Datenschutz und Urheberrecht bei Cloud Computing sowie Streaming-Diensten. Bewertung und Implikationen für Veranstalter und Plattformbetreiber virtueller Events

Inhaltsverzeichnis

A. Einleitung

B. Datenschutzrechtliche Bewertung von Cloud- und Streaming-Diensten
I. Anwendungsbereich der DSGVO
II. Bedeutung der Grundsätze der DSGVO
III. Rechtmäßigkeit der Verarbeitung gemäß DSGVO
IV. Informationspflichten und Rechte Betroffener gemäß DSGVO

C. Auftragsverarbeitung und Drittlandtransfer
I. Anforderungen an die Auftragsverarbeitung gemäß DSGVO
II. Drittlandtransfer: Schremms II Entscheidung und EU-US Privacy Shield
III. Anforderungen an die Datenübermittlung in Drittstaaten

D. Urheberrechtliche Bewertung von Cloud- und Streaming-Diensten
I. Urheberrechtliche Bewertung aus Anbietersicht
II. Urheberrechtliche Bewertung aus Nutzersicht

E. Implikationen für Veranstalter und Plattformbetreiber
I. Auftragsverarbeitung und Drittlandtransfer im Rahmen virtueller Events
II. Datenschutzerklärung virtueller Events
III. Typische Datenverarbeitungsprozesse virtueller Events
IV. Urheberrechtliche Nutzungsrechte virtueller Events

F. Zusammenfassung

G. Anlagen
I. Datenschutz-Checkliste: Datenschutzkonzept und Datenschutzprozesse
II. Datenschutz-Checkliste: TOM
III. Datenschutz Checkliste: Informationspflichten und Betroffenenrechte
IV. Datenschutz Checkliste: Auftragsverarbeitungsvertrag
V. Datenschutz-Checkliste: Datentransfer in Drittländer

Literaturverzeichnis

ARTICLE 29 DATA PROTECTION WORKING PARTY, 01037/12/EN WP 196, Opinion 05/2012 on Cloud Computing, Adopted July 1st 2012, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendaion/files/2012/wp196_en.pdf (letzter Abruf am 2.5.2021).

Bergt, Matthias, Die Bestimmbarkeit als Grundproblem des Datenschutzrechts - Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, 365, 371.

Böhi, Simon Jonas, Streaming von urheberrechtlich geschützten Werken. Eine Bewertung aus der Perspektive des Schweizer Urheber- und Strafrechts, 2016, Diss. Zürich.

Bundesministerium der Justiz und für Verbraucherschutz, Pressemitteilung, Gesetz zur Anpassung des Urheberrechts an die Erfordernisse des digitalen Binnenmarktes, 4.6.2021, https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Gesetz_Anpassung-Urheberrecht-dig-Binnenmarkt.html (letzter Abruf am 4.08.2021).

Busch, Thomas, Zur urheberrechtlichen Einordnung der Nutzung von Streaming-Angeboten, GRUR 2011, 496 -503.

Deges, Frank, Double-Opt-In, Gabler Wirtschaftslexikon, https://wirtschaftslexikon.gabler.de/definition/double-opt-119008 (letzter Abruf 22.09.2021).

Deutsche Datenschutz Consult GmbH, Datenschutzkonzept, 2021.

Europäischer Datenschutzausschuss (EDSA), Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, angenommen am 10. November 2020, https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf (letzter Abruf am 18.9.2021).

Europäische Kommission, Pressemitteilung, Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr, 29.2.2016, https://ec.europa.eu/commission/presscorner/detail/de/IP_16_433 , (letzter Abruf am 4.08.2021).

Ensthaler, Jürgen/Weidert, Stefan, Handbuch Urheberrecht und Internet, bearbeitet von Jürgen Ensthaler und Matthias Werner, 3. Auflage, Berlin 2017.

Ensthaler, Jürgen, Streaming und Urheberrechtsverletzung, NJW 2014, 1553.

Fangerow, Kathleen/Schulz, Daniela, Die Nutzung von Angeboten auf www.kino.to - Eine urheberrechtliche Analyse des Film-Streamings im Internet, GRUR 2010, 677.

Franck, Lorenz, Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO), RDV 2016, 111-119.

Globocnik, Jure, Standardvertragsklauseln für Drittlandtransfers (neue Version 2021), 11.6.2021, https://www.activemind.de/magazin/eu-standardvertragsklauseln-internationaler-datenverkehr/#kreis (letzter Abruf am 19.9.2021).

Hansen, Hauke, Neue Standardvertragsklauseln für internationalen Datentransfer und für Auftragsverarbeitungs­verträge, 15.6.2021, https://blog.fps-law.de/datenschutz/neue-standardvertragsklauseln-fuer-internationalen-datentransfer-fuer-auftragsverarbeitungsvertraege/ (letzter Abruf am 17.09.2021).

Hoeren, Thomas, Internetrecht, Stand: April 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf (letzter Abruf am 10.4.2021). intersoft consulting services AG, Auskunftsrecht der betroffenen Personen , https://dsgvo-gesetz.de/themen/auskunftsrecht-der-betroffenen-person/ (letzter Abruf am 17.07.2021).

Jordan, Franziska, Die Entscheidung des EuGH zum EU-US-Datenschutzschild und ihre Auswirkungen für Unternehmen innerhalb der EU, August 2020, https://www.infopoint-europa.de/assets/Jordan-Franziska-Die-Entscheidung-des-EuGH-zum-EU-US-Datenschutzschild.pdf (letzter Abruf am 22.7.2021).

Kartheuser, Ingemar/Gilsdorf, Friedrich, EuGH: Dynamische IP-Adressen können personenbezogene Daten sein, MMR-Aktuell 2016, 382533.

Kempermann, Philip, Heuking Kühn Lüer Wojtek, Update Datenschutz IP, Media & Technology Nr. 100, 24.06.2021 , https://104654.seu2.cleverreach.com/m/12839796/565826-82e548640f9ebb63ff41e5733105c6fff0a9e5adc2ceb71577beee58a13af785ea211ce94d0a5d37d73a78a03dba1b11 (letzter Abruf am 2.7.2021).

Keppeler, Lutz, Heuking Kühn Lüer Wojtek, Update Datenschutz Nr. 7, Der BGH stellt klar: nicht notwendige Cookies nur mit Einwilligungserklärung, 29.5.2020, https://www.heuking.de/de/news-events/fachbeitraege/der-bgh-stellt-klar-nicht-notwendige-cookies-nur-mit-einwilligungserklaerung.html (letzter Abruf am 1.7.2021).

Knies, Bernhard, Redtube.com: Kann denn Streamen Sünde sein ? Zur Rechtmäßigkeit privaten Streamens und der Vorlagefrage des OHG in Sachen kino.to/UPC, CR2/2014, 140 -144.

Koch, Frank A., Der Content bleibt im Netz - gesicherte Werkverwertung durch Streaming-Verfahren, GRUR 2010, 574 - 578.

Köhler, Markus/Fetzer, Thomas, Recht des Internet, 8. Auflage, Stuttgart und Mannheim, März 2016.

Lange. Meldodie, Privilegierung des Auftragsverarbeiters unter der DSGVO, 4.6.2019, https://www.activemind.de/magazin/privilegierung-auftragsverarbeitung/ (letzter Abruf am 14.09.2021). meetyoo conferencing GmbH, Datenschutzerklärung der meetyoo conferencing GmbH für virtuelle Events, https://meetyoo.com/de/datenschutzerklaerung-meetyoo-pro-show (letzter Abruf am 14.09.2021); Vereinbarung zur Auftragsverarbeitung, https://meetyoo.com/de/auftragsdatenverarbeitungsvertrag-meetyoo-pro-show (letzter Abruf am 13.09.2021); Produktübersicht, https://meetyoo.com/de/software-veranstaltungen/produktuebersicht (Abruf am 6.2.2022).

Matthiesen, Reemt/Heinzke, Philippe, DSGVO: INTERNATIONALE DATENTRANSFERS IM UMBRUCH, CMS Legal Services EEIG, 9.12.2020, https://cms.law/de/deu/publication/dsgvo-internationale-datentransfers-im-umbruch (letzter Abruf am 6.7.2021); CMS Blog Beitrag: EuGH erklärt Privacy-Shield für unwirksam, Standardverträge nur noch eingeschränkt nutzbar, 17.7.2020, https://www.cmshs-bloggt.de/tmc/datenschutzrecht/eugh-privacy-shield-unwirksam-standardvertrag/ (letzter Abruf am 31.8.2021).

Meckel, Myriam, Gabler Wirtschaftslexikon, Öffentliche Zugänglichmachung, https://wirtschaftslexikon.gabler.de/definition/oeffentliche-zugaenglichmachung-46359 (letzter Abruf am 4.8.2021); Senderecht, https://wirtschaftslexikon.gabler.de/definition/senderecht-46740, (letzter Abruf am 4.8.2021); Verbreitungsrecht, https://wirtschaftslexikon.gabler.de/definition/verbreitungsrecht-51002 (letzter Abruf am 4.8.2021).

Menhorn, Benjamin, Die urheberrechtliche Zulässigkeit der Nutzung von Streaming-Angeboten, Fernuniversität in Hagen, 2014, Seminararbeit.

Nägele, Thomas/Jacobs, Sven, Rechtsfragen des Cloud Computing, ZUM 2010, 281-292.

Niemann, Fabian/Paul, Jörg-Alexander, Praxishandbuch Rechtsfragen des Cloud Computing, bearbeitet von Fabian Niemann, Jörg-Alexander Paul, Fabian Schäfer und Andreas Weiss, 1. Auflage, Frankfurt, 2014.

Oelgeschläger, Michael, Streaming im Internet: Verstoß gegen das Urheberrecht?, 2014, Masterarbeit.

Presse- und Informationsamt der Bundesregierung, 7.6.2020, Neue Regeln fürs „Hochladen" von nutzergenerierten Inhalten: Das Urheberrecht wird umfassend reformiert, https://www.bundesregierung.de/breg-de/suche/urheberrechtsreform-1845042 (letzter Abruf am 14.07.2021)

Protekto Data Fuse GmbH, DSGVO Audit, 2020.

