Die europäische Datenschutz-Grundverordnung und das reformierte BDSG. Das neue Datenschutzrecht aus Unternehmenssicht

Inhaltsverzeichnis

Vorwort

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

A. Einleitung
I. Problemstellung
II. Gang der Darstellung und Analyse

B. Grundlagen des Datenschutzrechts
I. Hintergrund des Datenschutzrechts
1. Das europäische Datenschutzrecht
2. Die Datenschutzrichtlinie 95/46/EG
3. Das Bundesdatenschutzgesetz (neu)
II. Die Grundprinzipien der DSGVO
1. Rechtmäßigkeit, Treu und Glaube, Transparenz, Art. 5 Abs. 1 a) DSGVO
2. Zweckbindung, Art. 1 Abs. 2 b) DSGVO
3. Datenminimierung, Art. 5 Abs. 1 c) DSGVO
4. Richtigkeit, Art. 5 Abs. 1 d) DSGVO
5. Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO
6. Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO
7. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
III. Sachlicher Anwendungsbereich
1. Sachlicher Anwendungsbereich der DSGVO
2. Sachlicher Anwendungsbereich des BDSG (neu)
IV. Räumlicher Anwendungsbereich
1. Das Marktortprinzip, Art. 3 Abs. 2 DSGVO
a) Angebot von Waren oder Dienstleistungen, Art. 3 Abs. 2 a) DSGVO
b) Verhaltensbeobachtung und Profiling, Art. 3 Abs. 2 b) DSGVO

C. Datenschutzrecht aus Unternehmenssicht
I. Die Rolle des Datenschutzbeauftragten
1. Stellung des Datenschutzbeauftragten, Art. 38 DSGVO
2. Öffnungsklausel zur Benennung des Datenschutzbeauftragten
3. Aufgaben und Befugnisse des Datenschutzbeauftragten
4. Erweitertes Haftungsrisiko des Datenschutzbeauftragten?
II. Das Verarbeitungsverzeichnis
1. Das Verarbeitungsverzeichnis des Verantwortlichen
2. Das Verarbeitungsverzeichnis des Auftragsverarbeiters
3. Das Verarbeitungsverzeichnis in der Praxis
III. Die Datenschutz-Folgenabschätzung
1. Der Begriff des ״hohen Risikos“
2. Der Begriff der ״neuen Technologien“ gern. Art. 35 Abs. 1 DSGVO
3. Fallgruppen der Datenschutz-Folgenabschätzung
4. Anforderungen an die Datenschutz-Folgenabschätzung
5. Modell der Datenschutz-Folgenabschätzung
a) Die Risikobewertung (״risk assessment“)
b) Die Risikobehandlung (״risk treatment“)
c) Das Konsultationsverfahren (״risk consultation“)
IV. Die technischen und organisatorischen Maßnahmen
1. Datenschutz durch Technikgestaltung ״privacy by design“
2. Datenschutz durch datenschutzfreundliche Voreinstellungen ״privacy by default“
3. Orientierungshilfen für Lösch- und Sperrkonzepte
a) Einwilligung bei der Erhebung von Daten
b) Ein Vertrag kommt zustande
c) Zusatzleistungen
d) Sonstige Löschfristen
V. Die Betroffenenrechte
1. Informationspflichten, Art. 13, 14 DSGVO
a) Ausnahmenkatalog, Art. 13 Abs. 4 DSGVO i.v.m. § 32 BDSG (neu)
b) Ausnahmenkatalog, Art. 14 Abs. 5 a) DSGVO i.v.m. § 33 BDSG (neu)
2. Auskunftsansprüche, Art. 15 DSGVO
3. Berichtigungsansprüche, Art. 16 DSGVO
4. Löschungsansprüche, Art. 17 DSGVO
5. Das Recht auf Datenübertragbarkeit, Art. 20 DSGVO
VI. Die Auftragsverarbeitung
1. Inhalt einer Auftragsverarbeitungsvereinbarung
2. Abgrenzung Auftragsverarbeitung VS. Joint Controllership
3. Abgrenzung Auftragsverarbeitung VS. Funktionsübertragung
VII. Die Datenübertragung in Drittländer
1. Der Angemessenheitsbeschluss
a) Das Beispiel EU-US-Privacy Shield
2. Die Garantien
a) Binding Corporate Rules (BCR), Art. 46 Abs. 2 b) DSGVO
b) Standarddatenschutzklauseln, Art. 46 Abs. 2 c) DSGVO
c) Codes of Conduct, Art. 46 Abs. 2 e) DSGVO
d) Vertragsklauseln, Art. 46 Abs. 3 a) DSGVO
3. Brexit: Großbritannien und Nordirland als Drittländer

D. Ausblick & Fazit
I. Ausblick auf das Datenschutzrecht aus Unternehmenssicht
II. Ausblick auf das Datenschutzrecht aus Expertensicht
1. Interview mit Herrn Tim Wybitul
2. Resümee zum Interview
III. Fazit

Literatur- und Quellenverzeichnis

Vorwort

Zu Beginn meiner Masterthesis möchte ich einen Dank an alle aussprechen, die mich während meines akademischen Werdegangs stets unterstützt haben.

In erster Linie danke ich meinen beiden Prüfern Herrn Prof. Dr. Matthias Pierson und Herrn Christian Reichel, die mir bei der gemeinsamen Themenfindung und auch während der Bearbeitungszeit durch ihre hochqualitative Betreuung weiter­geholfen haben.

Zudem möchte ich mich bei meinen Eltern, meiner Familie und meinen Freunden bedanken, die mir während meiner Studienzeit und darüber hinaus zur Seite standen.

Das neue Datenschutzrecht versucht neben einem harmonisierten Einheitsrecht für die Europäische Union gleichzeitig auch Rahmenbedingungen zu schaffen, die dem disruptiven Wandel durch technologischen Fortschritt in unserer Welt gerecht werden soll. Dabei findet sich die Europäische Union in einem Entwick­lungsprozess wieder. Die Rechtsprechung, die Politik und die Wirtschaft versu­Chen im Einklang mit der Forschung und Lehre nach und nach für Rechtsklarheit im neuen Datenschutzrecht zu sorgen.

Mit meiner Masterthesis möchte ich meinen Teil zu diesem Prozess beitragen.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1 : Katalog der Erlaubnistatbestände nach Art. 6 Abs 1. b) - f)

Abbildung 2: Vergleich der Aufgabenkreise des DSB, DSGVO/BDSG (alt)

