Skip to main content

2018 | OriginalPaper | Buchkapitel

3. Anforderungen an die Datenschutzorganisation

verfasst von : Paul Voigt, Axel von dem Bussche

Erschienen in: EU-Datenschutz-Grundverordnung (DSGVO)

Verlag: Springer Berlin Heidelberg

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Zusammenfassung

DatenschutzorganisationDie DSGVO stellt neue Anforderungen an die Datenschutzorganisation und bildet die bereits nach der EG-Datenschutzrichtlinie bestehenden Verpflichtungen weiter fort. Um die Datenverarbeitungstätigkeiten in Einklang mit den Anforderungen der Verordnung zu bringen werden Unternehmen einige Anstrengungen unternehmen müssen. Obwohl die Verantwortlichen noch immer vorrangig für die Einhaltung angemessener Datenschutzstandards verantwortlich sind, erlegt die DSGVO erstmalig auch den Auftragsverarbeitern eigene, bußgeldbewährte Verpflichtungen auf. Dieses Kapitel stellt die verschiedenen Anforderungen an die Datenschutzorganisation nach der DSGVO vor. Darüber hinaus wird auch die Verteilung der Verantwortlichkeiten zwischen Verantwortlichen und Auftragsverarbeitern, präventive Datenschutzkonzepte sowie der risikobasierte Ansatz der Verordnung behandelt.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Fußnoten
1
Siehe auch Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 8
 
2
Schantz, in: Wolff/Brink, BeckOK, Art. 5 DSGVO (2017), Rn. 38; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 11–12, 19
 
3
ErwGr. 78 DSGVO; Art.-29-Datenschutzgruppe, WP 173 (2010b), S. 3–4
 
4
ErwGr. 82 DSGVO
 
5
Herbst, in: Kühling/Buchner, DSGVO, Art. 5 (2017), Rn. 80
 
6
Eine vergleichbare Pflicht zum Führen einer Verfahrensübersicht war im deutschen Datenschutzrecht bereits in §§ 4 g Abs. 2, 4e Satz 1 BDSG-alt vorgesehen.
 
7
ErwGr. 74 DSGVO
 
8
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 44
 
9
Wybitul, CCZ 2016, 194, 198
 
10
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 30
 
11
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 5
 
12
Siehe auch Egle/Zeller, in: v.d.Bussche/Voigt, Konzerndatenschutz, Datenschutzmanagement (2014), Rn. 4
 
13
Wichtermann, ZD 2016, 421, 422
 
14
ErwGr. 79 DSGVO
 
15
Dovas, ZD 2016, 512, 514
 
16
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
17
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
18
Siehe auch Art.-29-Datenschutzgruppe, WP 169 (2010a), S. 19
 
19
Dovas, ZD 2016, 512, 515
 
20
Plath, in: Plath, BDSG/DSGVO, Art. 26 DSGVO (2016), Rn. 5
 
21
ErwGr. 92 DSGVO
 
22
Martini, in: Paal/Pauly, DSGVO, Art. 26 (2017), Rn. 24–25
 
23
ErwGr. 58 DSGVO
 
24
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
25
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
26
Siehe auch EuGH, NJW 1989, 3080, 3082; Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 25
 
