Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 11 Nach Art. 14 Abs. 5 DSGVO finden die Abs. 1 bis 4 keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Buchst. a), die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, ...mehr

Rz. 15 Art. 17 Abs. 3 DSGVO lässt in den folgenden Fällen Ausnahmen von der Pflicht zur Löschung durch den Verantwortlichen zu: soweit die Verarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information (Buchst. a); das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftlich...mehr

Rz. 22 Der Verantwortliche ist nach Art. 19 Satz 1 DSGVO verpflichtet, allen Empfängern personenbezogener Daten mitzuteilen, wenn es zu einer Berichtigung nach Art. 16 DSGVO (Rz. 8), einer Löschung nach Art. 17 Abs. 1 DSGVO (Rz. 11 ff.) oder eine Einschränkung der Verarbeitung nach Art. 18 DSGVO (Rz. 16 ff.) gekommen ist. Rz. 23 Wenn die betroffene Person dies verlangt, hat d...mehr

Rz. 11 Werden vom Verantwortlichen personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Für die Stellen nach § 35 SGB I kommen entsprechende Datenübermittlungen ohne Angemessenheitsbesch...mehr

Rz. 8 Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO (vgl. die Komm. zu § 81) werden Geldbußen von bis zu 20 Mio. EUR verhängt.mehr

Rz. 3 "Die betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können". Dieser Erwägungsgrund (EG) 63 der DSGVO wird mit Art. 15 Abs. 1...mehr

Rz. 13 Keine Informationspflicht besteht, wenn die betroffene Person "bereits über die Informationen verfügt" ( Art. 13 Abs. 4 DSGVO). EG 62 DSGVO erweitert diese Ausnahme, in dem er ausführt, dass sich die Informationspflicht erübrigt, "wenn 1. die betroffene Person die Information bereits hat, 2. die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch R...mehr

Rz. 6 Der Verantwortliche teilt der betroffenen Person nach Art. 14 Abs. 1 DSGVO Folgendes mit: den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters (Buchst. a); die Kontaktdaten des Datenschutzbeauftragten (Buchst. b); die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Buchst. c...mehr

Rz. 8 Die Begriff der Berichtigung ist nicht in Art. 4 DSGVO und auch nicht in § 67 definiert. Es kommt bei einer Berichtigung darauf an, ggf. durch Kombination von Verarbeitungsvorgängen (Art. 4 Nr. 2 DSGVO) unrichtige Daten zu entfernen (zu löschen) und durch die zutreffenden oder gar nicht zu ersetzen. Die Berichtigung entspricht im Wesentlichen dem Begriff der Veränderun...mehr

Rz. 7 Der Verantwortliche teilt der betroffenen Person zum Zeitpunkt der Erhebung bei ihr (vgl. Rz. 6) Folgendes mit: den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters (Buchst. a); ggf. die Kontaktdaten des Datenschutzbeauftragten (Buchst. b); die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrun...mehr

Rz. 12 Art. 17 Abs. 1 DSGVO regelt zum Einen das Recht der betroffenen Person, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Gleichzeitig verpflichtet er den Verantwortlichen, diesem Verlangen zu entsprechen und die personenbezogenen Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: Buc...mehr

Rz. 16 Einschränkung der Verarbeitung ist gemäß Art. 4 Nr. 3 DSGVO "die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken" und gehört nach Art. 4 Nr. 2 DSGVO zu den Verarbeitungsvorgängen. Einschränkung entspricht inhaltlich dem Sperren i. S. v. § 67 Abs. 6 Nr. 4 a. F. (vgl. die Komm. zu § 67 Rz. 46). 2.3.1 Voraussetzunge...mehr

Rz. 40 Nach Art. 83 Abs. 4 Buchst. a DSGVO werden bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter u. a. gemäß den Art. 25 bis 39 DSGVO "Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Betr...mehr

Rz. 17 Kommt der Verantwortliche bei der Prüfung nach Art. 33 Abs. 1 Satz 1 DSGVO (vgl. Rz. 7 bis 9) zu dem Ergebnis, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat er die betroffene Person unverzüglich von der Verletzung zu benachrichtigen ( Art. 3...mehr

