Zusammenfassung
DatenschutzorganisationDie DSGVO stellt neue Anforderungen an die Datenschutzorganisation und bildet die bereits nach der EG-Datenschutzrichtlinie bestehenden Verpflichtungen weiter fort. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der Verordnung zu bringen werden Unternehmen einige Anstrengungen unternehmen müssen. Obwohl die Verantwortlichen noch immer vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO erstmalig auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus wird auch die Verteilung der Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.
This is a preview of subscription content, log in via an institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsNotes
- 1.
Siehe auch Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 8
- 2.
- 3.
ErwGr. 78 DSGVO; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 3–4
- 4.
ErwGr. 82 DSGVO
- 5.
Herbst, in: Kühling/Buchner, DSGVO, Art. 5 (2017), Rn. 80
- 6.
Eine vergleichbare Pflicht zum Führen einer Verfahrensübersicht war im deutschen Datenschutzrecht bereits in §§ 4 g Abs. 2, 4e Satz 1 BDSG-alt vorgesehen.
- 7.
ErwGr. 74 DSGVO
- 8.
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 44
- 9.
Wybitul, CCZ 2016, 194, 198
- 10.
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 30
- 11.
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 5
- 12.
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt, Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 4
- 13.
Wichtermann, ZD 2016, 421, 422
- 14.
ErwGr. 79 DSGVO
- 15.
Dovas, ZD 2016, 512, 514
- 16.
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
- 17.
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
- 18.
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
- 19.
Dovas, ZD 2016, 512, 515
- 20.
Plath, in: Plath, BDSG/DSGVO, Art. 26 DSGVO (2016), Rn. 5
- 21.
ErwGr. 92 DSGVO
- 22.
Martini, in: Paal/Pauly, DSGVO, Art. 26 (2017), Rn. 24–25
- 23.
ErwGr. 58 DSGVO
- 24.
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
- 25.
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
- 26.
- 27.
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 45
- 28.
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 17
- 29.
Für weitere Einzelheiten siehe Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 10 f.
- 30.
Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 194
- 31.
Siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014), Rn. 20
- 32.
Beispiele aus ErwGr. 78 DSGVO; siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014),Rn. 22, 155
- 33.
Siehe auch Völkel, DSRITB 2015, 35, 46 ff.
- 34.
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 34
- 35.
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 35
- 36.
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 6
- 37.
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 40
- 38.
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 41
- 39.
ErwGr. 87 DSGVO
- 40.
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 7
- 41.
ErwGr. 76 DSGVO
- 42.
ErwGr. 75 DSGVO
- 43.
Thoma, ZD 2013, 578, 579
- 44.
Thoma, ZD 2013, 578, 579
- 45.
Veil, ZD 2015, 347, 348
- 46.
Thoma, ZD 2013, 578, 579
- 47.
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 60
- 48.
Voigt, MMR 2016, 429, 430
- 49.
Gesetzesentwurf aus dem Januar 2017 abrufbar unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/entwurf-umsetzung-nis-richtlinie.pdf; zuletzt aufgerufen am 14. Juni 2017
- 50.
Für weitere Einzelheiten siehe Voigt/Gehrmann, ZD 2016, 355, 355 ff.
- 51.
ErwGr. 49, 57 NIS-Richtlinie
- 52.
Art. 4 Nr. 1 NIS-Richtlinie
- 53.
Art. 5 in Verbindung mit Annex II NIS-Richtlinie
- 54.
Art. 4 Nr. 5, 6, 17, 18, 19 in Verbindung mit Annex III NIS-Richtlinie
- 55.
ErwGr. 65 NIS-Richtlinie
- 56.
Kipker, ZD-Aktuell 2016, 05363
- 57.
ErwGr. 82 DSGVO
- 58.
Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; ErwGr. 39 DSGVO
- 59.
Art. 30 Abs. 4 DSGVO; ErwGr. 82 DSGVO
- 60.
- 61.
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
- 62.
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
- 63.
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
- 64.
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
- 65.
Bayrisches Landesamt für Datenschutzaufsicht, Verzeichnis (2016a), S. 2
- 66.
Verfügbar ausschließlich auf französischer Sprache und abrufbar unter https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles, zuletzt aufgerufen 12. Juli 2017
- 67.
ErwGr. 13 DSGVO
- 68.