Abbildung 3: Schadensfälle nach Erwägungsgrund 75 DSGVO

Abbildung 4: Beispiel Risiko-Matrix mit vier stufen

Abbildung 5: Die Risikoklassen

Abbildung 6: Katalog zur Offenlegung von Informationen

Abbildung 7: Erweiterung zum Katalog zur Offenlegung von Informationen

Abbildung 8: Bekanntheit der Datenschutz-Grundverordnung

Abbildung 9: Aktuelle und zukünftige Umsetzung

A. Einleitung

I. Problemstellung

Die Bestrebungen der Europäischen Union (EU) in Form der Datenschutz-Grund­Verordnung (DSGVO) ein harmonisiertes Datenschutzrecht für alle Mitgliedsstaa­ten zu schaffen, hat wirtschaftspolitisch für Verwirrung und Unsicherheit gesorgt. Durch essentielle Änderungen im Gegensatz zur Datenschutzrichtlinie, wie bei­spielsweise der Beweislastumkehr zulasten von Unternehmen sowie neu aufer­legten Pflichten für Verantwortliche, die personenbezogenen Daten verarbeiten und Auftragsverarbeiter, die im Namen anderer personenbezogenen Daten ver­arbeiten, eröffnen sich besonders in der Wirtschaft dringende Fragen und allge­meine Verunsicherung, die in dieser Arbeit durch eine klare Analyse der aktuellen Rechtslage behandelt werden. Denn die neue Verordnung bringt neben unklaren Formulierungen und Regelungslücken auch ein ganz neues Maß an Sanktionen mit sich, die für viele Unternehmen im ״worst case“ identitätsgefährdend sein kön­nen. Auf der anderen Seite zeigt sich durch die Analyse der neuen DSGVO und die zusätzliche Betrachtung des novellierten Bundesdatenschutzgesetzes, wie dringend die Rechtslage an den aktuellen Stand der Technik angepasst werden musste. Der Transfer und die Analyse enorm großer Datenmengen im Zuge von Big Data und Industrie 4.0 nahmen den Gesetzgeber zunehmend in die Pflicht, die Rechte von Betroffenen eingehend zu stärken und dadurch die Grundrechte zu wahren. Inwiefern diese Zielsetzung erreicht wurde, wird in der folgenden Ar­beit ebenfalls betrachtet und bewertet.

Aktuell befinden sich viele Unternehmen jedoch in der Situation wieder, bis zum 25.05.2018 ein funktionsfähiges Datenschutzmanagement aufzubauen, welches den Anforderungen der neuen Rechtslage wenigstens in ihren Grundzügen ge­recht werden sollte. Die Freiheiten in der Umsetzung des europäischen Daten­schutzrechtes bewirken bei Unternehmen unterdessen nur noch mehr Rechtsun­Sicherheit.

Die folgende Darstellung und Analyse der DSGVO und des BDSG (neu) aus Un­ternehmenssicht soll dieser Rechtsunsicherheit entgegenwirken indem die recht­liehen Anforderungen an Unternehmen mit konkreten Handlungshinweisen für die Praxis versehen werden und dabei die rechtliche Bedeutung beleuchtet wird.

II. Gang der Darstellung und Analyse

Die Struktur der Arbeit orientiert sich an einer, für die Umsetzung der DSGVO und des BDSG (neu) priorisierten Gliederung der Hauptthemengebiete. Nach­dem ein historischer Rückblick in die Entwicklung des europäischen Daten­schutzrechtes dafür sorgt, den Leser in das Thema einzuführen, um mit Hinter­grundinformationen die Wichtigkeit des Datenschutzrechtes deutlich zu machen, werden im Anschluss daran die Grundprinzipien der DSGVO erörtert auf denen die meisten der untersuchten Regelungen aufbauen. Daran anschließend richtet sich die Betrachtung auf den sachlichen sowie den persönlichen Anwendungs­bereich, um Adressaten der DSGVO und des BDSG (neu) zu identifizieren. Gleichzeitig wird durch die Analyse des neuen Marktortprinzips die These unter­mauert, wieso die DSGVO eine Verordnung über die europäischen Unionsgren­zen hinaus ist.

Der daran anknüpfende Teil der Arbeit beleuchtet sodann die für den innerbe­trieblichen Datenschutz relevanten Themenschwerpunkte, die einerseits die Rolle des Datenschutzbeauftragten beinhallten aber auch das nach DSGVO vor­geschriebene Verzeichnis für Verarbeitungstätigkeiten, die Datenschutz-Folgen­abschätzung und die Implementierung von technischen und organisatorischen Maßnahmen berücksichtigen.

Unternehmen sind auch nach außen hin mit Änderung basierend auf der DSGVO und des BDSG (neu) betroffen. Daher erfolgt im Anschluss eine Analyse der Be- troffenenrechte. Zudem wird die Auftragsverarbeitung dargestellt und von der al­ten Rechtslage abgegrenzt. Abschließend wird der Datentransfer in Drittländer untersucht. Hierbei wird die aktuelle Rechtslage besonders mit Blick auf interna­tionale Konzernstrukturen und die gültigen Rechtsinstrumente für Unternehmen analysiert, die einen Datentransfer in Drittländer nach der DSGVO ermöglichen.

Schließlich erfolgt ein Ausblick in die Zukunft des Datenschutzrechts mit Blick auf die Weltwirtschaft, neue Technologien und die Belange der Menschen. Um das Blickfeld für Unternehmen zu diversifizieren, wird neben statistischen Werten auch eine Expertenmeinung eingeholt und erörtert.

Das abschließende Fazit versucht den Gesamteindruck des neuen Datenschutz­rechts in Form der DSGVO und des novellierten BDSG (neu) einzufangen und dabei den schmalen Grat zwischen der Stärkung der Grundrechte Betroffener und zu hoch angesetzten Anforderungen an Verantwortliche in Unternehmen ausfindig zu machen. Ein besonderer Blick wird hierbei auf die im Laufe der Arbeit entwickelten Flandlungshilfen und Modelle geworfen, die für Unternehmen die kritisch betrachteten Unklarheiten der neuen Rechtslage mit Rechtsklarheit erfül­len sollen.

B. Grundlagen des Datenschutzrechts

I. Hintergrund des Datenschutzrechts

1. Das europäische Datenschutzrecht

Im weiteren Verlauf des nachfolgenden Kapitels wird versucht ein Grundver­ständnis dazu aufzubauen, weshalb der europäische Datenschutz durch Richtli­nien und Verordnungen einem jahrelangen Flarmonisierungsprozess ausgesetzt wurde und welche Ziele dadurch verfolgt werden. Hierbei ist es ebenso wichtig festzustellen, woher sich diese Ziele historisch ergeben haben. Dabei muss ein ebenso deutlicher Blick darauf geworfen werden, inwiefern die historisch erwach­senen Zielsetzungen durch langwierige Prozesse der Rechtsangleichung mit Blick auf den fortwährenden technologischen Wandel erreicht oder verändert wurden.

Der Grundgedanke eines einheitlichen europäischen Datenschutzrechts kann in seinen Anfängen auf die Tätigkeit des 1949 gegründeten Europarats zurückge­führt werden. Dieser hatte es sich zur Aufgabe gemacht eine europäische Grund­Struktur zum Schutz der Menschenrechte zu schaffen.^[1] Zur Durchsetzung dieses

übergeordneten Ziels trat die Europäische Konvention zum Schutz der Men­schenrechte und Grundfreiheiten (EMRK) am 03.09.1953 in Kraft. Als maßgebli­ches Rechtsprechungsorgan ist der Europäische Gerichtshof für Menschen­rechte (EGMR) berufen worden.^[2] Ausgehend vom Art. 8 EMRK, dem Recht auf Achtung des Privat- und Familienlebens hat sich bereits 1981 im Rahmen des Übereinkommens zum Schutz der Menschen bei der automatischen Verarbei­tung personenbezogener Daten (Konvention Nr. 108) zum ersten Mal der Begriff ״Datenschutz“ namentlich in einem europäischen Rechtstext durchgesetzt. Durch die Konvention wurde somit der erste Grundstein für ein einheitliches Daten­schutzrecht auf Menschenrechtsebene gesetzt. Ziel dieses völkerrechtlichen Übereinkommens ist es, das Recht auf einen Persönlichkeitsbereich bei der au­tomatischen Verarbeitung personenbezogener Daten zu schützen.^[3]

Die Vereinheitlichung der Datenschutzrechte in Europa könnte neben dem oben aufgeführten grundrechtlichen Charakter auch wirtschaftlich motivierte Ziele ab­gedeckt haben. Ein erstes Indiz dafür findet sich in Form eines Verbots in der Konvention Nr. 108, die es den Vertragsparteien untersagt, den grenzüberschrei­tenden Verkehr personenbezogener Daten in das Gebiet einer anderen Vertrags­partei zu verbieten oder von besonderen Genehmigungen abhängig zu machen.^[4] Die Verwirklichung dieser doppelten Zielsetzung hatte im Anschluss an die Min­destharmonisierung durch die Datenschutzrichtlinie 1995/46/EG aus aktueller Sicht das Inkrafttreten der Datenschutz-Grundverordnung am 24. Mai 2016 zur Folge.

