Überblick über das europäische Datenschutzrecht und die europäische Datenschutzpraxis

Abschnitt I: Einführung in den europäischen Datenschutz

 Ursprünge und historischer Kontext des Datenschutzrechts
o Begründung: Zunahme von Computern für die Kommunikation in den 1970er Jahren
o Grenzüberschreitender Handel
 Ausgewogenheit zwischen nationalen Anliegen in Bezug auf persönliche Freiheit und
Privatsphäre und der Fähigkeit, den Freihandel auf EWG-Ebene zu unterstützen
 Hier erhält die EU auch die Befugnis, den Datenschutz (Freizügigkeit) zu regulieren
o Menschenrechtsgesetze
 UDHR 1948
 "die inhärente Würde und die gleichen und unveräußerlichen Rechte aller
Mitglieder der menschlichen Rasse in der Grundlage von Freiheit, Gerechtigkeit
und Frieden in der Welt"
 ART. 12: Recht auf Privatsphäre
 ART 19: Recht auf Informationsfreiheit/Weitergabe von Informationen
 ARTIKEL 29(2): Abwägung der Rechte
 EMRK
 Europarat, Rom 1950 (in Kraft getreten 1953)
 Europäischer Gerichtshof für Menschenrechte (Straßburg)=>
Vollstreckungssystem, verbindliche Entscheidungen
o Kann auch Gutachten zur EMRK abgeben
 ART 8: Recht auf Privatsphäre
o Notwendigkeit und Verhältnismäßigkeit, öffentliches Interesse, kein
absolutes Recht
 ART 10: Recht auf freie Meinungsäußerung/Informationsfreiheit
 ART. 10ABS. 2: Ausgewogenheit, Gründe für die Verletzung von Rechten
o Notwendig in einer demokratischen Gesellschaft
o Nationale Sicherheit
o Territoriale Integrität
o Öffentliche Sicherheit
o Prävention von Unordnung oder Kriminalität
o Schutz der Gesundheit oder der Moral
o Schutz des Ansehens oder der Rechte anderer
o Verhinderung der Offenlegung von vertraulichen Informationen
o Aufrechterhaltung der Autorität und Unparteilichkeit der Justiz
o Frühe/Vorgängergesetze
 1960er-1980er Jahre: Länder mit Gesetzen zur Kontrolle der Verwendung
personenbezogener Daten durch die Regierung und große Unternehmen
 Nationale Abteilung hat das Recht auf Privatsphäre mit aufstrebender
Technologie nicht angemessen geschützt
o RECC 509 über HR und moderne wissenschaftliche und technische
Entwicklungen
 1973/4: CoE Resolutionen 73/2 und 74/29: Grundsätze des Datenschutzes in
automatisierten Datenbanken
 OECD-Richtlinien (zum Schutz der Privatsphäre und zum grenzüberschreitenden Verkehr
personenbezogener Daten)

1
  die Harmonisierung des Datenschutzrechts zwischen den Ländern zu erleichtern
 nicht rechtsverbindlich
 keine Unterscheidung zwischen elektronisch erhobenen oder nicht erhobenen
personenbezogenen Daten
 mitteilung oder Zustimmung
 spezifischer Zweck für die Sammlung
 individuelle Auskunftsrechte beim Verantwortlichen
 gleichgewicht zwischen Datenschutz und freiem Informationsfluss/Handel
 inländische Gesetze können höhere Standards haben
 Konvention 108 (1981)
 Übereinkommen des Europarates (zum Schutz des Menschen bei der
automatischen Verarbeitung personenbezogener Daten)
 Offen zur Unterzeichnung durch Länder außerhalb Europas!
 Rechtsverbindlich: erstes verbindliches internationales Instrument zur
Festlegung von Standards für personenbezogene Daten und Ausgewogenheit
mit freiem Informationsfluss für den internationalen Handel
 Diejenigen, die personenbezogene Daten verwenden, haben die soziale
Verantwortung, diese personenbezogenen Daten zu schützen
 Basierend auf den Grundsätzen von CoE 73/22 und 74/29
 Ausnahmen für Unterzeichner bei notwendigen Maßnahmen in der
demokratischen Gesellschaft (z. B. Staatssicherheit oder Kriminalermittlung)
**Proportionalität
 ***FREIER INFORMATIONSFLUSS UNTER DEN UNTERZEICHNERN b/c min
Schutzniveau
 Das Zusatzprotokoll befasst sich mit Übertragungen in Länder, die nicht
Unterzeichner sind
o Berechtigte Interessen des Einzelnen
o Im öffentlichen Interesse
o Weitergabe auf Grundlage der von der Aufsichtsbehörde genehmigten
Vertragsklauseln
 Gegenseitige Amtshilfe mit Aufsichtsbehörden
 Immer noch das einzige verbindliche Rechtsinstrument mit weltweitem
Anwendungsbereich im Bereich des Datenschutzes, das jedem Land offensteht
o Harmonisierung in Europa
 Datenschutzrichtlinie (95/46/EG)
 Europäische Kommission forderte das Europäische Parlament 1976 auf, in Kraft
1995
 Richtlinien sind Rechtsvorschriften, aber überlassen Sie die
Umsetzungsmethoden den Mitgliedstaaten
 Basierend auf Konvention 108
 Ergebnisunterschiede in den Mitgliedstaaten (falsche Umsetzung,
unterschiedliche Standards)
o Z.B. Verpflichtung, lokale Datenschutzbehörden über
Verarbeitungsdetails zu informieren
o Behoben mit DSGVO
 Charta der Grundrechte
 EU, 2000 in Nizza, festigt grundlegende HR in Europa

2
  Speziell bezieht sich auf den Schutz personenbezogener Daten (im Gegensatz
zur EMRK, die nur das Recht auf Privatsphäre hat)
 ART 7: Recht auf Privatsphäre
 ART 8: Datenschutzrechte
o Rechtmäßig für einen bestimmten Zweck, eine Einwilligung oder ein
anderes rechtmäßiges Interesse, das gesetzlich festgelegt ist
o Grundwerte: (1) fair, (2) festgelegter Zweck, (3) legitime Grundlage für
die Verarbeitung, (4) individuelles Recht auf Auskunft und Berichtigung
personenbezogener Daten, (5) Aufsichtsbehörde zur Überwachung der
Einhaltung
 ART 10: Recht auf Weitergabe von Informationen
 ART 52: Notwendigkeit und Verhältnismäßigkeit (Balance)
 Vertrag von Lissabon
 EUV und AEUV
 AEUV ART. 16Abs. 1: Jeder hat ein Recht auf Schutz personenbezogener Daten
 ARTIKEL 16Absatz 2: Alle EU-Institutionen müssen Einzelpersonen bei der
Verarbeitung personenbezogener Daten schützen
o Nationale Datenschutzbehörden können auch zuständig sein
 Der Vertrag von Maastricht erwähnte die Grundrechte überhaupt nicht, sig
Entwicklung
 DSGVO
 Die Kommission hat 2009/2010 eine Überprüfung des geltenden Rechtsrahmens
eingeleitet, um die Datenschutzvorschriften zu stärken
 Vorschriften sind in ihrer Gesamtheit verbindlich und gelten unmittelbar für die
Mitgliedstaaten => Maximierung der Kohärenz des Ansatzes
o Die Mitgliedstaaten können in einigen Fällen noch spezifischere Gesetze
erlassen
 Bereits bestehende spezifische Gesetze (z. B. Aufbewahrung von
Mitarbeiterdaten)
 Archivierungszwecke im öffentlichen Interesse,
wissenschaftliche oder historische Forschungszwecke,
statistische Zwecke
 Verarbeitung besonderer Datenkategorien
 Verarbeitung gemäß gesetzlicher Verpflichtung
 WESENTLICHE ÄNDERUNGEN
o Stärkere Rechte für Einzelpersonen (insbesondere online)
o Datenschutz durch Design und Standard (neue Technologie entwickelt)
o Rechenschaftspflicht: Organisationen müssen in der Lage sein, die
Einhaltung der DSGVO nachzuweisen
o Mehr Befugnisse für Aufsichtsbehörden
o One-Stop-Shop
o Breitere Anwendung für alle, die auf EU-Verbraucher abzielen
 Datenschutzrichtlinie für Strafverfolgungsbehörden
 Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung,
Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung

3
  Die Mitgliedstaaten haben bis zum 6. Mai 2018 Zeit, um in nationales Recht
umzusetzen
 ePrivacy-Richtlinie
 Datenverarbeitung über öffentliche Kommunikationsnetze (nicht
Firmenintranet)
 Die DSGVO erlegt keine zusätzlichen Verpflichtungen auf, die über die in dieser
Richtlinie enthaltenen Verpflichtungen hinausgehen
o die ePrivacy-Richtlinie muss überprüft und geändert werden, um
Kohärenz zu gewährleisten
 Organe der Europäischen Union
o Vertrag von Lissabon (2009): Mit der Erweiterung der EU muss der Entscheidungsprozess
rationalisiert werden, um die Effizienz und Geschwindigkeit der EU zu verbessern
 Europäischer Rat und EZB=institutioneller Status, kann verbindliche Beschlüsse fassen
 Charta der Grundrechte= gleicher Rechtsstatus wie Verträge, rechtsverbindlich
 Polen und UK= Die Charta gilt nur, wenn sie bereits in diesen Ländern
anerkannte Gesetze und Praktiken enthält
 Tschechische Republik auch mit Sonderbestimmung
o Europäisches Parlament
 Direkt von EU-Bürgern gewählte Mitglieder
 4 Zuständigkeiten: (1) Legislativentwicklung, (2) Aufsicht über andere Institutionen, (3)
demokratische Vertretung, (4) Entwicklung des Haushalts
 Arbeitet mit der Kommission zusammen, um neue Rechtsvorschriften zu
erlassen
o Kann die Kommission auffordern, dem Rat der EU einen
Legislativvorschlag vorzulegen; die Kommission auffordern, eine
Änderung bestehender Politiken und die Entwicklung neuer Politiken in
Betracht zu ziehen
 Misstrauensbefugnis Kommission: Kommission muss dem Parlament regelmäßig
Berichte vorlegen
 6-96 Mitglieder pro Staat, sitzen in europaweiten Fraktionen (und nicht von
Mitgliedstaaten)
 Die Gruppe muss mindestens 25 Mitglieder haben, wobei mindestens ¼ der
Mitgliedstaaten innerhalb der Gruppe vertreten sein muss
 Bericht für Plenarsitzung vorbereiten
 Im Plenum prüft, ändert und stimmt das Parlament über Gesetzesvorschläge ab
 Abstimmung= einfache Mehrheit
 Teilt Gesetzgebungsbefugnisse mit Counsel of Europe
 Ordentliches Verfahren: Beide Organe müssen der Gesetzgebung zustimmen
 Konsultationsverfahren: Der Rat muss das Parlament konsultieren, ist aber nicht
gebunden
 Zustimmungsverfahren: wichtige Beschlüsse, Zustimmung des Parlaments
erforderlich
 ROLLE IM DATENSCHUTZ: alle Datenschutzgesetze, die im Rahmen des ordentlichen
Gesetzgebungsverfahrens angenommen wurden- > Parlament mit großer und gleicher
Rolle bei der Annahme
 Sprachlicher Befürworter des Rechts auf Privatsphäre
o Europäischer Rat

4
  Zusammenkunft der Staatsoberhäupter, Exekutivinstitution
 Trifft sich viermal im Jahr, damit Staatsoberhäupter Themen besprechen können, die die
Gemeinschaft betreffen
o Rat der EU
 Ein Minister pro Staat, Mitgesetzgeber mit dem Parlament
 Hauptentscheidungsgremium, schreibt von der Kommission vorgeschlagene
Rechtsvorschriften
 Schließt von der Kommission ausgehandelte internationale Abkommen ab
 Der Rat wurde kritisiert, weil er undemokratisch ist und es ihm an Transparenz mangelt -
> jetzt finden Sitzungen in der Öffentlichkeit statt
 Rotierende Präsidentschaft
 Qualifizierte Mehrheiten
o Europäische Kommission
 Entstanden aus der Fusion von Eur Coal and Steal Comm und Eur Atomic Energy Comm
 Exekutivorgan, setzt die Entscheidungen und Richtlinien der EU um
 Gewährleistung der Anwendung der Verträge und der von den Organen
erlassenen Maßnahmen
 Anwendung des EU-Rechts unter Kontrolle des EuGH
 Ausführung des Budgets und Verwaltung der Programme
 Initiiert Gesetzgebung
 EU-Rechtsvorschriften können nur angenommen werden, wenn sie von der
Kommission vorgeschlagen werden
 Befugnis, rechtliche und administrative Maßnahmen zu ergreifen, einschließlich der
Verhängung von Geldbußen gegen Mitgliedstaaten, die sich nicht an Gesetze halten;
Aufsichtsbehörde über andere Institute
 Unabhängige Kommissare ohne Gefolgschaft der Mitgliedstaaten, die sie entsenden
 Ausgewählt auf Basis „Allgemeinkompetenz und europäisches Engagement“
 ROLLE IM DATENSCHUTZ: schafft Rechtsvorschriften; kann
"Angemessenheitsfeststellungen" annehmen, bei denen Nicht-EU-Mitgliedstaaten ein
angemessenes Datenschutzniveau bieten; setzt die Charta der Personalabteilung durch
und gewährleistet so ein hohes Maß an Schutz der Rechte des Einzelnen auf
Privatsphäre und Datenschutz
o Europäischer Gerichtshof
 Sitz in Luxemburg, eingerichtet mit dem Vertrag von Paris 1951
 Gerichtsstand
 Klagen der Kommission oder eines Mitgliedstaats gegen die Nichterfüllung
vertraglicher Verpflichtungen durch einen Mitgliedstaat
 Klagen von Mitgliedstaaten, einem EU-Organ oder einer natürlichen oder
juristischen Person zur Überprüfung der Rechtmäßigkeit von Handlungen eines
EU-Instituts
 Klagen von Mitgliedstaaten, einem EU-Organ oder natürlichen oder juristischen
Personen gegen EU-Organe wegen Untätigkeit
 Vor nationalen Gerichten eingeleitete Klagen, von denen aus
Vorabentscheidungsersuchen an den EuGH zu Fragen der Auslegung oder
Gültigkeit des EU-Rechts gerichtet werden
 Stellungnahmen zur Vereinbarkeit internationaler Abkommen der EU mit
Verträgen

5
  Rechtsmittel des EuGH (Vorinstanz des EuGH)
 Trifft Entscheidungen zum EU-Recht und setzt europäische Entscheidungen durch auf
der Grundlage von:
 Maßnahmen der Kommission gegen einen Mitgliedstaat
 Maßnahmen von Einzelpersonen zur Durchsetzung ihrer Rechte nach EU-Recht
 28 von der Regierung ernannte Richter mit einer Amtszeit von 6 Jahren; ein Präsident
unter den 28, der alle 3 Jahre von den Richtern gewählt wird
 8 Befürworter allgemein (geben unverbindliche Gutachten des EuGH ab, um den
EuGH bei der Entscheidung von Fällen zu unterstützen)
 ROLLE IM DATENSCHUTZ: in Datenschutzfällen involviert (EuGH-Entscheidungen zum
Datenschutz)
 Vor den nationalen Gerichten gebracht, von der Kommission gegen die
Mitgliedstaaten erhoben
 Großbritannien spricht sich dafür aus, die EU-Vorschriften zur Vertraulichkeit
elektronischer Kommunikation nicht vollständig umzusetzen
 Google Spanien vs. AEDP (2014), Recht auf Vergessenwerden
 Digital Rights Ireland v. Ireland (2014): Ungültigkeit der Richtlinie zur
Vorratsdatenspeicherung in Bezug auf die Artikel 7, 8 und 11 der Charta
 Smaranda Bara gegen CNAS (ANAF-Fall, 2015): Personenbezogene Daten dürfen
nicht zwischen öffentlichen Verwaltungsbehörden eines Mitgliedstaats
übermittelt werden, ohne dass die Person über die Übermittlung informiert wird
 Weltimmo gegen ungarische DPA (2015): grenzüberschreitende Überweisungen
innerhalb der EU
 Schrems v. Data Protection Commissioner (2015): US Safe Harbor für ungültig
erklärt als unzureichend
o Europäischer Gerichtshof für Menschenrechte* (gegründet vom CoE, nicht von der EU)
 Keine EU-Institution, keine Durchsetzungsbefugnisse
 Urteile sind bindend, Länder zur Einhaltung verpflichtet
 EGMR-Entscheidungen können Geschädigte entschädigen
 Anzahl der Richter=Anzahl der Mitglieder des Europarates, die das Übereinkommen
ratifiziert haben, aber keine Staaten vertreten
 Kammern mit 7 Richtern verhandeln Fälle, die Kosten werden vom CoE getragen
 Gerichtsstand
 Alle Fälle, die die Auslegung oder Anwendung der EMRK betreffen
 Fälle können von Vertragsstaaten oder der Europäischen Kommission der
Personalabteilung
o Staaten, deren Bürger mutmaßlich Opfer eines Verstoßes gegen die
EMRK sind, Staaten, die den Fall an die Kommission verwiesen haben,
und Staaten, gegen die eine Beschwerde eingereicht wurde (wenn die
Gerichtsbarkeit des EGMR oder die Zustimmung zur Anhörung des Falles
durch den EGMR zwingend erforderlich ist), können Fälle vorbringen
o Verstoß muss von einem an die EMRK gebundenen Staat begangen
worden sein
 EGMR hat keine Befugnis, nationale Entscheidungen außer Kraft zu setzen oder
nationale Gesetze aufzuheben; keine Vollstreckungsbefugnisse (CoE behandelt,
nachdem eine Entscheidung getroffen wurde)

6
  ROLLE IM DATENSCHUTZ: Gewährleistung des Rechts auf Schutz der Privatsphäre (nicht
des Datenschutzes!); der EGMR war im Bereich des Datenschutzes aktiv
 Drei französische Fälle (2009): Das Gericht bekräftigte die grundlegende Rolle
des Schutzes personenbezogener Daten, vertrat jedoch die Auffassung, dass die
automatisierte Verarbeitung von Daten für polizeiliche Zwecke und
insbesondere „die Aufnahme der Antragsteller in die nationale Polizeidatenbank
für Sexualstraftäter nicht gegen Artikel 8 verstößt“.
 MM v. UK (2012): Die wahllose und unbefristete Erhebung von
Strafregisterdaten entspricht wahrscheinlich nicht Artikel 8
 Copland v. UK (2007): Die Überwachung der E-Mail des Antragstellers bei der
Arbeit verstößt gegen Artikel 8, da dies gesetzlich nicht vorgesehen ist
 Gaskin v. UK (1989): Beschränkung des Zugangs des Antragstellers zu seiner
Akte entgegen Artikel 8
 Haralambie v. Rumänien: Hindernisse, die dem Antragsteller in den Weg gelegt
wurden, als er Zugang zu den Geheimdienstakten über ihn suchte, die in den
Tagen der kommunistischen Herrschaft erstellt wurden, standen im
Widerspruch zu Art. 8 Abs.
 Gesetzlicher Rahmen
o Konvention 108 (1981)
 Erstes rechtsverbindliches internationales Instrument auf dem Gebiet der DP
 Gründe für C108: (1) Versäumnis der MS, auf die Beschlüsse des CoE aus den Jahren 73
und 74 zum Schutz der Privatsphäre zu reagieren, und (2) Notwendigkeit, die in diesen
Beschlüssen enthaltenen Grundsätze mit einem verbindlichen Instrument zu stärken
 Offen zur Unterzeichnung am 28. Januar 1981
 Bemerkenswert aus 3 Gründen
 Basierend auf einer Reihe von Grundsätzen, die sich mit den Hauptanliegen im
Zusammenhang mit der Datenschutzrichtlinie befassen (Genauigkeit und
Sicherheit der Datenschutzrichtlinie, Recht auf Zugang), die ihren Weg in die
Richtlinie und die DSGVO gefunden haben
 Beide gewährleisten einen angemessenen Schutz der Privatsphäre des Einzelnen
und erkennen auch die Bedeutung des freien PD-Flusses für den Handel und die
Ausübung öffentlicher Funktionen an
 Rechtsverbindliches Instrument: verlangt von den Unterzeichnerstaaten die
Umsetzung von Grundsätzen durch den Erlass nationaler Rechtsvorschriften
 Zweck: Schaffung einer größeren Einheit zwischen den Unterzeichnerstaaten und
Ausweitung der Garantien für die Rechte und Grundfreiheiten des Einzelnen
o Datenschutzrichtlinie (95/46/EG) (1995)
 Kam zustande, weil nur eine kleine Anzahl von Staaten C108 ratifizierte und die Gesetze
der Mitgliedstaaten bei der Umsetzung einen fragmentierten Ansatz verfolgten: Sie
wurden zu einem Hindernis für die Datenschutzrechte
 Markiert den Ausgangspunkt der Führungsrolle der EU in der europäischen DP und die
relative Herabstufung der Bedeutung von C108
 EU kann im Gegensatz zum CoE keine eigenständigen HR-Gesetze erlassen: muss sich
auf spezifische Bestimmungen des Vertrags von Rom stützen => ** *BASIEREND AUF
BINNENMARKTHARMONISIERUNGSMASSNAHME
 Reguliert den freien Fluss personenbezogener Daten zwischen MS

7
  Als Richtlinie wurden unterschiedliche Interpretationen erstellt, die von den
Mitgliedstaaten in ganz Europa übernommen wurden
 Erforderlichkeit und Angemessenheit Schlüsselkonzepte in der Richtlinie (rechtmäßige
Gründe für die Verarbeitung und keine Übermittlung in Länder, die kein angemessenes
Schutzniveau bieten)
 Behandelt manuelle und automatisierte Daten gleich
 Grundprinzipien:
 Faire und rechtmäßige Verarbeitung
 Für einen bestimmten und legitimen Zweck erhoben, nicht in einer mit diesem
Zweck unvereinbaren Weise verarbeitet
 Angemessen, relevant, nicht übertrieben
 Genau und auf dem neuesten Stand
 Nicht länger als nötig aufbewahrt
 Verarbeitung in Übereinstimmung mit den Rechten des Einzelnen
 Geeignete technische und organisatorische Maßnahmen
 Nur außerhalb des EWR in Länder mit angemessenem Datenschutzniveau
übertragen
 Gilt nur für Datenverantwortliche, die in einem EU-Mitgliedsstaat niedergelassen sind
oder bei denen C Datenverarbeitungsgeräte im Hoheitsgebiet eines Mitgliedstaats
einsetzt (Erfordernis, einen Vertreter zu ernennen)
 Spezielle Kategorien identifizierter Daten: Rasse, ethnische Zugehörigkeit, Politik,
Religion, Gewerkschaftszugehörigkeit, Informationen zu Gesundheit und Sexualleben
 Einrichtung von DPAs, wobei WP29 ein unabhängiges Gremium ist, das sich aus DPA-
Vertretern zusammensetzt
 Verschrottet für die DSGVO, um eine einheitlichere Anwendung und Auslegung zu
erreichen
 3 Faktoren der Überarbeitung: Divergenz der nationalen Maßnahmen und
Praktiken bei der Umsetzung, Auswirkungen auf Unternehmen und
Einzelpersonen, Entwicklungen in der Technologie
 Hauptziele: Schutz der Daten des Einzelnen, Bürokratieabbau für Unternehmen,
Gewährleistung des freien Datenverkehrs innerhalb der EU
 Wichtige Änderungen von der Richtlinie zur DSGVO:
 Admin-Anforderungen entfernt (z. B. Benachrichtigungsanforderungen,
übermäßig teuer für Unternehmen)
 Erhöhte Verantwortung und Rechenschaftspflicht für die Verarbeitung von PD
 Lead Authority/Haupt-DPA
 Personen größere Kontrolle über Daten (expliziteres Einverständnis erforderlich)
 Verbesserte Portabilität zur Verbesserung des Wettbewerbs zwischen Servicern
 Recht auf Vergessenwerden
 Stellen Sie sicher, dass die EU-Vorschriften angewendet werden, wenn EU-Daten
im Ausland verarbeitet oder Dienstleistungen an EU-Bürger vermarktet werden
 Stärkung der Befugnisse und Sanktionen der Datenschutzbehörde
 Grundsätze und Regeln für die polizeiliche und justizielle Zusammenarbeit in
Strafsachen
 Trilogverfahren zwischen Kommission, Parlament und Ministerrat mit mehreren
Entwürfen zur Einigung auf die endgültige Verordnung
o DSGVO (2018)

8
 Wesentlicher Schritt zur Stärkung der Grundrechte der Bürger im digitalen Zeitalter und
Erleichterung der Wirtschaft durch Vereinfachung der Regeln für Unternehmen im
digitalen Binnenmarkt
 Enthält sowohl operatives Recht als auch Präambel, die bei der Auslegung des Gesetzes
helfen
 Wesentliche Änderungen gegenüber der Richtlinie:
 Rechtsanwendung: direkt anwendbar in allen Mitgliedstaaten, ohne nat'l leg zu
erlassen
o Nicht auf Datenverantwortliche beschränkt
 Langfristige Reichweite der Satzung (Einrichtung nicht erforderlich)
o Ermittelt nach Standort der betroffenen Person, wenn angebotene
Waren oder Dienstleistungen oder überwachtes Verhalten
o Die Verfolgung von DS im Internet, um ihre persönlichen Präferenzen zu
analysieren oder vorherzusagen, wird die Anwendung der Verordnung
auslösen, einschließlich der Verfolgung von Cookies oder der App-
Nutzung
 Individuen die Kontrolle über ihre Daten geben: Stärkung der Einwilligung und
der DS-Rechte
o Zustimmung kann nicht mit AGB gebündelt werden, kann jederzeit auf
einfache Weise widerrufen werden, erklärt Einzelpersonen vor
Einholung der Zustimmung
o KINDERBESCH
 Neuere und stärkere Persönlichkeitsrechte
o Transparenzpflichten, Rechte auf Datenübertragbarkeit, Einschränkung
der Verarbeitung, Recht auf Vergessenwerden
o Beibehaltung bestehender Rechte: Auskunft des Betroffenen,
Berichtigung, Löschung, Widerspruchsrecht, Recht auf Erhebung einer
Gebühr wurde aufgehoben
 Neues Rechenschaftssystem: Machen Sie Unternehmen für ihre Datenpraktiken
rechenschaftspflichtiger
o Unternehmen implementieren Datenschutzrichtlinien
o Datenschutz durch Design und Standard
o Aufzeichnungspflichten
o Zusammenarbeit mit DPAs
o DPIAs
o Vorherige Konsultation mit DPAs in Hochrisikosituationen
o Obligatorische DSB für bestimmte Cs und Ps
 Neue Pflichten des Datenverarbeiters
o Darf ohne Zustimmung von C keine Unteraufträge an Sub-P vergeben
o Viele ähnliche Verpflichtungen wie C oder Verpflichtung, C bei der
Einhaltung der DSGVO zu unterstützen
 Internationale Datenübermittlungen: Einschränkungen bestehen weiterhin
o Angemessene Sicherheitsvorkehrungen treffen, unter der Bedingung,
dass durchsetzbare Rechte und wirksame Rechtsbehelfe für
Einzelpersonen bestehen