27
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 45
 
28
Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 17
 
29
Für weitere Einzelheiten siehe Martini, in: Paal/Pauly, DSGVO, Art. 31 (2017), Rn. 10 f.
 
30
Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 194
 
31
Siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014), Rn. 20
 
32
Beispiele aus ErwGr. 78 DSGVO; siehe auch Ernestus, in: Simitis, BDSG, § 9 (2014),Rn. 22, 155
 
33
Siehe auch Völkel, DSRITB 2015, 35, 46 ff.
 
34
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 34
 
35
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 35
 
36
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 6
 
37
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 40
 
38
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 41
 
39
ErwGr. 87 DSGVO
 
40
Grages, in: Plath, BDSG/DSGVO, Art. 32 DSGVO (2016), Rn. 7
 
41
ErwGr. 76 DSGVO
 
42
ErwGr. 75 DSGVO
 
43
Thoma, ZD 2013, 578, 579
 
44
Thoma, ZD 2013, 578, 579
 
45
Veil, ZD 2015, 347, 348
 
46
Thoma, ZD 2013, 578, 579
 
47
Martini, in: Paal/Pauly, DSGVO, Art. 32 (2017), Rn. 60
 
48
Voigt, MMR 2016, 429, 430
 
50
Für weitere Einzelheiten siehe Voigt/Gehrmann, ZD 2016, 355, 355 ff.
 
51
ErwGr. 49, 57 NIS-Richtlinie
 
52
Art. 4 Nr. 1 NIS-Richtlinie
 
53
Art. 5 in Verbindung mit Annex II NIS-Richtlinie
 
54
Art. 4 Nr. 5, 6, 17, 18, 19 in Verbindung mit Annex III NIS-Richtlinie
 
55
ErwGr. 65 NIS-Richtlinie
 
56
Kipker, ZD-Aktuell 2016, 05363
 
57
ErwGr. 82 DSGVO
 
58
Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; ErwGr. 39 DSGVO
 
59
Art. 30 Abs. 4 DSGVO; ErwGr. 82 DSGVO
 
60
Marschall, in: Roßnagel, DSGVO, Dokumentation (2017), Rn. 161; Hornung, ZD 2012, 99, 101
 
61
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
 
62
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 4
 
63
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
 
64
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Verarbeitungsübersicht (2014), Rn. 7
 
65
Bayrisches Landesamt für Datenschutzaufsicht, Verzeichnis (2016a), S. 2
 
66
Verfügbar ausschließlich auf französischer Sprache und abrufbar unter https://​www.​cnil.​fr/​fr/​cartographier-vos-traitements-de-donnees-personnelles, zuletzt aufgerufen 12. Juli 2017
 
67
ErwGr. 13 DSGVO
 
68
Gemäß ErwGr. 13 DSGVO, v. a. in Verbindung mit der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
69
Art. 2 des Anhangs der Empfehlung der Europäischen Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K (2003) 1422).
 
70
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 32
 
71
Spoerr, in: Wolff/Brink, BeckOK, Art. 30 DSGVO (2016), Rn. 21
 
72
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 33 f.
 
73
Martini, in: Paal/Pauly, DSGVO, Art. 30 (2017), Rn. 35
 
74
So auch die Datenschutzkonferenz, Kurzpapier Nr. 1 (2017), S. 1
 
75
Dieses Vorgehen wird von der belgischen Datenschutzaufsichtsbehörde als zulässig erachtet. https://​www.​privacycommissio​n.​be/​sites/​privacycommissio​n/​files/​documents/​recommandation_​06_​2017_​0.​pdf, zuletzt aufgerufen 12. Juli 2017 (S. 7, Empfehlung in französischer Sprache verfügbar)
 
76
Gemäß ErwGr. 95 DSGVO soll der Auftragsverarbeiter den Verantwortlichen, soweit erforderlich und auf dessen Anfrage hin, bei der Gewährleistung der Einhaltung der sich aus der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation der Aufsichtsbehörden ergebenden Auflagen unterstützen. Siehe auch Art. 28 Abs. 3 Satz 2 lit. f DSGVO, gemäß dem der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vorsehen soll, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Verpflichtungen aus Art. 35, 36 DSGVO unterstützt.
 
77
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 67
 
78
ErwGr. 90 DSGVO
 
79
ErwGr. 84 DSGVO
 
80
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 3
 
81
ErwGr. 92 DSGVO
 
82
Art. 35 Abs. 1 DSGVO
 
83
ErwGr. 89 DSGVO
 
84
ErwGr. 91 DSGVO
 
85
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 31
 
86
ErwGr. 91 DSGVO
 
87
ErwGr. 91 DSGVO
 
88
Art.-29-Datenschutzgruppe, WP 248 (2017), 10
 
89
Art.-29-Datenschutzgruppe, WP 248 (2017), 9 f.
 
90
Die folgenden Kriterien wurden entnommen aus Art.-29-Datenschutzgruppe, WP 248 (2017), 7 ff.
 
91
Siehe Art. 35 Abs. 7 lit. d DSGVO
 
92
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 35 DSGVO (2016), Rn. 17
 
93
Art. 35 Abs. 8, 9 DSGVO
 
94
Siehe auch Art. 39 Abs. 1 lit. c DSGVO zum Datenschutzbeauftragten
 
95
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
 
96
Für weitere Einzelheiten siehe Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16 ff.
 
97
Siehe Art. 35 Abs. 10, 6 Abs. 1 lits. c, e DSGVO
 
98
ErwGr. 91 DSGVO
 
99
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 33
 
100
Siehe der Wortlaut von Art. 35 Abs. 4 „erstellt“ und Abs. 5 „kann […] erstellen“.
 
101
ErwGr. 15 DSGVO
 
102
Martini, in: Paal/Pauly, DSGVO, Art. 35 (2017), Rn. 36; Hansen, in: Wolff/Brink, BeckOK, Art. 35 DSGVO (2016), Rn. 18
 