Plutte, Niclas, Urheberrechtsschutz von Software in der Übersicht, https://www.ra-plutte.de/ubersicht-zum-urheberrechtsschutz-von-computerprogrammen/ (letzter Abruf am 3.8.2021).

Rehbinder, Manfred/Peukert, Alexander, Urheberrecht und verwandte Schutzrechte, 18. Auflage, Frankfurt am Main, 2018.

Ruether , Traci, Streaming Protocols: Everything You Need to Know, 16.3.2021, https://www.wowza.com/blog/streaming-protocols (letzter Abruf am 26.07.2021).

Schack, Haimo, Urheberrecht und Urhebervertragsrecht, 9. Auflage , Tübingen, 2009.

Schröder, Christian/Haag, Nils Christian, Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing, ZD 11/2012, 495 - 501.

Schricker, Gerhard/Loewenheim, Ulrich, Urheberrecht, UrhG, KUG (Auszug), VGG, Kommentar, bearbeitet von Ulrich Loewenheim und Gerald Spindler, 6. Auflage, 2020.

Selzer, Annika, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, 2020.

Statista, 2021, https://de.statista.com/statistik/daten/studie/195760/umfrage/umsatz-mit-cloud-computing-welweit/ (letzter Abruf vom 20.6.2021).

Stehmeier, Marinus J., Neue Cookie-Regelung: Überblick zum TTDSG, 9.6.2021, https://www.datenschutzkanzlei.de/neue-cookie-regelung-ueberblick-zum-entwurf-des-ttdsg/ (letzter Abruf am 2.8.2021).

Stieper, Malte, Rezeptiver Werkgenuss als rechtmäßige Nutzung - Urheberrechtliche Bewertung des Streaming vor dem Hintergrund des EuGH-Urteils in Sachen FAPL/Murphy, MMR 2012, 12, 23.

Stolz, Alexander, Rezipient = Rechtsverletzer ...? - (Keine) Urheberrechtsverletzung durch die Nutzung illegaler Streaming-Angebote, MMR 2013, 353, 358.

Völtz, Gregor, HTML5 – neuer Standard, neue Probleme? - Ein Überblick über Neuerungen und rechtliche Fragen, MMR 2013, 619.

Wandtke, Artur-Axel/Bullinger Winfried, Urheberrecht, 5. Aufl. 2019, UrhG § 16 Rn. 22.

Wandtke, Artur-Axel/von Gerlach, Felix-Tessen, Die urheberrechtliche Rechtmäßigkeit der Nutzung von Audio-Video Streaminginhalten im Internet, GRUR 2013, 676- 683.

Wulf, Hans Markus/Jansen, Thomas//Hinzpeter, Britta/Poncza, Manuel, Heuking Kühn Lüer Wojtek , Update Datenschutz IP, Media & Technology Nr. 99, 7.6.2021.

Wybitul, Tim, Handbuch EU-Datenschutz-Grundverordnung, bearbeitet von Böhm, Wolf-Tassilo/Ströbel, Fladung, Armin, Lukas, Krätschmer, Stefan/Bausewein, Christoph, Pötters, Stephan/Böhm, Wolf-Tassilo, Rauer, Nils/Ettig, Diana, Schreibauer, Marcus/Splittka, Jan, Schuppert, Stefan/Pflüger, Martin und Tinnefeld, Christian/Krätschmer, Stefan, 1. Auflage, Kronberg, 2017.

Abkürzungsverzeichnis

ABl. Amtsblatt (Europäische Union)

Abs. Absatz

a.E. am Ende

AES Advanced Encryption Standard

AG Amtsgericht

Art. Artikel

ASP Application Service Provider

AVV Auftragsverarbeitungsvertrag

BGH Bundesgerichtshof

CDN Content Distribution Network

CLOUD Act Clarifying Lawful Overseas Use of Data Act

CR Computer und Recht (Köln)

DuD Zeitschrift für Datenschutz und Datensicherheit

DSGVO Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

DSFA Datenschutz-Folgenabschätzung

EDSA Europäischer Datenschutzausschuss

EMEA Europe, Middle-East & Africa

EO Executive Order

ePrivacy- Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates

Richtlinie vom 12.7.2002 über die Verarbeitung personenbezogener und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)

EU Europäische Union

EuGH Europäischer Gerichtshof

EWR Europäischer Wirtschaftsraum

FBI Federal Bureau of Investigation

FISA Foreign Intelligence Surveillance Act of 1978

GRUR Zeitschrift für gewerblichen Rechtsschutz und Urheberrecht

GRUR-Int. Zeitschrift für gewerblichen Rechtsschutz und Urheberrecht.

Internationaler Teil

GRCh Grundrechtecharta

h.L. herrschende Lehre

HDS HTTP Dynamic Streaming

HLS HTTP-Livestreaming

Hrsg. Herausgeber(in)

HTML5 Hypertext Markup Language 5

HTTP/http Hypertext Transfer Protocol

IaaS Infrastructure-as-a-Service

IP Internet Protocol

InfoSoc- Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte Richtlinie des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft

ISO International Organization for Standardisation

JI-Richtlinie Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

IT Information Technology

LG Landgericht

lit. litera

Mbps Megabits per second

MPEG Moving Picture Experts Group DASH Dynamic Adaptive Streaming over HTTP

MMR Multimedia und Recht

MP3 MPEG Audio Layer 3

MPEG Moving Picture Experts Group

NJW Neue Juristische Wochenschrift (München)

NSA National Security Agency

OWASP Open Web Application Security Project

PaaS Platform-as-a-Service

PK Praxiskommentar

PDCA Plan-Do-Check-Act

PRISM Planning tool for Resource Integration, Synchronization, and Management

RAID Redundant Array of Independent Disks

RAM Random-Access Memory

RBÜ Berner Übereinkunft zum Schutz von Werken der Literatur

und Kunst, revidiert in Paris am 24. Juli 1971

RDV Recht der Datenverarbeitung

Rs. Rechtssache

RTMP Real Time Messaging Protocol

RTSP Real-Time Streaming Protocol

RTP Real-Time Transport Protocol

SaaS Software-as-a-Service

Sat-Cab Satelliten- und Kabelrichtlinie

Richtlinie

SCC Standard Contractual Clauses

SSH Secure Shell

SSL Secure Sockets Layer

SHA Secure Hash Algorithm

SRT Secure Reliable Transport

TCP Transmission Control Protocol

TIA Transfer Impact Assessment

TKG Telekommunikationsgesetz

TMG Telemediengesetz

TOM technische und organisatorische Maßnahmen

TTDSK Telekomminikation-Telemedien-Datenschutzgesetz

TLS Transport Layer Security

UDP User Datagram Protocol

UrhG Urheberrechtsgesetz vom 9. September 1965 (BGBl. I, 1273; Deutschland)

UrhDaG Gesetz über die urheberrechtliche Verantwortlichkeit von Dienste- anbietern für das Teilen von Online-Inhalten (Urheberrechts-Dienste- anbieter-Gesetz)

URL Uniform Ressource Locator

U.S.C Code of Laws of the United States of America

VPN Virtual Private Network

W3C World Wide Web Consortium

WCT WIPO-Urheberrechtsvertrag vom 20. Dezember 1996

WebRTC Web Real-Time Communication

WIPO World Intellectual Property Organization (Genf)

WPPT WIPO-Vertrag über Darbietungen und Tonträger, Genf

WTO World Trade Organization

WWW World Wide Web

ZD Zeitschrift für Datenschutz

ZUM Zeitschrift für Urheber- und Medienrecht (Baden-Baden)

Die Abkürzungen entsprechen Kirchner, Hildebert/Pannier, Dietrich, Abkürzungsverzeichnis der Rechtssprache, 9. Aufl., Berlin 2018.

Rechtsprechungsverzeichnis

EuGH 16.7.2020, C-311/18 (Schremms II Entscheidung), https://curia.europa.eu/juris/document/document.jsf;jsessionid=57E5A0872698CB085DEDFB4FC04B1CD5?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=7796566, Rn. 184 (letzter Abruf am 31.8.2021)

EuGH 1.10.2019, C-673/17 (Planet 49 Entscheidung), https://curia.europa.eu/jcms/upload/docs/application/pdf/201910/cp190125de.pdf (letzter Abruf am 8.7.2021)

EuGH 26.4.2017, C527/15 (Urheberrechtsverletzung durch Streaming mithilfe eines multimedialen Medienabspielers), JurPC-Web-Dok. 0061/2017, https://www.jurpc.de/jurpc/show?id=20170061, Abs. 163 (letzter Abruf am 2.5.2021)

EuGH 4.10.2011, C-403/08 und C429/08, verb. Rs. (Football Association Premier League Ltd (FAPL)-Entscheidung), http://curia.europa.eu/juris/document/document.jsf?text=&docid=110361&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=6662456 (letzter Abruf 27.02.2021)

BVerfG 27.2.2008, 1 BvR 370/07 / 1 BvR 595/07 (Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme), https://www.bundesverfassungsgericht.de/Shared Docs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html (letzter Abruf 1.8.2021)

BGH 28.5.2020, I ZR 7/16 (Planet 49 Entscheidung), https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=107623&pos=6&anz=672 (letzter Abruf am 8.7.2021)

BGH 16.5.2017, VI ZR 135/13 (dynamische IP-Adresse als personenbezogenes Datum), http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=78741&pos=0&anz=1 (letzter Abruf 15.9.2021).

BGH 4.10.1990, I ZR 139/89 (Urheberrechtsschutzfähigkeit eines Computerprogramms), https://lexetius.com/1990,179, 24 (letzter Abruf am 22.07.2021).

