unattraktiv werden sollen (vgl. Erwägungsgrund 151 DSGVO). Zudem ist nach dem EuGH in diesem Zusammenhang der Äquivalenzgrundsatz zu beachten, wonach Rechtsbehelfe, die unmittelbaren Schutz nach dem Unionsrecht gewährleisten, nicht weniger günstig sein dürfen, als dies bei entsprechenden, nur das innerstaatliche Recht betreffenden Rechtsbehelfen der Fall ist.1043 
 c. Auswirkungen auf die Praxis 
540Bislang wurde von der Möglichkeit einer gerichtlichen Durchsetzung von Schadensersatzansprüchen nach § 7 BDSG a.F. nur selten Gebrauch gemacht.1044 Nachdem Art. 82 Abs. 1 DSGVO jedoch – wie dargestellt – auch bei immateriellen Schäden Entschädigungsmöglichkeiten eröffnet, kann mit einem quantitativen Anstieg entsprechender Verfahren gerechnet werden. Diese Prognose lässt sich ebenso auf die in Art. 80 Abs. 1 DSGVO verankerte Möglichkeit einer Verbandsklage stützen.1045 
541Hinsichtlich alternativ bestehender Haftungstatbestände zu Art. 82 DSGVO stellt Erwägungsgrund 146 DSGVO im Übrigen klar, dass die Verantwortung nach den weiteren Vorschriften des Unionsrechts oder des entsprechenden mitgliedstaatlichen Rechts unberührt bleibt, wodurch auch eine Haftung gem. §§ 823 ff. BGB möglich ist.1046 Mithin ist beispielsweise ein weiterführender Schadensersatzanspruch gestützt auf eine Verletzung des allgemeinen Persönlichkeitsrechts gem. § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 1 GG denkbar.1047 Ob die Verletzung spezifischer Vorgaben der DSGVO auch einen Schadensersatzanspruch nach § 823 Abs. 2 BGB begründen kann, ist hingegen umstritten. Insofern wird vertreten, dass der bloße Verstoß gegen die Vorgaben der DSGVO über deren Haftungsregime zu ahnden sei, da dies die speziellere Regelung sei.1048 
 2. Bußgeldtatbestände (Art. 83 DSGVO) 
 a. Grundlegendes 
542Ein wesentliches Ziel der DSGVO ist die konsequente Durchsetzung des bestehenden Rechts.1049 Dabei soll insbesondere der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, unabhängig von ihrer Staatsangehörigkeit oder ihrem Aufenthaltsort, gewährleistet werden (vgl. Erwägungsgründe 1, 2 und 7 DSGVO).1050 Insoweit wurde nicht nur ein neues Sanktionssystem etabliert, sondern es wurden vor allem verschärfte Möglichkeiten der Sanktionierung von Datenschutzverstößen geschaffen.1051 Damit zusammenhängend überträgt die DSGVO allen Mitgliedstaaten die gleichen Befugnisse hinsichtlich der Überwachung und Gewährleistung der europäischen Datenschutzvorschriften (vgl. Erwägungsgrund 11 DSGVO).1052 
543Konkret ist das Sanktionsregime der DSGVO in Art. 83 (und Art. 84) normiert.1053 Schon im Entwurfsstadium gaben die insoweit zentralen Regelungen des Art. 83 Abs. 4-6 DSGVO, wonach nahezu jeder Verstoß gegen die Vorgaben der DSGVO (von den allgemeinen Grundsätzen des Art. 5 DSGVO bis hin zur Datenübermittlung an Drittstaaten, vgl. Art. 49 DSGVO1054) mit Geldstrafe bedroht ist, vielfach Anlass zur Diskussion.1055 Grund hierfür war und ist der im Vergleich zur Vorgängernorm (vgl. § 43 BDSG a.F.) bemerkenswert erweiterte Bußgeldrahmen sowie dessen verbindlich vorgegebene Ausgestaltung. Bei bestimmten Verstößen sind die Aufsichtsbehörden der Mitgliedstaaten1056 nach Art. 83 Abs. 4-6 DSGVO nunmehr zur Verhängung empfindlicher Geldbußen von bis zu 20.000.000 € ermächtigt. Im Falle eines Unternehmens sind sogar noch verschärftere Sanktionen möglich, denn hier können Bußgeldzahlungen bis zu 4% des weltweiten Vorjahresumsatzes betragen.1057 
544Die Art der Sanktionierung unter Zuhilfenahme von Bußgeldern ist dabei nicht neu. Während Art. 24 Datenschutzrichtlinie die Festlegung konkreter Sanktionen noch den Mitgliedstaaten überließ, enthielt § 43 BDSG a.F. bereits eine Liste von Ordnungswidrigkeitstatbeständen, deren Begehung bußgeldbewehrt war.1058 
545Im Ergebnis stehen den Aufsichtsbehörden zahlreiche Sanktionsmöglichkeiten – namentlich Anordnungsverfügungen und die bereits erwähnte Verhängung von Bußgeldern – bei Datenschutzverstößen zur Verfügung, deren parallele bzw. alternative Anwendung teilweise umstritten ist. Indes beinhaltet die DSGVO jedoch selbst keine Straftatbestände bei Datenschutzverstößen. Diesbezüglich sieht Erwägungsgrund 149 DSGVO allerdings vor, dass die Mitgliedstaaten strafrechtliche Sanktionen festlegen können, deren Erlass sich wiederum nach Art. 84 DSGVO richtet. 
546Das Haftungsregime der DSGVO, speziell Art. 83 DSGVO, folgt im Gegensatz zum deutschen Recht dem europäischen Modell der originären Verbandshaftung sui generis. Dies bedeutet, Sanktionen können fortan unmittelbar gegen den Rechtsträger verhängt werden, da sich letzterer sämtliche Handlungen seiner Mitarbeiter ohne weiteres zurechnen lassen muss.1059 Dabei ist es insbesondere nicht erforderlich, den für die entsprechende Handlung tatsächlich verantwortlichen Mitarbeiter zu ermitteln.1060 Diesbezüglich ergibt sich eine Parallele zum Kartellrecht.1061 In der Folge richtet sich der Anspruch bei Unternehmen in der Regel gegen die juristische Person selbst, sodass eine Zurechnung von Handlungen natürlicher Personen obsolet wird, mithin es keiner § 30 OWiG vergleichbaren Regelung mehr bedarf.1062 
547Konzeptionell werden demgemäß folgende Anforderungen an das jeweilige Unternehmen gestellt: Jedes Unternehmen ist zunächst verpflichtet, die eigene Organisation an der Vermeidung von Rechtsverstößen auszurichten; außerdem ist es erforderlich, dass es über das Tun seiner Mitarbeiter stets Bescheid weiß.1063 Damit soll es insbesondere keinem Unternehmen möglich sein, sich auf eine fehlerbehaftete interne Organisation zu berufen.1064 Den Rechtsträger entlastet es insbesondere nicht, wenn sich Mitarbeiter nicht an unternehmensinterne Vorgaben halten.1065 Denkbar sind insoweit jedoch Einzelfälle nicht zurechenbaren Fremdverschuldens im Sinne einer eindeutigen Funktionsüberschreitung bzw. Einzelabweichung eines Mitarbeiters.1066 
548Hinsichtlich der Beweislast gilt auch bei Geldbußen das sog. Accountability-Prinzip, mithin eine Rechenschaftspflicht, vgl. Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO, wonach der jeweilige Verantwortliche beweisen muss, die Anforderungen und Vorgaben der DSGVO auch tatsächlich eingehalten bzw. umgesetzt zu haben.1067 In Übereinstimmung mit der Rechtsprechung des EuGH und des EGMR fordert die DSGVO folglich auch im Bußgeldverfahren einen Entlastungsbeweis seitens des Verantwortlichen.1068 
549Bislang enthält die DSGVO selbst keine Verjährungsvorschriften. Zwar kann hilfsweise auf nationale Vorschriften zurückgegriffen werden, allerdings dürfen diese die seitens der DSGVO intendierte abschreckende Wirkung von Bußgeldzahlungen nicht gefährden.1069 Bedenken ergeben sich insoweit bei einer strikten Anwendung des § 31 BDSG, der auch bei schweren materiellen Verstößen lediglich eine dreijährige Verjährungsfrist vorsieht.1070 
550Zusammenhängend mit der Verjährung fragt sich, ob Bußgeldsanktionen nach der DSGVO auch für Altfälle möglich sind. Aus Art. 99 i.V.m. Erwägungsgrund 171 DSGVO ergibt sich insoweit, dass es gerade keinen generellen Bestandsschutz für vergangene Sachverhalte gibt. Folglich muss die Verarbeitung personenbezogener Daten ab Geltung der DSGVO nach deren Maßgabe erfolgen, entfaltet mithin auch für Verarbeitungen verbindlichen Charakter, die vor dem 25.05.2018 begonnen wurden.1071 Konsequenterweise bedeutet dies aber auch, dass die seitens der DSGVO neu normierten Handlungspflichten erst ab dem 25.05.2018 verpflichtend sind.1072 Eine echte Rückwirkung hingegen ist unstreitig ausgeschlossen. Damit gelten die Sanktionen der DSGVO nicht für Verstöße, die vor Beginn ihres Geltungszeitraums begangen und auch schon wieder beendet sind. 