103
Es wird teilweise argumentiert, dass eine Konsultation in Anbetracht von ErwGr 94 DSGVO nur erforderlich ist, falls der Verantwortliche zu der Einschätzung kommt, dass er dem hohen Risiko nicht durch geeignete Maßnahmen im Hinblick auf verfügbare Technologien und Umsetzungskosten angemessen begegnen kann. Siehe: Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 3; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 5
 
104
Für weitere Einzelheiten siehe v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 1
 
105
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 2
 
106
Art. 36 Abs. 2 Satz 3 DSGVO
 
107
ErwGr. 94 DSGVO
 
108
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 36 DSGVO (2016), Rn. 5
 
109
Hansen, in: Wolff/Brink, BeckOK, Art. 36 DSGVO (2016), Rn. 20; Paal, in: Paal/Pauly, DSGVO, Art. 36 (2017), Rn. 20
 
110
Allerdings sahen einige EU-Mitgliedstaaten bisher die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten vor, wie bspw. Polen, Frankreich und Schweden.
 
111
Hoeren, ZD 2012, 355, 355
 
112
Zumindest Deutschland hat dies, wie angesichts der bisherigen deutschen Rechtslage abzusehen war, auch getan. Einzelheiten dazu im Abschn. 3.6.1.2.
 
113
Marschall/Müller, ZD 2016, 415, 416
 
114
Behörden und öffentliche Stellen sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, wobei mehrere Behörden/öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen können, siehe Art. 37 Abs. 1 lit. a, Abs. 3 DSGVO
 
115
Art. 37 Abs. 7 DSGVO
 
116
Paal, in: Paal/Pauly, DSGVO, Art. 37 (2017), Rn. 17
 
117
ErwGr. 97 DSGVO
 
118
Jaspers/Reif, RdV 2016, 61, 62
 
119
Für Einzelheiten siehe auch Gierschmann, ZD 2016, 51, 52; CIPL, Project Paper (2016), S. 15
 
120
§ 4 f Abs. 1 Sätze 1, 4, 6 BDSG-alt
 
121
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8, Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19
 
122
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 19; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 11; einen kürzeren Zeitraum befürwortend Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21
 
123
Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 13
 
124
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 8
 
125
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 21; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 4 f (2015), Rn. 12
 
127
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftrage (2014), Rn. 5; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 28; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 22
 
128
Siehe auch Moos, in: Wolff/Brink, BeckOK, § 4 f BDSG (2015), Rn. 11; Gola/Klug, NJW 2007, 118, 120
 
129
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
 
130
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 26
 
131
Siehe auch Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 15
 
132
Marschall/Müller, ZD 2016, 415, 417
 
133
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 8
 
134
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 10; Marschall/Müller, ZD 2016, 415, 417; Jaspers/Reif, RdV 2016, 61, 63
 
136
Für weitere Einzelheiten siehe auch CIPL, Project Paper (2016), S. 2, 6, 19
 
137
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 10
 
138
ErwGr. 97 DSGVO
 
139
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 37 DSGVO (2016), Rn. 11; siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 28; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 84; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 20 ff.
 
140
Zustimmend siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26; Simitis, in: Simitis, BDSG, § 4 f (2014), Rn. 48; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 82; ablehnend siehe auch Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 4 f (2015), Rn. 19; Schaffland/Wiltfang, in: Schaffland/Wiltfang, BDSG, § 4 f (2016), Rn. 45
 
141
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 26
 
142
Siehe auch v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Der Datenschutzbeauftragte (2014), Rn. 10–12
 
143
Art. 35 Abs. 7 Vorschlag der Europäischen Kommission für die DSGVO (KOM(2012) 11 final; 2012/0011 (KOD)).
 
144
Zustimmend siehe Jaspers/Reif, RdV 2016, 61, 63; Paal, in: Paal/Paul, DSGVO, Art. 37 (2017), Rn. 18; Marschall/Müller, ZD 2016, 415, 416
 
145
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 45; Jaspers/Reif, RdV 2016, 61, 65
 
146
ErwGr. 97 DSGVO
 
147
Art. 38 Abs. 3 Satz 3 DSGVO
 
148
Siehe auch CIPL, Project Paper (2016), S. 9
 
149
Paal, in: Paal/Pauly, DSGVO, Art. 38 (2017), Rn. 9
 
150
Marschall/Müller, ZD 2016, 415, 420
 
151
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 6
 
152
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
 
153
v.d.Bussche, in: Plath, BDSG/DSGVO, Art. 38 DSGVO (2016), Rn. 10
 
154
Weidenkaff, in: Palandt, BGB, § 626 (2017), Rn. 38–41
 
155
Deutscher Bundestag (2017), Drucksache 18/11325, 108
 
156
Siehe § 38 Abs. 5 Satz 3 BDSG-alt
 
157
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81
 
158
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 81; Gola/Schomerus, in: Gola/Schomerus, BDSG, § 38 (2015), Rn. 27
 
159
Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 74; Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2017), Rn. 82
 
160
Siehe auch Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 72
 
161
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15; Schefzig, ZD 2015, 503, 505
 
162
Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15
 
163
Siehe auch v.d.Bussche, in: Plath, BDSG/DSGVO, § 4 f BDSG (2016), Rn. 31; Scheja, in: Taeger/Gabel, BDSG, § 4 f (2013), Rn. 73; Art.-29-Datenschutzgruppe, WP 243 (2016), S. 15 ff.
 
