Handbuch EDV Recht IT Recht mit IT

Vertragsrecht Datenschutz
Rechtsschutz und E Business
Visit to download the full and correct content document:
https://ebookstep.com/product/handbuch-edv-recht-it-recht-mit-it-vertragsrecht-datens
chutz-rechtsschutz-und-e-business/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...

IT Sicherheitsmanagement Das umfassende Praxis Handbuch

für IT Security und technischen Datenschutz nach ISO
27001 3rd Edition Thomas W. Harich

https://ebookstep.com/product/it-sicherheitsmanagement-das-
umfassende-praxis-handbuch-fur-it-security-und-technischen-
datenschutz-nach-iso-27001-3rd-edition-thomas-w-harich/

Recht und Praxis der GEMA Handbuch und Kommentar Harald

Heker Editor Karl Riesenhuber Editor

https://ebookstep.com/product/recht-und-praxis-der-gema-handbuch-
und-kommentar-harald-heker-editor-karl-riesenhuber-editor/

Handbuch Industrie 4 0 Recht Technik Gesellschaft

Walter Frenz

https://ebookstep.com/product/handbuch-industrie-4-0-recht-
technik-gesellschaft-walter-frenz/

Business Continuity und IT Notfallmanagement Grundlagen

Methoden und Konzepte 1st Edition Heinrich Kersten

https://ebookstep.com/product/business-continuity-und-it-
notfallmanagement-grundlagen-methoden-und-konzepte-1st-edition-
heinrich-kersten/
IT Handbuch für Fachinformatiker Der
Ausbildungsbegleiter Sascha Kersken

https://ebookstep.com/product/it-handbuch-fur-fachinformatiker-
der-ausbildungsbegleiter-sascha-kersken/

Medienrecht Band 5 IT Recht und Medienstrafrecht Artur

Axel Wandtke Editor Matthias Hartmann Editor Bernd
Heinrich Editor Gregor Kutzschbach Editor Et Al Editor
Kirsten Inger Wöhrn Editor
https://ebookstep.com/product/medienrecht-band-5-it-recht-und-
medienstrafrecht-artur-axel-wandtke-editor-matthias-hartmann-
editor-bernd-heinrich-editor-gregor-kutzschbach-editor-et-al-
editor-kirsten-inger-wohrn-editor/

Erfolgsrezept Konvergenz gemeinsam innovativ Wie

Marketing und IT die Business Transformation
vorantreiben und Kunden begeistern 1st Edition Ray
Velez
https://ebookstep.com/product/erfolgsrezept-konvergenz-gemeinsam-
innovativ-wie-marketing-und-it-die-business-transformation-
vorantreiben-und-kunden-begeistern-1st-edition-ray-velez/

Moral Recht Nation Christian Papilloud

https://ebookstep.com/product/moral-recht-nation-christian-
papilloud/

Das Recht der elterlichen Sorge Voraussetzungen Inhalt

und Schranken Dagmar Zorn

https://ebookstep.com/product/das-recht-der-elterlichen-sorge-
voraussetzungen-inhalt-und-schranken-dagmar-zorn/
Jochen Schneider
Handbuch EDV-Recht
 Handbuch
EDV-Recht
IT-Recht mit IT-Vertragsrecht,
Datenschutz, Rechtsschutz
und E-Business
herausgegeben von

Prof. Dr. Jochen Schneider

Rechtsanwalt, München

bearbeitet von

Ludwig Antoine Danielle Hertneck

Rechtsanwalt, München Rechtsanwältin, Fachanwältin
für IT-Recht und für
Frieder Backu Gewerblichen Rechtsschutz,
Rechtsanwalt, Fachanwalt für IT-Recht München
und für Steuerrecht, München
Fabian Kahlert
Dr. Irene Bayer Rechtsanwalt, München
Rechtsanwältin, Fachanwältin
für Steuerrecht, München JProf. Dr. Timoleon Kosmides,
LL.M. Eur.
Elke Bischof Dikigoros, Thessaloniki, München
Rechtsanwältin, Fachanwältin
Dr. Romina Polley, LL.M.
für IT-Recht, München
Rechtsanwältin, Köln
Isabell Conrad Prof. Dr. Jochen Schneider
Rechtsanwältin, Fachanwältin Rechtsanwalt, München
für IT-Recht, München
Bernd Suchomski, LL.M.
Thomas Graf, LL.M. Rechtsanwalt, Syndikusrechtsanwalt,
Advokat, Brüssel und Schweiz Augsburg, Berlin

Ines M. Hassemer Michaela Witzel, LL.M.

Rechtsanwältin, Fachanwältin Rechtsanwältin, Fachanwältin
für Strafrecht, München für IT-Recht, München

5., vollständig überarbeitete Auflage

2017
Zitierempfehlung:
Schneider/Bearbeiter, Handbuch EDV-Recht,
5. Aufl. 2017, Kap. … Rz. …

Bibliografische Information
der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese
Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet
über http://dnb.d-nb.de abrufbar.

Verlag Dr. Otto Schmidt KG

Gustav-Heinemann-Ufer 58, 50968 Köln
Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-943
info@otto-schmidt.de
www.otto-schmidt.de

ISBN 978-3-504-56094-2

©2017 by Verlag Dr. Otto Schmidt KG, Köln

Das Werk einschließlich aller seiner Teile ist

urheberrechtlich geschützt. Jede Verwertung, die nicht
ausdrücklich vom Urheberrechtsgesetz zugelassen ist,
bedarf der vorherigen Zustimmung des Verlages. Das
gilt insbesondere für Vervielfältigungen, Bearbeitungen,
Übersetzungen, Mikroverfilmungen und die Einspeiche-
rung und Verarbeitung in elektronischen Systemen.
Das verwendete Papier ist aus chlorfrei gebleichten
Rohstoffen hergestellt, holz- und säurefrei, alterungs-
beständig und umweltfreundlich.
Einbandgestaltung: Lichtenford, Mettmann
Satz: WMTP, Birkenau
Druck und Verarbeitung: Kösel, Krugzell
Printed in Germany
 Vorwort

Seit der 4. Auflage (2009) hat sich im IT-Recht viel getan, etwa durch die Rechtsprechung
von EuGH und BGH zu „Gebrauchtsoftware“ und die Neuregelung des Datenschutzes und
der IT-Sicherheit. Auch in den einzelnen Fachgebieten wie Vergabe-, Steuer-, Straf- und Kar-
tellrecht sowie E-Business haben sich viele neue Entwicklungen ergeben. Insofern wurde
ein „Update“ dringend nötig.
Der Begriff „IT-Recht“ deckt nicht die ganze Bandbreite ab. Die Rede ist von „ITK-Recht“
unter Einschluss von E-Commerce und anderen E-Anwendungsfeldern. Die 5. Auflage ver-
sucht nach wie vor, die Bandbreite abzudecken, die sich insoweit ergibt. Dennoch wurde im
Titel der Begriff „EDV-Recht“ beibehalten. Durch konstante Bezeichnung soll, wie schon in
der 4. Auflage dargelegt, die Kontinuität der Darstellung des Rechtsgebiets trotz dessen teils
rasanter Entwicklung betont werden.
Bei der 5. Auflage haben weitere Autoren mitgewirkt, die jeweils ausgewiesen sind. Der
grundsätzliche Aufbau des Werkes wurde beibehalten. Einen allgemeinen Teil des IT-Rechts
bilden die Kap. A–L. Darin werden – unter Verzicht auf ein einführendes Kapitel – die ein-
zelnen Teilgebiete vom Datenschutz über Arbeits-, Straf-, Vergabe- und Steuerrecht sowie
die diversen Arten des Rechtsschutzes bis zum Kartellrecht aus der Sicht des Unterneh-
mens und dessen Rechtsberater dogmatisch aufbereitet und abgehandelt. Der Besondere
Teil, Kap. M–X, enthält das IT-Vertragsrecht und Prozessrecht.
Den Überbau für die speziellen Vertragsrechtskapitel mit AGB und deren Beurteilung bildet
Kap. M (zuvor D) unter anderem mit Vertragstypologie, AGB-Recht, Recht der Leistungsstö-
rungen inklusive einer Übersicht über die Rechtsprechung zu Mängeln im IT-Bereich. Die-
ser allgemeine Teil des Vertragsrechts (M) wurde wesentlich ausgebaut. Daran schließt der
besondere Teil des Vertragsrechts beginnend mit Kap. N (Beratungsvertrag bis zu Provider-
verträgen) an, wobei die Darstellung nach einzelnen Vertragsgegenständen (Hardware, Soft-
ware usw.) beibehalten wurde. Zuletzt folgt ein prozessual orientierter Abschnitt.
Leider haben sich durch die Umgestaltung und stärkere Gliederung sowie teilweise auch
Straffung in den Kapiteln unter gleichzeitiger Aufnahme zahlreicher Rechtsprechung und
Literatur Änderungen in den Randziffern ergeben. Dies war unvermeidbar. Durch die zahl-
reichen Verweisungen und das Stichwortverzeichnis sollte es aber möglich sein, die jeweils
relevanten Stellen auch dann zu finden, wenn sie nicht mehr die bisherige Gliederungsziffer
tragen. Das Schema der Gliederung nach Abfolge der Vertrags(Klausel-)themen für die jewei-
lige Darstellung eines Vertragsgegenstandes im Besonderen Teil wurde beibehalten. Eine Sy-
nopse auf Basis dieses Schemas, das die Kap. N–W prägt, findet sich in Anhang 2. Mittels
der Klauselthemen dieses Schemas und der Abfolge lässt sich die entsprechende Thematik
je Vertragsgegenstand unmittelbar auffinden, etwa „Mitwirkung“, „Gewährleistung“, „Haf-
tung“ usw.
Die zum Teil erheblichen Neuerungen bei den EVB-IT werden beim jeweiligen Vertragsthe-
ma behandelt.
Die Kapitel des Besonderen Teils werden abgerundet durch Vertragsbeispiele in Anhang 1,
die ebenfalls aktualisiert wurden.
Die Verweise wurden mit Blick auf eine tiefe Erschließung intensiviert, was auch für die
Online-Nutzung die schnelle Auffindbarkeit noch verbessert.
Der Stand der Arbeiten bezieht sich im Wesentlichen auf den Rechts- und Publikationsstand
Oktober/November 2016. Mein Dank gilt den Mit-Autoren Frau Rechtsanwältin Dr. Irene
Bayer, Frau Rechtsanwältin Elke Bischof, Frau Rechtsanwältin Isabell Conrad, Frau Rechts-
anwältin Ines Hassemer, Frau Rechtsanwältin Danielle Hertneck, Frau Rechtsanwältin
Dr. Romina Polley, Frau Rechtsanwältin Michaela Witzel, Herrn Rechtsanwalt Ludwig An-

V
Vorwort

toine, Herrn Rechtsanwalt Frieder Backu, Herrn Rechtsanwalt Thomas Graf, Herrn Prof.
Timoleon Kosmides und Herrn Rechtsanwalt Bernd Suchomski. Besonderer Dank gilt Herrn
Rechtsanwalt Fabian Kahlert, der nicht nur Mitautor einiger Kapitel ist, sondern auch am
gesamten Werk maßgeblich mitgewirkt hat.
Mein Dank für Korrekturen und viele Anregungen gilt insbesondere Frau Lucie Antoine und
sodann Frau Rechtsanwältin Maria-Urania Dovas, Frau Rechtsanwältin Dr. Sonja Fechtner,
Frau Rechtsanwältin Susanna Licht, Frau Rechtsanwältin Dr. Alin Seegel sowie Herrn
Rechtsanwalt Stefan Haßdenteufel. Frau Waltraud Eder danke ich für die umfangreiche
Schreibarbeit.
Die Arbeit an der 5. Auflage war zunächst dadurch gekennzeichnet, nicht unerheblich zu kür-
zen bzw. zu straffen. Dies ist auch weitgehend gelungen. Andererseits sind aber zahlreiche
neue Themen aufgegriffen und einige Themen ausgebaut worden, was wiederum den Umfang
erheblich erweitert hat. Nicht zuletzt deshalb gilt mein besonderer Dank dem Verlag, der die-
se Ausdehnung akzeptiert und realisiert hat, was sicher auch mit erheblichem Mehraufwand
bei der Lektorierung verbunden war. Deshalb gilt dieser Dank insbesondere Frau Claudia
Bergmeier und Frau Dr. Julia Beck vom Verlag Dr. Otto Schmidt. Für die Erstellung des Stich-
wortverzeichnisses danke ich Herrn Johannes Witt.
Es ist geplant, das Werk durch Updates mit den kommenden Rechtsentwicklungen zu ver-
knüpfen – sei es durch Aktualisierungen der elektronischen Version, die derzeit unter www.ju
ris.de im juris PartnerModul IT-Recht vorzufinden ist, sei es durch Kommentierung im freien
Bereich der IT-rechtlichen Webseite des Verlages www.cr-online.de. Falls Interesse an einer
solchen Begleitung besteht, informieren Sie sich gerne über diese Webseite.
Kritik und Anregungen zu dieser Auflage, um die wir herzlich bitten, richten Sie bitte an
den Verlag (lektorat@otto-schmidt.de).

München, im Januar 2017 Jochen Schneider

VI
 Inhaltsübersicht

Seite
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII

Allgemeiner Teil
Grundlagen des IT-Rechts und Rechtsschutz

A. Datenschutz und IT-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

I. Datenschutz Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
II. Datenschutz-Grundverordnung (DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . . 125
III. Arbeitnehmerdatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
IV. Kundendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
V. Datenschutz im Internet bei Telemedien und Telekommunikation . . . . . . . . . 321
VI. IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
VII. IT-Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
VIII. E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

B. E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung . . . . . . 427

I. Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
II. Fernabsatzvertragsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
III. E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm . . . . . 530
IV. E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB . . . . 557
V. E-Werbung und weitere geschäftliche Handlungen . . . . . . . . . . . . . . . . . . . . 606
VI. Haftung und Privilegierung der Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . 664

C. Arbeitsvertragsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
I. Branchentypische Formen des Arbeitseinsatzes: Selbständiger Auftragnehmer
(EDV-Dienstleister), Arbeitnehmer, Leiharbeitnehmer, Freiberufler . . . . . . . . . 747
II. Allgemeines zur AGB-Kontrolle im Arbeitsrecht . . . . . . . . . . . . . . . . . . . . . 754
III. Inhaltskontrolle von ausgewählten arbeitsvertraglichen Klauseln . . . . . . . . . . 757
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern . . . . . . . . . . . . 763
V. IT-Outsourcing und Betriebsübergang nach § 613a BGB . . . . . . . . . . . . . . . . . 766

VII
Inhalts"bersicht

Seite
D. Vergabe von IT-Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
I. Grundsätze der Vergabe von IT-Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . 773
II. Die Entwicklung des Vergaberechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
III. Aufbau, Struktur und rechtliche Grundlagen des Vergaberechts . . . . . . . . . . . 780
IV. Hilfreiche Dokumente bei der Vergabe von IT-Leistungen . . . . . . . . . . . . . . . 783
V. Die allgemeinen Grundsätze des Vergaberechts (§ 97 GWB) . . . . . . . . . . . . . . 785
VI. Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe) . . . . . . . . 791
VII. Vergabeverfahren nach VgV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
VIII. Verwendung elektronischer Mittel zur Kommunikation, Vergabeverfahren,
E-Vergabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
IX. Rechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861

E. Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
I. Allgemeine Ausführungen zum IT-Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . 882
II. Straftaten mit Bezug zur Informationstechnologie . . . . . . . . . . . . . . . . . . . . 884

F. Die steuerliche Behandlung von Software und IT-Dienstleistungen . . . . . . . . . 926

I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
II. Bewertung und Bilanzierung von Software . . . . . . . . . . . . . . . . . . . . . . . . . . 937
III. Umsatzsteuerliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953
IV. Quellensteuer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 971
V. Verrechnungspreise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 996
VI. Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1010
VII. Buchführungs- und Aufbewahrungspflichten . . . . . . . . . . . . . . . . . . . . . . . . 1014
VIII. Steuerliche Beurteilung wichtiger Fallgestaltungen . . . . . . . . . . . . . . . . . . . . 1016

G. Urheberrechtsschutz für Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023

I. Schutzvoraussetzungen, §§ 69a ff. UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027
II. Schutzobjekt(e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1050
III. Mitarbeiter als Urheber, § 69b UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1054
IV. Urheberrechtlich relevante Handlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 1066
V. Rechtseinräumung, § 69d UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075
VI. Wirkungen für Handel und Vertrieb von Software . . . . . . . . . . . . . . . . . . . . . 1103
VII. Onlinenutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1128
VIII. Open Source Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1130

VIII
 Inhalts"bersicht

Seite
H. Sonstiger Rechtsschutz für Software und softwarebezogene Schöpfungen . . . . . 1181
I. Patentschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1182
II. Topographienschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1213
III. Der Schutz der Software durch Warenzeichen bzw. Marken . . . . . . . . . . . . . . . 1216
IV. Der Schutz der Software durch Titelschutz . . . . . . . . . . . . . . . . . . . . . . . . . . 1224
V. Wettbewerbsrechtlicher Schutz der Software . . . . . . . . . . . . . . . . . . . . . . . . . 1230
VI. Wettbewerbsrechtlicher Schutz von Software im Mitarbeiterverhältnis . . . . . . 1234
VII. Abgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1243

I. Rechtsschutz für Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245

I. Allgemeines zum Spezialschutz für Datenbanken, Problemlage . . . . . . . . . . . . 1247
II. Richtlinie 69/9/EG v. 11.3.1996 über den rechtlichen Schutz von Daten-
banken, DB-RL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1255
III. Urheber-Rechtsschutz für Datenbanken, § 4 Abs. 2 UrhG „Datenbankwerk“ . . 1259
IV. Der Sonderrechtsschutz des Datenbankherstellers . . . . . . . . . . . . . . . . . . . . . 1263
V. Nicht geschützte Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1286
VI. Datenbankverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287

J. Rechtsschutz für sonstige digitale Güter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1290

I. Digitale Agenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1291
II. E-Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294
III. Hybride Werke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299
IV. Urheberrechte im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1303
V. Leistungsschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311
VI. Konvergenz durch Digitalisierung, Impulse für Urheberrecht und Daten-
schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313

K. Domainnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317
I. Grundlagen des Domainrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1318
II. Besonderer Teil: Spezielle Konstellationen, Fallgruppen . . . . . . . . . . . . . . . . . 1337

L. Softwareverträge und Kartellrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375

I. Anwendbares Recht und Marktabgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . 1377
II. Kartellverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1386
III. Missbrauch einer marktbeherrschenden Stellung . . . . . . . . . . . . . . . . . . . . . . 1422

IX
Inhalts"bersicht

Besonderer Teil
IT-Vertragsrecht und IT-Verfahrensrecht
Seite
M. Grundlagen des IT-Vertragsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1440
I. Überblick, Besonderheiten des IT-Vertragsrechts . . . . . . . . . . . . . . . . . . . . . . 1447
II. Leistungsgegenstände und vertragstypologische Einordnung der EDV-/
IT-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1464
III. Schema/Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1551
IV. Typische dogmatische Problemlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1555
V. Vergütung, Fälligkeit, Verzug, wirtschaftliche Betriebsführung . . . . . . . . . . . . 1643
VI. Neue Methoden/Folgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1648
VII. AGB-Recht/Vertragsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1652
VIII. Leistungsstörungen, Mängelrechte (Grundsätzliches) . . . . . . . . . . . . . . . . . . 1697
IX. Mängelbeispiele aus der Rspr. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1727

N. Planung und Beratung bei IT-Projekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1773

I. Abgrenzung zu anderen Verträgen, Vertragsarten, Vertragstypen . . . . . . . . . . . 1775
II. AGB zur Planung von IT-Projekten und Beratung bei Softwareerstellung bis
zum Pflichtenheft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1799
III. Freie Mitarbeit, Subunternehmerschaft, Rahmenverträge . . . . . . . . . . . . . . . 1859
IV. Besonderheiten bei Überwachung und Leitung von Projekten . . . . . . . . . . . . . 1887
V. Besonderheiten, sog. „Services“, zusätzliche Leistungen . . . . . . . . . . . . . . . . 1893

O. Hardwarebeschaffungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1897
I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1898
II. Hardware-Kauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1902
III. Hardware-Miete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1980
IV. Hardware-Leasing (unter Einbeziehung auch von Software) . . . . . . . . . . . . . . 2005

P. Hardwarewartungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2040
I. Der „klassische“ Wartungsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2041
II. Besonderheiten, zusätzliche Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 2126

Q. Erstellung von Software – das Softwareprojekt . . . . . . . . . . . . . . . . . . . . . . . 2129

I. Erstellung von Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2130
II. Besonderheiten bei Softwareanpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2283
III. Besonderheiten der Erstellung von Websites . . . . . . . . . . . . . . . . . . . . . . . . . 2322

R. Standardsoftwareüberlassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2330
I. Einteilung der Vertragsgegenstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2331
II. Standardsoftwareüberlassung nach Kaufrecht (kaufrechtliche AGB) . . . . . . . . 2378
III. Standardsoftwareüberlassung nach Mietrecht (nicht-kaufrechtliche AGB) . . . . 2481

X
 Inhaltsbersicht

Seite
S. Softwarepflegeverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2522
I. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2523
II. Vorvertragliches Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2532
III. Vertragsgegenstand, Leistungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2534
IV. Vertragliche Leistungen des Auftragnehmers, Spezifizierung des Leistungs-
umfanges, Rechtseinräumung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2574
V. Vertragsdauer und Fristen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2584
VI. Mitwirkungspflichten des Auftraggebers . . . . . . . . . . . . . . . . . . . . . . . . . . 2592
VII. Vergütung, Fälligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2599
VIII. Änderungen während der Vertragsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . 2607
IX. Übergabe der Leistung, Annahme, Abnahme . . . . . . . . . . . . . . . . . . . . . . . . 2610
X. Mängelhaftung, Gewährleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2611
XI. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2617
XII. Schutz der Rechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2618
XIII. Weitere Arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2619
XIV. Vertragsende, -beendigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2620
XV. Andere Verträge, Beziehungen zu diesen . . . . . . . . . . . . . . . . . . . . . . . . . . . 2622
XVI. Erfüllungsort, Gerichtsstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2625
XVII. Schriftformklauseln, Vertragsübertragung auf Dritte . . . . . . . . . . . . . . . . . . 2626

T. Systemverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2627
I. Zum Vertragstyp und seinen Ausprägungen . . . . . . . . . . . . . . . . . . . . . . . . 2627
II. Ausprägung und Beurteilung des Systemvertrags mit Arbeiten an der
Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2663

U. Rechenzentrums- und Service-RZ-Verträge, Outsourcing . . . . . . . . . . . . . . . 2714

I. Outsourcing, Stufen zum Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . 2715
II. CC-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2734
III. ASP und SaaS, Abgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2751
IV. Rechenzentrumsverträge, ASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2752
V. Backup-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2793
VI. Quellcode-Hinterlegung, Escrow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2798
VII. Insolvenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2816
VIII. Geheimhaltungsvereinbarung, NDA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2821

XI
Inhaltsbersicht

Seite
V. Vertriebsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2823
I. Gegenstand des Vertriebsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2825
II. Übersicht über Arten des Vertriebs und rechtliche Grundlagen . . . . . . . . . . . 2825
III. Softwarevertriebsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2832
IV. Gebrauchtsoftwarevertrieb und Onlinevertrieb/Download – Vertrag . . . . . . . . 2869
V. Master-Kopie, Kopierrecht des Kunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2874
VI. OEM-Hardware-Vertrag (Original Equipment Manufacturer) . . . . . . . . . . . . . 2875
VII. Hardware-Vertriebsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2880
VIII. Verträge für Entwicklungssysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2883
IX. Vertrieb von Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2885