551Neben der DSGVO enthält auch das neu gefasste BDSG Regelungen zu Sanktionen, die im Falle eines Verstoßes gegen Datenschutzvorschriften drohen (siehe hierzu ausführlich Rn. 584 ff.). 
 b. Maßgeblicher Unternehmensbegriff 
552Im Rahmen des Art. 83 DSGVO stellt sich die Frage nach dem der Norm zugrundeliegenden und damit maßgeblichen Unternehmensbegriff. Die Vorschrift selbst spricht dabei lediglich vom „Unternehmen“. Die Begriffsbestimmung ist sowohl für die Konzernhaftung als auch für den Sanktionsrahmen ausschlaggebend. 
553Für die Anwendbarkeit des (weiten1073) Unternehmensbegriffs i.S.d. EU-Kartellrechts spricht, dass die DSGVO sogar ausdrücklich auf diesen Bezug nimmt.1074 Nach Erwägungsgrund 150 Satz 3 DSGVO soll der kartellrechtliche Unternehmensbegriff i.S.v. Art. 101 und 102 AEUV immer dann Anwendung finden, wenn Unternehmen Geldbußen auferlegt werden. Nach ständiger Rechtsprechung des EuGH handelt es sich dabei um einen funktionalen Unternehmensbegriff.1075 Maßgeblichen Anknüpfungspunkt bildet insoweit die „wirtschaftliche Einheit“, die nicht nur aus mehreren Unternehmen bestehen kann, sondern vielmehr auch aus mehreren natürlichen oder juristischen Personen.1076 
554Entsprechend dem EU-Kartellrecht könnte das Konzept der dort geltenden Konzernhaftung auch Auswirkungen auf den Sanktionsrahmen der DSGVO haben sowie bei Haftungsfragen im Verhältnis Mutter-/Tochtergesellschaft eingreifen.1077 Konzernhaftung meint, dass die Konzernmutter für die Verstöße ihrer Tochtergesellschaften grundsätzlich haftbar ist, sofern sie nicht beweisen kann, dass es ihr nicht möglich war, maßgeblich auf das Verhalten der für den Verstoß verantwortlichen Tochtergesellschaft einzuwirken.1078 Insbesondere verlangt dies von der Aufsichtsbehörde nicht den Nachweis einer tatsächlichen Beteiligung der Muttergesellschaft an der etwaigen Zuwiderhandlung, da in einem solchen Fall Mutter- und Tochterkonzern eine wirtschaftliche Einheit bilden.1079 Weitere Konsequenz einer solchen Einheit wäre, dass es ausreicht, wenn irgendeine natürliche Person für das Unternehmen gehandelt hat, ohne dass die konkrete Person benannt werden muss.1080 
555Hinzu kommt, dass eine solche Auffassung des Unternehmensbegriffs im Einzelfall dazu führen könnte, bei kleinen Konzerngesellschaften im Falle eines Verstoßes gegen die Vorgaben der DSGVO zwingend den Umsatz des gesamten Konzerns zur Berechnung der Höhe der Bußgeldzahlung zugrunde zu legen.1081 Eine derartige Ausdehnung der Bußgeldbemessung erscheint allerdings bereits mit Blick auf das verfassungsrechtlich verankerte Bestimmtheitsgebot des Art. 103 Abs. 2 GG, welches sich auf Grundlage des Art. 49 GRCh beziehungsweise Art. 7 EMRK auch innerhalb der Vorgaben des Primärrechts widerfindet, bedenklich.1082 
556Gegen die Anwendbarkeit des kartellrechtlichen Unternehmensbegriffs spricht hingegen wiederum, dass sich in Art. 4 Nr. 18, Nr. 19 DSGVO eigenständige Definitionen der Begriffe „Unternehmen“ und „Unternehmensgruppe“ finden.1083 Es bleibt daher abzuwarten, ob der EuGH in seiner künftigen Rechtsprechungspraxis stets dem Unternehmensbegriff i.S.d. Kartellrechts folgen wird.1084 
 c. Der Sanktionsmechanismus des Art. 83 DSGVO 
557Art. 83 DSGVO nennt neben den bußgeldbewehrten Verstößen als solche auch die Obergrenze für die Höhe der Bußgelder sowie einen Kriterienkatalog zu deren Festsetzung. 
558Die Art der Sanktionierung des Art. 83 DSGVO, d.h. bei Unternehmen höhere, umsatzabhängige Geldbußen festzulegen, ist an das Kartellrecht angelehnt, wo zuweilen Geldbußen in Milliardenhöhe verhängt werden.1085 Zwar wurde Art. 83 DSGVO im Rahmen des Gesetzgebungsverfahrens mehrfach umfangreich geändert,1086 allerdings wurde sowohl der kartellrechtliche Ansatz als auch die Tatsache, dass die DSGVO die verwaltungsrechtlichen Sanktionen nunmehr selbst regeln müsse, im Gesetzgebungsprozess zu keinem Zeitpunkt in Frage gestellt.1087 
559Primärer Zweck der Norm ist es, die in allen Mitgliedstaaten unmittelbar geltenden Datenschutzregelungen der DSGVO wirksam und konsequent durchzusetzen. Die Bußgelder sollen dabei nicht nur im Falle ihrer Verhängung „weh tun“1088, sondern vielmehr auch potentielle Datenschutzverstöße bereits im Vorfeld insofern ausschließen, als dass sie von den Verantwortlichen und Auftragsverarbeitern nicht (mehr) als tragbares Risiko einkalkuliert werden.1089 So verlangt Art. 83 Abs. 1 DSGVO, dass die Sanktionen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein müssen, woran sich zeigt, dass der Verordnungsgeber auf deren präventive Wirkung setzt. Dies stimmt auch mit der ständigen Rechtsprechung des EuGH überein, wonach Verstöße gegen Unionsrecht grundsätzlich Straf- oder Verwaltungsverfahren nach sich ziehen müssen, um die Verhängung effektiver Strafen sicherzustellen.1090 
560„Wirksam“ und „abschreckend“ in diesem Sinne meint, dass die Sanktion „einerseits generalpräventiv geeignet ist, die Allgemeinheit von Verstößen abzuhalten und das Vertrauen der Allgemeinheit in die Geltung des Unionsrechts zu bekräftigen, andererseits aber auch spezialpräventiv geeignet ist, den Täter von weiteren Verstößen abzuhalten“1091. Wichtig ist insoweit, dass die Geldbuße den Gewinn bzw. die ersparten Aufwendungen des Täters merklich übersteigt.1092 Anderenfalls würde die Geldbuße kaum abschreckende Wirkung entfalten, da die Bußgeldadressaten regelmäßig in der Lage wären, die geforderte Summe anhand des Gewinns aus dem Datenschutzverstoß zu leisten.1093 
561Jedoch lassen sich an dieser Stelle keine pauschalen Aussagen treffen. Vielmehr ist im Einzelfall und unter Beachtung des Verhältnismäßigkeitsprinzips zu entscheiden, welche Unter- bzw. Obergrenze einer Sanktion angemessen, wirksam sowie abschreckend ist.1094 
562Art. 83 Abs. 2 DSGVO regelt das Verhältnis zu den weiteren Befugnissen der Aufsichtsbehörden und beinhaltet eine Auflistung bestimmter Zumessungskriterien, die bei der Entscheidung über die Verhängung von Geldbußen und deren Höhe in jedem Einzelfall zu berücksichtigen sind.1095 
563Kontrovers diskutiert wird insoweit vor allem Art. 83 Abs. 2 lit. b DSGVO. Dieser betrifft das Zumessungskriterium der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Umstritten ist hierbei, ob auch schuldlose, nur schuldhafte oder eventuell sogar nur ein vorsätzliches Zuwiderhandeln gegen die DSGVO zu einer Geldbuße führt. Dem Wortlaut nach erfüllen jedenfalls vorsätzliche sowie fahrlässige Verstöße zweifelsfrei den Sanktionstatbestand. Damit ist nach teilweise vertretener Ansicht zumindest die Fahrlässigkeit notwendiges Tatbestandsmerkmal einer Sanktion.1096 Diese Wertung wird mitunter auch aus der Konkurrenzregel des Art. 83 Abs. 3 DSGVO1097 bzw. aus dem Verhältnismäßigkeits- oder Schuldprinzip1098 entnommen. Letztgenanntes ist im nationalen Recht zudem auch verfassungsrechtlich verankert.1099 Die Sanktionen des Art. 83 DSGVO müssten für eine derartige Auslegung aber dem Strafrecht im weiteren Sinne zugerechnet werden,1100 wobei sich jedoch bereits Zweifel bei der Frage stellen, ob das Schuldprinzip auch im Ordnungswidrigkeitenrecht integrationsfest ist.1101 