164
Siehe Abschn. 3.6.4 für weitere Einzelheiten.
 
165
Ausführungen entstammen größtenteils Art.-29-Datenschutzgruppe, WP 243 (2016), S. 16
 
166
CIPL, Project Paper (2016), S. 21
 
167
CIPL, Project Paper (2016), S. 21
 
168
Bspw. nach deutschem Recht, dürften Verantwortliche Schadensersatzforderungen (unter sehr engen Voraussetzungen) gegen den Datenschutzbeauftragten geltend machen können.
 
169
Paal, in: Paal/Pauly, DSGVO, Art. 39 (2017), Rn. 12
 
170
Martini, in: Paal/Pauly, DSGVO, Art. 24 (2017), Rn. 5
 
171
Siehe auch Conrad/Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT, Telemedien (2016), Rn. 165
 
172
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
 
173
Siehe auch Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT, Compliance (2016) Rn. 217
 
174
Siehe auch Schulz, CR 2012, 204, 204; ErwGr. 78 DSGVO; Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 227
 
175
ErwGr. 78 DSGVO; Wybitul/Draf, BB 2016, 2101, 2104
 
176
Beispiel aus Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 35
 
177
Siehe auch Völkel, DSRITB 2015, 35, 47
 
178
Gierschmann, ZD 2016, 51, 53
 
179
Martini, in: Paal/Pauly, DSGVO, Art. 25 (2017), Rn. 45
 
180
Gierschmann, ZD 2016, 51, 53
 
181
Plath, in: Plath, BDSG/DSGVO, Art. 25 (2016), Rn. 9; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
182
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
183
Siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 40
 
184
Plath, in: Plath, BDSG/DSGVO, Art. 25 DSGVO (2016), Rn. 9
 
185
Barlag, in: Roßnagel, DSGVO, Datenschutz durch Technik (2017), Rn. 231; siehe auch Scholz, in: Simitis, BDSG, § 3a (2014), Rn. 18a
 
186
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 7
 
187
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
 
188
v.d.Bussche/Zeiter, EDPL 2016, 576, 577; Gierschmann, ZD 2016, 51, 53
 
189
v.d.Bussche/Zeiter, EDPL 2016, 576, 577
 
190
Gierschmann, ZD 2016, 51, 53. Theoretisch war in Deutschland eine solche Pflicht bisher in § 42a BDSG vorgesehen, die jedoch in der Praxis aufgrund ihres eingeschränkten Anwendungsbereichs äußerst selten zur Anwendung kam. Auch bereichsspezifische Meldepflichten im Bereich des Telemediendatenschutzes sind in § 15a TMG und § 93 Abs. 3 TKG vorgesehen, wobei Verstöße gegen die Vorschriften nicht bußgeldbewährt sind.
 
191
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 10
 
192
Vgl. Mit Art. 32 Abs. 1 lit. c DSGVO
 
193
Schreiber, in: Plath, BDSG/DSGVO, Art. 4 DSGVO (2016), Rn. 41
 
194
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 95; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 16
 
195
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
196
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
197
Ernst, in: Paal/Pauly, DSGVO, Art. 4 (2017), Rn. 94
 
198
Laue/Nink/Kremer, Datenschutzrecht, Technischer Datenschutz (2016), Rn. 49
 
199
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3
 
200
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 12
 
201
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 33; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 3
 
202
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 18
 
203
v.d.Bussche/Zeiter/Brombach, DB 2016, 1359, 1361; Gierschmann, ZD 2016, 51, 53
 
204
ErwGr. 87 DSGVO
 
205
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 4
 
206
Marschall, DuD 2015, 183, 186; Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 31
 
207
ErwGr. 85 DSGVO
 
208
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 22; Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 6
 