Gemäß ErwGr. 13 DSGVO, v. a. in Verbindung mit der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
- 69.
Art. 2 des Anhangs der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
- 70.
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 32
- 71.
Spoerr, in: Wolff/Brink, BeckOK, Art. 30 DSGVO (2016), Rn. 21
- 72.
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 33 f.
- 73.
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 35
- 74.
So auch die Datenschutzkonferenz, Kurzpapier Nr. 1 (2017), S. 1
- 75.
Dieses Vorgehen wird von der belgischen Datenschutzaufsichtsbehörde als zulässig erachtet. https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf, zuletzt aufgerufen 12. Juli 2017 (S. 7, Empfehlung in französischer Sprache verfügbar)
- 76.
Gemäß ErwGr. 95 DSGVO soll der Auftragsverarbeiter den Verantwortlichen, soweit erforderlich und auf dessen Anfrage hin, bei der Gewährleistung der Einhaltung der sich aus der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation der Aufsichtsbehörden ergebenden Auflagen unterstützen. Siehe auch Art. 28 Abs. 3 Satz 2 lit. f DSGVO, gemäß dem der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vorsehen soll, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtungen aus Art. 35, 36 DSGVO unterstützt.
- 77.
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 67
- 78.
ErwGr. 90 DSGVO
- 79.
ErwGr. 84 DSGVO
- 80.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 3
- 81.
ErwGr. 92 DSGVO
- 82.
Art. 35 Abs. 1 DSGVO
- 83.
ErwGr. 89 DSGVO
- 84.
ErwGr. 91 DSGVO
- 85.
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 31
- 86.
ErwGr. 91 DSGVO
- 87.
ErwGr. 91 DSGVO
- 88.
Art.-29-Datenschutzgruppe, WP 248 (2017), 10
- 89.
Art.-29-Datenschutzgruppe, WP 248 (2017), 9 f.
- 90.
Die folgenden Kriterien wurden entnommen aus Art.-29-Datenschutzgruppe, WP 248 (2017), 7 ff.
- 91.
Siehe Art. 35 Abs. 7 lit. d DSGVO
- 92.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 17
- 93.
Art. 35 Abs. 8, 9 DSGVO
- 94.
Siehe auch Art. 39 Abs. 1 lit. c DSGVO zum Datenschutzbeauftragten
- 95.
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
- 96.
Für weitere Einzelheiten siehe Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16 ff.
- 97.
Siehe Art. 35 Abs. 10, 6 Abs. 1 lits. c, e DSGVO
- 98.
ErwGr. 91 DSGVO
- 99.
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 33
- 100.
Siehe der Wortlaut von Art. 35 Abs. 4 „erstellt“ und Abs. 5 „kann […] erstellen“.
- 101.
ErwGr. 15 DSGVO
- 102.
- 103.
Es wird teilweise argumentiert, dass eine Konsultation in Anbetracht von ErwGr 94 DSGVO nur erforderlich ist, falls der Verantwortliche zu der Einschätzung kommt, dass er dem hohen Risiko nicht durch geeignete Maßnahmen im Hinblick auf verfügbare Technologien und Umsetzungskosten angemessen begegnen kann. Siehe: Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 3; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 5
- 104.
Für weitere Einzelheiten siehe v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 1
- 105.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 2
- 106.
Art. 36 Abs. 2 Satz 3 DSGVO
- 107.
ErwGr. 94 DSGVO
- 108.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 5
- 109.
- 110.
Allerdings sahen einige EU-Mitgliedstaaten bisher die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten vor, wie bspw. Polen, Frankreich und Schweden.
- 111.
Hoeren, ZD 2012, 355, 355
- 112.
Zumindest Deutschland hat dies, wie angesichts der bisherigen deutschen Rechtslage abzusehen war, auch getan. Einzelheiten dazu im Abschn. 3.6.1.2.
- 113.
Marschall/Müller, ZD 2016, 415, 416
- 114.
Behörden und öffentliche Stellen sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, wobei mehrere Behörden/öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen können, siehe Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO
- 115.
Art. 37 Abs. 7 DSGVO
- 116.
Paal, in: Paal/Pauly, DSGVO, Art. 37 (2017), Rn. 17
- 117.
ErwGr. 97 DSGVO
- 118.