LG Köln 24.1.2014, 209 O 188/13 (Offensichtliche Rechtsverletzung bei Streaming – Redtube), MMR 2014,193, 194

LG Hamburg 19. 12 2013, 310 O 460/13 (Streaming nicht offensichtlich rechtswidrig öffentlich zugänglich gemachter Vorlagen), ZUM 2014, 434, 435

AG Hannover 27. 5 2014, 550 C 13749/13 (Nutzung des Streamingportals »RedTube«), ZUM-RD 2014, 667, 668

AG Potsdam 9.4.2014, 20 C 423/13 (Keine rechtswidrige Vervielfältigung bei dem Konsum eines Streams urheberrechtlich geschützter Werke), ZUM-RD 2014, 587, 588

A. Einleitung

Cloud-Computing- und Streaming-Geschäftsmodelle boomen: Schätzungen zufolge sind die Umsätze mit Cloudservices in 2021 weltweit um 23 % p.a. gewachsen - verstärkt auch durch die Corona-Pandemie. ¹ Cloud-Computing stellt IT-Infrastruktur und Applikationen bereit, Streaming die technischen Verfahren zur Verteilung digitaler Inhalte über das Internet. Da Streaming-Angebote meist auf Cloud-Lösungen basieren, sind diese eng miteinander verknüpft. Über Streaming- und Cloud-Lösungen werden heute eine Vielzahl von Inhalten über das Internet bereitgestellt:

- Musik: Spotify, Apple Music, Amazon Prime Music
- Video-On-Demand: Amazon Prime Video, Netflix, Sky Ticket
- Games: Google Stadia, PlayStation Now
- virtuelle Events und Messen: z.B. die Digital X-Initiative der Deutschen Telekom²

Im Vordergrund dieser Arbeit steht die Zuordnung des Rechtsgutes „Information“ zum Daten- und Urheberrecht als Schutzrecht. Folgende Fragestellungen sollen in dieser Arbeit beantwortet werden:

1) Die zentrale datenschutzrechtliche Fragestellung bezieht sich darauf, unter welchen Voraussetzungen Anbieter und Nutzer von Cloud-Computing und Streaming-Diensten personenbezogene Daten unter Anwendung der DSGVO verarbeiten dürfen. Die Fragestellung wird im Kontext des Urteils des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II zur Ungültigkeit des US-EU Privacy Shield und den erweiterten Garantien in den EU-Standardvertragsklauseln erörtert.
2) Das Urheberrecht schützt den Urheber und seine Werke bzw. verwandte Schutz-rechte. Aus Anbieter- und Kundensicht stellt sich die Frage, welche Nutzungsrechte für die Bereitstellung bzw. Nutzung von Cloud-Computing- sowie Streaming-Diensten erforderlich sind. Ob es sich beim Streaming um eine Form der Vervielfältigung handelt, die durch die Schrankenregelung des § 44a Urheberrechtsgesetz (UrhG) für die private Nutzung privilegiert ist, ist umstritten und soll in dieser Arbeit erörtert werden.

Die datenschutz- und urheberrechtlichen Anforderungen werden im Kontext technischer Lösungsmöglichkeiten betrachtet. Durch die ganzheitliche Sicht sollen die Voraussetzungen für die datenschutz- und urheberrechtskonforme Ausgestaltung von Cloud-Computing - und Streaming-Diensten bewertet werden. Am Beispiel virtueller Events sind diese Voraussetzungen zu konkretisieren.

Cloud-Computing

Cloud-Computing stellt ein Angebot von Soft- und Hardware-Leistungen dar, die über das Internet bereitgestellt werden.³ Die Cloud-Architektur ermöglicht es, Hard- und Software voneinander zu entkoppeln und eine Vielzahl virtueller Softwarestrukturen inkl. Speicher- und Computing-Dienste über das Internet bereitzustellen.⁴ Im Unterschied zum Application Service Providing Modell (ASP) wird nicht für jeden Kunden eine separate Infrastruktur bereitgestellt („Single Tenancy“), sondern alle Nutzer können auf einer Plattform arbeiten, die über mehrere Server verteilt ist („Multi-Tenancy“).⁵ Hinsichtlich der Ausgestaltung lassen sich drei Servicemodelle des Cloud-Computing unterscheiden, die aufeinander aufbauen:

- Infrastructure-as-a-Service (IaaS) stellt IT-Infrastruktur bereit: Der Cloud Kunde mietet diese Dienste (wie z.B. Rechenzentrumsleistungen, Netzwerk und Server) und implementiert seine jeweiligen Anwendungsumgebungen.⁶ Ein Beispiel für IaaS ist der Dienst „Amazon Elastic Cloud Computing (EC2)“ von Amazon Web Services, Inc..
- Platform-as-a-Service (PaaS) beschreibt das Angebot einer cloudbasierten Laufzeit- und Entwicklungsumgebung inkl. unterstützenden Anwendungen wie z.B. Datenbanken.⁷ Beispiele für PaaS sind die Dienste „Amazon Web Services“, „Google Cloud Plattform“, „Microsoft Azure“.
- Software-as-a-Service (SaaS) beinhaltet Applikationen, die vom Cloud-Anbieter bereitgestellt und vom Kunden über das Internet benutzt werden ohne dass Soft-ware auf dem Rechner des Users installiert werden muss.⁸ Beispiele für SaaS sind die Dienste „Microsoft 365“, „Google Workspace“ oder „Salesforce“.

Im Folgenden wird der Begriff „Cloud-Dienst“ als Synonym für Cloud-Computing und für alle Cloud-Servicemodelle (PaaS, IaaS und SaaS) verwendet.

Streaming

Der Begriff Streaming steht für „das gleichzeitige Empfangen und Wiedergeben von Audio- und/oder Videodaten“.⁹ Mit dem Web-Standard HTML5 können Videos direkt in eine Webseite eingebunden und mit einem Webbrowser betrachtet werden: Bilder oder Videos werden z.B. über ein Video Element und JavaScript ohne native Software geladen und dargestellt.¹⁰ Beim Streaming werden zwei Arten unterschieden:

a) Beim On-Demand-Streaming (nichtlineares Streaming) findet ein individueller Abruf der aufgezeichneten Inhalte durch den Nutzer statt: Beginn und Unterbrechungen des Streamings werden vom User frei gewählt, da es sich um eine direkte einzelne Verbindung des Users zum Server handelt (Unicast).¹¹

Beim On-Demand-Streaming werden folgende Varianten differenziert:

- Beim True-On-Demand-Streaming wird der zu übertragende Content geteilt, komprimiert und auf dem Rechner des Nutzers zwischengespeichert, um zum Abspielen ausgelesen zu werden.¹² Diese Zwischenspeicherung ist notwendig, um Schwankungen der Laufzeiten im Internet auszugleichen.¹³ Daher entstehen Wiedergabeverzögerungen von zwei - sechs Sekunden.¹⁴ Es befindet sich beim True-On-Demand-Streaming jedoch keine vollständige Kopie des Inhalts auf dem Gerät des Users.¹⁵ Das Internet nutzt als Netzwerkprotokoll auf der Transportschicht das zuverlässige, verbindungsorientierte Transmission Control Protocol (TCP) oder das schnellere, verbindungslose User Datagram Protocol (UDP).¹⁶ In Abhängigkeit vom verwendeten Transportprotokoll TCP oder UDP finden Zwischenspeicherungen verschiedener Häufigkeit und Intensität statt.¹⁷
- Beim Progressive Download wird die Datei vollständig vom Server heruntergeladen und auf dem Rechner des Nutzers entweder im Arbeitsspeicher oder auf der Festplatte gespeichert.¹⁸ Die Speicherung auf der Festplatte kann je nach Anwendung und Einstellung vorübergehend oder dauerhaft sein.¹⁹

b) Beim Live-Streaming (lineares Streaming) wird der gestreamte Inhalt von einem Server zu einem bestimmten Zeitpunkt an eine Vielzahl von Usern gesendet (Multicast).²⁰ Die Datei liegt nicht schon auf einem Server vor, sondern wird mit einer konstanten Rate auf den Server übertragen, welcher dann per TCP oder UDP die Daten an den Rechner des User überträgt (True-Live-Streaming).²¹ Speicherungen sind abhängig vom verwendeten Transportprotokoll und den Einstellungen.²² Es ist möglich, die Datenpakte beim User so zu speichern, dass am Ende der Übertragung die komplette Datei auf dem Rechner vorliegt: Dies entspricht einer weiteren Form des Progressive Download.²³

Beim Streaming wird das Audio- und Video-Rohmaterial zunächst durch einen Encoder in ein digitales Format umgewandelt und komprimiert: Für den Prozess der Komprimierung werden verschiedene Codecs (z.B. H264 für Video oder MP3 für Audio) genutzt.²⁴ Für den Transport auf „der ersten Meile“ werden klassische Streaming-Protokolle (z.B. RTMP, RTSP, SRT) verwendet.²⁵ Für die Auslieferung der Datenpakete an die Endgeräte der Teilnehmer über ein Netzwerk verbundener Server (, CDN) („Last Mile“) werden meist HTTP-basierte Protokolle (z.B. Apple HLS, MPEG Dash, Adobe HDS) oder der Standard „ (WebRTC) genutzt. Die HTTP-basierten Protokolle bieten - bei relativ geringer Ressourcen-Nutzung auf dem Server - adaptive Bitraten-Lösungen an: Unabhängig von der Verbindung oder dem Endgerät ist mit diesen Lösungen bestmögliche Videoqualität möglich.

Der Streaming-Prozess stellt sich wie folgt dar:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Streaming over IP²⁶

B. Datenschutzrechtliche Bewertung von Cloud- und Streaming-Diensten

Datenschutz umfasst als Schutzrecht das „Recht des Betroffenen auf informationelle Selbstbestimmung“ seiner Privatsphäre (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).²⁷ Die DSGVO bildet seit dem 25. Mai 2018 gemeinsam mit der EU-Datenschutzrichtlinie für Polizei- und Justizbehörden (JI-Richtlinie²⁸ ) den Datenschutzrahmen in der Europäischen Union (EU). Die DSGVO ist seit dem 20. Juli 2018 auch innerhalb des Europäischen Wirtschaftsraumes (EWR) geltendes Recht. Wesentliche Motivation für die Einführung der DSGVO war das „Ziel einer Vereinheitlichung des Datenschutzrechts in den EU-Mitgliedstaaten“.²⁹

Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert die Regelungen der DSGVO, unter anderem hinsichtlich des Beschäftigtendatenschutzes, der Videoüberwachung, der Bestellung des Datenschutzbeauftragten und der Zuständigkeit der Aufsichtsbehörden.³⁰ Das BDSG setzt die JI-Richtlinie in nationales Recht um.