W. Vertragsrecht der Internet-Dienstleistungen . . . . . . . . . . . . . . . . . . . . . . . . 2888

I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2892
II. Access-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2910
III. Presence-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2947
IV. Vermarktungsverträge, Werbeverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2970
V. E-Mail-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2981
VI. Web 2.0-Dienste-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2985
VII. Streaming-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2989
VIII. Application Service Providing (Verweis) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2993
IX. Cloud-Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2993
X. Online-Dateiverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3000
XI. Filesharing-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3003
XII. Internetvertrieb von Online-Glücksspielen . . . . . . . . . . . . . . . . . . . . . . . . . 3007
XIII. Online-Branchenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3007
XIV. Web-Design-Vertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3008
XV. Domain-Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3010
XVI. App-Verträge (Verweis) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3012
XVII. Linking-Vertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3012
XVIII. Besondere Arten des Internet-Geschäfts . . . . . . . . . . . . . . . . . . . . . . . . . . . 3013

X. IT-Verfahrensrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3021
I. Vorprozessuales Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3021
II. Prozessuales Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3047

Anhang 1: Vertragsmuster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3109

Anhang 2: Matrix der Vertragsthemen und Vertragsgegenstände mit Rz. . . . . . . . . . 3259

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3261

XII
 Abkürzungsverzeichnis

AAC Average Avoidable Costs

AcP Archiv für die civilistische Praxis (Zeitschrift)
ADR Alternative Dispute Resolution
AEPD Agencia Española de Protección de Datos
AfA AV Tabelle für die Absetzung für Abnutzung allgemein verwendbarer
Anlagegüter
AfP Zeitschrift für Medien- und Kommunikationsrecht (früher: Archiv für
Presserecht)
AFP Aktivitäten- und Fristenplan
AGB Allgemeine Geschäftsbedingungen
AN Auftragnehmer
AnwBl. Anwaltsblatt (Zeitschrift)
AnwGH Anwaltsgerichtshof
AP Arbeitsrechtliche Praxis
API Application Programming Interface
APR Allgemeines Persönlichkeitsrecht
APSL Apple Public Source License
ArbNErfG Arbeitnehmererfindungsgesetz
ArbuR Arbeit und Recht (Zeitschrift)
ASCII American Standard Code for Information Interchange
ASP Application Service Providing
AStG Außensteuergesetz
ATC Average Total Costs
AÜG Gesetz zur Regelung der gewerbsmäßigen Arbeitnehmerüberlassung
AuftragsDV Auftragsdatenverarbeitung
AVAD Auskunftsstelle über den Versicherungsaußendienst
AVBEltV Verordnung über Allgemeine Bedingungen für die Elektrizitätsversor-
gung von Tarifkunden
AVC Average Variable Costs
AWV Arbeitsgemeinschaft für wirtschaftliche Verwaltung

B2B Business to Business

B2C Business to Consumer/Client
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht
BAG Bundesarbeitsgericht
BCR Binding Corporate Rules
Bdb. Brandenburg
BDE Betriebsdatenerfassung
BDI Bundesverband der Deutschen Industrie
BDSG Bundesdatenschutzgesetz
BDU Bundesverband Deutscher Unternehmensberater e.V.
BeckEuRS Beck online Rechtsprechung des EuGH, EuG und EuGöD
BEPS Base Erosion und Profit Shifting (Aktionsplan der OECD)
BfD Bundesbeauftragte(r) für den Datenschutz
BFH/NV Sammlung von Entscheidungen des BFH
BGB-InfoVO BGB-Informationspflichten-Verordnung
BilMoG Bilanzrechtsmodernisierungsgesetz
BIOS Basic Input Output System

XIII
Abkrzungsverzeichnis

Bitkom Bundesverband Informationswirtschaft Telekommunikation und neue

Medien
Bl.f. PMZ Blatt für Patent-, Muster- und Zeichenwesen
BlPMZ Blatt für Patent-, Muster- und Zeichenwesen des DPMA
BPaaS Business Process as a Service
BSA Business Software Alliance
BSD Berkeley Software Distribution (Lizenz)
BSIG Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
BSI-KritisV Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-
Gesetz
BStBl. Bundessteuerblatt
BVB Besondere Vertragsbedingungen für die Beschaffung DV-technischer
Anlagen und Geräte
BYOD Bring Your Own Device
BZSt Bundeszentralamt für Steuern

CA Confidentiality Agreement
CAD Computer Aided Design
CAFC United States Court of Appeals for the Federal Circuit
CAL Client Access Licencesbsatz>
CAM Computer Aided Manufacturing
CASE Computer Aided Software-Engineering
cc country code
CC Cloud Computing
CCC Convention on Cybercrime; Chaos Computer Club
CCZ Corporate Compliance Zeitschrift
CDPA Copyright, Designs and Patents Act 1988
CD-ROM Compact Disc Read-Only Memory
CERT Computer Emergency Response Teams
CESL Common European Sales Law
CI Computerrecht Intern (Zeitschrift, nun: ITRB)
CIB Computer Integrated Business
CIM Computer Integrated Manufacturing
CIO Chief Information Officer
CISG United Nations Convention on Contracts for the International Sale of
Goods
CLA Contributor License Agreement
CL&P Computer Law and Practice
CLSR Computer Law and Security Report
CNC Computergestützte numerische Werkzeugmaschine
CNIL Commission Nationale de l’Informatique et des Libertés
CoA Certificate of Authenticity
COPE Corporate Owned, Personally Enabled
CPU Central Processing Unit (Zentraleinheit)
CPV Common Procurement Vocabulary
CR Change Request (Management) (Änderungsverlangen); Computer und
Recht (Zeitschrift)
CRi. Computer und Recht International (Zeitschrift)
CRM Customer Relationship Management
c‘t Magazin für Computertechnik
CUP Comparable Uncontrolled Price Method
CW Computerwoche (Zeitschrift)
CZ Computerzeitung (Zeitschrift)

XIV
 Abkrzungsverzeichnis

DaBaGG Datenbankgrundbuchgesetz
DARPA Defense Advanced Research Projects Agency
DB Der Betrieb (Zeitschrift)
DBA Doppelbesteuerungsabkommen
DBMS Database Management System
DB-RL Datenbankrichtlinie
DCGK Deutscher Corporate Governance Kodex
DCSO Deutsche Cyber-Sicherheitsorganisation
DENIC Deutsches Network Information Center (DENIC Domain Verwaltungs-
und Betriebsgesellschaft eG)
DE-R Deutschland Rechtsprechung (Sparte in der Zeitschrift Wirtschaft und
Wettbewerb)
DFÜ Datenfernübertragung
DGRI Deutsche Gesellschaft für Recht und Informatik e.V.
DIHK Deutscher Industrie- und Handelskammertag
DIHT Deutscher Industrie- und Handelstag
DIN Deutsches Institut für Normung e.V.
DIS Deutsche Institution für Schiedsgerichtsbarkeit e.V.
DL-InfoV Dienstleistungs-Informationspflichten-Verordnung
dll dynamic link libraries
DNotZ Deutsche Notar-Zeitschrift
DNS Domain Name System
DOS Disc Operating System
DPA Deutsches Patentamt (bis 1998, danach DPMA)
DPMA Deutsches Patent- und Markenamt
DRiZ Deutsche Richterzeitung (Zeitschrift)
DRM Digital Rights Management
DSB Datenschutzbeauftragter
DSGSVO Datenschutzgütesiegelverordnung
DS-GVO Datenschutz-Grundverordnung
DSL Digital Subscriber Line
DSRITB Tagungsband Herbstakademie Deutsche Stiftung für Recht und
Informatik
DS-RL Datenschutz-Richtlinie
DStR Deutsches Steuerrecht (Zeitschrift)
DStZ Deutsche Steuer-Zeitung (Zeitschrift)
DTAG Deutsche Telekom AG
DuD Datenschutz und Datensicherung (Zeitschrift)
DVBl. Deutsches Verwaltungsblatt (Zeitschrift)
DZWIR Deutsche Zeitschrift für Wirtschafts- und Insolvenzrecht

E. Entscheidung
E Entwurf (angehängt an Gesetzesabkürzungen)
EBPG Energiebetriebene-Produkte-Gesetz
ECLR European competition law review
ECOM eCommerce
ECR Entscheidungen zum Computerrecht (Zahrnt)
EC-RL E-Commerce Richtlinie
EDI Electronic Data Interchange
EEE Einheitliche Europäische Eigenerklärung
EFG Entscheidungen der Finanzgerichte (Zeitschrift)
EGG Gesetz über rechtliche Rahmenbedingungen für den elektronischen
Geschäftsverkehr

XV
Abkrzungsverzeichnis

eGK Elektronische Gesundheitskarte

EGVP Elektronisches Gerichts- und Verwaltungspostfach
EHUG Gesetz über elektronische Handelsregister und Genossenschaftsregister
sowie das Unternehmensregister
eIDAS-VO EU-Verordnung über elektronische Identifizierung und Vertrauensdiens-
te für elektronische Transaktionen im Binnenmarkt
EIPR European Intellectual Property Review (Zeitschrift)
EKG Einheitliches Gesetz über den Internationalen Warenkauf beweglicher
Sachen
ELStAM Elektronische Lohnsteuerabzugsmerkmale
EMVG Gesetz zur elektromagnetischen Verträglichkeit
ENISA European Union Agency for Network and Information Security
EPA Europäisches Patentamt
EPL Eclipse Public License
EPLA European Patent Litigation Agreement
EPO European Patent Office
EPÜ Europäisches Patentübereinkommen
ERP Enterprise Resource Planning
ERV Elektronischer Rechtsverkehr
ERV-Gesetz Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den
Gerichten
Erw.grd. Erwägungsgrund
EStB Der Ertrag-Steuerberater (Zeitschrift)
EuCML Journal of European Consumer and Market Law
EÜR Einnahmenüberschussrechnung
EULA End User Licence Agreement
EURid European Registry of Internet Domain Names
EuZW Europäische Zeitschrift für Wirtschaftsrecht
EVB-IT Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen
evtl. eventuell
EWiR Entscheidungen zum Wirtschaftsrecht (Zeitschrift)
EWR Europäischer Wirtschaftsraum
EWS Europäisches Wirtschafts- und Steuerrecht (Zeitschrift)
EZT Elektronischer Zolltarif

FeRD Forum elektronische Rechnung Deutschland

FernAbsG Fernabsatzgesetz
FernAbsRL Fernabsatzrichtlinie
FG Finanzgericht; Festgabe
FIDIC Fédération Internationale des Ingénieurs Conseils
FoSiG Forderungssicherungsgesetz
FR Finanz-Rundschau (Zeitschrift)
FSF Free Software Foundation
FTC Federal Trade Commission
FTP File Transfer Protocol
F&E Forschung und Entwicklung
FÜG Fernmeldeüberwachungs-Gesetz
FVerlV Funktionsverlagerungsverordnung

GB Der grüne Bote, Zeitschrift für Lauterkeitsrecht und Geistiges Eigentum

G2B Government to Business
G2C Government to Citizen
G2G Government to Government

XVI
 Abkrzungsverzeichnis

GAAP Generally accepted accounting principles

GAC Government Advisory Committee (innerhalb der ICANN)
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
GEK/GEKR Gemeinsames Europäisches Kaufrecht
GeräteSichG Gerätesicherheitsgesetz
ggf. gegebenenfalls
GMBl. Gemeinsames Ministerialblatt
GmS-OGB Gemeinsamer Senat der obersten Gerichte des Bundes
GMV/GMVO Gemeinschaftsmarkenverordnung
GNU „Gnu is not Unix“
GoB Grundsätze ordnungsgemäßer Buchführung
GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Bü-
chern, Aufzeichnungen und Unterlagen in elektronischer Form sowie
zum Datenzugriff
GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
GPL General Public License
GPR Zeitschrift für das Privatrecht der Europäischen Union
GPSG Geräte- und Produktsicherheitsgesetz
grds. grundsätzlich
GRUR Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift)
GRUR Int. Gewerblicher Rechtsschutz und Urheberrecht, Internationaler Teil
(Zeitschrift)
GRUR-Prax Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterial-
güter- und Wettbewerbsrecht (Zeitschrift)
GU Generalunternehmer
GUI Grafische Benutzeroberfläche (Graphical User Interface)
GVO Gruppenfreistellungsverordnung
GWB Gesetz gegen Wettbewerbsbeschränkungen
GWR Gesellschafts- und Wirtschaftsrecht (Zeitschrift)

HaaS Hardware as a Service

HG Paris Internationale Kammer des Pariser Handelsgerichts
HIS Hinweis- und Informationssystem der deutschen Versicherungswirtschaft
HRRS Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht

IaaS Infrastructure as a Service

IANA Internet Assigned Numbers Authority
IAS International Accounting Standards
IASB International Accounting Standards Board
IASC International Accounting Standards Committee
IBA International Bar Association
IBR Immobilien- und Baurecht (Zeitschrift)
ICANN Internet Corporation for Assigned Names and Numbers
ICC International Chamber of Commerce
IDC International Data Corporation
i.d.R. in der Regel
IDW Institut der Wirtschaftsprüfer
IDW S IDW-Standards
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers
IFG Informationsfreiheitsgesetz
IFRS for SME/ International Financial Reporting Standards for small and medium-sized
IFRS-SME entities

XVII
Abkrzungsverzeichnis

IIBA International_Institute_of_Business_Analysis
IIC International Review of Industrial Property and Copyright Law
(Zeitschrift)
IMAC Install, Move, Add, Change
InfoSoc-RL Richtlinie zur Harmonisierung bestimmter Aspekte des Urheberrechts
und der verwandten Schutzrechte in der Informationsgesellschaft
insb. insbesondere
InterNIC Internet Network Information Center
InsO Insolvenzordnung
IoT Internet of Things
IP Internet Protocol; Intellectual Property
IPrax Praxis des Internationalen Privat- und Verfahrensrechts (Zeitschrift)
i.R.d. im Rahmen des/der
i.R.v. im Rahmen von
IRZ Zeitschrift für Internationale Rechnungslegung
ISDN Integrated Services Digital Network
ISO International Organization for Standardization
ISP Internet-Service-Provider
i.S.d. im Sinne des/der
i.S.v. im Sinne von
ISDN Integrated Services Digital Network
ISR Internationale Steuer-Rundschau (Zeitschrift)
iStR Internationales Steuerrecht (Zeitschrift)
ITIL IT Infrastructure Library
ITK Informations- und Telekommunikationstechnik
ITRB Der IT-Rechtsberater (Zeitschrift)
i.Ü. im Übrigen
IuK Informations- und Kommunikationstechnologie
IuKDG Informations- und Kommunikationsdienste-Gesetz
(„Multimedia-Gesetz“)
iur Informatik und Recht (Zeitschrift, jetzt CR)
i.V.m. in Verbindung mit
IWB Zeitschrift für internationales Steuer- und Wirtschaftsrecht
iX Magazin für professionelle Informationstechnik

JIT just in time

jurPC Internet-Zeitschrift für Rechtsinformatik und Informationsrecht (nur
elektronisch)

Kap. Kapitel
KBSt Koordinierungs- und Beratungsstelle der Bundesregierung für Informa-
tionstechnik in der Bundesverwaltung (bis 2008)
KEA Kleine einzige Anlaufstelle
KES Zeitschrift für Kommunikations- und EDV-Sicherheit
K&R Kommunikation und Recht (Zeitschrift)

LBS Location Based Services

LINUX „LINU’s torvalds uniX“, Variante des Unix Betriebssystems
Lit. Literatur
LL Leitlinie
LM „Lindenmaier-Möhring“ (Nachschlagewerk des BGH in Zivilsachen)
LMK Kommentierte BGH-Rechtsprechung Lindenmaier-Möhring (Zeitschrift)

XVIII
 Abkrzungsverzeichnis

Log Logarithmus
LoI Letter of Intent
LRAIC Long Run Average Incremental Costs
Ls. Leitsatz

M2M Machine to Machine

MAC Media Access Control
Material Adverse Change
MAH Münchener Anwaltshandbuch
MaRisk Mindestanforderungen an das Risikomanagement
MaSI Mindestanforderungen an die Sicherheit von Internetzahlungen
MDStV Mediendienstestaatsvertrag
MIDI Musical Instrument Digital Interface
MIPS Million Instructions Per Second
MIR Medien Internet und Recht, Online-Publikation
MIT Massachusetts Institute of Technology; aus diesem Institut stammende
Softwarebenutzungslizenz
Mitt. Mitteilung
MMR MultiMedia und Recht (Zeitschrift)
MoA Memorandum of Agreement
MOPS Million Operations Per Second
MOSS Mini-One-Stop-Shop
MPL Mozilla Public License
MPZ Mindestpunktzahl
MR-Int. Medien und Recht International (Zeitschrift)
MSP Managed Services Provider
MSU Multi Service Unit
MTBF Mean Time Between Failures
MVD Mindestvertragsdauer

NDA Non Disclosure Agreement

NIS Netz- und Informationssicherheit
NIST National Institute of Standards and Technology
NJOZ Neue Juristische Online-Zeitschrift
NSI Network Solutions, Inc.
NUP Named User Plus (Lizenz)
NWB Zeitschrift und Datenbank für Steuer- und Wirtschaftsrecht

OBA Online Behavioral Advertising

OCA Oracle Contributor Agreement
OECD Organization for Economic Co-operation and Development
OEM Original Equipment Manufacturer
OFD Oberfinanzdirektion
OGH Oberster Gerichtshof
ÖÖP Öffentlich-öffentliche Partnerschaft
ÖOBDK Österreichische Oberste Berufungs- und Disziplinarkommission für
Rechtsanwälte
ÖOGH Österreichischer Oberster Gerichtshof
OLGR OLG-Report (Zeitschrift)
Os. Orientierungssatz
OSD Open Source Definition
OSHWA Open Source Hardware Association
OSHW Open-Source-Hardware

XIX
Abkrzungsverzeichnis

OSI Open Source Initiative

OSS Open Source Software

PaaS Platform as a Service

PAISY Personalabrechnungs- und Informationssystem
PD Public Domain (Software)
PHI Produkthaftpflicht International (Zeitschrift)
PII Personally identifiable information
PIN Persönliche Identifikationsnummer
PinG Privacy in Germany (Zeitschrift)
PKL Preis- und Konditionenliste (bei SAP)
PMBOK Project Management Body of Knowledge
PoP Point of Presence
PSD II Payment Services Directive II
PSI Public Sector Information
PSP Playstation Portable
PUR Product Use Rights

QR Quick response

RabelsZ Rabels Zeitschrift für ausländisches und internationales Privatrecht

RaiSB Recht auf informationelle Selbstbestimmung
RBÜ Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur
und Kunst
RdA Recht der Arbeit (Zeitschrift)
RDV Recht der Datenverarbeitung (Zeitschrift)
RE Requirements Engineering
RFC Request for Comments
RFID Radio-Frequency Identification
RFP Request for Proposal
RIPE NCC Réseaux IP Européens Network Coordination Centre (eine RIR)
RIR Regional Internet Registry
RIW Recht der internationalen Wirtschaft (Zeitschrift)
ROZ Research-Oktanzahl
RPA Zeitschrift für Vergaberecht, Recht und Praxis der öffentlichen
Auftragsvergabe
RPL Reciprocal Public License
RPM Resale Price Method
Rspr. Rechtsprechung
RUDRP Rules for Uniform Domain Name Dispute Resolution Policy
Rz. Randzahl/Randziffer
RZ Rechenzentrum

SaaS Software as a Service

SAGA Standards und Architekturen für E-Government-Anwendungen
SCHUFA Schutzgemeinschaft für allgemeine Kreditsicherung,
SCHUFA Holding AG
Schweiz. BG Schweizerisches Bundesgericht
SEC US Security and Exchange Commission
SektVO Sektorenverordnung
SEP standard-essential patent
SHAP Software House Assistance Programm
SKR Richtlinie für Sektorenauftraggeber

XX
 Abkrzungsverzeichnis

SIMAP système d’information pour les marchés publics

SLA Service Level Agreement
SOA Service oriented Architecture
SRM Schuldrechtsmodernisierung
SSID Service Set Identifier
SSNIP small but significant and non-transitory increase in price
StB Der Steuerberater (Zeitschrift)
StraFo StrafverteidigerForum (Zeitschrift)
StrÄndG Strafrechtsänderungsgesetz
StuB Steuern und Bilanzen (Zeitschrift)
SteuK Steuerrecht kurzgefaßt (Zeitschrift)
StV Strafverteidiger (Zeitschrift)
SW Software

TCPA Trademark Cyberpiracy Prevention Act

TDDSG Teledienstedatenschutzgesetz
TDG Teledienstegesetz
TDSV Telekommunikations-Datenschutzverordnung
TK Telekommunikation
TKG Telekommunikationsgesetz
TKO Telekommunikationsordnung
TKÜV Telekommunikations-Überwachungsverordnung
TKV Telekommunikations-Kundenschutzverordnung
TLD Top Level Domain
TLS Transport Layer Security (Protokoll), früher Secure Sockets Layer (SSL)
TMG Telemediengesetz
TNMM Transactional Net Margin Method
TOM Technische und organisatorische Maßnahmen
TQM Total Quality Management
TRIPS Agreement on Trade-Related Aspects of Intellectual Property Rights,
including Trade in Counterfeit Goods
TT Technologietransfer

u.a. unter anderem; und andere

u.Ä. und Ähnliches
Ubg Die Unternehmensbesteuerung (Zeitschrift)
UDRP Uniform Domain Name Dispute Resolution Policy
UDSV Teledienst-Unternehmen-Datenschutz-Verordnung
UfAB VI Unterlage für die Ausschreibung und Bewertung von IT-Leistungen
UFITA Archiv für Urheber- und Medienrecht, Zeitschrift
(früherer Name: Archiv für Urheber-, Film- und Theaterrecht)
UhVorschG Unterhaltsvorschussgesetz
ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
UML Unified Modeling Language
UNCITRAL United Nations Commission on International Trade Law
UR Umsatzsteuer-Rundschau (Zeitschrift)
URL Uniform Resource Locator
URS Uniform Rapid Suspension
UStAE Umsatzsteuer-Anwendungserlass
UStB Der Umsatz-Steuer-Berater (Zeitschrift)
UStDV Umsatzsteuer-Durchführungsverordnung
u.U. unter Umständen

v.a. vor allem

XXI
Abkrzungsverzeichnis

VAR Value Added Reseller

VDI Verein Deutscher Ingenieure
VDMA Verband Deutscher Maschinen- und Anlagenbau
VergabeR Vergaberecht (Zeitschrift)
VersR Versicherungsrecht (Zeitschrift)
vGA verdeckte Gewinnausschüttung
VGH Verwaltungsgerichtshof
VgV Vergabeverordnung
VKR Verbraucherkreditrichtlinie (Richtlinie 2004/18/EG)
VOES Vat on eServices
VOF Vergabeordnung für freiberufliche Leistungen
VoIP Voice over IP (Internet Protocol)
VOL Verdingungsordnung für Leistungen
VPN Virtual Private Network
VRRL-UG Gesetz zur Umsetzung der Verbraucherrechterichtlinie und zur Ände-
rung des Gesetzes zur Regelung der Wohnungsvermittlung
vzbv Verbraucherzentrale Bundesverband