9
 o BCRs werden jetzt explizit erwähnt, neben SCCs, Verhaltenskodizes,
Zertifizierungsmechanismen, anderen von der DPA genehmigten
Verträgen
o Konsistenzmechanismus für DPAs
 Sicherheit: geeignete technische und organisatorische Maßnahme zum Schutz
personenbezogener Daten
o Melden Sie Datenverletzungen innerhalb von 72 Stunden an die DPA,
melden Sie Datenverletzungen mit hohem Risiko an DS
 Durchsetzung und Risiko der Nichteinhaltung steigen
o Einzelpersonen haben Anspruch auf Entschädigung, können eine
Datenschutzbehörde zwingen, auf eine Beschwerde zu reagieren
o Rechte können von Verbraucherorganisationen im Namen von
Einzelpersonen ausgeübt werden
o Potenziell schwerwiegende Sanktionen, insbesondere bei Verstößen
gegen Grundprinzipien (Einwilligung), DS-Rechte, rechtmäßige
internationale Datenübermittlungen, Verpflichtungen nach den
Gesetzen der Mitgliedstaaten und Anordnungen von
Datenschutzbehörden
o LEDP (2008)
 Schutz der PD in der polizeilichen und justiziellen Zusammenarbeit in Strafsachen
 3 Hauptziele:
 (1) bessere Zusammenarbeit zwischen den Strafverfolgungsbehörden,
Verbesserung der Zusammenarbeit bei der Bekämpfung des Terrorismus und
anderer schwerer Kriminalität in Europa,
 (2) besserer Schutz der Daten der Bürger unter Anwendung der Grundsätze der
Notwendigkeit, Verhältnismäßigkeit und Rechtmäßigkeit mit angemessenen
Garantien und Überwachung durch unabhängige nationale
Datenschutzbehörden mit verfügbaren Rechtsbehelfen und
 (3) klare Regeln für den internationalen Datenverkehr, um den Schutz von EU-
Bürgern zu gewährleisten, die nicht untergraben werden
o ePrivacy-Richtlinie (2002)
 Ersetzt die Richtlinie von 1997, um den Konvergenzprozess widerzuspiegeln, das
aufkommende Internet
 Die EU-Telekommunikationsgesetze wurden auf die gesamte elektronische
Kommunikation ausgeweitet
 Notwendigkeit eines konsistenten und gleichen Schutzes unabhängig von den
verwendeten Technologien
 Reformen zur Förderung eines stärkeren Wettbewerbs in der Branche, der
Wahlmöglichkeiten und des Schutzes der Verbraucher, eines stärkeren Rechts der
Verbraucher auf Privatsphäre
 Gilt für „die Verarbeitung von PD im Zusammenhang mit der Bereitstellung öffentlich
zugänglicher elektronischer Kommunikationsdienste in öffentlichen
Kommunikationsnetzen“ in der EU
 Privates Netzwerk wie Firmen-Intranet im Allgemeinen nicht abgedeckt
(Gedankengrundsätze der Richtlinie gelten weiterhin, wenn PD verarbeitet wird)
 Wesentliche Bestimmungen:

10
  Technische und organisatorische Maßnahmen zur Gewährleistung der
Sicherheit ihrer Dienste; Dienstanbieter ist stärker verpflichtet, den Abonnenten
über Datenschutzverletzungen zu informieren
 MS erforderlich, um die Vertraulichkeit der erzeugten Kommunikations- und
Verkehrsdaten zu gewährleisten
o Ausnahmen: Zustimmung des Benutzers zum Abhören und Überwachen
oder solche, die gesetzlich zulässig sind
 Die meisten Formen des digitalen Marketings erfordern eine vorherige
Zustimmung (Opt-in)
o Begrenzte Ausnahme für Bestandskunden für ähnliche Produkte und
Dienstleistungen, Opt-out-Bestimmung stattdessen
 Verarbeitung von Verkehrs- und Rechnungsinformationen eingeschränkt
 Standortdaten dürfen nur anonymisiert oder mit Einwilligung und für die
erforderliche Dauer verarbeitet werden
 Abonnenten müssen informiert werden, bevor sie in ein Verzeichnis
aufgenommen werden
 Gleichgewicht zwischen Datenschutzrechten und freiem Datenverkehr, die
Mitgliedstaaten sollten vermeiden, zu viele technische Anforderungen zu stellen, die
den freien Datenverkehr behindern würden
 Änderungen
 Obligatorische Benachrichtigung bei Verletzungen des Schutzes
personenbezogener Daten durch Dienstleister an Datenschutzbehörden und
relevante Personen, wenn die Verletzung die personenbezogenen Daten oder
die Privatsphäre eines Abonnenten oder einer Person beeinträchtigen könnte
 Einzelpersonen und ISPs können gegen unerwünschte Kommunikation (Spam)
vorgehen
 Cookies: nur unter der Bedingung zulässig, dass der betroffene Nutzer seine
Einwilligung erteilt hat, nachdem er gemäß der Richtlinie klare und umfassende
Informationen erhalten hat
o Ausnahmen: Die technische Speicherung oder der technische Zugriff
dient ausschließlich der Übertragung einer Kommunikation über ein
elektronisches Kommunikationsnetz oder ist für die Bereitstellung eines
vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes der
Informationsgesellschaft unbedingt erforderlich
 Mittel, mit denen die Einwilligung eingeholt werden muss, nicht spezifiziert: Aus
bestimmten Handlungen kann eine eindeutige Einwilligung abgeleitet werden, wenn die
Handlungen zu einer unmissverständlichen Schlussfolgerung führen, dass die
Einwilligung erteilt wird, sofern die Einwilligung dem Standard der freien, spezifischen
und informierten Erteilung entspricht (implizite Einwilligung)
 Reform der ePD
 die ePrivacy-Verordnung wird diskutiert, um ePD zu ersetzen, den Rahmen zu
harmonisieren und die Kohärenz mit der DSGVO zu gewährleisten
 Hauptmerkmale:
o Breitere Anwendung (alle Anbieter elektronischer
Kommunikationsdienste)
o Einheitliches Regelwerk

11
 o Vertraulichkeit von E-Comms (Zugriff auf Inhalte ohne Zustimmung des
Nutzers verboten, Ausnahme zur Wahrung des öffentlichen Interesses)
o Einwilligung zur Verarbeitung von Kommunikationsinhalten und
Metadaten: anonymisiert oder gelöscht, wenn Benutzer keine
Einwilligung erteilen, außer zu Abrechnungszwecken
o Neue Geschäftsmöglichkeiten: Ermöglichen Sie
Telekommunikationsbetreibern, mehr Möglichkeiten zur Datennutzung
und zur Bereitstellung zusätzlicher Dienstleistungen zu haben
o Cookies: derzeit eine Überflutung von Einwilligungsanfragen,
Rationalisierung des Prozesses
 Ermöglichen Sie Benutzern, mehr Kontrolle über die
Einstellungen zu haben
 Keine Zustimmung erforderlich für nicht-datenschutzbezogene
aufdringliche Cookies, die das Interneterlebnis verbessern (z. B.
Erinnerung an die Warenkorbhistorie)
 Cookies, die von der Website auf die Anzahl der Besucher
gesetzt werden, erfordern keine Zustimmung mehr
o Schutz vor Spam: Verbietet unerwünschte elektronische
Kommunikation auf irgendeine Weise, registrieren Sie sich auf der
Nicht-Anruf-Liste, Marketing-Anrufe müssen sich identifizieren
o Durchsetzung: Verantwortung der nationalen Datenschutzbehörden
 Folgen eines Verstoßes: Mirrors GDPR
 Vorschlag zur Einführung von „berechtigten Interessen“ als weitere
Rechtfertigung für die Verarbeitung von Daten
o Richtlinie zur Vorratsdatenspeicherung (2006)
 Entwickelt, um die Verfügbarkeit von Verkehrs- und Standortdaten für Zwecke der
schweren Kriminalität und der Terrorismusbekämpfung sicherzustellen
 2014: Der EuGH entschied, dass die Richtlinie ungültig ist, weil sie einen
unverhältnismäßigen Geltungsbereich hat und mit den Rechten auf Privatsphäre und
Datenschutz gemäß der EU-Grundrechtecharta unvereinbar ist
o Auswirkungen auf die Mitgliedstaaten
 Konsistenz und zeitnahe Umsetzung ein Problem mit Richtlinien
 Erlaubte MS die Freiheit, genau zu bestimmen, unter welchen Bedingungen die
Verarbeitung von PD rechtmäßig ist
 Verschiedene Mechanismen in verschiedenen MS verwendet
 Verantwortliche in mehreren Mitgliedstaaten mussten widersprüchliche
Verpflichtungen wie Benachrichtigungen, internationale Datenübertragungen
und Direktmarketing-Anforderungen erfüllen
 Die Mitgliedstaaten haben eine Frist, wann sie eine Richtlinie umsetzen können
o Die Kommission setzt die ordnungsgemäße Umsetzung durch und stellt
sicher, dass sie Maßnahmen ergreifen kann, wenn die Umsetzung gegen
EU-Recht verstößt
o Wenn MS nicht rechtzeitig implementiert, werden Maßnahmen
dagegen ergriffen
 Direkte Wirkung = Einzelpersonen können sich sofort darauf verlassen, Klagen
gegen Regierungen vor nationalen Gerichten zu erheben

12
  Die Mitgliedstaaten und ihre Gerichte müssen ihre Gesetze im Lichte des Textes
und des Zwecks der Richtlinie auslegen, auch wenn sie noch nicht umgesetzt
wurden
 Direkte Auswirkungen der Regulierung
 Nationale DP-Gesetze werden für alle Angelegenheiten, die in den
Anwendungsbereich der DSGVO fallen, nicht mehr relevant sein
 Direkt in den Mitgliedstaaten geltende Vorschriften, bedürfen keiner weiteren
Umsetzung, gelten ab dem 25. Mai 2018 sofort EU-weit

Abschnitt II: Europäisches Datenschutzrecht und -verordnung

 Datenschutzkonzepte
o Die technologischen Entwicklungen haben die Art und Weise, wie Unternehmen arbeiten,
verändert und erfordern jetzt Schutz für personenbezogene Daten
 Neue Definition von personenbezogenen Daten, um Online-Identifikatoren
einzubeziehen
o Personenbezogene Daten (allgemein, gilt auch dann, wenn die Verbindung zur Person schwach
ist)
 Vier Bausteine: (1) alle Informationen (2) in Bezug auf (3) eine identifizierte oder
identifizierbare (4) natürliche Person
 Alle Informationen
 Betrachten Sie Natur, Inhalt und Form
 Aussagen über eine Person, sowohl objektiv als auch subjektiv
 Muss nicht wahr sein, um personenbezogene Daten zu sein
 Informationen über das Privatleben der Person und Informationen über jede
Aktivität der Person; auch Online-Identifikatoren (Profil erstellen)
 In jeder Form verfügbare Informationen: automatisiert verarbeitet, aber auch
manuell, wenn sie Teil eines Ablagesystems sind (das technologieneutral sein
soll)
 In Bezug auf
 Über eine Person
 Könnte sich auf Objekte, Prozesse oder Ereignisse beziehen: Getrieben vom
Zweck der Verarbeitung (z. B. Informationen über ein Auto, um die Rechnung
einer Person zu bearbeiten)
 Inhalt (Informationen über eine Person), Zweck (Verarbeitung zur Bewertung,
Berücksichtigung oder Analyse einer Person), Ergebnis (Verarbeitung hat
Auswirkungen auf die Rechte und Interessen der Person)
 Identifiziert oder identifizierbar
 Nicht, dass jemand identifiziert wird, sondern dass es möglich ist, dies durch die
Kombination von Daten mit anderen Informationen zu tun (auch wenn andere
Informationen nicht vom Datenverantwortlichen aufbewahrt werden (Puzzle-
Identifikation)
 Hypothetische Identifizierung nicht genug, es sollte vernünftigerweise
wahrscheinlich sein (unter Berücksichtigung der Kosten, der verfügbaren
Technologie und der technischen Entwicklungen)
 Z.B. CCTV: Zweck ist es, Personen zu identifizieren
 Dynamische IP-Adressen können mit Hilfe von ISPs verknüpft werden, so dass
sie PD sind

13
  Die DSGVO gilt nicht für anonyme Informationen; Pseudonymisierung stellt
einen Mittelweg dar, entfernt aber die Organisation nicht aus der DSGVO
o Maßnahme, um sicherzustellen, dass PD, die nicht auf Einzelpersonen
zurückzuführen ist, eine gute Sicherheit ist
o Schutzmaßnahmen helfen bei der Datenminimierung
 Die Aggregation für statistische Zwecke führt zu nicht personenbezogenen
Daten, aber der Kontext kann die Identifizierung von Stichprobengrößen
ermöglichen, die nicht groß genug sind
 Natürliche Person
 Unabhängig vom Wohnsitzland; gilt nicht für Verstorbene oder
Organisationsdaten
o Sensible personenbezogene Daten (besondere Kategorien)
 Informationen, bei denen die Verarbeitung erhebliche Risiken für die Grundrechte und
Grundfreiheiten des Einzelnen mit sich bringen könnte
 Kategorien: Rasse, ethnische Zugehörigkeit, politische Meinung, Religion,
Gewerkschaftszugehörigkeit, genetische oder biometrische Daten (zur eindeutigen
Identifizierung natürlicher Personen), Gesundheitsdaten, sexuelle Orientierung,
Sexualleben
 Gesundheit= vergangener, gegenwärtiger oder zukünftiger Gesundheitszustand,
körperliche oder geistige Gesundheit
o Registrierung für oder Erbringung von Gesundheitsdienstleistungen,
Informationen aus Tests oder Untersuchungen des Körpers oder der
Körpersubstanz
 Verarbeitung von Fotos (kann Rasse, ethnische Zugehörigkeit, körperliche
Behinderung=Gesundheit offenbaren)
o Verantwortliche und Auftragsverarbeiter
 Verantwortlicher: bestimmt Zweck und Mittel der Datenverarbeitung,
Hauptentscheidungsträger
 Verantwortung dafür, dass die Verarbeitung eine legitime Grundlage hat, DS-
Rechte eingehalten werden und festzustellen, ob die Benachrichtigung von
DPAs oder DS erforderlich ist, wenn ein Verstoß vorliegt
 Wahrscheinlich das erste Ziel der Durchsetzung durch DPAs, nicht Ps
 DieIdentifizierung des C hilft festzustellen, welche DPA die Autorität über die
Verarbeitungstätigkeit hat
 Kann eine natürliche Person sein, aber im Allgemeinen die Organisation oder
das Unternehmen und nicht eine bestimmte Person, die vom für die
Verarbeitung Verantwortlichen ernannt wurde
o Wenn die Verarbeitung außerhalb des Umfangs und der Kontrolle von C
erfolgt, kann der Einzelne zum Verantwortlichen werden
 Gemeinsam: wenn derselbe Satz von Daten/Verarbeitungsmitteln und Zwecken,
die von zwei separaten Verantwortlichen bestimmt werden, gemeinsam sein
kann (derselbe Satz von Informationen kann von verschiedenen
Verantwortlichen getrennt verarbeitet werden und die Verarbeitung nicht
verbinden)
o Muttergesellschaften können gemeinsame Verantwortliche mit
Tochtergesellschaften werden

14
 o Legen Sie von Anfang an die jeweiligen Verantwortlichkeiten für die
Einhaltung der DSGVO fest, damit sich die gemeinsame
Verantwortlichkeit im Laufe der Zeit nicht weiterentwickelt; weisen Sie
die Verantwortlichkeiten für mögliche Datenschutzverletzungen klar zu
o Gemeinsame Verantwortliche müssen DS das Wesen der Beziehung zur
Verfügung stellen; DS-Rechte können gegen jeden der Cs ausgeübt
werden
 Cs bestimmen Zwecke und Mittel der Verarbeitung: Tatsachen oder Umstände,
die wahrscheinlich entscheidend werden (Ps können zu Cs werden)
o Warum und wie der Verarbeitung: Warum findet die Verarbeitung statt
und welche Rolle spielen die an der Verarbeitung beteiligten Parteien?
 Ps haben einen gewissen Ermessensspielraum bei der
Durchführung des Wie, ohne Cs zu werden: "bedeutet" ist nicht
nur die technische Art der Verarbeitung, sondern auch, welche
Daten verarbeitet werden, welche Dritten Zugriff haben, welche
Daten gelöscht werden, wie lange sie aufbewahrt werden usw.
 Ps können technische und organisatorische Dinge bestimmen, z.
B. welche Art von Software für die Verarbeitung verwendet
werden soll
 Wesentliche Elemente der Verarbeitung sind mit C
 3 Kontrollquellen: explizite Rechtskompetenz, implizite Kompetenz, sachliche
Beeinflussung
 Auftragsverarbeiter: darf Daten nur auf der Grundlage dokumentierter Anweisungen
des Verantwortlichen verarbeiten
 Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
 DSGVO-Anforderungen: Sicherheit, Aufbewahrung von Aufzeichnungen,
Benachrichtigung von Cs über Datenverstöße und Sicherstellung der Einhaltung
von Beschränkungen für internationale Datenübertragungen
o Verpflichtungen in Bezug auf Zwecke wie rechtmäßige Gründe und die
Achtung von DS-Rechten, die nur Cs auferlegt werden
 Ps dürfen Daten nur auf der Grundlage von C-Anweisungen verarbeiten und
haben einen Vertrag oder einen verbindlichen Rechtsakt, der das Verhältnis
zwischen C und P schriftlich regelt
 **Neu für Nicht-EWR-Ps, wenn die Verarbeitung für EWR-C noch der DSGVO
folgen muss
 P VERTRAGSANFORDERUNGEN: Daten nur auf der Grundlage dokumentierter
Anweisungen von C verarbeiten, einschließlich Anweisungen für Übertragungen;
sicherstellen, dass autorisiertes Zugangspersonal der Vertraulichkeit zustimmt;
alle Mittel für die Sicherheit der Verarbeitung ergreifen; die Bedingungen für die
Unterverarbeitung einhalten; C mit geeigneten technischen und
organisatorischen Sicherheitsmaßnahmen unterstützen; C bei der Einhaltung
der Verpflichtungen in Artikel 32-36 unterstützen
 Unterauftragsvergabe: vorherige Genehmigung von C (kann allgemein oder
spezifisch sein, mit der Möglichkeit, der Hinzufügung oder dem Austausch von
Verarbeitern zu widersprechen), der Vertrag zwischen P und Unter-Ps muss

15
 zwingende Bestimmungen für den Verarbeiter enthalten, und der ursprüngliche
P bleibt gegenüber C für die Erfüllung seiner Unter-Ps in vollem Umfang haftbar
 Cs und Ps sollten den Grad des unabhängigen Urteils bestimmen, den P ausüben kann,
die Überwachung der Ausführung der Dienstleistung durch den C, die Sichtbarkeit/das
Bild, das C dem Einzelnen darstellt, und das Fachwissen der Parteien
o Verarbeitung
 Alle Vorgänge oder Vorgänge, die mit personenbezogenen Daten oder Datensätzen
durchgeführt werden, unabhängig davon, ob sie automatisiert erfolgen oder nicht, wie
z. B. Erfassung, Aufzeichnung usw.
 Schwierige ID-Zeiten, wenn die Verwendung von PD nicht verarbeitet wird, breite
Definition
 Bedingungen: (1) Die Verarbeitung muss ganz oder teilweise automatisiert erfolgen,
oder (2) wenn keine automatisierten Mittel vorhanden sind, muss es sich um PD
handeln, die Teil des Ablagesystems sind (strukturierter Satz von PD, auf den nach
bestimmten Kriterien zugegriffen werden kann
o Betroffene Person: identifizierte oder identifizierbare natürliche Person, die sich auf
personenbezogene Daten bezieht
 Die DSGVO erstreckt sich nicht auf juristische Personen oder gilt nicht für tote Personen
 Territorialer und materieller Geltungsbereich der DSGVO
o Territorialer Geltungsbereich
 In der EU ansässige Organisationen
 Wenn EU-gegründet, spielt es keine Rolle, wo die Verarbeitung stattfindet
 Etablierung: effektive und reale Ausübung der Tätigkeit durch stabile
Arrangements (Weltimmo)
o Breites Konzept der Einrichtung: Website richtet sich an Menschen in
einem Land, in ihrer Sprache, Vertreter verfügbar, Postfach = das reicht!
o Staatsangehörigkeit des DS irrelevant
o "Eine Organisation kann gegründet werden, wenn sie"durch stabile
Vereinbarungen im Hoheitsgebiet dieses Mitgliedstaats eine echte und
effektive Tätigkeit ausübt, auch eine minimale "."
 "Im Rahmen der Aktivitäten"
o Die DSGVO gilt unabhängig davon, ob die Verarbeitung in der Union
erfolgt oder nicht
o Google v. Spanien: ausreichende Verbindung zwischen den Aktivitäten
von Google Spanien und Google, Inc. - untrennbar verbunden wegen
der Gewinne
o Jede Organisation mit EU-Vertriebsbüros, die Werbung oder Marketing
fördern oder verkaufen oder Einzelpersonen in der EU ansprechen, fällt
in den Geltungsbereich (auch ausländische Unternehmen mit EU-Büros)
o Nicht explizit verwendet, um zu bestimmen, welche Gesetze der
Mitgliedstaaten gelten sollen: Wenn sich Ausnahmen oder
Abweichungen zwischen den Mitgliedstaaten unterscheiden, sollte das
Recht des Mitgliedstaats gelten, dem C unterliegt
o ***Auftragsverarbeiter mit EU-Niederlassung fallen ebenfalls unter die
DSGVO, auch wenn C, DS und die Verarbeitung außerhalb der EU
erfolgt!! Verrückt breit

16
  Langarm-Organisationen, die Waren oder Dienstleistungen an EU-Bürger verkaufen oder
deren Verhalten überwachen
 DS muss in der EU sein, aber EU-Aufenthalt ist nicht unbedingt eine
Voranforderung
 Targeting EU DS
o Stellen Sie fest, ob C oder P beabsichtigt, DS Dienstleistungen in der EU
anzubieten (wenn versehentlich etwas an eine EU-Person verkauft wird,
nicht unbedingt im Rahmen der DSGVO)
o Relevante Faktoren: (1) Verwendung der EU-Sprache, (2) Anzeige der
Preise in EU-Währung, (3) Möglichkeit, Bestellungen in EU-Sprachen
aufzugeben, und (4) Verweis auf EU-Benutzer oder -Kunden
o Die Absicht, EU-Kunden anzusprechen, kann durch "Patent" -Beweise (z.
B. Geld für eine Suchmaschine, um den Zugang innerhalb der EU-
Mitgliedstaaten zu erleichtern) und andere Faktoren wie internationale
Art der Aktivität (touristische Aktivitäten), Erwähnungen von
Telefonnummern mit Ländercode, Verwendung von
Länderdomänennamen (.de, .fr, .uk, .eu), Reiserouten aus einem
Mitgliedstaat und Erwähnungen internationaler Kunden, einschließlich
Kunden in Mitgliedstaaten, belegt werden
 Überwachung des Verhaltens
o Verhalten muss innerhalb der EU auftreten
o Online-Tracking von Personen zur Erstellung von Profilen, Analyse oder
Vorhersage persönlicher Präferenzen (Cookies)
 Völkerrecht
o Verarbeitung an einem Ort, an dem das öffentliche Recht die
Zuständigkeit der Mitgliedstaaten zulässt (z. B. Botschaften und
Konsulate von EU-Mitgliedstaaten, Flugzeuge, Schiffe)
o Materialumfang
 Angelegenheiten außerhalb der DSGVO (alles andere ist enthalten)
 Öffentliche Sicherheit, Verteidigung, Nationale Sicherheit, Gemeinsame Außen-
und Sicherheitspolitik der EU
 Haushaltsbefreiung: rein persönliche oder familiäre Aktivitäten, die nicht mit
beruflichen oder geschäftlichen Aktivitäten verbunden sind (z. B. soziale
Netzwerke und Online-Aktivitäten)
o Cs und Ps, die Mittel zur Verarbeitung von Haushaltsaktivitäten
bereitstellen, die noch im Geltungsbereich liegen
o Lindqvist: Ausnahme gilt nicht für die Bearbeitung einer
Veröffentlichung im Internet, so dass die Daten einer unbestimmten
Anzahl von Personen zugänglich gemacht wurden
 WP29= Veröffentlichung von Informationen für die ganze Welt
und nicht für eine kleine Gruppe von Freunden kann ein Faktor
für die Anwendbarkeit der Ausnahme sein
 Verhütung, Aufdeckung und Verfolgung strafrechtlicher Sanktionen
(Polizeibefugnisse)
o Die Datenschutzrichtlinie der Strafverfolgungsbehörden deckt in diesen
Fällen die PD ab