Im Rahmen der datenschutzrechtlichen Bewertung von Cloud- und Streaming-Diensten wird zunächst der sachliche und räumliche Anwendungsbereich der DSGVO betrachtet. Anschließend werden die zentralen datenschutzrechtlichen Grundsätze und Anforderungen der DSGVO hinsichtlich der Anwendbarkeit auf die Bereitstellung und Nutzung von Cloud- sowie Streaming-Diensten geprüft.

I. Anwendungsbereich der DSGVO

Die Anwendbarkeit der DSGVO gilt bei Vorliegen sachlicher und räumlicher Voraussetzungen:

1. Sachlicher Anwendungsbereich der DSGVO

Ausgangspunkt für die Anwendung der DSGVO ist die Frage, ob personenbezogene Daten verarbeitet werden. In Art. 2 Abs. 1 DSGVO ist die Anwendbarkeit der DSGVO auf Grundlage der Begriffsbestimmungen in Art. 4 DSGVO bei der Verarbeitung personenbezogener Daten legaldefiniert. Zusätzlich werden in Art. 2 Absatz 2 und 3 DSGVO Ausnahmen definiert. Die entscheidenden Merkmale für die sachliche Anwendbarkeit der DSGVO sind:

- Vorhandensein personenbezogener Daten
- Datenschutzrechtliche Verarbeitung
- Keine Ausnahmetatbestände

a) Vorhandensein personenbezogener Daten

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“.³¹ Identifiziert ist eine Person, die nach herkömmlichen Unterscheidungsmerkmalen (z.B. Name, Vorname, E-Mail-Adresse, Adresse) bestimmt ist.³² Ist eine direkte Identifizierung des Betroffenen nicht möglich, so „liegt ein bestimmbares Datum erst vor, sobald ausreichendes Zusatzwissen (z.B. Autokennzeichen, Kundennummer) zur Verfügung steht“.³³ Der Personenbezug kann aus unterschiedlichen Sichtweisen hergestellt werden und wird im Wesentlichen von zwei Theorien bestimmt:³⁴

- der Theorie vom absoluten Personenbezug und
- der Theorie vom relativen Personenbezug.

Nach der Theorie vom absoluten Personenbezug beurteilt sich die Bestimmbarkeit an- hand objektiver Kriterien.³⁵ „Personenbezogene Daten liegen vor, sobald für eine beliebige Person … die Möglichkeit besteht, den Betroffenen zu identifizieren“.³⁶

Die Theorie vom relativen Personenbezug bezieht sich allein auf den Verantwortlichen.³⁷ Die entscheidende Frage ist hier, ob der Verantwortliche „mit verhältnismäßigem Aufwand an Zeit und Kosten .. eine Identifizierung erreichen kann“.³⁸ Erwägungsgrund 26 DSGVO erklärt, dass für die Identifizierbarkeit „alle Mittel berücksichtigt werden (sollten), die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.³⁹ Diese Regelung lässt sowohl den absoluten als auch den relativen Personenbezug zu.⁴⁰

Obwohl zunächst streitig war, inwieweit dynamische Internet Protocol (IP)-Adressen personenbezogene Daten darstellen⁴¹, hat sich der EuGH 2016 für den Personenbezug dynamischer IP-Adressen entschieden.⁴² Der EuGH stellte dar, dass Verantwortliche „i.d.R. über diese rechtlichen Mittel zur Identifizierung verfügen, da es ihnen möglich ist, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden“.⁴³ Mit dieser Entscheidung vertritt der EuGH somit die Theorie vom relativen Personenbezug⁴⁴, der sich auch der BGH angeschlossen hat.⁴⁵

Je nach Art und Umfang der Nutzung von Cloud- und Streaming-Diensten werden Daten der Nutzer dieser Dienste erhoben, z.B. IP-Adresse, Kontaktdaten (Name, E-Mail Adresse, Telefonnummer), Tracking- oder Verhaltensdaten, Cookies, Videobilder oder Chatinhalte. Diese Informationen stellen personenbezogene Daten im Sinne der DSGVO dar. Anonymisierte Daten, z.B. aggregierte Nutzungsdaten (Anzahl registrierter User, durchschnittliche Anzahl der Teilnehmer pro Event, Länge einer Veranstaltung) stellen keine personenbezogen Daten dar.⁴⁶

b) Datenschutzrechtliche Verarbeitung

Der datenschutzrechtliche Verarbeitungsbegriff ist nach Art. 4 Nr. 2 DSGVO sehr weit definiert und umfasst „jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Die in Art. 4 Nr. 2 aufgezählten Beispiele für bestimmte Arten der Datenverarbeitung machen deutlich, dass nahezu jeder Umgang mit personenbezogenen Daten eine Verarbeitung darstellt.⁴⁷ Da der datenschutzrechtliche Verarbeitungsbegriff weit gefasst ist und die Prozesse im Rahmen von Cloud- und Streaming- Diensten überwiegend automatisiert und in Dateisystemen verarbeitet werden, fallen nahezu alle Vorgänge bei Cloud- und Streaming-Diensten im Zusammenhang mit personenbezogenen Daten unter den Begriff der Verarbeitung. Das Speichern von personenbezogenen Daten in Cloud-Datenbanken sowie die Auslieferung von personenbezogen Daten über CDN-Netzwerke im Rahmen des Streaming stellen somit datenschutzrechtliche Verarbeitungen dar.

c) Keine Ausnahmetatbestände

Art. 2 Abs. 2 DSGVO regelt Ausnahmen vom sachlichen Anwendungsbereich der DSGVO. Hierzu zählen z.B. Verarbeitungsvorgänge im Zusammenhang mit der nationalen und europaweiten Sicherheit⁴⁸ sowie Datenverarbeitungen einer Behörde „zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“.⁴⁹ Auch persönliche und familiäre Tätigkeiten ohne beruflichen und wirtschaftlichen Bezug stellen Ausnahmetatbestände dar.⁵⁰ Bezüglich der Nutzung sozialer Netze und Online-Tätigkeiten kommt es maßgeblich darauf an, dass die Handlung auf den persönlichen oder familiären Bereich begrenzt ist.⁵¹ Ob die Ausnahme im konkreten Fall greift, hängt vom Einzelfall ab: Eine hohe Anzahl an Kontakten und die unbeschränkte Zugriffsmöglichkeit auf ein Nutzerprofil können deuten darauf hin, dass die Ausnahmeregelung keine Anwendung findet.⁵²

1. Räumlicher Anwendungsbereich der DSGVO

Zusätzlich zum sachlichen Anwendungsbereich sind die Voraussetzungen für den räumlichen Anwendungsbereich der DSGVO zu betrachten. Art. 3 DSGVO definiert den räumlichen Anwendungsbereich der DSGVO:

a) Das Niederlassungsprinzip

Wenn der Verantwortliche oder der Auftragsverarbeiter über eine Niederlassung in der EU verfügt, gilt die DSGVO (Art. 3 Abs.1 DSGVO), unabhängig davon, ob die Verar- beitung in der EU stattfindet. Was unter einer Niederlassung zu verstehen ist, führt Erwägungsgrund 22 DSGVO aus: „Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus“ unabhängig von der Rechtsform.⁵³

b) Das Marktortprinzip

Die DSGVO findet auch Anwendung, wenn EU-Bürgern Waren oder Dienstleistungen durch Datenverarbeitungen angeboten werden (Art. 3 Abs.2 lit. a) DSGVO). Durch diese Regelung soll vermieden werden, „dass Unternehmen durch die Auswahl der Niederlassung die jeweils für sie günstigste Rechtsordnung wählen können (sog. Forum Shopping)“.⁵⁴

c) Das Marktbeobachtungsprinzip

Die DSGVO findet auch Anwendung im Zusammenhang mit der Beobachtung des Verhaltens betroffener Personen in der EU (Art. 3 Abs.2 lit. b) DSGVO). Dies trifft z.B. auf Diensteanbieter zu, die das Surfverhalten ihrer Webseiten-Besucher unter Einsatz von Cookies oder Tracking-Tools (z.B. der Like-Button von Facebook) zum Zweck personalisierter Werbung auswerten.⁵⁵

Sind bei dem Angebot von Cloud- oder Streaming-Diensten der Verantwortliche oder der Auftragsverarbeiter mit einer Niederlassung in der EU bzw. im EWR vertreten, so ist der räumliche Anwendungsbereich der DSGVO gegeben. Wenn der Cloud- oder Streaming-Anbieter in einem Drittland niedergelassen ist, greift bei einem Angebot an Kunden in der EU bzw. im EWR neben den lokalen Datenschutzgesetzen ebenso die DSGVO, wenn die Voraussetzungen des Marktort- oder Marktbeobachtungsprinzips erfüllt sind.

II. Bedeutung der Grundsätze der DSGVO

Die Grundsätze der Verarbeitung personenbezogener Daten sind in Art. 5 DSGVO definiert und stellen allgemeine datenschutzrechtliche Anforderungen dar:

a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz sind die tragenden Prinzipien der DSGVO (Art. 5 Abs. 1 lit. a) DSGVO).

i) Der Grundsatz der Rechtmäßigkeit der Verarbeitung fordert, „dass jede Verarbeitung personenbezogener Daten einer Einwilligung oder einer sonstigen Rechtfertigung bedarf“.⁵⁶ Art. 6 Abs.1 DSGVO enthält sechs Erlaubnistatbestände, die die Verarbeitung personenbezogener Daten rechtfertigen können. Die Rechtmäßigkeit der Verarbeitung wird in Kapitel III detaillierter betrachtet.
ii) Der Grundsatz der Verarbeitung nach Treu und Glauben entspricht dem Verhältnismäßigkeitsgrundsatz: Die Verarbeitung muss „zur Verwirklichung eines legitimen Zwecks geeignet sein und das mildeste aller gleich effektiven Mittel bedeuten“.⁵⁷
iii) Das Transparenzgebot findet seine Ausprägung in den Informationspflichten des Verantwortlichen gemäß Art. 12, 13 und 14 DSGVO sowie in den Auskunftsrechten der Betroffenen aus Art. 15 DSGVO. Dies wird in Kapitel IV dieser Arbeit näher betrachtet.