WAP Wireless Application Protocol

WCT WIPO Copyright Treaty
WiB Wirtschaftliche Beratung (Zeitschrift)
WIPO World Intellectual Property Organization
WM Wertpapier-Mitteilungen (Zeitschrift)
wistra Zeitschrift für Wirtschaft, Steuer und Strafrecht
WPg Die Wirtschaftsprüfung (Zeitschrift)
WpHG Wertpapierhandelsgesetz
WRP Wettbewerb in Recht und Praxis (Zeitschrift)
WuW Wirtschaft und Wettbewerb (Zeitschrift)

ZD Zeitschrift für Datenschutz

ZEuP Zeitschrift für Europäisches Privatrecht
ZfBR Zeitschrift für deutsches und internationales Bau- und Vergaberecht
ZgesVW Zeitschrift für die gesamte Versicherungswirtschaft
ZGR Zeitschrift für Unternehmens- und Gesellschaftsrecht
ZGS Zeitschrift für Vertragsgestaltung, Schuld- und Haftungsrecht (früher
Zeitschrift für das Gesamte Schuldrecht)
ZInsO Zeitschrift für das gesamte Insolvenzrecht
ZIP Zeitschrift für Wirtschaftsrecht und Insolvenzpraxis
ZIS Zeitschrift für Internationale Strafrechtsdogmatik
ZKDSG Zugangskontrolldiensteschutz-Gesetz
ZKDVO Zollkodex-Durchführungsverordnung
ZRP Zeitschrift für Rechtspolitik
Zshg. Zusammenhang
ZSR Zeitschrift für Schweizerisches Recht
ZUGFeRD Zentraler User Guide Forum elektronische Rechnung Deutschland
ZUM Zeitschrift für Urheber- und Medienrecht
ZUR Zeitschrift für Umweltrecht
ZVEH Zentralverband der Deutschen Elektro- und Informationstechnischen
Handwerke
ZVEI Zentralverband Elektrotechnik und Elektroindustrie e.V.
ZVertriebsR Zeitschrift für Vertriebsrecht
ZVglRWiss Zeitschrift für Vergleichende Rechtswissenschaft
ZWeR Zeitschrift für Wettbewerbsrecht

XXII
 Kapitelübergreifend und abgekürzt zitierte Literatur

Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, zit.:

Autor, in: Auer-Reinsdorff/Conrad, Kap. … Rz. …
von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, 2014, zit.: Bearbeiter, in: von dem
Bussche/Voigt, Kap. … Rz. …
Conrad/Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, 2014,
zit.: Bearbeiter, in: Conrad/Grützmacher, § … Rz. …
Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2014, zit.: Bearbeiter, in: For-
gó/Helfrich/Schneider, Kap. … Rz. …
Heckmann (Hrsg.), juris Praxiskommentar Internetrecht, 4. Aufl. 2014, zit.: Bearbeiter, in:
Heckmann, jurisPK-Internetrecht, Kap. … Rz. …
Heckmann (Hrsg.), juris PraxisReport IT-Recht, zit.: Bearbeiter, in: jurisPR-ITR, Stand,
Fundstelle
Hilber (Hrsg.), Handbuch Cloud Computing, 2014, zit.: Bearbeiter, in: Hilber, Cloud Com-
puting, Kap. … Rz. …
Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, Loseblatt, 42. EL 2015, zit.:
Bearbeiter, in: Hoeren/Sieber/Holznagel, Kap. … Rz. …, Stand
Hoffmann-Becking/Gebele, Beck’sches Formularbuch Bürgerliches, Handels- und Wirt-
schaftsrecht, 12. Aufl. 2016, zit.: Bearbeiter, in: Beck’sches Formularbuch BHWR, Kap. …
Rz. …
Kilian/Heussen, Computerrechts-Handbuch (ComHdb), Stand: 32. Aufl. 2013, Loseblatt,
zit.: Bearbeiter, in: Kilian/Heussen, Kap. … Rz. …, Stand
Koch, Computer-Vertragsrecht, 7. Aufl. 2009, zit.: Koch, CVR, Kap. … Rz. …
Koreng/Lachenmann (Hrsg.), Formularhandbuch Datenschutzrecht, 2015, zit.: Bearbeiter,
in: Koreng/Lachenmann, S. …
Lehmann (Hrsg.), Rechtsschutz und Verwertung von Computerprogrammen, 2. Aufl.
1993, zit.: Bearbeiter, in: Lehmann, Rechtsschutz, Kap. … Rz. …
Lehmann/Meents (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht,
2. Aufl. 2011, zit.: Bearbeiter, in: Lehmann/Meents, Kap. … Rz. …
Münchener Kommentar zum BGB, Band 1, 7. Aufl. 2015, Band 2, 7. Aufl. 2016 und Band 3,
7. Aufl. 2016, zit.: Bearbeiter, in: MüKoBGB, § … Rz. …
Palandt, BGB-Kommentar, 75. Aufl. 2016, zit.: Bearbeiter, in: Palandt, § … Rz. …
Redeker (Hrsg.), Handbuch der IT-Verträge, Loseblatt, 30. EL, Stand Juni 2016, zit.: Bearbei-
ter, in: Redeker, IT-Verträge, Kap. … Rz. …, Stand
Schneider/Graf von Westphalen (Hrsg.), Software-Erstellungsverträge, 2. Aufl. 2013, zit.: Be-
arbeiter, in: Schneider/Graf von Westphalen, Kap. … Rz. …
Söbbing, Handbuch IT-Outsourcing, 4. Aufl. 2015, zit.: Bearbeiter, in: Söbbing, IT-Outsour-
cing, Kap. … Rz. …
Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, zit.: Bearbeiter, in:
Spindler/Schuster, § … Rz. …
Taeger (Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, DSRI-
Tagungsband 2014, zit.: Bearbeiter, in: Taeger, Big Data & Co., S. …
Ulmer/Brandner/Hensen, AGB-Recht. Kommentar zu den §§ 305–310 BGB und zum
UKlaG, 12. Aufl. 2016, zit.: Bearbeiter, in: Ulmer/Brandner/Hensen, § … Rz. …

XXIII
Kapitelbergreifend und abgekrzt zitierte Literatur

Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 4. Auflage 2014, zit.: Bearbeiter,

in: Wandtke/Bullinger, UrhR, § … Rz. …
Weise/Krauß (Hrsg.), Beck’sche Online-Formulare Vertrag, 37. Edition 2016, 9. IT-Recht, zit.:
Bearbeiter, in: BeckOF, Stand, (Vertrag Nr.) … Rz. … oder § …
Graf von Westphalen/Thüsing, Vertragsrecht und AGB-Klauselwerke, Loseblatt, 38. EL
2016, zit.: Bearbeiter, in: Graf von Westphalen, Vertragsrecht, Kap. … Rz. … bzw. Bearbei-
ter, in: Graf von Westphalen, Klauselwerke, Kap. … Rz. …
Zahrnt, Computervertragsrecht in Rechtsprechung und Praxis, 1995, zit.: Zahrnt, CVR, Kap.
… Rz. …

XXIV
 Allgemeiner Teil
Grundlagen des IT-Rechts und Rechtsschutz

A. Datenschutz und IT-Management

Rz. Rz.
I. Datenschutz Grundlagen 3.1.2 Anwendbarkeit, auch
1. Einführung DS-RL . . . . . . . . . . . . . . . . . 113
1.1 Regelungsmaterie . . . . . . . . . 1 3.1.3 Verarbeitung personen-
1.2 Säulen des Schutzes des bezogener Daten. . . . . . . . . 121
Betroffenen . . . . . . . . . . . . . . 12 3.1.4 Anwendbarkeit im nicht-
1.2.1 Allgemeines Persönlichkeits- öffentlichen Bereich . . . . . . 124
recht, Privatsphäre . . . . . . . . 15 3.2 Verbotsprinzip, Datenver-
1.2.2 BDSG und Spezial-Daten- meidung, Datensparsam-
schutznormen – Daten als keit, Qualität, schutzrele-
Schutzgut . . . . . . . . . . . . . . . 19 vante Phasen. . . . . . . . . . . . 135
1.3 Recht auf informationelle 3.3 Zulässigkeit, Zweckbin-
Selbstbestimmung und dung, Zweckänderung
Grundrecht auf Gewährleis- 3.3.1 Zweckbindung . . . . . . . . . . 144
tung der Vertraulichkeit und 3.3.2 § 28 BDSG, einzelne alter-
Integrität informationstech- native Tatbestände . . . . . . . 149
nischer Systeme . . . . . . . . . . 27 3.3.3 (Einzelne Dienste zu)
1.4 EU-Datenschutzrichtlinie, § 29 BDSG. . . . . . . . . . . . . . 171
Charta – Regelungs-Objekt 3.4 Einwilligung, Widerruf
Daten 3.4.1 Charta . . . . . . . . . . . . . . . . . 174
1.4.1 „Privatheit“ oder Daten . . . . 41 3.4.2 DS-RL . . . . . . . . . . . . . . . . . 175
1.4.2 Rspr. des EuGH – Leitlinien 3.4.3 BDSG Einwilligung i.V.m.
für die Interpretation der Unterrichtung, Widerruf . . 177
DS-GVO?. . . . . . . . . . . . . . . . 58 3.4.4 TMG . . . . . . . . . . . . . . . . . . 191
1.4.3 EMRK . . . . . . . . . . . . . . . . . . 63 3.5 Besondere Arten von
1.5 EU-DS-GVO – Objekt Daten 64 Daten, automatisierte
1.6 Spezial-Datenschutzregelun- Entscheidung
gen, v.a. Telemedien und 3.5.1 Besondere Arten von Daten 193
Telekommunikation . . . . . . 65 3.5.2 Automatisierte Entschei-
1.7 Informationsfreiheitsgesetze 68 dungen . . . . . . . . . . . . . . . . 195
3.5.3 Scoring . . . . . . . . . . . . . . . . 197
2. Schutzgüter und Gefährdungs-
3.5.4 Warndateien . . . . . . . . . . . . 198
potentiale
3.5.5 Automatisierte Abruf-
2.1 Privatsphäre, Sphärenkonzept,
verfahren. . . . . . . . . . . . . . . 212
private Lebensführung. . . . . . . 77
3.6 Privilegierung der Auf-
2.2 Transparenz, Ausspähen . . . . . 84
tragsDV, Funktionsüber-
2.3 Manipulation der Entschei-
tragung . . . . . . . . . . . . . . . . 226
dungsfreiheit . . . . . . . . . . . . . . 88
3.7 Technisch-organisatorische
2.4 Profiling, Big Data . . . . . . . . . . 92
Maßnahmen „TOM“,
2.5 Redlining, Scoring, Predicting
Skandalisierungspflichten . 240
(Anwendung der Techniken),
3.8 Datenschutzbeauftragter –
Diskriminierung . . . . . . . . . . . 97
interne Kontrollinstanz
2.6 Wem gehören die „Daten“? . . 102
3.8.1 Verhältnis zur DS-RL . . . . . 252
3. Grundprinzipien der bisherigen 3.8.2 Bestellungsnotwendigkeit . 258
Datenschutzregeln, v.a. BDSG 3.8.3 Voraussetzungen für
und EU-Datenschutzrichtlinie das Amt. . . . . . . . . . . . . . . . 261
3.1 BDSG 3.8.4 Unterstellung, Einordnung
3.1.1 Inhalt, Übersicht in der Hierarchie. . . . . . . . . 262
3.1.1.1 Adressat . . . . . . . . . . . . . . . 104 3.8.5 Weisungsfreiheit . . . . . . . . 263
3.1.1.2 Entwicklung . . . . . . . . . . . 106 3.8.6 Inkompatibilität . . . . . . . . . 264
3.1.1.3 Prüfungsschritte . . . . . . . . 111 3.8.7 Schriftlichkeit . . . . . . . . . . 266

Schneider 1
A Datenschutz und IT-Management

Rz. Rz.
3.8.8 Verhältnis Bestellung/ 6.5 Ausspähen . . . . . . . . . . . . . . 427
Anstellung . . . . . . . . . . . . . 267 6.6 Wandel des Schutzbedarfs
3.8.9 Unterstellung, „Kompati- und des Schutzmodells . . . . 428
bilität“ . . . . . . . . . . . . . . . . 269 6.7 Unternehmenskauf und
3.8.10 Externer Datenschutzbe- -verkauf, Forderungskauf
auftragter . . . . . . . . . . . . . . 274 u.Ä. . . . . . . . . . . . . . . . . . . . 435
3.8.11 Datenschutz und Berufs- 6.8 Outsourcing
geheimnis, insb. Rechts- 6.8.1 Call-Center, Letter Shops
anwalt. . . . . . . . . . . . . . . . . 288 u.Ä. . . . . . . . . . . . . . . . . . . . 438
3.8.12 Aufgaben des Beauftragten 304 6.8.2 Konstruktion der
3.9 Kontrollen AuftragsDV . . . . . . . . . . . . . 440
3.9.1 Kontrollen durch den 6.8.3 Abgrenzung zur Funktions-
Betroffenen. . . . . . . . . . . . . 312 übertragung . . . . . . . . . . . . . 445
3.9.2 Kontrollen extern/ 6.8.4 Erhebung und Nutzung. . . . 454
Aufsichtsbehörde. . . . . . . . 313 6.8.5 Zulässigkeit . . . . . . . . . . . . . 455
4. Rechtsfolgen 6.8.6 Zurechnung der Mitarbeiter
4.1 Unzulässigkeit. . . . . . . . . . . 340 im Hinblick auf die Bestel-
4.2 Data Breach und die Folgen. 342 lung des Beauftragten . . . . . 459
4.3 Rechte des Betroffenen . . . . 347 6.8.7 Berufsgeheimnisse bei
4.3.1 Auskunft, Benachrichtigung 349 Outsourcing. . . . . . . . . . . . . 463
4.3.2 Benachrichtigung. . . . . . . . . 356 6.8.8 Schriftform . . . . . . . . . . . . . 467
4.3.3 Korrektur, Berichtigung . . . 362 6.8.9 Auswahl des Auftrag-
4.3.4 Löschen, Recht auf „Verges- nehmers . . . . . . . . . . . . . . . . 473
sen“, s. EuGH u. BGH zu 6.8.10 Inhalte des Vertrages . . . . . . 476
Archiven . . . . . . . . . . . . . . . 365 7. Prozessuales
4.3.5 Sperren . . . . . . . . . . . . . . . . . 372 7.1 Beweislast . . . . . . . . . . . . . . . 477
4.3.6 Widerspruch des Betroffenen 378 7.2 UWG, Verbandsklage
4.3.7 Kompatibilität/Probleme mit 7.2.1 UWG, Marktverhaltensregel 481
Meinungsäußerungsfreiheit 380 7.2.2 Verbandsklage . . . . . . . . . . . . 483
4.4 Haftung für Datenschutzver- 7.3 Klagerecht Aufsichtsbehör-
stöße, für Persönlichkeits- den (de lege ferenda) . . . . . . . 489
rechtsverletzungen
II. Datenschutz-Grundverordnung
4.4.1 § 823 BGB. . . . . . . . . . . . . . . 384
(DS-GVO)
4.4.2 § 7 BDSG . . . . . . . . . . . . . . . 386
4.4.3 Beweislast . . . . . . . . . . . . . . 396 1. Einführung, Prinzipien
4.4.4 Beurteilung der Schadens- 1.1 Neues Datenschutzrecht
ersatzposition des per 25.5.2018 . . . . . . . . . . . . . 492
Betroffenen. . . . . . . . . . . . . . 397 1.1.1 Überblick Neuerungen,
4.5 Strafrechtliche Verant- was bleibt. . . . . . . . . . . . . . . . 496
wortlichkeit . . . . . . . . . . . . . 403 1.1.2 Abweichungsmöglichkeiten,
Öffnungsklauseln . . . . . . . . . 516
5. Datenübermittlung, Cloud: Safe
1.1.3 „Freier Datenverkehr“ . . . . . 520
Harbor, Privacy Shield und BCR,
1.2 Anwendungsbereich
Standardklauseln
1.2.1 Territorial . . . . . . . . . . . . . . . 521
5.1 EU. . . . . . . . . . . . . . . . . . . . . . . 404
1.2.2 Daten mit Personenbezug. . . 524
5.2 Datenschutzniveau außerhalb
1.2.3 Jede Art von Verarbeitung
der EU. . . . . . . . . . . . . . . . . . . . 405
personenbezogener Daten. . . 525
5.3 Standardklauseln, Vereinbarun-
1.2.4 Öffentliche und nicht-öffent-
gen Selbstbindung/Richtlinien 409
liche Verantwortliche,
5.4 Safe Harbor, Privacy Shield . . . 413
Adressat . . . . . . . . . . . . . . . . . 527
6. Besonderheiten 1.2.5 Online- und Offline-Bereich . 528
6.1 Arbeitnehmerdatenschutz, 1.2.6 Ausnahme persönlicher und
Kundendatenschutz . . . . . . 420 familiärer Bereich . . . . . . . . . 530
6.2 Werbung, verhaltensbeding- 1.2.7 Bereichsausnahmen, insb.
te Werbung, Nutzer- Arbeitnehmerdatenschutz,
Tracking . . . . . . . . . . . . . . . 421 Öffnungsklauseln . . . . . . . . . 531
6.3 Cookies, ePrivacy-RL, 1.3 Grundlage: DS-RL . . . . . . . . . 532
WP 240 . . . . . . . . . . . . . . . . 424
6.4 Video . . . . . . . . . . . . . . . . . . 426

2 Schneider
Datenschutz und IT-Management A

Rz. Rz.
1.4 Verbot und Datenmini- 6. Joint Controllership . . . . . . . . . . . . 646
mierung (Vermeidung), 7. TOM/Sicherheit, „Mechanik“ . . . . 651
Accountability . . . . . . . . . . . 533
8. Haftungsrahmen/Bußgelder,
1.5 Einwilligung, Widerruf
Skandalisierungs-/Meldepflichten
(Art. 7 Abs. 3), Widerspruch
8.1 Bußgelder . . . . . . . . . . . . . . . . . 657
(Art. 21 DS-GVO)
8.2 „Datenpannen“ . . . . . . . . . . . . 660
1.5.1 Einwilligung . . . . . . . . . . . . . 539
8.3 Schadensersatz . . . . . . . . . . . . . 662
1.5.2 Widerruf . . . . . . . . . . . . . . . . 546
1.5.3 Widerspruch . . . . . . . . . . . . . 549 9. Profile, Scoring, Tracking, Nutzer-
1.6 Zweckbindung, Zweck- basierte Online-Anwendung,
änderung . . . . . . . . . . . . . . . . 552 Location Based Services . . . . . . . . . 666
1.7 Automatische Entscheidung, 10. Rahmen, Zertifikate, Richtlinien
Profiling, sehr vages Schutz- intern, Standards . . . . . . . . . . . . . . . 670
gut „Rechte und Freiheiten“ 553 11. Aufsicht, Umsetzung . . . . . . . . . . . 679
1.8 Pflichten des Verarbeiters . . 557
12. UWG (Marktverhaltensregel),
1.9 Technisch organisatorische
Verbandsklagerecht
Maßnahmen, „TOM“. . . . . . 565
12.1 UWG . . . . . . . . . . . . . . . . . . . . 689
2. Neue Instrumente/Institutionen, 12.2 Verbandsklage. . . . . . . . . . . . . 690
Rechte des Betroffenen
2.1 Risikobasierter Ansatz, Daten- III. Arbeitnehmerdatenschutz
schutz-Folgenabschätzung . . . 571 1. Schnittstelle von Datenschutz-,
2.2 Datenportabilität, Art. 20 Arbeits- und Betriebsverfassungs-
DS-GVO . . . . . . . . . . . . . . . . . . 574 recht. . . . . . . . . . . . . . . . . . . . . . . . . 692
2.3 Europäischer Datenschutzaus- 2. Personalaktenrecht . . . . . . . . . . . . . 702
schuss, Art. 64 ff. DS-GVO,
3. Abgrenzung von § 32 BDSG zu
Aufsicht . . . . . . . . . . . . . . . . . . 579
anderen Vorschriften. . . . . . . . . . . . 709
2.4 One-Stop-Shop zentrale
Behördenzuständigkeit 4. Regelung zum Beschäftigten-
(Art. 56 DS-GVO), . . . . . . . . . . 581 datenschutz im BDSG . . . . . . . . . . 712
2.5 „Recht auf Vergessenwerden“ 5. Normalfälle der § 32 Abs. 1 Satz 1
und Löschung, Art. 17 DS-GVO 588 BDSG für Bewerber und Arbeit-
2.6 Auskunftsanspruch . . . . . . . . . 590 nehmer. . . . . . . . . . . . . . . . . . . . . . . 719
2.7 Einschränkung der Verar- 5.1 Zweckbestimmung des Be-
beitung . . . . . . . . . . . . . . . . . . . 594 schäftigungsverhältnisses . . . . 720
2.8 Privacy by Design, Privacy 5.2 Überwiegendes berechtigtes
bei Default, Datenschutz- Interesse des Unternehmens . . 725
Folgenabschätzung . . . . . . . . . 599 5.3 Öffentlich zugängliche Daten
3. Neue Regeln und Aufgaben, so des Beschäftigten, Social Media 729
v.a. für Datenschutzbeauftragten, 5.4 Erlaubnis oder Anordnung
Aufsichtsbehörde durch „andere Rechtsvor-
3.1 Betrieblicher Beauftragter . . . . 602 schrift“ i.S.v. § 4 Abs. 1 BDSG. 732
3.2 Dokumentationspflichten . . . 611 5.5 Besondere Arten von personen-
bezogenen Beschäftigtendaten. 737
4. Besondere Formen der Verarbeitung
4.1 Big Data vs. Datenminimie- 6. Regelungsinhalt des § 32 Abs. 1
rung, Kompatibilität, Löschung Satz 2 BDSG, interne Ermittlungen
(Speicherzeitbefristung). . . . . . 616 und präventive Kontrollen . . . . . . . 746
4.2 Besondere Arten von Daten – 7. Verhältnis von AGG und BDSG. . . 754
Implikationen für verschiedene 8. Datenschutz und Betriebsrat
Regelungen . . . . . . . . . . . . . . . 624 8.1 Leitlinien und Grundsätze. . . . 758
4.3 Auftrags(daten)verarbeitung, 8.2 Datenverarbeitung und
Besonderheiten . . . . . . . . . . . . 628 -nutzung zur Ausübung
5. Datenaustausch mit Nicht- von Mitwirkungsrechten . . . . . 760
EU-Ausland 8.3 Datenschutzpflichten des
5.1 DS-GVO . . . . . . . . . . . . . . . . . . 635 Betriebsrats . . . . . . . . . . . . . . . . 765
5.2 USA nach Safe Harbor, 8.4 Spannungsverhältnis zum
Privacy Shield . . . . . . . . . . . . . 637 betrieblichen Datenschutz-
5.3 Standardklauseln, BCR, beauftragten . . . . . . . . . . . . . . . 772
Verhaltensregeln . . . . . . . . . . . 641