Rz. 12 Art. 28 DSGVO enthält in Abs. 1, 2, 4 und 5 die konkreten Anforderungen an den Auftragsverarbeiter sowie die entsprechenden Pflichten des Verantwortlichen als "Auftraggeber" (Rz. 13 bis 18) und in Abs. 3 und 6 bis 9 die Modalitäten an die Auftragserteilung (Rz. 19 bis 27). Art. 28 Abs. 10 DSGVO stellt den Auftragsverarbeiter in bestimmten Fällen an die Stelle des Veran...mehr

Rz. 1 Im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift neu bekanntgemacht. Sie wurde durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904), mit dem die Vorgaben der EU-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürli...mehr

Rz. 13 Die Befugnisse der oder des Bundesbeauftragten ergeben sich zunächst unmittelbar aus Art. 58 DSGVO, auf den auch § 16 Abs. 1 Satz 1 BDSG verweist. Die Aufsichtsbehörden sollten nach Erwägungsgrund (EG) 129 DSGVO in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, um die Überwachung und Durchsetzung der DSGVO sicherzustellen, insbesondere im Fall ...mehr

Rz. 14 Um dem "Recht auf Vergessenwerden" im Netz mehr Geltung zu verschaffen, wird das Recht auf Löschung nach Art. 17 Abs. 2 DSGVO ausgeweitet auf alle weiteren Verantwortlichen, die diese personenbezogenen Daten verarbeiten. Liegen die Voraussetzungen für eine Löschung personenbezogener Daten nach Art. 17 Abs. 1 DSGVO vor (Rz. 12) und hat der Verantwortliche diese Daten öf...mehr

Rz. 21 In der Verarbeitung eingeschränkte personenbezogene Daten dürfen gespeichert werden bzw. bleiben und ansonsten nur verarbeitet werden mit Einwilligung der betroffenen Person ( Art. 7 DSGVO, vgl. die Komm. zu § 67b) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (vgl. Art. 17 Abs. 3 Buchst. e DSGVO, Rz. 15) oder zum Schutz der Rechte einer anderen...mehr

Rz. 23 Alle Mitteilungen und Maßnahmen gemäß Art. 15 sind unentgeltlich zur Verfügung zu stellen nach Art. 12 Abs. 5 Satz 1 DSGVO. Dies gilt auch für die nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung zu stellende Kopie über die verarbeiteten personenbezogenen Daten. Diese ist zunächst unentgeltlich, wie sich aus Art. 15 Abs. 3 Satz 2 DSGVO ergibt, nach dem für alle weiteren...mehr

Rz. 10 Korrespondierend mit dem Anrufungsrecht nach Abs. 1 enthält bereits Art. 57 Abs. 1 Buchst. f DSGVO für die Aufsichtsbehörde die Verpflichtung, sich mit Beschwerden einer betroffenen Person zu befassen; dies wird in § 14 Abs. 1 Nr. 6 BDSG aufgegriffen. Rz. 11 Darüber hinaus hat die oder der Bundesbeauftragte nach § 14 Abs. 1 BDSG, aber auch unmittelbar aus Art. 57 DSGVO...mehr

Rz. 33 Diese Erwägung setzt Art. 21 Abs. 1 DSGVO um, in dem jeder betroffenen Person das Recht zugesteht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Voraussetzung ist, dass die Verarbeitung aufgrund von Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt, also für die ...mehr

Rz. 21 Der Verantwortliche stellt gemäß Art. 12 Abs. 3 DSGVO der betroffenen Person Informationen über die auf Antrag ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Der Begriff "unverzüglich" ist im Datenschutzrecht weder in Deutschland noch in der DSGVO definiert. § 121 Abs. 1 Satz 1 BGB enthält eine Leg...mehr

Rz. 32 Auch für rechtmäßig verarbeitete personenbezogene Daten sollte laut EG 69 DSGVO jede betroffene Person das Recht haben, "Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der für die Verarbeitung Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den ...mehr

