Auswirkungen der Datenschutzgrundverordnung auf die Pflichten des Verantwortlichen im nicht-öffentlichen Bereich

INHALTSVERZEICHNIS

ABKÜRZUNGSVERZEICHNIS

A EINLEITUNG

I RÜCKBLICK
II EU-DATENSCHUTZREFORM
III ZIELSETZUNG

B GRUNDLAGEN DER DATENSCHUTZGRUNDVERORDNUNG

I ZIELE UNDGEGENSTAND
II TERRITORIALERANWENDUNGSBEREICH– EINFÜHRUNG DESMARKTORTPRINZIPS
III SACHLICHERANWENDUNGSBEREICH
IV UMSETZUNG: ÖFFNUNGSKLAUSELN, DSANPUG & BDSG-NEU

C DIE GRUNDSÄTZE DER DATENVERARBEITUNG

I GRUNDSÄTZE FÜR DIEVERARBEITUNG PERSONENBEZOGENERDATEN

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung
3. Datenminimierung
4. Richtigkeit
5. Speicherbegrenzung
6. Integrität und Vertraulichkeit
7. Rechenschaftspflicht

II RECHTMÄßIGKEIT DERVERARBEITUNG

1. Verarbeitung aufgrund Einwilligung
2. Verarbeitung zur Vertragserfüllung

III BEDINGUNGEN AN DIEEINWILLIGUNG

1. Voraussetzungen

a) Freiwilligkeit 26
b) Informiertheit (Art. 12 i.V.m. Art. 13, 14 DSGVO)
aa) Informationspflichten
bb) Besonderheiten zusammengesetzter Erklärungen
cc) Zeitpunkt und Umstände der Informationspflicht
dd) Entfallen der Informationspflicht
c) Bestimmtheit
d) Form
e) Zeitpunkt und Dauer
f) Einwilligungsfähigkeit
g) Vertretung

2. Beweislast

3. Widerruf

4. Fortgeltung von Alteinwilligungen

D AUSWIRKUNGEN DER DATENSCHUTZGRUNDVERORDNUNG AUF DIE PFLICHTEN DES VERANTWORTLICHEN

I TECHNISCHE UND ORGANISATORISCHEMAßNAHMEN

1. Sicherheit der Verarbeitung

2. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

a) Datenschutz durch Technikgestaltung (Privacy by Design)
b) Datenschutz durch Voreinstellungen (Privacy by Default)

II DIEDATENSCHUTZ-FOLGENABSCHÄTZUNG

1. Erforderlichkeit einer Datenschutz-Folgenabschätzung

a) Relevanzschwelle „voraussichtlich hohes Risiko“
b) Positiv- & Negativliste der Aufsichtsbehörden
c) Fälle zwingender Datenschutz-Folgenabschätzungen

2. Ablauf & Inhalt der Datenschutz-Folgenabschätzung

a) Die 4 Phasen der Datenschutz-Folgenabschätzung
b) Weitere organisatorische Informationen zum Ablauf der DSFA
c) Konsultationspflicht

III DERDATENSCHUTZBEAUFTRAGTE

1. Benennung eines Datenschutzbeauftragten

a) Bestellpflicht
b) Konzerndatenschutzbeauftragter
c) Anforderungsprofil des Datenschutzbeauftragten

2. Stellung und Aufgaben des Datenschutzbeauftragten

IV DAS VERARBEITUNGSVERZEICHNIS

1. Bisherige Rechtslage
2. Änderungen nach der DSGVO

V SICHERSTELLUNG DERBETROFFENEN-RECHTE

1. Auskunftsrecht der betroffenen Person

a) Recht auf Auskunft und auf Erhalt einer Kopie
b) Beschränkung durch das BDSG

2. Recht auf Berichtigung und Vervollständigung

3. Recht auf Löschung und „Recht auf Vergessenwerden“

a) Recht auf Löschung
b) Recht auf „Vergessenwerden“
c) Ausnahmen vom Löschungsanspruch und Beschränkungen durch das BDSG

4. Recht auf Einschränkung der Verarbeitung

5. Recht auf Datenübertragbarkeit

6. Widerspruchsrecht

a) Widerspruchsrechte nach Art. 21 Abs. 1, 2 und 6 DSGVO
b) Hinweispflicht des Verantwortlichen

7. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

a) Verbot automatisierter Entscheidungen
b) Ausnahmen vom Verbot unter strengen Voraussetzungen

8. Rahmenregelungen im Zusammenhang mit den Betroffenenrechten

a) Form und Sprache
b) Pflicht zur Erleichterung der Ausübung der Betroffenenrechte
c) Fristen zur Unterrichtung
d) Entgelt für Betroffenenrechte und Missbrauchsabwehr
e) Identifizierungszweifel und Verweigerungsrecht

VI MELDEPFLICHT BEIVERLETZUNG DESSCHUTZES PERSONENBEZOGENERDATEN

1. Meldung an Aufsichtsbehörde

a) Voraussetzungen und Frist der Meldung
b) Inhalt der Meldung und Dokumentationspflicht des Verantwortlichen

2. Benachrichtigung an die betroffene Person

E ZUSAMMENFASSUNG UND ABSCHLIEßENDE BETRACHTUNGEN

LITERATURVERZEICHNIS

VERZEICHNIS DER INTERNETQUELLEN

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

A Einleitung

„Man wird völlig allein gelassen und reimt sich das alles irgendwie zusammen. Keine Ah- nung, ob das am Ende richtig ist.“¹

Ewald Dotzauer, Webshop-Betreiber

Die Rolle des Datenschutzes nimmt seit der Entwicklung der Digitaltechnik und der damit verbundenen Datenerfassung, -speicherung und -übertragung stets an Bedeutung zu und ist in der heutigen Zeit nicht mehr wegzudenken. Dabei sind es vor allem Begriffe wie „Vor- ratsdatenspeicherung“, „Whistleblower“ oder „Hackerangriff“, die zuletzt des Öfteren in unseren Medien zu hören waren. All diese Begriffe haben gemein, dass bestimmte Daten von einer Partei – meist gegen den Willen einer anderen Partei – verarbeitet werden. Daten allein sind dabei jedoch zunächst völlig bedeutungslos, sie stellen lediglich eine Folge von Zeichen dar. Und dennoch, oder gerade deshalb, sind sie so schützenswert. Sie werden be- nötigt, um aus ihnen Informationen zu gewinnen. Sie stellen gewissermaßen das erste Glied und damit den Ursprung in der Kette der Verarbeitung dar, in deren weiteren Verlauf die Informationen, Wissen und schließlich auch damit verbundene Handlungen folgen können.

Wie wichtig Daten und ihre Verarbeitung zu Informationen sein können, zeigt ein Blick in die Geschichtsbücher, als zu Beginn der 30er Jahre Franzosen, Briten und Polen versuchten, die deutsche „Enigma“-Maschine zur Verschlüsselung des Nachrichtenverkehrs des deut- schen Militärs zu entschlüsseln. Zwar konnten die verschlüsselten Nachrichten – also die Daten – abgefangen werden, jedoch konnten sie aufgrund der Verschlüsselungsqualität der Maschine nicht zu einem Text und somit auch nicht zu Informationen verarbeitet werden. Erst als es den Briten unter der Führung des heute berühmten Alan Turing 1942 gelang, sämtliche Verschlüsselungssysteme der Enigma zu knacken, konnten die Alliierten ent- scheidend in den Kriegsverlauf eingreifen. Der Einfluss auf den Krieg war so groß, dass die- ser Experten zufolge um mehrere Jahre verkürzt werden konnte und dadurch vermutlich mehreren Millionen Menschen das Leben gerettet wurde. Andere Historiker und Befehls- haber (darunter der spätere US-Präsident Dwight D. Eisenhower) vermuten hingegen so- gar, dass die aufgrund der erfolgreichen Entzifferung gewonnenen nachrichtendienstlichen Erkenntnisse entscheidend für den Sieg der Alliierten waren.² Auch wenn jenes Beispiel zugegebenermaßen den Extremfall in Bezug auf die Verarbeitung von Daten darstellt, so verdeutlicht es dennoch, welchen Wert die Daten fremder Organisationen für Dritte haben können. Aus gutem Grund werden Daten jeglicher Art heutzutage durch zahlreiche Gesetze geschützt, von denen nachfolgend die historisch bedeutendsten dargestellt werden sollen.