Schneider 3
A Datenschutz und IT-Management
Rz.
8.5 (Teilhabe-)Anspruch des Be-
triebsrats an betrieblichen
IT- und TK-Systemen . . . . . . . 776
9. Kollektivrechtliche Mitwirkung
bei Einführung und Änderung von
IT- und TK-Einrichtungen
9.1 Planungsphase . . . . . . . . . . . . . 778
9.2 Verhältnis von Betriebsverein-
barungen zu BDSG . . . . . . . . . 781
9.3 Günstigkeitsprinzip . . . . . . . . 785
9.4 Abgrenzung personenbezogener
von verhaltens- und leistungs-
bezogenen Daten . . . . . . . . . . . 788
9.5 Überblick über Regelungs-
punkte in einer Betriebs-
vereinbarung zu ITK . . . . . . . . 791
9.6 Anwendungsbereich der
Betriebsvereinbarung. . . . . . . . 799
9.7 Kündigung, Nachwirkung,
Aushang . . . . . . . . . . . . . . . . . . 801
9.8 Tarifvorbehalt und Öffnungs-
klausel . . . . . . . . . . . . . . . . . . . 805
10. Datenschutzrechtliche Einwilli-
gungen von Arbeitnehmern . . . . . . 810
11. Einzelne technische Kontroll-
und Sicherheitseinrichtungen
im Betrieb
11.1 Planungs-, Skilldaten-
banken. . . . . . . . . . . . . . . . . 834
11.2 Fragebögen, psychologische
Testverfahren . . . . . . . . . . . 837
11.3 Wearables am Arbeitsplatz,
RFID, Chip- und Signatur-
karte, Zutrittskontroll-
systeme, Lizenzmanage-
ment, DRM . . . . . . . . . . . . . 851
11.4 Videoüberwachung am
Arbeitsplatz
11.4.1 Einzelheiten zu den relevan-
ten Vorschriften, insb.
§ 6b BDSG . . . . . . . . . . . . . . 861
11.4.2 Zusammenfassung der
rechtlichen Anforderungen 871
11.5 Dienstliche und private
Nutzung von E-Mail, Inter-
net und Telefon. . . . . . . . . . 877
11.6 Telearbeit, Homeoffice,
BYOD . . . . . . . . . . . . . . . . . 892
11.7 Missbrauch von Administra-
torenrechten . . . . . . . . . . . . 900
11.8 Workflow-Systeme im
Call Center . . . . . . . . . . . . . 903
11.9 Einführung einer Firmen-
kreditkarte
11.9.1 Überblick . . . . . . . . . . . . . . 906
11.9.2 Persönlichkeits- und daten-
schutzrechtliche Aspekte. . 911
4 Schneider
Rz.
11.9.3 Betriebsverfassungsrechtli-
che Aspekte . . . . . . . . . . . . . 918
12. Zentrale Personaldatenverarbeitung
und -nutzung im Konzern
12.1 Kein Konzernprivileg . . . . . . . 924
12.2 AuftragsDV im Konzern,
Drittstaatenproblematik . . . . 927
12.3 Konzerne mit Matrixstruktur,
Doppel-Arbeitsverhältnisse . . 931
12.4 Gemeinsame verantwortliche
Stelle und DS-GVO . . . . . . . . 934
13. Beschäftigtendatenschutz bei
Big Data und Industrie 4.0
13.1 Cyberphysische Systeme,
Machine-to-Machine-Kom-
munikation, vernetzte Nutz-
fahrzeuge . . . . . . . . . . . . . . . . 938
13.2 Anwendbares Datenschutz-
recht, Relevanz der Personen-
beziehbarkeit von Kennziffern 941
13.3 Vertikale und horizontale
Vollintegration, Profilbildung
und Beschäftigtendatenschutz 944
13.4 IT-Sicherheit, technische und
organisatorische Maßnahmen 947
14. Regelung zum Beschäftigtendaten-
schutz in der EU-Datenschutz-
grundverordnung. . . . . . . . . . . . . . . 951
IV. Kundendatenschutz
1. Grundlegende Definitionen . . . . . . 956
2. Die maßgeblichen Regelungen
im Überblick . . . . . . . . . . . . . . . . . . 963
2.1 BDSG
2.1.1 Anwendungsbereich . . . . . 966
2.1.2 Legitimationsgrundlagen
für die Datenverwendung . 968
2.1.2.1 Einwilligung . . . . . . . . . . . . 969
2.1.2.2 Gesetzliche Erlaubnistat-
bestände (Überblick) . . . . . 985
2.1.3 Der Grundsatz der Direkt-
erhebung . . . . . . . . . . . . . . . 989
2.1.4 Automatisierte Einzel-
entscheidungen . . . . . . . . . 991
2.2 TMG
2.2.1 Anwendungsbereich . . . . . 998
2.2.2 Legitimationsgrundlagen
für die Datenverwendung . 1003
2.2.3 Sonstige Regelungen . . . . . 1011
2.3 TKG
2.3.1 Anwendungsbereich . . . . . 1014
2.3.2 Legitimationsgrundlagen
für die Datenverwendung . 1016
2.4 Verhältnis des BDSG zum
TMG und TKG . . . . . . . . . . 1019
2.5 UWG . . . . . . . . . . . . . . . . . . 1023
2.6 Datenschutz-Grundver-
ordnung (DS-GVO) . . . . . . . 1027a
Datenschutz und IT-Management A

Rz. Rz.
3. Werbung . . . . . . . . . . . . . . . . . . . . . 1028 1.4 Potentielle Wirkung der
3.1 Beschaffung von Kunden- DS-GVO . . . . . . . . . . . . . . . . . . 1268
daten. . . . . . . . . . . . . . . . . . 1030 2. Datenschutz im TMG
3.1.1 Erhebung und Speicherung 2.1 Adressaten und Verbotsprinzip
von Kundendaten durch speziell für Telemedien . . . . . . 1271
den Werbetreibenden. . . . . 1032 2.2 Pflichten des Anbieters
3.1.2 Bereitstellung von Kunden- (§ 13 TMG) . . . . . . . . . . . . . . . . 1274
daten an den Werbetreiben- 2.3 Bestandsdaten (§ 14 TMG). . . . 1276
den durch eine andere Stelle 2.4 Nutzungsdaten (§ 15 TMG) . . . 1278
3.1.2.1 Zurverfügungstellung 2.5 Einwilligung . . . . . . . . . . . . . . . 1284
eigener Kundendaten an 2.6 § 15a TMG, Informations-
den Werbetreibenden. . . . . 1053 pflicht bei unrechtmäßiger
3.1.2.2 Bereitstellung geschäfts- Kenntniserlangung von Daten. 1286
mäßig erhobener Daten an
3. Einzelne Dienste und DS-GVO
den Werbetreibenden. . . . . 1056
3.1 TMG, TKG und DS-GVO . . . . 1287
3.2 Optimierung von Kunden-
3.2 Cookies . . . . . . . . . . . . . . . . . . . 1290
daten. . . . . . . . . . . . . . . . . . 1062
3.3 Profile . . . . . . . . . . . . . . . . . . . . 1297
3.3 Datenverwendung zwecks
3.4 VPN. . . . . . . . . . . . . . . . . . . . . . 1300
Kontaktaufnahme mit
dem Kunden 4. Bewertungen, Portale
3.3.1 Kundenschutz aufgrund 4.1 Online-Auktion, Bewertungen,
von datenschutzrechtli- Sperrung . . . . . . . . . . . . . . . . . . 1301
chen Vorschriften . . . . . . . 1085 4.2 „Hausrecht“, Account-,
3.3.2 Kundenschutz aufgrund Zugangssperren . . . . . . . . . . . . 1305
von wettbewerbsrecht- 4.3 Lifestyle, Blogs . . . . . . . . . . . . . 1315
lichen Vorschriften . . . . . . 1094 4.4 Online-Anwalt . . . . . . . . . . . . . 1323
3.4 Exkurs: AuftragsDV. . . . . . 1096 4.5 Datenbevorratung,
Abrechnung . . . . . . . . . . . . . . . 1328
4. Vertragsverhandlungen, -abschluss,
4.6 Whois-Daten . . . . . . . . . . . . . . 1332
-durchführung und -beendigung
4.7 Bewertungsportale und Mei-
4.1 Allgemeiner Rechtsrahmen
nungsfreiheit, Prüfpflichten . . 1333
(BDSG) . . . . . . . . . . . . . . . . . . . 1100
4.2 Telemediendienste (TMG) . . . 1119 5. TK-Datenschutz
4.3 TK-Dienste (TKG) . . . . . . . . . . 1146 5.1 Spezielle Regeln, Datenarten. . 1336
4.4 DS-GVO . . . . . . . . . . . . . . . . . . 1163a 5.2 Teilnehmerdaten, Inverssuche 1345
5. Bonitätsbewertung . . . . . . . . . . . . . 1164 VI. IT-Sicherheit
5.1 Datenumgang durch den 1. Einführung . . . . . . . . . . . . . . . . . . . 1348
Kundenpartner . . . . . . . . . . . . . 1168
2. Trends bei der IT-Sicherheit
5.2 Datenumgang durch eine
2.1 Bedeutung . . . . . . . . . . . . . . . . . 1366
Auskunftei . . . . . . . . . . . . . . . . 1194
2.2 Definitionen . . . . . . . . . . . . . . . 1369
6. Markt- und Meinungsforschung . . 1205 2.3 Security by Design . . . . . . . . . . 1379
7. Videoüberwachung von Kunden . . 1210 3. Bedrohungen
8. Die Kunden- bzw. Betroffenen- 3.1 Überblick . . . . . . . . . . . . . . . . . 1382
rechte (BDSG, DS-GVO) . . . . . . . . 1214 3.2 Spionage (staatlich, terroris-
9. Schadensersatzansprüche des Kun- tisch, Wirtschaftsspionage) . . . 1387
den (BDSG, TKG, BGB, DS-GVO) . 1217 3.3 Sonstige Cyber-Kriminalität . . 1394
3.4 (Bewusstes und unbewusstes)
10. Anspruch auf Beseitigung und
Fehlverhalten von Mitarbei-
Unterlassung . . . . . . . . . . . . . . . . . 1239
tern, Whistleblowing . . . . . . . . 1395
V. Datenschutz im Internet 4. Verhältnis IT-Compliance und
bei Telemedien und Telekom- IT-Sicherheit . . . . . . . . . . . . . . . . . . 1398
munikation
5. IT-Sicherheitsgesetz . . . . . . . . . . . . 1406
1. TMG und TKG . . . . . . . . . . . . . . . . 1248 5.1 Inhalt
1.1 TKG . . . . . . . . . . . . . . . . . . . . . 1249 5.1.1 Kritische Infrastrukturen/
1.2 TMG. . . . . . . . . . . . . . . . . . . . . 1253 Änderung des BSIG, des
1.3 Einzelne Dienste . . . . . . . . . . . 1261 AtG und des EnWG (Art. 1
bis 3 IT-SicherheitsG) . . . . . . 1409

Schneider 5
A Datenschutz und IT-Management

Rz. Rz.
5.1.2 Telemedien/Änderung des VII. IT-Compliance
TMG (Art. 4 IT-SicherheitsG) 1416 1. Einführung
5.1.3 Telekommunikation/Ände- 1.1 Compliance, Begriff. . . . . . . . 1542
rung des TKG (Art. 5 1.2 Compliance, Bedeutung . . . . 1546
IT-SicherheitsG) . . . . . . . . . . 1422 1.3 IT-Governance
5.1.4 Weitere Änderungen und 1.3.1 Begriff/Abgrenzung zu
Regelung zum Inkrafttreten IT-Compliance. . . . . . . . . . . . 1549
(Art. 6 bis 11 IT-SicherheitsG) 1427 1.3.2 Bereiche der IT-Governance,
5.2 Wirkung . . . . . . . . . . . . . . . . 1428 „Werkzeuge“ . . . . . . . . . . . . . 1550
5.3 NIS-RL, Kritik. . . . . . . . . . . . 1430
2. Ziele von Compliance . . . . . . . . . . 1555
6. Sicherheitsmanagement
3. Compliance-Vorschriften
6.1 Allgemein, Maßnahmen-
3.1 Sorgfaltsmaßstab . . . . . . . . . . . 1559
Arsenal . . . . . . . . . . . . . . . . . 1434
3.2 Gesetzlich vorgegebene
6.2 Datenschutz . . . . . . . . . . . . . 1440
Verpflichtungen . . . . . . . . . . . . 1561
6.2.1 Allgemeine Geschäftsorgani-
3.3 Vertraglich vereinbarte
sation: Bestandsaufnahme
Verpflichtungen . . . . . . . . . . . . 1564
und Problemlage . . . . . . . . . . 1441
3.4 Datenaustausch, speziell
6.2.2 Vermischung von privaten
mit den USA . . . . . . . . . . . . . . . 1565
und dienstlichen Daten
3.5 Überobligatorische Vorgaben. . 1566
(BYOD, COPE) . . . . . . . . . . . 1444
6.2.3 Datenvermeidung und 4. Aufbau von Compliance-
Entnetzung . . . . . . . . . . . . . . 1445 Strukturen . . . . . . . . . . . . . . . . . . . . 1567
6.3 Zertifikate, Zertifizierung . . 1448 5. Ausrichtung und Anforderungen
6.4 Zugangs- und Zugriffs- von IT-Compliance
kontrollen . . . . . . . . . . . . . . . 1451 5.1 Frühwarnsystem . . . . . . . . . . 1568
6.5 Sicherheitsstandards für 5.2 Wichtige Themenbereiche . . 1572
E-Payment. . . . . . . . . . . . . . . 1454 5.3 Verantwortungsstrukturen . . 1577
6.6 Verschlüsselungstechniken . 1458 5.4 Konkrete Beispiele für
6.7 Sicherheitslücken. . . . . . . . . 1465 IT-Compliance
6.8 Regelmäßige Backups. . . . . . 1466 5.4.1 Beispiel: Sichere und funk-
6.9 Weitere Quellen für Anforde- tionsfähige IT-Infrastruktur . 1580
rungen, BSI-Empfehlungen . 1467 5.4.2 Beispiel: Lizenzmanagement/
6.10 Monopol-Vermeidung und Audits . . . . . . . . . . . . . . . . . . 1583
Regulierungsrecht/Wettbe- 5.4.3 Beispiel: Umgang mit
werbsrecht/Kartellrecht . . . . 1476 geschäftlichen E-Mails . . . . . 1587
7. § 9 BDSG und Anlage zu 5.4.4 Beispiel: Einsatz von Smart-
§ 9 BDSG. . . . . . . . . . . . . . . . . . . . . 1479 phones, Tablets und anderen
mobilen Endgeräten im
8. TKG. . . . . . . . . . . . . . . . . . . . . . . . . 1491
Unternehmen . . . . . . . . . . . . 1600
9. Spezialbetrachtung: Cloud 5.5 Beschlagnahme . . . . . . . . . . . 1603
Computing 5.6 Kollisionen mit dem (Mit-
9.1 Technische und organisatori- arbeiter-) Datenschutz,
sche Maßnahmen speziell Beispiel Screening, Test . . . . 1605
bei Cloud . . . . . . . . . . . . . . . . . 1497
6. Ausblick . . . . . . . . . . . . . . . . . . . . . 1611
9.2 Übergang zu Big Data . . . . . . . 1506
9.3 AuftragsDV . . . . . . . . . . . . . . . 1508 VIII. E-Government
9.4 DS-GVO . . . . . . . . . . . . . . . . . . 1511 1. Einführung und Entwicklung. . . . . 1614
10. Strafrechtsaspekte . . . . . . . . . . . . . 1513 2. Definition . . . . . . . . . . . . . . . . . . . . 1623
11. Zivilrecht, Herausgabeansprüche, 3. (Aktuelle) Rechtslage
Schadensersatz . . . . . . . . . . . . . . . . 1518 3.1 Überblick . . . . . . . . . . . . . . 1627
11.1 Herausgabeansprüche . . . . . . 1519 3.2 Europarecht . . . . . . . . . . . . 1629
11.2 Schadensersatz. . . . . . . . . . . . 1523 3.3 Verfassungsrecht . . . . . . . . 1631
11.3 Umfang des Schadensersatzes 1526 3.4 Einfaches Recht
12. Insolvenz. . . . . . . . . . . . . . . . . . . . . 1529 3.4.1 Bundesrecht
13. Aufbewahrung/Archivierung 3.4.1.1 E-Government-Gesetz des
von Daten . . . . . . . . . . . . . . . . . . . . 1534 Bundes (EGovG) . . . . . . . . . 1633
14. Versicherungsschutz . . . . . . . . . . . 1539

6 Schneider
Datenschutz und IT-Management A

Rz. Rz.
3.4.1.2 Das Gesetz zur Förderung 4.6 Elektronische Steuererklärung
des elektronischen Rechts- (ELSTER). . . . . . . . . . . . . . . . . 1671
verkehrs mit den Gerichten 1634 4.7 Elektronische Rechnungen
3.4.1.3 Das BSI-Gesetz. . . . . . . . . . 1639 (E-Invoicing) . . . . . . . . . . . . . . 1674
3.4.2 Landesrecht . . . . . . . . . . . . 1641 4.8 E-Bilanz. . . . . . . . . . . . . . . . . . 1678
4. Konkrete Ausprägungen des 4.9 Elektronisches Handelsregis-
E-Government ter/Unternehmensregister . . . 1679
4.1 Informationstätigkeit der 4.10 Elektronische Gesund-
Verwaltungsbehörden . . . . . . 1642 heitskarte . . . . . . . . . . . . . . . . 1686
4.2 Elektronische Kommuni- 5. E-Government und Datenschutz
kation . . . . . . . . . . . . . . . . . . . 1652 5.1 Bedrohungslage . . . . . . . . . . . . 1687
4.3 Elektronischer Rechtsverkehr/ 5.2 Datenschutzrechtliche
Elektronische Aktenführung 1654 Vorgaben . . . . . . . . . . . . . . . . . . 1688
4.4 Datenbankgrundbuch/Elektro- 5.3 Datensicherheitsrechtliche
nisches Grundstücksregister 1657 Vorgaben . . . . . . . . . . . . . . . . . . 1691
4.5 Auswirkungen auf das Ver- 5.4 Dezentralisierung? . . . . . . . . . . 1693
waltungsverfahren (VwVfG, 6. Vergaberechtliche Aspekte
VwZG) . . . . . . . . . . . . . . . . . . 1658 (Beschaffung von IuK-Technik) . . . 1694

Ausgewählte Literatur: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR
2016, 88; Albrecht/Schmid, Das E-Government-Gesetz des Bundes, K&R 2013, 529; Alich/Voigt, Mitteil-
same Browser – Datenschutzrechtliche Bewertung des Trackings mittels Browser-Fingerprints, CR 2012,
344; Ambrock, Nach Safe Harbor: Schiffbruch des transatlantischen Datenverkehrs?, NZA 2015, 1493;
Ann, Geheimnisschutz – Kernaufgabe des Informationsmanagements im Unternehmen, GRUR 2014, 12;
Arning/Moos, Location Based Advertising, ZD 2014, 126; Arning/Moos/Schefzig, Vergiss(,) Europa!, CR
2014, 447; Auer-Reinsdorff, IT-Compliance, ITRB 2011, 245; Bartels/Schmidt, RESISCAN und Outsourcing
– auf dem Weg zum ersetzenden Scannen, ITRB 2013, 184; Basten, Gesetzentwurf zum Verbandsklagerecht
bei Verstößen gegen verbraucherschützende Vorschriften des Datenschutzrechts, ZD-Aktuell 2015, 04571;
Becker, Datenschutzrechtliche Fragen des SCHUFA-Auskunftsverfahrens, 2006 (Diss. 2006); Beckhusen,
Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, 2004 (Diss. 2004); Beck’scher
Online-Kommentar Datenschutzrecht, hrsg. v. Wolff/Brink, 15. Edition Stand: 2/2016, zitiert als: „OK Da-
tenSR“; Beck’scher TKG-Kommentar, 4. Aufl. 2013 (BeckTKG-Komm/Bearbeiter); Behringer (Hrsg.), Com-
pliance kompakt, 3. Aufl. 2013; Bender, Informationelle Selbstbestimmung in sozialen Netzwerken, K&R
2013, 218; Beucher/Utzerath, Cybersicherheit – Nationale und internationale Regulierungsinitiativen,
MMR 2013, 362; Böcker/Piltz, Datenschutzcompliance leicht(er) gemacht: Das „Hausaufgabenheft“ der
Art. 29-Gruppe für Google, K&R 2015, 6; Börding, Ein neues Datenschutzschild für Europa. Warum auch
das überarbeitete Privacy Shield den Vorgaben des Safe Harbor-Urteils des EuGH nicht gerecht werden
kann, CR 2016, 431; Boos/Kroschwald/Wicker, Datenschutz bei Cloud Computing zwischen TKG, TMG
und BDSG, ZD 2013, 205; Born, Bonitätsprüfungen im Online-Handel. Scorewert-basierte automatisierte
Entscheidung über das Angebot von Zahlungsmöglichkeiten, ZD 2015, 66; Braun, Außerordentliche Kündi-
gung bei Missachtung der betrieblichen IT-Compliance-Regelungen – Besprechung BAG-Urteil vom
24.3.2011 – 2 AZR 282/10, jurisPR-ITR 20/2011 Anm. 6; Breinlinger, Screening von Kundendaten im Rah-
men der AEO-Zertifizierung, ZD 2013, 267; Breinlinger/Scheuing, Der Vorschlag für eine EU-Datenschutz-
verordnung und die Folgen für Verarbeitung und Nutzung für werbliche Zwecke, RDV 2012, 64; Brink/Eck-
hardt, Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts,
ZD 2015, 205; Brosch, Das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten,
K&R 2014, 9; Brosch/Sandkühler, Das elektronische Anwaltspostfach – Nutzungsobliegenheiten, Funktio-
nen und Sicherheit, NJW 2015, 2760; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006;
Gräfin von Brühl/Brandenburg, Cyberbedrohungen: Rechtliche Rahmenbedingungen und praktische
Lösungen, ITRB 2013, 260; von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, 2014, Conrad/Huppertz,
§ 33 – Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung, in: Auer-Reinsdorff/Conrad;
Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 5. Aufl. 2016 (Däubler/Klebe/Wedde/Wei-
chert/Bearbeiter, BDSG); Dammann/Simitis, EG-Datenschutzrichtlinie, 1997; Deusch, Compliance-Vor-
gaben für den Einsatz von Smartphones im Unternehmen, K&R 2013, 11; Deusch/Eggendorfer, Verschlüs-
selte Kommunikation im Unternehmensalltag: Nice-to-have oder notwendige Compliance?, in: Taeger
(Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, DSRI-Tagungsband 2014,
S. 539 ff.; Dieterich, Canvas Fingerprinting. Rechtliche Anforderungen an neue Methoden der Nutzerprofi-
lerstellung, ZD 2015 199; Drewes, Werbliche Nutzung von Daten, ZD 2012, 115; Drewes, Adresshandel –
Alles nur mit Einwilligung?, RDV 2011, 18; Eckhardt, Unzulässige E-Mail-Werbung – Reichweite des Un-