209
Siehe den Wortlaut von Art. 33 Abs. 1 DSGVO: „zu einem Risiko […] führt“.
 
210
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 25
 
211
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
 
212
Grages, in: Plath, BDSG/DSGVO, Art. 33 DSGVO (2016), Rn. 7
 
213
Martini, in: Paal/Pauly, DSGVO, Art. 33 (2017), Rn. 55
 
214
ErwGr. 86 DSGVO; für Einzelheiten siehe Art. 34 Abs. 2 DSGVO in Verbindung mit Art. 33 Abs. 3 DSGVO
 
215
Art. 34 Abs. 4 DSGVO
 
216
Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 98; Mester, in: Taeger/Gabel, BDSG, § 19 (2013), Rn. 34
 
217
Siehe auch Worms, in: Wolff/Brink, BeckOK, § 19 BDSG (2017), Rn. 93
 
218
Siehe auch Mallmann, in: Simitis, BDSG, § 19 (2014), Rn. 100; Dix, in: Simitis, BDSG, § 34 (2014), Rn. 76; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, § 19 (2015), Rn. 28
 
219
Siehe auch Plath, in: Plath, BDSG/DSGVO, § 28 BDSG (2016), Rn. 47; Plath, in: Plath, BDSG/DSGVO, Art. 6 DSGVO (2016), Rn. 21
 
220
Art. 4 Nr. 10 DSGVO
 
221
§ 29 Abs. 1 Satz 4 BDSG-neu
 
222
ErwGr. 86 DSGVO
 
223
See Art. 34 Abs. 4 DSGVO und ErwGr. 86 DSGVO
 
224
Grages, in: Plath, BDSG/DSGVO, Art. 34 (2016), Rn. 5
 
225
Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 1
 
226
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 1
 
227
Hunton & Williams, The proposed Regulation (2015), S. 36
 
228
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8
 
229
Bergt, DSRITB 2016, 483, 496
 
230
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 5
 
231
Siehe Art. 27 EG-Datenschutzrichtlinie
 
232
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 4
 
233
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 6; siehe auch Wronka, RdV 2014, 93, 94
 
234
Bergt, DSRITB 2016, 483, 485
 
235
Kranig/Peintinger, ZD 2014, 3, 3; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 8
 
236
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 5
 
237
v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 10; Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017) Rn. 11
 
238
ErwGr. 99 DSGVO
 
239
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
 
240
Paal, in: Paal/Pauly, DSGVO, Art. 40 (2017), Rn. 18
 
241
Für Regelungen zur Zuständigkeit der Aufsichtsbehörden siehe Art. 51 ff. DSGVO
 
242
Art. 40 Abs. 5 Satz 2 DSGVO
 
243
Art. 40 Abs. 6 DSGVO
 
244
Art. 40 Abs. 7 DSGVO
 
245
Art. 40 Abs. 8 DSGVO
 
246
Art. 41 DSGVO findet keine Anwendung auf Verarbeitungstätigkeiten, die von öffentlichen Behörden und Einrichtungen ausgeführt werden, 41 Abs. 6 DSGVO
 
247
Einige Autoren halten die Akkreditierung für eine Pflicht der Aufsichtsbehörde, siehe Paal, in: Paal/Pauly, DSGVO, Art. 41 (2017), Rn. 5; andere sehen sie als optionales Überwachungsinstrument, siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 15
 
248
Art. 40 Abs. 4 DSGVO
 
249
Für weitere Einzelheiten siehe Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 16
 
250
Art. 41 Abs. 5 DSGVO
 
251
Kranig/Peintinger, ZD 2014, 3, 4; Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 19
 
252
Bergt, DSRITB 2016, 483, 491; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 40 DSGVO (2016), Rn. 18
 
253
Bergt, DSRITB 2016, 483, 493
 
254
ErwGr. 100 DSGVO
 
255
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 28; v.Braunmühl, in: Plath, BDSG/DSGVO, Art. 42 DSGVO (2016), Rn. 8
 
256
Paal, in: Paal/Pauly, DSGVO, Art. 42 (2017), Rn. 5
 
257
Bergt, DSRITB 2016, 483, 496
 
258
Art. 42 Abs. 4 DSGVO
 
259
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 41
 
260
Laue/Nink/Kremer, Datenschutzrecht, Selbstregulierung (2016), Rn. 27
 
261
Zudem kann die Europäische Kommission Durchführungsrechtsakte erlassen, die die Voraussetzungen der Zertifizierungsverfahren präzisieren, siehe Art. 43 Abs. 8, 9 DSGVO.
 
262
Art. 42 Abs. 5 DSGVO
 
263
Art. 42 Abs. 7 DSGVO
 
264
Oder, soweit benannt, einer nationale Akkreditierungsstelle, siehe Art. 43 Abs. 1 DSGVO.
 
265
Art. 43 Abs. 4 DSGVO
 
266
Art. 43 Abs. 3, 6 DSGVO. Diese Anforderungen werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht und an den Europäischen Datenschutzausschuss übermittelt.
 