I Rückblick

Das erste und formal älteste Datenschutzgesetz der Welt erließ das Land Hessen im Jahr 1970.³Das Gesetz, welches in abgeänderter Form auch heute noch rechtsgültig ist, be- stimmt, in welchen Fällen die öffentliche Verwaltung personenbezogene Daten verarbeiten darf und welche Vorgaben dabei zu beachten sind. Dadurch sollte sichergestellt werden, dass die Personen, deren Daten verarbeitet werden, nicht in ihrem Recht auf informatio- nelle Selbstbestimmung verletzt werden.⁴

Im Jahr 1977 folgte die Bundesrepublik mit demBundesdatenschutzgesetz(BDSG) – dem auf Bundesebene wohl bekanntesten deutschen Regelwerk zum Datenschutz, welches zu- nächst die Regelung mit personenbezogenen Daten, sowohl in Informations- und Kommu- nikationssystemen als auch in manueller Verarbeitung zum Ziel hatte und in den Jahren 2003 und 2009 mehrere große Novellierungen erfuhr. Der vermeintliche Grundstein des Datenschutzes wurde in Deutschland allerdings erst im Jahre 1983 durch das Bundesver- fassungsgericht im so genannten „Volkszählungsurteil“ gelegt. Anlass des Verfahrens war eine von der Regierung geplante Volkszählung in Form einer Totalerhebung, bei der ver- schiedene persönliche Daten gespeichert werden sollten.⁵Nach zahlreichen Protesten und mehreren damit einhergehenden Verfassungsbeschwerden, lautete die Kernaussage des Bundesverfassungsgerichts wie folgt: „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbe- grenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu be- stimmen.“⁶Damit etablierte das Gericht mit seinem Urteil, das heute als Meilenstein⁷im Datenschutzrecht angesehen wird, das Recht auf informationelle Selbstbestimmung, das aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG) sowie der Menschenwürde (Art. 1 Abs. 1 GG) abgeleitet wird und stellt damit unmissverständlich klar, dass Daten- schutz ein Grundrecht ist und Einschränkungen dieses Rechts einer verfassungsgemäßen gesetzlichen Grundlage bedürfen.⁸

Auf der anderen Seite erkannte das Gericht zugleich, dass jenes Recht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet ist:„Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über "seine" Daten. [...] Grundsätz- lich muss [...] der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestim- mung im überwiegenden Allgemeininteresse hinnehmen."Infolge des Urteils mussten zahl- reiche Gesetze den verfassungsrechtlichen Anforderungen angepasst werden, z.B. durch Schaffung und Präzisierung von Ermächtigungsgrundlagen oder Ergänzungen von Daten- schutzvorkehrungen, sodass die Volkszählung erst vier Jahre später, im Jahr 1987, abgehal- ten werden konnte.⁹

Schon vor Verabschiedung des BDSG kam der Europarat 1976 zum Schluss, dass die bis dahin bestehenden nationalen Rechtsprechungen als auch die Europäische Menschen- rechtskonvention Einzelpersonen nicht ausreichend davor schützen konnten, dass ihre per- sonenbezogenen Daten automatisch gesammelt, gespeichert, verarbeitet und weitergege- ben wurden.¹⁰Zudem war eine Angleichung der nationalen Datenschutzregelungen vorge- sehen, die aufgrund des damals stark zunehmenden grenzüberschreitenden Austauschs personenbezogener Daten im EU-Raum notwendig wurde.¹¹Infolge dessen erließ der Rat im Jahr 1981 die „Europäische Datenschutzkonvention“als erstes zwischenstaatliches Da- tenschutzabkommen¹²(offiz. Bez.: „Übereinkommen zum Schutz des Menschen bei der au- tomatischen Verarbeitung personenbezogener Daten“). Es sollte in den 5 Vertragsstaaten und für deren Einwohner ab 1985 sicherstellen, dass ihre Rechte und Grundfreiheiten, ins- besondere das Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbei- tung personenbezogener Daten geschützt werden. Die Unterzeichner-Staaten verpflichte- ten sich deshalb, nationale Datenschutzgesetze zu erlassen, die auf den Prinzipien der Kon- vention beruhen. Deutschland gehörte zu den fünf Erstunterzeichnern der Konvention. Stand heute wurde die Datenschutzkonvention bereits von 46 der 47 Staaten des Europa- rates ratifiziert, darunter alle 28 Staaten der EU. Die Datenschutzkonvention wurde im Jahr 2001 durch ein Zusatzprotokoll erweitert, welches die Staaten verpflichtet, unabhängige Kontrollstellen zu schaffen, die darüber wachen, dass der Datenschutz eingehalten wird. Darüber hinaus erlaubt es den Datenverkehr mit Drittstaaten nur, wenn diese über ein ent- sprechendes Datenschutzniveau verfügen.¹³

Der nächste große Schritt im Datenschutzrecht war die 1995 von der Europäischen Gemein- schaft erlassene „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (im Folgenden: DSRL), welche die Mindeststandards für den Schutz personenbezogener Daten in den EU-Mitgliedstaaten festlegte und sich in Deutschland zu großen Teilen im Bundesdatenschutzgesetz nieder- schlug. So durften personenbezogene Daten bis auf wenige Ausnahmen nur noch dann ver- arbeitet werden, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung hierfür erteilt hatte. Zudem räumte die Richtlinie Personen, deren Daten weiterverarbeitet wur- den, das Recht ein, Widerspruch gegen die Verarbeitung der Daten einzulegen. Im Jahr 2002 wurde die DSRL durch die „Richtlinie 2002/58/EG für elektronische Kommunikation“ (auch: „ePrivacy-Richtlinie“) ergänzt, die die Sicherheit und Vertraulichkeit der elektroni- schen Kommunikation gewährleisten soll.

Ein weiteres bedeutsames Regelwerk zum Datenschutz, welches in dieser Aufzählung nicht fehlen darf, ist die im Jahr 2000 von der Europäischen Union proklamierteCharta der Grundrechte, die in Art. 7 („Jede Person hat das Recht auf Achtung ihres Privat- und Fami- lienlebens, ihrer Wohnung sowie ihrer Kommunikation“) und Art. 8 Abs. 1 („Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“) den Daten- schutz auf Ebene der Europäischen Union erstmals ausdrücklich als Grundrecht anerkennt. Rechtskraft erlangte dieEU-Grundrechtecharta(GRC) jedoch erst mit Unterzeichnung desVertrages von Lissabonim Dezember 2009.

Daneben existieren zahlreiche weitere Gesetze zum Datenschutzrecht, wie die „Richtlinie 97/66/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation“(auch bekannt als „ISDN-Richtlinie“), die im Jahr 2000 verabschiedete „Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Ver- arbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft[…]“, oder die „Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten“[…], die an dieser Stelle jedoch nicht weiter vertieft werden sollen.

II EU-dATENSCHUTZREFORM

2009 begann die Kommission mit der Überprüfung des derzeitigen Rechtsrahmens für den Datenschutz. Im Jahr 2010 verkündete sie daraufhin, die EU-Datenschutzpolitik moderni- sieren zu wollen und stellte noch im selben Jahr eine entsprechende Strategie vor, die den Schutz der Daten des Einzelnen stärken, gleichzeitig den bürokratischen Aufwand sowie den daraus entstehenden Kosten für Unternehmen vermindern und den freien Verkehr von Daten in der EU gewährleisten solle.¹⁴Am 25. Januar 2012 schlug die Europäischen Kom- mission sodann eine umfassende Reform der aus dem Jahr 1995 stammenden EU-Daten- schutzvorschriften vor.¹⁵In der von der Kommission herausgegebenen Pressemitteilung hieß es, dass der technische Fortschritt und die Globalisierung die Art und Weise, wie Daten erhoben, abgerufen und verwendet werden, grundlegend verändert hätte. Zudem hätten die 27 Mitgliedstaaten der EU die Vorschriften von 1995 sehr unterschiedlich umgesetzt, was zu großen Unterschieden bei ihrer Durchsetzung geführt hätte. Das Datenschutzrecht solle daher durch ein einheitliches Gesamtregelwerk EU-weit harmonisiert werden. Die Kommission führte zudem aus, dass sie zur Erreichung dieser Ziele und insbesondere zur Festlegung eines gemeinsamen Datenschutz-Rechtsrahmens in der EU plane, zur Festle- gung eines allgemeinen Datenschutz-Rechtsrahmens der EU den Gesetzgebungsakt einer Verordnung zu wählen, welche in den Mitgliedsstaaten im Gegensatz zur DSRL dann unmit- telbar, d.h. ohne weitere Umsetzungsakte, wirksam wäre.¹⁶ Parallel dazu solle auch eine Richtlinie erlassen werden, welche spezielle Regeln für den Schutz personenbezogener Da- ten bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, d.h. die zum Zwe- cke der Verhütung, der Aufdeckung, der Untersuchung oder der Verfolgung von Straftaten und den damit verbundenen justiziellen Tätigkeiten, enthalten soll.¹⁷

Am 15. Dezember 2015, nach mehreren Jahren zäher Verhandlungen – u.a. scheiterte ein Entwurf der irischen Ratspräsidentschaft sowie zahlreiche Vorschläge des Europäischen Parlaments am Veto des EU-Ministerrats¹⁸– einigten sich der EU-Ministerrat, das Europäi- sche Parlament und die Europäischer Kommission im Rahmen des sogenannten Trilogs auf einen politischen Kompromiss, welcher am 14. April 2016 vom europäischen Parlament verabschiedet wurde.¹⁹Am 04. Mai 2016 ist die „Verordnung (EU) 2016/679 des Europäi- schen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung per- sonenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz „Datenschutzgrundverordnung“ (oft auch: Datenschutz-Grundverord-nung, nachfolgend: DSGVO) sodann im Amtsblatt der Europäischen Union veröffentlicht worden und am 25. Mai 2016 in Kraft getreten. Sie gilt ab dem 25. Mai 2018 europaweit verbindlich in sämtlichen EU-Mitgliedstaaten unmittelbar für nat. und jur. Personen, Be- hörden, Einrichtungen und andere Stellen und wird das bisher in Deutschland geltende Da- tenschutzrecht des BDSG aF umfassend und grundlegend ändern.²⁰

III Zielsetzung

Da die Verarbeitung – sei es die Erhebung, das Speichern oder die Übermittlung – von Da- ten dank der Digitaltechnik zunehmend einfacher geworden ist und es durch die dadurch entstandenen Möglichkeiten auch zu einem quantitativen Anstieg von Datenverarbeitun- gen gekommen ist, werden mit jedem neuen Gesetz, das zum Datenschutz verabschiedet wird, auch neue Regularien eingeführt, die jene Möglichkeiten aufgreifen und in eine „da- tenschutzrechtliche Verpackung“ einführen. Das wiederum führt dazu, dass Unternehmen, die Daten verarbeiten, auch mit jedem Gesetz neue Verpflichtungen und Obliegenheiten wahrnehmen und umsetzen müssen, um nicht, wie im Falle der neuen Datenschutzgrund- verordnung, Sanktionen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes zah- len zu müssen.