Schneider 7
A Datenschutz und IT-Management

terlassungsanspruchs aus §§ 823, 1004 BGB analog, MMR 2014, 213; Eckhardt, IP-Adresse als personenbe-
zogenes Datum – neues Öl ins Feuer, CR 2011, 339; Eckhardt, Datenschutzerklärungen und Hinweise auf
Cookies, ITRB 2005, 46; Eckhardt/Rheingans, Direktmarketing bei Bestandskunden ohne Einwilligung?,
ZD 2013, 318; Ehmann, Der weitere Weg zur Datenschutzgrundverordnung, ZD 2015, 6; Eisenberg, Mög-
lichkeiten des E-Mail Direktmarketing ohne Einwilligung der Beworbenen, BB 2012, 2963; Elbrecht/
Schröder, Verbandsklagebefugnisse bei Datenschutzverstößen für Verbraucherverbände, K&R 2015, 361;
Elgert, Datenschutzrechtliche Aspekte der Übermittlung personenbezogener Daten an die SCHUFA, K&R
2013, 288; Ernst/Seichter, „Heimliche“ Online-Werbeformen, CR 2011, 62; Faber, Die Versendung
unerwünschter E-Mail-Werbung – Widerruf und Privilegierung nach § 7 III UWG, GRUR 2014, 337; Fisse-
newert (Hrsg.), Compliance für den Mittelstand, München 2013; Forgó, § 64 – Grundzüge des Informati-
onssicherheitsrechts, in: Conrad/Grützmacher; Franck, Datensicherheit als datenschutzrechtliche Anfor-
derung. Keine Abdingbarkeit technisch-organisatorischer Maßnahmen nach künftiger DSGVO? – zugleich
Ergänzung zu Lotz/Wendler, CR 2016, 31 ff., CR 2016, 238; Funke/Wittmann, Cloud Computing – ein
klassischer Fall der Auftragsdatenverarbeitung?, ZD 2013, 221; Gallwas, § 26 Schranken der Informations-
freiheit durch informationelle „Rechte anderer“ oder das „informationelle Drittverhältnis“ in: Conrad/
Grützmacher; Gallwas, Der allgemeine Konflikt zwischen dem Recht auf informationelle Selbstbestim-
mung und der Informationsfreiheit, NJW 1992, 2785; Gercke, 10 years Convention on Cybercrime –
Achievements and Failure of the Council of Europe’s Instrument in the Fight against Internet-related Cri-
mes, CRi 2011, 142; Gerlach, Personenbezug von IP-Adressen, CR 2013, 478; Geuer, Einwilligung in Coo-
kieempfang durch Browsereinstellungen?, ITRB 2012, 206; Gierschmann: Was „bringt“ deutschen Unter-
nehmen die DS-GVO?, ZD 2016, 51; Giedtke, Cloud Computing – Eine wirtschaftsrechtliche Analyse mit
besonderer Berücksichtigung des Urheberrechts, 2013; Gitter/Meißner/Spauschus, Das neue IT-Sicher-
heitsgesetz, ZD 2015, 512; Gola, Datenschutz am Arbeitsplatz, 5. Aufl. 2014; Gola/Klug, Die Entwicklung
des Datenschutzrechts, NJW 2014, 2622, NJW 2015, 674, NJW 2015, 2628, NJW 2016, 691, NJW 2016,
2786; Gola/Lepperhof, Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung, ZD
2016, 9; Gola/Reif, Kundendatenschutz, 3. Aufl. 2011; Gola/Schomerus, BDSG, Bundesdatenschutzgesetz,
12. Aufl. 2015 (Gola/Schomerus, BDSG); Gola/Wronka, Datenschutzrecht im Fluss, RDV 2015, 3; Gola/
Wronka, Handbuch zum Arbeitnehmerdatenschutz, 6. Aufl. 2013; Groh, Plädoyer für ein flankierendes
Behördenmodell bei der Bekämpfung unerwünschter E-Mail-Werbung, GRUR 2015, 551; Günther/
Böglmüller, Arbeitsrecht 4.0 – Arbeitsrechtliche Herausforderungen in der vierten industriellen Revoluti-
on, NZA 2015, 1025; Habammer/Denkhaus, Verhindert das Unionsrecht die Digitalisierung der Verwal-
tung?, MMR 2014, 14; Habammer/Denkhaus, Das E-Government-Gesetz des Bundes – Inhalt und erste
Bewertung – Gelungener Rechtsrahmen für elektronische Verwaltung?, MMR 2013, 358; Härting, Daten-
schutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016 (zitiert: Härting,
Datenschutz-Grundverordnung); Härting, Internetrecht, 5. Aufl. 2014; Härting/Schneider, Datenschutz in
Europa: Ein Alternativentwurf für eine Datenschutz-Grundverordnung. Alternativen zum Vorschlag der
Europäischen Kommission vom 25.1.2012, ITRB 2013, S019; Härting/Schneider, Data Protection in Euro-
pe: An Alternative Draft for a General Data Protection Regulation, Alternatives to the European Commis-
sion’s Proposal of 25 January 2012, CRi 2013, Supplement 1; Hallermann, Vorabkontrollen nach dem
BDSG: Handlungsempfehlungen für die praktische Umsetzung, RDV 2015, 23 ff.; Hammersen/Eisenried,
Ist „Redlining“ in Deutschland erlaubt?, ZD 2014, 342; Hauschka/Moosmayer/Lösler, Corporate Compli-
ance, 3. Aufl. 2016; Hauschka/Moosmayer/Lösler, Formularbuch Compliance, 2013; Hauser, Das IT-
Grundrecht. Schnittfelder und Auswirkungen, 2015; Heckmann (Hrsg.), juris Praxiskommentar Internet-
recht, 4. Aufl. 2014; Heckmann, Ein Gesetz zur Verhinderung der elektronischen Verwaltung? Folgen der
unterlassenen Notifizierung des E-Government-Gesetzes, MMR 2013, 561; Heckmann, Rechtspflichten
zur Gewährleistung von IT-Sicherheit im Unternehmen. Maßstäbe für ein IT-Sicherheitsrecht, MMR
2006, 280; Heider, Die Gretchenfrage: Wie halten Sie’s mit der App-Sicherheit?, DuD 2014, 15; Heidrich/
Wegener, Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803; Heinickel/Feiler,
Der Entwurf für ein IT-Sicherheitsgesetz – europarechtlicher Kontext und die (eigentlichen) Bedürfnisse
der Praxis, CR 2014, 708; Heinson/Schmidt, IT-gestützte Compliance-Systeme und Datenschutzrecht. Ein
Überblick am Beispiel von OLAP und Data Mining, CR 2010, 540; Henning, Compliance in Clouds. Da-
tenschutz und Datensicherheit in Datenwolken, CR 2011, 546; Heussen (Hrsg.), Handbuch Vertrags-
verhandlung und Vertragsmanagement, 4. Aufl. 2014; Hey, Modernes Besteuerungsverfahren – Mehr als
„E“, DB 2014, Heft 27-28, M5; Hoeren, Kundenbefragung über potenzielle Interessenten, ZD 2013, 530;
Hoeren/Buchmüller, Entwicklung des Internet- und Multimediarechts im Jahr 2013, MMR-Beil. 2014, 1;
Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 43. EL 7/2016; Hoffmann/Borchers, Das
besondere elektronische Anwaltspostfach, CR 2014, 62; Holland, Direktmarketing, CR 1995, 184; von
Holleben/Menz, IT-Risikomanagement – Pflichten der Geschäftsleitung, CR 2010, 63; Hornung, Neue
Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334;
Hüsch, Rechtssicheres ersetzendes Scannen, CR 2014, 206; Huppertz/Ohrmann, Wettbewerbsvorteile
durch Datenschutzverletzungen?, CR 2011, 449; Ilgenfritz, Erläuterung zu den Anwendungshinweisen der
Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten
für werbliche Zwecke, RDV 2013, 18; Intveen, E-Invoicing, ITRB 2014, 138; Kahlert/Licht, Die neue Rolle
des Datenschutzbeauftragten nach der DSGVO – Was Unternehmen zu beachten haben, ITRB 2016, 178;

8 Schneider
Datenschutz und IT-Management A

Kampffmeyer, E-Mail Compliance – revisionssichere Archivierung, DuD 2010, 619; Karg/Fahl, Rechts-
grundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 453; Kartheuser/Schmitt, Der Nie-
derlassungsbegriff und seine praktischen Auswirkungen – Anwendbarkeit des Datenschutzrechts eines
Mitgliedstaats auf ausländische EU-Gesellschaften, ZD 2016, 155; Katko/Knöpfle/Kirschner, Archivie-
rung und Löschung von Daten. Unterschätzte Pflichten in der Praxis und ihre Umsetzung, ZD 2014, 238;
Kautz, Schadensersatz im europäischen Datenschutzrecht, 2006 (Diss. 2006); Keppeler, Was bleibt vom
TMG-Datenschutz nach der DS-GVO? – Lösung und Schaffung von Abgrenzungsproblemen im Multi-
media-Datenschutz, MMR 2015, 779; Kersten/Klett, Data Leakage Prevention, 2014; Kment, Verwaltungs-
rechtliche Instrumente zur Ordnung des virtuellen Raums. Potenziale und Chancen durch E-Government,
MMR 2012, 220; Koch, Big Data und der Schutz der Daten, ITRB 2015, 13; Köbler, Der elektronische
Rechtsverkehr kommt: Fahrplan bis 2022 steht – Wie sich die Anwaltschaft auf das Ende der Papierakte
einstellen kann, AnwBl. 2013, 589; Köhler/Bornkamm (Hrsg.), Gesetz gegen den unlauteren Wettbewerb,
34. Aufl. 2016 (Köhler/Bornkamm/Bearbeiter, UWG); Köppen, Entwicklung der Computer-, IuK- und In-
ternetkriminalität im Jahr 2013, DuD 2015, 39; Konradt/Schilling/Werners, Risikosimulation zur Be-
wertung von IT-Risiken im Cloud Computing, DuD 2014, 36; Kort, Arbeitnehmerdatenschutz gemäß der
EU-Datenschutz-Grundverordnung, DB 2016, 711; Kosmides, Zivilrechtliche Haftung für Datenschutz-
verstöße, 2010; Kotthoff/Wieczorek, Rechtsrahmen von Softwarelizenzaudits – Zulässigkeit und Grenzen,
MMR 2014, 3; Kramer/Meints, Datensicherheit, in: Hoeren/Sieber/Holznagel, Kap. 16.5; Krämer, Die
Verarbeitung personenbezogener Daten durch Wirtschaftsauskunfteien, NJW 2012, 3201; Kranz, Kunden-
datenschutz und Selbstregulierung im Luftverkehr, DuD 2001, 161; Kroschwald, Kollektive Verantwor-
tung für den Datenschutz in der Cloud, ZD 2013, 388; Kühling/Klar, Löschpflichten vs. Datenaufbewah-
rung – Vorschläge zur Auflösung eines Zielkonflikts bei möglichen Rechtsstreitigkeiten, ZD 2014, 506;
Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und
deutschen Datenschutzrecht?, EuZW 2016, 448; Kuhls/Starnecker, E-Health Gesetz –Schreitet die Digita-
lisierung des Gesundheitswesens voran? (Teil 1), jurisPR-ITR 10/2015 Anm. 2, (Teil 2), jurisPR-ITR
15/2015 Anm. 2, (Teil 3), Kuhls/Starnecker, jurisPR-ITR 20/2015 Anm. 2; Larenz/Canaris, Lehrbuch des
Schuldrechts, Besonderer Teil, Zweiter Band 2. Halbband, 13. Aufl., 1994; Lehmann/Giedtke, Cloud Com-
puting – technische Hintergründe für die territorial gebundene rechtliche Analyse. Cloudspezifische Ser-
ververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, 608; Lensdorf, IT-Compliance – Maß-
nahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, 413; Lensdorf/Steger,
IT-Compliance im Unternehmen, ITRB 2006, 206; Lober/Falker, Datenschutz bei mobilen Endgeräten,
K&R 2013, 357; Lotz/Wendler, Datensicherheit als datenschutzrechtliche Anforderung: Zur Frage der Ab-
dingbarkeit des § 9 BDSG. Eine Erörterung für den privaten Rechtsverkehr und für Betreiber Kritischer In-
frastrukturen, CR 2016, 31; von Lucke/Reinermann, Speyerer Definition von Electronic Government,
2000; Lüghausen, Aktuelle Probleme der Werbung in Online-Games, K&R 2011, 458; Mainusch/Burtchen,
Kontrolle über eigene Daten in sozialen Netzwerken, DuD 2010, 448; Mantz, Verwertung von Standort-
daten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter, K&R 2013, 7; Marly, Praxis-
handbuch Softwarerecht, 6. Aufl. 2014; Matthiesen/Kaulartz, Das neue IT-Sicherheitsgesetz, IT-Director,
11/2015, 14; Menke/Witte, Aktuelle Rechtsprobleme beim E-Mail-Marketing, K&R 2013, 25; Meyer, Netz-
infrastruktur und Kommunikationsfreiheit, K&R 2013, 90; Meyerdierks, Personenbeziehbarkeit statischer
IP-Adressen, MMR 2013, 705; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2014, K&R 2015,
158; Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014; J. Müller, Technische und organisatori-
sche Datensicherheit, in: Koreng/Lachenmann, Kap. E.; Müller-Terpitz/Rauchhaus, Das E-Government-
Gesetz des Bundes – ein Schritt in Richtung „Verwaltung 2.0“, MMR 2013, 10; Müthlein, ADV 5.0 – Neu-
gestaltung der Auftragsdatenverarbeitung in Deutschland, RDV 2016, 74; Nebel, Die Zulässigkeit der
Übermittlung personenbezogener Kundenstammdaten zum Vollzug eines Asset Deals, CR 2016, 417 ff.;
Neuner, Der privatrechtliche Schutz der Persönlichkeit, JuS 2015, 961; Oenning/Oenning, in: von dem Bus-
sche/Voigt (Hrsg.), Konzerndatenschutz, 2014, Teil 5 – Spannungsfeld zwischen Datenschutz und Compli-
ance-Anforderungen; Ohly, Der Geheimnisschutz im deutschen Recht: heutiger Stand und Perspektiven,
GRUR 2014, 1; Pauli, Die Einwilligung in Werbung bei Gewinnspielen, WRP 2011, 1232; Peintinger/Kranig,
Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berück-
sichtigung des Vorschlags zur DS-GVO, ZD 2014, 3; Petersen/Barchnicki/Pohlmann, Schutz- und Früh-
warnsysteme für mobile Anwendungen, DuD 2014, 7; Plath (Hrsg.), BDSG Kommentar, 2. Aufl. 2016; Pohl-
mann, Lehren aus der IT-Sicherheitskrise ziehen!, DuD 2014, 47; Pohlmann/Reimer, E-Mail Compliance –
Wunsch und Wirklichkeit, DuD 2010, 603; Prütting/Wegen/Weinreich, BGB – Kommentar, 11. Aufl. 2016
(zitiert: PWW); Rammos, Datenschutzrechtliche Aspekte verschiedener Arten „verhaltensbezogener“ On-
linewerbung, K&R 2011, 692; Rath/Rothe, Cloud Computing: Ein datenschutzrechtliches Update, K&R
2013, 623; Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4; Reimer/Wegener, IT
Compliance und Governance: Cloud Computing erweitert den Horizont, DuD 2011, 363; Reiners, E-Mail
Compliance fordert E-Mail Richtlinie, DuD 2010, 630; Reitsam/Seonbuchner, § 60 – Aufbewahrung und
Archivierung von Daten, in: Conrad/Grützmacher; Reitsam/Sollinger, E-Bilanz – Ist Ihr Unternehmen vor-
bereitet? – Rechtsgrundlagen, Anforderungen und Lösungsszenarien, CR 2012, 349; Rogosch, Die Einwil-
ligung im Datenschutzrecht, 2013 (Diss. 2012); Roos, Die Entwicklung des Datenschutzrechts im Jahr 2014:
Beitrags- und Rechtsprechungsübersicht, ZD 2015, 162; Roos/Schumacher, Botnetze als Herausforderung

Schneider 9
A Datenschutz und IT-Management

für Recht und Gesellschaft – Zombies außer Kontrolle?, MMR 2014, 377; Roßnagel (Hrsg.), Beck’scher
Kommentar zum Recht der Telemediendienste, 2013; Roßnagel, Big Data – Small Privacy? – Konzeptionel-
le Herausforderungen für das Datenschutzrecht, ZD 2013, 562; Roßnagel, Auf dem Weg zur elektro-
nischen Verwaltung – Das E-Government-Gesetz, NJW 2013, 2710; Roßnagel/Jandt, Rechtskonformes Di-
rektmarketing, MMR 2011, 86; Roth, Neuer Referentenentwurf zum IT-Sicherheitsgesetz, ZD 2015, 17;
Rüter/Schröder/Göldner/Niebuhr, IT-Governance in der Praxis, 2. Aufl. 2010; Ruhmann, NSA, IT-Sicher-
heit und die Folgen, DuD 2014, 40; Runte, Recht der IT-Sicherheit, in: Lehmann/Meents, Kap. 21, S. 1206;
Sachs/Meder, Datenschutzrechtliche Anforderungen an App-Anbieter, ZD 2013, 303; Schmieder, Teil XI.
Datensicherheit, in: Forgó/Helfrich/Schneider; Schmidt/Jakob, Die Zulässigkeit IT-gestützter Complian-
ce- und Risikomanagementsysteme nach der BDSG-Novelle, DuD 2011, 88; Schmitz/von Dall’Armi, Stan-
dardvertragsklauseln – heute und morgen – Eine Alternative für den Datentransfer in Drittländer?, ZD
2016, 217; Schneider, Anmerkung zu OLG Karlsruhe, Urt. v. 9.5.2012 – 6 U 38/11, NJW 2012, 3315; Schnei-
der/Härting, Datenschutz in Europa – Plädoyer für einen Neubeginn. Zehn „Navigationsempfehlungen“,
damit das EU-Datenschutzrecht internettauglich und effektiv wird, CR 2014, 306; Schreibauer/Spittka, IT-
Sicherheitsgesetz: neue Anforderungen für Unternehmen, ITRB 2015, 240; Chr. Schröder, Compliance-Or-
ganisation und Whistleblowing im Konzern, in: Forgó/Helfrich/Schneider, Teil. V. Kap. 3, S. 361 ff.; Schrö-
der, Datenschutz als Wettbewerbsvorteil, ZD 2012, 193; Schütte, NFC? Aber sicher, DuD 2014, 20;
Schultze (Hrsg.), Compliance-Handbuch Kartellrecht, 2014; Schulz, Halbwertzeit bei Bestandskundenwer-
bung?, CR 2012, 686; Schuppert, § 62 – Meldepflichten, in: Conrad/Grützmacher; Schwartmann/Weiß, Ko-
Regulierung vor einer neuen Blüte – Verhaltensregelungen und Zertifizierungsverfahren nach der DS-GVO,
RDV 2016, 68; Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz?, Teil 1 bis 5, jurisPR-ITR 7/2014
Anm. 2 (Teil 1), 9/2014 Anm. 2 (Teil 2), 10/2014 Anm. 2 (Teil 3), 12/2014 Anm. 2 (Teil 4), 15/2014 Anm. 2
(Teil 5); Senftner, § 61 – Erstellung eines internen Verfahrensverzeichnisses, in: Conrad/Grützmacher; Si-
mitis (Hrsg.), BDSG Kommentar, 8. Aufl. 2014, 7. Aufl. 2011, 6. Aufl. 2006; Sofiotis, Das Recht auf Verges-
sen im Spannungsfeld von Datenschutz und Informationsfreiheit, CR 2015, 84; Solmecke/Baursch, Anmer-
kung zu LG Berlin, Urt. v. 6.3.2012 – 16 O 551/10, ZD 2012, 279; Solmecke/Taeger/Feldmann (Hrsg.),
Mobile Apps. Rechtsfragen und rechtliche Rahmenbedingungen, Berlin 2013; Specht, Ausschließlichkeits-
rechte an Daten – Notwendigkeit, Schutzumfang, Alternativen. Eine Erläuterung des gegenwärtigen Mei-
nungsstands und Gedanken für eine zukünftige Ausgestaltung, CR 2016, 288; Spindler, Die neue Daten-
schutzgrundverordnung, DB 2016, 937; Spindler, Datenschutz- und Persönlichkeitsrechte im Internet,
GRUR 2013, 996; Sreball/Hermonies, „Verkaufsförderung vs. Überwachungsdruck?“ Zur Zulässigkeit der
visuellen Kundenerfassung als Grundlage individualisierter Werbung in Verkaufsräumen, RDV 2012, 18;
Stollhof, Datenschutzgerechtes E-Government, 2012 (Diss. 2011); Sydow, Die Entwicklung des Daten-
schutzrechts im Jahr 2015: Beitrags- und Rechtsprechungsübersicht, ZD 2016, 159; Taeger (Hrsg.), Big Da-
ta & Co. – Neue Herausforderungen für das Informationsrecht, DSRI-Tagungsband 2014; Taeger, Schutz von
Betriebs- und Geschäftsgeheimnissen im Regierungsentwurf zur Änderung des BDSG, K&R 2008, 513; Tae-
ger/Gabel (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl.
2013 (Taeger/Gabel/Bearbeiter, BDSG); Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht,
5. Aufl. 2012; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014; Thüsing/Wurth (Hrsg.),
Social Media im Betrieb. Arbeitsrecht und Compliance, 2015; Ulmer/Glaus/Horras/Erben/Hartung/Bieres-
born, Teil 8. Regulierte Märkte, in: Hilber, Cloud Computing, S. 577 ff.; Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein (ULD), Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen
und Risiken für Verbraucher, 2005 (https://www.datenschutzzentrum.de/scoring/2005-studie-scoringsyste
me-uld-bmvel.pdf); Veil, DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347;
Voigt, Datenschutz in der Werbung nach Düsseldorfer Art, K&R 2014, 156; Voigt, Einwilligungsbasiertes
Marketing, K&R 2013, 371; Wäßle/Heinemann, Scoring im Spannungsfeld von Datenschutz und Informa-
tionsfreiheit, CR 2010, 410; Weichert, Big Data und Datenschutz, ZD 2013, 251; Werkmeister/Brandt, Da-
tenschutzrechtliche Herausforderungen für Big Data, CR 2016, 233; Wicker, Haftet der Cloud-Anbieter für
Schäden beim Cloud-Nutzer? Relevante Haftungsfragen in der Cloud, MMR 2014, 715; Wicker, Haftungs-
begrenzung des Cloud-Anbieters trotz AGB-Recht? Relevante Haftungsfragen in der Cloud, MMR 2014,
787; Will, Schlussrunde bei der Datenschutz-Grundverordnung?, ZD 2015, 347; Wintermeier, Rechtskon-
forme Erstellung einer Datenschutzerklärung, ZD 2013, 21; Wolff/Brink (Hrsg.), Datenschutzrecht in
Bund und Ländern, 2013 (Bearbeiter, in: Wolff/Brink (Hrsg.), Datenschutzrecht); Wybitul, Was ändert sich
mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?, ZD 2016, 293; Zahrte, Aktuelle
Entwicklungen beim Pharming – Neue Angriffsmethoden auf das Online-Banking, MMR 2013, 207; Zech,
Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137; Zech,
Durchsetzung von Datenschutz mittels Wettbewerbsrecht?, WRP 2013, 1434; Zech, Information als
Schutzgegenstand, 2012; Zeidler/Brüggemann, Die Zukunft personalisierter Werbung im Internet, CR
2014, 248; Zieger/Smirra, Fallstricke bei Big Data-Anwendungen – Rechtliche Gesichtspunkte bei der
Analyse fremder Datenbestände, MMR 2013, 418.

10 Schneider
Datenschutz Grundlagen Rz. 5 A

I. Datenschutz Grundlagen
1. Einführung
1.1 Regelungsmaterie
Gegenstand dieses Buches ist traditionell die rechtliche Behandlung der betrieblichen Da- 1
tenverarbeitung und deren Rahmenbedingungen inkl. Rechtsschutz für Software und Daten
sowie Datenschutz. Der Fokus hat sich sowohl technisch als auch rechtlich im Laufe der
Zeit wesentlich erweitert. Inzwischen ist IT-Compliance (Rz. 1398, 1542 ff.), mit „Daten-
schutz“ in Kombination mit IT-Sicherheit (Rz. 1348 ff.) eines der großen Arbeits- und
Problemfelder für Rechtsabteilung und Rechtsberater. Diese Kombination wird durch die
Neuregelung des EU-Datenschutzes in der EU-Datenschutz-Grundverordnung (DS-GVO)1
intensiviert.