17
 o LEDP gilt für „zuständige Behörden“: öffentliche Behörde, die für die
Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten
zuständig ist, oder jede andere Stelle oder Einrichtung, die nach dem
Recht der Mitgliedstaaten mit der Ausübung öffentlicher Gewalt für die
oben genannten Zwecke betraut ist
o Wenn Daten für unterschiedliche Zwecke verarbeitet werden, kann die
zuständige Behörde sowohl der DSGVO als auch der LEDP unterliegen
o Daten, die an eine andere Stelle übermittelt werden, die keine
zuständige Behörde ist, unterliegen der DSGVO
 EU-Institutionen
 ePrivacy-Richtlinie
 Die DSGVO erlegt Personen, die bereits der ePrivacy-Richtlinie unterliegen,
keine zusätzlichen Verpflichtungen auf, wenn die Richtlinie bereits einen Bereich
 Die Zustimmung zum Direktmarketing im Rahmen der ePD kann jetzt im
Rahmen der DSGVO strenger sein
 Kommission will volle Kohärenz zwischen DSGVO und ePD erreichen
 E-Commerce-Richtlinie
 Die DSGVO lässt die Regeln in der ECD unberührt, insbesondere in Bezug auf
zwischengeschaltete Dienstleister
 ECD stellt jedoch fest, dass Fragen im Zusammenhang mit der Verarbeitung von
PD aus seinem Anwendungsbereich ausgeschlossen sind und ausschließlich
durch die einschlägigen Datenschutzgesetze geregelt werden
 Grundsätze der Datenverarbeitung
o Stammt aus Konvention 108 und Datenschutzrichtlinie
o Rechtmäßigkeit, Fairness und Transparenz
 Rechtmäßigkeit: Rechtsgrundlagen für die Verarbeitung der Daten
 Einwilligung
 Vertragserfüllung mit der betroffenen Person
 Gesetzliche Verpflichtung (in der EU/Mitgliedstaat)
 Lebenswichtige Interessen (Leben oder Tod)
 Öffentliches Interesse (Ausübung öffentlicher Gewalt)
 Berechtigtes Interesse: notwendig für das berechtigte Interesse des
Verantwortlichen oder Dritten, und Interessen werden nicht durch Interessen
oder Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft
gesetzt (Abwägung!)
 Fairness
 DS muss sich bewusst sein, dass Daten verarbeitet werden, wie Daten
gesammelt und verwendet werden
 In bestimmten Fällen ist die Verarbeitung automatisch gesetzlich zulässig und
gilt als fair
 Sehen Sie sich an, wie sich die Verarbeitung auf DS auswirkt: Wenn negative
Auswirkungen und Auswirkungen nicht gerechtfertigt sind, gilt die Verarbeitung
als unfair
o Z. B. wenn Reise-Websites die Preise von Orten, die Sie sich mehrmals
angesehen haben, auf der Grundlage von Cookies erhöhen, ist die
Verarbeitung unfair

18
 o Z.B. wenn ein Polizist sieht, dass jemand, den er wegen
Geschwindigkeitsüberschreitung angehalten hat, bereits mehrere
Strafzettel hat und die Geldstrafe erhöht, ist das fair
 Transparenz
 C muss offen und klar mit DS über die Verarbeitung sein (wie und warum,
Quelle)
o Aus diesem Grund muss DPA benachrichtigt werden: hat DS überhaupt
nicht geholfen
 Befreiung von der Informationspflicht, wenn Daten, die direkt von DS und DS
erhoben werden, bereits relevante Informationen kennen
 Ausnahme, wenn C Daten aus einer anderen Quelle bezieht UND: die
Bereitstellung von Informationen unmöglich ist oder einen unverhältnismäßigen
Aufwand erfordert, um das berechtigte Interesse von DS zu schützen und die
Vertraulichkeit der Informationen zu wahren
 Benötigt die rechtzeitige Übermittlung von Informationen (siehe
Benachrichtigungskapitel)
 Informationen müssen klar, prägnant und leicht verständlich sein und auf
zugängliche Weise bereitgestellt werden
o Berücksichtigen Sie folgende Umstände: Art der Daten, Art der
Datenerhebung und ob die Daten direkt oder indirekt erhoben werden
o Überlegen Sie, ob DS ein Kind ist (einfache und einfache Sprache
erforderlich), ob Fachjargon involviert sein wird, versuchen Sie, eine
einfache Sprache zu verwenden; Verwenden Sie kurze und Ad-hoc-
Datenschutzhinweise mit Links zu längeren Texten
 Verwendung von standardisierten Symbolen in Betracht gezogen
o Zweckbindung
 Verarbeiten Sie Daten nur, um festgelegte, eindeutige und legitime Zwecke zu erfüllen,
und verarbeiten Sie sie nicht über diese Zwecke hinaus, es sei denn, es wurden Daten
erhoben, die für den ursprünglichen Zweck geeignet sind. Um die Kompatibilität zu
bestimmen, sollten Sie Folgendes berücksichtigen:
 Zusammenhang zwischen Verarbeitungszwecken
 Kontext, in dem PD gesammelte, vernünftige Erwartungen an DS
 Art der PD (Sonderkategorien?)
 Folgen der Weiterverarbeitung an DS
 Vorhandensein geeigneter Sicherheitsvorkehrungen
 Identifizieren Sie zunächst einen bestimmten Zweck für die Verarbeitung von PD
 Wenn die weitere Verarbeitung mit der ursprünglichen Verwendung vereinbar ist, kann
die ursprüngliche Rechtsgrundlage verwendet werden; wenn sie unvereinbar ist, ist eine
separate Rechtsgrundlage erforderlich und C muss DS benachrichtigen
o Datenminimierung
 Daten müssen relevant, notwendig und angemessen sein, um den Zweck zu erfüllen, für
den sie verarbeitet werden
 Erforderlichkeit: geeignet und zumutbar für Zwecke der Verarbeitung
 Von einer Art, die notwendig ist, um den Zweck zu erreichen
 Angemessen, wenn die Art oder Menge der PD im Verhältnis zu den Zwecken
verhältnismäßig ist

19
  Die Feststellung, ob der Zweck durch die Anonymisierung von Daten erreicht
werden kann, könnte bei der Bewertung der Notwendigkeit helfen (ohne alle
eindeutigen Kennungen)
 Verhältnismäßigkeit
 Betrachten Sie die Menge der gesammelten Daten: große Datenmengen ohne
Einschränkungen sind unverhältnismäßig
 Berücksichtigen Sie mögliche nachteilige Auswirkungen der Verarbeitungsmittel
und überprüfen Sie, ob Alternativen vorhanden sind
 Gilt auch für Big-Data-Projekte
o Genauigkeit
 Cs müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Daten
korrekt und auf dem neuesten Stand sind
 Implementieren Sie Prozesse, um Ungenauigkeiten bei der Datenerhebung und der
laufenden Datenverarbeitung zu vermeiden
 Cs müssen bewerten, wie zuverlässig eine Quelle ist, aus der sie Informationen sammeln
 Wenn Daten für statistische oder historische Zwecke erhoben werden, muss C die PD
nur so beibehalten, wie sie ursprünglich erhoben wurde
 Die Genauigkeit kann dazu führen, dass Aufzeichnungen über Fehler korrigiert werden
müssen
 Cs muss DS antworten, der die Berichtigung von Informationen anfordert
o Speicherbegrenzung (Zeit): Daten, die nicht länger als für die Zwecke der PD erforderlich
aufbewahrt werden, werden verarbeitet
 PD kann länger gespeichert werden, wenn sie anonymisiert ist oder ausschließlich zu
Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen
Forschungszwecken oder zu statistischen Zwecken verarbeitet wird
 Cs darf PD nur unbegrenzt aufbewahren, wenn Daten irreversibel anonymisiert
sind oder aus anderen oben genannten Gründen
 Es sollten Fristen für die Löschung oder regelmäßige Überprüfung festgelegt werden
 Cs überprüfen persönliche Aufzeichnungen von Mitarbeitern, wenn die Beziehung zu
einem Ende kommt, bestimmen, was für rechtliche Zwecke aufbewahrt werden muss
 Wenn das Gesetz schweigt, müssen interne Richtlinien zur Vorratsdatenspeicherung
festgelegt werden, um diesen Grundsatz zu erfüllen
o Integrität und Vertraulichkeit
 Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor zufälligem Verlust,
Zerstörung oder Beschädigung durch geeignete technische und organisatorische
Maßnahmen
 Verwendung von Pseudonymisierung und Verschlüsselung von Daten
 Weisen Sie ausreichende Ressourcen zu, um einen Rahmen für die
Informationssicherheitspolitik zu entwickeln und umzusetzen
 Setzen Sie rechtliche und technische Datensicherheitsexperten ein und legen Sie ein
eigenes Budget fest
o Auch die Rechenschaftspflicht, die in der DSGVO hinzugefügt wurde!
 Rechtmäßige Verarbeitungskriterien
o Die Verarbeitung muss rechtmäßig, fair und transparent erfolgen
o Baseline: Verarbeitung unrechtmäßig! C muss die Rechtsgrundlage für die Verarbeitung
nachweisen oder Ausnahmen zeigen (Journalismus oder Forschung, bei denen das Interesse an
der freien Meinungsäußerung überwiegen kann)

20
o Verarbeitung normaler personenbezogener Daten
 Einwilligung (zu bestimmten Zwecken)
 Muss frei gegeben, spezifisch, informiert und eindeutig sein
o Frei gegeben =echte Wahl, mit der Möglichkeit, abzulehnen oder sich
zurückzuziehen
 Nicht frei gegeben, wenn mit einem anderen Problem
gebündelt (z. B. Kauf einer Dienstleistung)
 Der Antrag auf Zustimmung muss in einer Weise gestellt
werden, die sich deutlich von anderen Angelegenheiten
unterscheidet
 Wenn die Vertragserfüllung von der Einwilligung in die
Verarbeitung abhängig ist und die Verarbeitung für die
Vertragserfüllung nicht erforderlich ist, ist die Einwilligung
ungültig
 Die Zustimmung sollte nicht herangezogen werden, wenn ein
klares Ungleichgewicht zwischen DS und C besteht (Arbeitgeber-
Arbeitnehmer-Verhältnis, gültige Zustimmung nur möglich,
wenn der Arbeitnehmer eine echte Möglichkeit hat, sich
zurückzuhalten, ohne Nachteile zu erleiden: Arbeitgeber sollten
sich nicht auf die Zustimmung verlassen)
 Widerrufsfreiheit: Cs sollten daher prüfen, ob die Einwilligung
die beste Voraussetzung für eine langfristige Verarbeitung ist
o Spezifisch=im Zusammenhang mit einem bestimmten
Verarbeitungsvorgang
 C sollte DS die vorgeschlagene Verwendung der Daten klar
erläutern
 Wenn mehrere Zwecke, sollte die Zustimmung für alle von
ihnen gegeben werden
 Wenn sich die Verarbeitungstätigkeit ändert, muss
möglicherweise eine neue Zustimmung eingeholt
werden
 Für die wissenschaftliche Forschung, wenn nicht möglich, um
die Zwecke vollständig zu identifizieren, kann DS die
Zustimmung zu bestimmten Bereichen der wissenschaftlichen
Forschung erteilen
o Informiert=DS angesichts aller notwendigen Details der
Verarbeitungstätigkeit in Sprache und Form, die sie verstehen können,
wissen, wie sich die Verarbeitung auf sie auswirken wird
 DS sollte zumindest die ID des Verantwortlichen und die Zwecke
der Verarbeitung kennen
o Eindeutig= DS-Erklärung oder bejahende Handlung darf keinen Zweifel
an ihrer Einwilligungsabsicht lassen
 Zustimmung kann nicht vorausgewählt sein, DS muss aktiv ein
Auswahlkästchen ankreuzen
 Schweigen oder voreingestellte Kästchen stellen keine
Zustimmung dar

21
  Wenn die Einwilligung vorformuliert ist, muss sie in verständlicher und leicht
zugänglicher Form in klarer und einfacher Sprache und ohne missbräuchliche
Klauseln im Einklang mit den Verbraucherschutzanforderungen erfolgen
 Manchmal ist eine Zustimmung erforderlich, so dass sich die Arbeitgeber auf die
Zustimmung und eine andere legitime Verarbeitungsbedingung verlassen
können, um ein Buy-In zu erstellen
 Wenn eine gültige Einwilligung eingeholt wird, können laufende Interaktionen
mit DS eine fortgesetzte Einwilligung bieten
 Timing: Zustimmung muss eingeholt werden, bevor C PD verarbeitet
 Cs muss nachweisen, dass DS dem Verarbeitungsvorgang zugestimmt hat, und
die von bestimmten DS erteilten Zustimmungen protokollieren
 Die Einwilligung ist nicht gleichbedeutend mit der Möglichkeit, sich abzumelden.
Sie erfordert eine ausdrückliche Angabe von Wünschen und eine Art
bestätigende Maßnahme.
 Eine Einwilligung, die durch Zwang oder Nötigung erlangt wurde, ist ungültig
o Bestimmte Arten von schutzbedürftigen Personen können
möglicherweise keine Einwilligung erteilen (Minderjährige benötigen die
Einwilligung des Inhabers der persönlichen Verantwortung für das Kind)
 Wenn die Zustimmung der Eltern erforderlich ist, muss C
angemessene Anstrengungen unternehmen, um die
Zustimmung der Eltern oder des Erziehungsberechtigten zu
überprüfen
 Das Mindestalter für die Einwilligung gilt nur im Zusammenhang
mit (1) Diensten der Informationsgesellschaft, die einem Kind
direkt angeboten werden, und (2) wenn sich das C
ausschließlich auf die Einwilligung stützt oder sich nicht auf ein
anderes Kriterium stützen kann
 **Cs sollten ein anderes Kriterium berücksichtigen, um die PD
des Kindes zu verarbeiten
 Notwendigkeit
 Enge und substanzielle Verbindung zwischen Verarbeitung und Zwecken (nur
bequem zählt nicht)
 Nicht ausreichend, damit C die Verarbeitung für seine Zwecke für notwendig
hält, muss ein objektiver Test sein, ob die Verarbeitung für den angegebenen
Zweck unbedingt erforderlich ist
 Vertragserfüllung, bei der DS Partei ist
 Wenn DS ein Produkt oder eine Dienstleistung von C kauft
 Die Verarbeitung von PD muss unvermeidbar sein, um den Vertrag
abzuschließen
 Erforderlich für die Einhaltung der rechtlichen Verpflichtung, der C unterliegt
 Erforderlich zur Einhaltung von Gesetzen wie Steuer- oder
Sozialversicherungspflichten in der EU
 Vorbehaltlich zusätzlicher MS-Gesetze
 Zum Schutz lebenswichtiger Interessen von DS oder einer anderen natürlichen Person
 Lebens- oder Todessituationen, nur in seltenen Notfallsituationen relevant,
wenn DS nicht zustimmen kann (bewusstlos), Bereitstellung dringender
medizinischer Versorgung

22
  Gilt nur mit einer anderen Verarbeitungsgrundlage existiert nicht
 Erforderlich für die Erfüllung von Aufgaben, die im öffentlichen Interesse ausgeführt
werden, oder für die Ausübung der behördlichen Befugnisse, die dem für die
Verarbeitung Verantwortlichen übertragen wurden
 Die Mitgliedstaaten oder die EU-Rechtsvorschriften legen fest, welche Aufgaben
im öffentlichen Interesse ausgeführt werden
 DS haben das Recht, der Nutzung ihrer Daten zu widersprechen
o Wenn C Einwände erhebt, muss C nachweisen, dass er zwingende
schutzwürdige Gründe für die Verarbeitung von Daten hat, die
ausreichen, um Interessen, Rechte und Freiheiten der betroffenen
Person außer Kraft zu setzen oder zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen
 Vorbehaltlich zusätzlicher MS-Gesetze
 Erforderlich für berechtigte Interessen von C oder Dritten
 Außer wenn Interessen durch Interessen oder Grundrechte und Grundfreiheiten
von DS außer Kraft gesetzt werden (insbesondere wenn DS ein Kind ist)
 ** Ausgleichstest
 Behörden können sich nicht auf berechtigte Interessen berufen, der
Gesetzgeber muss den Behörden eine Rechtsgrundlage für die Verarbeitung
personenbezogener Daten bieten
 Voraussetzungen, um sich auf diese Grundlage zu stützen: (1) für den Zweck
erforderlich, (2) der Zweck muss ein berechtigtes Interesse des Auftraggebers
oder des Dritten sein, und (2) das berechtigte Interesse kann nicht durch DS-
Interessen oder Grundrechte und Grundfreiheiten außer Kraft gesetzt werden
 Berücksichtigen Sie angemessene Erwartungen an DS
 Berechtigte Interessen können bestehen, wenn eine relevante und
angemessene Beziehung zwischen DS und C besteht, z. B. wenn DS Kunde ist
oder im Dienst von C steht
 Die Verarbeitung von PD zur Betrugsprävention stellt ein berechtigtes Interesse
dar
 Direktmarketing, interne Admin-Zwecke, können berechtigte Interessen sein
 Verarbeitung streng verhältnismäßig und notwendig, um Netzwerk- und Info sec
zu gewährleisten
 Diese Grundlage kann von DPAs in der gesamten EU unterschiedlich verstanden
werden (z. B. ICO= Legitimität des verfolgten Interesses feststellen, dann zeigen,
dass die Verarbeitung im Einzelfall nicht durch Vorurteile gegenüber der
betroffenen Person ungerechtfertigt ist)
o Auch wenn es aufgrund einzigartiger Umstände Vorurteile gibt, die sich
auf eine bestimmte Person beziehen, beeinträchtigt dies nicht
unbedingt die gesamte Verarbeitung
 Unter Verwendung dieses Kriteriums haben DS das Recht, der Verwendung ihrer
Daten zu widersprechen: Wenn ein berechtigter Widerspruch von DS vorliegt,
muss C die Datenverarbeitung einstellen
o Verarbeitung sensibler personenbezogener Daten
 Fotos sollten nicht systematisch als sensible Daten betrachtet werden, da sie nur dann
als biometrische Daten gelten, wenn sie mit spezifischen technischen Mitteln

23
 verarbeitet werden, die eine eindeutige ID oder Authentifizierung einzelner Personen
ermöglichen
 Die Verwendung dieser Datenkategorien kann naturgemäß eine Bedrohung für die
Privatsphäre darstellen
 Personenbezogene Daten, die in Bezug auf Grundrechte und Grundfreiheiten besonders
sensibel sind, verdienen einen besonderen Schutz, da der Kontext erhebliche Risiken mit
sich bringen könnte
 Beeinflusst durch Antidiskriminierungsgesetze (erklärt durch SSN und
Kreditkartennummern nicht enthalten)
 In einigen Gerichtsbarkeiten müssen Cs die Erlaubnis der Datenschutzbehörden
einholen, bevor sie überhaupt verarbeitet werden können
 Cs müssen die Bedingungen gemäß Artikel 6 und 9 erfüllen, um sensible Daten zu
verarbeiten; sicherstellen, dass Ds ordnungsgemäß und vollständig darüber informiert
wird, wie Daten gemäß Artikel 12-14 verwendet werden
 Startpunkt= Verarbeitung verboten, es sei denn, es kann eine Ausnahme gefunden
werden
 AUSNAHMEN
 Einwilligung (es sei denn, das EU- oder MS-Recht besagt, dass das Verbot der
Verarbeitung von DS nicht aufgehoben werden kann: dann muss ein anderes
Kriterium verwendet werden)
o Eindeutig, frei gegeben, spezifisch, informiert und explizit
 Kann auf Papier oder in elektronischer Form mit digitalen
Signaturen, Klicken auf Symbole oder Bestätigungs-E-Mail
explizit sein
 Die Einwilligung muss ausdrücklich den Zweck der Verarbeitung
angeben (bezieht sich tatsächlich auf Kategorien von Daten, die
verarbeitet werden)
 Eine schriftliche Zustimmung und/oder eine dauerhafte
Aufzeichnung kann erforderlich sein
o Aussage oder eindeutige bestätigende Maßnahme erforderlich
 Erforderlich für die Durchführung von Verpflichtungen und die Ausübung
spezifischer Rechte des C oder DS im Bereich des Arbeits-, Sozialversicherungs-
und Sozialschutzrechts
o Notwendig für C, um den gesetzlichen Verpflichtungen aus dem
Arbeits-, Sozial- oder Sozialschutzrecht nachzukommen
o Relevant für DS-Kandidaten, Mitarbeiter und Auftragnehmer
o Bedarfsprüfung, Umfang des Kriteriums richtet sich nach lokalem
Arbeitsrecht
 Notwendig zum Schutz lebenswichtiger Interessen
o Wenn DS physisch oder rechtlich nicht in der Lage ist, die Einwilligung zu
erteilen
o Es wird erwartet, dass Sie versuchen, die Zustimmung einzuholen, bevor
Sie sich darauf verlassen
 Durchgeführt im Rahmen legitimer Aktivitäten mit angemessenen Garantien
durch eine Stiftung, ein assoziiertes Unternehmen oder eine andere
gemeinnützige Einrichtung mit politischer, philosophischer, religiöser oder
gewerkschaftlicher Zielsetzung

24
 o Und unter der Bedingung, dass sich die Verarbeitung nur auf Mitglieder
oder ehemalige Mitglieder oder auf Personen bezieht, die im
Zusammenhang mit ihren Zwecken regelmäßigen Kontakt mit der Org
haben, und dass die PD ohne Zustimmung von DS nicht außerhalb des
Körpers offengelegt wird
o Kirchen, politische Parteien usw.
o Die Verarbeitung darf nur (1) im Rahmen rechtmäßiger Tätigkeiten, (2)
mit angemessenen Garantien und (3) im Zusammenhang mit
bestimmten Zwecken erfolgen
 Von DS offensichtlich öffentlich gemachte personenbezogene Daten
o Medieninterviews, potentielle Social-Networking-Plattformen
 Erforderlich für die Begründung, Ausübung oder Verteidigung von
Rechtsansprüchen oder wenn Gerichte in gerichtlicher Eigenschaft handeln
o Erfordert C zur Feststellung der Notwendigkeit: enge und wesentliche
Verbindung zwischen Verarbeitung und Zwecken
o Alle diese Verarbeitungen unterliegen weiterhin den in Artikel 5
dargelegten DP-Grundsätzen
 Erhebliches öffentliches Interesse
o Auf der Grundlage des EU- oder MS-Rechts, das in einem angemessenen
Verhältnis zum verfolgten Ziel steht, den Wesensgehalt des Rechts auf
Datenschutz respektiert und geeignete und spezifische Maßnahmen zur
Wahrung der Grundrechte und Interessen von DS vorsieht
o MS kann Gesetze erlassen, aber die Verarbeitung muss (1) in einem
angemessenen Verhältnis zum verfolgten Ziel stehen und (2) den
Wesensgehalt des Rechts auf Datenschutz respektieren
o Von einigen Mitgliedstaaten definiertes öffentliches Interesse (nicht von
der DSGVO definiert)
 Keine Verpflichtung zur Mitteilung von Ausnahmeregelungen an
die EG gemäß Richtlinie
o Großbritannien hat weitere Kriterien für die Verarbeitung im
öffentlichen Interesse: Die Verarbeitung muss erforderlich sein, um
rechtswidrige Handlungen zu verhindern oder aufzudecken oder um
eine Funktion zu erfüllen, die darauf abzielt, die Öffentlichkeit vor
unehrlichem, ernsthaft missbräuchlichem Verhalten oder
Missmanagement in der Verwaltung einer Organisation oder eines
Verbands zu schützen
 Erforderlich für die Zwecke der Präventiv- oder Arbeitsmedizin, zur Beurteilung
der Arbeitsfähigkeit des Mitarbeiters, der medizinischen Diagnose, der
Gesundheitsversorgung oder gemäß dem Vertrag mit dem medizinischen
Fachpersonal und vorbehaltlich der Bedingungen und zusätzlichen
Sicherheitsvorkehrungen
o Zweck der medizinischen oder sozialen Versorgung
o Die Verarbeitung kann auf der Grundlage von EU- oder MS-Recht oder
im Rahmen von Verträgen mit Angehörigen der Gesundheitsberufe
erfolgen
o Die Ausnahme gilt hauptsächlich für Ärzte, Krankenschwestern oder
andere Personen, die in Gesundheitsberufen tätig sind

25
  Ausnahme bedeutet nicht, dass diese Personen vom Rest der
DSGVO ausgenommen sind
o Ermöglicht auch Dinge wie Drogentests, um sicherzustellen, dass die
Mitarbeiter arbeitsfähig sind
 Erforderlich aus Gründen des öffentlichen Interesses in Bereichen der
öffentlichen Gesundheit
o Wie Schutz vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder Gewährleistung hoher Qualitäts- und
Sicherheitsstandards der Gesundheitsversorgung und von Arzneimitteln
oder Medizinprodukten
o Öffentliche Gesundheit: alle Elemente im Zusammenhang mit der
Gesundheit, nämlich der Gesundheitszustand, einschließlich Morbidität
und Behinderung, die Determinanten, die sich auf diesen
Gesundheitszustand auswirken, der Gesundheitsbedarf, die für die
Gesundheitsversorgung zugewiesenen Ressourcen, die Bereitstellung
und den allgemeinen Zugang zur Gesundheitsversorgung sowie die
Gesundheitsausgaben und -finanzierung und die Ursachen der Moral
o Eine solche Verarbeitung sollte nicht dazu führen, dass PD aus anderen
Gründen von Dritten (z. B. Arbeitgebern, Versicherungen oder Banken)
verarbeitet wird
o Ermöglicht die Überwachung von Medikamenten und
Medizinprodukten, um Qualität und Sicherheit zu gewährleisten
 Erforderlich für Archivierungszwecke im öffentlichen Interesse,
wissenschaftliche oder historische Forschung oder statistische Zwecke
o Um sich auf dieses Kriterium zu stützen, muss die Verarbeitung über
angemessene Garantien verfügen und für einen der Zwecke des EU-
oder MS-Rechts erforderlich sein, der verhältnismäßig sein, den
Wesensgehalt des DP-Rechts respektieren und geeignete Garantien
vorsehen muss
o **Anonymisierung spiegelt Best Practices wider
o Pharmaunternehmen und akademische Einrichtungen sollten Parameter
dieser Ausnahme untersuchen
o Daten zu Straftaten, strafrechtlichen Verurteilungen sowie Straftaten und
Sicherheitsmaßnahmen
 Garantiert ein höheres Schutzniveau
 Darf nur unter Aufsicht einer behördlichen Behörde verarbeitet werden oder wenn die
Verarbeitung von der EU oder den Mitgliedstaaten genehmigt wurde und angemessene
Garantien für die Rechte und Freiheiten von DS vorgesehen sind
 Der für die Verarbeitung Verantwortliche des privaten Sektors muss die Vorschriften des
EU-Rechts oder des lokalen Rechts in Bezug auf die Verarbeitung von Daten prüfen
 **NICHT als Kategorie sensibler Daten im Sinne von Art. 9 Abs.
o Verarbeitung, die keine Identifizierung erfordert
 Wenn C DS bei der Verarbeitung von Daten nicht identifizieren muss, ist C nicht
verpflichtet, zusätzliche Informationen aufzubewahren, zu erwerben oder zu
verarbeiten, um DS ausschließlich zum Zwecke der Einhaltung der DSGVO zu
identifizieren