Ziel dieser Arbeit ist es deshalb, die Auswirkungen der DSGVO auf die Pflichten des Verant- wortlichen im nicht-öffentlichen Bereich²¹, sprich von privatrechtlichen Unternehmen, auf- zuzeigen und anhand dessen darzustellen, was Unternehmen im Rahmen der Einführung der Verordnung verändern, beachten oder umsetzen müssen.²²Da der gesetzliche Status quo vor Einführung der DSGVO dem der Datenschutzrichtlinie aus dem Jahr 1995 sowie dem zugehörigen Bundesdatenschutzgesetz entsprach, werden hierfür insbesondere die sich im Vergleich zu diesen beiden Regelwerken ergebenden Änderungen untersucht. Eine Ausnahme bildet in diesem Kontext nur die eigentliche Datenverarbeitung, genauer: die Grundsätze der Datenverarbeitung aus Art. 5 ff. DSGVO, bei denen eben nicht nur die Än- derungen betrachtet werden sollen. Diese sollen, da sie bei jeder Datenverarbeitung be- rücksichtigt werden müssen und ihnen deshalb eine besondere Bedeutung zukommt, viel- mehr in ihrer Gesamtheit untersucht werden um damit anschaulich zu machen, was der Verantwortliche bei der Datenverarbeitung berücksichtigen muss. Zu Beginn jedoch sollen zunächst einmal die wichtigsten Grundlagen der Verordnung, die für den Rest der Unter- suchung notwendig sind, kurz und knapp dargestellt werden.

Daraus folgt, dass diese Arbeit in drei Hauptteile gegliedert wird: Erstens die Grundlagen der Verordnung (Gegenstand, Anwendungsbereich, Umsetzung), zweitens die Grundsätze der Datenverarbeitung (hier insb. die Einwilligung, die als Herzstück der Datenverarbeitung gilt) und drittens die wesentlichsten Änderungen der Verordnung im Vergleich zur DSRL, die Auswirkungen auf die Pflichten des Verantwortlichen bei der Handhabung von perso- nenbezogenen Daten im nicht-öffentlichen Bereich haben.

B Grundlagen der Datenschutzgrundverordnung

I Ziele und Gegenstand

„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten und zum freien Verkehr solcher Daten“ und „[…] schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ lauten Art. 1 Abs. 1 und 2 der neuen Datenschutz- grundverordnung. Vergleicht man jene Absätze mit Art. 1 Abs. 1 der Datenschutzrichtlinie („die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre na- türlicher Personen bei der Verarbeitung personenbezogener Daten“), halten sich Änderun- gen im Bereich des Gegentandes ohne Zweifel in Grenzen. Der Inhalt der DSGVO hat sich mit ihren 99 Artikeln gegenüber den 34 der DSRL aus dem Jahr 1995 indes fast verdreifacht. Mindestens genauso opulent sind die (173) Erwägungsgründe ausgefallen, die mit ihren 31 Seiten mehr als ein Drittel des kompletten Veröffentlichungsumfangs ausmachen.²³

Einen Aufschluss über die Ursache dieser Entwicklung erhält man derweil mit Blick in die- selben: Nach ErwGr (6) und (7) der Verordnung, erfordern rasche technologische Entwick- lungen und die Globalisierung, die dazu führen, dass das Ausmaß der Erhebung und des Austauschs personenbezogener Daten eindrucksvoll zugenommen haben und den Daten- schutz vor eine neue Herausforderung stellen würden, einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes, „da es von großer Wich- tigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können.“

Nach ErwGr (9) heißt es weiter, dass die Ziele und Grundsätze der Richtlinie 95/46/EG zwar nach wie vor ihre Gültigkeit besitzen, jene Richtlinie jedoch nicht hätte verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird oder Rechtsunsicher- heit besteht würde. Zudem können Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbe- zogener Daten in den Mitgliedstaaten, den unionsweiten freien Verkehr solcher Daten be- hindern. Diese Unterschiede, welche sich durch Unterschiede bei der Umsetzung und An- wendung der Richtlinie 95/46/EG erklären, „können daher ein Hemmnis für die unions- weite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hin- dern.“

ErwGr (10) besagt zudem, dass das Schutzniveau für die Rechte und Freiheiten von natür- lichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein sollte und die Vorschriften unionsweit gleichmäßig und einheitlich angewandt werden sollten, um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu ge- währleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen. Dafür sei nach ErwGr (13) „eine Verordnung erforderlich, die für die Wirt- schaftsteilnehmer […] Rechtssicherheit und Transparenz schafft, natürliche Personen in al- len Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, diesel- ben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vor- sieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden (ASB) der einzelnen Mitgliedstaaten gewährleistet.“

Die Verordnung verfolgt nach Betrachtung dieser Erwägungsgründe also drei wesentliche Ziele: Erstens die Anpassung an den Stand der heutigen Gegebenheiten hinsichtlich der Art und Weise der Datenverarbeitung, da die durch den Fortschritt gewonnenen Möglichkei- ten in der Datenverarbeitung, die es privaten Unternehmen und Behörden im Rahmen ih- rer Tätigkeiten ermöglicht, in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen,²⁴ dazu führen, dass dem Datenschutz eine wesentlich bedeutsamere Rolle zukommt, als noch vor 23 Jahren. Zweitens eine durch die Gesetzgebungsform der Verordnung EU-weit angestrebte Harmonisierung der Vorschriften, um ein unionsweit ein- heitliches Datenschutzniveau bei der Verarbeitung von Daten natürlicher Personen sicher- zustellen. Und drittens einen unionsweiten freien Verkehr solcher Daten, da das Unions- recht die Verwaltungen der Mitgliedstaaten verpflichtet, zusammenzuarbeiten und perso- nenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.

II Territorialer Anwendungsbereich - Einführung des Marktortprinzips

Eine der wohl gewichtigsten materiellen Änderungen der DSGVO betrifft den geographi- schen Anwendungsbereich der Verordnung. Bisher fiel eine Verarbeitung von Daten natür- licher Personen nur dann in den Anwendungsbereich der DSRL, wenn sowohl die be- troffene Person als auch das verarbeitende Unternehmen ihren Sitz in der EU haben, un- abhängig davon, ob die Datenverarbeitung in der EU oder außerhalb der EU stattfindet. Man spricht insofern auch vom sog. Sitzprinzip. Jenes Sitzprinzip wird nun in Art. 3 Abs. 2 DSGVO durch das sog. Marktortprinzip erweitert. Danach findet die Verordnung künftig auch auf datenverarbeitende Stellen Anwendung, die keine Niederlassung in der EU haben, deren Datenverarbeitung aber Personen in der EU betrifft, soweit sie Waren oder Dienst- leistungen entgeltlich oder unentgeltlich in der EU anbieten (Art. 3 Abs. 2 Buchst. a) oder die Datenverarbeitung im Zusammenhang damit steht, das Verhalten betroffener Perso- nen – bspw. durch „Profiling“, d.h. die Erstellung, Aktualisierung und Verwendung von Pro- filen, durch Sammlung von Daten sowie deren anschließende Analyse und Auswertung – zu beobachten (Art. 3 Abs. 2 Buchst. b).²⁵²⁶

Dass nach der Vorschrift in ihrer neuen Form nun also auch Unternehmen betroffen sind, die keinen Sitz in der EU haben und lediglich unentgeltliche Dienstleistungen anbieten, mag auf den ersten Blick etwas überzogen wirken, hat jedoch den Hintergrund, dass die Nutzer zahlreicher Internetdienste von Suchmaschinenbetreibern wie Google oder sozialer Netz- werke à la Facebook typischerweise kein (monetäres) Entgelt entrichten. Vielmehr „zahlt“ der Kunde in jenen sog. „two-sided-markets“ mit seiner Aufmerksamkeit gegenüber Wer- bung und/oder mit seinen Daten, weshalb es für EU-Kommission unerlässlich war, auf die- sen Ansatz zu verzichten. Um dem Marktortprinzip auch praktisch zur Geltung zu verhelfen, legt die DSGVO in Art. 27 Verantwortlichen und Auftragsverarbeitern, die in der Union keine Niederlassung haben, auf, einen Vertreter zu benennen.²⁷