Für verantwortliche Cloud- und Streaming-Diensteanbieter bedeuten die Grundsätze der Rechtmäßigkeit, der Transparenz und der Verhältnismäßigkeit, dass für definierte Zwecke der Verarbeitung jeweils eine entsprechende Rechtsgrundlage vorhanden sein muss und nur die hierfür notwendigen Daten verarbeitet werden dürfen. Zweck, Umfang und Rechtsgrundlagen der Verarbeitung sowie die Betroffenenrechte sind in der Datenschutzerklärung des Verantwortlichen transparent darzustellen.

b) Zweckbindungsgrundsatz

Der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) bedeutet, „dass vor der Erhebung personenbezogener Daten die Zwecke der Verarbeitung eindeutig festzulegen sind“.⁵⁸ Der verantwortliche Cloud- und Streaming-Diensteanbieter hat somit den Zweck der Verarbeitung vorab festzulegen und im Rahmen der Informations- und Auskunftspflichten gemäß Artikel 12 Abs. 1, Art. 13 Abs. 1 lit. c) und Abs. 3 sowie 14 Abs. 1 lit. c) DSGVO gegenüber Betroffenen anzugeben. Auch muss der verantwortliche Cloud- und Streaming-Diensteanbieter im Verarbeitungsverzeichnis gemäß Art. 30 Abs. 1 lit. b) DSGVO die jeweiligen Zwecke aufführen.

c) Datenminimierung

Nach dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO muss die Verarbeitung „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Erwägungsgrund 39 DSGVO fordert, dass personenbezogene Daten „nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“. Der verantwortliche Cloud- und Streaming-Diensteanbieter hat somit nur die für die Zwecke der Verarbeitung notwendigen Daten zu verarbeiten und hierzu eine entsprechende Angemessenheitsprüfung durchzuführen.

d) Richtigkeit der Daten

Der Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO) besagt, dass personenbezogene Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein sollen. Der verantwortliche Cloud- und Streaming Diensteanbieter muss angemessene Maßnahmen treffen, um aktuelle und richtige Daten bereitzustellen.

e) Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSDVO) bedeutet, dass personenbezogene Daten nur so lange „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Konkretisiert wird der Grundsatz der Speicherbegrenzung durch die Löschpflichten des Verantwortlichen sowie durch das Recht auf Vergessen des Betroffenen nach Art. 17 DSGVO.⁵⁹

Der verantwortliche Cloud- und Streaming-Diensteanbieter hat für die einzelnen Datenerhebungen ein Löschkonzept mit entsprechenden Löschfristen zu erstellen und diese in der Datenschutzerklärung gegenüber den Betroffenen vor Beginn der Verarbeitung zu kommunizieren.

f) Integrität und Vertraulichkeit

Dieser Grundsatz (Art. 5 Abs. 1 lit. f) DSGVO) orientiert sich an das deutsche Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme als spezielle Ausprägung des allgemeinen Persönlichkeitsrechts inkl. Schutz vor unbeabsichtigtem Löschen, der Zerstörung oder Beschädigung personenbezogener Daten.⁶⁰ Die DSGVO lässt offen, welche TOM im Sinne der DSGVO geeignet sind.⁶¹ Art 32 Abs. 1 DSGVO beinhaltet für den Verantwortlichen und für den Auftragsverarbeiter die grundsätzliche Pflicht, TOM zu implementieren.⁶² Bis die unbestimmten Vorgaben der DSGVO konkretisiert werden, sollten sich Verantwortliche und Auftragsverarbeiter an entsprechende Normen der International Organization for Standardisation (ISO, z.B. ISO27001:2013 zur Informationssicherheit) oder an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik orientieren.⁶³

Für den Verantwortlichen und für Auftragsverarbeiter von Cloud- und Streaming-Diensten bedeutet der Grundsatz der Vertraulichkeit und Integrität, dass angemessene TOM im Rahmen einer Risikoanalyse zu definieren und zu implementieren sind, um das entsprechende Schutzniveau zu erreichen (Art. 32 Abs. 1 DSGVO). Ein Anforderungskatalog mit konkreten Schutzmaßnahmen ist in der Anlage II „Datenschutz-Checkliste: TOM“ aufgeführt.

g) Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO fordert, dass der Verantwortliche für die Einhaltung der datenschutzrechtlichen Grundsätze gemäß Art. 5 Abs. 1 DSGVO verantwortlich ist und die Erfüllung dieser Pflicht durch umfangreiche Dokumentationen nachweisen muss.⁶⁴ Die Rechenschaftspflicht wird durch die Regelung des Art. 24 Abs.1 DSGVO ergänzt: Danach hat der Verantwortliche geeignete TOM umzusetzen und nachzuweisen. Art. 7 Abs. 1 DSGVO beinhaltet als Ausdruck der Rechenschaftspflicht vom Verantwortlichen, dass dieser nachweisen kann, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Ein wichtiger Schritt zur Erfüllung der Nachweispflicht ist ein ordnungsgemäß geführtes Verarbeitungsverzeichnis gemäß Art. 30 DSGVO.⁶⁵ Ausdruck der Rechenschaftspflicht ist auch die Beweislastumkehr in Art. 82 Abs. 3 DSGVO bezüglich der Verantwortlichkeit des Verantwortlichen für Schäden durch nicht ordnungsgemäße Verarbeitung.⁶⁶

Für den verantwortlichen Cloud- und Streaming-Diensteanbieter bedeutet der Grundsatz der Rechenschaftspflicht, dass die allgemeinen Grundsätze der DSGVO gemäß Art. 5 Abs. 1 DSGVO nachweislich umgesetzt und die allgemeinen datenschutzrechtlichen Anforderungen mit folgenden Inhalten erfüllt sein müssen:

- Erstellung eines Datenschutz- und Informationssicherheitskonzeptes.
- Definition der Prozesse und Inhalte zur Sensibilisierung der Mitarbeiter und Dienstleister im Bereich Datenschutz (Art. 5 Abs. 1 lit. f) DSGVO, Art. 32 Abs. 4 DSGVO, Art. 28 Abs. 3 lit. b) DSGVO, Art. 29 DSGVO und Art. 32 Abs. 4 DSGVO).
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO).
- Vorliegen eines Verfahrens zu Datenschutz-Folgenabschätzungen (DSFA, Art. 35 DSGVO).
- Umgang mit Datenschutzvorfällen (Art. 5 Abs. 2 DSGVO in Kombination mit Art. 33 DSGVO).

Diese allgemeinen datenschutzrechtlichen Anforderungen sind in der Datenschutz-Checkliste „Datenschutzkonzept und Datenschutzprozesse“ in Anlage I dargestellt.

III. Rechtmäßigkeit der Verarbeitung gemäß DSGVO

Grundsätzlich muss jede Verarbeitung personenbezogener Daten im Anwendungsbereich der DSGVO gerechtfertigt werden. Es muss einen Erlaubnistatbestand geben, der den konkreten Verarbeitungsvorgang legitimiert (Verbot mit Erlaubnisvorbehalt).⁶⁷ Art.6 Abs.1 DSGVO enthält sechs Erlaubnistatbestände, die die Verarbeitung personenbezogener Daten rechtfertigen können. Besonders wichtig für Cloud- und Streaming-Diensteanbieter als Verantwortliche sind folgende Rechtsgrundlagen:

a) Einwilligung (Art. 6 Abs. 1 lit a) DSGVO)

Die Verarbeitung ist rechtmäßig, wenn die betroffene Person ihre Einwilligung erteilt hat. Eine Einwilligung ist gemäß Erwägungsgrund 32 DSGVO eine „eindeutige bestätigende Handlung, …mit der bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.⁶⁸ Die Voraussetzungen der Einwilligung regelt Art. 7 DSGVO in Kombination mit der Begriffsbestimmung in Art. 4 Nr. 11 DSGVO:⁶⁹

- Freiwilligkeit: Die Einwilligung muss mit echter Wahlmöglichkeit, ohne Zwang abgegeben werden.⁷⁰ Eine Einwilligung droht unwirksam zu sein, wenn zu verschiedenen Zwecken der Verarbeitung von personenbezogenen Daten keine separate Einwilligung abgefragt wird oder wenn für die Vertragserfüllung die abgefragte Einwilligung nicht erforderlich ist („Kopplungsverbot“) (Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 DSGVO⁷¹ ).⁷²
- Bestimmtheit: Die wirksame Einwilligung muss hinreichend bestimmt sowie eindeutig sein und sich auf konkrete Fälle und Zwecke der Verarbeitung beziehen.⁷³
- Informiertheit: Der Betroffene muss ausreichend informiert sein und die „Einwilligung in Kenntnis der Sachlage“ erteilen.⁷⁴
- Unmissverständlichkeit: Die Einwilligung muss durch ausdrückliche Erklärung oder eindeutige Handlung erteilt worden sein.⁷⁵

Der Betroffene muss in allen Fällen über die Möglichkeit des Widerrufs seiner Einwilligung aufgeklärt werden.⁷⁶ Eine Besonderheit stellt die Einwilligung bei Kindern und Jugendlichen bezüglich der Dienste der Informationsgesellschaft dar:⁷⁷ Ist die betroffene Person unter 16 Jahre alt, ist eine Einwilligung des Erziehungsberechtigten notwendig (Art. 8 Abs. 1 S. 1, 2 DSGVO). Unter Diensten der Informationsgesellschaft versteht Art. 4 Nr. 25 DSGVO eine Dienstleistung im Sinne des Art. 1 Nr. 1 lit. b) der Richtlinie EU 2015/1535⁷⁸ und damit im wesentlichen Telemedien gemäß § 1 Abs. 1 Satz 1 Telemediengesetz (TMG).⁷⁹ Eine Ausnahme sieht Erwägungsgrund 38 Satz 3 DSGVO vor, wenn es sich um Präventions- oder Beratungsdienste handelt.⁸⁰