26
  C muss den Verpflichtungen in Bezug auf bestimmte Rechte von DS nicht nachkommen,
es sei denn, DS stellt zusätzliche Informationen zur Verfügung, um ihre Identifizierung zu
ermöglichen
 Informationspflichten
o Transparenz
 Daten müssen "rechtmäßig, fair" und auf transparente Weise übertragen werden
 Machen Sie den betroffenen Personen ihre verarbeiteten personenbezogenen Daten
deutlich, machen Sie sie auf ihre Rechte und die Risiken, Regeln und Garantien im
Zusammenhang mit der Verarbeitung aufmerksam
 DS über das Vorliegen der Verarbeitung und deren Zweck informiert
 Wenn Grundlage der Verarbeitung die Einwilligung ist, muss informiert werden
(Transparenz!)
 DS muss die ID des Controllers kennen
 Ungenaue oder unvollständige Informationen entsprechen nicht dem
Transparenzstandard
 Berechtigte Interessengrundlage für die Verarbeitung: Kann ein DS zum Zeitpunkt und
im Rahmen der Erhebung von PD vernünftigerweise erwarten, dass eine Verarbeitung zu
diesem Zweck stattfinden könnte?
 Allgemeine DPA-Meldepflicht entfällt!!
o DS hat das Recht, bestimmte Informationen von Cs zu erhalten, unabhängig davon, woher die
Informationen stammen
o Artikel 13: Bereitstellung von Informationen an DS, wenn Informationen direkt gesammelt
werden
 Folgende Informationen sind zur Bereitstellung erforderlich:
 ID und Kontaktdaten von C
 Kontaktdaten des DSB (falls zutreffend)
 Zwecke und Rechtsgrundlage der Verarbeitung
 Bei berechtigtem Interesse, was ist das berechtigte Interesse, das
 Empfänger oder Kategorien von Empfängern von Daten
 Ob C beabsichtigt, in ein Drittland oder IO zu übertragen, und ob eine
Angemessenheitsentscheidung der Kommission vorliegt, und wenn nicht,
welche geeigneten Garantien für die Übertragung vorhanden sind
 Artikel 13(2): Um eine faire und transparente Verarbeitung zu gewährleisten, stellen Sie
auch folgende Daten zur Verfügung (muss nur dann bereitgestellt werden, wenn dies
erforderlich ist, um eine faire PD-Verarbeitung zu gewährleisten: kann immer sein)
 Zeitraum PD wird gespeichert oder Kriterien werden verwendet, um diesen
Zeitraum zu bestimmen
 DS-Rechte in Bezug auf Daten: (1) rt auf Antrag auf Auskunft, Berichtigung oder
Löschung, (2) rt auf Antrag auf Einschränkung der Verarbeitung, (3) Widerspruch
gegen die Verarbeitung, (4) rt auf Datenübertragbarkeit
o NB nicht bedingungslose Rechte, nicht unter allen Umständen,
Ausnahmen bestehen
 Wenn die Verarbeitung auf einer Einwilligung beruht, kann die Einwilligung
widerrufen werden
 Rt. eine Beschwerde bei der Aufsichtsbehörde einzureichen
 Ob die Bereitstellung von PD eine gesetzliche oder vertragliche Anforderung ist
oder erforderlich ist, um einen Vertrag abzuschließen

27
  Ob DS verpflichtet ist, PD zur Verfügung zu stellen und die Konsequenzen, wenn
sie dies nicht tun
 Bestehen einer automatisierten Entscheidungsfindung aka Profiling
o Art 14: Informationen zur Bereitstellung von DS, wenn Informationen indirekt empfangen
werden
 Alles mit Artikel 13, plus Kategorien der betroffenen personenbezogenen Daten und die
Quelle der Daten
 Kein Erfordernis, DS darüber zu informieren, ob die Bereitstellung auf
gesetzlichen oder vertraglichen Erfordernissen beruht, oder zu erklären, ob DS
zur Bereitstellung von Informationen verpflichtet ist und welche Folgen dies hat,
wenn dies nicht geschieht
 Geben Sie Informationen an, es sei denn, es gilt eine Ausnahme
o Zusätzliche Informationen, die bereitgestellt werden müssen
 Art 15: DS-Recht, Informationen anzufordern
 Recht, von C die Einschränkung der Verarbeitung zu verlangen
 Recht auf Widerspruch gegen die Verarbeitung aufgrund berechtigter
Interessen von C, Notwendigkeit der Verarbeitung im öffentlichen Interesse
oder Direktmarketing
 Widerspruchsrecht gegen die Profilerstellung
 Internationale Datenübermittlungen
 Auf der Grundlage eines berechtigten Interesses: über die Weitergabe
informiert und darüber, was das Interesse ist
 Auf der Grundlage der Einwilligung: mögliche Risiken der Übertragung und
geeignete Sicherheitsvorkehrungen
 Basierend auf BCR: Informationen in BCR, DS-Verarbeitungsrechte und
Haftungsvereinbarungen
 Neuer Verarbeitungszweck
 DS muss über den Grund der Verarbeitung, der über den ursprünglichen Grund
hinausgeht, informiert werden
 Mehrere Controller
 Die Essenz der Anordnung sollte DS "zur Verfügung gestellt" werden (anders als
"bereitstellen")
 Verletzungen des Schutzes personenbezogener Daten: manchmal müssen
Informationen bereitgestellt werden
o Wann ist Auskunft zu erteilen?
 Informationen, die direkt von DS erhalten wurden: Informationen zum Zeitpunkt der
erhaltenen PD bereitstellen
 Indirekt erhalten: innerhalb eines angemessenen Zeitraums nach Erhalt (innerhalb von 1
Monat), wenn für Kommunikationen verwendet, dann zum Zeitpunkt der ersten
Kommunikation mit DS und wenn einem anderen Empfänger spätestens bei der ersten
Offenlegung von PD mitgeteilt
 Wenn eine neue Verarbeitung stattfindet, muss DS vor der neuen Verarbeitung
informiert werden
 DS Widerspruchsrecht muss mindestens zum Zeitpunkt der ersten Kommunikation mit
dem DS zur Verfügung gestellt werden
 Informationen über das Recht auf Widerruf der Einwilligung müssen vor Erteilung der
Einwilligung erteilt werden

28
o Wie man Informationen bereitstellt
 Prägnante, transparente, verständliche und leicht zugängliche Form
 Betrachten Sie das Publikum (unterschiedlich für Kinder)
 Gleiches Formular wie Informationen (z. B. elektronisch, auf der Website, per E-
Mail usw.)
 Klare und einfache Sprache
 Faire Verarbeitungsinformationen können auf Anfrage mündlich erteilt werden, solange
die ID von DS auf andere Weise nachgewiesen wird
 Kostenlos
 Visualisierung/Standardsymbole können verwendet werden
 Einwilligungsersuchen
 Auf eine Weise dargestellt, die sich deutlich von anderen Angelegenheiten
unterscheidet
 Verständliche und leicht zugängliche Form
 Klare und einfache Sprache
 Das Recht, der Verarbeitung zu widersprechen, muss DS klar und getrennt von anderen
Informationen zur Kenntnis gebracht werden
o Ausnahmen von der Informationspflicht
 Neuer Zweck der Verarbeitung: kein Informationsbedarf, wenn
 DS hat diese Info bereits
 Bei Erlangung oder Offenlegung von PD im Recht der Mitgliedstaaten, dem C
unterliegt und das geeignete Maßnahmen zum Schutz der berechtigten
Interessen von DS vorsieht
 PD muss vertraulich bleiben, vorbehaltlich einer Verpflichtung zum
Berufsgeheimnis, die durch das Recht der EU oder der Mitgliedstaaten geregelt
ist, oder
 Die Bereitstellung von Informationen wäre unmöglich oder mit
unverhältnismäßiger Wirkung oder zu Archivierungszwecken, im öffentlichen
Interesse, in der wissenschaftlichen oder historischen Forschung oder zu
statistischen Zwecken (wenn die Bedingungen und Garantien für die
Verarbeitung dieser Informationen erfüllt sind oder die Bereitstellung fairer
Verarbeitungsinformationen wahrscheinlich die Erreichung der Ziele der
Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt)
 C sollte geeignete Maßnahmen ergreifen, um DS rts, Freiheiten und legitime Interessen
zu schützen
 Definition „unverhältnismäßige Wirkung“: Anzahl der betroffenen Personen, Alter der
PD, angewandte Ausgleichsmaßnahmen (geeignete Sicherheitsvorkehrungen getroffen)
 Bekannte Personen über das Vorhalten von Daten über sie zu informieren, ist unsinnig
 DS ist weiterhin berechtigt, Datenverarbeitungsinformationen anzufordern, auch wenn
eine Befreiung von der Informationspflicht vorliegt
 Artikel 23: Ausnahmen für Dinge im Zusammenhang mit der Strafverfolgung, dem
öffentlichen Interesse und der nationalen Sicherheit
 Recht der betroffenen Personen, über Einschränkungen informiert zu werden,
es sei denn, dies würde den Zweck der Einschränkung beeinträchtigen
 Die Mitgliedstaaten können Rechtsvorschriften mit Ausnahmen für Medien und Kunst
erlassen
o anforderungen der ePrivacy-Richtlinie

29
  Relevant für die Verwendung von Cookies usw.
 Nur Einwilligung vorhanden: darf Cookies setzen, Informationen sammeln, nur mit
Einwilligung
 Informationen über das Cookie müssen dem Benutzer gegeben werden, und der
Benutzer muss zustimmen, bevor das Cookie auf seinem Gerät platziert wird
o Hinweise zur fairen Verarbeitung
 Cs müssen Informationen bereitstellen oder den DS speziell darauf aufmerksam
machen/informieren
 Faktoren, ob Informationen "zur Verfügung gestellt" oder "zur Verfügung gestellt"
werden sollen
 Umfang der Informationen, die DS bereits zur Verfügung stehen
 Element der Sammlung oder Verarbeitung DS würde unerwartet oder anstößig
finden
 Ob die Folgen der (Nicht-) Bereitstellung ihrer personenbezogenen Daten klar
sind und was die Folgen sind
 Art der erfassten PD (besondere Kategorien??) und Art der Personen
(schutzbedürftig)
 Methode, mit der Daten erhoben werden
 Das Widerspruchsrecht muss DS zur Kenntnis gebracht werden, nicht nur zur
Verfügung gestellt
 Auskünfte sind zu erteilen:
 Klar, prägnant und leicht verständlich in einfacher, eindeutiger und direkter
Sprache
 Wirklich informativ
 Genau und aktuell
 In angemessener Weise
 Vorausschauend, aber realistisch (muss nicht jede mögliche Verwendung von
Daten in Zukunft auflisten, sondern die vernünftigerweise vorhersehbaren)
 Kommerzieller Nutzen für die Informationsbereitstellung
 DS setzt Vertrauen in die Organisation, schafft Kundenbindung und -bindung
 DS wird wahrscheinlich immer mehr wertvolle personenbezogene Daten
bereitstellen
 Das Risiko von Beschwerden und Streitigkeiten, die sich aus der Verwendung
von PD ergeben können, wird reduziert
 Möglichkeiten, Mitteilungen zu machen:
 Mehrschichtige Hinweise zur fairen Verarbeitung: kurze erste Benachrichtigung
mit Durchklicken auf ein vollständigeres Formular, DS kennt Informationen, die
auf Wunsch verfügbar sind (entsprechendes Formular, wie gebührenfreie
Nummer, die Sie anrufen können, wenn Sie nicht online sind)
o 3 empfohlene Schichten
o Cs sollten wichtige Informationen und Details zur Verarbeitung liefern,
die unerwartet oder anstößig sein können, sofort und deutlich sichtbar
o Zuerst sollte die ID von C und der übergeordnete Zweck der
Verarbeitung sein
o Vorteile: Hilfe für DS, die nur bestimmte Datenmengen aufnehmen
können, Platz-/Zeitbeschränkungen, längere Hinweise beeinträchtigen
die Lesbarkeit

30
 o Stellen Sie sicher, dass Informationen, die DS zur Kenntnis gebracht
werden müssen, nicht vergraben werden
 Just-in-Time-Mitteilungen: Bereitstellung von Informationen an bestimmten
Stellen der Verarbeitung
 Datenschutz-Dashboards: können DS erlauben, zu kontrollieren, wie PD
verarbeitet wird
 Alternative Formate: Visualisierung, standardisierte Icons, Animationen für
Kinder
 Stellen Sie auch eine ungeschichtete Version zur Verfügung, wenn DS darauf
verweisen muss
 Diverse Technologien (z.B. CCTV, Drohnen)
 Stellen Sie Schilder und Informationsblätter auf, wenn sie in einem bestimmten
Bereich verwendet werden, und benachrichtigen Sie die Personen über die
Verwendung, listen Sie den Ort für Kontaktinformationen auf und kündigen Sie
länger an (QR-Code)
 Verwenden Sie soziale Medien usw., wenn Sie bei Veranstaltungen verwendet
werden sollen
 Stellen Sie die Verarbeitungsinformationen auf der Website des Betreibers zur
Verfügung
 Sicherstellen, dass Drohnen/Kameras sichtbar sind und der Betrieb auch
deutlich sichtbar ist, mit Beschilderungs-ID als Drohnenbediener
 Rechte der betroffenen Personen
o Stärkung der Rechte eines der Hauptziele der EU mit der DSGVO
 C sollte angemessene Anstrengungen unternehmen, um DS zu identifizieren
 Zeitrahmen, um DS-Anfragen zu berücksichtigen: Bestätigen Sie mindestens den Erhalt
der Anfrage und bestätigen oder klären Sie, was innerhalb eines Monats ab Eingang der
Anfrage angefordert wird (kann bei bestimmten Situationen und/oder besonders
komplexen Anfragen auf 2 weitere Monate verlängert werden)
 Wenn die Organisation beschließt, nicht fortzufahren, muss DS benachrichtigen
und auf Möglichkeiten zur Einreichung von Beschwerden hinweisen
 Elektronisch empfangene Anfragen sollten elektronisch beantwortet werden, es
sei denn, DS wünscht etwas anderes
 Transparenz ist von grundlegender Bedeutung: DS-Rechte können nicht garantiert
werden, wenn sie nicht ordnungsgemäß über die Aktivitäten von C informiert werden
o Recht auf Auskunft (über die Erhebung und Verarbeitung personenbezogener Daten)
 ID von C, Gründe und Zwecke der Verarbeitung, Rechtsgrundlage, Empfänger von Daten,
Übermittlung in Drittländer, sonstige Informationen zur Gewährleistung einer fairen und
transparenten Verarbeitung der Daten
 Datenquelle, wenn indirekt
o Auskunftsrecht
 DS hat das Recht, von C eine Bestätigung zu erhalten, ob PD verarbeitet wird, und wenn
ja, auch die folgenden Informationen
 Zwecke der Verarbeitung
 Kategorien von PD
 Empfänger (einschließlich Überweisung)
 Voraussichtlicher Zeitraum, für den PD gespeichert wird
 Recht auf Löschung oder Berichtigung

31
  Beschwerderecht
 Datenquelle, wenn indirekt
 Bestehen einer automatisierten Entscheidungsfindung
o Recht auf Berichtigung: Berichtigung unrichtiger Daten
 C muss sicherstellen, dass ungenaue oder unvollständige Daten gelöscht, geändert oder
berichtigt werden
o Recht auf Löschung (Recht auf Vergessenwerden)
 Recht auf Löschung, wenn Daten, die nicht mehr für den ursprünglichen Zweck benötigt
werden und kein neuer rechtmäßiger Zweck besteht, oder die rechtmäßige Grundlage
die Einwilligung ist und die Einwilligung ohne zusätzliche rechtmäßige Gründe für die
Verarbeitung widerrufen wird, oder DS das Recht auf Widerspruch ausübt und C keine
Gründe für die Außerkraftsetzung hat oder die Daten unrechtmäßig verarbeitet wurden
oder die Löschung zur Einhaltung des EU-Rechts oder des Rechts der nationalen
Mitgliedstaaten erforderlich ist
 Wenn C Daten öffentlich gemacht hat und Dritte verarbeiten, muss er Dritte darüber
informieren, dass DS von diesem Recht Gebrauch gemacht hat (ausgenommen, wenn
die Einhaltung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern
würde)
 Ausnahmen, wenn Verarbeitung notwendig ist
 Zur Ausübung des Rechts auf freie Meinungsäußerung und Information
 Zur Erfüllung gesetzlicher Verpflichtungen aus dem Recht der EU oder der
Mitgliedstaaten oder zur Erfüllung einer Aufgabe, die im öffentlichen Interesse
liegt (öffentliche Gesundheit, Archivierung, wissenschaftliche oder historische
Forschung oder statistische Zwecke)
 Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen
 Stärkt das Recht auf Vergessenwerden im Online-Umfeld
o Recht auf Einschränkung der Verarbeitung
 Recht auf Einschränkung, wenn die Richtigkeit der Daten angefochten wird
(Einschränkung bis zur Überprüfung der Richtigkeit), die Verarbeitung rechtswidrig ist
(DS kann anstelle der Löschung eine Einschränkung verlangen), C die Daten nicht mehr
für den ursprünglichen Zweck benötigt, aber dennoch zur Begründung, Ausübung oder
Verteidigung von Rechtsansprüchen erforderlich ist oder die Überprüfung zwingender
Gründe im Zusammenhang mit einem Löschungsantrag anhängig ist
 So erreichen Sie dies: Daten in ein anderes Verarbeitungssystem verschieben, Zugriff
einschränken, für Benutzer nicht verfügbar machen, vorübergehend von der Website
entfernen
o Recht auf Datenübertragbarkeit
 Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu
erhalten, um sie an einen anderen Controller zu übertragen, oder zu verlangen, dass sie
direkt übertragen werden, sofern dies technisch möglich ist
 Recht auf Datenübermittlung an ein anderes C ohne Behinderung durch
aktuelles C
o Widerspruchsrecht
 Wenn C „berechtigte Interessen“ als rechtmäßige Gründe verwendet, kann DS der
Verarbeitung widersprechen
 Nach Widerspruch muss C zwingende schutzwürdige Gründe für die
Verarbeitung nachweisen - > ausreichend zwingend, um die Interessen, Rechte

32
 und Freiheiten der betroffenen Person außer Kraft zu setzen (z. B. zur
Begründung, Ausübung oder Verteidigung von Rechtsansprüchen)
 Im Zusammenhang mit der Verarbeitung für wissenschaftliche und historische
Forschungs- oder statistische Zwecke kann DS nur widersprechen, wenn die
Verarbeitung für die Erfüllung einer im öffentlichen Interesse liegenden Aufgabe nicht
als notwendig erachtet wird
o Recht, keiner automatisierten Entscheidungsfindung zu unterliegen
 Gilt nur, wenn eine solche Entscheidung ausschließlich auf einer automatisierten
Verarbeitung beruht und Rechtswirkungen in Bezug auf die DS entfaltet oder diese in
ähnlicher Weise erheblich beeinträchtigt
 Selbst wenn die Verarbeitung unter diesen Artikel fällt, zulässig ist, wenn dies gesetzlich
zulässig ist, für die Vorbereitung oder Ausführung eines Vertrags erforderlich ist oder
mit ausdrücklicher Zustimmung des DS erfolgt, vorausgesetzt, C hat ausreichende
Sicherheitsvorkehrungen getroffen
 Sicherheit personenbezogener Daten
o Warum Sicherheit wichtig ist
 (1) Sicherheitszustand oft eine Voraussetzung für die Einhaltung anderer DP-Grundsätze
 (2) Schwere Fälle von Unsicherheit garantieren negative Medienberichterstattung
 (3) schlechte Sicherheitskontrollen= unterschiedliche Größen- und Schadensmerkmale
im Vergleich zu anderen DP-Verstößen
 Harms: Betrug und Identitätsdiebstahl
 Cybersicherheit und Datensicherheit haben die Aufmerksamkeit der nationalen Führer
wegen des Schadens, den sie verursachen könnten
 Spannungen zwischen Sicherheit und Recht auf Privatsphäre (nationale
Sicherheit und Strafverfolgung)
o Sicherheitsprinzip
 Artikel 5Absatz 1 Buchstabe f: Integrität und Vertraulichkeit der Daten
 5(2): Controller müssen in der Lage sein, Compliance nachzuweisen
 Artikel 32: geeignete technische und organisatorische Maßnahmen
 Cs und Ps müssen Kontrollen zum Schutz vor komplexen technologischen
Bedrohungen sowie zum Schutz vor fahrlässigen Mitarbeitern implementieren
 Erfordert keine absolute Sicherheit
o Regulierungsbehörden können nicht davon ausgehen, dass ein
Betriebsausfall zu einem Rechtsausfall führt
 Risikobasierter Ansatz: Risikobewertungen
o Art der zu verarbeitenden Daten
o Vernünftigerweise vorhersehbare Bedrohungen
o State-of-Art-Test
o Kostenbetrachtung
 Eine allein auf Kosten basierende Maßnahme kann nicht
ausgeschlossen werden
o Best Practices der Branche (z. B. Verschlüsselung, da Industriestandards
nicht gesetzlich vorgeschrieben sind, aber die Nichtumsetzung gegen
Best Practices verstößt)
 Artikel 32(4): Personen, die unter der Kontrolle von Cs und Ps stehen/für Cs und Ps
arbeiten
 Vertraulichkeitsprobleme

33
  Alle Menschen, die durch Arbeit Zugang zu PD haben, haben eine
Vertrauenspflicht
 Insider-Bedrohung: Cs und Ps sollten robuste Richtlinien haben, die die
Mitarbeiter auf ihre Verantwortung aufmerksam machen, PD übergeben,
regelmäßige Schulungen anbieten und klare Konsequenzen für Verstöße gegen
die Richtlinien festlegen
 Art 28: Auftragsverarbeiter und das Verhältnis zwischen Cs und Ps
 28(3)(h): Verarbeiter müssen in der Lage sein, die Einhaltung nachzuweisen
 28(1): Ablauf der Sicherheitsgrundsätze von C nach P und weiter zu Unter-Ps
 Cs dürfen nur Ps verwenden, die ausreichende Garantien für die Umsetzung
geeigneter technischer und organisatorischer Maßnahmen bieten können
o Nachweis vor Vertragsunterzeichnung, Audits zur Absicherung
o Ps können nur auf Anweisung von Cs handeln, sonst riskieren Sie, ein C
zu werden!
 P Pflicht zur Unterstützung von C bei der Einhaltung und Reduzierung des
Risikos
o Z. B. PD-Verletzungsbenachrichtigungen, effektive Erkennung von
Vorfällen und Reaktion
 Art 30: Verantwortliche und Auftragsverarbeiter müssen Aufzeichnungen über die
Verarbeitungstätigkeiten unter ihrer Verantwortung führen
o Benachrichtigung bei Verstößen: Pflicht des Verantwortlichen zur Benachrichtigung der
Datenschutzbehörde
 Transparenzmechanismus, fördert die Minderung von Verlusten und Schäden, hilft der
Gesellschaft, die Ursachen des Scheiterns zu verstehen, ermöglicht die Entwicklung von
Reaktionen, um das Risiko zukünftiger Ereignisse und deren Auswirkungen zu
minimieren
 Regulierungsbehörden können eine nachteilige Prüfung anwenden (behördliche
Durchsetzungsverfahren und Entschädigungsansprüche)
 Wenn die berichtende Einheit angemessene Sicherheitsmaßnahmen ergriffen
hat, werden keine weiteren Maßnahmen ergriffen
 Art 4(12): muss eine tatsächliche Sicherheitsverletzung sein, die zu einem negativen
Ergebnis führt - > Risiken von Sicherheitsverletzungen zählen nicht, obwohl das
Sicherheitsprinzip selbst darauf abzielt, Risiken zu verhindern
 Art 33: Benachrichtigung der Regulierungsbehörde
 Auslöser: Erkennung eines PD-Verstoßes (C wird sich des Verstoßes bewusst)
o Es kann nicht vermieden werden, Maßnahmen zur Erkennung zu
ergreifen (Artikel 5(1)(f) Erfordernisse für die Sicherheit)
 Verstöße, die ein Risiko für die Rechte und Freiheiten von Personen darstellen,
müssen der Datenschutzbehörde gemeldet werden
o BENACHRICHTIGUNG OHNE UNNÖTIGE VERZÖGERUNG: 72-Stunden-
Grenze
 Incident Response Plan für C
 Risikokonzept, das keiner Schwereschwelle unterliegt, da das Konzept der
Rechte und Freiheiten breit gefächert ist
 C muss jedes Mal dokumentieren, wenn eine Datenschutzverletzung auftritt,
Aufzeichnungen für immer aufbewahren, insbesondere wenn die DPA-
Berichtsschwelle nicht erreicht wird (auch gemeldete Aufzeichnungen)

34
  **Ps müssen Cs unverzüglich über Verletzungen des Schutzes
personenbezogener Daten informieren
 Art 34: Kommunikation mit der betroffenen Person
 Verstöße, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen
Personen darstellen, müssen die betroffenen Personen benachrichtigen
o Schweregradschwelle in Artikel 33 nicht vorhanden
o Was ist ein „hohes“ Risiko? Auswirkungen auf eine große Anzahl
betroffener Personen oder besonders große Schäden an bestimmten
Personen
 Ausnahmen
o Maßnahmen, die ergriffen werden, um PD unverständlich zu machen (z.
B. durch Verschlüsselung
o C hat Schritte unternommen, um zu verhindern, dass hohe Risiken
auftreten
o Die Offenlegung von Verstößen würde einen unverhältnismäßigen
Aufwand erfordern (z. B. wenn C nicht in der Lage ist, alle von
Verstößen betroffenen Personen zu identifizieren)
 Ist dies der Fall, ist eine breite öffentliche Bekanntmachung
angemessen
 Regulatoren können Cs anfordern, um sich an diesen Kommunikationen zu
beteiligen
o Bereitstellung von Sicherheit
 Geschäftsmitglieder müssen auf der ganzen Linie zusammenarbeiten, um die Sicherheit
zu gewährleisten: Verbinden Sie alle Facetten des Geschäfts mit Sicherheitsexperten in
der Organisation
 Risikobewertung, Rechenschaftspflicht und Datenschutz durch Design
 Faktoren, die bei der Gestaltung der Reaktion auf Vorfälle zu berücksichtigen sind (unter
anderem):
 Bedrohungs- und Schwachstellenbewertungen
 Menschliche Faktoren
 Erkennung und Reaktion von Vorfällen
 Erstellen Sie eine Datenzuordnung und Bestandsaufnahme, um Bereiche der
Datenerfassung und Dateneingabe genau zu bestimmen => Plotten Sie den Datenfluss
durch die Organisation bis zur Redundanz, wenn die Informationen gelöscht oder
zerstört werden
 Effektives Management ist der Schlüssel: Nehmen Sie Abweichungen von Richtlinien
und anderen Vorfällen ernst
 Folgen einer schwerwiegenden Sicherheitsverletzung berücksichtigen:
nachteilige Überprüfung durch Dritte
 Insider-Risikobewusstsein und -minderung
 Kultur des Risikobewusstseins, Respekt für PD, um gute Sicherheit zu schaffen
 Zu den Schlüsselkomponenten einer guten Sicherheitskultur gehören:
o Verständnis von Personenrisiken (Risikobewertung und -minderung,
Schulung)
o Rekrutierungsprozess: Zeigen Sie auch bei Bewerbern Wert auf
Sicherheit und Vertraulichkeit