Der EuGH hatte das Marktortprinzip mit seiner Entscheidung im heute berühmten „Google- Spain-Urteil“ ²⁸teilweise schon vorweggenommen. Das Gericht hatte in jenem Fall festge- stellt, dass sich der Suchmaschinengigant nicht mit dem Argument aus der Verantwortung ziehen kann, die Verarbeitung von (personenbezogenen) Daten finde aufgrund des Server- standortes in den USA nicht in einem Mitgliedstaat statt, weshalb die DSRL keine Anwen- dung finden würde. Mit der DSGVO fallen nun aber auch eindeutig Anbieter ohne Nieder- lassung in der Union unter das europäische Datenschutzrecht. Entscheidend ist allein, ob die datenverarbeitende Stelle die Absicht hat, sich an Verbraucher in der EU zu wenden.²⁹

III Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich der DSGVO ist im Falle der Verarbeitung personenbezo- gener Daten natürlicher Personen (Art. 2 Abs. 1 DSGVO i.V.m. Art. 1 Abs. 1 DSGVO) eröff- net.³⁰Doch wann handelt es sich eigentlich um personenbezogene Daten, und wann um deren Verarbeitung? Art. 4 Nr. 1 der Verordnung definiert personenbezogene Daten als all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Ausreichend ist es also, wenn die Informationen einer Per- son zugeordnet und damit ein Personenbezug hergestellt werden kann. Nr. 2 des gleichen Artikels beschreibt die Verarbeitung sodann als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […].“ Anschließend werden diese Vorgänge in allen Phasen des Umgangs mit einer Reihe von Beispielen in einer nicht abschließenden Aufzählung wie folgt illustriert: „ […] das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offen- legung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Ab- gleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ - eben jeden Vorgang, der im Zusammenhang mit personenbezogenen Daten ausgeführt wird.

Neben der Aufzählung in Art. 2 Abs. 2 DSGVO, welche beschreibt, wann die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten findet (etwa durch na- türliche Personen zur Ausübung persönlicher oder familiärer Tätigkeiten), gibt es eine wei- tere Einschränkung, die es zu beachten gilt: So unterscheidet Art. 2 Abs. 1 der Verordnung zwischen der ganz bzw. teilweise automatisierten Verarbeitung personenbezogener Daten und der nichtautomatisierten, also z.B. einer handschriftlichen Verarbeitung personenbe- zogener Daten. Während die automatisierten Verarbeitungsmethoden stets unter den An- wendungsbereich der Verordnung fallen, ist dies bei nichtautomatisierten Verarbeitungs- verfahren nur dann der Fall, wenn die betreffenden personenbezogenen Daten in einem „Dateisystem“ gespeichert sind oder gespeichert werden sollen. Dieses „Dateisystem“ ist nach Art. 4 Nr. 6 DSGVO eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, nach welchen Kriterien das Datei- system geordnet ist.³¹Die DSRL hatte hierzu bereits festgestellt, dass auch Akten unter den Begriff des Dateisystems fallen, sofern der Inhalt der Akte nach bestimmten Kriterien ge- ordnet ist, die einen leichten Zugriff auf die Daten ermöglichen. Gänzlich unstrukturierte Akten sind demnach vom Anwendungsbereich der Verordnung ausgenommen.³²

IV Umsetzung: Ӧffnungsklauseln, DSAnpUG & BDSG-neu

Wie der Name des Gesetzgebungsaktes schon vermuten lässt, handelt es sich bei der DSGVO um eine Verordnung. Eine EU-Verordnung besitzt nach Art. 288 Abs. 2 AEUV allge- meine Geltung, wird mit ihrem Inkrafttreten Teil der Rechtsordnung eines jeden Mitglieds- staats und ist demnach auch ohne nationalen Umsetzungsakt unmittelbar in diesen ver- bindlich.³³Dennoch stellt die Verordnung in der Sache eher einen Hybrid aus Verordnung und Richtlinie dar: In 45 Bestimmungen des verfügenden Teils der DSGVO, also fast der Hälfte der Vorschriften und in mehr als 70 Fällen insgesamt, finden sich Öffnungsklauseln wieder, welche den Mitgliedstaaten enormen Spielraum für abweichende Vereinbarungen schaffen, die es den nationalen Gesetzgebern erlauben, auch künftig eigene nationale Re- gelungen zu treffen. Einige der Öffnungsklauseln enthalten gar Regelungsaufträge an die Mitgliedstaaten, ohne deren Umsetzung die Verordnung nicht vollzugsfähig ist. Nicht zu- letzt deshalb wird die DSGVO auch als „Richtlinie im Verordnungsgewand“ bezeichnet, da sie als Grundverordnung ergänzungsbedürftig ist und den Datenschutz nur im Grundsatz abschließend regelt.³⁴³⁵Die Verordnung strebt durch diese Öffnungsklauseln eine Ko-Re- gulierung des Datenschutzes durch Union und Mitgliedsstaaten an. Dies führt jedoch auch dazu, dass die Verordnung auf die ergänzenden Regelungen der nationalen Gesetzgeber angewiesen ist, um der Verordnung zur Durchsetzung zu verhelfen. Dementsprechend muss auch der deutsche Gesetzgeber die Regelungsspielräume, welche die Verordnung ihm bietet, dafür nutzen, um diese durch konkrete Vorschriften vollzugsfähig zu machen und ihr durch Präzisierungen Rechtssicherheit zu verleihen.³⁶

Um dies zu ermöglichen, hat die Bundesregierung bereits am 12. Mai 2017 das „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“, kurz „Datenschutz-Anpassungs- und -Umsetzungsgesetz“ (DSAnpUG), erlassen.³⁷ Das DSAnpUG ist ein sogenanntes „Artikel- oder „Mantelgesetz“, also ein Gesetz, das gleichzeitig mehrere (Änderungs-) Gesetze in sich vereint, die in einem bestimmten Sachzusammenhang miteinander stehen.³⁸Der erste der acht enthaltenen Ar- tikel (Gesetze) des DSAnpUG stellt zugleich das BDSG in seiner neuen Fassung dar, wie es ab dem 25.05.2018, also zeitgleich mit der DSGVO, in Kraft getreten ist. Dieses im Eingang bereits erwähnte Regelwerk zum Datenschutz, welches zuvor bereits die Umsetzung der DSRL in der Bundesrepublik Deutschland zum Ziel hatte, soll künftig die Regelungsaufträge und Gestaltungsspielräume der Öffnungsklauseln der DSGVO zum Umgang der Verarbei- tung personenbezogener Daten in nationales Recht umsetzen, d.h. präzisieren, ausfüllen und ergänzen. Die offizielle Abkürzung des neuen Bundesdatenschutzgesetzes, welches das bis Ende Mai 2018 geltende Bundesdatenschutzgesetz der alten Fassung vollständig ablö- sen und aufheben wird, wird auch weiterhin „BDSG“ lauten. Um die Gefahr einer Verwechs- lung des alten mit dem neuen BDSG zu vermeiden, wird für das künftige BDSG im Folgen- den die Abkürzung „BDSG-neu“ verwendet.

Obwohl dem BDSG-neu im Gegensatz zum BDSG aF lediglich eine Ergänzungsfunktion zur DSGVO hinzukommt, steigert sich der Umfang des Werks von 48 Paragraphen im BDSG aF auf 85 Paragraphen im neuen BDSG. Eingeteilt ist das BDSG-neu in 4 Teile, von denen für die weitere Untersuchung vor allem Teil 1 (Gemeinsame Bestimmungen, §§ 1 - 21) und Teil 2 (Durchführungsbestimmungen für Verarbeitungen zu Zwecken der DSGVO, §§ 22 - 44)relevant sein werden, die die unmittelbar geltende DSGVO um die Bereiche, in denen die DSGVO den Mitgliedstaaten Regelungsgebote auferlegt oder durch Öffnungsklauseln Ge- staltungsspielräume gewährt, ergänzen.³⁹

Anwendung findet das BDSG-neu nach § 1 des Gesetzes zum einen bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes und der Länder, soweit bei Letzteren der Datenschutz nicht durch landesrechtliche Regelungen geregelt wird. Zum an- deren kommt es auch durch nichtöffentliche Stellen zur Anwendung, bei denen die perso- nenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden oder zumin- dest solchen, bei denen die personenbezogenen Daten zwar nicht automatisiert verarbei- tet werden, jedoch in einem Dateisystem (s.o.) gespeichert werden (sollen). Keine Anwen- dung finden die Vorschriften des BDSG-neu gemäß § 1 Abs. 5 dann, soweit das Recht der DSGVO unmittelbar gilt. Da die Verordnung aufgrund des Unionsrechts im Falle einer Kolli- sion jedoch ohnehin Anwendungsvorrang gegenüber nationalem Recht genießt, kommt diesem Absatz lediglich eine klarstellende Funktion hinzu.⁴⁰Dies bedeutet, dass der erste Blick immer in die DSGVO „wandern“ sollte, und nur soweit diese Konkretisierungen oder Spielraum durch die Mitgliedstaaten eröffnet, ist zu prüfen, ob bzw. in welcher Form der Gesetzgeber diese im BDSG-neu umgesetzt hat.⁴¹

C Die Grundsätze der Datenverarbeitung

I Grundsätze für die Verarbeittung personenbezogener Daten

An dieser Stelle sollen zunächst die wichtigsten Grundsätze der Datenverarbeitung etwas genauer beleuchtet werden. Auskunft hierüber gibt Kap. 2 („Grundsätze“) der Verordnung. Wie schon in Art. 6 der DSRL, stellt nun Art. 5 eine Reihe von Grundsätzen auf, die bei der Datenverarbeitung zu beachten sind. Danach müssen personenbezogene Daten:

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verar- beitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverar- beitet werden („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verar- beitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, andernfalls müssen sie entweder korrigiert oder gelöscht werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Per- sonen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“) und schließlich
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der perso- nenbezogenen Daten gewährleistet […] („Integrität und Vertraulichkeit“).