2. Die Datenschutzrichtlinie 95/46/EG

Die Doppelköpfigkeit des europäischen Datenschutzrechts, bestehend aus der grundrechtlichen Motivation des Art. 8 EMRK sowie der Verfolgung wirtschaftli- eher Zwecke durch die Rechtsharmonisierung innerhalb der EU, spiegelte sich gleichwohl in der Datenschutz-Richtlinie (DS-RL) von 1995 wieder. Die Kombi­natorik aus dem Schutz der Betroffenen und ihrer Rechte auf der einen Seite und dem Verbot der Beschränkung des personenbezogenen Datenverkehrs auf der anderen Seite, wird bereits im Art. 1 Abs. 1 und 2 der DS-RL als Gegenstand der Richtlinie formuliert.^[5]

3. Das Bundesdatenschutzgesetz (neu)

Im Rahmen des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAn- pUG-EU) vom 30. Juni 2017 wurde das reformierte BDSG verabschiedet, wel­ches mit dem Ende der Übergangszeit und der unmittelbaren Gültigkeit der DSGVO am 25. Mai 2018 in Kraft tritt und das bis dahin geltende BDSG (alt) ersetzt. Aus materiellrechtlicher Sicht ergänzen die Regelungen des BDSG (neu) die Ausgangsnormen der DSGVO.^[6] Besonders bei der Betrachtung des sachli­Chen Anwendungsbereiches des BDSG (neu) wird deutlich, dass das nationale Recht für den deutschen Rechtsanwender relevant bleibt.^[7]

II. Die Grundprinzipien der DSGVO

Das zweite Kapitel der DSGVO, dass sich über die Artikel 5-11 erstreckt, be­ginnt mit der Festlegung allgemeiner Grundprinzipien zur Verarbeitung personen­bezogener Daten.^[8] Diese Auflistung von Grundsätzen für die Verarbeitung per­sonenbezogener Daten aus Art. 5 DSGVO wird im Allgemeinen auch Prinzipien­katalog genannt und erinnert stark an den des Art. 6 DS-RL.^[9] Insgesamt listet der Art. 5 DSGVO folgende Prinzipien auf und bildet damit das Grundgerüst der Ver­Ordnung: Transparenzprinzip Abs. 1 a), Zweckbindung Abs. 1 b), Datenminimie­rung Art. 1 c), Richtigkeit Art. 1 d), Speicherbegrenzung Art. 1 e), Integrität und Vertraulichkeit Art. 1 f) und die oben genannte Rechenschaftspflicht aus Abs. 2.

Im Vergleich zu den alten Prinzipien aus dem Art. 6 DS-RL wurden die Prinzipien der DSGVO um das Transparenzprinzip in Art. 5 Abs. 1 a) DSGVO sowie um die Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO ergänzt.^[10]

Die folgende Beleuchtung der einzelnen Prinzipien im Lichte der Systematik der DSGVO dient dazu, dem Leser ein Grundverständnis zu übermitteln, weshalb bestimmte Artikel der Verordnung die Verarbeitung von personenbezogenen Da­ten einschränken oder verbieten. Zudem erfolgt für den Leser eine geeignete Einführung in die Regelungen der Verordnung, um den nachfolgenden Kanon der Arbeit korrekt einzuordnen und zu verstehen. Da dies in manchen Fällen nicht einmal unter Inaugenscheinnahme der einzelnen Artikel oder der dazuzählenden Erwägungsgründe schlüssig wird, ist die Betrachtung der Grundprinzipien auf die der nachfolgende Hauptteil der DSGVO aufbaut von hoher Bedeutung. Gleich­zeitig werden nationale Ergänzungsnormen des BDSG (neu) sowie gegebenen­falls ein Rückblick auf das BDSG (alt) in den Gesamtkontext mitaufgenommen, um das rechtliche Gefüge für den deutschen Rechtsanwender vollumfänglich zu bedienen. Um die Relevanz aus Unternehmersicht zu stärken, wird dabei außer­dem der Blick auf Öffnungsklauseln gerichtet, die das DSGVO durch nationale Regelungen zur Verarbeitung von personenbezogenen Daten nichtöffentlicher Stellen ergänzen.

1. Rechtmäßigkeit, Treu und Glaube, Transparenz, Art. 5 Abs. 1 a) DSGVO

Da die Verarbeitung personenbezogener Daten nach dem Vorbild des Art. 8 GRCh einen Eingriff in die Privatsphäre der Betroffenen darstellt, muss jeder Ein­griff gerechtfertigt sein. Hierzu bedarf es im Sinne der Verordnung entweder einer Einwilligung des Betroffenen nach Art. 6 Abs. 1 a) DSGVO oder eines rechtlichen Erlaubnistatbestandes nach Art. 6 Abs. 1 b) - f) DSGVO, die den Eingriff recht- fertigen.^[11] Die Systematik des Art. 6 DSGVO nennt ganz bewusst die Einwilligung des Betroffenen zuerst. Dies hängt in erster Linie damit zusammen, dass die Nachweisbarkeit und der allgemeine Begründungsaufwand bei der Einwilligung am niedrigsten sind. Der Gesetzgeber orientiert sich außerdem an der Systema­tik des Art. 7 DS-RL und wird gleichzeitig dem Wortlaut des Art. 8 Abs. 2 s. 1 GRCh gerecht.^[12] Die Rechtmäßigkeit der Verarbeitung kann aber auch auf Grundlage folgender rechtlicher Erlaubnistatbestände gestützt werden:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 : Katalog der Erlaubnistatbestände nach Art. 6 Abs 1. b) - f)IJ

Zudem müssen die Daten nach dem Grundsatz von Treu und Glaube verarbeitet werden. Die ursprüngliche Übersetzung der Terminologie ״Treu und Glaube“ in die englische Sprache ״good faith“ oder in die italienische ״bona fide“ sollten hier­bei ins Gedächtnis gerufen werden. Denn der Begriff ״Treu und Glaube“ wird in den oben genannten Amtssprachen der DSGVO nicht etwa mit ״good faith“ oder ״bona fide“ übersetzt, sondern mit ״fairly“ und ״corretto“. Damit distanzieren sich andere Mitgliedsstaaten durch die sprachliche Auslegung von der Rechtswirkung der Terminologie ״Treu und Glaube“.^[13] Die Begrifflichkeit ״Treu und Glaube“ soll also nicht die traditionelle Ausprägung des Begriffs, wie man sie aus dem BGB kennt, durchsetzen. Vielmehr wird durch die Betrachtung anderer Amtssprachen deutlich, dass die ״Gewährleistung einer ״fairen“ Verarbeitung“^[14] gemeint ist.