35
 o Angebotsschreiben und Anstellungsvertrag: Unternehmenskultur
einbetten
o Annahme des Stellenangebots: Rekrut sollte den Rahmen für den
Datenschutz bestätigen
o Einführung: Einführungsprogramm für neue Mitarbeiter mit mehr
Schulungen
o Kontinuierliche Weiterbildung
o Angemessene Prozesse zur Bewältigung von Misserfolgen,
Disziplinarmaßnahmen
o Ende des Arbeitsverhältnisses: Rückgabe physischer Komponenten,
Sicherstellung gekündigter Zugriffsrechte und Privilegien
 Sicherheitsunterlagen
 Schriftliche Richtlinie, Sicherheitsregeln
 Angemessenheit des Papierkrams ist eines der ersten Dinge, die die
Aufsichtsbehörden bei der Untersuchung berücksichtigen werden
o Unzureichender Papierkram kann zu einem schlechten Eindruck führen
und im Falle von Sicherheitsverletzungen und Datenverlusten den
Aufsichtsbehörden ausreichende Gründe geben, um Verstöße
festzustellen
 Richtlinienbasierte Regulierung viel einfacher zu kontrollieren und zu
überwachen, billiger, schneller, effizienter
 Datenschutz durch Design, DPIAs und das Rechenschaftsprinzip setzen die
Erstellung und Verteilung von Aufzeichnungen voraus
 MEHRSCHICHTIGER ANSATZ: Die oberste Schicht enthält übergeordnete
Richtlinienanweisungen, die mittlere Schicht hat Kontrollen implementiert, um
Richtlinien zu erreichen, und die untere Schicht umfasst Betriebsprozesse und -
verfahren (das Warum, Was und Wie)
 Stellen Sie sicher, dass Technologie-Stacks robust sind: Antivirus, Antispam, Firewalls,
Verhinderung von Datenverlust usw.
 Einige Jurisdiktionen (Deutschland) haben rechtliche Anforderungen an die
Zusammenarbeit mit Betriebsräten vor dem Einsatz von Technologien
 Vollständig getestet von Penetrationstestern (ethische Hacker)
 Physische Umgebung: CCTV, Clean-Desk-Richtlinien usw.
 Risikomanagement von Ps, Lieferanten und Lieferanten
 Cs muss: (1) zuverlässige Prozessoren auswählen, (2) QC und Compliance
während der gesamten Beziehung aufrechterhalten und (3) die Beziehung in
einem Vertrag einrahmen, der die notwendigen Bestimmungen enthält, die P
dazu verpflichten, die Sicherheit aufrechtzuerhalten, nur auf Anweisung von C
zu handeln, mit C bei der Einhaltung zusammenzuarbeiten und Anforderungen
durch die Lieferkette zu kaskadieren
 Führen Sie Audits durch und bewerten Sie 3D-Parteien, bevor Sie mit ihnen in
Kontakt treten
 Wie sich Cs vor Compliance-Problemen nach Art 28 schützen können
o Checkliste der Probleme, die in der DD-Phase vor K zu berücksichtigen
sind
o Risikobewertung zum Verständnis von Bedrohungen und
Herausforderungen durch Outsourcing

36
 o Der Vertrag sollte einen Rahmen für laufende Zusicherungen enthalten
(Audits vor Ort, Inspektionen, Tests, Periodenbewertungen der
laufenden Einhaltung)
o Reaktion auf Vorfälle
 Incident Response Plan erstellen
 Genehmigung durch die Geschäftsleitung (Buy-in erhalten)
 Berücksichtigung antizipativer Aspekte des Vorfalls und Reaktionsaspekte der
Vorfallsreaktion
 Fügen Sie Grundsätze für die Entscheidungsfindung hinzu und listen Sie auf, wer
beteiligt sein wird
 Vorlagen für öffentliche Nachrichten und Kommunikationen
 Benchmarking gegen Mitbewerber auf dem Markt
 Analysieren, was für die Organisation und ihr Incident-Response-Team realistisch ist
 Lückenanalyse, Entdeckungsübung, um herauszufinden, was bereits getan wird,
Überprüfung früherer Ereignisse auf frühere Erfolge und Misserfolge
 Vorfallerkennung: Stellen Sie fest, ob die Organisation bereits kompromittiert wurde
(viele Hacker dringen ein und handeln jahrelang nicht)
 Sicherstellung einer ordnungsgemäßen Klassifizierung von Vorfällen (bei falscher
Klassifizierung kann dies zu einer falschen Behandlung und Offenlegungsentscheidungen
bei Verstößen führen)
 Erstellen Sie ein Playbook für den Umgang mit Vorfällen, die am
wahrscheinlichsten auftreten
 Erstellen Sie einen Plan für den Umgang mit den Folgen, den Umgang mit Medien,
Strafverfolgungsbehörden, betroffenen Personen, Versicherern, Anbietern
 Umgang mit der Offenlegung von Verstößen
 Prozesshaltung entwickeln
 Anforderungen an die Rechenschaftspflicht
o Was ändert sich im Allgemeinen
 Rechenschaftspflicht bedeutet, dass die Datenschutzbehörden jederzeit einchecken
können, wenn sie die 6 DP-Grundsätze einhalten möchten (neu in der DSGVO)!
 Organisationen müssen DP-Themen in ihr Geschäft und ihren Betrieb einbetten und eine
Kultur des Datenschutzes innerhalb des Unternehmens fördern
 DPAs können Datenschutzstandards für effektive DP-Programme veröffentlichen
(interne und externe Richtlinien, DPOs, Audits): Wenn Sie die CNIL-Standards befolgen,
erhalten Sie ein Datenschutzsiegel
o Verantwortlichkeit des Verantwortlichen
 Technische und organisatorische Maßnahmen: Art, Umfang, Kontext und Zwecke der
Verarbeitung sowie die Risiken für Rechte und Freiheiten des Einzelnen berücksichtigen
 Je höher das Risiko der Verarbeitung ist (Rufschädigung, Diskriminierung,
wirtschaftliche oder soziale Benachteiligung, Entzug von Rechten und
Freiheiten), desto größer ist die von der AG geforderte Maßnahme zur
Risikominderung
 Richtlinien zu haben und umzusetzen ist der einfachste Weg, um die Einhaltung der DPA
nachzuweisen (keine Richtlinie= es ist unwahrscheinlich, dass sie eingehalten wird), aber
das reicht allein nicht aus: 3 Schlüsselbereiche
 Interne Richtlinien: Schlüsselthemen, die angegangen werden sollten
o Geltungsbereich: für wen und Arten von Aktivitäten, für die sie gilt

37
 o Grundsatzerklärung: Verpflichtung zum PD-Schutz, Beschreibung der
Zwecke der Verarbeitung und des legitimen Geschäftszwecks
o Verantwortlichkeiten des Mitarbeiters: Was jede Rolle mit Daten tun
darf, Nutzungsbeschränkungen, zu befolgende Schritte, Sicherheits- und
Zugriffsverpflichtungen, Übertragung von PD verboten, es sei denn, es
wurden legitime Gründe festgelegt (Schritte, die Mitarbeiter vor der
Übertragung von Daten ergreifen sollten), Schulungsprogramme
 Informationssicherheitsrichtlinien: Best Practices, die auf
Industriestandards (ISO 27001/2) basieren, aber nicht
erforderlich sind
o Managementverantwortlichkeiten: Entwickeln von Protokollen zur
Identifizierung und Bewältigung von Risiken, Verantwortlichkeiten
sollten den einzelnen Rollen klar zugeordnet werden
o Meldung von Vorfällen: Mitarbeiter sollten ausdrücklich verpflichtet
werden, Vorfälle von Datenschutzverletzungen sofort zu melden (Zeit ist
von entscheidender Bedeutung: 72 Stunden, um sie der
Datenschutzbehörde zu melden); einen Reaktionsplan und ein Team für
Vorfälle aufzustellen und regelmäßig zu testen
o Einhaltung der Richtlinien: Mitarbeiter, die sich nicht an die interne
Disziplin halten, das Unternehmen und die beteiligten Personen können
strafrechtlichen und zivilrechtlichen Sanktionen, Entschädigungen und
pauschaliertem Schadensersatz für Dienstleistungsverträge mit Dritten
unterliegen
 Interne Zuweisung von Zuständigkeiten
o Cs müssen in der Lage sein, DP-Management-Ressourcen gegenüber
DPAs nachzuweisen
o Erleichtern Sie die Überwachung durch DPAs, ermöglichen Sie DS die
Ausübung von Rechten, ermöglichen Sie eine regelmäßige
Aktualisierung der Richtlinien
o Erstellen Sie ein Datenschutz-Management-Team oder einen Rat,
ernennen Sie den DSB
 Schulung
o Interne Programme zur Information der Mitarbeiter über gesetzliche
DP-Verpflichtungen
o Erstellen Sie flexible Schulungsprogramme, die auf bestimmte Rollen
zugeschnitten sind
o Dokumentation und Überwachung der Einführung von
Schulungsprogrammen
o Data Protection by Design and Default (Integrieren Sie Sicherheitsvorkehrungen in alle
Verarbeitungen)
 Privacy by Design
 Einbettung von DP in Designspezifikationen neuer Systeme und Technologien
 Gilt für alle Phasen eines Projekts oder Produkts, nicht nur für die Planungs- und
Ausführungsphasen neuer Entwicklungen
o Erstellen Sie Produkte mit integrierter Fähigkeit zur Verwaltung und
Erfüllung aller DSGVO-Verpflichtungen
 Standardmäßiger Datenschutz

38
  Durchführung geeigneter technischer und organisatorischer Maßnahmen, um
sicherzustellen, dass nur die für den jeweiligen Zweck erforderlichen PD
verarbeitet werden
 Eingrenzung oder Minimierung der erhobenen Daten, stärkere Kontrolle über
den Umfang der Verarbeitung
 PD darf standardmäßig nur so lange aufbewahrt werden, wie es für die
Bereitstellung des Produkts oder der Dienstleistung erforderlich ist
 Explizite Verpflichtung zur Umsetzung geeigneter technischer und
organisatorischer Maßnahmen zur Erfüllung dieser Anforderung
 So erfüllen Sie die Anforderungen: Berücksichtigen Sie den Stand der Technik, die
Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der
Verarbeitung sowie Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die
Rechte und Freiheiten natürlicher Personen
 Arten von Techniken, die eingehalten werden müssen: Minimierung der verarbeiteten
PD, Pseudonymisierung, um DS eine bessere Kontrolle über ihre Daten zu ermöglichen
 Stellen Sie sicher, dass PD einfach zu suchen und zu finden, zu korrigieren und frühzeitig
zu collagieren ist; richten Sie Systeme zum automatisierten Löschen von PD ein; stellen
Sie sicher, dass übermäßige PD zunächst nicht erfasst werden; stellen Sie sicher, dass PD
in einem gängigen, maschinenlesbaren und interoperablen Format strukturiert ist
o Dokumentation und Zusammenarbeit mit Regulierungsbehörden
 DSGVO: Melde- und Registrierungspflichten abgeschafft!
 Stattdessen müssen Cs detaillierte Aufzeichnungen über Verarbeitungsvorgänge
in schriftlicher Form führen, die den DPAs auf Anfrage zur Verfügung gestellt
werden
 DP-Aufzeichnungen, die aufbewahrt werden müssen (ähnlich wie
Benachrichtigungsanforderungen)
 Cs Name und Kontaktdaten, DPOs, Verarbeitungszwecke, Katzen von DS und PD,
Katzen von Empfängern, erwartete Übertragungen, geeignete
Sicherheitsvorkehrungen, Aufbewahrungsfristen, Sicherheitsmaßnahmen
 Ds müssen Kontaktdaten, DPO, Name und Kontakt der einzelnen C P-Prozesse
für, Cats der Verarbeitungsdetails von Übertragungen und
Sicherheitsmaßnahmen, Sicherheitsmaßnahmen
 Freistellung für Unternehmen mit weniger als 250 Mitarbeitern
 Die Befreiung gilt nicht, wenn die Verarbeitung voraussichtlich zu einem Risiko
für die Rechte und Freiheiten von DS führt, häufig und nicht gelegentlich erfolgt
oder besondere Daten umfasst; gilt auch nicht für Daten im Zusammenhang mit
strafrechtlichen Verurteilungen und Straftaten
o Datenschutz-Folgenabschätzung (DSFA)
 Unternehmen verwenden DPIA, um DP-Probleme zu identifizieren und anzugehen, die
bei der Entwicklung neuer Produkte oder Dienstleistungen oder bei der Durchführung
neuer Verarbeitungstätigkeiten auftreten können
 Erforderlich gemäß DSGVO, wenn die Verarbeitungstätigkeit ein hohes Risiko für die
Rechte und Freiheiten von DS darstellen könnte; auch bevor mit riskanten PD-
Verarbeitungstätigkeiten fortgefahren wird
 Wenn Risiken identifiziert wurden, ergreifen Sie geeignete Maßnahmen, um Risiken zu
vermeiden oder zumindest zu minimieren
 ICO betrachtet DPIA als Best-Practice-Tool

39
  Wie man feststellt, ob eine DSFA notwendig ist und wie man sie durchführt
 Ist die Verarbeitung „risikoreich“?
o Systemisches und umfangreiches Profiling, das rechtliche Auswirkungen
hat oder Einzelpersonen erheblich betrifft; spezielle Katzen der PD in
großem Maßstab; systematische Überwachung eines öffentlich
zugänglichen Bereichs in großem Maßstab (z. B. Videoüberwachung und
Drohnen)
 Was ist, wenn die Verarbeitung ein hohes Risiko darstellt und eine DSFA
erforderlich ist?
o Holen Sie zuerst den Rat des DSB ein
o Die DSFA muss mindestens Folgendes umfassen: systematische
Beschreibung der geplanten Verarbeitungstätigkeiten, Zwecke, legitimes
Interesse; Bewertung der Notwendigkeit und Verhältnismäßigkeit in
Bezug auf Zwecke; Bewertung der Risiken für die Rechte und Freiheiten
von Einzelpersonen; Maßnahmen zur Bewältigung der Risiken,
einschließlich Schutzmaßnahmen und Sicherheitsmaßnahmen und -
mechanismen
 Was ist, wenn die Verarbeitung immer noch ein hohes Risiko birgt?
o Keine ausreichenden Maßnahmen zur Risikominderung, C muss sich vor
der Verarbeitung mit der DPA beraten (erlauben Sie den DPAs bis zu 8
Wochen, um eine Überweisung in Betracht zu ziehen)
o Datenschutzbeauftragter
 Formal anerkannt, aber nicht erforderlich
 Erforderlich, wenn: die behördliche Verarbeitung, Kerntätigkeiten eine regelmäßige und
systematische Überwachung von Personen in großem Umfang oder die Verarbeitung
besonderer Kategorien personenbezogener Daten in großem Umfang sind
 Kernaktivitäten: Schlüsseloperationen, die notwendig sind, um die Ziele von C
oder P zu erreichen, DP ist ein untrennbarer Bestandteil der Aktivitäten von C
oder P
 Große Faktoren: Anzahl der betroffenen DS, Datenvolumen, Umfang der
Datenelemente, Dauer oder Dauer, geografische Ausdehnung
 Regelmäßiges und systematisches Monitoring: alle Formen des
internetbasierten Trackings und Profiling
o Regelmäßig: laufend oder in bestimmten Abständen für einen
bestimmten Zeitraum, wiederkehrend oder wiederholt, ständig oder
periodisch
o Systematisch: nach einem System, vorab arrangiert, organisiert oder
methodisch, Teil der allgemeinen Ebene für die Datenerhebung,
durchgeführt im Rahmen der Strategie
 Der DSB muss ernannt werden, wenn dies nach MS-Recht erforderlich ist (Deutschland=
mindestens 9 Beschäftigte in der automatisierten Verarbeitung von PD oder mindestens
20 Personen in der nicht automatisierten Verarbeitung)
 Frankreich: keine Anforderung, aber potenzielle Vorteile für Unternehmen mit
DSB
 Konzernweite Termine erlaubt: DSB muss für jedes Unternehmen leicht zugänglich sein

40
  Rolle des DSB: ordnungsgemäß und zeitnah in alle Angelegenheiten einbezogen, die sich
auf den Schutz der PD beziehen; unabhängig arbeiten (kann andere Rollen haben, die
keinen Interessenkonflikt verursachen); keine Begrenzung der Amtszeit
 Muss eine direkte Berichtslinie zur höchsten Managementebene des Unternehmens
haben und Zugang zu den Datenverarbeitungsvorgängen des Unternehmens haben
 Ausreichende technische Kenntnisse und Fachkenntnisse erforderlich, ernannt auf der
Grundlage von Erfahrungen und Fähigkeiten auf dem Gebiet des Datenschutzes
 Muss in der Lage sein: das Unternehmen über Verpflichtungen im Zusammenhang mit
der DSGVO zu informieren und zu beraten, die Einhaltung der DSGVO und der
Unternehmensrichtlinien zu überwachen, zu DPIAs zu beraten, mit DPA
zusammenzuarbeiten und als Ansprechpartner für DPAs zu fungieren
 Kann ein Mitarbeiter des Unternehmens oder ein dritter Dienstleister sein
o Sonstige Maßnahmen: BCRs-> gewährleistet ein gleich hohes Schutzniveau der PD, das von allen
Mitgliedern einer Gruppe mit einem einzigen Satz verbindlicher und durchsetzbarer Regeln
eingehalten wird
 Goldstandard, denn um sie zu erreichen, müssen Unternehmen bei der Beantragung bei
DPA einen Rahmen für die Einhaltung der Datenschutzbestimmungen nachweisen; DPA
überwacht auch die laufende Einhaltung
 Internationale Datenübermittlungen (Länder und internationale Organisationen)
o Transfers beinhalten keinen Transit, müssen die Verarbeitung außerhalb des EWR beinhalten
 Technisches Routing, wie E-Mail und Webseiten, kann zufällige Datenbewegungen auf
der ganzen Welt während des Transports beinhalten
 Der elektronische Zugriff auf personenbezogene Daten durch Reisende, die sich für
kurze Zeit physisch an einem anderen Ort aufhalten, zählt nicht
o Überweisungen nur unter 1 von 3 Bedingungen
 (1) Angemessenes Schutzniveau pro Land (wie von der EU-Kommission anerkannt, mit
regelmäßigen Überprüfungen der Angemessenheit alle 4 Jahre)
 Das Land befolgt die Rechtsstaatlichkeit, schützt die Menschenrechte, verfügt
über Rechtsvorschriften zum Schutz der Datenverarbeitung (einschließlich
Rechtsvorschriften über Übermittlungen) und verfügt über wirksame
administrative und gerichtliche Rechtsbehelfe für betroffene Personen, deren
Daten übermittelt werden
 Unabhängige Aufsichtsbehörden einschließlich angemessener
Durchsetzungsbefugnisse UND
 Internationale Verpflichtungen, die ein Drittland oder ein IO in Bezug auf den
Schutz personenbezogener Daten eingegangen ist, werden berücksichtigt
 **11 Länder und Gebiete, die derzeit anerkannt sind
 (2) C oder P angemessene Garantien mit durchsetzbaren Betroffenenrechten und
wirksamen Rechtsbehelfen vorsieht, oder
 (3) Die Übertragung passt in eine der Ausnahmeregelungen für bestimmte Situationen
o EU-Recht extraterritorial angewandt
 Große multinationale Unternehmen müssen das EU-Recht in allen ihren Verarbeitungen
weltweit anwenden
o USA
 Safe Harbor
 Bereitstellung einer Angemessenheitsentscheidung für Organisationen zur
Anmeldung und Selbstzertifizierung für EU-US-Transfers

41
 o Die Parteien führten keine jährlichen Compliance-Prüfungen durch, und
FC erzwang keine
 Snowden-Enthüllungen zeigten, dass Safe Harbor unwirksam ist
o Wollte den Datentransfer zwischen den USA und der EU für den
internationalen Handel sowie für die Strafverfolgung und die nationale
Sicherheit nicht aussetzen: begann, andere Mechanismen zu
untersuchen („Wiederherstellung des Vertrauens in den Datenfluss
zwischen der EU und den USA“)
o Schrems I: EuGH annulliert Safe Harbor
 Privacy Shield
 4 allgemeine Prioritäten der Kommission: (1) Transparenz, (2) Rechtsbehelfe, (3)
Durchsetzung, (4) Zugang zu Daten durch US-Behörden
o Knackpunkt für die USA: Die nationale Sicherheitsausnahme war nur
anzuwenden, wenn sie unbedingt notwendig und verhältnismäßig nach
EG
 7 Grundsätze: (1) Hinweis, (2) Auswahl, (3) Rechenschaftspflicht, (4) Sicherheit,
(5) Datenintegrität und Zweckbeschränkung, (6) Zugriff und (7) Rückgriff,
Durchsetzung und Haftung
 Detailliertere Dokumentation als Safe Harbor, höhere Standards eingeführt
o Zusicherungen, die den Zugang von US-Government-Agenturen, Checks
and Balances einschränken
 WP29 Stellungnahme betrifft: keine wichtigen DP-Grundsätze aus dem EU-
Recht, kein Schutz für die Weiterleitung von Daten, Rechtsbehelfsmechanismus
für Einzelpersonen zu komplex, Dokumentation schloss
massive/unterschiedslose Datenerhebung durch US-Geheimdienste nicht aus,
neue Ombudsperson nicht ausreichend unabhängig oder mächtig
 US-Unternehmen, die FTC oder DOT unterliegen, können beitreten, indem sie
eine Online-Registrierung bei DOC einreichen (gilt nicht für Banken oder
Telekommunikationsunternehmen!!)
o PS-Unternehmen unternehmen bestimmte Schritte, um die Einhaltung
nachzuweisen, einschließlich (1) interner Compliance-Bewertungen, (2)
Registrierung bei einem Drittanbieter für Schiedsverfahren und (3) Annahme
des Datenschutzschild-Hinweises und Online-Veröffentlichung
o Bereitstellung angemessener Sicherheitsvorkehrungen
 Musterklauseln
 C bis C oder C bis P
 Vorab von der Kommission genehmigt, bei der DPA hinterlegt
o DPAs können auch ihre eigenen SCCs übernehmen oder Ad-hoc-
Verträge genehmigen, die ihnen von den Parteien für Übertragungen
vorgelegt werden (bietet mehr Flexibilität, ermöglicht realistischere
Vertragsverpflichtungen, gegen die sie mit geringerer
Wahrscheinlichkeit verstoßen)
 Verhaltenskodizes und Zertifizierung: Neue Idee mit DSGVO
 Binding Corporate Rules: jetzt ausdrücklich in DSGVO
 Höhere Standards, legitimiert alle Transfers innerhalb des Unternehmens als
angemessen

42
 o Muss bei den Datenschutzbehörden eingereicht und von diesen
genehmigt werden
o Kosteneffektiv für große multinationale Unternehmen
 Multinationale Organisationen erstellen und befolgen dies freiwillig, und die
nationalen Regulierungsbehörden genehmigen dies in Übereinstimmung mit
ihren eigenen Gesetzen
 DPAs müssen nach dem Konsistenzmechanismus genehmigen
 Der vollständige Satz von BCRs muss Folgendes enthalten:
o Aufbau und Kontaktdaten der Unternehmensgruppe und der Mitglieder
o Datenübermittlungen (Kategorien, Art der Verarbeitung, Zwecke, Art
der betroffenen Personen, ID Drittland oder Drittländer
o Rechtsverbindlichkeit
o Anwendung allgemeiner DP-Grundsätze (Art. 5)
o Rechte der betroffenen Personen und Mittel zur Ausübung dieser
Rechte
o Annahme der Haftung für Verstöße gegen die BCR durch ein nicht in der
EU niedergelassenes betroffenes Mitglied durch C oder P, die im
Hoheitsgebiet eines Mitgliedstaats niedergelassen sind
o Wie Informationen über BCR den betroffenen Personen zur Verfügung
gestellt werden
o Aufgaben des DSB
o Beschwerdeverfahren
o Mechanismus zur Überprüfung der Einhaltung der BCR
o Mechanismen zur Meldung und Erfassung von Regeländerungen
o Kooperationsmechanismus mit DPA
o Mechanismen für die Berichterstattung an die DPA über rechtliche
Anforderungen, denen ein Mitglied der Unternehmensgruppe in einem
Drittland unterliegt und die sich erheblich nachteilig auf die in der BCR
enthaltenen Garantien auswirken können
o Angemessene Schulung des Personals, das Kontakt mit Daten hat
 Ausnahmeregelungen
 Einwilligung: explizit, spezifisch und informiert (auch über mögliche Risiken
informiert)
 Vertragserfüllung
o Die Übertragung kann erfolgen, wenn dies für die Vertragserfüllung
erforderlich ist (z. B. Kaufvertrag)
o Auf Wunsch des Einzelnen oder in seinem Interesse abgeschlossener
Vertrag
o Kann Arbeitsverträge beantragen, aber beurteilen, ob die Übertragung
aufgrund der gelieferten Waren und Dienstleistungen erforderlich ist,
nicht aufgrund der Organisationswahl des Exporteurs
 Öffentliches Interesse: Kriminalprävention, nationale Sicherheit,
Steuererhebung
 Rechtsansprüche
 Lebenswichtige Interessen: Leben oder Tod (in der Regel Krankenakten)
 Öffentliche Register: Wenn Informationen verfügbar sind, können Auszüge
übertragen werden