564In der Praxis dürfte die Frage nach dem Verschuldenserfordernis keine große Rolle spielen, da hinsichtlich des umfassenden Pflichtenprogramms nach der DSGVO regelmäßig zumindest ein Organisationsverschulden vorliegen wird.1102 
565Ergänzend zu den Zumessungskriterien finden sich in Art. 83 Abs. 2 DSGVO ausdrücklich auch entlastende Aspekte, die zudem auch gerade unter dem Gesichtspunkt einer umfassenden Datenschutz-Compliance relevant sein können.1103 Nachdem insoweit beispielsweise dem Grad der Verantwortung des Verantwortlichen und den gem. Art. 25 und 32 DSGVO getroffenen Maßnahmen ebenfalls Bedeutung beigemessen wird, könnte es „durch eine überzeugende Compliance­Struktur gelingen, zunächst die individuelle Verantwortung vom gesamten Leitungsgremium weg auf eine konkret zuständige Person hin zu fokussieren und ggf. durch geeignete Delegation und Einbindung des Datenschutzbeauftragten auf eine Restverantwortung der stichprobenartigen Überwachung zu reduzieren“1104. Im Vergleich zu anderen Rechtsgebieten sind im Datenschutzrecht auch bereits viele Compliance­Instrumente und -Maßnahmen ausgebildet bzw. zumindest angelegt.1105 
566Ebenso ist in die Berechnung einzubeziehen, ob und wie kooperativ der Verantwortliche bzw. Auftragsverarbeiter bezüglich einer Zusammenarbeit mit der Aufsichtsbehörde war, um dem Verstoß schnellstmöglich abzuhelfen sowie dessen mögliche nachteilige Auswirkungen zu mindern, Art. 83 Abs. 2 Satz 1 lit. f DSGVO.1106 
567Für eine einzelfallbezogene Prüfung der Bemessung der Höhe von Sanktionen bedarf es allerdings auch entsprechender Mittel, die den zuständigen Behörden seitens der Mitgliedstaaten – im Rahmen ihrer unionsrechtlichen Pflicht zur Sicherstellung einer effektiven Strafverfolgung – in ausreichendem Umfang zur Verfügung zu stellen sind, namentlich Personal, Infrastruktur sowie Finanzmittel.1107 Es bleibt insbesondere abzuwarten, ob sämtliche Mitgliedstaaten ihrer ausdrücklich normierten Pflicht aus Art. 52 Abs. 4 DSGVO dahingehend, ihre Aufsichtsbehörden entsprechend auszustatten, zureichend nachkommen. Ansonsten würde es trotz verbindlicher Verordnung bzw. vorgegebenem Bußgeldrahmen und grundsätzlich geeigneter Durchsetzungsmöglichkeiten bei einem lediglich punktuellen Agieren der Aufsichtsbehörden mit erheblichen nationalen Unterschieden bleiben.1108 
568Art. 83 Abs. 3 DSGVO thematisiert Mehrfachverstöße und legt diesbezüglich eine Obergrenze des Gesamtbetrages der zu verhängenden Geldbuße fest. Die Norm folgt damit dem sog. Nichtkumulationsprinzip, nachdem im Falle der Erfüllung der Voraussetzungen des Absatzes 3 die Höhe des Gesamtbetrages der Geldbuße auf den gesetzlichen Höchstbetrag für den schwerwiegendsten Verstoß begrenzt werden muss.1109 Ob neben der sachlichen Verbindung der einzelnen Verstöße auch eine zeitliche Konnexität gegeben sein muss, ist umstritten.1110 
569Sofern der Verweis in § 41 BDSG auf das Gesetz über Ordnungswidrigkeiten (OWiG) als europarechtswidrig erachtet wird (siehe Rn. 598 ff.), muss die Konkurrenznorm des Art. 83 Abs. 3 DSGVO konsequenterweise den Vorschriften des §§ 19, 20 OWiG vorgehen; auch ist es dem nationalen Gesetzgeber dann nicht möglich, von Art. 83 DSGVO abzuweichen.1111 
 d. Konkrete Bemessung der Bußgelder 
570Auf Grundlage des bisher geltenden Datenschutzregimes haben die deutschen Aufsichtsbehörden lediglich Bußgelder verhängt, die eine Gesamthöhe von 2.000.000 € gegen einzelne Unternehmen nicht überschritten – und dies zudem auch nur äußerst zurückhaltend.1112 Es bleibt abzuwarten, ob die DSGVO an dieser Praxis etwas ändert. Zwar lassen sich konkrete Zahlen hinsichtlich der Höhe zukünftiger Bußgelder derzeit noch nicht abschätzen, jedoch erscheint es nicht abwegig, dass große globale Internetkonzerne möglicherweise zu Milliardenzahlungen verpflichtet werden.1113 
570.1Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat nunmehr ein vorläufiges Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht (Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen v. 14.10.2019). Dabei schränkt die DSK den Anwendungsbereich des Konzepts sowohl sachlich als auch zeitlich ein: Erfasst werden lediglich Bußgeldverfahren innerhalb eines wirtschaftlichen Kontexts, nicht aber im Vereinsbereich. Auch natürliche Personen stehen dem Grunde nach nicht im Fokus des Konzepts. Darüber hinaus hält die DSK fest, dass das Zumessungsverfahren seine Gültigkeit mit Erlass entsprechender Vorgaben zur Festsetzung etwaiger Geldbußen durch den Europäischen Datenschutzausschuss (EDSA) verliert (Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen v. 14.10.2019, S. 1 ff.).
Aktualisierung vom 07.11.2019
!
570.2Um eine möglichst nachvollziehbare und transparente Ausgestaltung der Bußgeldzumessung im Einzelfall gewährleisten zu können, setzt die DSK auf das nachfolgend beschriebene fünfstufige Verfahren (vgl. hierzu Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen v. 14.10.2019, S. 2 ff.): Das betroffene Unternehmen wird in einem ersten Schritt einer der nachfolgenden Größenklassen zugeordnet: Kleinstunternehmen, kleines beziehungsweise mittelständisches Unternehmen, Großunternehmen. Die entscheidende Bezugsgröße bei der Einordnung des Unternehmens ist der gesamte weltweit erzielte Vorjahresumsatz. Zur nochmaligen Spezifizierung werden die vorab benannten Unternehmensgruppen nochmals in umsatzbezogene Untergruppen untergliedert. Innerhalb des zweiten Schritts wird sodann der mittlere Jahresumsatz der Untergruppe, in welche das Unternehmen eingeordnet wurde, ermittelt. Auf Grundlage des mittleren Jahresumsatzes wird im Rahmen des dritten Schrittes der sogenannte „wirtschaftliche Grundwert“ festgelegt. Zu diesem Zweck wird der mittlere Jahresumsatz durch 360 (Tage) geteilt. Dieser Wert stellt den durchschnittlichen Tagessatz für das betroffene Unternehmen dar. Innerhalb des vierten Schritts wird der konkrete Datenschutzverstoß des Unternehmens auf Grundlage der tatbezogenen Umstände des Einzelfalls bewertet und einem entsprechenden Grundwert-Multiplikator zugeordnet. Während bei leichten Verstößen von einer Erhöhung des Grundwerts abgesehen werden kann, sieht die DSK bei sehr schweren Verstößen eine Multiplikation des Grundwerts bis zu dem Faktor 12 vor. Abschließend können im Rahmen des fünften Schrittes weitere – bislang noch nicht berücksichtigte Faktoren – des jeweiligen Falles in die Berechnung des Bußgeldes einfließen. Dabei können nach Ansicht der DSK insbesondere die täterbezogenen Umstände des Art. 83 Abs. 2 DSGVO als auch sonstige Umstände, wie etwa eine lange Verfahrensdauer von Relevanz sein.
Aktualisierung vom 07.11.2019
!
