Skip to main content
SpringerLink
Log in
Book cover

EU-Datenschutz-Grundverordnung (DSGVO) pp 39–111Cite as

Anforderungen an die Datenschutzorganisation

  • Chapter
  • First Online:

  • 18k Accesses

Zusammenfassung

DatenschutzorganisationDie DSGVO stellt neue Anforderungen an die Datenschutzorganisation und bildet die bereits nach der EG-Datenschutzrichtlinie bestehenden Verpflichtungen weiter fort. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der Verordnung zu bringen werden Unternehmen einige Anstrengungen unternehmen müssen. Obwohl die Verantwortlichen noch immer vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO erstmalig auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus wird auch die Verteilung der Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.

This is a preview of subscription content, log in via an institution.

Chapter
USD   29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD   89.00
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever
Hardcover Book
USD   119.99
Price excludes VAT (USA)
  • Durable hardcover edition
  • Dispatched in 3 to 5 business days
  • Free shipping worldwide - see info

Tax calculation will be finalised at checkout

Purchases are for personal use only

Learn about institutional subscriptions

Notes

  1. 1.

    Siehe auch Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 8

  2. 2.

    Schantz, in: Wolff/Brink, BeckOK, Art. 5 DSGVO (2017), Rn. 38; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 11–12, 19

  3. 3.

    ErwGr. 78 DSGVO; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 3–4

  4. 4.

    ErwGr. 82 DSGVO

  5. 5.

    Herbst, in: Kühling/Buchner, DSGVO, Art. 5 (2017), Rn. 80

  6. 6.

    Eine vergleichbare Pflicht zum Führen einer Verfahrensübersicht war im deutschen Datenschutzrecht bereits in §§ 4 g Abs. 2, 4e Satz 1 BDSG-alt vorgesehen.

  7. 7.

    ErwGr. 74 DSGVO

  8. 8.

    Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 44

  9. 9.

    Wybitul, CCZ 2016, 194, 198

  10. 10.

    Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 30

  11. 11.

    Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 5

  12. 12.

    Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt, Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 4

  13. 13.

    Wichtermann, ZD 2016, 421, 422

  14. 14.

    ErwGr. 79 DSGVO

  15. 15.

    Dovas, ZD 2016, 512, 514

  16. 16.

    Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19

  17. 17.

    Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19

  18. 18.

    Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19

  19. 19.

    Dovas, ZD 2016, 512, 515

  20. 20.

    Plath, in: Plath, BDSG/DSGVO, Art. 26 DSGVO (2016), Rn. 5

  21. 21.

    ErwGr. 92 DSGVO

  22. 22.

    Martini, in: Paal/Pauly, DSGVO, Art. 26 (2017), Rn. 24–25

  23. 23.

    ErwGr. 58 DSGVO

  24. 24.

    Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25

  25. 25.

    Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25

  26. 26.

    Siehe auch EuGH, NJW 1989, 3080, 3082; Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25

  27. 27.

    Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 45

  28. 28.

    Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 17

  29. 29.

    Für weitere Einzelheiten siehe Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 10 f.

  30. 30.

    Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 194

  31. 31.

    Siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014), Rn. 20

  32. 32.

    Beispiele aus ErwGr. 78 DSGVO; siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014),Rn. 22, 155

  33. 33.

    Siehe auch Völkel, DSRITB 2015, 35, 46 ff.

  34. 34.

    Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 34

  35. 35.

    Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 35

  36. 36.

    Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 6

  37. 37.

    Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 40

  38. 38.

    Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 41

  39. 39.

    ErwGr. 87 DSGVO

  40. 40.

    Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 7

  41. 41.

    ErwGr. 76 DSGVO

  42. 42.

    ErwGr. 75 DSGVO

  43. 43.

    Thoma, ZD 2013, 578, 579

  44. 44.

    Thoma, ZD 2013, 578, 579

  45. 45.

    Veil, ZD 2015, 347, 348

  46. 46.

    Thoma, ZD 2013, 578, 579

  47. 47.

    Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 60

  48. 48.

    Voigt, MMR 2016, 429, 430

  49. 49.

    Gesetzesentwurf aus dem Januar 2017 abrufbar unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/entwurf-umsetzung-nis-richtlinie.pdf; zuletzt aufgerufen am 14. Juni 2017

  50. 50.