IoT,2 Industrie 4.03 und Digital Single Market sind Herausforderungen für Anwender und 2
Schlagworte, die jeweils weitere Meilensteine bei der Gewinnung und Verarbeitung von In-
formationen signalisieren. Regulatorisch liegt der Schwerpunkt allerdings auf Daten (v.a.
beim Datenschutz) und Medien, etwa TM und TK. Von Daten – und vermehrt auch Infor-
mationen – als Wirtschaftsgut ist die Rede, dementsprechend auch als Schutzgegenstand.4

Wesentliche Anforderungen an die Ordnungsmäßigkeit und damit Compliance der IT im Un- 3

ternehmen ergeben sich aus dem Datenschutz und sonstigen, dem Schutz des Einzelnen die-
nenden Instituten, so insb. dem Recht auf informationelle Selbstbestimmung,5 aber auch
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer
Systeme,6 zudem das Recht auf Vergessen(werden)7 und generell dem allgemeinen Persönlich-
keitsrecht. Es kommen noch Regelungen wie das Fernmeldegeheimnis hinzu, oder auch – we-
gen der Multimedialität der ITK-Systeme – das Recht am eigenen Bild. Schwach erscheint in-
soweit im Vergleich das Datengeheimnis (§ 5 BDSG), s. aber zur Verpflichtung der Mitarbeiter
Rz. 768 (Betriebsrat).

Datenschutz im formellen Sinne basiert auf BDSG, Spezialnormen und EU-Datenschutz- 4

Richtlinie (DS-RL)8 bzw. auf EU-Datenschutzgrundverordnung9 – meint den Schutz des Ein-
zelnen durch Schutz seiner Daten über die Regelung des Umgangs seitens Dritter mit diesen
Daten. Adressat ist die datenverarbeitende Stelle. Dass auch der Einzelne selbst zum Daten-
akteur geworden ist, berücksichtigen die formellen Regeln kaum.

Es gibt eine starke Verbindung zwischen Datenschutz und IT-Sicherheit über das Compli- 5
ance-Management bzw. -System: Die IT-Sicherheit ist einerseits im Interesse des Unterneh-
mens als ein Teil eines Compliance-Systems zu sehen. Eine sichere und rechtskonforme IT-

1 Die DS-GVO trat am 25.5.2016 in Kraft und gilt unmittelbar ab 25.5.2016, Art. 99 DS-GVO.
2 Internet der Dinge, s. etwa Bericht der FTC https://www.ftc.gov/system/files/documents/reports/fede
ral-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iot
rpt.pdf (6.10.2015); Kommission: MMR-Aktuell 2016, 377802; Art. 29-Gruppe: Chancen und Risiken
für das Internet der Dinge, ZD-Aktuell 2014, 04354.
3 Auch M2M, machine to machine, s. Grünwald/Nüßing, MMR 2015, 378 zu „Industrie 4.0“ und den Im-
plikationen.
4 Grundlegend Zech, Information als Schutzgegenstand, 2012.
5 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419; Maisch, Informationelle Selbstbestimmung
in Netzwerken: Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Compu-
ting und Facebook. (Internetrecht und Digitale Gesellschaft) (21.5.2015).
6 Als Teil des Allg. Persönlichkeitsrechts BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, s. Rz. 36.
7 EuGH v. 13.5.2014 – C-131/12 (Google Spain), und dazu z.B.Spindler, JZ 2014, 981.
8 Richtlinie 95/46/EG (v. 24.10.1995) zum Schutz natürlicher Personen bei der Verarbeitung personenbe-
zogener Daten und zum freien Datenverkehr (EG-Datenschutz-RL), oft kurz DS-RL.
9 Die DS-GVO tritt gem. Art. 99 mit unmittelbarer Wirkung am 25.5.2018 in Kraft und löst die DS-RL
ab, s. Rz. 492 ff.

Schneider 11
 A Rz. 6 Datenschutz und IT-Management

Infrastruktur ist auch im Hinblick auf Gesellschafts- und Aktienrecht geboten. Hinzu
kommt das eigene Interesse des Betriebs an nachhaltigem Bestand. Andererseits ist die IT-
Sicherheit in starkem Maße durch die Anforderungen des Datenschutzes zum Schutze der
Mitarbeiter und Dritter geprägt (§ 9 BDSG und Anlage hierzu, Art. 17 DS-RL). Sicherheits-
anforderungen im eigenen Interesse des Betriebs ergeben sich aber auch über §§ 17 UWG,
97 ff. UrhG, 202a ff. StGB (s.a. E.) und Geheimhaltungsvorschriften, etwa § 203 StGB.

6 Speziell die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre
nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSI-KritisV10 angemessene orga-
nisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbar-
keit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme,
Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betrie-
benen Kritischen Infrastrukturen maßgeblich sind, § 8a Abs. 1 Satz 1 BSiG.11 Dazu gibt es
noch eine Verordnung, die allerdings ihrerseits noch etwas allg. bleibt.12 Entsprechende Re-
gelungen werden von der EU-Richtlinie über Netz- und Informationssicherheit (NIS) erwar-
tet.13

7 Eine besondere Herausforderung ist angesichts ständig neuer Regeln und Geschäftsmodelle
der „Rechtskonforme Onlineshop“. Zwischen Verbraucherschutz bei E-Commerce (s.
Rz. 956 ff.) und Datenschutz gibt es sowohl innerhalb des Datenschutzes als auch ansons-
ten, etwa in Form der richtigen Darstellung und beweiskräftigen Ausführungen der elektro-
nischen Willenserklärung,14 elektronischen Informationen etwa i.S. der Widerrufsbelehrung
oder der Impressumspflichten, der Bestätigung i.S.v. § 312e BGB u.ä. zahlreiche Querverbin-
dungen bzw. spezielle Ausprägungen.

8 Die Regelung der unverlangten Werbung und deren Regelung basieren mehr auf dem all-
gemeinen Persönlichkeitsrecht, als auf formellem Datenschutz. Dennoch sollten die dog-
matischen Querverbindungen beachtet werden. Dies betrifft etwa die Frage wirksamer Ein-
willigung bei Datenverarbeitung und Werbung sowie die Belehrung zum Widerruf.15

9 Schon vom GG her ist Totalerfassung16 verboten. Diese droht mittelbar über Erhaltung und
Auswertung der Datenspuren i.V.m. Big Data Technologien.17 U.a. deshalb ist auch die an-
lasslose Datenspeicherung (im öffentlichen Bereich) bis auf Ausnahmen verboten.18 Total-
erfassung (Rundumerfassung) wurde v.a. im öffentlichen Bereich als Gefährdung gesehen.19

10 Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz v. 22.4.2016 (BGBl. I
S. 958). S. zur Verordnung Spindler, CR 2016, 297, und Rz. 1348 zur IT-Sicherheit.
11 Text gilt seit 25.7.2015 (BGBl. I S. 1324); zum IT-SicherheitsG s. Rz. 1348 ff. (1409 ff.); die BSI-KritisV
ist am 13.4.2016 beschlossen worden, wurde am 22.4.2016 ausgefertigt und ist gültig ab 3.5.2016.
12 Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes v. 13.4.2016: „Das Kabinett hat heute
dem ersten Teil der Rechtsverordnung zur Umsetzung des IT-Sicherheitsgesetzes zugestimmt. Die Ver-
ordnung regelt, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekom-
munikation sowie Wasser und Ernährung unter das IT-Sicherheitsgesetz fallen.“ Quelle: https://
www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_kritisvo_13042016.html.
13 Zum Entwurf s. Gercke, CR 2016, 28. S.a. zu Datensicherheit als datenschutzrechtlicher Anforderung
und Abdingbarkeit die Disk.: Lotz/Wendler, CR 2016, 31; und Franck, CR 2016, 238.
14 Zur Beweiskraft elektronischer Dokumente s. Klein, jur-pc Web-Dok. 198/2007.
15 Zu den Anforderungen an Widerrufsbelehrung s. z.B. schon OLG Frankfurt v. 9.5.2007 – 6 W 61/07:
Scrollkasten mit nur geringer Größe; s.a. B Rz. 301; s. zu Einwilligung Rz. 359 ff.
16 S.a. BGH v. 15.5.2013 – XII ZB 107/08, NJW 2013, 2668 zur Bedeutung einer Rundumüberwachung
für die informationelle Selbstbestimmung und die Verwertung von Beweisen, dazu Hausen/Haußlei-
ter, NJW 2013, 2671; BVerfG v. 11.5.2007 – 2 BvR 543/06 zu § 100c.
17 S.z.B. Koch, ITRB 2015, 13; Werkmeister/Brandt, Datenschutzrechtliche Herausforderungen für Big
Data, CR 2016, 233.
18 S. z.B. BVerfG v. 2.3.2010 – 1 BvR 256/08 und weitere, m. Anm. Heun, CR 2010, 232.
19 S. zum abstrakten Ansatz bei GPS (konkret verneint) BVerfG v. 12.4.2005 – 2 BvR 581/01, CR 2005,
569; s. a. OLG Koblenz v. 30.5.2007 – 1 U 1235/06, jur-pc 84/2008 – Rechtswidrigkeit einer verdeckten
privaten Überwachung (Detektei) mittels GPS-Ortungsgerät: „Hierin lag nicht nur …, sondern … auch

12 Schneider
Datenschutz Grundlagen Rz. 12 A

Mindestens gleich stark ist die Gefahr im nicht-öffentlichen Bereich durch die starke Durch-
dringung von Arbeitsplatz und Privatleben mit IT und TK (pervasive computing), manchmal
kurz „Ubiquitous Computing“20 genannt. Die Totalerfassung als Vollbild des Einzelnen ist
grds. zu vermeiden. Schon volle Bewegungsbilder gelten als unzulässig.21 Die Frage ist aller-
dings, wann die Grenze dazu erreicht ist.22 Möglicherweise ist dies bei Big Data und Profiling
der Fall. Den Gefahren des Profiling versucht die DS-GVO entgegenzuwirken, s. Rz. 666 ff.

Das Konzept, wie den Gefährdungspotentialen am besten zu begegnen sei, steht allenfalls 10
theoretisch zur Diskussion. Praktisch hat sich der ursprünglich als Errungenschaft zu wür-
digende „Datenschutz“ als Datenverkehrsrecht ohne materiell-rechtlichen Gehalt als die
gegenüber den modernen Herausforderungen denkbar unpassende und zerklüftete Konzepti-
on erwiesen. Dies hatte schon das BVerfG insoweit erkannt, als es immerhin die Ebene
wechselte, von Daten zu Information, und die Notwendigkeit der Ausdehnung der Phasen
der Verarbeitung gesehen hat, etwa der Erhebung, die damals noch nicht vom BDSG erfasst
war.23

Vom Wortlaut der Datenschutzregeln ist Datenbevorratung verboten. Sie entbehrt ohne ge- 11
sonderte rechtliche Regelung der Erforderlichkeit.24 Big Data basiert auf zweckfreier Bevor-
ratung bzw. Zweckentfremdung der Daten, allerdings scheinbar weitgehend anonymisier-
bar.25 Die Ergebnisse sind ggf. datenschutzrechtlich hoch-relevant, aber nicht adäquat
geregelt, v.a. was die Heimlichkeit betrifft. Mit Scoring verhält es sich ähnlich, es geht um
Prognosedaten, die aus vorgehaltenen Daten stammen. Scoring hat immerhin eine ansatzwei-
se Regelung im BDSG erhalten, s. Rz. 99. Weitere Gefährdungspotenziale ergeben sich aus
den Sozialen Netzwerken, dem Marketing mit Targeting,26 als Auswertung i.R.v. Big Data
u.Ä. Predicting und Redlining sind technisch simple Formen der unbemerkten Diskriminie-
rung, s.a. Rz. 97 ff.

1.2 Säulen des Schutzes des Betroffenen

Grds. lassen sich die Regelungskonzepte danach einteilen, welche Art von Schutzgut sie fo- 12
kussieren, insb. ob sie etwa eine materiell-rechtliche Ausgestaltung oder eine Verfahrens-
ordnung „richtigen“ Umgangs mit dem Schutzobjekt oder Sanktionen regeln. Materiell-
rechtlich ist etwa zu nennen das „Allgemeine Persönlichkeitsrecht“, dabei die Sphären der
Privat- und der Intimsphäre. Dazu gehört auch die private Lebensführung, Entfaltungsfrei-

ein – rechtswidriger – Eingriff in das grundrechtlich geschützte Recht auf informationelle Selbst-
bestimmung … Die systematische Observation einer Person zum Zwecke einer gleichsam lückenlo-
sen ‚Durchleuchtung ihrer (öffentlichen) Lebensumstände‘ betrifft zwar nicht den unantastbaren Kern-
bereich privater Lebensgestaltung (BVerfG NJW 2005, 1338, 1340), beeinträchtigt gleichwohl aber den
Schutzbereich des Grundrechts …“ (m.w.N.).
20 S. dazu TAUCIS-Studie S. 11; Hornung, CR 2007, 88, 94. S.a. Hornung, MMR 2004, 3, zu Konflikt zwi-
schen Datenpool und Recht auf informationelle Selbstbestimmung. Zu (neuen) Anforderungen an eine
Modernisierung des Datenschutzrechts aufgrund gewachsener Gefahren: Roßnagel, MMR 2005, 71.
21 Noch nicht erreicht bei Peilsender i.V.m. GPS zwecks Strafverfolgung, BVerfG v. 12.4.2005 – 2 BvR
581/01, CR 2005, 569, und BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496 – Akustische Wohnraum-
überwachung, s.a. Rz. 31.
22 BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496, 500: wenn sich die Überwachung über längere Zeit
erstreckt und nahezu lückenlos alle Bewegungen und Lebensäußerungen registriert werden.
23 BVerfGE 65, 1 Recht auf informationelle Selbstbestimmung.
24 S. zu Anforderungen klarer Regelung für öffentlichen Sektor bei automatisierter Kfz-Kennzeichen-
erfassung BVerfG v. 11.3.2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505; s.a. zu den Datenspu-
ren Rz. 432 f.
25 S. zur Frage, ob Big Data zum Umdenken zwingt Katko/Babaei-Beigi, MMR 2014, 360; zur daten-
schutzrechtl. unlösbaren Zweckfreiheit Koch, ITRB 2015, 13; Werkmeister/Brandt, Datenschutzrecht-
liche Herausforderungen für Big Data, CR 2016, 233.
26 Härting, Internetrecht, Kap. B. Rz. 264.

Schneider 13
 A Rz. 13 Datenschutz und IT-Management

heit und Recht auf informationelle Selbstbestimmung. Das BDSG erfasst über das Verbots-
prinzip auch die Sozial-/Alltagssphäre.

13 Als Verfahrensordnung ohne echtes Schutzgut blieb das BDSG wie auch die DS-RL auf dem
Stand des Prototyps. Es regelt den Umgang mit personenbezogenen Daten. Die Landesdaten-
schutzgesetze hingegen haben zum Teil das Recht auf informationelle Selbstbestimmung
inkorporiert, z.B. bereits als Aufgabe das DSG NW in § 1: „Aufgabe dieses Gesetzes ist es,
den Einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten
durch öffentliche Stellen in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst
über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbst-
bestimmungsrecht).“ Mit der DS-GVO wird dieses Recht weitgehend, außer da, wo Bereichs-
ausnahmen greifen, entfallen, s. zur DS-GVO Rz. 492 ff.

14 Sanktionen sind etwa Skandalisierung, Haftung für Schäden und Bußgelder. Interessant wä-
re v.a. die Pflicht zum Ersatz immaterieller Schäden. An einer expliziten Regelung fehlt es
bislang. Strafrechtliche Sanktionen implizieren Tatbestände, die solche Sanktionen aus-
lösen, also Regelungen materiell-rechtlicher oder verfahrensmäßiger Art.

1.2.1 Allgemeines Persönlichkeitsrecht, Privatsphäre

15 Das allgemeine Persönlichkeitsrecht steht nicht nur neben dem Datenschutzrecht, sondern
hat auch für dieses wichtige Funktionen. Zum einen dient das Persönlichkeitsrecht bei der
Zweckbestimmung als zu wahrendes Schutzgut (§ 1 Abs. 1 BDSG). Zum anderen greift § 823
BGB als Haftungsnorm, was für die Erlangung des Ersatzes ggf. auch immateriellen Schadens
wichtig ist, nachdem § 7 BDSG insoweit keine Anspruchsgrundlage bietet.27 Allerdings
„passt“ die Dogmatik vom allgemeinen Persönlichkeitsrecht v.a. hinsichtlich der so ge-
nannten Persönlichkeitssphären nicht so recht zum Grundansatz des Datenschutzrechts,
nämlich der so genannten Relativität der Privatsphäre28 und damit letztlich der Unmöglich-
keit,
– generell Daten bestimmten Sphären zuzuordnen und
– Daten pauschal bzw. generell nach Sensitivitätsgraden abzustufen.29

16 Deshalb muss jeweils im Einzelfall die Abwägung zwischen den Belangen des Betroffenen,
v.a. der Stärke des Eingriffs in dessen Persönlichkeitsrecht einerseits und den Interessen der
DV-Stelle andererseits erfolgen. Dazu müssen die beiden Interessensphären nicht nur ins
Verhältnis gesetzt, sondern auch jeweils fallbezogen abgestuft werden. Dabei wird das Sphä-
renmodell v.a. noch zur Bestimmung des – eigentlich – unantastbaren Innenbereichs der In-
timsphäre herangezogen.30 Für die im Bereich des Datenschutzes gefährliche Tendenz, den
Betroffenen im Bereich seiner Selbstentäußerungen weniger zu schützen, ist zudem die Rspr.
aus dem Bereich des Persönlichkeitsrechts und dessen Sphären eine gewisse Schranke. So ist
z.B. die Verwertung eines mittels akustischer Überwachung aufgezeichneten Selbstgesprächs
eines Angeklagten zumindest insoweit verwehrt, als dieses dem durch Art. 13 Abs. 1 GG
i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG geschützten Kernbereich zuzurechnen ist.31

27 S.a. BeckOK DatenSR/Quaas BDSG § 7 Rz. 66; im Einzelnen s. Rz. 384 ff.; bei Berichtigung u.a. Rech-
ten des Betroffenen aus § 35 BDSG soll es sich dagegen um abschließende Regelungen handeln, s. Neu-
ner, JuS 2015, 961 (963) m. Nachw. in Fn. 29.
28 Steinmüller u.a., Datenschutzgutachten, BT-Drs. IV/3286, S. 586.
29 Es gibt kein für sich belangloses Datum: BVerfGE 65, 1. S. aber zu Besonderen Arten von Daten
Rz. 193 ff.
30 S. zur teilweisen Neu-Gestaltung BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822; zum Stufenkon-
zept i.V.m. KunstUrhG s. Raue, Persönlichkeitsrecht, 1997.
31 BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266: Krankenzimmer als vor akustischer Wohnraumüber-
wachung geschützter Kernbereich. S. zum Kernbereich auch BVerfG v. 20.4.2016 – 1 BvR 966/09, 1
BvR 1140/09 – BKAG, v.a. Rz. 121, BeckRS 2016, 44821.

14 Schneider
Datenschutz Grundlagen Rz. 19 A

Dass diese Sphäre aber auch schnell verlassen wird, zeigt die Tagebuch-E.: Ausdrücklich be- 17
fasst sich der BGH32 auch mit der bekannten Tagebuch-E., hier des BVerfG, die darauf abstell-
te, dass der dortige Angeklagte seine Gedanken, die dem innersten Kernbereich zugewiesen
sind, geäußert hatte, und zwar nur in der Form, dass er sich seinem Tagebuch anvertraute.
Dies reichte – bei Stimmengleichheit – dazu, dies nicht mehr als zu der Sphäre zugehörig an-
zusehen, innerhalb derer der Einzelne diesen Kernbereich bzw. diesen Innenbereich selbst be-
herrscht.33

Die Argumentation liegt auf der Hand: Immer, wenn sich jemand seiner auch vielleicht in- 18
timsten Gedanken in der Form entäußert, dass er diese einem Medium, sei dies ein Ta-
gebuch, erst recht, wenn es sich um eine Datei handelt, begibt, verliert er praktisch diesen
absoluten Schutz. Dies deckt sich damit, dass das BVerfG auf die Kommunikation mit ande-
ren Personen und deren Umstände abstellt.34 Infolge dessen ist in einer medialen Welt der
Kernbereich kaum mehr erkennbar bzw. handhabbar, weil sich auch die intimsten Angaben,
etwa im Bereich Krankheit, Sexualverhalten u.Ä., irgendwie in Kommunikation nieder-
schlagen.35 Das Ausforschen der Person und deren Verhältnisse, Befindlichkeiten usw. kann
eine Persönlichkeitsrechtsverletzung darstellen.36 Diesen Aspekt behandelt das BDSG nur
in Ansätzen, etwa in §§ 6b und 6c BDSG.

1.2.2 BDSG und Spezial-Datenschutznormen – Daten als Schutzgut

Sowohl die DS-RL als auch das BDSG, dieses bereits seit 1977, regeln als Schutzobjekt, wenn 19
nicht als Schutzgut die personenbezogenen Daten.37 Der Zweck der Regelung des Umgangs
mit den personenbezogenen Daten ist nach § 1 Abs. 1 BDSG wiederum, den Einzelnen davor
zu schützen, dass er dadurch in seinem Persönlichkeitsrecht beeinträchtigt wird. Dadurch
wird aber weder das Persönlichkeitsrecht noch das ohnehin ungeschriebene Recht auf infor-
mationelle Selbstbestimmung zum Schutzgut. Dies wird allerdings an zahlreichen Stellen
stets so behauptet, ohne dass berücksichtigt wurde, dass der Gesetzgeber längst bei den zahl-
reichen Novellen das Recht auf informationelle Selbstbestimmung hätte explizit berücksich-
tigen müssen, wenn es denn das Schutzgut sein sollte. Das Recht auf informationelle Selbst-
bestimmung – s. Rz. 97 ff. – wurde Ende 1983 vom BVerfG postuliert, und bei den zahlreichen,
auch größeren Novellierungen, etwa 1990, nicht berücksichtigt. Allerdings haben viele Lan-
desdatenschutzgesetze die Konsequenzen gezogen. Die Vorsicht beim BDSG erklärt sich wohl
damit, dass anfangs nicht klar war, ob das Recht auf informationelle Selbstbestimmung auch
im nicht-öffentlichen Bereich gelten würde. Aber auch, als dies längst klar war, wurde dieses
Institut nicht aufgenommen.