571Art. 83 DSGVO beinhaltet in den Absätzen 4-6 drei unterschiedliche Kategorien von Bußgeldvorschriften, dies unter anderem jeweils in Bezug auf die Höhe der zu verhängenden Geldbußen. 
572Nach Art. 83 Abs. 4 DSGVO können im Einklang mit Absatz 2 Geldbußen von bis zu 10.000.000 € oder im Fall eines Unternehmens (vgl. zum Unternehmensbegriff bereits Rn. 552 ff.) von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Normadressaten des Art. 83 Abs. 4 DSGVO sind namentlich nur der Verantwortliche und der Auftragsverarbeiter (lit. a, vgl. Art. 4 Nr. 7 bzw. Nr. 8 DSGVO), die Zertifizierungsstelle (lit. b) sowie die Überwachungsstelle (lit. c). Damit wird insbesondere den für diese Stellen handelnden natürlichen Personen keine Geldbuße angedroht.1114 Sanktionen gegenüber den tatsächlich handelnden Personen sind allerdings dann möglich, wenn diese sich über Weisungen ihres Arbeitgebers hinwegsetzen; ferner ist auch eine strafrechtliche Sanktionierung durch den nationalen Gesetzgeber basierend auf Art. 84 DSGVO denkbar (siehe Rn. 584 ff.).1115 
573Art. 83 Abs. 5 DSGVO verfolgt ein anderes Konzept. Demnach werden sämtliche Verstöße gegen die in der Norm enumerativ aufgeführten Bestimmungen mit Strafe bedroht, ohne auf konkrete Personen und deren Pflichten beschränkt zu sein. Konkret können im Einklang mit Absatz 2 Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. 
574Selbiges gilt für Art. 83 Abs. 6 DSGVO, wonach die Nichtbefolgung einer Anweisung der Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO mit Geldbuße bedroht ist. Hier können im Einklang mit Art. 83 Abs. 2 DSGVO Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Insoweit doppelt sich die Norm in Teilen mit der Regelung des Art. 83 Abs. 5 lit. e DSGVO. Adressat der Anweisung wird hier regelmäßig das Unternehmen selbst sein, wobei bei lebensnaher Betrachtung auch Dritte zu adressieren sein müssen, da Anweisungen stets der Umsetzung durch Menschen bedürfen.1116 Folglich kommt auch eine Verhängung von Geldbußen gegenüber diesen Personen in Frage, insbesondere mit Blick auf das Leitungspersonal des Anweisungsadressaten.1117 
575Zwar statuiert Art. 83 DSGVO keine Sanktionsvorschrift hinsichtlich eines Verstoßes gegen Art. 10 DSGVO. Dies ist jedoch unbedenklich, da darin bereits eine unbefugte Verarbeitung personenbezogener Daten liegt, die ihrerseits bußgeldbewehrt ist.1118 
576Obwohl die Sanktionsvorschriften der Art. 83 Abs. 4-6 DSGVO einen sehr weiten Betragsrahmen aufweisen, dürften sie dennoch den Anforderungen des Bestimmtheitsgebotes, welches auch für verwaltungsrechtliche Sanktionen gilt, genügen.1119 Denn der EuGH lässt insoweit eine schrittweise Klärung genügen, verlangt mithin nicht, dass sich die notwendige Bestimmtheit aus dem Gesetz selbst ergibt.1120 
 e. Art. 83 Abs. 7-9 DSGVO 
577Art. 83 Abs. 7 DSGVO sieht vor, dass jeder Mitgliedstaat Vorschriften dafür festlegen darf, ob und in welchem Umfang die in dem betroffenen Mitgliedstaat niedergelassenen Behörden und öffentlichen Stellen zu sanktionieren sind. Die Vorschrift enthält mithin eine nationale Öffnungsklausel hinsichtlich der Verhängung von Geldbußen im öffentlichen Sektor, wodurch die DSGVO den Mitgliedstaaten die finale Entscheidung über die Verhängung von Geldbußen in diesem Bereich überlässt (vgl. Erwägungsgrund 150 DSGVO). Schon nach bisheriger nationaler Rechtslage war eine Verhängung von Geldbußen gegen juristische Personen des öffentlichen Rechts möglich; insbesondere stehen einer solchen Praxis auch weder das Gewaltenteilungsprinzip noch der Grundsatz der Gesetzmäßigkeit der Verwaltung entgegen.1121 Konkret umfasst die an die Mitgliedstaaten delegierte Regelungsbefugnis sowohl die Möglichkeit einer Verhängung von Bußgeldern (das „Ob“) als auch deren Umfang (das „Wie“). 
578Hinsichtlich der Bußgeldverhängung fordert Art. 83 Abs. 8 DSGVO, dass diese zum einen angemessenen Verfahrensgarantien gemäß dem Unionsrecht1122 und zum anderen dem Recht der Mitgliedstaaten unterliegen müsse. 
579Abschließend adressiert Art. 83 Abs. 9 DSGVO alle Mitgliedstaaten, deren Rechtsordnungen (bislang) keine verwaltungsrechtlichen Sanktionen vorsehen. Um Sanktionslücken zu vermeiden, gibt Absatz 9 Satz 1 in diesem Fall einen alternativen Weg vor. Insbesondere ist dabei sicherzustellen, dass die auf diesem Weg verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sind (Satz 2). Art. 83 Abs. 9 Satz 3 DSGVO statuiert eine Meldepflicht der betreffenden Mitgliedstaaten bezüglich neu erlassener Sanktionen gegenüber der Kommission. Für Deutschland ist die Regelung ohne Relevanz.1123 
 f. Einzelfälle 
580Wenngleich zumindest bislang ein tendenziell zurückhaltender Umgang mit den Bußgeldvorschriften der DSGVO festgestellt werden kann,1124 ist die fortlaufende Entwicklung noch nicht absehbar. Insbesondere für das Jahr 2019 ist davon auszugehen, dass die Datenschutzbehörden zahlreiche Ermittlungsverfahren aufgrund möglicher Datenschutzverstöße in die Wege leiten werden.1125 Die nachfolgenden Einzelfälle sollen einen Überblick und ersten Anhaltspunkt für die Praxis geben. 
581Erstmalig hat die Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationssicherheit Baden-Württemberg (LfDI BW) ein Bußgeld in Höhe von 20.000 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt.1126 Das betroffene Unternehmen hatte sich im Vorfeld aufgrund einer Datenpanne, bei der aufgrund eines Hackerangriffs personenbezogene Daten von ca. 330.000 Nutzern veröffentlicht wurden, an das LfDI BW gewandt. Im Zuge dessen wurde der Aufsichtsbehörde bekannt, dass das Unternehmen die Passwörter ihrer Nutzer unverschlüsselt und unverfremdet speicherte, worin nach Ansicht des LfDI BW ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO zu sehen war. Unter Einbeziehung der Vorgaben des Art. 83 Abs. 4 DSGVO verzichtete die Aufsichtsbehörde bewusst auf die Ausschöpfung des Bußgeldrahmens, da das betroffene Unternehmen nach Überzeugung der Behörde in beispielhafter Weise kooperierte.1127 Diesbezüglich betonte der Landesbeauftragte für den Datenschutz Brink, dass es der Behörde gerade nicht auf „einen Wettbewerb um möglichst hohe Bußgelder“ gehe, sondern um die „Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“.1128 
582Weitaus höher bemisst sich die Geldbuße, welche die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) am 21.01.2019 gegenüber Google aussprach. Da Google nach Überzeugung der Behörde weder den Transparenz- und Informationspflichten der DSGVO nachkam noch eine rechtskonforme Einwilligungserklärung zum Zwecke der personalisierten Werbung einholte, verhängte diese ein Bußgeld in Höhe von 50 Millionen € gegenüber der Alphabet-Tochterfirma.1129 Google hat bereits bekanntgegeben, den Bescheid gerichtlich überprüfen zu lassen.1130 Die zu erwartende letztinstanzliche Entscheidung durch den EuGH könnte maßgeblich dazu beitragen, den bislang noch relativ unbestimmten Bußgeldkatalog der DSGVO zu präzisieren.1131 
583Mit Bescheid vom 17.12.2018 hat der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBFDI) ein Bußgeld gegenüber dem Hamburger Unternehmen Kolibri Image verhängt. Auf Grundlage des Art. 83 Abs. 4 lit. a DSGVO sei nach Ansicht der Aufsichtsbehörde ein Bußgeld in Höhe von 5.000 € zuzüglich 250 € Bearbeitungsgebühren angemessen, da es im konkreten Fall an einer gem. Art. 28 Abs. 3 DSGVO erforderlichen Auftragsverarbeitungsvereinbarung zwischen dem Bußgeldadressaten und einem beauftragten Dienstleister fehle.1132 Auch in diesem Fall ist eine gerichtliche Klärung zu erwarten, da das betroffene Unternehmen bereits Widerspruch gegen den Bescheid erhoben hat.1133 
583.1Weitere bußgeldbewährte Fälle wurden zwischenzeitlich im Zusammenhang mit der unzulässigen Nutzung von Dashcams, der Verteilung von Werbe-E-Mails sowie der rechtswidrigen Offenbarung von Gesundheits-, Konto- und Kundendaten aufgrund unzureichender Schutzmechanismen bekannt (vgl. dazu Hofmann/Quiel, Bereits 41 Bußgelder unter der DSGVO in Deutschland, abrufbar unter: www.cmshs-bloggt.de/tmc/datenschutzrecht/bereits-41-bussgelder-unter-dsgvo-in-deutschland/, zuletzt abgerufen am 09.05.2019).