    Für weitere Einzelheiten siehe Voigt/Gehrmann, ZD 2016, 355, 355 ff.

  51. 51.

    ErwGr. 49, 57 NIS-Richtlinie

  52. 52.

    Art. 4 Nr. 1 NIS-Richtlinie

  53. 53.

    Art. 5 in Verbindung mit Annex II NIS-Richtlinie

  54. 54.

    Art. 4 Nr. 5, 6, 17, 18, 19 in Verbindung mit Annex III NIS-Richtlinie

  55. 55.

    ErwGr. 65 NIS-Richtlinie

  56. 56.

    Kipker, ZD-Aktuell 2016, 05363

  57. 57.

    ErwGr. 82 DSGVO

  58. 58.

    Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; ErwGr. 39 DSGVO

  59. 59.

    Art. 30 Abs. 4 DSGVO; ErwGr. 82 DSGVO

  60. 60.

    Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; Hornung, ZD 2012, 99, 101

  61. 61.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4

  62. 62.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4

  63. 63.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7

  64. 64.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7

  65. 65.

    Bayrisches Landesamt für Datenschutzaufsicht, Verzeichnis (2016a), S. 2

  66. 66.

    Verfügbar ausschließlich auf französischer Sprache und abrufbar unter https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles, zuletzt aufgerufen 12. Juli 2017

  67. 67.

    ErwGr. 13 DSGVO

  68. 68.

    Gemäß ErwGr. 13 DSGVO, v. a. in Verbindung mit der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).

  69. 69.

    Art. 2 des Anhangs der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).

  70. 70.

    Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 32

  71. 71.

    Spoerr, in: Wolff/Brink, BeckOK, Art. 30 DSGVO (2016), Rn. 21

  72. 72.

    Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 33 f.

  73. 73.

    Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 35

  74. 74.

    So auch die Datenschutzkonferenz, Kurzpapier Nr. 1 (2017), S. 1

  75. 75.

    Dieses Vorgehen wird von der belgischen Datenschutzaufsichtsbehörde als zulässig erachtet. https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf, zuletzt aufgerufen 12. Juli 2017 (S. 7, Empfehlung in französischer Sprache verfügbar)

  76. 76.

    Gemäß ErwGr. 95 DSGVO soll der Auftragsverarbeiter den Verantwortlichen, soweit erforderlich und auf dessen Anfrage hin, bei der Gewährleistung der Einhaltung der sich aus der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation der Aufsichtsbehörden ergebenden Auflagen unterstützen. Siehe auch Art. 28 Abs. 3 Satz 2 lit. f DSGVO, gemäß dem der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vorsehen soll, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtungen aus Art. 35, 36 DSGVO unterstützt.

  77. 77.

    Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 67

  78. 78.

    ErwGr. 90 DSGVO

  79. 79.

    ErwGr. 84 DSGVO

  80. 80.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 3

  81. 81.

    ErwGr. 92 DSGVO

  82. 82.

    Art. 35 Abs. 1 DSGVO

  83. 83.

    ErwGr. 89 DSGVO

  84. 84.

    ErwGr. 91 DSGVO

  85. 85.

    Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 31

  86. 86.

    ErwGr. 91 DSGVO

  87. 87.

    ErwGr. 91 DSGVO

  88. 88.

    Art.-29-Datenschutzgruppe, WP 248 (2017), 10

  89. 89.

    Art.-29-Datenschutzgruppe, WP 248 (2017), 9 f.

  90. 90.

    Die folgenden Kriterien wurden entnommen aus Art.-29-Datenschutzgruppe, WP 248 (2017), 7 ff.

  91. 91.

    Siehe Art. 35 Abs. 7 lit. d DSGVO

  92. 92.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 17

  93. 93.

    Art. 35 Abs. 8, 9 DSGVO

  94. 94.

    Siehe auch Art. 39 Abs. 1 lit. c DSGVO zum Datenschutzbeauftragten

  95. 95.

    Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16

  96. 96.

    Für weitere Einzelheiten siehe Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16 ff.

  97. 97.

    Siehe Art. 35 Abs. 10, 6 Abs. 1 lits. c, e DSGVO

  98. 98.

    ErwGr. 91 DSGVO

  99. 99.

    Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 33

  100. 100.

    Siehe der Wortlaut von Art. 35 Abs. 4 „erstellt“ und Abs. 5 „kann […] erstellen“.

  101. 101.

    ErwGr. 15 DSGVO

  102. 102.

    Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 36; Hansen, in: Wolff/Brink, BeckOK, Art. 35 DSGVO (2016), Rn. 18

  103. 103.

    Es wird teilweise argumentiert, dass eine Konsultation in Anbetracht von ErwGr 94 DSGVO nur erforderlich ist, falls der Verantwortliche zu der Einschätzung kommt, dass er dem hohen Risiko nicht durch geeignete Maßnahmen im Hinblick auf verfügbare Technologien und Umsetzungskosten angemessen begegnen kann. Siehe: Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 3; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 5

  104. 104.

    Für weitere Einzelheiten siehe v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 1

  105. 105.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 2

  106. 106.

    Art. 36 Abs. 2 Satz 3 DSGVO

  107. 107.

    ErwGr. 94 DSGVO

  108. 108.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 5

  109. 109.

    Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 20; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 20

  110. 110.

    Allerdings sahen einige EU-Mitgliedstaaten bisher die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten vor, wie bspw. Polen, Frankreich und Schweden.

  111. 111.

    Hoeren, ZD 2012, 355, 355

  112. 112.

    Zumindest Deutschland hat dies, wie angesichts der bisherigen deutschen Rechtslage abzusehen war, auch getan. Einzelheiten dazu im Abschn. 3.6.1.2.

  113. 113.

    Marschall/Müller, ZD 2016, 415, 416

  114. 114.

    Behörden und öffentliche Stellen sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, wobei mehrere Behörden/öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen können, siehe Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO

  115. 115.

    Art. 37 Abs. 7 DSGVO

  116. 116.

    Paal, in: Paal/Pauly, DSGVO, Art. 37 (2017), Rn. 17

  117. 117.

    ErwGr. 97 DSGVO

  118. 118.

    Jaspers/Reif, RdV 2016, 61, 62

  119. 119.

    Für Einzelheiten siehe auch Gierschmann, ZD 2016, 51, 52; CIPL, Project Paper (2016), S. 15

  120. 120.

    § 4 f Abs. 1 Sätze 1, 4, 6 BDSG-alt

  121. 121.

    Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8, Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19

  122. 122.

    Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 11; einen kürzeren Zeitraum befürwortend Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21

  123. 123.

    Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13

  124. 124.

    Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8

  125. 125.

    Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 4 f (2015), Rn. 12

  126. 126.

    Siehe dazu Abschn. 2.1.1

  127. 127.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftrage (2014), Rn. 5; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 28; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 22

  128. 128.

    Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 11; Gola/Klug, NJW 2007, 118, 120

  129. 129.

    Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15

  130. 130.

    Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 26

  131. 131.

    Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15

  132. 132.

    Marschall/Müller, ZD 2016, 415, 417

  133. 133.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 8

  134. 134.

    Art.-29-Datenschutzgruppe, WP 243 (2016), S. 10; Marschall/Müller, ZD 2016, 415, 417; Jaspers/Reif, RdV 2016, 61, 63

  135. 135.

    Landes-Datenschutzbeauftragter NRW, FAQ, https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DSGVO_und_der_JI-RL/Inhalt/I_Benennung_eines_Datenschutzbeauftragten__Artikel_37_DSGVO_Artikel_32_JI-Richtlinie/Unter_welchen_Voraussetzungen_liegt_eine_leichte_Erreichbarkeit_nach_Artikel_37_Absatz_2_DSGVO_vor_.php, zuletzt aufgerufen am 29. Juni 2017

  136. 136.

    Für weitere Einzelheiten siehe auch CIPL, Project Paper (2016), S. 2, 6, 19

  137. 137.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 10

  138. 138.

    ErwGr. 97 DSGVO

  139. 139.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 11; siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 28; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 84; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 20 ff.

  140. 140.

    Zustimmend siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 48; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 82; ablehnend siehe auch Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 19; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, § 4 f (2016), Rn. 45

  141. 141.

    Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26

  142. 142.

    Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftragte (2014), Rn. 10–12

  143. 143.