32 BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266.

33 BVerfG v. 14.9.1989 – 2 BvR 1062/87, NJW 1990, 563. S. aber Beschlagnahme eines Tagebuchblattes
als unverhältnismäßigen Eingriff in das allgemeine Persönlichkeitsrecht: Berliner VerfGH v. 24.1.2003
– VerfGH 39/99, NJW 2004, 593.
34 S. etwa zum „großen Lauschangriff“ BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99, CR 2004, 343;
„Das Recht auf informationelle Selbstbestimmung schützt im Herrschaftsbereich des Teilnehmers ge-
speicherte Telekommunikationsverbindungsdaten“, BVerfG v. 2.3.2006 – 2 BvR 2099/04; v. 29.6.2006
– 2 BvR 902/06, MMR 2007, 169 zur Beschlagnahme und Auswertung von gespeicherten E-Mails auf
dem Server des Providers; Rz. 1341 ff.
35 Zu dieser Entäußerungs-Dynamik s.a. BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266 unter Verweis
auf BVerfG v. 3.4.2004; zu Internetforen LG Berlin v. 25.10.2007 – 27 O 602/07, CR 2008, 402 (Ls.):
Mit Offenlegung von Umständen seines Privatbereichs im Internet zeigt sich der Einzelne bei Identifi-
zierbarkeit einverstanden mit der Öffnung, begibt sich insoweit des einsprechenden Teils seiner Pri-
vatsphäre.
36 S. Neuner, JuS 2015, 961.
37 Ursprünglich war von Persönlichkeit oder Persönlichkeitsrecht o.Ä. überhaupt nicht die Rede. § 1 Auf-
gabe und Gegenstand des Datenschutzes besagte nur: „Aufgabe des Datenschutzes ist es, durch den
Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung, Übermittlung, Veränderung
und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen ent-
gegenzuwirken.“

Schneider 15
 A Rz. 20 Datenschutz und IT-Management

20 Jedenfalls regelt das BDSG den Umgang mit personenbezogenen Daten als Schutz- und Re-
gelungsobjekt und entspricht so auch Art. 8 GRCh. Dies gilt auch für den Bereich des Scha-
densersatzes, wo eine Gelegenheit bestanden hätte, das allgemeine Persönlichkeitsrecht (s.a.
Rz. 15), einzubringen. In § 7 Satz 1 BDSG ist nur von Phasen des Umgangs mit personenbe-
zogenen Daten in der Form unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nut-
zung die Rede mit der Folge, dass dem Betroffenen ein Schaden zugefügt wird. Man wird das
BDSG insofern aber als Schutzgesetz mit der Folge eines Schadenersatzanspruches nach § 823
Abs. 2 BGB – die übrigen Voraussetzungen unterstellt – zu sehen haben.38 Das Verhältnis zum
allgemeinen Persönlichkeitsrecht lässt sich am besten so beschreiben, dass Ziel und Zweck
des Datenschutzes der Schutz des allgemeinen Persönlichkeitsrechts bzw. der Schutz der Per-
sönlichkeit sind.39

21 Die Frage nach dem Schutzgut könnte insofern auch als reine Wortklauberei abgetan wer-
den, als völlig offensichtlich der Umgang mit den personenbezogenen Daten sehr breit ge-
regelt ist und dabei auch, welchem Zweck dies dient. Das eigentliche Problem entsteht erst
i.R.d. Mechanik des gesamten Gesetzeswerkes, aber auch der Spezial-Datenschutzregeln, so-
weit dort nicht materiell-rechtliche Kategorien (zusätzlich) eingeführt werden. Die „infor-
mationelle Selbstbestimmung“, s. Rz. 97 ff., wäre eine solche materiell-rechtliche Rechts-
position, eine Konkretisierung des allgemeinen Persönlichkeitsrechts im Hinblick auf die
Gefährdungslagen aus der Informations- und Kommunikationstechnik. Damit ist der Begriff
der Information aber eigentlich für eine ganz andere Position verbraucht, nämlich eine in-
haltliche Ausgestaltung des Persönlichkeitsschutzes bei der Handhabung. Daten wären dazu
ins Verhältnis zu setzen, Information der Oberbegriff.

22 § 3 Abs. 1 BDSG definiert aber personenbezogene Daten als „Einzelangaben über persönli-
che oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“,
ein Umstand, der zu weitreichenden Diskussionen geführt hat. Auch praktisch 40 Jahre
nach BDSG-Verabschiedung (Ende 1976) ist nicht klar, wann genau personenbezogene Daten
vorliegen. Dies ist im Hinblick auf das Verbotsprinzip und die strafrechtliche Bewehrung ei-
gentlich eine dogmatische Katastrophe. Die Datenschutz-Richtlinie hat hieran wenig geän-
dert. Sie hat eher für mehr Verwirrung gesorgt. Sie erklärt i.R.d. Definition von personenbe-
zogenen Daten diese als „alle Informationen“, sodass ein Unterordnungsverhältnis entsteht,
das dem Recht auf informationelle Selbstbestimmung glatt widerspricht. Danach wären die
Informationen sozusagen die „Pixel“, aus denen sich das Bild der personenbezogenen Daten
zusammensetzt, Daten sind der Oberbegriff.

23 Das Recht auf informationelle Selbstbestimmung (RaiSB) geht aber davon aus, dass die Da-
ten eigentlich die Teilchen („Pixel“) sind, aus denen sich die Information zusammensetzt.
Die beiden Regelungsmaterien passen also eigentlich vom Schutzgedanken her nicht zu-
sammen. Dieser Fehler in der Konstruktion, Datenschutz berge auch das Recht auf informa-
tionelle Selbstbestimmung, wird als Problem selten praktisch relevant, weil es – dank Ver-
botsprinzip – eine überbordende Fülle von Spezialregelungen gibt, sodass kaum Bedarf an
der Synchronisation beider Bereiche besteht. So ist dieses Recht eher Interpretationshilfe,
ähnlich wie der EuGH verstärkt auf Art 7 GRCh abstellt (nicht auf Datenschutz, Art. 8
GRCh), wenn es um substantielle Fragen geht (s.a. Rz. 43). Zudem hat die Rspr. mit Hilfe des
RaiSB das Terrain des Schutzes gegenüber anderen Grundrechten abgesteckt, so etwa BGH –
spickmich.de.40 Dort wurde ein Mangel des BDSG durch eine verfassungskonforme Interpre-
tation des § 29 Abs. 1 BDSG übertüncht: Es hat „somit eine Abwägung zwischen dem Schutz
des Rechts auf informationelle Selbstbestimmung der Klägerin nach Art. 2 Abs. 1 GG i.V.m.
Art. 1 Abs. 1 GG und dem Recht auf Kommunikationsfreiheit nach Art. 5 Abs. 1 GG zu er-

38 So a. Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 3.

39 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 7.
40 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593; Nichtannahme: BVerfG v. 16.8.2010 – 1 BvR
1750/09.

16 Schneider
Datenschutz Grundlagen Rz. 26 A

folgen, …“41 und „Ob es sich hierbei um schutzwürdige Belange handelt, die der Datenerhe-
bung und -speicherung durch die Beklagten entgegenstehen, muss durch eine Abwägung
mit der ebenfalls verfassungsrechtlich gewährleisteten Kommunikationsfreiheit der Beklag-
ten und der Nutzer (Art. 5 Abs. 1 GG) bestimmt werden.“42 Relevanz bekommt dieser As-
pekt v. a. durch moderne Verarbeitungsformen, die noch mehr als bei Daten die Trennung
von Inhalt und Umgang damit vornehmen, also v. a. die Erzeugung von Metadaten, die Tren-
nung zwischen dem „Datenhaufen“ i.R.v. Big Data und in Analyseprogrammen zum Zwecke
der Identifizierung und Ausspähung bis hin zur Vorhersage des Verhaltens.

Zu erinnern ist allerdings, dass mit der DS-GVO das RaiSB als Korrektiv und Surrogat oder 24
auch Ersatz für fehlende Regelungen wie auch das Grundrecht auf Gewährleistung der Integri-
tät und Vertraulichkeit informationstechnischer Systeme entfallen, s. zu diesen Instituten
Rz. 27 ff.

Eng mit der Konzeption der Daten als Schutzgut geht die Orientierung an Phasen der Daten- 25
verarbeitung – „Erhebung“, „Verarbeitung“ und „Nutzung“ (§ 3 Abs. 2 BDSG) und – jeweils
definiert – „Erheben“ (§ 3 Abs. 3 BDSG), „Verarbeiten“ mit „Speichern“, „Verändern“, „Über-
mitteln“ sowie „Sperren“ und „Löschen“ (§ 3 Abs. 4 BDSG) einher. Diese Phaseneinteilung
ist überholt, weil Datenschutz umfassend sein soll und nicht mehr auf besondere Gefähr-
dungslagen abstellt,43 weshalb sämtliche möglichen Phasen der Verarbeitung z.B. von der DS-
GVO (Rz. 492 ff.) erfasst sind. Allerdings knüpfen noch einige Rechtspositionen an bestimmte
Phasen an, so etwa die Frage, ob die Daten direkt beim Betroffenen erhoben werden. S. zur In-
formationspflicht nach Art. 13 DS-GVO Rz. 547.

Bei dieser Orientierung der gesamten Gesetzes-Konzeption, die weitgehend auch für die DS- 26
RL zutrifft, nehmen sich einzelne Regelungen, die bestimmte Schutzbereiche ansprechen
bzw. vor den Folgen bestimmter Datenverarbeitung bewahren wollen, wie Fremdkörper aus.
Dies betrifft etwa im BDSG § 6a BDSG Automatisierte Einzelentscheidung – ansatzweise,
aber differenzierter auf die DS-GVO überkommen, s. Rz. 553 f.; § 6b BDSG Beobachtung
öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (v.a. Video, s.a.
Rz. 426 f.) – die Videoüberwachung wird in der DS-GVO nicht explizit geregelt, jedoch von
Art. 6 Abs. 1 Satz 1 lit. f DS-GVO erfasst –, § 6c BDSG Mobile personenbezogene Speicher-
und Verarbeitungsmedien sowie § 28b BDSG Scoring. In diesen Fällen ist entweder über-
haupt kein personenbezogenes Datum ersichtlich, außer durch Zusatzinformation, etwa
was Bilder betrifft oder es geht letztlich um den Schutz vor der Anwendung von Program-
men, wie etwa bei Scoring. Diese Thematik könnte sich über das Profiling in der DS-GVO
erheblich ausdehnen, da dieses im Zshg. mit der automatisierten Einzelentscheidung – der-
zeit § 6a BDSG – dort besonders in Abstufungen, die § 6a BDSG nicht vorsieht, geregelt ist,
s. Rz. 553 ff.

41 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 27 – spickmich.de, Rz. 42 „… Indessen ist inso-
weit eine verfassungskonforme Auslegung der Vorschrift geboten, die das Grundrecht der Meinungs-
freiheit gebührend berücksichtigt.“ Zu Dritt-Interessen und Abwägung s. grundlegend Gallwas, in:
Conrad/Grützmacher, § 26 Rz. 25 ff., 73 ff.
42 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 28 – spickmich.de.
43 Dass damit das Verbotsprinzip hinfällig ist, weil es entsprechend der Ausbreitung des Umgangs mit
personenbezogen Daten umfassend Datenverarbeitung und Kommunikation auf deren Basis verbietet,
sei kurz vermerkt. Dieser Aspekt, das Verbot als Ausnahme gegenüber besonderen Gefährdungen zu
sehen oder in einen Abwägungsrahmen zu stellen, wird völlig verdrängt, s. etwa Spindler, DB 2016,
937. Als Versuch zu Impulsen für eine Modernisierung des „Datenschutzes“ s. Schneider/Härting, in:
Redeker/Hoppen, DGRI Jahrbuch 2011, S. 15 ff.; zu den Schranken der Informationsfreiheit mit Grund-
sätzen für einen „Informationellen Abwägungsvorbehalt“ s. Gallwas, in: Conrad/Grützmacher, § 26
(Rz. 25 ff., 73 ff.), und Gallwas, NJW 1992, 2785.

Schneider 17
 A Rz. 27 Datenschutz und IT-Management

1.3 Recht auf informationelle Selbstbestimmung und Grundrecht auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme
27 Das Recht auf informationelle Selbstbestimmung und das Datenschutzrecht (sowohl BDSG
als auch DS-RL sowie nun DS-GVO)44 sind geprägt vom Verbotsprinzip. Daran ändert auch
der risikobasierte Ansatz in der DS-GVO nichts.45 Während jedoch das Recht auf informa-
tionelle Selbstbestimmung unmittelbar nur für den öffentlichen Bereich gilt, ist das Daten-
schutzrecht im privaten Bereich unmittelbar anwendbar. Die Wirkung dieses Verbotsprin-
zips ist in der Praxis eine völlige Durchlöcherung des Schutzes durch „Ausnahmen“, also
Regelungen zur Zulässigkeit.46

28 Das RaiSB besagt „Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz
des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner
persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG i.V.m.
Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen,
grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestim-
men.“47

29 Das RaiSB stellte eine Verstärkung und zugleich Ergänzung, v.a. Flexibilisierung des formel-
len Datenschutzes dar. Der Datenschutz „rückte“ insoweit in Verfassungsrang. Auch wo das
BDSG nicht galt, griff nun dieses Grundrecht. Durch die stärkere inhaltliche Ausgestaltung –
ähnlich der „Privatsphäre“ – statt Phasen war es wesentlich anpassungsfähiger und zudem ei-
ne Auslegungshilfe.48

30 Die zentrale Maßgabe des „Volkszählungsurteils“ des BVerfG war, dass dem Einzelnen, und
zwar unter den Bedingungen der modernen Datenverarbeitung, das Recht auf informationel-
le Selbstbestimmung erwächst, das ihn berechtigt, selbst über die Preisgabe und Verwendung
seiner Daten zu bestimmen sowie zu wissen, wer was über ihn weiß. Das BVerfG sah keinen
Anlass, im Einzelnen auf diese Bedingungen der modernen Datenverarbeitung näher einzuge-
hen.49
Ohne die wissenschaftliche Diskussion zur Theorie des Informationseingriffs oder der infor-
mationellen Selbstbestimmung ausdrücklich zu erwähnen,50 entwickelte das BVerfG im
Hinblick auf die Verarbeitung statistischer Daten das Institut der informationellen Selbst-
bestimmung.51 Dieses findet auch im privaten Bereich Anwendung bzw. wirkt in diesen hi-
nein. Die Rechte des Einzelnen wurden aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitet.52

31 Die Kernaussagen lauten:

– Grds. sah das BVerfG den Einzelnen in der grundrechtlich geschützten Position, selbst
über Preisgabe, Verwendung und Verbleib „seiner“ Daten zu bestimmen.

44 S. im Kontext der Diskussion zur DS-GVO z.B. Schneider/Härting, ZD 2012, 199.

45 Eine Harmonisierung sieht Veil, ZD 2016, 347; Renz/Frankenberger ZD 2015 158 zu Compliance; s.a.
Rz. 1542 ff.
46 S. Schneider, AnwBl 2011, 233; s. i.V.m. Darstellung des risikobasierten Ansatzes Veil, ZD 2015,
347.
47 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., Ls. 1 und Rz. 149 – „Volkszählungsurteil“ (BVerfGE 65, 1).
48 Etwa wenn der BGH „im Lichte der Bedeutung des Rechts auf informationelle Selbstbestimmung“
§ 203 StGB interpretiert, s. BGH v. 10.7.1991, CR 1992, 21 – Zahnarzthonorarabtretung.
49 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR
484/83, NJW 1984, 419 = BVerfGE 65, 1.
50 Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, 1973; Schwan, VerwArch 66 (1975),
120; s.a. Schwan, in: Burhenne/Perband, EDV-Recht, Loseblatt.
51 Zur ungeschriebenen Ausgestaltung des Schutzguts des § 1 BDSG durch dieses Institut s. Simitis in:
Simitis, BDSG, 8. Aufl., § 1 Rz. 25.
52 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. BVerfGE 65, 1 = NJW 1984, 419.

18 Schneider
Datenschutz Grundlagen Rz. 35 A

– Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur im über-

wiegenden Allgemeininteresse zulässig. Deshalb bedürfen solche Einschränkungen einer
entsprechenden gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normen-
klarheit genügen muss.
– Es gibt kein für sich gesehen belangloses Datum, jedenfalls nicht unter den Bedingungen
der automatischen Datenverarbeitung. Der Grund liegt in den Verarbeitungs- und Ver-
knüpfungsmöglichkeiten moderner Informationstechnologien. Um feststellen zu können,
welche persönlichkeitsrechtliche Bedeutung ein Datum hat, bedarf es der Kenntnis des
Verwendungszusammenhangs.53
– Die Freiheit des Einzelnen, hinsichtlich der Verarbeitung seiner Daten zu entscheiden,
bezieht sich also zunächst einmal auf die Preisgabe seiner Daten, dann aber auch auf de-
ren Verwendung, die generell schon begrenzt ist durch den Verwendungszusammenhang
bzw. den Zweck. Darüber hinaus soll und muss der Einzelne wissen, wer wann was über
ihn weiß bzw. welche Daten über ihn verarbeitet werden.54

Die Konsequenz war, dass das Instrumentarium und schutzrelevante Phasen um die Erhe- 32
bung und die weitere Verwendung/Nutzung der personenbezogenen Daten zu erweitern ist.
Weiter muss dem Umstand Rechnung getragen werden, dass die Verarbeitung personenbezo-
gener Daten zu anderen Zwecken durch die ursprüngliche Zwecksetzung begrenzt wird. Die
Hingabe von Daten ist also nicht eine endgültige in dem Sinne, dass der Anwender damit
machen kann, was er will. Anknüpfungstatbestand für erneute Zulässigkeitsprüfungen ist
auch die Zweckentfremdung.

Das BVerfG hat seine E. v. 15.12.1983 später nicht etwa präzisiert oder gar abgeschwächt, 33
sondern verallgemeinert und ausgebaut. Sodann hat der BGH in der Folge die Grundgedan-
ken des Rechts auf informationelle Selbstbestimmung übernommen und in dessen Lichte
seine Rspr. revidiert, sodass auch für den privaten Bereich die Wirkung des „Rechts auf in-
formationelle Selbstbestimmung“ weitgehend geklärt ist. Dies gilt auch und vielleicht be-
sonders stark für das Arbeitsrecht (zur BAG-Rspr. s. Rz. 267).

Als Zwischenergebnis kann festgehalten werden, das sich aus dem Recht auf informationel- 34
le Selbstbestimmung – negativ – ein Zweckentfremdungsverbot, – positiv – ein Zweckbin-
dungsgebot auch und gerade außerhalb des BDSG ergibt.55 Weitere Entscheidungen des
BVerfG bestätigen die Rezeption des Rechts auf informationelle Selbstbestimmung auch im
privaten Bereich. Die (un-)mittelbare Drittwirkung des Rechts auf informationelle Selbst-
bestimmung steht fest, der Anwendungsbereich und die genaue Wirkung56 sind im Hinblick
auf das „IT- Grundrecht“ im Einzelfall zu prüfen.57 So wird das Auslesen bzw. Online-Ab-
zapfen von Speicherinhalten eher unter das Integritätsgrundrecht als das RaiSB fallen. Eine
Ausdehnung und detailliertere Ausgestaltung erfolgte durch weitere Entscheidungen.58

Die Auslegung des Rechts auf informationelle Selbstbestimmung nicht nur gegenüber den 35
Gefahren bzw. Gefährdungspotentialen automatisierter Verarbeitung einerseits und auch

53 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419 (sinngemäß Ls. 1–4).
54 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419, 422.
55 BVerfG v. 15.5.1984, NJW 1984, 2271 – Flickausschuss; i.V.m. BVerfG v. 27.6.1991, NJW 1991, 2129
(2132) – Quellensteuer.
56 Völlig ablehnend aber z.B. Wente, NJW 1984, 1446; Müller/Wächter, Der Datenschutzbeauftragte,
1991, S. 5.
57 BVerfG v. 27.2.2008 – 1 BvR 370/07, CR 2008, 306; dazu und zu den Abgrenzungsschwierigkeiten s.
Hauser, Das IT-Grundrecht, 2015. S.a. Rz. 36 ff.
58 Z.B. In Abgrenzung BVerfG v. 27.2.2008 – und dazu Hoffmann-Riem, JZ 2008, 1009 (1019) zu Daten-
erhebungen einerseits und Infiltration andererseits; BVerfG v. 24.1.2012 – 1 BvR 1299/05, Ls. 1: „In
der Zuordnung von Telekommunikationsnummern zu ihren Anschlussinhabern liegt ein Eingriff in
das Recht auf informationelle Selbstbestimmung. Demgegenüber liegt in der Zuordnung von dyna-
mischen IP-Adressen ein Eingriff in Art. 10 I GG.“

Schneider 19
 A Rz. 36 Datenschutz und IT-Management

weit hinein in den privaten Bereich andererseits ist bekannt. Die ersten Stufen dazu waren
Entscheidungen zur Bekanntmachung der Entmündigung,59 zu einer abgelehnten Pflicht ei-
nes Mieters, seine Entmündigung offenzulegen,60 und zur Anwendbarkeit des Rechts auch
auf das Schuldnerverzeichnis und die Konkursordnung.61 Für die Drittwirkung besonders
bekannt war die E. des BAG zu Personalfragebögen und deren Vernichtung.62

36 Das BVerfG hat die E. zur Verfassungswidrigkeit der Regelung des VSG NW zum heimlichen
Beobachten und sonstigen Aufklären des Internets sowie zum heimlichen Zugriff auf infor-
mationstechnische Systeme genutzt, um ein „neues“ Grundrecht zu schaffen, das die infor-
mationelle Selbstbestimmung auf den eigenen Computer und dessen Integrität überträgt63:
„Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer
Systeme.“.64 Es handelt sich um eine besondere Ausprägung des allgemeinen Persönlich-
keitsrechts.65 In der „privaten Datensphäre“ darf nicht verändert und nur unter sehr stren-
gen Anforderungen und Auflagen „abgehört“ werden (heimliche Infiltration eines informati-
onstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine
Speichermedien ausgelesen werden können).66

37 Es ist zwar nicht ganz klar, welche Gefährdungen das BVerfG nicht durch das Recht auf in-
formationelle Selbstbestimmung in den Griff bekommen hätte.67 Jedenfalls stellt das
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer
Systeme auf die modernen Techniken ab und sichert der „privaten Datensphäre“ Schutz
vom Range der Unversehrtheit der Wohnung. Die Konsequenzen für den Bereich außerhalb
des öffentlichen Sicherheitsrechts sind noch nicht abzusehen. Aufgrund einiger Äußerungen
des Gerichts darf aber angenommen werden, dass etwa folgende Wirkungen intendiert, also
bewusst und gewollt sind:

38 Die Abgrenzung zwischen Online-Durchsuchung und sog. Quellen-TKÜ führt zu unter-

schiedlichen Schutzinstituten: VoIP z.B. ist gegenüber dieser Quellen-TKÜ durch Art. 10 GG
geschützt, sodass sich die Zulässigkeit nach § 100 a StPO beurteilt.68 Erstreckt sich die Er-
mittlung nicht nur bzw. nicht mehr auf Daten der laufenden Kommunikation, würde eine On-
line-Durchsuchung vorliegen und mithin sich die Zulässigkeit nach dem „neuen“ Grund-
recht beurteilen.69

39 Es hätte nahegelegen, von der Ausprägung des Instituts beim BVerfG, „Recht auf informatio-
nelle Selbstbestimmung“ auch eine Eigentumsposition des Betroffenen anzunehmen.70 Das
Gericht selbst bereits hatte aber dem vorgebaut, s.a. Rz. 31. In der Zeit danach hat sich im-
mer wieder die Frage gestellt, inwieweit nicht den Betroffenen eine Eigentums-ähnliche Po-
sition zustehen müsste, damit einerseits seinem Selbstbestimmungsrecht Rechnung getra-
gen wird, andererseits der Tatsache, die immer deutlicher wurde, dass die Daten eine Art

59 BVerfG v. 9.3.1988 – 1 BvL 49/86, CR 1989, 51.

60 BVerfG v. 11.6.1991 – 1 BvR 239/90, CR 1992, 268.
61 BVerfG v. 25.7.1988 – 1 BvR 109/85, CR 1989, 528.
62 BAG v. 6.6.1984 – 5 AZR 286/81, Rz. 30; zur Entscheidung und deren Wirkung nach 10 Jahren s. a. Au-
lehner, CR 1993, 446.
63 BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 m. Anm. Bär, 325 = CR 2008,
306; dazu umfassend Hauser, Das IT-Grundrecht. Schnittfelder und Auswirkungen, 2015.
64 BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Ls. 1.
65 BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Rz. 166.
66 BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Ls. 2 Satz 1.
67 BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Rz. 168; s. zur stärkeren Heran-
ziehung Hauser, Das IT-Grundrecht, 2015, S. 290 ff.
68 Bär, MMR 2008, 325, 326 zu BVerfG v. 27.2.2008 – 1 BvR 370/07; CR 2008, 306 = MMR 2008, 315.
69 Bär, MMR 2008, 325, 326 zu BVerfG v. 27.2.2008 – 1 BvR 370/07; CR 2008, 306 = MMR 2008, 315.
70 S. z.B. Hoeren, MMR 2013, 486; s. aber Zech, CR 2015, 137 (142 ff.). Dorner, CR 2014, 617; Specht,
CR 2016, 288.