43
  Nicht wiederholte Übermittlungen: begrenzte Anzahl von betroffenen Personen,
die für die Zwecke zwingender berechtigter Interessen des C erforderlich sind,
wenn sie nicht durch die Interessen oder Rechte und Freiheiten der betroffenen
Person außer Kraft gesetzt werden
o +C muss auch geeignete Sicherheitsvorkehrungen zum Schutz von PD
o C muss Aufsichtsbehörde und betroffene Person über die Übermittlung
und die zwingenden berechtigten Interessen informieren
 Aufsicht und Durchsetzung
o Im Zusammenhang mit der Rechenschaftspflicht
o Selbstregulierung
 Nachweisliche Einhaltung der DP-Grundsätze, Ernennung des DPO und verstärkte
Fokussierung auf Verhaltenskodizes und Zertifizierung= Methoden der Selbstregulierung
 Cs haben regulatorische Funktionen über ihre Ps, Ps über Sub-Ps, schafft Aufsicht und
Durchsetzung
 Vorvertragliche DD, Vertragsschluss, nachvertragliche Anforderungen
 Cs, von denen erwartet wird, dass sie Risiken identifizieren und dann gesendet werden,
um sie zu adressieren
 Nachweisbarer Nachweis der Konformität durch Tests und ähnliche Aktivitäten,
einschließlich Tests im Rahmen der Geschäftstätigkeit
 Meldung von PD-Verstößen an DPAs und manchmal an Einzelpersonen: Abschreckung
ist der Schlüssel zur Durchsetzung
 Wirksame, verhältnismäßige und abschreckende Verwaltungsstrafen
 DPIAs bei der Verarbeitung, die wahrscheinlich zu einem hohen Risiko für die Rechte
und Freiheiten von Personen führen
 DSBs: klare Aufsichts- und Durchsetzungsposition, kündigungsfrei, eher quasi-DPA als
Mitarbeiter-> Kooperationspflicht mit DPA und Erweiterung der Regulierungsbehörde
 Verhaltenskodizes, Zertifikate und Siegel: Branchenmitarbeiter können Codes und
Zertifizierungen erstellen, Cs und Ps müssen sich verpflichten, diese zu beantragen, und
sollten auf Einhaltung überwacht werden
 Vertretungsorgane können DPA Entwürfe von Codes zur Genehmigung vorlegen
 *** Konsistenzmechanismus, wenn Entwurfscode mindestens 2 MS betrifft
 Die Überwachungsstellen müssen Unabhängigkeit, Fachwissen und
Konfliktvermeidung nachweisen; über Verfahren zur Ausstellung, Überprüfung
und gegebenenfalls zum Widerruf von Siegeln und Marken sowie über
Verfahren zum Umgang mit Konformisten verfügen
 Cs und Ps können in schweren Fällen von der DPA wegen Verstoßes gegen die
Anforderungen des Codes mit einer Geldstrafe belegt werden
 DPAs können die Akkreditierung der Überwachungsstelle widerrufen
o Regulierung durch den Bürger
 Die Bürger haben das Muss der nichtlegislativen Änderung der PD-Gesetze getrieben
(siehe: Google v. Spanien und Recht auf Vergessenwerden)
 Zivilgesellschaftliche Organisationen (CSOs) haben auch Macht in Rechtsstreitigkeiten
 Primäres Risiko einer nachteiligen Prüfung von Bürgern als Prozessparteien und nicht als
DPAs
 Rechte der betroffenen Person

44
  Recht auf Transparenz, Datenzugriff, Berichtigung, Löschung, Einschränkung der
Verarbeitung, Datenübertragbarkeit, Widerspruch, Benachrichtigung über
schwerwiegende Datenschutzverletzungen
 **Keine Anforderung, dass DS Rechte gegen C verfolgt, bevor Beschwerden und
Rechtsmittel vor Datenschutzbehörden oder Gerichten eingelegt werden! In
vielen Fällen bieten Rechte keinen direkten und offensichtlichen Weg zum
Controller (siehe: DP-Grundsätze, wie Vertraulichkeit)
 Rechtsbehelfe bei Pflichtverletzung
 Beschwerden an DPAs oder Gerichte weiterleiten, diese Rechtsmittel und
gleichzeitig mit dem C verfolgen
 Der Rückgriff auf DPAs für Abhilfemaßnahmen ist die risikoarme Option
 Einzelpersonen können jederzeit Rechtsmittel vor dem Heimatgericht oder der
Datenschutzbehörde einlegen, unabhängig vom Ort der Niederlassung in C oder
P
 Sammel-/Vertretungsklagen
 DSGVO-Sammelklagerecht nach Artikel 80
 Einzelpersonen können sich dafür entscheiden, von gemeinnützigen
Organisationen (CSO), Befürwortern des Datenschutzes oder Interessengruppen
unterstützt zu werden: können im Namen einer oder vieler handeln
o MS kann Organisationen Befugnisse unabhängig von Mandaten von
Einzelpersonen geben
 Haftungs- und Entschädigungsansprüche
 DS kann Schadensersatzansprüche geltend machen, wenn ein Schaden b/c der
Nichteinhaltung
 Cs und Ds können behaupten, nicht für ein Ereignis verantwortlich zu sein, das
zu einem Schaden als Verteidigung geführt hat
o Wenn mehrere Parteien ein Verschulden haben, kann jeder einzelne C
oder P, der für einen Schaden verantwortlich ist, für den gesamten
Schaden haftbar gemacht werden - > dann kann die entschädigende
Partei Entschädigung von anderen Cs und Ps verlangen
 Was bedeutet Schaden? Finanzieller Verlust, vielleicht Notlage oder
immaterieller Schaden
o "Sachschaden" bedeutet eindeutig Not
 Regulierung der Regulierungsbehörden
 Wenn eine Person eine Beschwerde bei der DPA einreicht, aber nicht behandelt
wird, oder wenn sie 3 Monate lang nichts hört, kann sie vor Gerichten gegen die
DPA vorgehen, um das Problem zu erzwingen
o So ist Schrems I gegen die irische DPA vorgegangen
 Hauptzweck ist es, Einsprüche gegen DPA-Korrekturmaßnahmen zu ermöglichen
o Einzelpersonen können auch gegen DPAs vorgehen, von denen sie
glauben, dass sie nicht die richtigen Korrekturmaßnahmen ergriffen
haben oder bei der Sanktionierung zu nachsichtig waren
o Verwaltungsaufsicht und Durchsetzung
 DPAs sind die einzigen Stellen, die mit administrativen Aufsichts- und
Durchsetzungsbefugnissen (CNIL, ICO, AEPD) ausgestattet sind: Alle EU-Länder haben
bereits DPAs

45
 MS müssen unabhängige Behörden benennen, um die Umsetzung der DSGVO zu
überwachen, in völliger Unabhängigkeit zu handeln und über ausreichende Fähigkeiten
und Ressourcen zu verfügen
 Konsultationspflicht, geben Sie den Regulierungsbehörden Einfluss auf die
gesetzgeberische Agenda, beauftragen und befähigen Sie die Datenschutzbehörden,
ihre Parlamente und Regierungen zu DP zu beraten und zu beraten
 DPA-Aufgaben
 Sensibilisierung und Verständnis für DP fördern
 Reklamationen bearbeiten und Untersuchungen durchführen
 Unterstützung der konsistenten Anwendung der DSGVO auf internationaler
Ebene durch Anwendung des Konsistenzmechanismus
 Überwachung der Entwicklung von Informations- und
Kommunikationstechnologien und Geschäftspraktiken
 Empfangen und Behandeln von Beschwerden: Bürger haben den meisten
täglichen Kontakt mit Cs, sind also am besten in der Lage, die Compliance
tatsächlich zu beeinflussen; Bürger brauchen einen offiziellen Champion, dh die
DPA
 DPIAs: DPAs veröffentlichen Listen von Situationen, in denen DPIAs
durchgeführt werden sollten und wo nicht erforderlich; Cs müssen sich auch mit
DAPs beraten, wenn DPIA anzeigt, dass Aktivitäten zu einem hohen Risiko für
die Rechte und Freiheiten von Einzelpersonen führen würden
 Codes, Zertifikate, Siegel und Zeichen: Förderung der Entwicklung, Abgabe von
Stellungnahmen zu Entwürfen von Codes, Änderungen oder Erweiterungen
(unabhängig davon, ob sie der DSGVO entsprechen), Genehmigung von
Entwürfen von Codes usw., wenn sie ausreichende Garantien bieten, Entzug von
Zertifikaten, wenn Anforderungen nicht mehr erfüllt werden
 SCCs und BCRs genehmigen: können auch eigene SCCs erstellen und eindeutige
Verträge für Übertragungen genehmigen
 Aufzeichnungen über Verstöße und ergriffene Maßnahmen: Die DSGVO verlangt
diese Aufzeichnung, die in vielen Mitgliedstaaten bereits gängige Praxis ist
 DPAs können DS oder DPOs nicht für ihre Dienstleistungen belasten, können
aber Admin-Kosten für offensichtlich unbegründete oder übermäßige Anfragen
zurückfordern
 Tätigkeitsberichte: Regulierung muss transparent durchgeführt werden, um das
Vertrauen in das Regulierungssystem zu fördern und der Gesellschaft einen
kritischen Einblick in Trends und Entwicklungen innerhalb der Regulierung zu
geben
 Befugnisse des Regulierers
 Ermittlungsbefugnisse: Zugriff auf alle erforderlichen Beweise, Materialien und
Einrichtungen, um Aufgaben ausführen zu können, sowie Mechanismen, um
Ermittlungen einzuleiten, Cs und Ps über mutmaßliche Verstöße zu informieren
o DPAs können Zugang zu allen relevanten Dokumenten erhalten, die von
der untersuchten Organisation aufbewahrt werden, einschließlich
Unterlagen, Berichten und Auditberichten von Drittanbietern (sofern nicht
privilegiert)
o DPAs können betriebliche Überprüfungen durchführen

46
  Korrekturbefugnisse: Aktivieren Sie Datenschutzbehörden, um Cs und Ps vor
zweifelhaften Verarbeitungstätigkeiten zu warnen, finanzielle Sanktionen zu
verhängen und Cs und Ps anzuweisen, die Datenverarbeitung einzustellen
 Genehmigungs- und Beratungsbefugnisse: Codes, Zertifizierungen, Siegel und
Zeichen
 Rechtsstreitigkeiten durch Aufsichtsbehörden: DPAs müssen in der Lage sein, die
Einhaltung durch Gerichte zu erzwingen
 Schutz von Cs und Ps vor überstürzten regulatorischen Maßnahmen: Natürliche und
juristische Personen, die von DPA-Entscheidungen betroffen sind, können rechtliche
Schritte einleiten, um ihre Positionen zu schützen
 Verpflichtung des Berufsgeheimnisses auf DPAs und ihre Mitarbeiter mit vertraulichen
Informationen, auf die sie zugreifen
o Kompetenz und internationale Zusammenarbeit
 Wer ist befugt, die behördliche Aufsicht und Durchsetzung durchzusetzen?
 Kompetenz
 Datenschutzbehörden können im Hoheitsgebiet ihres eigenen Mitgliedstaats
tätig werden
 DPAs können in ihrem Hoheitsgebiet niedergelassene Cs und Ps regulieren
 Wenn C oder P in mehreren Gebieten ansässig sind oder eine
grenzüberschreitende Verarbeitung stattfindet, ist die federführende Behörde
zuständig
o "Hauptniederlassung" von C oder P gilt: wenn die Entscheidungsfindung
für die Verarbeitung personenbezogener Daten erfolgt, in der Regel in
der Zentralverwaltung (wenn die Entscheidungsfindung jedoch an
einem anderen Ort erfolgt, befindet sich die Hauptniederlassung dort)
o Leitende Behörde zur Regelung von Situationen der
grenzüberschreitenden Verarbeitung erforderlich
 Unternehmen, die in nur einem Mitgliedstaat ansässig sind,
können weiterhin grenzüberschreitende Verarbeitungen
durchführen
 Die federführende Behörde ist der einzige Ansprechpartner für
diese grenzüberschreitende Verarbeitung
o Nicht federführende Behörden können in grenzüberschreitenden
Situationen tätig werden, in denen sich die Beschwerde (1) nur auf ihr
Hoheitsgebiet bezieht oder (2) wenn sie Personen nur in ihrem
Hoheitsgebiet erheblich betrifft
 DPA, die Kompetenz geltend macht, muss die federführende
Behörde benachrichtigen (kann einen Kompetenzkampf
auslösen)
 Wenn die federführende Behörde die Geltendmachung
der Zuständigkeit anderer DPA ablehnt und die
Angelegenheit selbst aufgreift, ist das Verfahren in Art.
60 Abs.
 Wenn die federführende Behörde die
Kompetenzbehauptung einer anderen DPA akzeptiert,
kann die zweite DPA vorbehaltlich der Regeln über

47
 gegenseitige Amtshilfe und gemeinsame Operationen
fortfahren
o Streitigkeiten und Anfechtungen über Kompetenzen, die
höchstwahrscheinlich auf eine Beschwerde einer Person zurückzuführen
sind: kann sich bei der DPA in MS über ihren gewöhnlichen Aufenthalt,
ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes
beschweren
 Kooperation
 Die Lead Authority-Regel gilt nur für die grenzüberschreitende Verarbeitung:
Wenn sie ins Spiel kommt, gelten die Kooperationsverfahren des Artikels 60
o Beginnt in der Regel mit einem Ersuchen um gegenseitige Unterstützung
und gemeinsame Operationen, kann aber auch mit einem nicht
federführenden DPA beginnen, der seine Kompetenz geltend macht
 Lead DPA liefert Entscheidungsentwurf an andere betroffene DPAs
o Könnte Kommentare, einen begründeten Einwand oder eine einfache
Vereinbarung auslösen
o Bei begründetem Einspruch kann die federführende Behörde den
Einspruch annehmen oder ablehnen
 Wenn akzeptiert, erlässt er einen überarbeiteten
Entscheidungsentwurf, den andere Datenschutzbehörden
akzeptieren oder weitere begründete Einwände erheben
können
 Wenn weitere begründete Einwände erhoben werden,
wird der Zyklus fortgesetzt, bis die Sackgasse
aufgebrochen ist (kann mit Überweisung an den EDPB
erfolgen)
 Bei Ablehnung muss die federführende Behörde den
Konsistenzmechanismus befolgen
o Wenn keine Einwände erhoben werden, sind die federführende
Behörde und andere DPA in Übereinstimmung mit dem
Entscheidungsentwurf verbindlich
 Wenn der Entscheidungsentwurf angenommen wird, nimmt die
federführende Behörde ihn an und benachrichtigt C oder P in
der Hauptniederlassung, die anderen betroffenen
Datenschutzbehörden und den EDSA
 Wenn eine Beschwerde von einer Einzelperson an eine nicht
leitende DPA ausgelöst wird, sollte die zuständige DPA den
Beschwerdeführer über das Ergebnis informieren
 Lastenverlagerung auf C oder P, um Compliance zu
gewährleisten, einschließlich der Berichterstattung an die
federführende Behörde, wie dies erreicht wird
o **Artikel 60 enthält einen Zeitplan für diese Schlüsselereignisse
 Gegenseitige Amtshilfe: Mandat der Zusammenarbeit und des
Informationsaustauschs
o Die Datenschutzbehörden müssen geeignete Maßnahmen ergreifen, um
unverzüglich Hilfe zu leisten (einmonatiger Stopp)

48
 o Die Datenschutzbehörde muss Anfragen nachkommen, es sei denn, sie
ist nicht befugt, Unterstützung zu leisten oder muss Rechtswidrigkeiten
vermeiden
o Wenn die empfangende DPA innerhalb eines Monats keine
Unterstützung leistet, kann die beantragende DPA eine vorläufige
Maßnahme ergreifen, die ein Dringlichkeitsverfahren auslöst
 Gemeinsame Operationen: Entwickelt, um sicherzustellen, dass alle betroffenen
Datenschutzbehörden bei Aufsichts- und Durchsetzungsarbeiten
ordnungsgemäß vertreten sind
o Wenn Cs und Ps in mehreren Gebieten ansässig sind oder die
Verarbeitung eine erhebliche Anzahl von Personen in mehreren
Gebieten betrifft, haben alle betroffenen DPAs das Recht, an einer
gemeinsamen Operation teilzunehmen
o Die zuständige Behörde ist verpflichtet, andere Datenschutzbehörden
zur Teilnahme einzuladen
 Konsistenzmechanismus
 EDPB: Nachfolger von WP29
 Stellungnahmen des EDSA
o Der EDSA muss Stellungnahmen zu den Listen der Umstände abgeben,
unter denen DPIAs erforderlich sind, zur Annahme vorgeschlagener
Codes, die mehrere MS betreffen, zu den Kriterien für die
Akkreditierung von Überwachungs- und Zertifizierungsstellen, von der
DPA genehmigten SCCs und BCR-Zulassungen
 Stellungnahmen, die abgegeben werden, nachdem die
Datenschutzbehörden ihre erste Arbeit geleistet haben
 Jede DPA, jeder EDPB-Vorsitzende oder die Kommission kann
Stellungnahmen zu Fragen von allgemeiner Geltung oder mit
Auswirkungen auf mehrere MS anfordern
 Streitbeilegung durch EDPB
o Wesentlicher Teil des Kohärenzmechanismus, der ausgelöst wird, wenn
die federführende Behörde begründete Einwände gegen den Entwurf
einer Entscheidung über die grenzüberschreitende Verarbeitung
ablehnt, wenn es zwischen den Datenschutzbehörden zu Streitigkeiten
darüber kommt, wer für eine Hauptniederlassung zuständig ist, oder
wenn die Datenschutzbehörde ihre Entscheidungen (oben) nicht an den
EDPB verweist
o Ergebnis= Erlass eines verbindlichen Beschlusses
 Wenn es sich um einen Entscheidungsentwurf handelt, ist die
federführende Behörde oder eine andere DPA verpflichtet, eine
endgültige Entscheidung auf der Grundlage einer verbindlichen
Entscheidung zu treffen
 Dringlichkeitsverfahren
o Außergewöhnliche Umstände, in denen die Datenschutzbehörde
dringend Maßnahmen ergreifen sollte, um die Rechte und Freiheiten
des Einzelnen zu schützen

49
  Wenn die Dringlichkeit groß genug ist, reicht die Zeit
möglicherweise nicht aus, um die Zusammenarbeit oder den
Konsistenzmechanismus fortzusetzen
 Die Datenschutzbehörde kann sofort vorläufige Maßnahmen
ergreifen, die einer dreimonatigen Lebensdauer unterliegen und
von der Datenschutzbehörde mit Gründen an andere
Datenschutzbehörden, die in dieser Angelegenheit Bedenken
haben, an den EDSA und an die Kommission überwiesen werden
müssen
 Nach Ablauf von 3 Monaten erlöschen die vorläufigen
Maßnahmen, es sei denn, die DPA ist der Ansicht, dass
die endgültige Maßnahme dringend ergriffen werden
muss. In diesem Fall kann sie den EDSA um eine
dringende Stellungnahme oder eine dringende
verbindliche Entscheidung ersuchen
o Sanktionen und Strafen
 Bußgelder aufgrund der Art der Zuwiderhandlung und des Status des Unternehmens,
gegen das eine Geldbuße verhängt wurde (Nichtunternehmen: Behörden,
Organisationen, die keine Wirtschaftstätigkeit ausüben; gegenüber Unternehmen:
Unternehmen)
 Stufe 1
o Verstöße: Einwilligung von Kindern, Datenschutz durch Design und
Standard, Beauftragung von Ps durch Cs, Aufzeichnungen über die
Verarbeitung, Zusammenarbeit mit Aufsichtsbehörden, Sicherheit,
Benachrichtigung über Verstöße, DPIAs, DOPs, Codes und
Zertifizierungen
o Bis zu 10 MIO. € oder 2% des gesamten weltweiten Jahresumsatzes im
Vorjahr
 Stufe 2
o Zuwiderhandlungen: Datenschutzgrundsätze, Rechtmäßigkeit der
Verarbeitung, Einwilligung, Verarbeitung besonderer Datenkategorien,
DS-Rechte, internationale Übermittlungen, Nichteinhaltung der
Untersuchungs- und Berichtigungsbefugnisse der Datenschutzbehörden
o Bis zu 20 MIO. € oder 4 % des gesamten weltweiten Jahresumsatzes im
Vorjahr
 Faktoren, die vor der Verhängung von Bußgeldern zu berücksichtigen sind
 Wirksam, verhältnismäßig und abschreckend
 Auf schwerwiegende Verstöße gegen die DSGVO kann mehrfach reagiert
werden
 Der Gesamtbetrag der Geldbuße darf den für den schwersten Verstoß
angegebenen Betrag nicht überschreiten
 Artikel 83(2) Faktoren:
o Art, Schwere und Dauer des Verstoßes, Art, Umfang oder Zweck der
betreffenden Verarbeitung, Anzahl der betroffenen DS, Schadenshöhe
o Vorsätzliche oder fahrlässige Zuwiderhandlung
o Maßnahmen zur Minderung von DS-Schäden

50
 o Verantwortlichkeitsgrad unter Berücksichtigung technischer und
organisatorischer Maßnahmen
o Frühere Verstöße
o Grad der Zusammenarbeit mit DPA
o Kategorien der betroffenen PD
o Ob die DPA von einem Verstoß in Kenntnis gesetzt wurde
o Einhaltung der zuvor gegen Cs und Ps angeordneten Maßnahmen
o Einhaltung genehmigter Verhaltenskodizes
o Alle anderen erschwerenden oder mildernden Faktoren
 Unternehmen: ein Unternehmen, das eine gewerbliche Tätigkeit ausübt (Unternehmen)
 Behörden und nicht eingetragene assoziierte Unternehmen sind keine
Unternehmen
 Die Mitgliedstaaten können die Behörden vollständig aus den
Bußgeldregelungen herausnehmen
 Unternehmen ist eine einzige Einheit, erörtert keine Unternehmensgruppen
o ***Unternehmensteil der Unternehmensgruppe kann nur mit einem
Prozentsatz des Umsatzes des einzelnen Unternehmens bestraft
werden, nicht mit dem Umsatz der Gruppe
o Richtlinie zum Datenschutz bei der Strafverfolgung: Spiegelüberwachung und
Durchsetzungsregelung, es sei denn, es fehlt ein Konzept der federführenden Behörde (und
damit verbundene Kooperations- und Kohärenzmechanismen) und finanzielle Sanktionen

Abschnitt III: Einhaltung des europäischen Datenschutzrechts und der europäischen Datenschutzverordnung
 Arbeitsverhältnisse
o Kniffliger Bereich, weil Schnittmenge von Datenschutz und Arbeitsrecht
 Rücksprache mit dem zuständigen Arbeitsrecht und den Betriebsräten halten
 Die Vorschriften der Mitgliedstaaten für die PD des Mitarbeiters umfassen Maßnahmen
zur Wahrung der Menschenwürde, der legitimen Interessen und der Grundrechte von
DS in Bezug auf die Transparenz der Verarbeitung und Übermittlung sowie die
Überwachung und Kontrolle
 Mitarbeiter müssen das Recht haben, auf ihre personenbezogenen Daten zuzugreifen
o Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Mitarbeitern
 Einwilligung
 Muss frei gegeben werden, unter Beschäftigungsbedingungen schwer zu sagen,
da ungleichmäßige Leistung
o Keine gute Basis für Arbeitgeber, auf die sie sich verlassen können
 Manchmal schreibt das lokale Recht vor, dass unter diesen
Umständen keine Einwilligung erteilt werden kann
 Die Einwilligung sollte nicht geltend gemacht werden, es sei
denn, der Widerruf der Einwilligung wäre für die
Rechtmäßigkeit der Verarbeitung nicht problematisch oder der
Beschäftigung des Mitarbeiters abträglich
 Frei gegeben, spezifisch, informiert und eindeutig
 Kann die Einwilligung widerrufen, ohne Nachteile zu erleiden
 Einige EU-Länder benötigen eine schriftliche Zustimmung
 Erfüllung des Arbeitsvertrages
 Zum Beispiel, um Mitarbeiter zu bezahlen (Name und Bankverbindung)

51
  Erforderlich zur Einhaltung (EU-) gesetzlicher Verpflichtungen (z. B. Steuern)
 Berechtigte Interessen des Arbeitgebers
 Wenn der Arbeitgeber beispielsweise strukturelle Systeme ändert, um
Mitarbeiterdaten von einem alten Gehaltsabrechnungssystem in ein neues zu
migrieren, handelt es sich um die Verarbeitung eines legitimen Interesses
 Behörden können sich auf diesen Grund überhaupt nicht berufen
o Sensible Mitarbeiterdaten
 Wenn diese Daten verarbeitet werden, sollte sich der Arbeitgeber innerhalb einer
Ausnahme nach Artikel 9 befinden
 Beinhaltet Zustimmung, sollte aber das letzte Mittel des Arbeitgebers sein
 In einigen Gerichtsbarkeiten hängt der Umfang, in dem sensible Mitarbeiterdaten
verarbeitet werden können, vom begleitenden Arbeits- oder Arbeitsrecht ab
 Z.B. in Portugal muss die Genehmigung von DPA eingeholt werden
 Kann zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
sein (z. B. Anspruch auf rechtswidrige Kündigung, Diskriminierung)
o Mitteilung zur Verarbeitung
 Arbeitgeber müssen über die Verarbeitung von Daten, Zwecke, Kontaktpersonen und
die DS-Rechte informieren
 Kann mit einem Mitarbeiterhandbuch oder einem spezifischen
Benachrichtigungsdokument durchgeführt werden
 Mitarbeiter müssen benachrichtigt werden, wenn ein neuer Zweck entsteht
 Der Hinweis muss im Detail die Rechtsgrundlage angeben, was die legitimen Interessen
sind (falls verwendet), Empfänger von Daten, wohin die Daten übertragen werden und
wie lange sie aufbewahrt werden
o Aufbewahrung von Personalakten
 Sollte nicht länger als nötig beibehalten werden, obwohl die gesamte Beschäftigung
normal ist, wahrscheinlich aus einem legitimen Grund geschützt
 Nach der Beschäftigung benötigen Sie möglicherweise Aufzeichnungen zur Einhaltung
des Gesellschaftsrechts, des Arbeitsrechts, des Gesundheits- und Sicherheitsrechts, des
Steuerrechts und des Sozialversicherungsrechts usw.
 Sollte sicher archiviert werden
o Arbeitsplatzüberwachung und Verhinderung von Datenverlust
 Rechte der Mitarbeiter gegen legitime Betriebsrechte abgewogen
 Zuverlässigkeitsüberprüfungen
 Muss durchgeführt werden, um die Einstellung skrupelloser Personen zu
vermeiden
 Mitarbeiter müssen sicherstellen, dass sie bei Hintergrundüberprüfungen keine
schwarzen Listen erstellen (in der Regel illegal) oder Listen von Personen
erstellen, die sie nicht beschäftigen werden
 Verhinderung von Datenverlust
 DLP-Tools verwenden Dritte für den Betrieb, beinhalten die Verarbeitung von
Mitarbeiterdaten, aber der Hauptzweck besteht darin, den Verlust von Daten zu
verhindern
 Mitarbeiterüberwachung
 Muss die lokalen Arbeitsgesetze sowie die Datenschutzgesetze einhalten
 Sicherstellung der Einhaltung folgender Grundsätze: Notwendigkeit, Legitimität
(Rechtsgrundlage), Verhältnismäßigkeit und Transparenz