    Art. 35 Abs. 7 Vorschlag der Europäischen Kommission für die DSGVO (KOM(2012) 11 final; 2012/0011 (KOD)).

  144. 144.

    Zustimmend siehe Jaspers/Reif, RdV 2016, 61, 63; Paal, in: Paal/Paul, DSGVO, Art. 37 (2017), Rn. 18; Marschall/Müller, ZD 2016, 415, 416

  145. 145.

    Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 45; Jaspers/Reif, RdV 2016, 61, 65

  146. 146.

    ErwGr. 97 DSGVO

  147. 147.

    Art. 38 Abs. 3 Satz 3 DSGVO

  148. 148.

    Siehe auch CIPL, Project Paper (2016), S. 9

  149. 149.

    Paal, in: Paal/Pauly, DSGVO, Art. 38 (2017), Rn. 9

  150. 150.

    Marschall/Müller, ZD 2016, 415, 420

  151. 151.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 6

  152. 152.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10

  153. 153.

    v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10

  154. 154.

    Weidenkaff, in: Palandt, BGB, § 626 (2017), Rn. 38–41

  155. 155.

    Deutscher Bundestag (2017), Drucksache 18/11325, 108

  156. 156.

    Siehe § 38 Abs. 5 Satz 3 BDSG-alt

  157. 157.

    Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81

  158. 158.

    Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81; Gola/Schomerus, in: Gola/Schomerus, BDSG, § 38 (2015), Rn. 27

  159. 159.

    Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 74; Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 82

  160. 160.

    Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 72

  161. 161.

    Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15; Schefzig, ZD 2015, 503, 505

  162. 162.

    Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15

  163. 163.

    Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 31; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 73; Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15 ff.

  164. 164.

    Siehe Abschn. 3.6.4 für weitere Einzelheiten.

  165. 165.

    Ausführungen entstammen größtenteils Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16

  166. 166.

    CIPL, Project Paper (2016), S. 21

  167. 167.

    CIPL, Project Paper (2016), S. 21

  168. 168.

    Bspw. nach deutschem Recht, dürften Verantwortliche Schadensersatzforderungen (unter sehr engen Voraussetzungen) gegen den Datenschutzbeauftragten geltend machen können.

  169. 169.

    Paal, in: Paal/Pauly, DSGVO, Art. 39 (2017), Rn. 12

  170. 170.

    Martini, in: Paal/Pauly, DSGVO, Art. 24 (2017), Rn. 5

  171. 171.

    Siehe auch Conrad/Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT, Telemedien (2016), Rn. 165

  172. 172.

    Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217

  173. 173.

    Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217

  174. 174.

    Siehe auch Schulz, CR 2012, 204, 204; ErwGr. 78 DSGVO; Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 227

  175. 175.

    ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104

  176. 176.

    Beispiel aus Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 35

  177. 177.

    Siehe auch Völkel, DSRITB 2015, 35, 47

  178. 178.

    Gierschmann, ZD 2016, 51, 53

  179. 179.

    Martini, in: Paal/Pauly, DSGVO, Art. 25 (2017), Rn. 45

  180. 180.

    Gierschmann, ZD 2016, 51, 53

  181. 181.

    Plath, in: Plath, BDSG/DSGVO, Art. 25 (2016), Rn. 9; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40

  182. 182.

    Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40

  183. 183.

    Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40

  184. 184.

    Plath, in: Plath, BDSG/DSGVO, Art. 25 DSGVO (2016), Rn. 9

  185. 185.

    Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 231; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 18a

  186. 186.

    Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 7

  187. 187.

    v.d.Bussche/Zeiter, EDPL 2016, 576, 577

  188. 188.

    v.d.Bussche/Zeiter, EDPL 2016, 576, 577; Gierschmann, ZD 2016, 51, 53

  189. 189.

    v.d.Bussche/Zeiter, EDPL 2016, 576, 577

  190. 190.

    Gierschmann, ZD 2016, 51, 53. Theoretisch war in Deutschland eine solche Pflicht bisher in § 42a BDSG vorgesehen, die jedoch in der Praxis aufgrund ihres eingeschränkten Anwendungsbereichs äußerst selten zur Anwendung kam. Auch bereichsspezifische Meldepflichten im Bereich des Telemediendatenschutzes sind in § 15a TMG und § 93 Abs. 3 TKG vorgesehen, wobei Verstöße gegen die Vorschriften nicht bußgeldbewährt sind.