20 Schneider
Datenschutz Grundlagen Rz. 42 A

Zahlmittel wurden. Inzwischen gibt es zahlreiche Vorschläge bzw. eine umfangreichere Dis-
kussion zu dieser Frage, die wohl längere Zeit als überwiegend ablehnend im Ergebnis be-
zeichnet werden kann. Möglicherweise ändert sich dies zwischenzeitlich. Dazu ist auch ein
Beitrag gewesen, wonach die Daten ähnlich anderen Institutionen wie etwa dem Bericht am
eigenen Bild ein Recht innewohnen könnte, anderen eine „Lizenz“ daran zu gewähren und
insofern an der Verwertung zu partizipieren.71

Inzwischen wird die „Personal Data Economy“ von der Kommission gefördert,72 mit der Da- 40
ten ein Zahlungsmittel sind. Der Entwurf sieht ausdrücklich vor, dass Daten als Vergütung
angesehen bzw. zulässig sind.73 Demnach erfolgt so etwas wie eine Verfügung des Einzelnen
über „seine“ Daten im Sinne einer Lizenz o.Ä. Die Ökonomisierungs- und Ent-Territoriali-
sierungstendenz zu Daten aufseiten der Kommission bei E-Commerce steht im unkoor-
diniert erscheinenden Widerspruch zu den Behauptungen um stärkeren Datenschutz. Evtl.
erklären sich aber einige Abstriche bei der DS-GVO im Laufe der Diskussion als Hilfe für
den E-Commerce.

1.4 EU-Datenschutzrichtlinie, Charta – Regelungs-Objekt Daten

1.4.1 „Privatheit“ oder Daten
Privatsphäre vs. Personenbezogene Daten und materielles Schutzgut vs. Verfahrensordnung 41
ist eine Kurzformel für die Charakterisierung der Gegensätzlichkeit von zwei Konzepten.
Das eine ist die deutsche und europäische formale Fixierung auf Daten mit Verfahrensrege-
lung, auch in Art. 8 GRCh angelegt, das andere ein substanzieller Ansatz, der dem Bürger-
empfinden und der Rspr. zu „Persönlichkeit“ entspricht und den insofern Art. 7 GRCh evtl.
viel besser abdeckt. Dass der formale Ansatz gescheitert ist, zeigt sich allein daran, dass oh-
ne Skandal und ohne Eingriffsmöglichkeit74 allein in Deutschland mehr als 20 Millionen
auf Facebook registriert sind, noch mehr Google und Apple nutzen und jeweils die Betroffe-
nen kein Interesse äußern, die Verwendung ihrer Daten einzuschränken, allenfalls gegen-
über der Nutzung durch NSA.

Weltweit überwiegt die Orientierung an materiell-rechtlicher, substantieller Kategorie, etwa 42

angefangen bei der Resolution 68/167 der UN,75 die das „Recht auf Privatheit“ bekräftigt, bis
zu Privacy in US-amerikanischen Regelungen,76 etwa Privacy Act of 1974, Entwurf U.S. Con-
sumer Privacy Bill of Rights77 und nun „Privacy Shield“ (EU/USA) oder Australien.78 Die
Charta der Grundrechte der Europäischen Union scheint die Datenbezogenheit, die auch
schon die DS-RL 1995 ähnlich dem BDSG aufwies, in Art. 8 GRCh festgeschrieben zu haben.
Jedoch hat der EuGH sich stärker auf Art. 7 GRCh bezogen.

71 S.Kilian, Strukturwandel der Privatheit, in: Coy/Garstka (Hrsg.), Wilhelm Steinmüller zum Gedächt-
nis, 2015, 195.
72 Reiners, ZD 2015, 51.
73 Druschel/Lehmann, CR 2016, 244. Zum Entwurf einer Richtlinie über Verträge zur Bereitstellung digi-
taler Inhalte Spindler, MMR 2016, 147 (149f.): Zum Novum kostenloser digitaler Inhalte mit der Ge-
genleistung „Daten“ – allerdings auch schon im CESL enthalten, mit Verweis auf Druschel, Die Be-
handlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht, 2014, S. 48 ff.
74 S. nur OVG Schleswig v. 22.4.2013 – 4 MB 11/13, NJW 2013, 1977.
75 18.12.2013 A/RES/68/167.
76 S. zum Vergleich US/EU September 2015.: A comparison between US and EU data protection legislati-
on for law enforcement purposes (Boehm u.a.) http://www.europarl.europa.eu/RegData/etudes/
STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf) besucht zuletzt 29.4.2016; zu impacts on free-
dom and privacy im Laufe der technologischen Entwicklung s. Clarke, DuD 2016, 79.
77 Kaal/Klosek/Waleski, CRi 2012, 65 ff.
78 Privacy Act 1988; s. Helth, Persönlichkeitsschutz in Australien – Entwicklung eines eigenständigen
Right of Privacy? GRUR Int. 2006, 99.

Schneider 21
Another random document with
no related content on Scribd:
 GUTENBERG BIBLE
This book was illuminated, bound, and
completed for Henry Cremer, Vicar of
Saint Stephens, of Mayence, in the year
of our Lord, one thousand four
hundred and fifty-six, on the feast of
the Ascension of the Glorious Virgin
Mary. Thanks be to God. Alleluia.
Rubricator’s Mark at End of Second Volume of a Defective Copy in the Bibliothèque
Nationale, Paris

The copy I love best to pore over is that bound in four volumes of red
morocco, stamped with the arms of Louis XVI, in the Bibliothèque Nationale.
This perhaps is not so historical as the one De Bure discovered in the library
of Cardinal Mazarin in Paris in 1763,—three hundred years after it was
printed, and until then unknown; but the dignity of those beautifully printed
types on the smooth, ivory surface of the vellum possesses a magnificence
beyond that of any other copy I have seen. Also at the Bibliothèque Nationale
is a defective paper copy in two volumes in which appear rubricator’s notes
marking the completion of the work as August 15, 1456. Think how important
this is in placing this marvel of typography; for the project of printing the Bible
could not have been undertaken earlier than August, 1451, when Gutenberg
formed his partnership with Fust and Schoeffer in Mayence.
 GUTENBERG, FUST, COSTER, ALDUS, FROBEN
From Engraving by Jacob Houbraken (1698–1780)

To a modern architect of books the obstacles which the printer at that

time encountered, with the art itself but a few years old, seem insurmountable.
There was the necessity of designing and cutting the first fonts of type, based
upon the hand lettering of the period. As is always inevitable in the infancy of
any art, this translation from one medium to another repeated rather than
corrected the errors of the human hand. The typesetter, instead of being
secured from an employment office, had to be made. Gutenberg himself
perhaps, had to teach the apprentice the method of joining together the
various letters, in a roughly made composing stick of his own invention, in
such a way as to maintain regularity in the distances between the stems of the
various letters, and thus produce a uniform and pleasing appearance. There
existed no proper iron chases in which to lock up the pages of the type, so that
while the metal could be made secure at the top and bottom, there are
frequent instances where it bulges out on the sides.

John Fust, from an Old Engraving

From the very beginning the printed book had to be a work of art. The
patronage of kings and princes had developed the hand-lettered volumes to
the highest point of perfection, and, on account of this keen competition with
the scribes and their patrons, no printer could afford to devote to any volume
less than his utmost artistic taste and mechanical ingenuity. Thus today, if a
reader examines the Gutenberg Bible with a critical eye, he will be amazed by the
extraordinary evenness in the printing, and the surprisingly accurate alignment
of the letters. The glossy blackness of the ink still remains, and the sharpness
of the impression is equal to that secured upon a modern cylinder press.
It has been estimated that no less than six hand presses were employed in
printing the 641 leaves, composed in double column without numerals, catch
words, or signatures. What binder today would undertake to collate such a
volume in proper sequence! After the first two divisions had come off the
press it was decided to change the original scheme of the pages from 40 to 42
lines. In order to get these two extra lines on the page it was necessary to set
all the lines closer together. To accomplish this, some of the type was recast,
with minimum shoulder, and the rest of it was actually cut down in height to
such an extent that a portion of the curved dots of the i’s was clipped off.
Monographs have been written to explain the variation in the size of the
type used in different sections of this book, but what more natural explanation
could there be than that the change was involuntary and due to natural causes?
In those days the molds which the printer used for casting his types were made
sometimes of lead, but more often of wood. As he kept pouring the molten
metal into these matrices, the very heat would by degrees enlarge the mold
itself, and thus produce lead type of slightly larger size. From time to time,
also, the wooden matrices wore out, and the duplicates would not exactly
correspond with those they replaced.
In printing these volumes, the precedent was established of leaving blank
spaces for the initial letters, which were later filled in by hand. Some of these
are plain and some elaborate, serving to make the resemblance to the hand-
lettered book even more exact; but the glory of the Gutenberg Bible lies in its
typography and presswork rather than in its illuminated letters.

Germany, in the Gutenberg Bible, proved its ability to produce volumes

worthy of the invention itself, but as a country it possessed neither the
scholars, the manuscripts, nor the patrons to insure the development of the
new art. Italy, at the end of the fifteenth century, had become the home of
learning, and almost immediately Venice became the Mecca of printers.
Workmen who had served their apprenticeships in Germany sought out the
country where princes might be expected to become patrons of the new art,
where manuscripts were available for copy, and where a public existed both
able and willing to purchase the products of the press. The Venetian Republic,
quick to appreciate this opportunity, offered its protection and
encouragement. Venice itself was the natural market of the world for
distribution of goods because of the low cost of sea transportation.
I have a fine copy of Augustinus: De Civitate Dei (page 205) that I
discovered in Rome in its original binding years ago, printed in Jenson’s Gothic
type in 1475. On the first page of text, in bold letters across the top, the
printer has placed the words, Nicolaus Jenson, Gallicus. In addition to this
signature, the explicit reads:
This work De Civitate Dei is happily completed, being done in Venice by that
excellent and diligent master, Nicolas Jenson, while Pietro Mocenigo was Doge, in the
year after the birth of the Lord, one thousand four hundred and seventy-five, on the
sixth day before the nones of October (2 October)

Nicolas Jenson’s Explicit and Mark

 Jenson’s Gothic Type. From Augustinus: De Civitate Dei, Venice, 1475 (Exact size)

Jenson was a printer who not only took pride in his art but also in the
country of his birth! He was a Frenchman, who was sent to Mayence by King
Charles VII of France to find out what sort of thing this new art of printing
was, and if of value to France to learn it and to bring it home. Jenson had been
an expert engraver, so was well adapted to this assignment. At Mayence he
quickly mastered the art, and was prepared to transport it to Paris; but by this
time Charles VII had died, and Jenson knew that Louis XI, the new monarch,
would have little interest in recognizing his father’s mandate. The Frenchman
then set himself up in Venice, where he contributed largely to the prestige
gained by this city as a center for printing as an art, and for scholarly
publications.
Jenson had no monopoly on extolling himself in the explicits of his books.
The cost of paper in those days was so high that a title page was considered an
unnecessary extravagance, so this was the printer’s only opportunity to record
his imprint. In modern times we printers are more modest, and leave it to the
publishers to sound our praises, but we do like to place our signatures on well-
made books!
The explicit in the hand-written book also offered a favorite opportunity
for gaining immortality for the scribe. I once saw in an Italian monastery a
manuscript volume containing some 600 pages, in which was recorded the fact
that on such and such a day Brother So-and-So had completed the transcribing
of the text; and inasmuch as he had been promised absolution, one sin for
each letter, he thanked God that the sum total of the letters exceeded the sum
total of his sins, even though by but a single unit!
Among Jenson’s most important contributions were his type designs,
based upon the best hand lettering of the day. Other designers had slavishly
copied the hand-written letter, but Jenson, wise in his acquired knowledge,
eliminated the variations and produced letters not as they appeared upon the
hand-written page, but standardized to the design which the artist-scribe had
in mind and which his hand failed accurately to reproduce. The Jenson Roman
(page 22) and his Gothic (page 205) types have, through all these centuries,
stood as the basic patterns of subsequent type designers.
Jenson died in 1480, and the foremost rival to his fame is Aldus Manutius,
who came to Venice from Carpi and established himself there in 1494. I have
often conjectured what would have happened had this Frenchman printed his
volumes in France and thus brought them into competition with the later
product of the Aldine Press. The supremacy of Italy might have suffered,—
but could Jenson have cut his types or printed his books in the France of the
fifteenth century? As it was, the glories of the Aldi so closely followed Jenson’s
superb work that Italy’s supreme position in the history of typography can
never be challenged.
For his printer’s mark Aldus adopted the famous combination of the
Dolphin and Anchor, the dolphin signifying speed in execution and the anchor
firmness in deliberation. As a slogan he used the words Festina lente, of which
perhaps the most famous translation is that by Sir Thomas Browne, “Celerity
contempered with Cunctation.” Jenson’s printer’s mark (page 203), by the way,
has suffered the indignity of being adopted as the trademark of a popular
brand of biscuits!

Device of Aldus Manutius

The printing office of Aldus stood near the Church of Saint Augustus, in
Venice. Here he instituted a complete revolution in the existing methods of
publishing. The clumsy and costly folios and quartos, which had constituted
the standard forms, were now replaced by crown octavo volumes, convenient
both to the hand and to the purse.
“I have resolved,” Aldus wrote in 1490, “to devote my life to the cause of
scholarship. I have chosen, in place of a life of ease and freedom, an anxious
and toilsome career. A man has higher responsibilities than the seeking of his
own enjoyment; he should devote himself to honorable labor. Living that is a
mere existence can be left to men who are content to be animals. Cato
compared human existence to iron. When nothing is done with it, it rusts; it is
only through constant activity that polish or brilliancy is secured.”
 GROLIER IN THE PRINTING OFFICE OF ALDUS
After Painting by François Flameng
Courtesy The Grolier Club, New York City

The weight of responsibility felt by Aldus in becoming a printer may be

better appreciated when one realizes that this profession then included the
duties of editor and publisher. The publisher of today accepts or declines
manuscripts submitted by their authors, and the editing of such manuscripts, if
considered at all, is placed in the hands of his editorial department. Then the
“copy” is turned over to the printer for manufacture. In the olden days the
printer was obliged to search out his manuscripts, to supervise their editing—
not from previously printed editions, but from copies transcribed by hand,
frequently by careless scribes. Thus his reputation depended not only on his
skill as a printer, but also upon his sagacity as a publisher, and his scholarship
as shown in his text. In addition to all this, the printer had to create the
demand for his product and arrange for its distribution because there were no
established bookstores.
The great scheme that Aldus conceived was the publication of the Greek
classics. Until then only four of the Greek authors, Æsop, Theocritus, Homer,
and Isocrates, had been published in the original. Aldus gave to the world, for
the first time in printed form, Aristotle, Plato, Thucydides, Xenophon,
Herodotus, Aristophanes, Euripides, Sophocles, Demosthenes, Lysias,
Æschines, Plutarch, and Pindar. Except for what Aldus did at this time, most
of these texts would have been irrevocably lost to posterity.
When you next see Italic type you will be interested to know that it was
first cut by Aldus, said to be inspired by the thin, inclined, cursive handwriting
of Petrarch; when you admire the beauty added to the page by the use of small
capitals, you should give Aldus credit for having been the first to use this
attractive form of typography. Even in that early day Aldus objected to the
inartistic, square ending of a chapter occupying but a portion of the page, and
devised all kinds of type arrangements, half-diamond, goblet, and bowl, to
satisfy the eye.
To me, the most interesting book that Aldus produced was the
Hypnerotomachia Poliphili,—“Poliphilo’s Strife of Love in a Dream.” It stands as
one of the most celebrated in the annals of Venetian printing, being the only
illustrated volume issued by the Aldine Press. This work was undertaken at the
very close of the fifteenth century at the expense of one Leonardo Crasso of
Verona, who dedicated the book to Guidobaldo, Duke of Urbino. It was
written by a Dominican friar, Francesco Colonna, who adopted an ingenious
method of arranging his chapters so that the successive initial letters compose
a complete sentence which, when translated, read, “Brother Francesco
Colonna greatly loved Polia.” Polia has been identified as one Lucrezia Lelio,
daughter of a jurisconsult of Treviso, who later entered a convent.
Text Page from Aldus’ Hypnerotomachia Poliphili, Venice, 1499 (11 × 7 inches).
It is on this model that the type used in this volume is based
Illustrated Page of Aldus’ Hypnerotomachia Poliphili, Venice, 1499 (11 × 7 inches)
 GROLIER BINDING
Castiglione: Cortegiano. Aldine Press, 1518
Laurenziana Library, Florence

The volume displays a pretentious effort to get away from the

commonplace. On every page Aldus expended his utmost ingenuity in the
arrangement of the type,—the use of capitals and small capitals, and unusual
type formations. In many cases the type balances the illustrations in such a way
as to become a part of them. Based on the typographical standards of today,
some of these experiments are indefensible, but in a volume issued in 1499
they stand as an extraordinary exhibit of what an artistic, ingenious printer can
accomplish within the rigid limitations of metal type. The illustrations
themselves, one hundred and fifty-eight in number, run from rigid
architectural lines to fanciful portrayals of incidents in the story. Giovanni
Bellini is supposed to have been the artist, but there is no absolute evidence to
confirm this supposition.
Some years ago the Grolier Club of New York issued an etching entitled,
Grolier in the Printing Office of Aldus (page 208). I wish I might believe that this
great printer was fortunate enough to have possessed such an office! In spite
of valuable concessions he received from the Republic, and the success
accorded to him as a printer, he was able to eke out but a bare existence, and
died a poor man. The etching, however, is important as emphasizing the close
relation which exited between the famous ambassador of François I at the
Court of Pope Clement VII, at Rome, and the family of Aldus, to which
association booklovers owe an eternal debt of gratitude. At one time the
Aldine Press was in danger of bankruptcy, and Grolier not only came to its
rescue with his purse but also with his personal services. Without these
tangible expressions of his innate love for the book, collectors today would be
deprived of some of the most interesting examples of printing and binding
that they count among their richest treasures.
The general conception that Jean Grolier was a binder is quite erroneous;
he was as zealous a patron of the printed book as of the binder’s art. His great
intimacy in Venice was with Andrea Torresani (through whose efforts the
Jenson and the Aldus offices were finally combined), and his two sons,
Francesco and Federico, the father-in-law and brothers-in-law of the famous
Aldus. No clearer idea can be gained of Grolier’s relations at Casa Aldo than
the splendid letter which he sent to Francesco in 1519, intrusting to his hands
the making of Budé’s book, De Asse:
 GROLIER BINDING
Capella: L’Anthropologia Digaleazzo. Aldine Press, 1533
From which the Cover Design of this Volume was adapted
(Laurenziana Library, Florence. 7½ × 4¼ inches)

You will care with all diligence, he writes, O most beloved Francesco, that this
work, when it leaves your printing shop to pass into the hands of learned men, may be
as correct as it is possible to render it. I heartily beg and beseech this of you. The book,
too, should be decent and elegant; and to this will contribute the choice of the paper, the
excellence of the type, which should have been but little used, and the width of the
margins. To speak more exactly, I should wish it were set up with the same type with
 which you printed your Poliziano. And if this decency and elegance shall increase your
expenses, I will refund you entirely. Lastly, I should wish that nothing be added to the
original or taken from it.
What better conception of a book, or of the responsibility to be assumed
toward that book, both by the printer and by the publisher, could be expressed
today!

The early sixteenth century marked a crisis in the world in which the book
played a vital part. When Luther, at Wittenberg, burned the papal bull and
started the Reformation, an overwhelming demand on the part of the people
was created for information and instruction. For the first time the world
realized that the printing press was a weapon placed in the hands of the masses
for defence against oppression by Church or State. François I was King of
France; Charles V, Emperor of the Holy Roman Empire; and Henry VIII,
King of England. Italy had something to think about beyond magnificently
decorated volumes, and printing as an art was for the time forgotten in
supplying the people with books at low cost.
François I, undismayed by the downfall of the Italian patrons, believed that
he could gain for himself and for France the prestige which had been Italy’s
through the patronage of learning and culture. What a pity that he had not
been King of France when Jenson returned from Mayence! He was confident
that he could become the Mæcenas of the arts and the father of letters, and
still control the insistence of the people, which increased steadily with their
growing familiarity with their new-found weapon. He determined to have his
own printer, and was eager to eclipse even the high Standard the Italian
master-printers had established.
 ROBERT ÉTIENNE, 1503–1559
Royal Printer to François I
From Engraving by Étienne Johandier Desrochers (c. 1661–1741)

Robert Étienne (or Stephens), who in 1540 succeeded Néobar as “Printer

in Greek to the King,” while not wholly accomplishing his monarch’s
ambitions, was the great master-printer of his age. He came from a family of
printers, and received his education and inspiration largely from the learned
men who served as correctors in his father’s office. François proved himself
genuinely interested in the productions of his Imprimerie Royale, frequently
visiting Étienne at the Press, and encouraging him by expending vast sums for
specially designed types, particularly in Greek. The story goes that on one
occasion the King found Étienne engaged in correcting a proof sheet, and
refused to permit the printer to be disturbed, insisting on waiting until the
work was completed.
For my own collection of great typographical monuments I would select
for this period the Royal Greeks of Robert Étienne. A comparison between the
text page, so exquisitely balanced (page 222), and the title page (page 220), where
the arrangement of type and printer’s mark could scarcely be worse, gives
evidence enough that even the artist-printer of that time had not yet grasped
the wonderful opportunity a title page offers for self-expression. Probably
Étienne regarded it more as a chance to pay his sovereign the compliment of
calling him “A wise king and a valiant warrior.” But are not the Greek
characters marvelously beautiful! They were rightly called the Royal Greeks! The
drawings were made by the celebrated calligrapher Angelos Vergetios, of
Candia, who was employed by François to make transcripts of Greek texts for
the Royal Collection, and whose manuscript volumes may still be seen in the
Bibliothèque Nationale in Paris. Earlier fonts had been based upon this same
principle of making the Greek letters reproductions as closely as possible of
the elaborate, involved, current writing hand of the day; but these new designs
carried out the principle to a degree until then unattained. The real success of
the undertaking was due to the skill of Claude Garamond, the famous French
punchcutter and typefounder. Pierre Victoire quaintly comments:
Besides gathering from all quarters the remains of Hellenic literature, François I
added another benefit, itself most valuable, to the adornment of this same honorable
craft of printing; for he provided by the offer of large moneys for the making of
extremely graceful letters, both of Greek and Latin. In this also he was fortunate, for
they were so nimbly and so delicately devised that it can scarce be conceived that human
wit may compass anything more dainty and exquisite; so that books printed from these
types do not merely invite the reader,—they draw him, so to say, by an irresistible
attraction.
ÉTIENNE’S ROYAL GREEKS, Paris, 1550
Title Page (10¼ × 6 inches)
Page showing Étienne’s Roman Face (Exact size)