Aktualisierung vom 09.05.2019
!
583.2Adressat datenschutzrechtlicher Bußgeldbestimmungen sind nicht nur Unternehmen. Vielmehr zeugt ein Bußgeldbescheid des Landesbeauftragten für den Datenschutz Sachsen-Anhalt gegenüber einer Privatperson davon, dass auch diese bei der Verarbeitung personenbezogener Daten die erforderliche Sorgfalt walten lassen müssen (vgl. dazu Greis, Hohes Bußgeld wegen offenen E-Mail-Verteilers, abrufbar unter: www.golem.de/news/datenschutz-hohes-bussgeld-wegen-offenem-mail-verteiler-1902-139399.html, zuletzt abgerufen am 09.05.2019). Insbesondere die (private) Versendung etwaiger E-Mails über offene E-Mail-Verteiler (CC-Versendung) sprengt regelmäßig den Anwendungsbereich der Haushaltsprivilegierung des Art. 2 Abs. 2 lit. c DSGVO (vgl. dazu Rn. 169) mit der Folge, dass die Vorgaben des Datenschutzrechts umfassend zu berücksichtigen sind (vgl. dazu weiterführend Scheurer/Walker, IT-Sicherheit. Privat? – Grund- und datenschutzrechtliche Aspekte einer privaten Pflicht zur IT-Sicherheit, abrufbar unter: www.baywidi.de/wp-content/uploads/BayWiDI-Magazin_1.-Ausgabe_März_2019.pdf, zuletzt abgerufen am 09.05.2019). Im vorliegenden Fall wurde das inflationäre Versenden von E-Mails über einen offenen E-Mail-Verteiler als ein unzulässiges Offenbaren von personenbezogenen Daten gewertet und mittels eines Bußgeldes in Höhe von rund 2.500 € sanktioniert.
Aktualisierung vom 09.05.2019
!
583.3Die Berliner Beauftragte für den Datenschutz und Informationsfreiheit verhängte nunmehr das erste siebenstellige Bußgeld auf Grundlage der DSGVO innerhalb Deutschlands. Mithin wurde gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen € durch die Berliner Datenschutzbeauftragte erlassen. Das Unternehmen verwendete für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Innerhalb des durch die Aufsichtsbehörde vorgefundenen „Datenfriedhofs“ der Bußgeldadressatin konnten teils sehr sensible personenbezogene Daten von Mieterinnen und Mietern aufgefunden werden, deren Speicherung längst nicht mehr für den Zweck der ursprünglichen Erhebung erforderlich war. Aufgrund der eklatanten Verstöße gegen die Vorgaben des Art. 25 Abs. 1 DSGVO sowie gegen die allgemeinen Grundsätze des Art. 5 Abs. 1 DSGVO war daher die Verhängung eines Bußgeldes nach Ansicht der Behörde zwingend (vgl. dazu Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung v. 05.11.2019, online abrufbar unter: www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf, zuletzt abgerufen am 07.01.2020).
Aktualisierung vom 07.01.2020
!
583.4Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zwischenzeitlich ein Bußgeld in Millionenhöhe gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH verhängt. Konkret wurde der Dienstleister mit einer Geldbuße in Höhe von 9,5 Millionen € belegt, da das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen im Rahmen der telefonischen Kundenbetreuung ergriffen hat (BfDI, Pressemitteilung v. 09.12.2019, online abrufbar unter: www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html, zuletzt abgerufen am 07.01.2020). Allein die Angabe von Geburtsdatum und Name eines Kunden war ausreichend, um über die telefonische Kundenbetreuung weiterführende sowie teils sehr sensible Informationen über den jeweiligen Kunden zu erhalten. Der darin begründete Verstoß gegen Art. 32 Abs. 1 DSGVO rechtfertigt nach Ansicht des BfDI die Höhe des Bußgeldes, und zwar auch unter Berücksichtigung, dass sich das Unternehmen bei der Behebung des Mangels „einsichtig und äußerst kooperativ“ zeigte. Insbesondere dieser Aspekt dürfte für die Verantwortlichen von entscheidender Relevanz sein. Mithin kann nicht mehr davon ausgegangen werden, dass allein ein proaktives Verhalten zur Behebung etwaiger Datenschutzverstöße vor erheblichen Bußgeldern schützt.
Aktualisierung vom 07.01.2020
!
 3. Nationale Bestimmungen 
584Wie bereits erwähnt, finden parallel zu den unmittelbar geltenden, europarechtlichen Vorgaben der DSGVO auch nationale Regelungen Anwendung, soweit die DSGVO in sachlicher Hinsicht nicht eingreift, spezifische Öffnungsklauseln enthält oder ein Tätigwerden der Mitgliedstaaten ausdrücklich anordnet. Im Zusammenhang mit Haftungs- und Sanktionstatbeständen sind insbesondere die §§ 41-43 BDSG von Relevanz. Letztere knüpfen dabei an die Bußgeldtatbestände der DSGVO an und regeln – je nach Schwere des Verstoßes – die Verhängung weiterer Sanktionen. 
 a. Die Spezifizierungsklausel des Art. 84 DSGVO 
585Erwägungsgrund 149 DSGVO ist zu entnehmen, dass die Mitgliedstaaten – in Ergänzung zu den umfassenden Bußgeldtatbeständen des Art. 83 DSGVO – auf Grundlage der obligatorischen Spezifizierungsklausel des Art. 84 DSGVO strafrechtliche Sanktionen „festlegen können sollten“, wobei auch die Einziehung von mittels Datenschutzverstößen erzielten Gewinnen möglich sein soll (allgemein zu den Spezifizierungsklauseln der DSGVO vgl. Rn. 66 ff.). 
586Primärer Regelungszweck des Art. 84 DSGVO ist wiederum die wirksame und konsequente Durchsetzung der Vorschriften der DSGVO (vgl. Erwägungsgrund 148 Satz 1 bzw. Art. 84 Abs. 1 Satz 2 DSGVO). Auch sollen die auf Grundlage der Norm geschaffenen Sanktionsmöglichkeiten der einzelnen Mitgliedstaaten die Durchsetzung des europäischen sowie des jeweiligen nationalstaatlichen Datenschutzrechts mittels weiterer Sanktionen vervollständigen und etwaig vorhandene Lücken schließen.1134 
587Vorgängernormen des Art. 84 DSGVO waren die §§ 43, 44 BDSG a.F. sowie Art. 24 Datenschutzrichtlinie. 
588Im Ergebnis ist Art. 84 DSGVO als Regelungsauftrag an alle Mitgliedstaaten zu verstehen, dessen Inhalt es ist, weitere Sanktionen – namentlich solche repressiver Art – bei Verstößen gegen die DSGVO vorzusehen.1135 In Ermangelung nennenswerter Konkretisierungen mit Blick auf die „anderen Sanktionen“ bleibt jedoch abzuwarten, ob Art. 84 DSGVO tatsächlich die erwünschten Veränderungen mit sich bringen wird oder lediglich ein weiteres „Indiz für den Hybrid-Charakter“ der DSGVO ist bzw. bleibt.1136 
 b. Regelungsinhalt 
589Konkret delegiert Art. 84 Abs. 1 Satz 1 DSGVO die Verpflichtung, Vorschriften über „andere Sanktionen“ für Verstöße gegen die DSGVO festzulegen, insbesondere für Verstöße, die keiner Geldbuße gem. Art. 83 DSGVO unterliegen, an die Mitgliedstaaten. Letztere haben zudem auch alle für die Anwendung der Sanktionen erforderlichen Maßnahmen zu treffen. Dabei müssen sämtliche mitgliedstaatlich festgelegten Sanktionen entsprechend den Anforderungen des Art. 84 Abs. 1 Satz 2 DSGVO „wirksam, verhältnismäßig und abschreckend“ sein (vgl. Erwägungsgrund 148 Satz 1 DSGVO). 