267
Art. 43 Abs. 7 DSGVO
 
268
Art. 43 Abs. 1, 4, 5 DSGVO
 
269
In diese Richtung argumentierend siehe Voigt, CR 2017, 428, 430, dort Fn. 25; Schmid/Kahl, ZD 2017, 54, 56–57; Plath, in: Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 3; siehe auch Hullen, in: v.d.Bussche/Voigt, Konzerndatenschutz, Ausblick (2014), Rn. 84; Koós/Englisch, ZD 2014, 276, 284; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 8–10; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 29–32; Bayrisches Landesamt für Datenschutzaufsicht, Auftragsverarbeitung (2016b), S. 1; und ausgehend von der bisherigen deutschen Rechtslage mit ähnlichem Wortlaut: v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Rechtliche Anforderungen (2014), Rn. 73; Weber/Voigt, ZD 2011, 74, 74; Scholz/Lutz, CR 2011, 424, 424–425; ablehnend siehe Härting, ITRB 2016, 137, 138; Hofmann, in: Roßnagel, DSGVO, Auftragsdatenverarbeitung (2017), Rn. 251; Nebel/Richter, ZD 2012, 407, 411; Roßnagel/Richter/Nebel, ZD 2013, 103, 105
 
270
Schmid/Kahl, ZD 2017, 54, 56
 
271
Plath, in. Plath, BDSG/DSGVO, Art. 28 DSGVO (2016), Rn. 8; Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21; Spoerr, in: Wolff/Brink, BeckOK, Art. 28 DSGVO (2016), Rn. 35
 
272
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 21
 
273
Siehe Art. 28 Abs. 9 DSGVO
 
274
Für Einzelheiten zum sog. „Zehn-Punkte-Katalog“ siehe v.d.Bussche/Voigt, in: v.d.Bussche/Voigt, Konzerndatenschutz, Auftragsdatenverarbeitung (2014), Rn. 52 ff.
 
275
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 39
 
276
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
 
277
Laue/Nink/Kremer, Datenschutzrecht, Verarbeitung durch Dritte (2016), Rn. 18
 
278
Voigt, CR 2017, 428, 430
 
279
Siehe Art. 28 Abs. 6 GDPR; ErwGr. 109 DSGVO. Diese Standardvertragsklauseln dürfen nicht mit denjenigen verwechselt werden, die nach Art. 46 DSGVO als Garantiemaßnahme für internationale Datentransfers dienen können. Siehe Abschn.​ 4.​3.​3 für Einzelheiten zu Letzteren.
 