52
  Stellen Sie sicher, dass die Daten sicher aufbewahrt werden und nur von
Personen abgerufen werden können, die berechtigten Grund haben, sie
einzusehen
 Notwendigkeit
 Betrachten Sie zuerst andere weniger aufdringliche Maßnahmen für ihren
Zweck
 Muss eine DSFA durchführen, wenn die Überwachung wahrscheinlich zu einem
hohen Risiko für die Rechte und Freiheiten von Einzelpersonen führt
o DSFA erforderlich, wenn es sich um eine systemische und umfassende
Bewertung persönlicher Aspekte von Personen handelt, die auf einer
automatischen Verarbeitung basiert und auf der Entscheidungen
basieren, die rechtliche Auswirkungen haben oder die Personen in
ähnlicher Weise erheblich beeinträchtigen
 Legitimität
 Muss eine gesetzliche Grundlage für die Überwachung haben
 Prüfung des berechtigten Interessenausgleichs: berechtigtes Interesse des
Arbeitgebers versus Verletzung der Rechte und Freiheiten des Einzelnen
 Zustimmung zur Überwachung sehr begrenzt in ihrer Nützlichkeit
 Überwachung, bei der sensible personenbezogene Daten erfasst werden,
wahrscheinlich problematisch
 Die EU hat strenge Gesetze darüber, was als legitime Mitarbeiterüberwachung
gilt, berücksichtigt Tarifverträge und konsultiert Betriebsräte
o In Vereinbarungen zwischen Betriebsrat und Arbeitgebern kann
aufgeführt werden, welche Überwachung zulässig ist
 Das Screening von E-Mails zur Verhinderung von Viren und die Überwachung
der Online-Zeit, die nicht funktioniert, sind legitime Tätigkeiten des Arbeitgebers
o Der Inhalt dessen, was Mitarbeiter tun, kann nicht überprüft werden
o Finden Sie weniger aufdringliche Alternativen: Blockieren bestimmter
Websites, Verhindern von Viren über die Erkennung
 Verhältnismäßigkeit
 Bestimmen Sie, ob die vorgeschlagene Überwachung in einem angemessenen
Verhältnis zu den Bedenken des Arbeitgebers steht
 Vernünftige und realistische Reaktion auf eine potenzielle oder bekannte
Bedrohung
o Datenminimierung: Personenbezogene Daten müssen angemessen,
relevant und auf das für den Zweck der Verarbeitung erforderliche Maß
beschränkt sein
o Eigentlich ist das Öffnen von E-Mails unverhältnismäßig
 Wenn die Tarifverträge die Überwachung genehmigen, ist die
Verhältnismäßigkeit wahrscheinlich
 Transparenz
 Arbeitgeber müssen ausreichende Informationen über die
Überwachungstätigkeit bereitstellen
 Das Festlegen von Erwartungen trägt dazu bei, dass die Überwachung
rechtmäßig ist: Wenn die Mitarbeiter nicht über die Überwachung informiert
wurden, können sie ein höheres Maß an Privatsphäre erwarten

53
  Das Gesetz erkennt an, dass Mitarbeiter ein gewisses Maß an Privatsphäre bei
der Arbeit genießen
 Richtlinie zur zulässigen Nutzung von Kommunikationsgeräten, einschließlich
des Umfangs der zulässigen privaten Nutzung von Arbeitgebergeräten:
Mitarbeiter haben das Recht auf eine eingeschränkte private Nutzung von
Arbeitgebergeräten
 Private Kommunikation sollte nicht geöffnet oder überwacht werden
 Manchmal ist eine verdeckte Überwachung notwendig: Manchmal ist es nicht
erlaubt oder eine eingeschränkte Nutzung erlaubt und die Polizei sollte
eingeschaltet werden
 Von Arbeitgebern bereitzustellende Informationen
 Firmen-E-Mail/Internet-Richtlinie
 Gründe und Zweck der durchgeführten Überwachung
 Einzelheiten der ergriffenen Überwachungsmaßnahmen
 Vollstreckungsverfahren
 Ob die Verwendung von Webmail-Konten am Arbeitsplatz zulässig ist
 Vorkehrungen für den Zugriff auf den Inhalt von E-Mails der Mitarbeiter
 Speicherdauer für Sicherungskopien von Nachrichten
 Informationen darüber, wann E-Mails von Servern gelöscht wurden
 Einbeziehung von Arbeitnehmervertretern in die Formulierung von Richtlinien
 Bedingungen, unter denen die private Internetnutzung erlaubt ist
 Implementierte Systeme zur Verhinderung des Missbrauchs des Internets und
des Zugriffs auf bestimmte Websites
 Informationen über die Beteiligung von Arbeitgebervertretern an der Erstellung
und Umsetzung von Richtlinien
 Mitarbeiter benachrichtigen, wenn Missbrauch festgestellt wird; ggf. müssen
auch Betriebsräte benachrichtigt werden
 Rechte des beschuldigten Mitarbeiters: nicht sofort beschuldigen, Fehlklicks üblich
 Unzulässige Überwachung
 Schwer zu rechtfertigende Überwachung, die sensible PD sammelt oder
besonders aufdringlich ist
 Verdeckte Überwachung rechtswidrig ohne vorherige Genehmigung von DPA
oder einer Ausnahme
 Als privat markierte E-Mails sollten generell nicht gelesen werden
o Betriebsräte
 Verpflichtung zur Wahrung der Arbeitnehmerrechte
 Länderspezifisch: Großbritannien hat nur Gewerkschaften, die nicht mitbestimmen
können, wie Arbeitgeber PD einsetzen, während Deutschland und Frankreich starke
Betriebsräte haben
 Z.B. deutsche WCs können der Verwendung von
Mitarbeiterüberwachungsgeräten widersprechen
 Arbeitgeber engagieren sich für WCs, indem sie (1) WC benachrichtigen, (2) WC
konsultieren oder (3) die Genehmigung von WC einholen
 Wenn WC eine Entscheidung ablehnt, besteht die einzige Möglichkeit des
Arbeitgebers möglicherweise darin, vor den örtlichen Gerichten anzufechten
 Manchmal kann es sein, dass die DPA die Verarbeitung nicht genehmigt, es sei denn, WC
war beteiligt

54
o Whistleblowing-Schemata
 SOX: US-Gesellschaften mit an SOX GEBUNDENEN EU-TOCHTERGESELLSCHAFTEN
 Unternehmen muss Mitarbeitern die Möglichkeit geben, Vorwürfe über
Fehlverhalten zu erheben (kann gegen EU-Datenschutzgesetze verstoßen)
 Rechtsfrage ist, Unternehmen verantwortungsvoller und
rechenschaftspflichtiger zu machen, insbesondere im Hinblick auf interne
Kontrollen
 Unternehmen ermutigen diejenigen, die Informationen über potenziellen oder
tatsächlichen Betrug haben, sich zu melden und vertrauliche Berichte
vorzulegen
o Kann unabhängige Drittanbieteragenturen für die Kontaktaufnahme mit
Whistleblowern nutzen
 Bedenken: Gegenstand einer Beschwerde kann die Person, die den Vorwurf
erhebt, nicht konfrontieren, und Anonymität könnte zu Funktionsmissbrauch
führen
 Probleme bei der Einhaltung der DSGVO
 DPIA sollte für Whistleblowing-Schema durchgeführt werden
 Verbindung mit WCs vor der Implementierung der Methode
 Drittanbieter-Verarbeiterverträge außerhalb der EU müssen den EU-Verarbeitungsgesetzen
entsprechen
 Mechanismen für die Datenübertragung außerhalb des EWR müssen den
Gesetzen entsprechen
 Möglicherweise ist die Zustimmung von Mitarbeitern erforderlich
 Whistleblowing-Richtlinien und -Verfahren sollten für Mitarbeiter transparent
sein
 Die Whistleblowing-Richtlinie sollte bestimmte Elemente abdecken:
 Personenberichterstattung (Begrenzung, wer berichten kann, basierend auf
direktem Wissen)
 Personen belastet (nur diejenigen, die der meldenden Person bekannt sind)
 Vertraulichkeit über die Anonymität der Berichterstattung (wenn Sie wissen,
dass der Ausweis des Berichterstatters zu einer genaueren und gründlicheren
Untersuchung führt)
 Umfang der Berichte (Beschränkung des Umfangs der meldepflichtigen
Angelegenheiten auf diejenigen, die sich auf die Unternehmensführung
auswirken)
 Vorratsdatenspeicherung: strenge Richtlinien nach Abschluss der Untersuchung
und Löschen aller Berichte, die sich als unbegründet herausstellen
 Bereitstellung von Informationen: Erfüllung der DSGVO-Anforderungen an
Transparenz und Bekanntmachung
 Rechte von belasteten Personen: DP-Rechte können eingeschränkt werden,
wenn die Untersuchung beeinträchtigt wird
 Übertragungen außerhalb des EWR: staatlicher Mechanismus zur Legitimierung
von Übertragungen
o Bring Your Own Device-Richtlinie
 Der Arbeitgeber bleibt als für die Verarbeitung Verantwortlicher für alle
personenbezogenen Daten verantwortlich, die auf dem Gerät des Mitarbeiters für

55
 geschäftliche Zwecke mithilfe der Einstellungen für geschäftliche E-Mails verarbeitet
werden
 Unternehmen sollten eine Richtlinie für persönliche Geräte festlegen, die für die Arbeit
verwendet werden
 Überlegen Sie, wie Sie die auf dem Gerät gespeicherten personenbezogenen Daten
verwalten können, sobald der Mitarbeiter das Unternehmen verlässt oder das Gerät
verloren geht oder gestohlen wird
 Überwachungstätigkeiten
o Notwendigkeit, die Notwendigkeit der Überwachung im nationalen Sicherheitsinteresse und das
Recht des Einzelnen auf Privatsphäre in Einklang zu bringen
 Internet bedeutet, dass immer mehr Informationen über Privatpersonen zur
Überwachung zur Verfügung stehen
 Werden Gesellschaften zu Überwachungsgesellschaften?
o Technologie: Neue Technologie, die unser Leben sicherer macht, aber auch mehr Daten
generiert
 Jetzt werden täglich Überwachungsaktivitäten sowohl des öffentlichen als auch des
privaten Sektors für eine Vielzahl von rechtmäßigen Zwecken durchgeführt
 CCTV- und GSP-Teil der Überwachung
o Wenn die Überwachung zu einem Eingriff in die Privatsphäre führt, prüfen Sie, ob der Eingriff
notwendig, rechtmäßig, fair und verhältnismäßig ist
o Regulierung der Überwachung
 Öffentliche und staatliche Stellen oder private Stellen können Überwachung
durchführen (nationale Sicherheit, Strafverfolgung, private Zwecke wie Arbeitsrecht)
 Individuelle Rechte können eingeschränkt werden, wenn die Einschränkung den
Wesensgehalt der Grundrechte und -freiheiten respektiert und in einer demokratischen
Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt
 Nationale und öffentliche Sicherheit, Verhütung und Aufdeckung von Straftaten
sowie Schutz von DS und Rechten und Freiheiten sind Gründe für die
Anwendung von Beschränkungen
 Die LEDP-Richtlinie gilt für Strafverfolgungsmaßnahmen
 Obwohl die Verarbeitung personenbezogener Daten rechtmäßig, fair und
transparent sein muss, sollte dies die Strafverfolgungsbehörden nicht daran
hindern, Aktivitäten wie verdeckte Ermittlungen oder Videoüberwachung
durchzuführen
 Tätigkeiten können durchgeführt werden, solange sie gesetzlich vorgeschrieben
sind und eine notwendige und verhältnismäßige Maßnahme in einer
demokratischen Gesellschaft unter Berücksichtigung der berechtigten
Interessen der betroffenen natürlichen Person darstellen
 Unternehmen des privaten Sektors können verpflichtet sein, PD an
Strafverfolgungsbehörden zu behalten und/oder mit diesen zu teilen
o Kommunikationsdaten
 Moderne Überwachung erfolgt in der Regel auf elektronischem Wege und generiert
Kommunikationsinhalte und Metadaten
 Metadaten= Daten über Daten, Informationen, die als Folge der Übertragung
einer Kommunikation erzeugt und verarbeitet werden

56
 o Verkehrsdaten: Art, Format, Uhrzeit, Dauer, Herkunft, Ziel, Routing,
verwendetes Protokoll sowie Herkunfts- und Endnetze einer
Kommunikation
o Standortdaten: Breite, Länge, Höhe der Geräte des Benutzers,
Netzwerkzelle
o Teilnehmerdaten: Name, Kontaktdaten, Zahlungsinformationen
 Metadaten können ein vollständiges Bild der Kommunikation liefern und
können zur Identifizierung einzelner Personen verwendet werden (fällt daher
unter die DSGVO)
 Schwierigkeiten bei der Abwägung konkurrierender rechtlicher Interessen:
Dauerbeschränkung der DSGVO im Vergleich zum Telekommunikationsgesetz, das von
Anbietern verlangt, Anrufdaten länger als für die Verarbeitung erforderlich
aufzubewahren
 In diesem Fall entschied der EuGH im Jahr 2014, dass die Richtlinie wegen
unverhältnismäßiger Verletzung der Persönlichkeitsrechte ungültig sei.
o Videoüberwachung (CCTV)
 Enthält Bilder von Personen, die zur Identifizierung einer Person verwendet werden
können: Dies gilt als Verarbeitung!
 Jedes Mal, wenn das Bild einer Person aufgenommen wird, gilt es als biometrische
Daten
 Artikel 9 Es müssen besondere Kategorien der Datenfreistellung gelten
o C kann sich möglicherweise auf das Recht der Mitgliedstaaten berufen,
um die Überwachung im öffentlichen Interesse für einen öffentlichen
Bereich oder bei der Ausübung öffentlicher Aufgaben durchzuführen
 Cs müssen sich wahrscheinlich auf einen legitimen Interessenabwägungstest für eine
rechtmäßige Grundlage verlassen, es ist unwahrscheinlich, dass sie eine Zustimmung
erhalten
 Die Nutzung von CCTV darf Rechte und Freiheiten von Einzelpersonen nicht
außer Kraft setzen
 DPIA erforderlich, wenn: Überwachung als hohes Risiko angesehen wird, eine
systematische Überwachung des öffentlich zugänglichen Bereichs in großem Maßstab
beinhaltet oder wenn die Videoüberwachung von der zuständigen Datenschutzbehörde
in die Liste aufgenommen wurde
 Die DSFA muss Folgendes beschreiben: Durchzuführende Verarbeitung,
Verarbeitungszwecke, verfolgte berechtigte Interessen, Bewertung, warum eine
Überwachung notwendig und verhältnismäßig ist, Bewertung der Risiken für die Rechte
und Freiheiten der betroffenen DS und Maßnahmen, die zur Bewältigung dieser Risiken
erforderlich sind
 Wenn die DSFA darauf hinweist, dass hohe Risiken nicht ausreichend gemindert
werden können, muss C vor der Verwendung der Videoüberwachung die
Datenschutzbehörde konsultieren
o Wenn das öffentliche Interesse die gesetzliche Grundlage ist, kann MS
die DPA-Konsultation obligatorisch machen
 Verhältnismäßige und angemessene, relevante und nicht übermäßige Lösung des
Problems, das sie anspricht, sollte die Verwendung von CCTV nur dann erfolgen, wenn
andere weniger aufdringliche Lösungen, die keine Bilderfassung erfordern, in Betracht

57
 gezogen wurden und für den Zweck als unanwendbar oder unzureichend befunden
wurden
 Die Verhältnismäßigkeit erstreckt sich auch auf die Wahl des Systems und der
Technologie (z. B. Gesichtserkennung und Zoom-Technologie)
 Verhältnismäßigkeit bedeutet auch, zu bestimmen, ob Aspekte der
verwendeten CCTV und der Verarbeitung von Filmmaterial in einem
angemessenen Verhältnis zum Zweck des CCTV-Systems stehen, das für
o Betriebs- und Überwachungsanordnungen: wichtige Betriebsaspekte
(Kameratypen, Positionierung von Kameras), Überprüfung, ob die
Überwachung bestimmter Räume minimiert werden kann; Nutzung
bestimmter Funktionen (Zoom, Freeze)
o Aufbewahrung von CCTV-Aufnahmen: Nur so lange aufbewahren, wie es
unbedingt erforderlich ist
o Notwendigkeit der Offenlegung gegenüber Dritten, wie z. B.
Strafverfolgungsbehörden
o Ob CCTV-Aufnahmen mit anderen Informationen kombiniert werden,
um Personen zu identifizieren
o Überwachung von Bereichen mit hoher Erwartung an die Privatsphäre
(Umkleideräume, Badezimmer): nur unter außergewöhnlichen
Umständen erlaubt, mit der Notwendigkeit, mit sehr ernsten Bedenken
umzugehen, Personen darauf aufmerksam zu machen, dass sie
überwacht werden
 Weitere Maßnahmen: Mitarbeiterschulung, disziplinarische und rechtliche Sanktionen
bei Missbrauch, CCTV-Richtlinie (schriftliches Dokument zu wichtigen
Datenschutzfragen), regelmäßige Überprüfungen zur Sicherstellung der Einhaltung und
Überprüfung, ob die Verwendung von CCTV weiterhin gerechtfertigt ist
 DS-Rechte und CCTV
 Transparenzanforderungen gelten weiterhin, insbesondere wenn Kameras einen
großen öffentlichen Raum abdecken
o Die Informationen sollten sichtbar sein und sich in angemessener
Entfernung zum überwachten Bereich befinden
o Identifizieren Sie den Zweck der Überwachung und C mit Kontaktdaten
 Vorbehaltlich des Zugriffsrechts von DS auf Art. 15: CCTV wird für kurze Zeit
aufbewahrt, daher kann es schwieriger sein, dieses Recht zu nutzen
o Wenn Filmmaterial Bilder von anderen enthält, sollten Maßnahmen
ergriffen werden, um ihre Privatsphäre zu schützen, z. B. unscharfe
Bilder
o Biometrische Daten
 Personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung
ergeben und sich auf die physischen, physiologischen oder Verhaltensmerkmale einer
natürlichen Person beziehen, die die eindeutige Identifizierung dieser natürlichen
Person ermöglichen oder bestätigen
 Z.B. DNA, Fingerabdrücke, Handflächen, Venenmuster, Geruch, Stimme,
Gesicht, Handschrift, Gang
 Kann in seiner Rohform oder biometrischen Vorlagenform vorliegen: Die Vorlage muss
ausreichende Details enthalten, damit eine Person aus der im biometrischen System
gespeicherten Population von Personen identifiziert werden kann

58
  Haupteinsatzgebiete der Systeme: Identifizierung und Authentifizierung
 Um unter Art. 9 Sonderkategorie zu fallen, muss der Zweck der Verarbeitung
biometrischer Daten darin bestehen, eine natürliche Person eindeutig zu identifizieren
o Standortdaten
 Standortbasierte Dienste, verlassen sich auf die technische Fähigkeit, ein tragbares
Gerät zu lokalisieren
 Abgeleitet aus Satellitennetzwerk-generierten Daten (GPS), zellbasierten mobilen Daten
(Cell ID), Chipkarten-generierten Daten (Zahlungskarten)
 3 große Kategorien von Standortdaten, die Google zur Bereitstellung seiner Dienste
verwendet: implizite Standortinformationen (mithilfe von Suchanfragen usw.);
Internetverkehrsinformationen (IP-Adresse, ermöglicht die Anwendung der richtigen
Sprache); gerätebasierte Standortdienste (Turn-by-Turn-Navigation)
 Standortdaten sind ein Identifikator, da sie eine Person identifizieren oder zur
Identifizierung einer Person führen können: Als personenbezogene Daten im Sinne
dieser Definition gelten
 Selbst wenn Benutzer Standortdienste auf ihrem Gerät oder für eine App
ausschalten, können Schwachstellen in einer mobilen App ausgenutzt werden,
um auf den Standort zuzugreifen
 App-Entwickler müssen entscheiden, ob Apps mit Standort zu hohen Risiken für
Rechte und Freiheiten von Einzelpersonen führen. In diesem Fall ist eine DSFA
erforderlich
 Der Standortverlauf kann verwendet werden, um Rückschlüsse auf einzelne
Personen zu ziehen, z. B. das Zuhause von Freunden, die Religion, den
Gesundheitszustand, die politische Zugehörigkeit usw.
 Bedenken hinsichtlich der Aufbewahrung und des Zugriffs durch Behörden oder
Arbeitgeber
o Wenn der Arbeitgeber eine Flotte von Fahrzeugen verwendet, die nicht
an Einzelpersonen gebunden sind, keine personenbezogenen Daten:
Wenn Daten, die für einen Zweck im Zusammenhang mit dem
Mitarbeiter verwendet werden, unter die DSGVO fallen
 Direktmarketing
o Im Allgemeinen
 DM: jede Form der Verkaufsförderung, einschließlich DMs von
Wohltätigkeitsorganisationen und polnischen Organisationen für Fundraising-Zwecke
 Muss nichts zum Verkauf anbieten, könnte eine kostenlose Werbeaktion sein
oder einfach nur die Organisation im Allgemeinen bewerben
 An bestimmte Personen gerichtet (DP-Gesetze gelten, wenn die PD von
Personen verarbeitet wird, um ihnen eine Marketingbotschaft zu übermitteln)
 Die meisten DM unterliegen DP-Gesetzen sowie Verbraucherschutzgesetzen und
Werbegesetzen, die zwischen MS variieren
 Anwendbares Recht kann der Ort sein, an dem sich der Absender oder
Empfänger befindet, oder beides
 Beinhaltet häufig Daten, die über das Gerät des Verbrauchers gesammelt werden:
Cookies, Standortdaten
 Push-Nachrichten und In-App-Nachrichten sind DM!
 Ungezieltes Marketing (Website-Banner) und rein servicebezogene Botschaften
(Information über Status einer Bestellung) sind keine DM

59
  die ePrivacy-Richtlinie gilt, wenn Marketing über elektronische Kommunikationsnetze
gesendet wird: gilt nicht für Postmarketing
 Cs müssen alle DSGVO-Anforderungen erfüllen: Rechtsgrundlage für die Verarbeitung
(in der Regel Einwilligung oder berechtigte Interessen), Bereitstellung fairer
Verarbeitungsinformationen (Transparenz), geeignete technische und organisatorische
Maßnahmen zum Schutz der Daten, keine Übermittlung außerhalb des EWR
 DS muss ein spezifisches Recht haben, DM, die von C gesendet wurden, abzulehnen
oder abzulehnen; kann jederzeit widerrufen werden, wenn dies auf einer Einwilligung
beruht; wenn dies auf legitimen Interessen beruht, ist immer noch ein Opt-out
erforderlich
 DS muss über das Recht auf Opt-out informiert werden, klar und getrennt von
anderen Informationen dargestellt werden
 DS muss in der Lage sein, sich über alle Marketingkanäle hinweg abzumelden
 Cs müssen Opt-Out-Anfragen zeitnah und ohne Kosten für DS erfüllen
 PD muss gelöscht werden, es sei denn, die Aufbewahrung ist unbedingt
erforderlich
o Ausnahmen: zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen erforderlich, zwingende schutzwürdige Gründe für
die Fortsetzung der Verarbeitung überwiegen die
datenschutzrechtlichen Interessen von DS
 Profiling-Daten müssen ohne Ausnahme entfernt werden
 Wenn Einzelpersonen eine Abmeldung beantragen, sollten Cs die Kontaktdaten
unterdrücken, anstatt sie zu löschen: verhindert, dass die Daten später erneut
erfasst werden und die DM wieder aufgenommen wird
o C sollte Aufzeichnungen über DS aufbewahren, denen keine Marketing-
Kommunikation gesendet werden sollte
 Nationale Opt-Out-Listen („Robinson-Liste“)
o MS kann verlangen, dass Cs die DM-Liste gegen Robinson-Listen sowie
interne Opt-out-Datensätze bereinigt, bevor Marketingmaterialien
gesendet werden: Unterlassen, kein Datenverstoß, nur Verstoß gegen
nationale Gesetze
o Spätere Opt-in-Zustimmung überschreibt Robinson-Liste
 ePrivacy-Richtlinie
 Erlegt dem Marketing die Einwilligung und Informationsanforderungen per
Telefon, Fax, E-Mail, SMS, Sofortnachrichten, Push-Benachrichtigungen und
anderen elektronischen Nachrichten auf
 Erfordert die vorherige Zustimmung des Empfängers
o Ausnahmen für E-Mail-Marketing auf Opt-out-Basis, wenn C DS-
Informationen durch den Verkauf von Produkten oder Dienstleistungen
erhalten hat
 Adressiert standortbasiertes Marketing UND OBA-COOKIES
 Manchmal von der Telekom-Regulierungsbehörde anstelle von DPA
durchgesetzt
o Per Post (ePrivacy-Richtlinie gilt nicht)
 Auch wenn es nicht elektronisch ist, stellen Sie dennoch die Einhaltung der DSGVO/DP-
Grundsätze sicher (rechtmäßige Verarbeitung, Transparenz, Opt-out-Anfragen, andere
DS-Rechte)