  191. 191.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 10

  192. 192.

    Vgl. Mit Art. 32 Abs. 1 lit. c DSGVO

  193. 193.

    Schreiber, in: Plath, BDSG/DSGVO, Art. 4 DSGVO (2016), Rn. 41

  194. 194.

    Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 95; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 16

  195. 195.

    Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94

  196. 196.

    Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94

  197. 197.

    Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94

  198. 198.

    Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 49

  199. 199.

    Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3

  200. 200.

    Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 12

  201. 201.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 33; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3

  202. 202.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 18

  203. 203.

    v.d.Bussche/Zeiter/Brombach, DB 2016, 1359, 1361; Gierschmann, ZD 2016, 51, 53

  204. 204.

    ErwGr. 87 DSGVO

  205. 205.

    Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 4

  206. 206.

    Marschall, DuD 2015, 183, 186; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 31

  207. 207.

    ErwGr. 85 DSGVO

  208. 208.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 22; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 6

  209. 209.

    Siehe den Wortlaut von Art. 33 Abs. 1 DSGVO: „zu einem Risiko […] führt“.

  210. 210.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 25

  211. 211.

    Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7

  212. 212.

    Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7

  213. 213.

    Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 55

  214. 214.

    ErwGr. 86 DSGVO; für Einzelheiten siehe Art. 34 Abs. 2 DSGVO in Verbindung mit Art. 33 Abs. 3 DSGVO

  215. 215.

    Art. 34 Abs. 4 DSGVO

  216. 216.

    Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 98; Mester, in: Taeger/Gabel, BDSG, § 19 (2013), Rn. 34

  217. 217.

    Siehe auch Worms, in: Wolff/Brink, BeckOK, § 19 BDSG (2017), Rn. 93

  218. 218.

    Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 100; Dix, in: Simitis, BDSG, § 34 (2014), Rn. 76; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 19 (2015), Rn. 28

  219. 219.

    Siehe auch Plath, in: Plath, BDSG/DSGVO, § 28 BDSG (2016), Rn. 47; Plath, in: Plath, BDSG/DSGVO, Art. 6 DSGVO (2016), Rn. 21

  220. 220.

    Art. 4 Nr. 10 DSGVO

  221. 221.

    § 29 Abs. 1 Satz 4 BDSG-neu

  222. 222.

    ErwGr. 86 DSGVO

  223. 223.

    See Art. 34 Abs. 4 DSGVO und ErwGr. 86 DSGVO

  224. 224.

    Grages, in: Plath, BDSG/DSGVO, Art. 34 (2016), Rn. 5

  225. 225.

    Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 1

  226. 226.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 1

  227. 227.

    Hunton & Williams, The proposed Regulation (2015), S. 36

  228. 228.

    v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8

  229. 229.

    Bergt, DSRITB 2016, 483, 496

  230. 230.

    v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 5

  231. 231.

    Siehe Art. 27 EG-Datenschutzrichtlinie

  232. 232.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 4

  233. 233.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 6; siehe auch Wronka, RdV 2014, 93, 94

  234. 234.

    Bergt, DSRITB 2016, 483, 485

  235. 235.

    Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8

  236. 236.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 5

  237. 237.

    v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 10; Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017) Rn. 11

  238. 238.

    ErwGr. 99 DSGVO

  239. 239.

    Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18

  240. 240.

    Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18

  241. 241.

    Für Regelungen zur Zuständigkeit der Aufsichtsbehörden siehe Art. 51 ff. DSGVO

  242. 242.

    Art. 40 Abs. 5 Satz 2 DSGVO

  243. 243.

    Art. 40 Abs. 6 DSGVO

  244. 244.

    Art. 40 Abs. 7 DSGVO

  245. 245.

    Art. 40 Abs. 8 DSGVO

  246. 246.

    Art. 41 DSGVO findet keine Anwendung auf Verarbeitungstätigkeiten, die von öffentlichen Behörden und Einrichtungen ausgeführt werden, 41 Abs. 6 DSGVO

  247. 247.