280
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 56
 
281
Martini, in: Paal/Pauly, DSGVO, Art. 28 (2017), Rn. 58
 
282
Siehe Art. 28 Abs. 4 Satz 2 DSGVO
 
Literatur
Zurück zum Zitat Art.-29-Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. WP 169 (zitiert nach englischem Original) Art.-29-Datenschutzgruppe (2010a) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. WP 169 (zitiert nach englischem Original)
Zurück zum Zitat Art.-29-Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht. WP 173 (zitiert nach englischem Original) Art.-29-Datenschutzgruppe (2010b) Stellungnahme 3/2010 zum Grundsatz der Rechenschaftspflicht. WP 173 (zitiert nach englischem Original)
Zurück zum Zitat Art.-29-Datenschutzgruppe (2016) Guidelines on Data Protection Officers. WP 243 Art.-29-Datenschutzgruppe (2016) Guidelines on Data Protection Officers. WP 243
Zurück zum Zitat Art.-29-Datenschutzgruppe (2017) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/279. WP 248 Art.-29-Datenschutzgruppe (2017) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/279. WP 248
Zurück zum Zitat Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden Barlag C (2017) Datenschutz durch Technikgestaltung. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500 Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutz- Grundverordnung. DSRITB 7:483–500
Zurück zum Zitat Brink S (2017) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München Brink S (2017) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Zurück zum Zitat Conrad I (2016) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München Conrad I (2016) Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Conrad I, Hausen D (2016) Datenschutz der Telemedien. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München Conrad I, Hausen D (2016) Datenschutz der Telemedien. In: Auer-Reinsdorff A, Conrad I (Hrsg) Handbuch IT- und Datenschutzrecht, 2. Aufl. C.H. Beck, München
Zurück zum Zitat Deutscher Bundestag (2017) Drucksache 18/11325 Deutscher Bundestag (2017) Drucksache 18/11325
Zurück zum Zitat Dix A (2014) § 34 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Dix A (2014) § 34 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517 Dovas M-U (2016) Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? ZD 6(11):512–517
Zurück zum Zitat Egle M, Zeller A (2014) Datenschutzmanagement im Konzern. In: Von Dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München Egle M, Zeller A (2014) Datenschutzmanagement im Konzern. In: Von Dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Zurück zum Zitat Ernestus W (2014) § 9 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Ernestus W (2014) § 9 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Ernst S (2017) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München Ernst S (2017) Art. 4 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Zurück zum Zitat EuGH (1989) Zulässigkeit von Zwangsmaßnahmen und Durchsuchungen durch EG-Kommission. NJW 42(48):3080–3084 EuGH (1989) Zulässigkeit von Zwangsmaßnahmen und Durchsuchungen durch EG-Kommission. NJW 42(48):3080–3084
Zurück zum Zitat Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55 Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55
Zurück zum Zitat Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122 Gola P, Klug C (2007) Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter. NJW 60(3):118–122
Zurück zum Zitat Gola P, Klug C, Körffer B (2015) §§ 4 f, 19 BDSG. In: Gola P, Schomerus R (Hrsg) Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München Gola P, Klug C, Körffer B (2015) §§ 4 f, 19 BDSG. In: Gola P, Schomerus R (Hrsg) Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Zurück zum Zitat Gola P, Schomerus R (Hrsg) (2015) § 38 BDSG. In: Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München Gola P, Schomerus R (Hrsg) (2015) § 38 BDSG. In: Bundesdatenschutzgesetz Kommentar, 12. Aufl. C.H. Beck, München
Zurück zum Zitat Grages J-M (2016) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln Grages J-M (2016) Art. 32, 33, 34 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Zurück zum Zitat Hansen M (2016) Art. 35, 36 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München Hansen M (2016) Art. 35, 36 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Zurück zum Zitat Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB (6):137–140 Härting N (2016) Auftragsverarbeitung nach der DSGVO. ITRB (6):137–140
Zurück zum Zitat Herbst T (2017) Art. 5 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München Herbst T (2017) Art. 5 DSGVO. In: Kühling J, Buchner B (Hrsg) Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Zurück zum Zitat Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358 Hoeren T (2012) Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DSGVO. ZD 2(8):355–358
Zurück zum Zitat Hofmann J (2017) Die Auftragsverarbeitung (Cloud Computing). In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden Hofmann J (2017) Die Auftragsverarbeitung (Cloud Computing). In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Hornung G (2012) Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012. ZD 2(3):99–106 Hornung G (2012) Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012. ZD 2(3):99–106
Zurück zum Zitat Hullen N (2014) Ausblick auf die EU-Datenschutz-Grundverordnung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München Hullen N (2014) Ausblick auf die EU-Datenschutz-Grundverordnung. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Zurück zum Zitat Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68 Jaspers A, Reif Y (2016) Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung: Bestellpflicht, Rechtsstellung und Aufgaben. RdV 32(2):61–68
Zurück zum Zitat Kipker D-K (2016) The EU NIS Directive Compared to the IT Security Act – Germany is Well Positioned for the new European Cybersecurity Space, ZD-Aktuell 6(20): 05363 Kipker D-K (2016) The EU NIS Directive Compared to the IT Security Act – Germany is Well Positioned for the new European Cybersecurity Space, ZD-Aktuell 6(20): 05363
Zurück zum Zitat Koós C, Englisch B (2014) Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und derDSGVO in der Fassung des LIBE-Entwurfs. ZD 4(6):276–285 Koós C, Englisch B (2014) Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und derDSGVO in der Fassung des LIBE-Entwurfs. ZD 4(6):276–285