Jaspers/Reif, RdV 2016, 61, 62
- 119.
- 120.
§ 4 f Abs. 1 Sätze 1, 4, 6 BDSG-alt
- 121.
- 122.
- 123.
Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13
- 124.
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8
- 125.
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 4 f (2015), Rn. 12
- 126.
Siehe dazu Abschn. 2.1.1
- 127.
- 128.
- 129.
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
- 130.
- 131.
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
- 132.
Marschall/Müller, ZD 2016, 415, 417
- 133.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 8
- 134.
- 135.
Landes-Datenschutzbeauftragter NRW, FAQ, https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DSGVO_und_der_JI-RL/Inhalt/I_Benennung_eines_Datenschutzbeauftragten__Artikel_37_DSGVO_Artikel_32_JI-Richtlinie/Unter_welchen_Voraussetzungen_liegt_eine_leichte_Erreichbarkeit_nach_Artikel_37_Absatz_2_DSGVO_vor_.php, zuletzt aufgerufen am 29. Juni 2017
- 136.
Für weitere Einzelheiten siehe auch CIPL, Project Paper (2016), S. 2, 6, 19
- 137.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 10
- 138.
ErwGr. 97 DSGVO
- 139.
- 140.
Zustimmend siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 48; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 82; ablehnend siehe auch Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 19; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, § 4 f (2016), Rn. 45
- 141.
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26
- 142.
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftragte (2014), Rn. 10–12
- 143.
Art. 35 Abs. 7 Vorschlag der Europäischen Kommission für die DSGVO (KOM(2012) 11 final; 2012/0011 (KOD)).
- 144.
- 145.
- 146.
ErwGr. 97 DSGVO
- 147.
Art. 38 Abs. 3 Satz 3 DSGVO
- 148.
Siehe auch CIPL, Project Paper (2016), S. 9
- 149.
Paal, in: Paal/Pauly, DSGVO, Art. 38 (2017), Rn. 9
- 150.
Marschall/Müller, ZD 2016, 415, 420
- 151.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 6
- 152.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
- 153.
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
- 154.
Weidenkaff, in: Palandt, BGB, § 626 (2017), Rn. 38–41
- 155.
Deutscher Bundestag (2017), Drucksache 18/11325, 108
- 156.
Siehe § 38 Abs. 5 Satz 3 BDSG-alt
- 157.
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81
- 158.
- 159.
- 160.
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 72
- 161.
- 162.
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15
- 163.
- 164.
Siehe Abschn. 3.6.4 für weitere Einzelheiten.
- 165.
Ausführungen entstammen größtenteils Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
- 166.
CIPL, Project Paper (2016), S. 21
- 167.
CIPL, Project Paper (2016), S. 21
- 168.
Bspw. nach deutschem Recht, dürften Verantwortliche Schadensersatzforderungen (unter sehr engen Voraussetzungen) gegen den Datenschutzbeauftragten geltend machen können.
- 169.
Paal, in: Paal/Pauly, DSGVO, Art. 39 (2017), Rn. 12
- 170.
Martini, in: Paal/Pauly, DSGVO, Art. 24 (2017), Rn. 5
- 171.
Siehe auch Conrad/Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT, Telemedien (2016), Rn. 165
- 172.
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
- 173.
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
- 174.
- 175.
ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104
- 176.
Beispiel aus Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 35
- 177.
Siehe auch Völkel, DSRITB 2015, 35, 47
- 178.
Gierschmann, ZD 2016, 51, 53
- 179.
Martini, in: Paal/Pauly, DSGVO, Art. 25 (2017), Rn. 45
- 180.
Gierschmann, ZD 2016, 51, 53
- 181.
- 182.
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
- 183.
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
- 184.
Plath, in: Plath, BDSG/DSGVO, Art. 25 DSGVO (2016), Rn. 9
- 185.
- 186.
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 7
- 187.
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
- 188.
- 189.
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
- 190.
Gierschmann, ZD 2016, 51, 53. Theoretisch war in Deutschland eine solche Pflicht bisher in § 42a BDSG vorgesehen, die jedoch in der Praxis aufgrund ihres eingeschränkten Anwendungsbereichs äußerst selten zur Anwendung kam. Auch bereichsspezifische Meldepflichten im Bereich des Telemediendatenschutzes sind in § 15a TMG und § 93 Abs. 3 TKG vorgesehen, wobei Verstöße gegen die Vorschriften nicht bußgeldbewährt sind.