Obwohl die Grundsätze des Art. 5 ausgesprochen allgemein gehalten und konkretisierungs- bedürftig sind, handelt es sich bei ihnen keineswegs nur um Programmsätze oder Optimie- rungsgebote, sondern um verbindliche Regelungen. Dies ergibt sich daraus, dass sie größ- tenteils unmittelbar aus Art. 8 Abs. 2 der EU-Grundrechte-Charta folgen. Dementsprechend hebt auch der EuGH in seiner Rechtsprechung⁴²hervor, dass jede Datenverarbeitung so- wohl den Grundsätzen hinsichtlich der Qualität der Verarbeitung, als auch den Grundsätzen der Zulässigkeit der Verarbeitung genügen muss.⁴³ Verantwortlich für die Einhaltung der Grundsätze und den Nachweis ihrer Einhaltung ist nach Art. 5 Abs. 2 der Verantwortliche, also eine natürliche oder juristische Person, Behörde oder Einrichtung, die allein oder ge- meinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezoge- nen Daten entscheidet.

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Im Einzelnen: Gem. Art. 5 Abs. 1 lit. a müssen personenbezogene Daten aufrechtmäßige Weiseverarbeitet werden, was der Vorgabe von Art. 8 Abs. 2 S. 1 GRC entspricht, nachdem personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf Basis sons- tiger gesetzlich geregelter legitimer Grundlagen verarbeitet werden dürfen. Dieser Grund- satz wird sodann in Art. 6 Abs. 1 DSGVO erneut aufgegriffen, wonach eine der dort gere- gelten Rechtsgrundlagen vorliegen muss. Der Grundsatz entspricht damit dem „Verbot mit Erlaubnisvorbehalt“ aus dem deutschen Datenschutzrecht.⁴⁴

Der Grundsatz vonTreu und Glaubenlässt sich dagegen vielmehr als Rücksichtnahme- pflicht verstehen und damit als Ausprägung des Grundsatzes der Verhältnismäßigkeit. Der Verantwortliche soll die Interessen und Erwartungen der betroffenen Person berücksichti- gen und sie vor unklaren Verarbeitungsvorgängen schützen. Auch die Verpflichtung des Verantwortlichen, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern, lässt sich als Ausprägung des Grundsatzes von Treu und Glauben verstehen.⁴⁵

Neu gegenüber Art. 6 der DSRL ist an dieser Stelle der Grundsatz derTransparenz, deren Bedeutung durch die Formulierung „in einer für die betroffene Person nachvollziehbaren Weise“ in Abs. 1 lit. a abgebildet wird. Der Grundsatz verlangt, dass die betroffene Person die Datenverarbeitung, d.h. die Beteiligten bzw. Verantwortlichen (wer), die Qualität und die Quantität der Daten (was), die Zeit der Verarbeitung bzw. Speicherung der Daten (wann), den Grund (warum) und den Zweck (wofür), nachvollziehen können muss, und zwar sowohl retrospektiv als auch prospektiv über zukünftige Datenverarbeitungen, wie in ErwGr (39) S. 2 explizit klargestellt wird.⁴⁶In ErwGr (39) S. 4 heißt es des Weiteren, dass natürliche Personen über die Risiken, Vorschriften, Garantien und Rechte im Zusammen- hang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden sollten, wie sie ihre diesbezüglichen Rechte geltend machen können. Der Transpa- renz-Grundsatz, welcher vom europäischen Gesetzgeber nun auch ausdrücklich in die Ver- ordnung aufgenommen wurde, um dessen besondere Bedeutung zu betonen, hat zudem Anteil an zahlreichen weiteren Vorschriften der DSGVO und ist für deren Auslegung und Anwendung beachtlich. Dies zeigt sich nicht nur in der Erweiterung und Konkretisierung der Informationspflichten in Art. 13 Abs. 1 lit. f, sondern auch in den Verhaltensanforde- rungen an den Verantwortlichen in Art. 12 sowie der Auskunftspflicht in Art. 15 DSGVO.⁴⁷

2. Zweckbindung

Der Zweck legitimiert die Verarbeitung der Daten und ist der Fixpunkt, an dem sich die Erforderlichkeit der Verarbeitung, die Rechtsgrundlagen gemäß Art. 6 Abs. 1 und auch die Informationspflichten nach Art. 13 ff. ausrichten.⁴⁸Aus diesem Grund wird der Zweckbin- dungs-Grundsatz in der Literatur auch als „Grundstein des Datenschutzrechts“ bezeichnet. Er kann in zwei Gebote mit unterschiedlichen Absichten eingeteilt werden: Zum einen in das Gebot der Zweckfestlegung, wonach eine Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke erfolgen darf, und zum anderen in das der Zweckbindung im eigentli- chen Sinne, sprich dem Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck unvereinbar ist.⁴⁹

Der Zweck der Verarbeitung muss nach Art. 5 Abs. 1 lit. b Hs. 1 festgelegt, eindeutig sowie legitim sein und grundsätzlich vor der Erhebung festgelegt werden. Letzteres ist schon al- lein deswegen erforderlich, um den Pflichten des Verantwortlichen, die betroffene Person gemäß Art. 13 und 14 DSGVO über die Erhebung zu informieren, nachkommen zu können.⁵⁰Aus diesem Grund wird dem Erfordernis der Zweckfestlegung eine gewisse Hinweis- und Warnfunktion zugesprochen, denn der Verantwortliche selbst wird damit gezwungen, vor der Erhebung zu prüfen, welche Ziele er mit der Verarbeitung verfolgt.⁵¹Eine Verarbeitung zu noch unbekannten Zwecken – d.h. auf Vorrat – scheidet somit aus. Eine Form, in der die Festlegung des Zwecks erfolgen muss, sieht die Verordnung nicht vor. Allerdings sollte zur Erfüllung der Rechenschaftspflicht die Schriftform oder eine andere dauerhafte Form der Dokumentation gewählt werden. Zudem muss der Zweck so präzise wie möglich angege- ben werden – allgemeine Zweckbestimmungen wie „Werbung“ oder „IT-Sicherheit“ lassen sich nur schwer mit diesem Grundsatz vereinbaren.⁵²

Wie bereits erwähnt, erlegt der Grundsatz der Zweckbindung dem Verantwortlichen au- ßerdem das Verbot auf, die personenbezogenen Daten in einer nicht mit dem ursprüngli- chen Zweck der Verarbeitung zu vereinbarenden Weise weiterzuverarbeiten. Das bedeu- tet, dass die Begrenzung auf Verarbeitungen, die mit dem Erhebungszweck vereinbar sind, die Weiterverarbeitung an den Erhebungskontext koppelt.⁵³ Von diesem zweiten Gebot des Grundsatzes sind lediglich drei Ausnahmen vorgesehen:

1. Die betroffene Person hat der Weiterverarbeitung gem. Art. 6 Abs. 4 DSGVO zuge- stimmt. Voraussetzung ist allerdings, dass die Einwilligung der betroffenen Person so bestimmt ist, dass sie den Zweck der Weiterverarbeitung klar erkennen lässt.⁵⁴
2. Eine Rechtsvorschrift der Union oder der Mitgliedstaaten erlaubt eine solche Wei- terverarbeitung, die eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt.
3. Die Verarbeitung dient der im zweiten Halbsatz (Art. 5 Abs. 1 lit. b DSGVO) genann- ten Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

3. Datenminimierung

Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO vereinigt drei Anforde- rungen, die sich alle am Zweck der Datenverarbeitung ausrichten und zusammen die drei Stufen der Verhältnismäßigkeitsprüfung widerspiegeln. Demnach müssen die personenbe- zogenen Daten erstens dem Zweck angemessen, zweitens erheblich und drittens auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Die Anforderungen kommen zusammen einer Filterung gleich, welche die Daten – von grob nach fein – auf ein Minimum reduzieren soll. Mit dieser Betrachtung bedarf die Reihenfolge der Anforderun- gen einer kleinen Anpassung. So müssen die Daten für den verfolgten Zweck zunächst er- heblich sein. Im Rahmen der Verhältnismäßigkeitsprüfung entspricht dies der Frage, ob die Daten geeignet sind, um einen legitimen Zweck zu erreichen. Sind die Daten dies nicht, dürfen sie bei der Verarbeitung nicht berücksichtigt werden.⁵⁵