Die Einwilligung des Betroffenen nach Art. 6 Abs. 1 a) DSGVO muss zudem klar von der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 a) DSGVO abgegrenzt werden. Eine einfache Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO reicht dem­nach nicht aus, um die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO zu rechtfertigen. In die besonderen Kategorien nach Art. 9 DSGVO fallen folgende Daten:

- Rassische bzw. ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugung
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Gesundheitsdaten
- Sexualleben und sexuelle Orientierung

Im Art. 9 DSGVO wird die Systematik des Art. 6 DSGVO übernommen. Nach Art. 9 Abs. 2 a) ist demnach die Verarbeitung besonderer Kategorien personenbezo­gener Daten erlaubt, wenn eine ausdrückliche Einwilligung des Betroffenen vor­liegt. Die ausdrückliche Einwilligung unterscheidet sich von der ״Einwilligung“ ge- maß Art. 6 Abs. 1 a) DSGVO dadurch, dass sie nicht konkludent erfolgen kann.^[15] Die ausdrückliche Einwilligung muss zudem freiwillig abgegeben worden sein und der Betroffen muss zum Zeitpunkt der Abgabe vollumfänglich über die Fol­gen seiner Einwilligung und den Zweck der Verarbeitung informiert sein.^[16]

Für Unternehmen kann im Zuge der Betrachtung der neuen Einwilligung vor al- lern die fragliche Rechtsgültigkeit von Altvereinbarungen relevant werden. Hier­bei kann aus Unternehmenssicht davon ausgegangen werden, dass Alteinwilli­gungen nach § 4a BDSG (alt) wirksam bleiben.^[17] Voraussetzung hierfür ist ledig­lieh, dass die Einwilligung mit den Anforderungen der DSGVO konform ist. Ein­willigungen die nach § 4a BDSG (alt) eingeholt wurden, können mithin als rechts­kräftige Einwilligungen zur Verarbeitung personenbezogener Daten subsumiert werden. Die erneute Einholung einer Einwilligung beim Betroffenen wird darüber hinaus auch im Erwägungsgrund 171 deutlich verneint.^[18] ״Beruhen die Verarbei­tungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht er­forderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung ent­spricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“^[19] Somit ist Unterneh­men, die bereits über Einwilligungen verfügen, nur zu einer rechtlichen Prüfung zu raten, die die Konformität mit der DSGVO bestätigt. Ergeben sich Abweichun­gen zu den rechtlichen Anwendungen oder neue Zwecke der Verarbeitung so muss erneut eine Einwilligung eingeholt werden. Dieses Vorgehen begründet sich aus dem Koppelungsverbot, welches unterschiedliche Verarbeitungsvor­gänge oder unterschiedliche Zwecke nicht unter eine Einwilligung zusammenfas­sen lässt.^[20]

2. Zweckbindung, Art. 1 Abs. 2 b) DSGVO

Die Zweckbindung, die ebenfalls als ein Grundsatz der DSGVO formuliert ist, existierte als solche bereits im Art. 8 Abs. 2 s. 1 GRCh und war folglich auch in der DS-RL im Art. 6 Abs. 1 b) zu finden.^[21] Besonderes Augenmerk ist dabei dem Wortlaut des Art. 5 Abs. 1 b) DSGVO zuzurechnen: ״(...)festgelegte, eindeutige und legitime Zwecke(...)“. Die Zweckbindung der Verarbeitung kann demnach von mehreren Zwecken abhängig gemacht werden. In diesem Zusammenhang ist auch die Mitteilungs- und Informationspflicht aus Art. 12 f. DSGVO zu nennen. Dabei wird der Grundsatz der Zweckbindung dahingehend erweitert und präzi­siert, dass die Betroffenen von der Verarbeitung ihrer Daten ״in präziser, trans­parenter verständlicher und leicht zugänglicher Form in einer klaren und einfa­Chen Sprache“ informiert werden.^[22] Im Gegensatz hierzu vertritt die nationale Rechtsprechung im Rahmen von Einwilligungserklärungen möglichst ausführli­che und vollumfängliche Informationen an Betroffene zukommen zu lassen.^[23] Im Zentrum der Betrachtung sollte hier jedoch der Praxisbezug Stehen, weshalb ein

Großteil der Praktiker zur einfacheren Herangehensweise der DSGVO tendieren werden. Unternehmen müssen somit eine Infrastruktur sowie Automatismen in ihren Systemen und das Bewusstsein bei den Mitarbeitern schaffen, die es er­möglichen die Zweckbindung und jede dazugehörige Änderung im Rahmen der Informationspflichten der Verantwortlichen und Auftragsverarbeiter an die Be­troffenen zu kommunizieren.

3. Datenminimierung, Art. 5 Abs. 1 c) DSGVO

Nach Art. 5 Abs. 1 c) DSGVO muss die Verarbeitung personenbezogener Daten dem Zweck nach angemessen und die dazu verarbeiteten Daten erheblich sein. Zudem muss die Verarbeitung auf das notwendige Maß beschränkt sein. Der Grundsatz der Datenminimierung nimmt somit Bezug auf das ״ultima ratio“ Prin­zip wonach die Verarbeitung nur dann zulässig wäre, insoweit es keine andere Art und Weise gibt, durch die sich die Erhebung und Verarbeitung der Daten er­übrigen würde.^[24] Alternativen, durch die eine Verarbeitung der Daten ausbleiben würde, erhalten stets den Vorzug und könnten sich in der Pseudonymisierung oder Anonymisierung der Daten finden.^[25] Eine weitere Anforderung, die sich aus dem Grundsatz der Datenminimierung ergibt, ist die Minimierung der Speicher­frist, die ein Halten von ״Datenvorräten“ untersagt und den Zeitraum der Daten­Speicherung auf ein Minimum reduziert. Die Einführung der sogenannten Löschroutine setzt eine regelmäßige Kontrolle der personenbezogenen Daten voraus, um entscheiden zu können, ob diese gelöscht werden sollten.^[26]

Unternehmen sehen sich daher künftig in der Pflicht für ihre IT- und CRM-Sys- teme Löschkonzepte auszuarbeiten, die im Sinne des Grundsatzes der Datenmi­nimierung darauf ausgelegt sind eine solche Löschroutine intern zu etablieren. Entfällt also die Notwendigkeit der Datenverarbeitung und damit die Erheblichkeit der personenbezogenen Daten, müssen Löschfristen und dazugehörige Lösch­Vorgänge entwickelt werden.^[27]

4. Richtigkeit, Art. 5 Abs. 1 d) DSGVO

Der Grundsatz der Richtigkeit bezieht sich laut Art. 5 Abs. 1 d) DSGVO auf die sachliche Richtigkeit und den erforderlichenfalls neuesten Stand der Daten. Ab­weichend von der sprachlichen Auslegung der Richtigkeit ist beispielsweise in der englischen Fassung des Art. 5 Abs. 1 d) DSGVO die Rede von ״accuracy“ also die Genauigkeit der Daten.^[28]

Aus dem Grundsatz der Richtigkeit ergeben sich im weiteren Verlauf der DSGVO Ansprüche der Betroffenen, die sich auf die sachliche Richtigkeit und den neues­ten Stand der Daten beziehen. Demnach haben Betroffene nach Art. 16 DSGVO ein Recht auf Berichtigung von unrichtigen, personenbezogenen Daten oder auch das Recht auf Löschung, allgemein auch als ״Recht auf Vergessenwerden“ bekannt gemäß Art. 17 DSGVO. Somit unterstreicht das Grundprinzip der Rieh- tigkeit im Grunde zusätzlich die Pflichten des Verantwortlichen aus den vorange­gangenen Prinzipien die dem Betroffenen nachhaltig richtige Informationen über die Verarbeitungsvorgänge seiner personenbezogenen Daten verfügbar machen müssen. Der Art. 5 Abs. 1 d) DSGVO sorgt zudem dafür, dass der Informations­gehalt der Betroffenenauskünfte ein gewisses Maß an Qualität bewahren und Unternehmen den Betroffenen durch Verschleierung und Pauschalisierung grundlegende Informationen vorenthalten könnten.

5. Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO

Der Grundsatz der Speicherbegrenzung bezieht sich weitestgehend auf den be­reits aufgegriffenen Grundsatz der Zweckbindung aus lit. b). Demnach gilt eine Höchstdauer der Speicherung genau solange, wie sie zur Realisierung der Zwe­cke erforderlich sind.^[29] Dies erweckt bei den Verantwortlichen Handlungsbedarf, da sich diese mit der Frage auseinandersetzen müssen, wann bestimmte Da­tensätze den beiden Grundsätzen der Löschung unterstehen.^[30] An dieser stelle ist darauf hinzuweisen, dass der Grundsatz der Speicherbegrenzung auf Daten anzuwenden ist, die eine Identifizierung der Betroffenen ermöglichen.^[31] Das Zu­sammenspiel der beiden Prinzipien sollte in den von Unternehmen einzuführen­den Lösch- und Sperrkonzepten daher möglichst präzise umgesetzt werden um den gemeinsamen Anforderung gerecht zu werden. Auch Berechtigungskon­zepte, die Zugriffe auf Daten auf einen bestimmten Beschäftigtenkreis reduzie­ren, sind dabei unter den Gesichtspunkten der Art. 5 Abs. 1 b), c) und e) DSGVO zu bewerten.

6. Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO

Der neue Grundsatz der Integrität und Vertraulichkeit hat sich aus den beiden Grundsätzen ״Grundsatz der Integrität“ des Europäischen Parlamentes und dem ״Grundsatz der Datensicherheit“ des Rats ergeben.^[32] Der Grundsatz, auch als ״IT-Grundrecht“ bekannt, soll die Daten vor Zugriffen Unberechtigter schützen und sowohl technisch als auch organisatorisch eine sichere Umgebung zur Spei­cherung und Verarbeitung der personenbezogenen Daten gewährleisten.^[33] Die Umsetzung von technischen und organisatorischen Maßnahmen kann daher als eines der Hauptthemenschwerpunkte in der Umsetzung der DSGVO aus Unter­nehmenssicht beschrieben werden.

7. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

Die in Art. 5 Abs. 2 DSGVO neu enthaltene Rechenschaftspflicht verpflichtet Ver­antwortliche dazu, die Anforderungen an die Verarbeitung aus den Art. 5 Abs. 1 a) -f) ordnungsgemäß einzuhalten. Die Rechenschaftspflicht bindet den Verant- wörtlichen dabei an eine Beweislast und eine Nachweispflicht, die die Gesamtheit der oben aufgeführten Grundsätze betrifft.^[34] Präzisiert wird der Grundsatz der Rechenschaftspflicht vor allem durch den Art. 24 DSGVO der die Verantwortung des für die Verarbeitung Verantwortlichen regelt. Dieser hat gemäß Absatz 1 durch geeignete technische und organisatorische Maßnahmen sicherzustellen und auch nachzuweisen, dass die Verarbeitung im Sinne der DSGVO vollzogen wird.^[35] Basierend auf dem Grundsatz der Rechenschaftspflicht kann zudem der Art. 7 DSGVO genannt werden, da demnach der Verantwortliche die Einwilligung des Betroffenen nachweisen muss oder eine für die Verarbeitung einschlägige Rechtsgrundlage bestehen sollte.

III. Sachlicher Anwendungsbereich

1. Sachlicher Anwendungsbereich der DSGVO

Der sachliche Anwendungsbereich der neuen Datenschutzgrundverordnung ist im Art. 2 DSGVO geregelt. Unter den Anwendungsbereich fallen zum einen die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, zum anderen jedoch auch die nichtautomatisierte Verarbeitung von personenbezoge­nen Daten. Bei der nichtautomatisierten Verarbeitung personenbezogener Daten ist es dabei ausschlaggebend, ob diese Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Besonderes Augenmerk bei der Analyse des sachlichen Anwendungsbereiches ist der Abgrenzung zu weiterhin geltenden EU-Rechtsakten zu widmen. Hierzu zählt sowohl die als ״ePrivacy-Richtlinie“ bekannte Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation als auch die Verordnung 45/2001/EG zum Datenschutz in den EU-lnstitutionen.^[36]

Die ״ePrivacy-Richtlinie regelt die Bereitstellung öffentlich zugänglicher elektroni­scher Kommunikationsdienste. Gemäß Art. 95 DSGVO bleibt die ePrivacy-Richt- linie neben der DSGVO bestehen, ohne von ihr neue Pflichten auferlegt zu be­kommen. Die ePrivacy-Richtlinie genießt als ״lex specialis“ zudem Vorrang in ih­rem Anwendungsbereich.^[37] Nichtsdestotrotz steht ihr eine Änderung bevor, um das Verhältnis zur DSGVO klarzustellen und die beiderseitigen Geltungsbereiche festzulegen.^[38] Die bevorstehende Änderung wird voraussichtlich mithilfe der ge­planten e-Privacy Verordnung vom Gesetzgeber angestrebt werden. Auch hier wird sich das Verhältnis zur DSGVO als Grundsatzfrage etablieren, zumal die e- Privacy Verordnung, wie auch ihr Vorgänger die ePrivacy Richtlinie, weiterhin als spezielleres Recht gesehen werden kann. Es bleibt somit abzuwarten, inwiefern sich Unternehmen demnach einerweiteren Umstellung stellen müssen.

Die Polizei-Richtlinie 2016/680 regelt den grenzüberschreitenden Datenaus­tausch zwischen den unterschiedlichen Polizei- und Strafverfolgungsbehörden in der EU und wird durch Art. 2 Abs. 2 lit. d) DSGVO vom Anwendungsbereich der DSGVO abgegrenzt. Sie stellt zusammen mit der DSGVO ein Reformpaket dar und wurde von der Kommission bereits im Entwurf der DSGVO thematisch von dieser losgelöst.^[39] Der Gesetzgeber reagiert mit der separaten Polizei-Richtlinie auf die politischen Veränderungen bezüglich der polizeilichen und justiziellen Zu­sammenarbeit der Mitgliedsstaaten durch die Vertragsreform von Lissabon und respektiert gleichzeitig die Souveränität der Mitgliedsstaaten in Sachen strafver- folgung.^[40]

Die Verarbeitung personenbezogener Daten zu ausschließlich persönlichen oder familiären Tätigkeiten wird in Art. 2 Abs. 2 lit. c) DSGVO aus dem Anwendungs­bereich ausgegrenzt. Diese sogenannte ״Haushaltsausnahme“^[41] verhindert, dass die DSGVO fälschlicherweise auf alltägliche Tätigkeiten Bezug nimmt, wie die Nutzung sozialer Netze.^[42]

Die Abgrenzung des Anwendungsbereiches der DSGVO erstreckt sich außer­dem, beruhend auf dem Grundsatz der begrenzten Einzelermächtigung der Union gemäß Art. 5 Abs. 2 EUV, auf Bereiche, die nationale Sicherheit und Lan­desverteidigung als Gegenstand haben. In diesem Kontext kann mit Blick auf die Datenverarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik ebenfalls eine Abgrenzung in Art. 2 Abs. 2 lit. b) DSGVO genannt werden.^[43]

2. Sachlicher Anwendungsbereich des BDSG (neu)

Für die Datenverarbeitung personenbezogener Daten nichtöffentlicherstellen gilt der Anwendungsbereich des BDSG (neu) gleichermaßen wie der Anwendungs­bereich der DSGVO, Art. 2 Abs. 1 und Abs. 2 c) DSGVO.^[44] Zusätzlich gilt das neue BDSG für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes gemäß § 2 BDSG (neu).