- 191.
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 10
- 192.
Vgl. Mit Art. 32 Abs. 1 lit. c DSGVO
- 193.
Schreiber, in: Plath, BDSG/DSGVO, Art. 4 DSGVO (2016), Rn. 41
- 194.
- 195.
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
- 196.
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
- 197.
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
- 198.
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 49
- 199.
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3
- 200.
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 12
- 201.
- 202.
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 18
- 203.
- 204.
ErwGr. 87 DSGVO
- 205.
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 4
- 206.
- 207.
ErwGr. 85 DSGVO
- 208.
- 209.
Siehe den Wortlaut von Art. 33 Abs. 1 DSGVO: „zu einem Risiko […] führt“.
- 210.
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 25
- 211.
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
- 212.
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
- 213.
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 55
- 214.
ErwGr. 86 DSGVO; für Einzelheiten siehe Art. 34 Abs. 2 DSGVO in Verbindung mit Art. 33 Abs. 3 DSGVO
- 215.
Art. 34 Abs. 4 DSGVO
- 216.
- 217.
Siehe auch Worms, in: Wolff/Brink, BeckOK, § 19 BDSG (2017), Rn. 93
- 218.
- 219.
- 220.
Art. 4 Nr. 10 DSGVO
- 221.
§ 29 Abs. 1 Satz 4 BDSG-neu
- 222.
ErwGr. 86 DSGVO
- 223.
See Art. 34 Abs. 4 DSGVO und ErwGr. 86 DSGVO
- 224.
Grages, in: Plath, BDSG/DSGVO, Art. 34 (2016), Rn. 5
- 225.
- 226.
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 1
- 227.
Hunton & Williams, The proposed Regulation (2015), S. 36
- 228.
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8
- 229.
Bergt, DSRITB 2016, 483, 496
- 230.
- 231.
Siehe Art. 27 EG-Datenschutzrichtlinie
- 232.
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 4
- 233.
- 234.
Bergt, DSRITB 2016, 483, 485
- 235.
- 236.
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 5
- 237.
- 238.
ErwGr. 99 DSGVO
- 239.
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
- 240.
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
- 241.
Für Regelungen zur Zuständigkeit der Aufsichtsbehörden siehe Art. 51 ff. DSGVO
- 242.
Art. 40 Abs. 5 Satz 2 DSGVO
- 243.
Art. 40 Abs. 6 DSGVO
- 244.
Art. 40 Abs. 7 DSGVO
- 245.
Art. 40 Abs. 8 DSGVO
- 246.
Art. 41 DSGVO findet keine Anwendung auf Verarbeitungstätigkeiten, die von öffentlichen Behörden und Einrichtungen ausgeführt werden, 41 Abs. 6 DSGVO
- 247.
- 248.
Art. 40 Abs. 4 DSGVO
- 249.
Für weitere Einzelheiten siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 16
- 250.
Art. 41 Abs. 5 DSGVO
- 251.
- 252.
- 253.
Bergt, DSRITB 2016, 483, 493
- 254.
ErwGr. 100 DSGVO
- 255.
- 256.
Paal, in: Paal/Pauly, DSGVO, Art. 42 (2017), Rn. 5
- 257.
Bergt, DSRITB 2016, 483, 496
- 258.
Art. 42 Abs. 4 DSGVO
- 259.
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 41
- 260.
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 27
- 261.
Zudem kann die Europäische Kommission Durchführungsrechtsakte erlassen, die die Voraussetzungen der Zertifizierungsverfahren präzisieren, siehe Art. 43 Abs. 8, 9 DSGVO.
- 262.
Art. 42 Abs. 5 DSGVO
- 263.
Art. 42 Abs. 7 DSGVO
- 264.
Oder, soweit benannt, einer nationale Akkreditierungsstelle, siehe Art. 43 Abs. 1 DSGVO.
- 265.
Art. 43 Abs. 4 DSGVO
- 266.
Art. 43 Abs. 3, 6 DSGVO. Diese Anforderungen werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht und an den Europäischen Datenschutzausschuss übermittelt.
- 267.
Art. 43 Abs. 7 DSGVO
- 268.