Rz. 5 Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter ...mehr

Rz. 5 Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter ...mehr

Rz. 11 Nach § 67 Abs. 6 Nr. 5 a. F. war Löschen bis zum 24.5.2018 als das Unkenntlichmachen gespeicherter Daten definiert. Seit dem 25.5.2018 listet Art. 4 Nr. 2 DSGVO Löschen und Vernichtung als Vorgänge der Verarbeitung auf, definiert diese aber nicht näher. Auch § 67 enthält hierzu keine ergänzende Definition (vgl. die dort. Komm.). Insoweit wird weiter an der Definition ...mehr

Rz. 48 Nach Art. 21 DSGVO dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, wenn die betroffene Person dem widerspricht (vgl. Rz. 32 bis 35). § 84 Abs. 5 schränkt dieses Widerspruchsrecht gegenüber einer öffentlichen Stelle ein, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, o...mehr

Rz. 4 Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanziel...mehr

Rz. 16 Die Meldung hat gegenüber der gemäß Art. 55 DSGVO zuständigen Aufsichtsbehörde zu erfolgen; Art. 33 Abs. 1 Satz 1 DSGVO wies zunächst auf Art. 51 DSGVO hin, wurde aber durch die Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien ...mehr

Rz. 17 Kommt die oder der Bundesbeauftragte zu dem Ergebnis, dass Verstöße gegen die Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, teilt sie oder er dies nach § 16 Abs. 1 BDSG der zuständigen Rechts- oder Fachaufsichtsbehörde mit. Damit wird dieser Gelegenheit zur Stellungnahme innerhalb einer angemessenen Fris...mehr

Rz. 9 Auf europäischer Ebene wurden aufgrund der Bedeutung des Schutzes personenbezogener Daten für den Binnenmarkt ebenfalls datenschutzrechtliche Vorschriften geschaffen. Neben den primärrechtlichen Regelungen (vgl. Art. 286 EGV – nunmehr Art. 16 AEUV) ist insbesondere die Richtlinie 1995/46/EG zum Schutze natürlicher Personen bei der Verarbeitung personenbezogener Daten u...mehr

Rz. 1 § 94 wurde mit Wirkung zum 1.6.1994 durch Art. 1 PflegeVG v. 26.5.1994 (BGBl. I S. 1014) eingeführt. Abs. 1 Nr. 7 wurde durch Art. 10 nach Maßgabe des Art. 67 des Sozialgesetzbuches – Neuntes Buch (SGB IX) – v. 19.6.2001 (BGBl. I S. 1046) mit Wirkung zum 1.7.2001 neu gefasst. Abs. 1 Nr. 6 wurde durch Art. 1 Pflege-Qualitätssicherungsgesetz (PQsG) v. 9.9.2001 (BGBl. I S...mehr

Rz. 13 Nach Art. 28 Abs. 1 DSGVO erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleis...mehr

Rz. 5 Über § 83 i. V. m. Art. 15 DSGVO steht der betroffenen Person das Recht auf Auskunft hinsichtlich der sie betreffenden personenbezogenen Daten zu, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (vgl. die Komm. zu § 83). Dies beinhaltet bzw. daraus folgend ergeben sich das Recht auf Berichtigung der sie betreffenden personenbezoge...mehr

Rz. 2 Die betroffene Person hat einen Anspruch darauf, dass die Stelle nach § 35 SGB I ihre Sozialdaten – sowohl personenbezogene als auch über § 35 Abs. 4 SGB I Betriebs- und Geschäftsgeheimnisse – stets nur zulässig, richtig und in erforderlichem Maße speichert. Hiervon kann sich jede betroffene Person über einen Antrag auf Auskunft über die zu ihrer Person gespeicherten D...mehr

Rz. 21 Der Verantwortliche und der Auftragsverarbeiter können laut EG 81 DSGVO entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden. Rz. 22 Mit Kommission ist die Europäi...mehr

Rz. 16 Folgenden Genehmigungsbefugnisse und beratenden Befugnisse stehen der Aufsichtsbehörde nach Art. 58 Abs. 3 DSGVO zu, die es ihr gestatten, ggf. den Verantwortlichen nach Art. 36 DSGVO zu beraten und die Verarbeitung gemäß Art. 36 Abs. 5 DSGVO zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird (vgl. die Komm. zu § 35 SGB ...mehr