    Einige Autoren halten die Akkreditierung für eine Pflicht der Aufsichtsbehörde, siehe Paal, in: Paal/Pauly, DSGVO, Art. 41 (2017), Rn. 5; andere sehen sie als optionales Überwachungsinstrument, siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 15

  248. 248.

    Art. 40 Abs. 4 DSGVO

  249. 249.

    Für weitere Einzelheiten siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 16

  250. 250.

    Art. 41 Abs. 5 DSGVO

  251. 251.

    Kranig/Peintinger, ZD 2014, 3, 4; Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 19

  252. 252.

    Bergt, DSRITB 2016, 483, 491; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 18

  253. 253.

    Bergt, DSRITB 2016, 483, 493

  254. 254.

    ErwGr. 100 DSGVO

  255. 255.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 28; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 8

  256. 256.

    Paal, in: Paal/Pauly, DSGVO, Art. 42 (2017), Rn. 5

  257. 257.

    Bergt, DSRITB 2016, 483, 496

  258. 258.

    Art. 42 Abs. 4 DSGVO

  259. 259.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 41

  260. 260.

    Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 27

  261. 261.

    Zudem kann die Europäische Kommission Durchführungsrechtsakte erlassen, die die Voraussetzungen der Zertifizierungsverfahren präzisieren, siehe Art. 43 Abs. 8, 9 DSGVO.

  262. 262.

    Art. 42 Abs. 5 DSGVO

  263. 263.

    Art. 42 Abs. 7 DSGVO

  264. 264.

    Oder, soweit benannt, einer nationale Akkreditierungsstelle, siehe Art. 43 Abs. 1 DSGVO.

  265. 265.

    Art. 43 Abs. 4 DSGVO

  266. 266.

    Art. 43 Abs. 3, 6 DSGVO. Diese Anforderungen werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht und an den Europäischen Datenschutzausschuss übermittelt.

  267. 267.

    Art. 43 Abs. 7 DSGVO

  268. 268.

    Art. 43 Abs. 1, 4, 5 DSGVO

  269. 269.

    In diese Richtung argumentierend siehe Voigt, CR 2017, 428, 430, dort Fn. 25; Schmid/Kahl, ZD 2017, 54, 56–57; Plath, in: Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 3; siehe auch Hullen, in: v.d.Bussche/Voigt, Konzerndatenschutz, Ausblick (2014), Rn. 84; Koós/Englisch, ZD 2014, 276, 284; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 8–10; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 29–32; Bayrisches Landesamt für Datenschutzaufsicht, Auftragsverarbeitung (2016b), S. 1; und ausgehend von der bisherigen deutschen Rechtslage mit ähnlichem Wortlaut: v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Rechtliche Anforderungen (2014), Rn. 73; Weber/Voigt, ZD 2011, 74, 74; Scholz/Lutz, CR 2011, 424, 424–425; ablehnend siehe Härting, ITRB 2016, 137, 138; Hofmann, in: Roßnagel, DSGVO, Auftragsdatenverarbeitung (2017), Rn. 251; Nebel/Richter, ZD 2012, 407, 411; Roßnagel/Richter/Nebel, ZD 2013, 103, 105

  270. 270.

    Schmid/Kahl, ZD 2017, 54, 56

  271. 271.

    Plath, in. Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 8; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 35

  272. 272.

    Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21

  273. 273.

    Siehe Art. 28 Abs. 9 DSGVO

  274. 274.

    Für Einzelheiten zum sog. „Zehn-Punkte-Katalog“ siehe v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Auftragsdatenverarbeitung (2014), Rn. 52 ff.

  275. 275.

    Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 39

  276. 276.

    Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18

  277. 277.

    Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18

  278. 278.

    Voigt, CR 2017, 428, 430

  279. 279.

    Siehe Art. 28 Abs. 6 GDPR; ErwGr. 109 DSGVO. Diese Standardvertragsklauseln dürfen nicht mit denjenigen verwechselt werden, die nach Art. 46 DSGVO als Garantiemaßnahme für internationale Datentransfers dienen können. Siehe Abschn. 4.3.3 für Einzelheiten zu Letzteren.

  280. 280.

    Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 56

  281. 281.

    Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 58

  282. 282.