Art. 43 Abs. 1, 4, 5 DSGVO
- 269.
In diese Richtung argumentierend siehe Voigt, CR 2017, 428, 430, dort Fn. 25; Schmid/Kahl, ZD 2017, 54, 56–57; Plath, in: Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 3; siehe auch Hullen, in: v.d.Bussche/Voigt, Konzerndatenschutz, Ausblick (2014), Rn. 84; Koós/Englisch, ZD 2014, 276, 284; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 8–10; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 29–32; Bayrisches Landesamt für Datenschutzaufsicht, Auftragsverarbeitung (2016b), S. 1; und ausgehend von der bisherigen deutschen Rechtslage mit ähnlichem Wortlaut: v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Rechtliche Anforderungen (2014), Rn. 73; Weber/Voigt, ZD 2011, 74, 74; Scholz/Lutz, CR 2011, 424, 424–425; ablehnend siehe Härting, ITRB 2016, 137, 138; Hofmann, in: Roßnagel, DSGVO, Auftragsdatenverarbeitung (2017), Rn. 251; Nebel/Richter, ZD 2012, 407, 411; Roßnagel/Richter/Nebel, ZD 2013, 103, 105
- 270.
Schmid/Kahl, ZD 2017, 54, 56
- 271.
- 272.
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21
- 273.
Siehe Art. 28 Abs. 9 DSGVO
- 274.
Für Einzelheiten zum sog. „Zehn-Punkte-Katalog“ siehe v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Auftragsdatenverarbeitung (2014), Rn. 52 ff.
- 275.
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 39
- 276.
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
- 277.
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
- 278.
Voigt, CR 2017, 428, 430
- 279.
Siehe Art. 28 Abs. 6 GDPR; ErwGr. 109 DSGVO. Diese Standardvertragsklauseln dürfen nicht mit denjenigen verwechselt werden, die nach Art. 46 DSGVO als Garantiemaßnahme für internationale Datentransfers dienen können. Siehe Abschn. 4.3.3 für Einzelheiten zu Letzteren.
- 280.
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 56
- 281.
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 58
- 282.
Siehe Art. 28 Abs. 4 Satz 2 DSGVO
Referenzen
Art.-29-Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. WP 169 (zitiert nach englischem Original)
Art.-29-Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht. WP 173 (zitiert nach englischem Original)
Art.-29-Datenschutzgruppe (2016) Guidelines on Data Protection Officers. WP 243
Art.-29-Datenschutzgruppe (2017) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/279. WP 248
Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Bayrisches Landesamt für Datenschutzaufsicht (2016a) Verzeichnis von Verarbeitungstätigkeiten. https://www.lda.bayern.de/media/baylda_ds-gvo_5_processing_activities.pdf. Zugegriffen: 29. Juni 2017
Bayrisches Landesamt für Datenschutzaufsicht (2016b) Auftragsverarbeitung nach der DSGVO. https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf. Zugegriffen: 29. Juni 2017
Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500
Brink S (2017) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
CIPL (2016) GDPR Project DPO Paper from 17 November 2016. https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2016/11/final_cipl_gdpr_dpo_paper_17_november_2016.pdf. Zugegriffen: 19. Dez. 2016
Conrad I (2016) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Conrad I, Hausen D (2016) Datenschutz der Telemedien. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Datenschutzkonferenz (2017) Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/07/DSK_KPNr_1_Verzeichnis_Verarbeitungstätigkeiten.pdf#. Zugegriffen: 19. Juli 2017
Deutscher Bundestag (2017) Drucksache 18/11325
Dix A (2014) § 34 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517
Egle M, Zeller A (2014) Datenschutzmanagement im Konzern. In: Von Dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Ernestus W (2014) § 9 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Ernst S (2017) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
EuGH (1989) Zulässigkeit von Zwangsmaßnahmen und Durchsuchungen durch EG-Kommission. NJW 42(48):3080–3084
Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55
Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122
Gola P, Klug C, Körffer B (2015) §§ 4 f, 19 BDSG. In: Gola P, Schomerus R (Hrsg) Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Gola P, Schomerus R (Hrsg) (2015) § 38 BDSG. In: Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Grages J-M (2016) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Hansen M (2016) Art. 35, 36 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB (6):137–140
Herbst T (2017) Art. 5 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358
Hofmann J (2017) Die Auftragsverarbeitung (Cloud Computing). In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Hornung G (2012) Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012. ZD 2(3):99–106