Öffentliche stellen der Länder sind durch das speziellere Recht in den jeweiligen Landesdatenschutzgesetzen (LDSG) geregelt und fallen damit nicht in den An­wendungsbereich des BDSG.^[45]

Trotz der Tatsache, dass das BDSG (neu) an den Anwendungsbereich der alten Fassung anknüpft und dadurch einen weiteren Anwendungsbereich als die DSGVO innehat, kristallisiert sich ein besonderer Unterschied zum Vorgänger­gesetz heraus.^[46] Denn im BDSG (neu) erfolgt die Bewertung der Begriffe ״Verar- beitung“ sowie ״personenbezogene Daten“ nach der Begriffsdefinition des Art. 4 Nr. 1 und 2 DSGVO womit im Vergleich zur Vorgängernorm eine Erweiterung der Begrifflichkeiten erfolgt.^[47]

Flieraus ergeben sich Fragen für Unternehmen, die sich im Anwendungsbereich der DSGVO befinden und gleichzeitig aufgrund ihres Sitzes den Status des deut­sehen Rechtsanwenders innehaben. Fraglich ist vor allem das Zusammenspiel beider Rechtsnormen in der Praxis. Genau bleibt für betroffene Unternehmen of­fen, welche der gesetzlichen Vorgaben aus DSGVO und BDSG (neu) in welcher Priorisierung für sie relevant werden. Ein erster Hinweis findet sich im Wortlaut des § 1 Abs. 5 BDSG (neu). Demnach wird dem Recht der Europäischen Union und namentlich insbesondere der DSGVO unmittelbare Geltung zugesprochen sodass der Anwendungsvorrang der DSGVO deutlich wird.^[48]

Die DSGVO bietet in diversen Regelungen sowohl obligatorische, also ergän­zungsbedürftige Öffnungsklauseln sowie fakultative, also ergänzungsoffene öff­nungsklauseln, die es den Mitgliedsstaaten erlauben, innerhalb der nationalen

Gesetzgebung, Normen der DSGVO zu ergänzen.^[49] Dabei wird den Mitglieds­Staaten zwar ein rechtlicher Spielraum geboten, dieser darf aber in keinem Fall mit dem Schutzniveau sowie den Grundsätzen der DSGVO kollidieren. Sobald in einschlägigen Normen also Öffnungsklauseln eingearbeitet sind, lohnt sich ein Blick in das nationale BDSG (neu).

IV. Räumlicher Anwendungsbereich

Die Erweiterung des räumlichen Anwendungsbereiches wird nach herrschender Meinung als eine der weitreichendsten Veränderungen im neuen Datenschutz­gesetz wahrgenommen. Um diese schwerwiegende Veränderung nachvollzie­hen zu können, bedarf es einen Blick zurück auf das alte Datenschutzrecht vor dem Inkrafttreten der DSGVO zu Zeiten der Datenschutz-Richtlinie 95/46/EG. Der nationale Gesetzgeber bediente sich im Rahmen der Umsetzung besagter Richtlinie zwei grundlegenden Prinzipien, die den räumlichen Anwendungsbe­reich des europäischen Datenschutzrechtes widerspiegeln sollte.

Zum einen wurde durch das Niederlassungsprinzip sichergestellt, dass európai- sehe Datenschutzrechte dann Anwendung finden, wenn ein verantwortliches Un­ternehmen, durch eine Niederlassung in der EU, Daten verarbeiten lässt. Zum anderen wurde durch das Territorialitätsprinzip gewährleistet, dass auch Unter­nehmen in den Anwendungsbereich des EU-Datenschutzes fallen, sollten sie sich diversen Hilfsmitteln, wie zum Beispiel Server- oder Rechenzentren, inner­halb der EU bedienen.^[50] Aus Sicht der Betroffenen erwies sich diese Konstella­tion des Niederlassungsprinzips nach Art. 4 Abs. 1 lit. a) DS-RL in Verbindung mit dem Territorialitätsprinzip nach Art. 4 Abs. 1 lit. c) DS-RL als ein unzureichen­der Schutz ihrer personenbezogenen Daten gemäß Art. 8 GRCh.^[51]

Niederlassungen von nicht europäischen Unternehmen innerhalb der EU fallen zwar bereits durch das Niederlassungsprinzip unter den alten Anwendungsbe­reich. Anders verhält es sich jedoch, wenn besagte nicht europäische Unterneh­men hauptsächlich Online-Dienstleistungen innerhalb der EU anbieten. Durch diese Tatsache würden sie dem Anwendungsbereich der DSGVO sowohl im Nie­derlassungsprinzip als auch im Territorialitätsprinzip entgehen.^[52] Um dieser Um­gehung entgegenzuwirken, hat der Gesetzgeber bereits im Erwägungsgrund 23 der DSGVO beschlossen, dass ״(...) die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleitungen anzubie- ten.(...)“^[53].

Der fehlende Schutz konnte dadurch in der DSGVO durch das Marktortprinzip räumlich soweit ausgedehnt werden, dass Unternehmen in dessen Anwendungs­bereich fallen, sobald sie Waren oder Dienstleistungen innerhalb der EU anbie­ten, unabhängig davon, wo sie Ihren Sitz haben oder die personenbezogenen Daten verarbeiten. Durch das Marktortprinzip wird nicht nur der Anwendungsbe­reich der DSGVO erweitert und die Rechte der Betroffenen gestärkt. Auch Be­dingungen außerhalb der Rechtsmaterie lagen mindestens ebenso stark im Fo­kus des Gesetzgebers.

Denn die DSGVO passt, festgemacht am Beispiel des Marktortprinzips den Rechtsstand an den technologischen Fortschritt und an die weltweit globalisierte Infrastruktur an.^[54] Für die heutigen technischen Möglichkeiten der Datenverarbei­tung ist die geografische Lage kaum noch maßgebend. Weltkonzerne wie Google oder Facebook die durch Big Data Anwendungen in der Lage sind riesige Daten­mengen von überall auf der Welt in Echtzeit zu verarbeiten, müssen ebenso vom räumlichen Anwendungsbereich der DSGVO erfasst werden. Im aktuellen Kon­text kann hierbei der Skandal um Facebook im Zusammenhang mit dem Analy­seunternehmen Cambridge Analytica aus Großbritannien genannt werden. Umso wichtiger ist es daher, dass die Ausübung einer beliebigen Tätigkeit eines Unter­nehmens innerhalb der EU dazu ausreicht in den Anwendungsbereich der DSGVO zu fallen.^[55] Auch, wenn sich der Gesetzgeber bei der Definition des sachlichen und räumlichen Anwendungsbereiches an der alten Datenschutz­Richtlinie 95/46/EG (DS-RL) orientiert hat, so war die Erweiterung des räumlichen Anwendungsbereiches durch das Marktortprinzip maßgebend und notwendig, um auch dem technologischen Stand und damit einhergehend auch der Schutz­bedürftigkeit der Betroffenen und ihren Daten gerecht zu werden.