Rz. 2 Seit dem 25.5.2018 gelten unmittelbar und europaweit einheitlich die Regelungen der DSGVO. Der Inhalt und die Ausgestaltung der Auftragsverarbeitung wird seit dem 25.5.2018 unmittelbar durch Art. 28 DSGVO geregelt. Laut Erwägungsgrund (EG) 81 DSGVO sollte die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter "auf Grundlage eines Vertrags oder eines anderen...mehr

Rz. 18 Der Verantwortliche sollte die betroffene Person laut EG 86 DSGVO unverzüglich benachrichtigen, wenn eine "Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können". Wann dieses Risiko eintreten kann und wie dies...mehr

Rz. 15 Laut EG 129 DSGVO sollte den Aufsichtsbehörden ausdrücklich auch die Befugnis eingeräumt werden, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthalt...mehr

Rz. 20 Obwohl im Titel der Vorschrift von Informationspflichten die Rede ist, regelt § 32 BDSG wann in Erweiterung von Art. 13 Abs. 4 DSGVO keine Informationspflichten bestehen. Art. 23 DSGVO sieht vor, dass die Rechte und Pflichten gemäß den Art. 12 bis 22 und Art. 34 DSGVO durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden können, verlangt aber be...mehr

Rz. 2 Bis zum 24.5.2018 enthielt § 67a SGB X a. F. sämtliche Voraussetzungen und Pflichten im Zusammenhang mit der Erhebung von Sozialdaten. Seit dem 25.5.2018 enthält dieser in Ergänzung der unmittelbar geltenden Vorschriften der DSGVO für die zulässige Erhebung von Daten, insbesondere Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und Art. 9 DSGVO (Verarbeitung besonderer ...mehr

Rz. 2 Bis zum 24.5.2018 enthielt § 67a a. F. sämtliche Voraussetzungen und Pflichten im Zusammenhang mit der Erhebung von Sozialdaten. Seit dem 25.5.2018 enthält dieser in Ergänzung der unmittelbar geltenden Vorschriften der DSGVO für die zulässige Erhebung von Daten, insbesondere Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und Art. 9 DSGVO (Verarbeitung besonderer Katego...mehr

Rz. 10 Nach § 41 Abs. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO (Rz. 6 bis 8) die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. § 41 BDSG geht davon aus, dass von den in Art. 83 Abs. 4 und 5 DSGVO genannten "Verstößen gegen die folgenden Bestimmungen" auch dann gesprochen werden kann, wenn die Mitgliedstaaten nationale Regelungen aufgr...mehr

Rz. 25 Bis zum 24.5.2018 handelte ordnungswidrig, wer seiner Informationspflicht nach § 83a Satz 1 a. F. nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkam. Seit dem 25.5.2018 gilt Art. 84 DSGVO für Sanktionen für Verstöße gegen die DSGVO. Nach diesem legen die Mitgliedstaaten die Sanktionen fest, insbesondere für Verstöße, die keiner Geldbuße nach Art. 83...mehr

Rz. 5 Nach Art. 33 Abs. 1 DSGVO besteht eine Meldepflicht für den Verantwortlichen (Abs. 1) immer dann, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist und die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Nach Art. 33 Abs. 2 DSGVO besteht diese Meldepflic...mehr

Rz. 11 Bis zum 24.5.2018 legte § 80 Abs. 1 a. F. eindeutig fest, dass der Auftraggeber (Verantwortliche) auch im Fall einer Auftragsverarbeitung für die Einhaltung der Vorschriften über den Datenschutz verantwortlich bleibt und die betroffenen Personen ihre Rechte ihm gegenüber geltend machen müssen. Diese eindeutige Festlegung der Verantwortung ergibt sich seit dem 25.5.201...mehr

Rz. 11 Nach Art. 33 Abs. 1 Satz 1 DSGVO hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, die Verletzung des Schutzes personenbezogener Daten zu melden. Der Begriff "unverzüglich" ist im Datenschutzrecht weder in Deutschland noch in der DSGVO definiert. § 121 Abs. 1 Satz 1 BGB enthält eine Legaldefinition des Begri...mehr

Rz. 25 Der Vertrag hat nach Art. 28 Abs. 3 Satz 2 DSGVO insbesondere vorzusehen, dass der Auftragsverarbeiter Buchst. a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder ...mehr