Cloud- und Streaming-Diensteanbieter haben für die Verarbeitung personenbezogener Daten, z.B. für die Weitergabe personenbezogener Daten an Dritte, eine datenschutzrechtliche Einwilligung vom Betroffenen einzuholen, für die gemäß Art. 7 DSGVO hohe Anforderungen gestellt sind. Neben der datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO sind auch weitere Normen für eine Einwilligung im Rahmen der Bereitstellung von Streaming- oder Cloud-Diensten zu berücksichtigen:

- Werden Cookies oder Trackingcodes genutzt, so sind für nicht-notwendige Trackingcodes (z.B. für Marketingzwecke) Einwilligungen einzuholen. § 15 Abs. 3 TMG ist noch geltendes nationales Recht und nach dem EuGH-⁸¹ sowie BGH- Urteil⁸² richtlinienkonform auszulegen.⁸³ Gemäß Art. 95 DSGVO geht die ePrivacy-Richtlinie der DSGVO als speziellere Regelung vor. Davon unberührt ist die Informationspflicht nach Art. 13 DSGVO.
- Der Bundestag hat am 20.05.2021 den Entwurf des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutzgesetz - TTDSG) mehrheitlich angenommen. Das TTDSG ist am 21. Dezember 2021 in Kraft getreten und hat die Datenschutzbestimmungen des TMG und des Telekommunikationsgesetzes (TKG) abgelöst. Das TTDSG enthält eine Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien und setzt die entsprechende Vorgabe der ePrivacy-Richtlinie in nationales Recht um.⁸⁴

Bei der Zusendung von Marketing-Informationen sind die Anforderungen der ePrivacy-Richtlinie, umgesetzt im nationalen Recht durch § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), zu berücksichtigen.

b) Vertragsdurchführung (Art. 6 Abs. 1 lit b) DSGVO)

Datenverarbeitungen, die zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, sind rechtmäßig. Der Grundsatz der Erforderlichkeit entspricht einer Verhältnismäßigkeitsprüfung: Um die Vertragsdurchführung zu ermöglichen, darf es keine andere Möglichkeit ohne entsprechende Datenverarbeitung geben.⁸⁵ Zudem ist eine Angemessenheitsprüfung durchzuführen, bei der die Grundrechte und Interessen des Betroffenen und die Interessen des Verantwortlichen gegeneinander abzuwägen sind.⁸⁶ Nach herrschender Meinung zulässig ist die Verarbeitung der Kontaktdaten des Vertragspartners.

c) Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO)

Datenverarbeitungen sind rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich sind. Der Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f) DSGVO verlangt eine Abwägung der kollidierenden Interessen, wobei die Grundrechte und Grundfreiheiten der Betroffenen zu berücksichtigen sind: Nur wenn die legitimen Interessen des Verantwortlichen im konkreten Fall überwiegen, darf die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.⁸⁷

Beispiele für die Wahrung berechtigter Interessen sind:

- Datenverarbeitungen zur Verhinderung von Betrug oder zu Zwecke der Direktwerbung ( Erwägungsgrund 47 DSGVO⁸⁸ ). Die Speicherung von Kundendaten zur Kundenansprache ist in diesem Kontext grundsätzlich zulässig.⁸⁹
- Datenverarbeitungen zur Sicherstellung der Netz- und Informationssicherheit ( Erwägungsgrund 49 DSGVO⁹⁰ ).

IV. Informationspflichten und Rechte Betroffener gemäß DSGVO

Wesentliches Ziel der DSGVO ist die Stärkung der Betroffenenrechte als Ansprüche und Gestaltungsmöglichkeiten der Betroffenen gegenüber dem Verantwortlichen.⁹¹ Art. 12 - 15 DSGVO konkretisieren den Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a) DSGVO. Art. 12 Abs. 1 DSGVO verlangt, Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ zu übermitteln. Die Einhaltung der Informationspflicht ist gemäß Art. 13 DSGVO mit folgenden Regelungsinhalten sicherzustellen:

a) Der Verantwortliche muss den Betroffenen im Zeitpunkt der Erhebung seinen Namen und seine Kontaktdaten sowie ggf. seines Vertreters und die Kontaktdaten seines Datenschutzbeauftragten mitteilen (Art. 13 Abs. 1 lit. a,b) DSGVO).
b) Der Verantwortliche hat die Zwecke der Verarbeitung der personenbezogenen Daten mitzuteilen sowie die entsprechende Rechtsgrundlage der jeweiligen Verarbeitung und die Empfänger bzw. Kategorien von Empfängern der Daten mitzuteilen (Art. 13 Abs. 1 lit. c,e) DSGVO).
c) Der Verantwortliche hat in den Fällen, in denen er eine Verarbeitung auf die Wahrung berechtigter Interessen oder die von Dritten stützt, diese ausdrücklich zu benennen (Art. 13 Abs. 1 lit. d) DSGVO).
d) Plant der Verantwortliche, die Daten in ein Drittland zu übermitteln oder an eine internationale Organisation weiterzugeben, so hat er die Betroffenen darüber zu unterrichten. Falls es keinen Angemessenheitsbeschluss in dem Drittland gibt, muss der Betroffene zusätzlich über die vorgenommenen Garantien (Art. 46 Abs. 2 DSGVO) informiert werden, die ein angemessenes Datenschutzniveau herstellen.⁹²
e) Zur Gewährleistung einer fairen und transparenten Datenverarbeitung muss der Verantwortliche dem Betroffenen weitere Informationen nach Art. 13 Abs. 2 DSGVO zur Verfügung stellen:

- Dauer der Verarbeitung bzw. Kriterien für die Festlegung der Dauer
- Belehrung über die Betroffenenrechte nach Art. 15-20 DSGVO
- die jederzeitige Widerruflichkeit der Einwilligung für die Zukunft

Eine Übersicht der Anforderungen für die Einhaltung der Informationspflichten und Betroffenenrechte ist in der Anlage III „Datenschutz-Checkliste: Informationspflichten und Betroffenenrechte“ beschrieben.

C. Auftragsverarbeitung und Drittlandtransfer

Im Folgenden wird der Zusammenhang zwischen Auftragsverarbeitung und Drittlandtransfer im Zusammenhang mit den jüngsten Entscheidungen des EUGH dargestellt.

I. Anforderungen an die Auftragsverarbeitung gemäß DSGVO

Bei der Auftragsverarbeitung werden gemäß Art. 28 DSGVO personenbezogene Daten von einem oder mehreren Verantwortlichen an einen Auftragsverarbeiter weitergegeben, damit dieser nach Weisung des Verantwortlichen die Daten verarbeitet.⁹³

Verantwortlicher und Auftragsverarbeiter sind in Art. 4 DSGVO legaldefiniert:

a) Datenschutzrechtlicher Verantwortlicher ist „jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Begriff des Verantwortlichen zeichnet sich somit durch zwei Merkmale aus:

- Es bedarf einer Rechtsperson, der sich eine Verarbeitung von personenbezogenen Daten zuordnen lässt: Der Begriff des „Verantwortlichen“ ist somit mit dem Begriff der „Verarbeitung“ verbunden.⁹⁴
- Die Entscheidung über Zwecke und Mittel der Verarbeitung ist im Sinne der Festlegung der Zwecke und Mittel zu verstehen.⁹⁵

b) Der Auftragsverarbeiter ist nach Art. 4. Nr. 8 DSGVO definiert als eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Nicht ausdrücklich sind in der DSGVO die Tatbestandsvoraussetzungen einer Auftragsverarbeitung geregelt: Ob mit einer Auftragsdatenverarbeitung wie in § 3 Abs. 7, 8 Bundesdatenschutzgesetz alter Fassung (BDSG a.F.) eine datenschutzrechtliche Privilegierung verbunden ist oder ob der Transfer personenbezogener Daten an einen Auftragsverarbeiteter einer separaten Rechtfertigung bedarf, lässt die DSGVO offen.⁹⁶

Nach herrschender Meinung erfolgt die Auftragsdatenverarbeitung nach der Privilegierungstheorie. ⁹⁷ Die Privilegierung im Rahmen der Auftragsverarbeitung bedeutet, dass der Verantwortliche personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine separate gesetzliche Erlaubnis oder Einwilligung des Betroffenen an den Auftragsverarbeiter weitergeben darf und für die Rechtsgrundlage der Verarbeitung verantwortlich ist.⁹⁸ Materiell-rechtliche Voraussetzungen für das Vorliegen einer Auftragsverarbeitung sind folgende Kriterien:

a) Der Verantwortliche veranlasst die Verarbeitung der personenbezogenen Daten und bestimmt Zwecke und Mittel der Verarbeitung.
b) Der Verantwortliche ist gegenüber dem Auftragsverarbeiter weisungsbefugt.
c) Der Verantwortliche kontrolliert die Datenverarbeitung bei dem beauftragten Auftragsverarbeiter, z. B. im Rahmen der Überprüfung der vom beauftragten Auftragsverarbeiter vorgenommenen TOM.

Entscheidet der Verarbeiter selbständig über Zwecke und Mittel der Verarbeitung, so ist der Datenverarbeiter kein Auftragsverarbeiter, sondern Verantwortlicher.⁹⁹ Die DSGVO unterscheidet zwischen Auftragsverarbeitung (Art. 28 f. DSGVO) und dem Joint Controllership (Art. 26 DSGVO).¹⁰⁰ Somit können auch zwei oder mehrere Verantwortliche als gemeinsam Verantwortliche einen Auftragsverarbeiter beauftragen. In der Vereinbarung zur Auftragsverarbeitung kann nur ein Auftragsverarbeiter beauftragt werden, der aber weitere Unterauftragsverarbeiter einschalten kann (Art 28 Abs. 2 und 4 DSGVO).¹⁰¹ Mit den erlaubten Unterauftragsverarbeitern ist jeweils eine separate Auftragsvereinbarung abzuschließen.¹⁰² Art. 28 DSGVO umfasst sowohl „Controller-Processor“- als auch nachgelagerte „Processor-Processor“-Vertragsbeziehungen (Art. 28 Abs. 4 DSGVO). Bei „Processor-Processor“-Vertragsbeziehungen fungiert der Verantwortliche auf der ersten Stufe auch auf den nachgelagerten Stufen der Auftragsverarbeitung als datenschutzrechtlich Verantwortlicher.