Vom räumlichen Anwendungsbereich abzugrenzen, ist der reine Datentransit durch das Hoheitsgebiet der EU beispielsweise durch einen innereuropäischen Server oder Router. Voraussetzung für diese Ausnahme ist jedoch, dass die transferierten Daten in keiner Weise verarbeitet werden.^[56]

1. Das Marktortprinzip, Art. 3 Abs. 2 DSGVO

Aus Unternehmenssicht ist in erster Linie zu klären, ob man mit seinen Gegeben­heiten innerhalb des Unternehmens und mit seinem Geschäftszweck in den An­wendungsbereich der DSGVO fällt. Besonders die genauere Betrachtung des Marktortprinzips kann die Antwort auf die Frage bringen wann der räumliche An­wendungsbereich der DSGVO eröffnet ist. Einschlägig wird die DSGVO für Un­ternehmen demnach in zwei unterschiedlichen Fällen. Zum einen, wenn Waren oder Dienstleistungen angeboten werden, Art. 3 Abs.2 a) DSGVO oder das Un­ternehmen Daten anhand von Verhaltensbeobachtung sammelt und verarbeitet, Art. 3 Abs. 2 b) DSGVO.^[57]

a) Angebot von Waren oder Dienstleistungen, Art. 3 Abs. 2 a) DSGVO

Für das Angebot von Waren und insbesondere von Dienstleistungen spielt es keine Rolle, ob diese frei verfügbar oder gegen Entgelt zu erwerben sind.^[58] An dieser stelle ist darauf hinzuweisen, dass der hier festgelegte unentgeltliche Cha- raktér einer Dienstleistung dem im Art. 57 AEUV definierten Begriff der Dienst­leistung als Leistung, die in der Regel gegen Entgelt erbracht wird, entgegen- steht.^[59] Die DSGVO legt den Begriff der Dienstleistung entgegen des allgemei­nen Verständnisses somit bewusst weiter aus, um beispielsweise klassische Suchmaschinenfunktionen von Google oder Bing in den Anwendungsbereich der

Verordnung miteinzubeziehen. Die Verwendung der gewonnenen Daten, unter anderem zu Marketingzwecken, kann nach herrschender Meinung, durch den damit einhergehenden Benefit für das Unternehmen als De-facto-Bezahlung an­gesehen werden.^[60]

Dem Gesetzgeber war es dagegen ein wichtigeres Anliegen, eine Abgrenzung zu schaffen indem Dienstleistung in den Anwendungsbereich der Verordnung einbezogen werden, die ״offensichtlich beabsichtigt“^[61] an Gruppen innerhalb der EU gerichtet sind. Ein Indiz gegen eine solche Beabsichtigung könnte gemäß ErwG 23 DSGVO die Verwendung einer Sprache sein, die in einem Drittland ge­sprochen wird. Die reine Zugänglichkeit der Internetpräsenz des Anbieters, des Auftragsverarbeiters oder des Vermittlers spricht ebenfalls gegen eine offensicht­liehe Beabsichtigung. Vielmehr deutet die Verwendung einer Amtssprache der EU oder die Nutzung des Euros als Währung daraufhin, dass die Beabsichtigung vorliegt eine europäische Zielgruppe anzusprechen.^[62]

Das Marktortprinzip deutet sprachlich bereits darauf hin, dass es den Gesetzge­bern in erster Linie ein Anliegen war, die Reichweite weltweiter Anbieter von Wa­ren oder Dienstleistungen in den Anwendungsbereich der DSGVO zu bringen, die aufgrund ihrer technologischen Hilfsmittel keinen geografischen Bezugspunkt in der EU brauchen um diese anzubieten. Dies erklärt auch, weshalb der entgelt­liehe Charakter der angebotenen Waren und Dienstleistungen eher in den Hin­tergrund gerückt wurde und laut DSGVO keine Rolle für den räumlichen Anwen­dungsbereich spielt.

b) Verhaltensbeobachtung und Profiling, Art. 3 Abs. 2 b) DSGVO

Der zweite Teil des Art. 3 Abs. 2 DSGVO der die Beobachtung von Verhalten innerhalb der europäischen Union in den Anwendungsbereich der Verordnung bringt, erfährt durch den weit auslegbaren Begriff der ״Beobachtung“ seine wahre Relevanz erst in der Ableitung der beobachteten Daten durch das sogenannte

״Profiling“ oder ״Tracking“.^[63] Beim ״Profiling“ werden die aus der Verhaltensbe­obachtung gewonnenen personenbezogenen Daten dazu verwendet, dem Be­troffenen in Bezug auf seine berufliche sowie wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen sowie durch seinen Aufenthaltsort und sein Alter ein persönliches Profil zu erstellen, Art. 4 Nr. 4 DSGVO.

Aus Sicht der DSGVO ergeben sich, abhängig von der Art und Weise, wie Unter­nehmen die personenbezogenen Daten verwenden, unterschiedliche rechtliche Konsequenzen. Ausschlaggebend ist hierbei, welche Wirkung die automatisierte Verarbeitung der durch das Profiling erlangten, personenbezogenen Daten, auf den Betroffenen haben. Laut Art. 22 Abs. 1 DSGVO besteht beispielsweise ein Profiling-Verbot für die Verarbeitung von personenbezogenen Daten die im Rah­men von Profiling erlangt wurden und für den Betroffenen rechtliche oder ähnli­che Wirkung entfalten, die eine erhebliche Beeinträchtigung darstellen.^[64] In der Praxis findet die Verwendung von Daten durch Profiling besonders im Beschäfti­gungssektor und im Finanzwesen, beispielsweise bei der Kreditvergabe, Anwen- dung.^[65] Für die anderweitige Nutzung von Profiling-Daten ohne rechtliche oder ähnliche Wirkung für den Betroffenen gemäß Art. 22 Abs. 1 DSGVO gelten die allgemeinen Bestimmungen der DSGVO nach Art. 6 DSGVO. Weiterhin bleibt die Frage offen, ob gezielte Werbung, die auf das Profil des Betroffenen Zuge­schnitten ist, unter den Anwendungsbereich des Art. 22 DSGVO fällt, zumal dies bereits aus Sicht der DS-RL verneint wurde.^[66] Aufgrund dieser und vieler weiterer offenen Fragen, die der teilweise schwammig ausgestalteten Formulierungen in­nerhalb der DSGVO geschuldet sind, bleibt abzuwarten, inwieweit die im Erwä­gungsgrund 72 DSGVO angekündigten Leitlinien des eigens durch die Verord­nung eingerichteten Europäischen Datenschutzausschusses für Klarheit sorgen können.