Im zweiten Schritt folgt die Angemessenheit der Daten, die eine wertende Betrachtung ver- langt. Die Angemessenheit geht über die bloße Erheblichkeit für den Zweck hinaus und fragt danach, ob die Verarbeitung von Daten in diesem Umfang im engeren Sinne verhält- nismäßig ist. Dies ist nur dann der Fall, wenn ihre Zuordnung zum Zweck der Verarbeitung nicht beanstandet werden kann.⁵⁶

Im dritten und letzten Schritt sollen die Daten, die für die Verarbeitung erheblich und an- gemessen sind und somit die ersten zwei Prüfungen überstanden haben, nochmals auf das für die verfolgten Zwecke der Verarbeitung notwendige Maß beschränkt werden. Die hier-für entsprechende Frage lautet demnach: Ist anzuerkennen, dass die Daten (auch tatsäch- lich) erforderlich sind, um den Zweck der Verarbeitung zu erreichen? Nur die personenbe- zogenen Daten, die es durch alle drei dieser „Filter“ geschafft haben, dürfen bei der Verar- beitung verwendet werden.

4. Richtigkeit

Zwar wird der Richtigkeit der verarbeiteten Daten datenschutzrechtlich eher wenig Auf- merksamkeit beigemessen,⁵⁷dennoch ist sie für die betroffene Person von großer Bedeu- tung: Die Daten sind die Basis des Bildes, das sich Mitmenschen über die betroffene Person machen, und zudem Grundlage für Entscheidungen, die das Leben der betroffenen Person beeinflussen können.⁵⁸Nicht umsonst hatte schon das BVerfG im oben erwähnten Volks- zählungsurteil vor „digitalen Zwillingen“⁵⁹gewarnt.⁶⁰Aus diesem Grund verlangt Art. 5 Abs.1 lit. d Hs. 1 DSGVO vom Verantwortlichen, dass die zu verarbeiteten Daten richtig sind und– soweit dies für die Verarbeitung erforderlich ist – stetig aktualisiert werden. Der Verant- wortliche soll nicht erst dann tätig werden, wenn die betroffene Person ihren Anspruch auf Berichtigung geltend macht, sondern muss vielmehr von sich aus angemessene Maßnah- men ergreifen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen.⁶¹

Gesteigerte Bedeutung muss der Verantwortliche der Richtigkeit nach Art. 5 Abs. 1 lit. d Hs.2 insbesondere solchen Daten beimessen, die von besonderer Relevanz für die betroffene Person sind, z.B. weil auf ihrer Grundlage Entscheidungen getroffen werden oder weil sie an Dritte übermittelt werden und Unrichtigkeiten der Daten – sobald sie einmal weiterge- geben wurden – später nur noch schwerer korrigierbar sind. Insofern erfährt der Grundsatz in Hs. 2 eine Konkretisierung: Die Regelung fokussiert vor Allem die Daten, die zu einem konkreten Zweck verarbeitet werden, weshalb zur Verwirklichung des Grundsatzes der Richtigkeit eben jene Daten vorrangig zu berichtigen oder zu löschen sind, „die im Hinblick auf die Zwecke ihrer Verarbeitung“ unrichtig sind.⁶²

Daneben sieht die DSGVO Regelungen vor, mit denen der Grundsatz der Richtigkeit ver- wirklicht werden soll, so insbes. das Recht auf Berichtigung (Art. 16) und auf Löschung (Art.17) sowie die Verpflichtung auf Weitergabe dieser Informationen (Art. 19).⁶³

5. Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung greift die Zweckbindung der Verarbeitung auf und ergänzt diese selbständig um die Anforderung, dass die Verbindung zu bestimmten perso- nenbezogenen Daten nur so lange bestehen darf, so lange dies für den Zweck erforderlich ist.⁶⁴Insofern konkretisiert Art. 5 Abs. 1 lit. e den Grundsatz der Datensparsamkeit in zeit- licher Hinsicht.⁶⁵ Er ist daher eine Ausprägung des Grundsatzes der Verhältnismäßigkeit und setzt die Verantwortlichen einem erhöhten Rechtfertigungsdruck (Art. 5 Abs. 2 DSGVO) aus. Dies unterstreicht auch ErwGr (39) der Verordnung, nachdem die Speicherdauer auf das „unbedingt erforderliche Mindestmaß“ zu beschränken ist.⁶⁶

Die Speicherbegrenzung erfasst somit vor allem Fälle der Zweckerreichung. Allerdings kön- nen Daten auch ihre Relevanz für den Zweck verlieren, zu dem sie verarbeitet werden, z.B. wenn sie nicht mehr aktuell sind. Der Verantwortliche muss die Daten dann nicht nur lö- schen, wenn der Betroffene dies gem. Art. 17 Abs. 1 DSGVO verlangt, er muss dies auch aus eigener Initiative tun.⁶⁷Um sicherzugehen, dass Daten nicht unnötig lange gespeichert wer- den, muss der Verantwortliche als Ausprägung seiner Rechenschaftspflicht die von ihm ge- speicherten Datenbestände nach ErwGr (39) in regelmäßigen Abständen überprüfen. Sind Daten für den Verarbeitungszweck nicht mehr erforderlich, dürfen sie nach dem Grundsatz der Zweckerreichung auch nicht auf Vorrat für noch unbestimmte Zwecke aufbewahrt wer- den.⁶⁸

Art. 5 Abs. 1 lit. e Hs. 2 DSGVO enthält vom Grundsatz der Speicherbegrenzung eine Aus- nahme: Danach dürfen personenbezogenen Daten im Falle von Verarbeitungen für im öf- fentlichen Interesse liegende Archivzwecke, für Zwecke der wissenschaftlichen und histo- rischen Forschung sowie der Statistik länger gespeichert werden.⁶⁹

6.Integrität und Vertraulichkeit

Der letzte Grundsatz aus Art. 5 Abs. 1 beschreibt den der Integrität und Vertraulichkeit per- sonenbezogener Daten, der gegenüber der DSRL neu eingeführt wurde und in erster Linie der Sicherheit der Daten dient. Die personenbezogenen Daten und der Vorgang ihrer Ver- arbeitung sollen vor ungeplanten Zugriffen wie auch vor unbeabsichtigten Beeinträchtigun- gen geschützt werden.⁷⁰

Die Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und da- mit vor unbefugter (Weiter-) Verarbeitung.⁷¹„Integrität wäre am ehesten mit Unversehrt- heit zu übersetzen, um einen Begriff der deutschen Sprache zu verwenden.“⁷²Damit soll zum Ausdruck gebracht werden, dass nicht nur eine unbefugte Verarbeitung, sondern auch eine Veränderung – d.h. Verfälschung, Ergänzung, Beschränkung – der Daten durch Unbe- fugte auszuschließen ist. Den Verantwortlichen trifft insoweit die Schutzpflicht zur Abwehr von Gefahren für die Daten. Unbefugte sind auch solche Personen, die innerhalb eines Un- ternehmens, das mit der Datenverarbeitung betraut ist, tätig sind, ohne für die konkrete Datenverarbeitung zuständig zu sein. Daher trifft den Verantwortlichen auch unterneh- mensintern die Verpflichtung, die Daten gegen unberechtigte Zugriffe zu sichern.⁷³

Art. 5 Abs. 1 lit. f stellt nach seinem Wortlaut zudem auf eine angemessene Sicherheit per- sonenbezogener Daten durch geeignete technische und organisatorische Maßnahmen ab. Hierzu gehört nach ErwGr (39) der Verordnung auch, dass unbefugte Personen weder Zu- gang zu den Daten, noch zu den Geräten haben, mit denen die Daten verarbeitet werden.⁷⁴

7.Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO besagt, dass der Verant- wortliche für die Einhaltung des 1. Absatzes, also die eben erläuterten Grundsätze, verant- wortlich ist und dessen Einhaltung nachweisen können muss. Die erste dieser beiden Ver- pflichtungen – die Einhaltung der Grundsätze aus Abs. 1 sicherzustellen – war so bereits in Art. 6 Abs. DSRL enthalten. Die zweite Verpflichtung – die Einhaltung dieser Grundsätze auch nachweisen können zu müssen – ist hingegen neu hinzugekommen.⁷⁵