Fraglich ist, ob Cloud- und Streaming-Dienste als Auftragsverarbeitungen eingestuft werden können.¹⁰³ Einerseits sind cloudbasierte Dienste in der Regel mit wenig „Ausführungsermessen“ für den Cloud-Nutzer auf Basis standardisierter Prozesse verbunden.¹⁰⁴ Es kommt allein darauf an, wer Zweck und Umfang der Verarbeitung festlegt. In der überarbeiteten und aktuellen Bewertung kam die Artikel-29-Datenschutzgruppe zu dem Ergebnis, „dass in der Regel allein der Cloud-Anwender Zweck und Umfang der Datenverarbeitungen bestimmt“ .. und die „Funktion eines Auftraggebers im Sinn des Verantwortlichen“ übernimmt.¹⁰⁵ In Praxisfällen kann der Cloud-Nutzer und Streaming-Anbieter auch Auftragsverarbeiter gegenüber einem verantwortlichen Kunden sein und auf den Cloud-Anbieter als Unterauftragnehmer zurückgreifen („Processor-Processor“-Vertragsverhältnis). Diese Konstellation ist in den Cloud-Verträgen regelmäßig abgebildet, so z.B. im Data Protection Agreement (DPA) von Amazon Webservices.¹⁰⁶

Gegen die Rolle des Cloud-Kunden als Verantwortlicher spricht auch nicht, dass der Cloud-Nutzer die Art und Weise der TOM des Cloud-Anbieters nicht beeinflussen kann: Der Cloud-Nutzer muss bei seiner notwendigen Kontrolle und Wahlfreiheit in Bezug auf die erforderlichen Schutzmaßnahmen bei der Auswahl des Cloud-Anbieters nachkommen, indem er vor Vertragsabschluss mit einem Cloudanbieter prüft, ob dieser die für die Sicherheit der Daten im konkreten Fall notwendigen Maßnahmen trifft („Wahl durch Auswahl“).¹⁰⁷

Liegen die materiellen Voraussetzungen der Auftragsverarbeitung vor, so sind die formalen Anforderungen zu berücksichtigen. Art. 28 DSGVO beinhaltet eine Reihe von Pflichten, die sich für den Verantwortlichen und Auftragsverarbeiter aus der Auftragsverarbeitung ergeben.¹⁰⁸ Gemäß Art. 28 Abs. 3 DSGVO hat „die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrages zu erfolgen“.¹⁰⁹ Der Vertrag ist gem. Art. 28 Abs. 9 DSGVO schriftlich zu schließen, wobei dies auch in einem elektronischen Format erfolgen kann.¹¹⁰ Art. 28 Abs. 3 S. 2 lit. a-h) DSGVO nennt eine Reihe inhaltlicher Anforderungen, die in dem Auftragsverarbeitungsvertrag als Mindestinhalte enthalten sein müssen:¹¹¹

a) Gegenstand und Dauer der Verarbeitung.
b) Art und Zweck der Verarbeitung, Art der personenbezogen Daten, Kategorien der betroffenen Personen.
c) Weisungsrecht des Verantwortlichen.
d) Vertraulichkeit oder Verschwiegenheitspflicht der beteiligten Personen.
e) Pflicht des Auftragsverarbeiters, geeignete TOM zu treffen (Art. 32 DSGVO).
f) Verpflichtung zur Regelung der Unterbeauftragung.
g) Ermöglichen von und Mitwirkung bei Kontrollen.

Eine Übersicht der inhaltlichen Anforderungen für die Auftragsdatenverarbeitung ist in der Anlage III „Datenschutz-Checkliste: Auftragsdatenverarbeitung“ beschrieben.

Verteilung der Verantwortlichkeiten

Gemäß Art. 28 Abs.1 DSGVO muss der Verantwortliche sicherstellen, dass er ausschließlich mit Auftragsverarbeitern zusammenarbeitet, die Garantien bieten, dass geeignete TOM im Einklang mit der DSGVO umgesetzt werden.¹¹²

Diese Verpflichtung ist die notwendige Folge der Verantwortung des Verantwortlichen gem. Art. 24 DSGVO.¹¹³ Der Verantwortliche hat nicht die Pflicht, die Maßnahmen selbst zu prüfen, vielmehr hat er zu prüfen, ob der Auftragsverarbeiter entsprechende Garantien bieten kann, z.B. „im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen“ oder durch Vorlage geeigneter Zertifikate.¹¹⁴ Gemäß Art. 32 DSGVO obliegt die Pflicht, geeignete TOM zu treffen sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter.¹¹⁵

Die Rechtsfolgen von Verletzungshandlungen durch den Verantwortlichen oder durch den Auftragsverarbeiter sind wie folgt geregelt:

- Art 82 Abs. 1 DSGVO stellt allgemein fest, dass jede Person wegen einer Verletzungshandlung gegen die DSGVO Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat, wenn durch eine Verletzungshandlung ein entsprechender Schaden entstanden ist. Der Haftungsgrundsatz wird in Art. 82 Abs. 2 DSGVO konkretisiert und insofern eingeschränkt, als der Auftragsverarbeiter nur dann haften soll, wenn der Schaden dadurch verursacht wurde, dass der Auftragsverarbeiter gegen eine dem Auftragsverarbeiter in der DSGVO auferlegte Pflicht (z.B. Art. 30 DSGVO) verstoßen hat oder er nicht nach Weisung gehandelt hat.¹¹⁶ Für die Entstehung des Schadensersatzanspruchs kommt es nicht darauf an, ob der Schaden vorsätzlich oder fahrlässig verursacht wurde. Allerdings können sich nach Art. 82 Abs. 3 DSGVO der Verantwortliche und der Auftragsverarbeiter exkulpieren.¹¹⁷

- Art. 83 DSGVO sieht Bußgelder für jeden Verstoß gegen Vorschiften der DSGVO vor, die der Verantwortliche oder der Auftragsverarbeiter begangen hat.¹¹⁸ Art. 83 Abs. 4 lit. a) DSGVO sieht z.B. bei Verletzungen der Pflichten des Verantwortlichen und des Auftragsverarbeiter gemäß Art. 28 DSGVO (z.B. bei Einsatz eines unzuverlässigen Auftragsverarbeiters oder bei nicht erfolgtem Abschluss einer AVV) oder bei Verstoß gegen Art. 32 DSGVO (z.B. Fehlen von TOM) Geldbußen von bis zu 10 Mio. Euro bzw. von bis zu 2 % des gesamten erzielten Jahresumsatzes eines Unternehmens vor.¹¹⁹
- Die Strafvorschriften des § 42 Abs. 2 BDSG mit einer möglichen Verhängung von Freiheits- oder Geldstrafen können ggf. Anwendung finden, wenn ein Auftragsverarbeiter z.B. vorsätzlich ohne die erforderliche Genehmigung des Verantwortlichen weitere Auftragsverarbeiter zu seinem finanziellen Vorteil einsetzt.¹²⁰

[...]

---

¹ Statista, 2021, https://de.statista.com/statistik/daten/studie/195760/umfrage/umsatz-mit-cloud-computing-wel weit/ (letzter Abruf vom 20.6.2021).

² https://www.digital-x.eu/de/events (letzter Abruf vom 24.09.2021).

³ Nägele/Jacobs, ZUM 2010, 281.

⁴ Nägele/Jacobs, ZUM 2010, 281, 282.

⁵ Nägele/Jacobs, ZUM 2010, 281, 282.

⁶ Niemann/Paul/Weiss, Praxishandbuch Rechtsfragen des Cloud Computing, 2014, Kap. 3 Rn 38.

⁷ Niemann/Paul/Weiss, Praxishandbuch Rechtsfragen des Cloud Computing, 2014, Kap. 3 Rn 40.

⁸ Nägele/Jacobs, ZUM 2010, 281, 282; Böhi, Streaming von urheberrechtlich geschützten Werken. Eine Bewertung aus der Perspektive des Schweizer Urheber- und Strafrechts, Dissertation University of Zurich, Faculty of Law 2016, RN. 12.

⁹ Busch, GRUR 2011, 496, 497.

¹⁰ Völtz, MMR 2013, 619, 621.

¹¹ Köhler/Fetzer, Recht des Internet, 2016, 218.

¹² Busch, GRUR 2011, 496, 497, Koch, GRUR 2010, 574, 575.

¹³ Koch, GRUR 2010, 574, 575.

¹⁴ Busch, GRUR 2011, 496, 497, Koch, GRUR 2010, 574, 575.

¹⁵ Busch, GRUR 2011, 496, 498.

¹⁶ Ruether, 2019, https://www.wowza.com/blog/streaming-protocols (letzter Abruf vom 15.9.2021).

¹⁷ Busch, GRUR 2011, 496, 498.

¹⁸ Busch, GRUR 2011, 496, 498.

¹⁹ Busch, GRUR 2011, 496, 498.

²⁰ Köhler/Fetzer, Recht des Internet, 2016, 218.

²¹ Busch, GRUR 2011, 496, 498.

²² Busch, GRUR 2011, 496, 498.

²³ Busch, GRUR 2011, 496, 498.

²⁴ Ruether, 2019, https://www.wowza.com/blog/streaming-protocols (letzter Abruf vom 26.7.2021).

²⁵ Ruether, 2019, https://www.wowza.com/blog/streaming-protocols (letzter Abruf vom 26.7.2021).

²⁶ Ruether, 2019, https://www.wowza.com/blog/streaming-protocols (letzter Abruf vom 26.7.2021).