590Normadressat des Art. 84 Abs. 1 DSGVO ist unmittelbar und ausschließlich die Legislative der Mitgliedstaaten.1137 
591Mit Blick auf die Formulierung „Sanktionen“ in Art. 84 Abs. 1 Satz 1 DSGVO ist dem Wortlaut nach nicht eindeutig zu entnehmen, ob Art. 83 DSGVO die Verhängung von Bußgeldern abschließend regeln soll. Mithin ist es denkbar, dass die Norm eine Sperrwirkung für weitere Bußgeldregelungen bzw. verwaltungsrechtliche Sanktionen entfaltet. Gestützt auf die die Öffnungsklausel des Art. 84 DSGVO ist es aber durchaus auch vertretbar, dass den Mitgliedstaaten die Möglichkeit an die Hand gegeben werden soll, noch nicht abschließend in der DSGVO geregelte Bußgeldtatbestände zu schaffen. Während die Formulierung „andere“ Sanktionen unter Bezugnahme auf Art. 83 DSGVO für eine grundsätzliche Sperrwirkung streitet, spricht Erwägungsgrund 152 Satz 2 DSGVO dafür, dass im Fall fehlender Harmonisierung verwaltungsrechtlicher Sanktionen der Erlass zusätzlicher nationaler Regelungen über die Verhängung von Bußgeldern gestattet sein soll.1138 
592Grundsätzlich bleibt es den Mitgliedstaaten überlassen, bei welchen Verstößen sie welche Art der Strafverfolgung vorsehen.1139 Hinsichtlich des „Ob“ soll dagegen – mit Ausnahme milderer Abhilfemaßnahmen (z.B. einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO) bei geringfügigen Verstößen – kein Entscheidungsspielraum eröffnet sein (vgl. Erwägungsgrund 148 DSGVO).1140 
593Im Fall der Normierung straf- bzw. verwaltungsrechtlicher Sanktionen durch die Mitgliedstaaten gemäß Erwägungsgrund 149 Satz 3 DSGVO ist jedoch stets der Grundsatz „ne bis in idem“ zu beachten. Nach der Rechtsprechung des EuGH liegt jedenfalls dann kein Verstoß gegen das Verbot der Doppelbestrafung vor, wenn an ein bestimmtes Verhalten eine strafrechtliche bzw. verwaltungsrechtliche Sanktionierung geknüpft wird, die nach Auffassung des Gerichtshofs nicht als „Strafe“ zu werten ist.1141 Der strafrechtliche Charakter einer Maßnahme bemisst sich insoweit nach dem innerstaatlichen Recht, der Art der Zuwiderhandlung sowie der Schwere der Sanktion selbst.1142 
594Dem Wortlaut nach umfasst Art. 84 Abs. 1 DSGVO ausdrücklich auch den Erlass entsprechender Zuständigkeits-, Verfahrens-, Rechtsbehelfs- sowie Verjährungsvorschriften, weshalb beispielsweise das bisher bestehende, nationale Strafantragserfordernis des § 44 Abs. 2 BDSG a.F. beibehalten werden kann (siehe Rn. 603 ff.).1143 Soweit Art. 84 DSGVO allerdings materielle Anforderungen an die Sanktionen stellt, kann der EuGH in jedem Verfahrensstadium beteiligt werden.1144 
595Darüber hinaus bleibt die Strafbarkeit nach dem Datenschutzrecht der Bundesländer unberührt, wodurch bereits bestehende Strafbarkeitsnormen ungeachtet der Geltung der DSGVO erhalten bleiben; dasselbe gilt für landesrechtliche Strafnormen.1145 
596Die seitens des jeweiligen Mitgliedstaats erlassen Vorschriften sind nach Art. 84 Abs. 2 DSGVO bis zum 25.05.2018 gegenüber der Kommission mitzuteilen. Zugleich besteht eine Mitteilungspflicht in Bezug auf sämtliche nach diesem Zeitpunkt erlassenen Regelungen. 
 c. Anwendbarkeit nationaler Bestimmungen (§ 41 BDSG) 
597§ 41 BDSG verknüpft das materielle Bußgeldrecht sowie das Bußgeldverfahrensrecht mit dem lückenhaften supranationalen Sanktionsrecht der DSGVO. Im Wesentlichen erklärt die Norm die Regelungen des OWiG für fast vollständig anwendbar. 
598So legt § 41 Abs. 1 Satz 1 BDSG fest, dass für Verstöße nach Art. 83 Abs. 4-6 DSGVO die Vorschriften des OWiG sinngemäß gelten, soweit das BDSG nichts anderes bestimmt, wobei gemäß Satz 2 der Norm die §§ 17, 35 und 36 OWiG (zum Teil verfahrensrechtlicher Natur) ausdrücklich keine Anwendung finden. Ergänzend findet sich in § 41 Abs. 1 Satz 3 BDSG eine Regelung zur sachlichen Zuständigkeit des Gerichts. 
599Relevant ist in diesem Zusammenhang zunächst § 47 OWiG. Hiernach gilt im deutschen Ordnungswidrigkeitenrecht grundsätzlich das Opportunitätsprinzip. Danach hat die zuständige Behörde ein Ermessen, ob sie die jeweilige Ordnungswidrigkeit überhaupt verfolgt, zudem ist eine Verfahrenseinstellung unter bestimmten Umständen möglich. In diesem Zusammenhang herrscht in der Literatur Streit über die Europarechtskonformität der Vorschrift. Diese wird zunächst unter Berufung auf Art. 82 Abs. 2 Satz 1 DSGVO angezweifelt, nachdem dort in Übereinstimmung mit Erwägungsgrund 148 Satz 1 DSGVO geregelt ist, dass im Falle von Verstößen verpflichtend Geldbußen zu verhängen sind.1146 Argumentiert wird außerdem mit der sich in Art. 83 Abs. 2, 4, 5 und 6 DSGVO findenden Formulierung „werden verhängt“1147, die für eine bewusste Entscheidung des Gesetzgebers mit Blick auf eine verpflichtende Sanktionierung – und mithin Verfolgung derselben – spreche.1148 
600§ 41 Abs. 1 BDSG verweist auch unmittelbar auf § 10 OWiG. Danach kann als Ordnungswidrigkeit nur vorsätzliches Handeln geahndet werden, außer wenn das Gesetz fahrlässiges Handeln ausdrücklich mit Geldbuße bedroht. Auch dieser Umstand lässt die Vorschrift nach teilweise vertretener Auffassung wiederum europarechtswidrig und folglich nicht anwendbar werden. Grund hierfür sei, dass die Nennung von Fahrlässigkeit in Art. 83 Abs. 2 lit. b DSGVO für die Annahme nicht ausreichend wäre, dass Art. 83 DSGVO „ausdrücklich“ i.S.v. § 10 OWiG auch im Falle von Fahrlässigkeit die Verhängung von Geldbußen vorsehe.1149 Des Weiteren könne Art. 83 DSGVO auch nicht durch nationale Vorschriften abgeändert werden.1150 
 d. Strafvorschriften (§ 42 BDSG) 
601§ 42 BDSG bewehrt besonders schwerwiegende Verletzungen des Schutzes personenbezogener Daten im Anwendungsbereich der DSGVO mit Freiheitsstrafe von bis zu drei Jahren bzw. Geldstrafe, normiert mithin verschiedene Straftatbestände. 
602§ 42 Abs. 1 BDSG beinhaltet eine gegenüber dem bisherigen Recht erhöhte Strafandrohung für gewerbsmäßiges Handeln. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird danach bestraft, wer wissentlich nicht allgemein zugängliche, personenbezogene Daten einer großen Zahl von Personen einem Dritten übermittelt, ohne dazu berechtigt zu sein (§ 42 Abs. 1 Nr. 1 BDSG), bzw. auf andere Weise zugänglich macht (§ 42 Abs. 1 Nr. 2 BDSG). 
603Nach § 42 Abs. 2 BDSG wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, verarbeitet, ohne hierzu berechtigt zu sein (§ 42 Abs. 2 Nr. 1 BDSG), oder durch unrichtige Angaben erschleicht (§ 42 Abs. 2 Nr. 2 BDSG) und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Die Norm orientiert sich zwar im Grundsatz an § 44 Abs. 1 BDSG a.F., bedroht jedoch ein im Vergleich zur Vorgängernorm reduziertes Handlungsspektrum mit Strafe. 