C. Datenschutzrecht aus Untemehmenssicht

I. Die Rolle des Datenschutzbeauftragten

Die DSGVO stellt mit den verschärfenden Regelungen zum Datenschutz und den astronomischen Geldbußen auch die Rolle des betrieblichen Datenschutzbeauf­tragten in ein neues Licht innerhalb des Unternehmens. Die Erhöhung der Sank­tionen, die Unternehmen drohen, hat auch eine erhöhte Aufmerksamkeit und Sensibilität in den Vorstandsetagen und Geschäftsführungen der meisten Unter­nehmen hervorgerufen. Hierarchisch besteht in der DSGVO, anders als im BDSG (alt), keine Pflicht zur unmittelbaren Unterstellung des Datenschutzbeauftragten zur Geschäftsleitung. Einzig die Berichterstattung erfolgt weiterhin unmittelbar an die höchste Managementebene des Verantwortlichen oder Auftragsverarbeiters gemäß Art. 38 Abs. 3 DSGVO.^[67] In der Literatur wird derweilen diskutiert, ob die ״neue“ Stellung und das erweiterte Aufgabengebiet des Datenschutzbeauftragten für größere Verantwortung im Unternehmen sorgt, was folglich auch ein erhöhtes Haftungsrisiko bedeuten könnte. Insbesondere hinsichtlich der Umsetzung der neuen Regelungen und Anforderungen aus der DSGVO wird den Unternehmen geraten Arbeitsgruppen zu bilden, die aus den Verantwortlichen der betroffenen Abteilungen bestehen.

Bevor nun die zentralen Aufgabengebiete des Datenschutzbeauftragten nach den neuen Maßgaben der DSGVO erläutert werden, sind die neuen Vorausset­Zungen zu berücksichtigen, wann ein Datenschutzbeauftragter bestellt werden muss und was dabei zu beachten ist. Zudem ist zu klären, ob der Datenschutz­beauftragte nun tatsächlich ein erweitertes Haftungsrisiko trägt.

1. Stellung des Datenschutzbeauftragten, Art. 38 DSGVO

Ursprünglich war die Bestellung des Datenschutzbeauftragten nach §§ 4 f Abs. 1 BDSG (alt) an die quantitative Anforderung geknüpft, wie viele Personen im Unternehmen personenbezogene Daten automatisiert bzw. nicht-automatisiert verarbeiten. Nach Art. 37 Abs.

[...]

---

^[1] Vgl. Ehmann/Selmayr, DSGVO, s. 145, Rn. 10.

^[2] Vgl. Jaeger, System einer Europäischen Gerichtsbarkeit, s. 85.

^[3] Vgl. Ehrnann/Selmayr, DSGVO, s. 146, Rn. 11.

^[4] Vgl. Ehrnann/Selmayr, DSGVO, S. 147, Rn. 12.

^[5] Vgl. Ehmann/Selmayr, DSGVO, s. 147, Rn. 13.

^[6] Vgl. Schantz/Wolff, Das neue Datenschutzrecht, s. 117, Rn. 349.

^[7] Siehe Punkt III. 2. Sachlicher Anwendungsbereich des BDSG (neu).

^[8] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 12 f.

^[9] Vgl. Harting, Datenschutz-Grundverordnung, s. 25, Rn. 84.

^[10] Vgl. Plath, BDSG/DSGVO, s. 998 Rn. 1.

^[11] Vgl. Plath, BDSG/DSGVO, s. 999, Rn. 3.

^[12] Vgl. Albers, in Wolff/Brink, BeckOK, Art. 6 DSGVO, Rn. 22.

^[13] Vgl. Albers, in Wolff/Brink, BeckOK, Art. 6 DSGVO; Quelle: eigene Darstellung. ™Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s 73, Rn. 18.

^[14] Ehmann/Selmayr, DSGVO, s. 262, Rn. 9.

^[15] Vgl. Ehmann/Selmayr, DSGVO, s. 347, Rn. 28.

^[16] Vgl. Ehmann/Selmayr, DSGVO, s. 348, Rn. 29.

^[17] Vgl. Franck, ZD 2017, 509 (510).

^[18] Vgl. Franck, ZD 2017, 509 (510).

^[19] ErwG 171, Satz 3 DSGVO.

^[20] Vgl. Gola, DSGVO, s. 181, Rn. 68.

^[21] Vgl. Ehmann/Selmayr, DSGVO, s. 263, Rn. 13.

^[22] Vgl. Plath, BDSG/DSGVO, s. 1000, Rn. 6.

^[23] Vgl. Plath, BDSG/DSGVO, s. 1000, Rn. 6.

^[24] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 83.

^[25] Vgl. Harting, Datenschutz-Grundverordnung, s~28, Rn. 98.

^[26] Vgl. Harting, Datenschutz-Grundverordnung, s. 28, Rn. 98.

^[27] Siehe Punkt IV. 3. Orientierungshilfen für Losch- und Sperrkonzepte.

^[28] Vgl. Plath, BDSG/DSGVO, s. 1002, Rn. 12.

^[29] Vgl. Plath, BDSG/DSGVO, s. 1003, Rn. 16.

^[30] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 81, Rn. 43.

^[31] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 81, Rn. 43.

^[32] Vgl. Ehmann/Selmayr, DSGVO, s. 271, Rn. 28ไ

^[33] Vgl. Plath, BDSG/DSGVO, s. 1003, Rn. 19.

^[34] Vgl. Lepperhoff/Müthlein, Leitfaden zur DSGVO, s. 162.

^[35] Vgl. Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, s. 41.

^[36] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 64, Rn. 20.

^[37] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 66, Rn. 29.

^[38] Vgl. ErwG 173 DSGVO.

^[39] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 40, Rn. 10.

^[40] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 40, Rn. 10.

^[41] Harting, Datenschutz-Grundverordnung, s. 71, Rn. 261.

^[42] ErwG 18 DSGVO.

^[43] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 65, Rn. 25 f.

^[44] Vgl. Schantz/Wolff, Das neue Datenschutzrecht, S.115, Rn. 344.

^[45] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 4.

^[46] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 2.

^[47] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 3.

^[48] Vgl. Kühling, NJW 2017, 1985 (1986).

^[49] Vgl. Kühling, NJW2017, 1985(1986).

^[50] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 67, Rn. 31.

^[51] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 68, Rn. 31.

^[52] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 23, Rn. 9 ff.

^[53] ErwG 23 DSGVO.

^[54] Siehe ErwG 6 DSGVO.

^[55] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 12.

^[56] Vgl. Paal/Pauly, Datenschutz-Grundverordnung s. 25, Rn. 14.

^[57] Vgl. Paal/Pauly, Datenschutz-Grundverordnung s. 24, Rn. 14.

^[58] Vgl. DSK, Kurzpapier Nr. 7, Marktortprinzip, s. 1.

^[59] Vgl. Ehmann/Selmayr, DSGVO, s. 229, Rn. 17.

^[60] Vgl. Ehmann/Selmayr, DSGVO, s. 229, Rn. 17.

^[61] ErwG 23 DSGVO.

^[62] Vgl. Harting, Datenschutz-Grundverordnung, s. 58, Rn. 222.

^[63] Vgl. Harting, Datenschutz-Grundverordnung, s. 59, Rn. 224.

^[64] Vgl. Schürmann/Rosenthal/Dreyer, Profiling.

^[65] Vgl. Ehmann/Selmayr, DSGVO, s. 244, Rn. 22.

^[66] Vgl. Ehmann/Selmayr, DSGVO, s. 534, Rn. 9.

^[67] Vgl. Kort, ZD 2017, 3(3).