Der Grundsatz der Rechenschaftspflicht wird in Art. 24 Abs. 1 DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen) noch einmal sehr viel deutlicher dargestellt: Danach muss der Verantwortliche die technischen und organisatorischen Maßnahmen ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung im Ein- klang mit der DSGVO erfolgt. Er haftet demnach also nicht nur für den Erfolg, sprich der Einhaltung der datenschutzrechtlichen Vorgaben, er muss bereits im Vorfeld interne Com- pliance-Maßnahmen ergreifen, um Verstöße gegen die DSGVO zu vermeiden. Diese Maß- nahmen unterliegen wiederum der Kontrolle durch die Aufsichtsbehörden.⁷⁶Dieses System entspricht dem Bestreben des Unionsgesetzgebers (Europäisches Parlament und Europäi- scher Rat), ein größeres Gewicht auf die Eigenverantwortung der Verantwortlichen zu le- gen. Dies wird vor Allem dadurch unterstrichen, dass der Unionsgesetzgeber von der allge- meinen Meldepflicht vor Beginn einer Datenverarbeitung Abstand genommen und sie durch den risikoorientierteren Ansatz der Datenschutz-Folgenabschätzung und einer an- schließenden Konsultation der Datenschutzaufsichtsbehörden ersetzt hat.⁷⁷

II Rechtmäßigkeit der Verarbeitung

Neben den zu beachtenden Grundsätzen aus Art. 5 DSGVO, die vor Allem das „Wie“ einer Datenverarbeitung von personenbezogenen Daten beschreiben, ist Art. 6 DSGVO die zent- rale Vorschrift für die Frage (ob) der Rechtmäßigkeit einer Verarbeitung. Der Artikel be- schäftigt sich mithin mit dem „Ob“ einer Verarbeitung personenbezogener Daten.⁷⁸Die ge- naue Beachtung der Rechtmäßigkeit einer Verarbeitung ist deshalb so wichtig, da etwaige Verstöße gegen Art. 6 gem. Art. 83 Abs. 5 lit. a DSGVO mit Geldbußen von bis zu 20 Millio- nen EUR respektive 4% des gesamten weltweiten Jahresumsatzes sanktioniert werden kön- nen.

Abs. 1 des Artikels, der sich inhaltlich weitestgehend mit den Vorgaben der Vorgängerre- gelung aus Art. 7 DSRL deckt, führt mehrere Zulässigkeitsvoraussetzungen auf, von denen für die Verarbeitung personenbezogener Daten mindestens eine erfüllt sein muss, damit diese rechtmäßig ist. Vor diesem Hintergrund wird bei der Verarbeitung personenbezoge- ner Daten oftmals auch vom sog. „Verbotsprinzip“ oder vom „Verbot mit Erlaubnisvorbe- halt“ gesprochen. Zudem regelt Art. 6 Abs. 1 die Voraussetzungen, unter denen eine Ver- arbeitung personenbezogener Daten rechtmäßig ist, grundsätzlich abschließend. Dies hat der EuGH in seinem Urteil⁷⁹bereits zu Art. 7 DSRL ausdrücklich festgestellt.⁸⁰ Eine Verar- beitung ist folglich nur dann rechtmäßig, wenn mindestens eine der nachstehenden Bedin- gungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffen- den personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gege- ben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die be- troffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforder- lich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffent- lichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verant- wortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Per- son um ein Kind handelt.

Eine Verarbeitung personenbezogener Daten ist demnach nur zulässig ist, soweit der Be- troffene eingewilligt hat oder die Verarbeitung durch eine sie deckende Rechtsvorschrift legitimiert ist.⁸¹ Von diesen fünf gesetzlichen Rechtsvorschriften, die allesamt gleichbe-rechtigt nebeneinander stehen und nunmehr in jedem Mitgliedsstaat unmittelbar anwend- bar sind,⁸² sollen nachfolgend jene genauer betrachtet werden, die für den nicht-öffentli- chen Bereich infrage kommen. Das ist – neben der Einwilligung aus lit. a – vor allem die Verarbeitung zur Erfüllung eines Vertrages aus lit. b.

1. Verarbeitung aufgrund Einwilligung

Die Einwilligung ist eine privatautonome Willenserklärung einer betroffenen Person, dem Verarbeiter die Verarbeitung von personenbezogenen Informationen und Daten, die sich auf ihn beziehen, zu gestatten.⁸³ In Art. 4 Nr. 11 DSGVO wird die Einwilligung zudem le- galdefiniert. Danach handelt es sich bei einer Einwilligung einer betroffenen Person im Zu- sammenhang mit der DSGVO um „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung o- der einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Da- ten einverstanden ist.“

Zur Beurteilung der Freiwilligkeit findet sich sowohl in Art. 7 Abs. 4 als auch in ErwGr (43) als Regelbeispiel der Gedanke des sog. Kopplungsverbots von Einwilligung und Vertragser- füllung bzw. Dienstleistungserbringung wieder. Danach gilt die Einwilligung nicht als frei- willig erteilt, wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienst- leistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist. ErwGr (43) zufolge soll in diesem Fall das Fehlen der Freiwilligkeit sogar vermutet werden. Dadurch soll das im Internet weit verbreitete Modell der „Bezahlung mit den eigenen Daten“ verhindert werden.⁸⁴ Neu ist insofern auch die Anforderung der „dif- ferenzierten Einwilligung“ nach ErwGr (43) S. 2 HS 1. Danach gilt die Einwilligung auch dann „nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personen-bezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist.“ Die betroffene Person muss also die Möglichkeit besitzen, in ver- schiedene Datenverarbeitungsvorgänge getrennt einzuwilligen. Ist dies nicht möglich, ob- wohl es im konkreten Kontext angebracht wäre, wird das Fehlen der Freiwilligkeit ebenfalls vermutet. Hierdurch sollen komplexe Globaleinwilligungen verhindert werden, die der Be- troffene nur als Ganzes akzeptieren kann.⁸⁵

Des Weiteren muss die betroffene Person nicht ausdrücklich oder gar schriftlich in die Da- tenverarbeitung einwilligen, vielmehr ist nach Art. 6 Abs. 1 lit. a auch eine „eindeutig be- stätigende Handlung“ ausreichend. ErwGr (32) erwähnt hier beispielhaft schriftliche und mündliche Erklärungen.⁸⁶ Da der Wortlaut von Art. 6 Abs. 1 lit. a und von Art. 4 Nr. 11 im Vergleich zu dem aus Art. 9 Abs. 2 lit. a – hier wird eine „ausdrückliche Einwilligung“ ver- langt – zurückbleibt, ist davon auszugehen, dass aus dem konkreten Kontext heraus auch eine schlüssige Willensäußerung der betroffenen Person als Einwilligung qualifiziert wer- den kann, etwa wenn die betroffene Person einen Antrag oder eine Anfrage stellt, der oder die evident nicht bearbeitet bzw. beantwortet werden kann, ohne dass personenbezogene Daten – zu diesem Zweck – verarbeitet werden (und sei es auch nur zeitweise gespeichert und genutzt) werden.⁸⁷ Dafür spricht auch ErwGr (32) S. 2 der Verordnung, wonach die Einwilligung auch „durch eine andere Erklärung oder Verhaltensweise geschehen [kann], mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.“

Art. 6 Abs. 1 lit. a stellt zudem unmittelbar klar, dass die Einwilligung „für einen oder meh- rere bestimmte Zwecke“ erteilt werden muss. Dies kommt einer Konkretisierung des Zweckbindungsgebots aus Art. 5 Abs. 1 lit. b für die Einwilligung gleich.⁸⁸

2. Verarbeitung zur Vertragserfüllung

Art. 6 Abs. 1 lit. b ordnet die Zulässigkeit der Verarbeitung gesetzlich an. Konkret heißt dies, dass die Verarbeitung personenbezogener Daten auch dann rechtmäßig ist, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Ein Bsp. ist die Verarbeitung der Adressdaten eines Kunden, um die bestellten Waren überhaupt anliefern zu können. Die Bestimmung normiert insoweit eine Selbstverständ- lichkeit, da der von der Privatautonomie geprägte Rechtsverkehr und damit verbundene Austausch von Leistungen und Gütern ohne einen parallelen Austausch von Informationen und Daten schlechtweg unmöglich wäre. „Auch unter dem Gesichtspunkt der Datenschutz- interessen der geschützten Person bestehen mit Blick auf die Zulässigkeit einer solchen Da- tenverarbeitung keine Bedenken, weil Verträge stets Resultate privatautonomer Entschei- dungen sind, dem jeweiligen Vertragspartner die Verarbeitung vertragsrelevanter Informa- tionen und Daten zu gestatten“.⁸⁹

Die h.M. (Albers, Kühling, Buchner, Petri) geht zudem davon aus, dass sich der Anwen- dungsbereich von Art. 6 Abs. 1 lit. b auch auf all jene vertragsähnlichen Konstellationen erstreckt, die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Be- troffenen zurückgehen, wie bspw. Gefälligkeitsverhältnisse mit rechtsgeschäftlichem Cha- rakter.⁹⁰ Der Telos der Bestimmung führt nach h.M. (in Gestalt der gleichen Personen) auch zu der Auslegung, dass einseitige Rechtsgeschäfte eine Datenverarbeitung nicht legitimie- ren – zumindest dann nicht, wenn sie durch den Verarbeiter begründet werden und der Betroffene keinen Einfluss darauf nehmen kann. Begründet wird dies damit, dass die For- mulierung „Erfüllung eines Vertrags“ deutlich mache, dass es für die Anwendbarkeit von Art. 6 Abs. Abs. 1 lit. b nicht darauf ankäme, dass der Vertragspartner des Betroffenen und der die Daten verarbeitende Verantwortliche personenidentisch sind. Erforderlich sei nach dem Wortlaut deswegen vielmehr, dass der Betroffene Vertragspartei ist. Demnach könne Art. 6 Abs. Abs. 1 lit. b auch eine Datenverarbeitung durch unbeteiligte Dritte legitimieren, soweit diese für die Erfüllung eines Vertrags, deren Partei der Betroffene ist, erforderlich ist.⁹¹