60
  Einwilligungserfordernisse
 Keine direkte Anforderung in der DSGVO, aber einige nationale Regeln erfordern
eine postalische DM: Wenn nicht, verlassen Sie sich in der Regel auf legitime
Interessen mit Abwägung
 Ausgleichsfaktoren: bestehender Kunde von C, Art des Produkts und der
Dienstleistungen, wurde DS zuvor mitgeteilt, dass es keine postalischen DMs
erhalten würde
 Liegt keine berechtigte Interessengrundlage vor, ist eine Einwilligung
erforderlich
 In einigen Mitgliedstaaten muss die Dm-Liste gegen das nationale Opt-out-Register
gesäubert werden, es sei denn, es liegt eine gültige Opt-in-Einwilligung von DS vor
o Telefonisch (es gilt die ePrivacy-Richtlinie)
 Einwilligungserfordernisse
 Keine ausdrückliche Zustimmungspflicht, außer bei automatisierten
Anrufsystemen (immer Opt-in-Zustimmung erforderlich)
o Automatisierte Systeme können weiterhin verwendet werden, um
Nummern zu wählen, um persönliche Gespräche zu erleichtern
 Die Gesetze der Mitgliedstaaten können bestimmen, ob sie auf Opt-in- oder
Opt-out-Basis zulässig sind
o DS muss in der Lage sein, sich kostenlos abzumelden
o Die meisten Mitgliedstaaten verfügen über nationale Opt-out-Register
für Telemarketing
o Einige Mitgliedstaaten verlangen von Telemarketern, dass sie bei jedem
Anruf ein nationales Opt-out-Register angeben und ein individuelles
Recht auf sofortige kostenlose Registrierung anbieten
 Die DP-Bedingungen gelten nicht immer, die Gesetze variieren im Allgemeinen von Staat
zu Staat
 Nur ein einheitlicher Ansatz ist es, die Zustimmung auf der ganzen Linie zu erhalten
 Automatisierte Anrufsysteme: einige MS-Anforderungs-IDs und Kontaktdaten des
Anrufers
 Einige MS haben einen entspannteren Ansatz für B2B-Telemarketing
 Die DSGVO gilt weiterhin, insbesondere bei der Verarbeitung der PD der
Mitarbeiter für B2B-DM
 die ePrivacy-Richtlinie gilt gleichermaßen für B2B- und B2C-Telemarketing
o Per E-Mail/SMS (es gilt die ePrivacy-Richtlinie)
 Muss allgemeine DSGVO-Anforderungen erfüllen, wie Transparenz und rechtmäßige
Verarbeitung
 Elektronische Post: jede Text-, Sprach-, Ton- oder Bildnachricht, die über ein öffentliches
Kommunikationsnetz gesendet wird und im Netzwerk oder im Endgerät des Empfängers
gespeichert werden kann, bis sie vom Empfänger gesammelt wird (technologieneutrale
Definition)
 C muss zuvor eine Einwilligung einholen und eine faire Verarbeitungsbenachrichtigung
abgeben, wenn Daten erhoben werden
 Begrenzte Opt-out-Ausnahme, wenn DS-Kontaktdaten im Zusammenhang mit
dem Verkauf eines Produkts oder einer Dienstleistung erhalten werden

61
 o Einige MS verlangen, dass ein Verkauf getätigt wurde, während andere
es während des Kontakts im Allgemeinen zulassen (kein Verkauf
getätigt)
 Für die Befreiung darf C nur DM an Einzelpersonen über Cs eigene ähnliche
Produkte oder Dienstleistungen als die gekauften senden, UND
o Daten können nicht an Dritte weitergegeben werden
o Kann Produkte oder Dienstleistungen nicht anders vermarkten als die,
die mit DS verbunden sind
 C muss dem Einzelnen klar und deutlich die Möglichkeit gegeben haben, das
Marketing per E-Mail zu dem Zeitpunkt, zu dem die Daten anfänglich erhoben
wurden, und in jeder Marketingkommunikation auf einfache und kostenlose
Weise abzulehnen
o In der Regel erfolgt dies beim Sammeln von Daten durch Ankreuzen des
Kontrollkästchens
 Muss DS mit gültiger Adresse senden, um ein Opt-out anzufordern, über ein geeignetes
Medium, über das die Marketingmitteilung gesendet wurde
 C darf die ID des Absenders nicht verbergen oder verschleiern, sicherstellen,
dass die Nachricht eindeutig als kommerzielle Kommunikation identifizierbar ist,
sicherstellen, dass Promo-Angebote klar identifizierbar sind und die
Bedingungen für sie leicht zugänglich und eindeutig sind, und dass Promospiele
oder Wettbewerbe klar identifizierbar sind und die Bedingungen für die
Teilnahme leicht zugänglich sind und klar/eindeutig dargestellt werden
o Per Fax (es gilt die ePrivacy-Richtlinie)
 DSGVO, einschließlich der Transparenz- und rechtmäßigen Verarbeitungsanforderungen
 Einwilligungserfordernis: muss vor dem Versenden von Faxen eine vorherige
Einwilligungserklärung einholen
 Mit fairer Verarbeitungsbenachrichtigung präsentieren, wenn Daten gesammelt werden
 Wenn MS derzeit B2B-Fax-Marketing auf Opt-out-Basis zulässt, kann Cs nach nationalem
Recht aufgefordert werden, beabsichtigte Fax-Marketing-Kontakte gegen Opt-out-
Register zu bereinigen
o Standortbasiert (es gilt die ePrivacy-Richtlinie)
 Standortdaten: alle Daten, die in einem elektronischen Kommunikationsnetz oder durch
einen elektronischen Kommunikationsdienst verarbeitet werden und die geografische
Position des Endgeräts eines Benutzers eines öffentlich zugänglichen elektronischen
Kommunikationsdienstes angeben
 Beinhaltet Breite/Länge, Höhe, Fahrtrichtung
 Gilt nur für Daten, die die Position der Endgeräte anzeigen, nicht den Standort
der Person -> der Standort der Veröffentlichung auf Facebook gilt nicht (aber die
DSGVO gilt weiterhin, nur keine ePD)
 Entweder basierend auf Smartphone-Standortdaten (Weitergabe an einem Geschäft)
oder Hochladen in soziale Netzwerke
 Standortbasierte Daten sind personenbezogene Daten, daher gilt die DSGVO: Es gelten
Transparenz- und rechtmäßige Verarbeitungsanforderungen
 Einwilligung: Opt-in für „Mehrwertdienst“ erforderlich
 Ausnahme: anonymisierte Daten, aber es ist unwahrscheinlich, dass dies
realistisch zutrifft

62
  DS müssen zunächst informiert werden über: Arten der erhobenen und verarbeiteten
Standortdaten, Zwecke und Dauer der Verarbeitung und ob sie an Dritte übermittelt
werden
 Es ist oft schwierig, Informationen auf benutzerfreundliche Weise
bereitzustellen. Best Practices bestehen darin, Informationen über die
Verwendung von Standortdaten für Marketingzwecke in die
Datenschutzrichtlinie der App aufzunehmen
 C muss DS die Möglichkeit bieten, die Zustimmung zur Nutzung des Standorts für DM zu
widerrufen, und muss während des gesamten Verarbeitungszeitraums der DS-
Standortdaten verfügbar sein
 Muss sowohl ein umfassendes Recht auf Deaktivierung als auch das Recht auf
vorübergehende Deaktivierung für jede Verbindung zum Netzwerk oder für jede
Kommunikation bieten
o Online Behavioral Advertising (OBA) – Cookies! (Es gilt die ePrivacy-Richtlinie)
 Website-Werbung, die sich an Einzelpersonen richtet, basierend auf der Beobachtung
des Verhaltens im Laufe der Zeit, liefert Werbung, die für die Rechte und Interessen des
Einzelnen relevanter ist, verbessert die Anzeigeneffektivität und die Klickrate
 Cs kann Empfehlungen an DS basierend auf früheren Interaktionen mit einer Website
abgeben
 Werbenetzwerke können das Verhalten über mehrere, nicht verbundene
Websites verfolgen, um Werbung auf allen Websites gezielt zu platzieren
 Cookie, das auf dem Computer abgelegt wird, um Informationen zu sammeln,
Präferenzen aufzuzeichnen und an das Netzwerk zurückzusenden
o Schließlich wird diesem Benutzer ein Profil zugewiesen (neue Mutter,
junge Fachkraft)
 Die Frage ist, ob ein Online-Profil ohne Kenntnis der tatsächlichen Person als PD
qualifiziert werden sollte und daher unter die DSGVO fällt
 Betrachtetes „Profiling“
 OBA ermöglicht die Verfolgung von Benutzern eines bestimmten Computers,
auch wenn dynamische IP-Adressen verwendet werden, so dass Benutzer
herausgegriffen werden können, auch wenn echte Namen nicht bekannt sind
 Welche Stelle ist der Datenverantwortliche?
 Werbenetzwerke qualifizieren sich oft, weil sie die vollständige Kontrolle über
den Zweck und die Mittel haben, für die die Informationen der Website-
Besucher verarbeitet werden: Werbenetzwerke mieten Flächen von Website-
Publishern, setzen und lesen Cookie-bezogene Informationen und sammeln IP-
Adressen und andere Daten
 Der Website-Publisher kann ein gemeinsamer Controller mit dem
Werbenetzwerk sein, indem er Werbenetzwerke einbindet, um OBA über ihre
Websites zu beobachten
o Netzwerk und Publisher sollten vertraglich vereinbaren, wer Besucher
darüber informiert, dass personenbezogene Daten für OBA verwendet
werden, und wie Besuchern die Möglichkeit geboten wird,
 Werbetreibende können unabhängige Datenverantwortliche sein: Der
Werbetreibende überwacht die nachfolgenden Browsing-Aktivitäten der Person
und kombiniert sie mit dem Targeting-Profil, das sich auf die Person bezieht
 **Alle beteiligten Parteien können Compliance-Anforderungen haben

63
  ePD gilt unabhängig davon, ob DSGVO als anwendbar angesehen wird
 Explizite Erwähnung von Cookies in ePD
o Die Verwendung von Cookies ist nur unter der Bedingung zulässig, dass
der Einzelne seine Einwilligung erteilt hat und klare und umfassende
Informationen erhalten hat (vorherige Einwilligung nach Aufklärung)
o Einwilligung muss konkrete Angabe ihrer Wünsche sein, frei gegeben
und widerruflich: aktive Beteiligung des Nutzers erforderlich, Opt-Out
passive Mechanismen unzureichend
 Die Verwendung von Browsereinstellungen reicht in der Regel nicht aus, um
eine Einwilligung einzuholen
o Möglicherweise, wenn die Standardeinstellung des Browsers keine
Cookies ist und der Benutzer sie aktiv ändert, um Cookies zu
akzeptieren, könnte dies möglicherweise zutreffen
 Die meisten OBA-Lösungen implizieren die Verwendung von Cookies von Drittanbietern:
Link zur Datenschutzerklärung von Drittanbietern
o Durchsetzung
 Geldbußen und Verwaltungssanktionen durch DPAs
 Zivilrechtliche und manchmal strafrechtliche Haftung
 ePrivacy-Richtlinie: Rechtsbehelfe, Haftungen und Sanktionen der DSGVO bei Verstößen
gegen die ePD
 Kann von Verbraucherschutz- und Telekommunikationsbehörden anstelle von
Datenschutzbehörden durchgesetzt werden
 Neues Recht für Einzelpersonen und Unternehmen mit berechtigtem Interesse
an der Einstellung oder dem Verbot von Spam eingerichtet, um private Klagen
gegen nicht konforme Vermarkter zu erheben (Erwartung, dass ISPs diese
Ansprüche geltend machen werden)
 Internet-Technologie und -Kommunikation
o Cloud Computing
 Die Bereitstellung von IT über das Internet (Software, Infrastruktur, Hosting,
Plattformen)
 Servicemodelle: Infrastruktur, Plattform oder Software as a Service
 Die Struktur des Dienstes wird von den Kunden des Lieferanten in einer Reihe von
Ländern geteilt
 ARTIKEL 3 FINDET WAHRSCHEINLICH ANWENDUNG: Tätigkeiten der EU-Niederlassung
des für die Verarbeitung Verantwortlichen oder das Anbieten von Waren oder
Dienstleistungen an Einzelpersonen in der EU oder die Überwachung ihres Verhaltens
 Weltimmo (1. Test): Die Etablierung hängt vom Grad der Stabilität der
Vereinbarungen ab und davon, ob es eine effektive Ausübung der Aktivitäten
gibt
o Website, die auf Ungarn abzielt, in ungarischer Sprache, mit einem
Vertreter in Ungarn für Gerichtsverfahren/Inkasso, einem Briefkasten in
Ungarn und einem ungarischen Bankkonto ist für die Einrichtung in
Ungarn ausreichend
o Minimale Aktivitäten können eine Niederlassung darstellen
 Google v. Spain: Economic link between non-EU data C processing PD and EU-
based establishment can mean C activities subject to regulation
 2. Test: Es muss nicht festgestellt werden, ob eine Niederlassung in der EU

64
 o ***Ps können aufgrund der Verarbeitung in das EU-Recht einbezogen
werden: Auch wenn P nicht direkt den Gesetzen dieser beiden Tests
unterliegt, muss P dies ebenfalls befolgen, wenn der Kunde unter das
EU-Recht fällt!
 C v. P: C bestimmt, wie und warum PD verarbeitet wird, P handelt auf Anweisung von C
 Wenn P einige wesentliche und wesentliche Elemente der Verarbeitung
bestimmt, wie z. B. die Vorratsdatenspeicherung, könnten sie zu einem C
 Relevant, da Cloud-Computer personenbezogene Daten, die von Kunden
gesammelt werden, für ihre eigenen Zwecke nutzen möchten
 Von der DSGVO geregelte Dienstleistungsverträge mit detaillierter Auflistung der
Pflichten des Auftragsverarbeiters:
 Fügen Sie Informationen über Gegenstand, Dauer, Art und Zweck der
Verarbeitung mit Art der personenbezogenen Daten und Kategorien von DS
hinzu
 PD wird nur auf dokumentierte Weisung, einschließlich Datenübertragungen,
verarbeitet
 Personen, die Daten verarbeiten, die der Geheimhaltungsverpflichtung
unterliegen
 Mehr präskriptive Sicherheitsmaßnahmen
 Cs von Unter-Ps in Kenntnis gesetzt und haben ein Widerspruchsrecht
 Alle Unter-Ps haben die gleichen vertraglichen Verpflichtungen wie Ps
 Maßnahmen, die ergriffen werden, um sicherzustellen, dass Cs alle ihre
Verpflichtungen mit Hilfe von Ps erfüllen können (z. B. DS über
Datenschutzverletzungen informieren, DPIA durchführen usw.)
 Alle PD werden gelöscht oder zurückgegeben, sobald die Leistungserbringung
abgeschlossen ist
 Überwachung der Vertragstreue erlaubt
 Cs suchen auch normale Vertragsbestimmungen, wie Entschädigung für
Missbrauch von PD durch P
 ***AUCH P nicht verantwortlich für die regulatorischen Verpflichtungen von C
 Internationale Datenübermittlungen
 Cs müssen in der Lage sein, Schutzmaßnahmen zum Schutz der übertragenen
PD: Optionen aufzuzeigen
o Geografische Einschränkungen (kann den Zweck der Cloud zunichte
machen, die Kosten erhöhen)
o Wählen Sie Privacy-Shield-zertifizierte Lieferanten in den USA
o Modellklauseln verwenden
 Schwierig zu konstruieren für Übertragungen an mehrere
Parteien
 Muss aktualisiert werden, wenn sich der Prozess
weiterentwickelt
 Sind unflexibel
o Maßgeschneiderte Datenübertragungsvereinbarungen (müssen von den
Aufsichtsbehörden genehmigt werden)
o BCRs für Ps (ermöglicht Cs die Verwendung, wenn Informationen von Ps
übertragen werden)
o Verhaltens- und Zertifizierungskodizes (neu mit DSGVO)

65
 o Ausnahmeregelung zu Art. 49: beinhaltet Einwilligung
o Cookies
 Cookie: eine kleine Textdatei, die von einem Website-Server auf den Computer der
Besucher seiner Website geliefert wird (Device Fingerprinting)-> beschränkt auf mobile
Geräte und mit Apps
 Hilfe bei der Anpassung der Website-Angebote und der Aufrechterhaltung der
Sicherheit von Einzelpersonen, während sie auf der Website eingeloggt sind, auch
gezielte Werbung
 Verknüpft mit Informationen, die nicht persönlich identifizierbar sind (IP-Adressen,
Zeitpunkt eines Website-Besuchs usw.), aber das Zusammenstellen dieser
Informationen kann ein Identitätsprofil der Surfgewohnheiten erstellen: Dies sind
personenbezogene Daten im Sinne der DSGVO, da Cookies PD sammeln, um ein Profil zu
erstellen!
 Wenn Profil mit Name, E-Mail oder Adresse verknüpft wird, definitiv
personenbezogene Daten
 Zu den pseudonymen Daten gehören Profile, die mit einer Person verknüpft werden
können, auch wenn C die Verknüpfung nicht beabsichtigt
 Vidal-Hall v. Google: Profile von Surfgewohnheiten, die zur Erstellung von Profilen für
Zielanzeigen verwendet werden
 English Ct of Appeal entschied, dass Profile PD waren und die Verwendung von
Profilen durch Google anstößig war, denn selbst wenn Google nicht wusste, wer
die Person war, wussten andere, die das Gerät verwendeten, wahrscheinlich
und würden Informationen über die Person basierend auf gezielten Anzeigen
erhalten
 IP-Adressen werden jetzt in der DSGVO explizit als PD betrachtet
 EU-Recht auf Nicht-EU-Websites wegen 2. Prung von Art 3 Test angewendet
 ePrivacy-Richtlinie ebenfalls anwendbar
 Speicherung von Informationen oder Zugriff auf Informationen nur zulässig,
wenn die Einwilligung auf klaren und umfassenden Informationen beruht
(Ausnahme für notwendige Cookies)
o Informationen über das Senden und den Zweck von Cookies müssen
dem Benutzer mitgeteilt werden
o Der Benutzer muss zustimmen, bevor ein Cookie gesetzt wird
o Der Benutzer muss die Wahl haben, zuzustimmen und einen aktiven
Hinweis darauf zu geben, dass die Zustimmung erteilt wird
 Debatte, ob die Einwilligung über die Browsereinstellungen ausreicht
o Ausreichend, wenn: (1) die Standardeinstellung des Browsers Cookies
ablehnt, (2) die Einstellungen klare, umfassende und vollständig
sichtbare Informationen über die Verwendung und den Zweck von
Cookies und deren Ablehnung enthalten, (3) die Benutzer positive
Schritte unternehmen müssen, um das Setzen von Cookies und das
fortlaufende Abrufen von Daten aus Cookies zu akzeptieren, und (4) es
unmöglich ist, die von den Benutzern in ihren Einstellungen getroffenen
Entscheidungen zu umgehen
 Websites sollten vollständige und transparente Informationen über ihre Verwendung
von Cookies bereitstellen

66
  IP-Adressen sind PD, da der ISP die Adresse mit einem bestimmten Kunden verknüpfen
kann
 Unternehmen können weiterhin ein Profil von IP-Benutzern erstellen und
basierend auf der IP-Adresse unterscheiden und ISPs auffordern, IP-Benutzer zu
identifizieren
 Breyer v. Deutschland (dynamische IP-Adressen)
o Sowohl statische als auch dynamische IP-Adressen können PD in den
Händen anderer Organisationen als ISPs darstellen
o Suchmaschinen
 Verarbeitung großer Mengen von Volumina, einschließlich Benutzer-IP-Adressen,
Cookies (zur Personalisierung und Verbesserung von Diensten),
Benutzerprotokolldateien (nach denen sie zuvor gesucht haben), Webseiten von
Drittanbietern
 Bei der Erstellung von Profilen wie Benutzerprotokolldateien und der Verwaltung von
Webseiten von Drittanbietern sind Suchmaschinen Cs für die PD
 Webseiten von Drittanbietern, weil SEOs usw.
 Im Allgemeinen gilt der 2. Absatz von Artikel 3, in der Regel außerhalb des EWR, aber mit
Überwachung des Verhaltens
 Könnte auch als Auftragsverarbeiter unterliegen, wenn die Seiten von Drittanbietern
der DSGVO unterliegen
 Google v. Spanien: Die Aktivitäten von Google Spain und Google, Inc. waren aufgrund
der Rolle von Google Spain beim Verkauf von Werbeflächen, die erforderlich sind, um
die Suchmaschine von Google, Inc. wirtschaftlich rentabel zu machen, „untrennbar
miteinander verbunden“
 Weitere Fragen
 Vorratsdatenspeicherung: muss die Proportionalitätsanforderung erfüllen, max.
6 Monate, dann löschen oder unwiderruflich anonymisieren
 Weiterverarbeitung zu unterschiedlichen Zwecken: Parameter müssen klar
definiert und Nutzer auf den Zweck aufmerksam gemacht werden (z.B. wenn
Nutzerdaten plattform- und dienstübergreifend korreliert sind, muss die
Einwilligung des Nutzers eingeholt werden)
o Wenn Suchmaschinen Daten quellenübergreifend verknüpfen, kann dies
rechtswidrig sein, wenn Einzelpersonen bei der Datenerhebung nicht
die erforderlichen fairen Verarbeitungsinformationen erhalten und das
Recht haben, die Profilerstellung abzulehnen
 Einhaltung der DS-Rechte: registrierte und nicht registrierte Nutzer,
Berichtigung oder Löschung zwischengespeicherter personenbezogener Daten
(Recht auf Vergessenwerden)
o Soziale Netzwerke
 SNS-Anbieter = Cs, auch außerhalb des EWR (gleiche Überlegungen wie Suchmaschinen)
 SNSs müssen sicherstellen, dass Anwendungen von Drittanbietern auch der DSGVO
entsprechen
 SNS-Benutzer können im Rahmen der „Haushaltsausnahme“ oder der Ausnahme für die
Verwendung von PD für journalistische, künstlerische oder literarische Zwecke
ausgenommen werden
 Gilt nicht, wenn SNS von der Organisation verwendet wird (Benutzer sind Cs
unter GPDR)

67
  Wenn der Benutzer wissentlich den Zugriff auf personenbezogene Daten über
ausgewählte Kontakte hinaus erweitert (in diesem Fall auch als C fungierend)
 Informationen, die von SNS-Anbietern bereitgestellt werden müssen
 Beachten Sie, dass PD für Marketing und Opt-out (falls zutreffend) verwendet
wird
 Beachten Sie, dass PD an bestimmte Dritte weitergegeben wird
 Erläuterung des durchgeführten Profiling
 Informationen zur Verarbeitung sensibler PD
o Ausdrückliche Zustimmung von DS zur Bereitstellung im Internet
erforderlich
o SNS sollte deutlich machen, dass die Bereitstellung von Daten völlig
freiwillig ist
o Fotos können sensible Daten überprüfen, werden jedoch normalerweise
nicht in diesem Bereich erfasst, es sei denn, der Zweck besteht darin,
diese Daten preiszugeben.
 Warnungen vor Risiken für die Privatsphäre
 Warnung vor der Zustimmung von Dritten, die beim Hochladen von Daten anderer
Personen wie Fotos erforderlich ist
 Wenn SNS PD von Nichtbenutzern sammelt und aggregiert (z. B. Benutzer lädt
Kontaktliste hoch) und dann ein Profil erstellt, ist diese Verarbeitung gemäß DSGVO
rechtswidrig, da die Person, die das Profil erstellt hat, nicht in der Lage ist, etwas über
die Verarbeitung zu erfahren
 KINDER
 Unter 13-16 Jahren (länderabhängig) muss die Zustimmung der Eltern gegeben
werden
 Berechtigte Interessengründe für die Verarbeitung liegen möglicherweise nicht
vor
 Cs muss Rücksicht auf das Wohl des Kindes nehmen
 Sensibilisierungsmaßnahmen und faire und rechtmäßige Verarbeitung
 Sensible PD sollten nicht angefordert werden, datenschutzfreundliche
Standardeinstellungen sollten übernommen werden und Minderjährige sollten
nicht mit Direktmarketing angesprochen werden
o Mobile Apps
 Apps haben auf gespeicherte mobile Daten zugegriffen, die verwendet werden, um
Benutzern innovative Dienste anzubieten, können an App-Entwickler zurückgesendet
und mit einem bestimmten Gerät verknüpft werden (einschließlich Standort, Fotos, E-
Mails, Internet-Browsing-Verlauf, Höhe, Audio, Video, Geschwindigkeit,
Benutzerinteraktionen)
 Spezielle PD können auch nach Standort aufgedeckt werden (z. B. wiederholte
Besuche in einer Kirche)
 Daten, die in Apps gesammelt werden, gelten wahrscheinlich als personenbezogene
Daten
 die ePrivacy-Richtlinie gilt auch, insbesondere wenn Cookies angewendet und
verwendet werden
 Cookies sind in der Regel nur in der App verfügbar, in der sie gesetzt werden
o Aus diesem Grund haben Werbetreibende neue Tracking-Methoden
entwickelt

68
 o Wann immer neue Methoden verwendet werden, bedürfen sie auch der
Zustimmung von DS
 App-Entwickler sind wahrscheinlich Daten-C, es sei denn, die App verarbeitet Daten am
Telefon, sendet sie aber nicht an den Entwickler zurück
 Viele andere Parteien werden wahrscheinlich auch als Verarbeiter beteiligt sein
 Dritte können auch zu Verantwortlichen werden
 Der App-Zugriff auf Dinge wie Kontakte und Fotos erfordert die Zustimmung des
Benutzers
 Hinweis: Angemessene Informationen auf kleinem Raum schwierig
 Symbole oder visuelle Symbole können bessere Werkzeuge sein
 Mehrschichtige Hinweise mit Links zu vollständigen Informationen
 Möglicherweise müssen vor dem Herunterladen der App Hinweise und
Datenschutzrichtlinien gegeben werden
 Einwilligung: Die ePrivacy-Richtlinie erfordert eine Einwilligung, bevor Informationen auf
einem Gerät gespeichert werden, einschließlich des Herunterladens einer App
 Kann als rechtmäßiger Grund erforderlich sein, andere Gründe sind
möglicherweise nicht verfügbar (z. B. berechtigtes Interesse an intimen
Informationen über den Standort)
 Einwilligung zur Datenverarbeitung, die für die Bereitstellung von App-
Funktionen nicht zwingend erforderlich ist, generell nicht gültig, wenn der
Nutzer diese zur Nutzung der App erteilen muss
 Die Einwilligung muss spezifisch sein, keine übergeordnete Einwilligung für die
Verarbeitung durch die App
 Datenminimierung: Personenbezogene Daten müssen angemessen, relevant und auf
das für den Zweck, für den sie verarbeitet werden, erforderliche Maß beschränkt sein
o Internet der Dinge
 Allgemeine Dinge im Leben, die mit dem Internet verbunden sind (Home Nest, Alexa
usw.)
 Sensoren sammeln häufig Informationen über identifizierbare Personen
 C vs. P: Gleiche Überlegungen wie mobile Geräte
 Sicherheit schwierig, da eine große Anzahl von Objekten mit demselben Netzwerk
verbunden ist (große Anzahl von Punkten für böswilligen Zugriff) und Software mit
Sicherheitspatches weniger wahrscheinlich auf dem neuesten Stand gehalten wird
 Netzwerke sollten sicher gestaltet sein, Datenschutz durch Design bei der
Gestaltung von Dingen implementieren
 Hinweis und Auswahl
 Wie kann man Einzelpersonen die von der DSGVO geforderten fairen Hinweise
geben (Aufkleber?)
 Einwilligung in der Regel der am besten geeignete Grund für die Verarbeitung:
Einwilligungsmechanismen müssen möglicherweise in die Geräte selbst
eingebaut werden

69