²⁷ Hoeren, Internet-Recht, Stand April 2020, 418,419, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf (letzter Abruf am 14.9.2021).

²⁸ RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, https://datenschutz-hamburg.de/assets/pdf/EU-Richtlinie_2016-680_vom_27.4.2016__JI-Richtlinie_.pdf (letzter Abruf am 20.09.2021).

²⁹ Hoeren, Internet-Recht, Stand April 2020, 421, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf (letzter Abruf am 14.9.2021).

³⁰ Hoeren, Internet-Recht, Stand April 2020, 421, 422, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf (letzter Abruf am 14.9.2021).

³¹ Art. 4 Nr. 1 DSGVO.

³² Pötters/Böhm, in: Wybitul, Handbuch DSGVO; 1.Auflage, 2017, Art. 4 Begriffsbestimmungen, Rn. 5.

³³ Hoeren, Internetrecht, 2020, 452, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, (letzter Abruf 10.4.2021).

³⁴ Hoeren, Internetrecht, 2020, 452 https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, (letzter Abruf 14.9.2021).

³⁵ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 452 (letzter Abruf 14.9.2021).

³⁶ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 452, 453 (letzter Abruf 14.9.2021).

³⁷ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 453 (letzter Abruf 14.9.2021).

³⁸ Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533.

³⁹ Erwägungsgrund 26 DSGVO.

⁴⁰ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 453 (letzter Abruf 14.9.2021).

⁴¹ Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533.

⁴² EuGH, Urt. v. 19.10.2016 - C 582/14, https://curia.europa.eu/juris/document/document.jsf?docid=184668&do clang=DE (letzter Abruf 23.7.2021).

⁴³ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 455 (letzter Abruf 10.4.2021).

⁴⁴ Kartheuser/Gilsdorf, MMR-Aktuell 2016, 382533.

⁴⁵ BGH, Urt. v. 16.5.2017 - VI ZR 135/13, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=78741&pos=0&anz=1 (letzter Abruf 15.9.2021).

⁴⁶ Art.-29-Datenschutzgruppe, Opinion 05/2014 on Anonymisation Techniques, 10.4.2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf (letzter Abruf: 5.5.2021).

⁴⁷ Pötters/Böhm, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 4, Rn. 9.

⁴⁸ Rauer/Ettig, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 2 Sachlicher Anwendungsbereich, Rn. 13.

⁴⁹ Art. 2 Abs. 2 lit. d) DSGVO.

⁵⁰ Erwägungsgrund 18 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-18/ (letzter Abruf am 1.08.2021).

⁵¹ Rauer/Ettig, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 2 Sachlicher Anwendungsbereich, Rn. 10.

⁵² Rauer/Ettig, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 2 Sachlicher Anwendungsbereich, Rn. 11.

⁵³ Erwägungsgrund 22 DSGVO.

⁵⁴ Rauer/Ettig, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 3 Räumlicher Anwendungsbereich, Rn. 9.

⁵⁵ Rauer/Ettig, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 3 Räumlicher Anwendungsbereich, Rn. 13.

⁵⁶ Erwägungsgrund 40 DSGVO; Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, Rn. 7.

⁵⁷ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung per- sonenbezogener Daten, Rn. 8.

⁵⁸ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, Rn. 13.

⁵⁹ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, Rn. 29.

⁶⁰ BVerfG, Urt. v. 27.2.2008, https://www.bundesverfassungsgericht.de/Shared Docs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html (letzter Abruf 1.8.2021).

⁶¹ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung per- sonenbezogener Daten, Rn. 34.

⁶² Schreibauer/Splittka, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 32 Sicherheit der Verarbeitung, Rn. 5, Rn. 8.

⁶³ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung per- sonenbezogener Daten, Rn. 35.

⁶⁴ Böhm/Ströbel, in: Wybitul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, Rn. 39.

⁶⁵ Erwägungsgrund 82.

⁶⁶ Böhm/Ströbel, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten, Rn. 40.

⁶⁷ Pötters/Rauer, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 6 Rechtmäßigkeit der Verarbeitung, Rn. 13.

⁶⁸ Erwägungsgrund 32 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-32/ (letzter Abruf am 17.7.2021).

⁶⁹ Pötters/Rauer, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 6 Rechtmäßigkeit der Verarbeitung, Rn.12.

⁷⁰ Fladung/Pötters, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 7,8 Einwilligung, Rn. 15.

⁷¹ Erwägungsgrund 43 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-43/ (letzter Abruf am 2.8.2021)

⁷² Fladung/Pötters, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 7,8 Einwilligung, Rn. 15.

⁷³ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 423 (letzter Abruf 10.4.2021).

⁷⁴ Fladung/Pötters, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 7,8 Einwilligung, Rn. 18.

⁷⁵ Fladung/Pötters, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 7,8 Einwilligung, Rn. 9.

⁷⁶ Fladung/Pötters, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 7,8, Einwilligung, Rn. 15.

⁷⁷ Hoeren, Internetrecht, 2020, https://www.itm.nrw/wp-content/uploads/skript-internetrecht-juli-2020.pdf, 423 (letzter Abruf 10.4.2021).

⁷⁸ RICHTLINIE (EU) 2015/1535 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L1535&from=ES (letzter Abruf 13.5.2021).

⁷⁹ Telemediengesetz, https://www.gesetze-im-internet.de/tmg/BJNR017910007.html (letzter Abruf 13.5.2021).

⁸⁰ Erwägungsgrund 38 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-38/ (letzter Abruf am 9.5.2021).

⁸¹ EuGH, Urt. v. 1.10.2019 - C-673/17 (Planet 49), https://curia.europa.eu/jcms/upload/docs/application/pdf/2019 10/cp190125de.pdf (letzter Abruf am 8.7.2021).

⁸² BGH, Urt. v. 28.5.2020 - I ZR 7/16, https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=107623&pos=6&anz=672 (letzter Abruf am 8.7.2021)

⁸³ Keppeler, https://www.heuking.de/de/news-events/fachbeitraege/der-bgh-stellt-klar-nicht-notwendige-cookies nur-mit-einwilligungserklaerung.html (letzter Abruf 1.7.2021).

⁸⁴ Stehmeier, Neue Cookie-Regelung: Überblick zum TTDSG, 9.6.2021, https://www.datenschutzkanzlei.de/neue- cookie-regelung-ueberblick-zum-entwurf-des-ttdsg/, (letzter Abruf am 2.8.2021).

⁸⁵ Pötters/Rauer, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 6, Rechtmäßigkeit der Verarbeitung, Rn.16.

⁸⁶ Pötters/Rauer, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 6, Rechtmäßigkeit der Verarbeitung, Rn.16.

⁸⁷ Pötters/Rauer, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 6,Rechtmäßigkeit der Verarbeitung, Rn. 33.

⁸⁸ Erwägungsgrund 47 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-47/ (letzter Abruf 13.5.2021).

⁸⁹ Pötters/Rauer, in: Wybul, Handbuch DSGVO;1.Auflage, 2017, Art. 6, Rechtmäßigkeit der Verarbeitung, Rn. 37.

⁹⁰ Erwägungsgrund 49 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-49/ (letzter Abruf 14.5.2021).

⁹¹ Franck, RDV, 2016, 111.

⁹² Pötters/Bausewein, in: Wybul, Handbuch DSGVO; 1. Auflage, 2017, Art. 12-15, Rn. 28.

⁹³ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, 2020, 7.

⁹⁴ Pötters/Böhm, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 4 Begriffsbestimmungen, Rn. 28.

⁹⁵ Pötters/Böhm, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 4 Begriffsbestimmungen, Rn. 28.

⁹⁶ Pötters/Böhm, in: Wybul, Handbuch DSGVO; 1.Auflage, 2017, Art. 4 Begriffsbestimmungen, Rn. 38.

⁹⁷ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, 2020, 13.

⁹⁸ Lange, 4.6.2019, https://www.activemind.de/magazin/privilegierung-auftragsverarbeitung/ (letzter Abruf am 14.9.2021).

⁹⁹ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Über prüfbarkeit, DuD-Fachbeiträge, 2020, 7.

¹⁰⁰ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Über prüfbarkeit, DuD-Fachbeiträge, 2020, 7.

¹⁰¹ Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 4.

¹⁰² Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 4.

¹⁰³ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomati sierte Überprüfbarkeit, DuD-Fachbeiträge, 2020, 7.

¹⁰⁴ Niemann/Paul/Niemann, Praxishandbuch Rechtsfragen des Cloud Computing, 2014, Kap. 5 Rn 31.

¹⁰⁵ Article 29 Data Protection, Working Party, Opinion 05/2012 on Cloud Computing (WP 196), adopted July 1st 2012, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf (letzter Abruf am 2.5.2021).

¹⁰⁶ DPA Amazon Web Services, https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf (letzter Abruf am 2.5.2021).

¹⁰⁷ Niemann/Paul/Niemann, Praxishandbuch Rechtsfragen des Cloud Computing, 2014, Kap. 5 Rn 34.

¹⁰⁸ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Über- prüfbarkeit, 2020, 14.

¹⁰⁹ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Über- prüfbarkeit, 2020, 14.

¹¹⁰ Art. 28 Abs. 9 DSGVO; Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 46.

¹¹¹ Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 46.

¹¹² Art. 28 Abs.1 DSGVO.

¹¹³ Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 23.

¹¹⁴ Erwägungsgrund 81 DSGVO; Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 24.

¹¹⁵ Tinnefeld/Krätschmer, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 28 Auftragsverarbeiter, Rn. 25.

¹¹⁶ Krätschmer/Bausewein, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 82 Haftung und Recht auf Schadensersatz, Rn. 8.

¹¹⁷ Krätschmer/Bausewein, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 82 Haftung und Recht auf Schadensersatz, Rn. 9.

¹¹⁸ Schreibauer/Splittka, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen, Rn. 4.

¹¹⁹ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Über- prüfbarkeit, 2020,16,17;Schreibauer/Splittka, in: Wybitul, Handbuch DSGVO, 1. Auflage, 2017, Art. 83, Rn.18.

¹²⁰ Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, 2020,17.