Hullen N (2014) Ausblick auf die EU-Datenschutz-Grundverordnung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Hunton & Williams (2015) The proposed EU General Data Protection Regulation. https://www.huntonregulationtracker.com/files/Uploads/Documents/EU%20Data%20Protection%20Reg%20Tracker/Hunton_Guide_to_the_EU_General_Data_Protection_Regulation.pdf. Zugegriffen: 19. Dez. 2016
Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68
Kipker D-K (2016) The EU NIS Directive Compared to the IT Security Act – Germany is Well Positioned for the new European Cybersecurity Space, ZD-Aktuell 6(20): 05363
Koós C, Englisch B (2014) Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und derDSGVO in der Fassung des LIBE-Entwurfs. ZD 4(6):276–285
Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9
Laue P, Nink J, Kremer S (Hrsg) (2016) Selbstregulierung; Technischer und Organisatorischer Datenschutz; Verarbeitung durch Dritte und im Ausland. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden
Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Marschall K (2015) Datenpannen – „neue“ Meldepflicht nach der europäischen DSGVO? DuD 39(3):183–189
Marschall K (2017) Datenschutzfolgenabschätzung und Dokumentation. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420
Martini M (2017) Art. 24, 25, 26, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Mester BA (2013) § 19 BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Moos F (2015) § 4 f BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Nebel M, Richter P (2012) Datenschutz bei Internetdiensten nach der DSGVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf. ZD 2(9):407–413
Paal BP (2017) Art. 36, 37, 38, 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Plath K-U (2016) Art. 6, 25, 26, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DSGVO. ZD 3(3):103–108
Schaffland H-J, Wiltfang N (2016) § 4 f BDSG. In: Schaffland H-J, Wiltfang N (Hrsg) Bundesdatenschutzgesetz, Stand: Juni 2016. Erich Schmidt Verlag, Berlin
Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507
Scheja G (2013) § 4 f BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57
Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG. CR 27(7):424–428
Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Schreiber L (2016) Art. 4 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Schulz S (2012) Privacy by Design. CR 27(3):204–208
Schulz S (2017) Art. 5 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 19. Aufl. C.H. Beck, München
Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Spoerr W (2016) Art. 28, 30 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DSGVO-E. ZD 3(11):578–581
Veil W (2015) DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme. ZD 5(8):347–353
Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430
Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit. ZD 6(8):355–358
Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433
Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 6:35–52
von Braunmühl P (2016) Art. 40, 42 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
von dem Bussche AF (2016) Art. 35, 36, 37, 38 DSGVO; § 4 f BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
von dem Bussche AF, Zeiter A, Brombach T (2016) Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen. DB 69(23):1359–1365
von dem Bussche AF, Voigt P (2014) Auftragsdatenverarbeitung im Konzern; Der Datenschutzbeauftragte; Rechtliche Anforderungen an Datenverarbeitungen; Verarbeitungsübersicht und Verfahrensverzeichnis. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581
Weber MP, Voigt P (2011) Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 1(2):74–78
Weidenkaff W (2017) § 626 BGB. In: Palandt, BGB, 76. Aufl. C.H. Beck, München
Wichtermann, M (2016) Einführung eines Datenschutz-Management-Systems im Unternehmen–Pflicht oder Kür? – Kurzüberblick über die Erweiterungen durch die DSGVO. ZD 6(9):421–422
Worms C (2017) § 19 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Wronka G (2014) Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft. RdV 30(2):93–96
Wybitul T (2016) Welche Folgen hat die Datenschutz-Grundverordnung für Compliance? CCZ 9(5):194–198
Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB (35):2101–2107
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2018 Springer-Verlag GmbH Germany
About this chapter
Cite this chapter
Voigt, P., von dem Bussche, A. (2018). Anforderungen an die Datenschutzorganisation. In: EU-Datenschutz-Grundverordnung (DSGVO). Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-56187-4_3
Download citation
DOI: https://doi.org/10.1007/978-3-662-56187-4_3
Published:
Publisher Name: Springer, Berlin, Heidelberg
Print ISBN: 978-3-662-56186-7
Online ISBN: 978-3-662-56187-4
eBook Packages: Social Science and Law (German Language)