604Gemäß § 42 Abs. 3 Satz 1 BDSG wird – vergleichbar § 44 Abs. 2 BDSG a.F. – für die Strafverfolgung der in § 42 BDSG normierten Delikte ein Strafantrag vorausgesetzt, dessen Modalitäten sich nach §§ 77-77d StGB richten.1151 Insoweit handelt es sich bei § 42 BDSG um ein absolutes Antragsdelikt: Ein Strafantrag ist auch dann nicht entbehrlich, wenn die Staatsanwaltschaft ein Einschreiten von Amts wegen aufgrund eines besonderen öffentlichen Interesses für geboten hält. 
605Antragsberechtigt sind die in § 42 Abs. 3 Satz 2 BDSG erwähnten Personen, namentlich die betroffene Person selbst, der Verantwortliche, die oder der Bundesbeauftragte sowie die Aufsichtsbehörde. Deren jeweiliges, individuelles Recht zur Antragstellung ist dabei vom Willen der anderen unabhängig.1152 
606§ 42 Abs. 4 BDSG sieht ein Verwertungsverbot für sog. Data Breach Notifications vor. Nach dem Normwortlaut dürfen Meldungen bzw. Benachrichtigungen nach Art. 33 bzw. 34 DSGVO im Straf- oder Bußgeldverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder dessen Angehörige nur mit Zustimmung des Meldepflichtigen bzw. Benachrichtigenden verwendet werden.1153 Probleme ergeben sich vor allem im Fall von Datenpannen.1154 Hier hat der Meldende regelmäßig ein Interesse an der genauen Überprüfung des tatsächlichen Bestehens einer Meldepflicht nach Art. 33 DSGVO.1155 Das Erfordernis einer Meldepflicht könnte u.U. auch aufgrund der Verschlüsselung personenbezogener Daten entfallen.1156 
 e. Bußgeldvorschriften (§ 43 BDSG) 
607§ 43 Abs. 1 BDSG enthält zwei Bußgeldtatbestände für Verstöße gegen nationale Sonderregelungen zu Verbraucherkrediten (§ 30 BDSG). § 43 Abs. 2 BDSG statuiert die Rechtsfolge eines solchen Verstoßes. Danach kann eine Ordnungswidrigkeit i.S.d. § 43 Abs. 1 BDSG mit einer Geldbuße von bis zu 50.000 € geahndet werden. 
608§ 43 Abs. 3 BDSG schließt Geldbußen gegen Behörden und sonstige öffentliche Stellen i.S.d. § 2 Abs. 1 BDSG aus. Insofern ist allerdings auf den unionsrechtlichen Behördenbegriff abzustellen. Demnach sind „Unternehmen, die im Wettbewerb stehen, […] ungeachtet einer nach nationalem Recht als öffentlich-rechtlich anzusehende Rechtsform europarechtlich weder Behörde noch öffentliche Stelle i.S.d. Art. 83 Abs. 7 DSGVO“.1157 
609Eine § 42 Abs. 4 BDSG inhaltlich entsprechende Regelung enthält § 43 Abs. 4 BDSG, normiert mithin ebenfalls ein persönliches, absolutes sowie individuell privilegierendes Beweisverwendungsverbot für Meldungen und Benachrichtigungen nach Art. 33, 34 Abs. 1 DSGVO.1158 
 IX. Rechtsbehelfe 
 1. Die Rolle der Aufsichtsbehörden (Art. 55 ff. DSGVO) 
610Bei grenzüberschreitender Datenverarbeitung wird grundsätzlich die Aufsichtszuständigkeit bei der dann federführenden Aufsichtsbehörde am Sitz der Hauptniederlassung i.S.d. Art. 4 Nr. 16 DSGVO begründet, Art. 56 Abs. 1 DSGVO.1159 Sie ist dann alleiniger Ansprechpartner, Art. 56 Abs. 6 DSGVO. 
611Die lokale Aufsichtsbehörde bleibt indes in zwei Fällen zuständig: zum einen, wenn es sich um eine rein mitgliedstaatliche Datenverarbeitung einer Niederlassung handelt, Art. 56 Abs. 2 DSGVO, zum anderen, wenn die Datenverarbeitung aufgrund einer rechtlichen Verpflichtung erfolgt oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt erfolgt, Art. 55 Abs. 2 DSGVO. 
612Neben den Zuständigkeitsnormen enthält die DSGVO ausführliche Vorgaben über die Organisation und Aufgaben der Aufsichtsbehörden.1160 
 2. Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) 
613Eine der vielfältigen Aufgaben der Aufsichtsbehörden stellt die Entgegennahme von Beschwerden gem. Art. 77 DSGVO dar – dies unabhängig davon, ob die angerufene Aufsichtsbehörde auch für deren Bearbeitung zuständig ist1161. So gewährt Art. 77 Abs. 1 DSGVO jeder betroffenen Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen1162 Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Dabei dürfen die Begründungsanforderungen zwar nicht überzogen werden, zu fordern ist aber dennoch eine substantiierte Darlegung, aufgrund welcher tatsächlichen Anhaltspunkte sich aus Sicht des Beschwerdeführers ein Verstoß gegen die DSGVO ergibt.1163 Ebenso ist das Beschwerdeverfahren frei von Form- und Fristvorgaben sowie Kosten für den Betroffenen auszugestalten.1164 
614Die angerufene Aufsichtsbehörde unterrichtet nach Art. 77 Abs. 2 DSGVO den Beschwerdeführer über aktuellen Bearbeitungsstand seiner Beschwerde sowie über den Verfahrensausgang; außerdem weist sie ihn auf die – im Verhältnis zum Beschwerdeverfahren nachrangige – Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO hin. Abweichend hiervon regelt § 19 Abs. 2 BDSG, dass eine sachlich unzuständige Aufsichtsbehörde die Beschwerde regelmäßig an die federführende Aufsichtsbehörde abzugeben hat.1165 
 3. Gerichtliche Rechtsbehelfe 
 a. Gegen Maßnahmen der Aufsichtsbehörden (Art. 78 DSGVO) 
615Art. 78 Abs. 1 DSGVO regelt in unmittelbarer Anknüpfung an das Beschwerdeverfahren nach Art. 77 DSGVO zwei unterschiedliche Verfahrenskonstellationen: Art. 78 Abs. 1 DSGVO betrifft Rechtsbehelfe gegen rechtsverbindliche Maßnahmen einer Aufsichtsbehörde1166, Absatz 2 hat Rechtsbehelfe bei deren Untätigkeit zum Gegenstand. 
616Bezogen auf das nationale Recht handelt es sich bei den rechtsverbindlichen Maßnahmen der Aufsichtsbehörden i.S.d. Art. 78 Abs. 1 DSGVO regelmäßig um belastende Verwaltungsakte, gegen die die Anfechtungsklage statthaft ist.1167 Dies ergibt sich auch aus § 20 Abs. 1 BDSG, welcher rein deklaratorisch für derartige Klagen den Verwaltungsrechtsweg eröffnet und überdies noch weitere verfahrensrechtliche Konkretisierungen, wie z.B. mit Blick auf die örtliche Zuständigkeit der Verwaltungsgerichte, vornimmt.1168 Als Klagegegenstand konkret in Rede stehen können vor allem Maßnahmen der Aufsichtsbehörden nach Art. 58 DSGVO, daneben auch (teilweise oder vollständige) Zurückweisungen von Beschwerden nach Art. 77 DSGVO.1169 Antragsberechtigt ist nach Art. 78 Abs. 1 DSGVO jede natürliche oder juristische Person, in deren Sphäre die gegenständliche Maßnahme tatsächlich und/oder rechtlich eingreift.1170 Dies schließt weder juristische Personen des öffentlichen Rechts1171 noch nachteilig betroffene Dritte1172 aus. 