    Siehe Art. 28 Abs. 4 Satz 2 DSGVO

Referenzen

  • Art.-29-Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. WP 169 (zitiert nach englischem Original)

    Google Scholar 

  • Art.-29-Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht. WP 173 (zitiert nach englischem Original)

    Google Scholar 

  • Art.-29-Datenschutzgruppe (2016) Guidelines on Data Protection Officers. WP 243

    Google Scholar 

  • Art.-29-Datenschutzgruppe (2017) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/279. WP 248

    Google Scholar 

  • Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Bayrisches Landesamt für Datenschutzaufsicht (2016a) Verzeichnis von Verarbeitungstätigkeiten. https://www.lda.bayern.de/media/baylda_ds-gvo_5_processing_activities.pdf. Zugegriffen: 29. Juni 2017

  • Bayrisches Landesamt für Datenschutzaufsicht (2016b) Auftragsverarbeitung nach der DSGVO. https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf. Zugegriffen: 29. Juni 2017

  • Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500

    Google Scholar 

  • Brink S (2017) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München

    Google Scholar 

  • CIPL (2016) GDPR Project DPO Paper from 17 November 2016. https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2016/11/final_cipl_gdpr_dpo_paper_17_november_2016.pdf. Zugegriffen: 19. Dez. 2016

  • Conrad I (2016) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München

    Google Scholar 

  • Conrad I, Hausen D (2016) Datenschutz der Telemedien. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München

    Google Scholar 

  • Datenschutzkonferenz (2017) Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/07/DSK_KPNr_1_Verzeichnis_Verarbeitungstätigkeiten.pdf#. Zugegriffen: 19. Juli 2017

  • Deutscher Bundestag (2017) Drucksache 18/11325

    Google Scholar 

  • Dix A (2014) § 34 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517

    Google Scholar 

  • Egle M, Zeller A (2014) Datenschutzmanagement im Konzern. In: Von Dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • Ernestus W (2014) § 9 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Ernst S (2017) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • EuGH (1989) Zulässigkeit von Zwangsmaßnahmen und Durchsuchungen durch EG-Kommission. NJW 42(48):3080–3084

    Google Scholar 

  • Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55

    Google Scholar 

  • Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122

    Google Scholar 

  • Gola P, Klug C, Körffer B (2015) §§ 4 f, 19 BDSG. In: Gola P, Schomerus R (Hrsg) Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München

    Google Scholar 

  • Gola P, Schomerus R (Hrsg) (2015) § 38 BDSG. In: Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München

    Google Scholar 

  • Grages J-M (2016) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

    Google Scholar 

  • Hansen M (2016) Art. 35, 36 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München

    Google Scholar 

  • Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB (6):137–140

    Google Scholar 

  • Herbst T (2017) Art. 5 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358

    Google Scholar 

  • Hofmann J (2017) Die Auftragsverarbeitung (Cloud Computing). In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Hornung G (2012) Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012. ZD 2(3):99–106

    Google Scholar 

  • Hullen N (2014) Ausblick auf die EU-Datenschutz-Grundverordnung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • Hunton & Williams (2015) The proposed EU General Data Protection Regulation. https://www.huntonregulationtracker.com/files/Uploads/Documents/EU%20Data%20Protection%20Reg%20Tracker/Hunton_Guide_to_the_EU_General_Data_Protection_Regulation.pdf. Zugegriffen: 19. Dez. 2016

  • Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68

    Google Scholar 

  • Kipker D-K (2016) The EU NIS Directive Compared to the IT Security Act – Germany is Well Positioned for the new European Cybersecurity Space, ZD-Aktuell 6(20): 05363

    Google Scholar 

  • Koós C, Englisch B (2014) Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und derDSGVO in der Fassung des LIBE-Entwurfs. ZD 4(6):276–285

    Google Scholar 

  • Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9

    Google Scholar 

  • Laue P, Nink J, Kremer S (Hrsg) (2016) Selbstregulierung; Technischer und Organisatorischer Datenschutz; Verarbeitung durch Dritte und im Ausland. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Marschall K (2015) Datenpannen – „neue“ Meldepflicht nach der europäischen DSGVO? DuD 39(3):183–189

    Google Scholar 

  • Marschall K (2017) Datenschutzfolgenabschätzung und Dokumentation. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420

    Google Scholar 

  • Martini M (2017) Art. 24, 25, 26, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • Mester BA (2013) § 19 BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main