Ein bloßer Bezug des Verarbeitungsvorgangs zu einem Vertragsverhältnis für die Sub- sumtion unter lit. b genügt indes nicht. Auch hier kommt es auf die schon so oft angespro- chene Erforderlichkeit der Verarbeitung an. So ist eine Verarbeitung personenbezogener Daten jedenfalls dann erforderlich, wenn der Vertrag ohne sie nicht so erfüllt werden könnte, wie von den Parteien geeinigt. Dementsprechend liegt auch die Erforderlichkeit nur dann vor, wenn die vereinbarten Leistungen nicht ohne eine Datenverarbeitung erfüllt werden könnten. Insofern sind auch hier die Grundsätze aus Art. 5 DSGVO, insbesondere jedoch Abs. 1 lit. c (Datenminimierung) und lit. e (Speicherbegrenzung) zu beachten. Maß- geblich ist dabei vor allem, dass ein unmittelbarer Zusammenhang zwischen der Verarbei- tung und dem konkreten Zweck des Vertragsverhältnisses besteht.⁹²

Auch die Vorbereitung eines Vertrags kann eine Verarbeitung personenbezogener Daten nach Art. 6 Abs. Abs. 1 lit. b legitimieren, wenn diese auf Anfrage der betroffenen Person erfolgt ist. Bei Anfragen oder Anträgen könnte es sich z.B. um die Erstellung von Angeboten für Werk-, Werklieferungs-, Dienst- oder Reiseverträgen handeln. Entscheidend ist, dass die Initiative von der betroffenen Person ausgeht und sich die Verarbeitung auf das Entste- hen eines konkreten Vertragsverhältnisses bezieht. Je nach Vertragsart können so mitunter umfangreiche und höchstpersönliche Daten vor Vertragsschluss zu erfassen sein (etwa für Versicherungsverträge), die dann nicht notwendig zustande kommen müssen, etwa weil der Verantwortliche auf der Grundlage der Daten einen Vertragsschluss ablehnt oder weil der Betroffene das Angebot zurückzieht. Mit Erledigung entfallen Zweck und Erforderlich- keit der Verarbeitung ex nunc.⁹³

[...]

---

¹ Oberhuber, 2018, S.2

²Hesse, 2014, o.S.

³ o.V. (1), 2014, o.S.

⁴ Vgl. § 1 Abs. 1 Nr. 1 HDSG a.F.

⁵ o.V. (2), 2013, o.S.

⁶BVerfG, Urt. v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1 (155)

⁷ BpB, 2017, o.S.

⁸ o.V. (1), 2014, o.S.

⁹BpB, 2017, o.S.

¹⁰ BpB, 2016, o.S.

¹¹ Präambel, Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbe- zogener Daten v. 28.01.1981, BGBl 1985 II S. 538

¹² BpB, 2016, o.S.

¹³ BpB, 2016, o.S.

¹⁴ KOM, IP/10/1462

¹⁵ KOM, IP/12/46

¹⁶Mester, DuD 2015, 822

¹⁷ KOM, IP/12/46

¹⁸Franzen, EuZA 2017, 313 (315)

¹⁹ KOM, IP/15/6321

²⁰Kazemi, in: Festschr. f. Franz-Josef Dahm, 2017, S. 283

²¹ Die DSGVO spricht hierbei von privaten -, das BDSG von nicht(-)öffentlichen Stellen, wobei natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Recht gemeint sind.

²² Pflichten, die nur in bestimmten Fällen berücksichtigt werden müssen (z.B. Verarbeitung der Daten im Auf-trag, Datenübermittlung in Drittländer u.a.) werden nicht in dieser Arbeit nicht behandelt.

²³ Kühling/Martini, EuZW 2016, 448

²⁴ Vgl. DSGVO, ErwGr (6)

²⁵ Kort, DB 2016, 711

²⁶Kühling/Martini, EuZW 2016, 448 (450)

²⁷Kühling/Martini, EuZW 2016, 448 (450)

²⁸EuGH, Urt. v. 13.05.2014 – C-131/12, ECLI:EU:C:2014:317, Rn. 42 ff.

²⁹Schantz, NJW 2016, 1841 (1842)

³⁰ Franzen, EuZA 2017, 313 (318)

³¹Franzen, EuZA 2017, 313 (318)

³²Franzen, EuZA 2017, 313 (318), zit. nach Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2 Rn. 35/36

³³ Roßnagel, DuD 2017, 277

³⁴Kühling/Martini, EuZW 2016, 448 f.

³⁵BR-Drs. 110/17 (68)

³⁶ Vgl. Roßnagel, DuD 2017, 277 (278)

³⁷ Zum Verständnis: Bei der im Titel des DSAnpUG genannten „Richtlinie (EU) 2016/680“ handelt es sich um die Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung […]“, welche in dieser Arbeit jedoch nicht weiter behandelt werden soll.

³⁸BMJ, HdR, S. 191, Rn. 717

³⁹Greve, NVwZ 2017, 737

⁴⁰EuGH, Urt. v. 15.07.1964 – C-6/64, ECLI:EU:C:1964:66, Rn. S.12

⁴¹Kühling, NJW 2017, 1985 (1986)

⁴² EuGH, Urt. v. 1.10.2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 30

⁴³ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 2-3

⁴⁴ BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 5

⁴⁵ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 8

⁴⁶ Paal/Pauly/FrenzelDS-GVO Art. 5 Rn. 21

⁴⁷ Paal/Pauly/FrenzelDS-GVO Art. 5 Rn. 22

⁴⁸ Paal/Pauly/Frenzel DS-GVO Art. 5 Rn. 23-25

⁴⁹ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 12

⁵⁰ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 14

⁵¹Härting, NJW 2015, 3284

⁵² BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 14

⁵³ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 20

⁵⁴ BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 22

⁵⁵ Vgl. BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 24

⁵⁶ Paal/Pauly/Frenzel DS-GVO Art. 5 Rn. 35

⁵⁷ vgl. Hoeren, ZD 2016, 459

⁵⁸ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 27

⁵⁹ Begriff geprägt von Joachim Gauck in einer Rede zum Festakt zum Tag der Deutschen Einheit 2013

⁶⁰ BVerfG, Urt. v. 15.12.1983 - 1 BvR 209/83 u.a., BVerfGE 65, 1 (153)

⁶¹ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 28

⁶² Paal/Pauly/FrenzelDS-GVO Art. 5 Rn. 41

⁶³Paal/Pauly/Frenzel DS-GVO Art. 5 Rn. 42

⁶⁴ Paal/Pauly/FrenzelDS-GVO Art. 5 Rn. 43

⁶⁵Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, S. 52

⁶⁶ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 32

⁶⁷EuGH, Urt. v. 13.05.2014 – C-131/12; ECLI:EU:C:2014:317, Rn. 72

⁶⁸BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 33

⁶⁹BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 34

⁷⁰ Paal/Pauly/Frenzel, DS-GVO Art. 5 Rn. 46

⁷¹ BeckOK DatenschutzR/SchantzDS-GVO Art. 5 Rn. 36

⁷² Paal/Pauly/Frenzel DS-GVO Art. 5 Rn. 47

⁷³ Paal/Pauly/Frenzel DS-GVO Art. 5 Rn. 47

⁷⁴ BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 36

⁷⁵BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 37

⁷⁶BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 38

⁷⁷ BeckOK DatenschutzR/Schantz DS-GVO Art. 5 Rn. 38

⁷⁸ BeckOK DatenschutzR/Albers DS-GVO Art. 6 Rn. 1-5

⁷⁹ EuGH, Urt. v. 24.11.2011 – C-469/10, ECLI:EU:C:2010:638, Rn. 30

⁸⁰ BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 15

⁸¹ BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 11

⁸² BeckOK DatenschutzR/Albers DS-GVO Art. 6 Rn. 18

⁸³ BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 19

⁸⁴ Schantz, NJW 2016, 1841 (1845)

⁸⁵ Schantz, NJW 2016, 1841 (1845)

⁸⁶Paal/Pauly/Frenzel DS-GVO Art. 6 Rn. 11

⁸⁷ Paal/Pauly/FrenzelDS-GVO Art. 6 Rn. 11

⁸⁸ BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 23

⁸⁹ BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 29 zit. nach Kühling/Buchner/Petri, DS-GVO, Art. 6 Rn. 25

⁹⁰ BeckOK DatenschutzR/Albers DS-GVO Art. 6 Rn. 30

⁹¹ BeckOK DatenschutzR/Albers DS-GVO Art. 6 Rn. 30

⁹² BeckOK DatenschutzR/AlbersDS-GVO Art. 6 Rn. 30

⁹³ Paal/Pauly/FrenzelDS-GVO Art. 6 Rn. 15