617Art. 78 Abs. 2 DSGVO ähnelt den Regelungen zur Untätigkeitsklage im Sinne des nationalen Verwaltungsprozessrechts. Die Klage ist dann statthaft, wenn die Aufsichtsbehörde sich nicht innerhalb von drei Monaten mit einer Beschwerde i.S.d. Art. 77 DSGVO befasst und/oder den Betroffenen hierüber nicht innerhalb dieses Zeitraums über den Verfahrensstand bzw. -ausgang in Kenntnis gesetzt hat. Damit muss das Verfahren insbesondere nicht bereits zwingend abgeschlossen sein.1173 
618Art. 78 Abs. 3 DSGVO weist die Zuständigkeit für die genannten Verfahren gegen eine Aufsichtsbehörde den Gerichten desjenigen Mitgliedstaats zu, in dem die betroffene Aufsichtsbehörde ihren Sitz hat. Besonderheiten bei einem zuvor durchgeführten Kohärenzverfahren gem. Art. 63-66 DSGVO regelt Art. 78 Abs. 4 DSGVO.1174 
 b. Gegen Maßnahmen des Verantwortlichen (Art. 79 DSGVO) 
619Art. 79 Abs. 1 DSGVO statuiert das Recht jeder betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf, wenn diese der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht mit der Verordnung im Einklang stehenden Datenverarbeitung verletzt wurden, was zudem auch unabhängig von dem Beschwerderecht nach Art. 77 DSGVO sowie anderen verwaltungsgerichtlichen und außergerichtlichen Rechtsbehelfen gilt. Mithin intendiert die Vorschrift die Koexistenz mehrerer gerichtlicher und außergerichtlicher Verteidigungsmöglichkeiten des Betroffenen.1175 
620Der besondere Mehrwert durch die europäische Datenschutzreform für die betroffenen Personen ist in diesem Zusammenhang vor allem in Art. 78 Abs. 2 Satz 2 DSGVO zu erblicken.1176 Dieser gewährt dem Betroffenen grundsätzlich ein Wahlrecht dahingehend, Klagen gegen den Verantwortlichen bzw. Auftragsverarbeiter entweder bei dem Gericht des Mitgliedstaats zu erheben, in dem letztgenannter eine Niederlassung1177 hat, oder auch bei dem Gericht im Mitgliedstaat des gewöhnlichen1178 Aufenthaltsorts des Betroffenen. Als Aufenthaltsort ist dabei der Ort anzusehen, den der Betroffene als ständigen oder gewöhnlichen Mittelpunkt seines Lebensinteresses mit der Absicht gewählt hat, ihm Dauerhaftigkeit zu verleihen.1179 
621Für Behörden besteht nach Art. 79 Abs. 2 Satz 2 HS. 2 DSGVO ein solches Wahlrecht nicht, sofern diese in Ausübung hoheitlicher Befugnisse tätig geworden sind. In diesem Fall ist einzig auf das Gericht am Behördensitz im Mitgliedstaat abzustellen.1180 
622Ergänzend zu den vorgenannten, unionsrechtlichen Vorgaben in Bezug auf die internationale Gerichtszuständigkeit normiert – kompetenziell unbedenklich1181 – § 44 Abs. 1 BDSG im nationalen Recht örtliche Zuständigkeiten: zum einen den Gerichtsstand der Niederlassung des Verantwortlichen bzw. Auftragsverarbeiters, zum anderen des gewöhnlichen Aufenthaltsorts der betroffenen Person. Dem Betroffenen steht wiederum ein Wahlrecht zu, was jedoch nach § 44 Abs. 2 BDSG nicht für Behörden in Ausübung ihrer hoheitlichen Befugnisse gilt. 
 X. Die Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre in der elektronischen Kommunikation – ePrivacy-VO) 
 1. Zum Stand des Gesetzgebungsverfahrens 
623Das Ziel der zeitgleichen Geltungserlangung mit den Vorgaben der DSGVO konnte nicht erreicht werden. Zwischenzeitlich wird sogar davon ausgegangen, dass die ePVO nicht vor dem Jahr 2020 Geltung erlangen wird.1182 Unter Berücksichtigung, dass auch im Rahmen der ePVO von einer Übergangsfrist zwischen Inkrafttreten und Geltungserlangung auszugehen ist,1183 ist ein „[…] Ende der ‚unendlichen Geschichte e-Privacy-Verordnung […]‘ derzeit nicht in absehbar1184. 
623.1Da die Mitgliedstaaten auch nach drei Jahren intensiver Verhandlungen keine Einigung erzielen konnten, wurde der Gesetzgebungsprozess in Sachen ePVO im Dezember 2019 zwischenzeitlich abgebrochen (vgl. etwa Die Landesbeauftragte für den Datenschutz in Niedersachsen, E-Privacy-Verordnung, online abrufbar unter: https://lfd.niedersachsen.de/startseite/datenschutzreform/e_privacy_vo/entwurf-der-e-privacy-vo-159693.html, zuletzt abgerufen am 07.01.2020). In diesem Zusammenhang stellte Digitalkommissar Breton im Rahmen einer Pressekonferenz vom 03.12.2019 allerdings klar, dass das Gesetzgebungsverfahren damit nicht in der Gänze gescheitert sei, vielmehr sei nunmehr die Konsultation der einzelnen Beteiligten innerhalb des Gesetzgebungsverfahrens erforderlich (Breton, Pressekonferenz vom 03.12.2019, online abrufbar unter: https://newsroom.consilium.europa.eu/events/20191203-transport-telecommunications-and-energy-council-telecommunications-december-2019/126071-4-press-conference-part-4-q-a-20191203, zuletzt abgerufen am 07.01.2020). Ob und wann die ePVO damit Rechtswirklichkeit wird, bleibt damit weiterhin fraglich.
Aktualisierung vom 07.01.2020
!
624Mit Blick darauf, dass eine finale Fassung der ePVO noch nicht vorliegt, sollen die nachfolgenden Kommentierungen einen ersten Überblick über die angestrebten Regelungen bieten. Dabei gilt es allerdings zu berücksichtigen, dass im Laufe der Trilog-Verhandlungen mit zahlreichen Änderungen zu rechnen ist. Sobald die finale Fassung der ePVO vorliegt, erfolgt ein umfassendes Update der nachfolgenden Kommentierung. 
 2. Sinn und Zweck der ePVO 
625Die ePVO ist ein maßgeblicher Baustein der Strategie für einen digitalen Binnenmarkt1185 und soll dazu beitragen, das Vertrauen der Bürger in die digitalen Dienste zu erhöhen, die Sicherheit der erfassten elektronischen Kommunikationsdienste zu verbessern sowie einheitliche Wettbewerbsbedingungen für alle Teilnehmer im Binnenmarkt zu gewährleisten.1186 
626Ziel der ePVO ist es, flankierend zur DSGVO, ein einheitliches europäisches Datenschutzniveau bei der Nutzung von elektronischen Kommunikationsdiensten zu gewährleisten und die DSGVO um die entsprechenden unionsrechtlichen Datenschutzstandards im Bereich der Internetdienstleistungen zu ergänzen. Wesentliche Neuerungen enthält der Entwurf dabei etwa im Bereich der Nutzerdatenanalyse, des E-Mail-Marketings sowie vor allem für die rechtskonforme Verwendung von sogenannten Cookies (vgl. dazu auch Rn. 131 ff.).1187 
 3. Regelungsgegenstand der ePVO 
627Gegenstand der ePVO ist die Verarbeitung elektronischer Kommunikationsdaten durch Betreiber elektronischer Kommunikationsdienste. Eine Verarbeitung dieser Daten ist nach den Vorgaben der Verordnung nur erlaubt, wenn die dort normierten Voraussetzungen vorliegen.1188 Im Gegensatz zur DSGVO kommt es bei der ePVO nicht auf den Personenbezug der Daten an.1189 
628Mithin handelt es sich um eine bereichsspezifische datenschutzrechtliche Regulierung der elektronischen Kommunikation, sodass bereits davon gesprochen wird, dass die ePVO das „Internet als solches in ein neues Datenschutzgewand [kleide]“1190. 
 a. Abgrenzung zu den Vorgaben der DSGVO 
629Mit Blick auf das Verhältnis zur Datenschutz-Grundverordnung (DSGVO)1191 lässt sich vorab allerdings festhalten, dass die ePVO in weiten Teilen ein gänzlich anderes Schutzobjekt aufweist als das allgemeine Datenschutzrecht: Im Fokus steht der Schutz des durch Art. 7 Var. 4 der Charta der Europäischen Menschenrechte garantierten Fernmeldegeheimnisses (vgl. dazu Rn. 25 ff.).1192 
630Erwägungsgrund 5 der ePVO stellt dabei klar, dass die Vorgaben der DSGVO präzisiert und ergänzt werden sollen. Es herrscht somit ein Spezialitätsverhältnis, wobei die ePVO immer dann zur Anwendung gelangt, wenn die der DSGVO unterfallenden personenbezogenen Daten zugleich elektronische Kommunikationsdaten sind.1193 Dabei wird in der Verordnung selbst an einigen Stellen auf die DSGVO verwiesen. 
631Fraglich ist daher, ob die DSGVO immer ergänzend herangezogen werden kann, also auch dann, wenn die ePVO dies nicht ausdrücklich vorsieht,1194 oder nur dann, wenn die Verordnung auf sie verweist.