    Google Scholar 

  • Moos F (2015) § 4 f BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München

    Google Scholar 

  • Nebel M, Richter P (2012) Datenschutz bei Internetdiensten nach der DSGVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf. ZD 2(9):407–413

    Google Scholar 

  • Paal BP (2017) Art. 36, 37, 38, 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Plath K-U (2016) Art. 6, 25, 26, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

    Chapter  Google Scholar 

  • Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DSGVO. ZD 3(3):103–108

    Google Scholar 

  • Schaffland H-J, Wiltfang N (2016) § 4 f BDSG. In: Schaffland H-J, Wiltfang N (Hrsg) Bundesdatenschutzgesetz, Stand: Juni 2016. Erich Schmidt Verlag, Berlin

    Google Scholar 

  • Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507

    Google Scholar 

  • Scheja G (2013) § 4 f BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main

    Google Scholar 

  • Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57

    Google Scholar 

  • Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG. CR 27(7):424–428

    Google Scholar 

  • Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Schreiber L (2016) Art. 4 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

    Google Scholar 

  • Schulz S (2012) Privacy by Design. CR 27(3):204–208

    Google Scholar 

  • Schulz S (2017) Art. 5 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 19. Aufl. C.H. Beck, München

    Google Scholar 

  • Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

    Google Scholar 

  • Spoerr W (2016) Art. 28, 30 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München

    Google Scholar 

  • Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DSGVO-E. ZD 3(11):578–581

    Google Scholar 

  • Veil W (2015) DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme. ZD 5(8):347–353

    Google Scholar 

  • Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430

    Google Scholar 

  • Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit. ZD 6(8):355–358

    Google Scholar 

  • Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433

    Google Scholar 

  • Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 6:35–52

    Google Scholar 

  • von Braunmühl P (2016) Art. 40, 42 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

    Google Scholar 

  • von dem Bussche AF (2016) Art. 35, 36, 37, 38 DSGVO; § 4 f BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

    Google Scholar 

  • von dem Bussche AF, Zeiter A, Brombach T (2016) Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen. DB 69(23):1359–1365

    Google Scholar 

  • von dem Bussche AF, Voigt P (2014) Auftragsdatenverarbeitung im Konzern; Der Datenschutzbeauftragte; Rechtliche Anforderungen an Datenverarbeitungen; Verarbeitungsübersicht und Verfahrensverzeichnis. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München

    Google Scholar 

  • von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581

    Google Scholar 

  • Weber MP, Voigt P (2011) Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 1(2):74–78

    Google Scholar 

  • Weidenkaff W (2017) § 626 BGB. In: Palandt, BGB, 76. Aufl. C.H. Beck, München

    Google Scholar 

  • Wichtermann, M (2016) Einführung eines Datenschutz-Management-Systems im Unternehmen–Pflicht oder Kür? – Kurzüberblick über die Erweiterungen durch die DSGVO. ZD 6(9):421–422

    Google Scholar 

  • Worms C (2017) § 19 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München

    Google Scholar 

  • Wronka G (2014) Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft. RdV 30(2):93–96

    Google Scholar 

  • Wybitul T (2016) Welche Folgen hat die Datenschutz-Grundverordnung für Compliance? CCZ 9(5):194–198

    Google Scholar 

  • Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB (35):2101–2107

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. Taylor Wessing, Berlin, Deutschland

    Paul Voigt

  2. Taylor Wessing, Hamburg, Deutschland

    Axel von dem Bussche

Authors
  1. Paul Voigt
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Axel von dem Bussche
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2018 Springer-Verlag GmbH Germany

About this chapter

Check for updates. Verify currency and authenticity via CrossMark

Cite this chapter

Voigt, P., von dem Bussche, A. (2018). Anforderungen an die Datenschutzorganisation. In: EU-Datenschutz-Grundverordnung (DSGVO). Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-56187-4_3

Download citation

  • DOI: https://doi.org/10.1007/978-3-662-56187-4_3

  • Published:

  • Publisher Name: Springer, Berlin, Heidelberg

  • Print ISBN: 978-3-662-56186-7

  • Online ISBN: 978-3-662-56187-4

  • eBook Packages: Social Science and Law (German Language)

Publish with us

Policies and ethics

Search

Navigation