Zurück zum Zitat Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9 Kranig T, Peintinger S (2014) Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DSGVO. ZD 4(1):3–9
Zurück zum Zitat Laue P, Nink J, Kremer S (Hrsg) (2016) Selbstregulierung; Technischer und Organisatorischer Datenschutz; Verarbeitung durch Dritte und im Ausland. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden Laue P, Nink J, Kremer S (Hrsg) (2016) Selbstregulierung; Technischer und Organisatorischer Datenschutz; Verarbeitung durch Dritte und im Ausland. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Mallmann O (2014) § 19 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Marschall K (2015) Datenpannen – „neue“ Meldepflicht nach der europäischen DSGVO? DuD 39(3):183–189 Marschall K (2015) Datenpannen – „neue“ Meldepflicht nach der europäischen DSGVO? DuD 39(3):183–189
Zurück zum Zitat Marschall K (2017) Datenschutzfolgenabschätzung und Dokumentation. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden Marschall K (2017) Datenschutzfolgenabschätzung und Dokumentation. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420 Marschall K, Müller P (2016) Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DSGVO – Bestellung, Rolle, Aufgaben und Anforderungen im Fokus europäischer Veränderungen. ZD 6(9):415–420
Zurück zum Zitat Martini M (2017) Art. 24, 25, 26, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München Martini M (2017) Art. 24, 25, 26, 28, 30, 31, 32, 33, 35 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Zurück zum Zitat Mester BA (2013) § 19 BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Mester BA (2013) § 19 BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Moos F (2015) § 4 f BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München Moos F (2015) § 4 f BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Zurück zum Zitat Nebel M, Richter P (2012) Datenschutz bei Internetdiensten nach der DSGVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf. ZD 2(9):407–413 Nebel M, Richter P (2012) Datenschutz bei Internetdiensten nach der DSGVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf. ZD 2(9):407–413
Zurück zum Zitat Paal BP (2017) Art. 36, 37, 38, 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München Paal BP (2017) Art. 36, 37, 38, 40, 41, 42 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Zurück zum Zitat Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Plath K-U (2016) Art. 6, 25, 26, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, KölnCrossRef Plath K-U (2016) Art. 6, 25, 26, 28 DSGVO; § 28 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, KölnCrossRef
Zurück zum Zitat Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DSGVO. ZD 3(3):103–108 Roßnagel A, Richter P, Nebel M (2013) Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DSGVO. ZD 3(3):103–108
Zurück zum Zitat Schaffland H-J, Wiltfang N (2016) § 4 f BDSG. In: Schaffland H-J, Wiltfang N (Hrsg) Bundesdatenschutzgesetz, Stand: Juni 2016. Erich Schmidt Verlag, Berlin Schaffland H-J, Wiltfang N (2016) § 4 f BDSG. In: Schaffland H-J, Wiltfang N (Hrsg) Bundesdatenschutzgesetz, Stand: Juni 2016. Erich Schmidt Verlag, Berlin
Zurück zum Zitat Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507 Schefzig J (2015) Der Datenschutzbeauftragte in der betrieblichen Datenschutzorganisation – Konflikt zwischen Zuverlässigkeit und datenschutzrechtlicher Verantwortung. ZD 5(11):503–507
Zurück zum Zitat Scheja G (2013) § 4 f BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main Scheja G (2013) § 4 f BDSG. In: Taeger J, Gabel D (Hrsg) BDSG, 2. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main
Zurück zum Zitat Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57 Schmid G, Kahl T (2017) Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten. ZD 7(2):54–57
Zurück zum Zitat Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG. CR 27(7):424–428 Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG. CR 27(7):424–428
Zurück zum Zitat Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Scholz P (2014) § 3a BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Schreiber L (2016) Art. 4 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln Schreiber L (2016) Art. 4 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Zurück zum Zitat Schulz S (2012) Privacy by Design. CR 27(3):204–208 Schulz S (2012) Privacy by Design. CR 27(3):204–208
Zurück zum Zitat Schulz S (2017) Art. 5 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 19. Aufl. C.H. Beck, München Schulz S (2017) Art. 5 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 19. Aufl. C.H. Beck, München
Zurück zum Zitat Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden Simitis S (2014) § 4 f BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Zurück zum Zitat Spoerr W (2016) Art. 28, 30 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München Spoerr W (2016) Art. 28, 30 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Zurück zum Zitat Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DSGVO-E. ZD 3(11):578–581 Thoma F (2013) Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DSGVO-E. ZD 3(11):578–581
Zurück zum Zitat Veil W (2015) DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme. ZD 5(8):347–353 Veil W (2015) DSGVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme. ZD 5(8):347–353
Zurück zum Zitat Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430 Voigt P (2016) Dauerbrenner IT-Sicherheit – Nun macht Brüssel Druck. MMR 19(7):429–430
Zurück zum Zitat Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit. ZD 6(8):355–358 Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie – Neue Vorgaben zur Netz- und IT-Sicherheit. ZD 6(8):355–358
Zurück zum Zitat Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433 Voigt P (2017) Konzerninterner Datentransfer, Praxisanleitung zur Schaffung eines Konzernprivilegs. CR 33(7):428–433
Zurück zum Zitat Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 6:35–52 Völkel C (2015) Wearables und Gesundheitsdaten: Möglichkeiten und Grenzen zur cloudbasierten Nutzung durch Ärzte und Krankenversicherungen aus datenschutzrechtlicher Sicht. DSRITB 6:35–52
Zurück zum Zitat von Braunmühl P (2016) Art. 40, 42 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln von Braunmühl P (2016) Art. 40, 42 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Zurück zum Zitat von dem Bussche AF (2016) Art. 35, 36, 37, 38 DSGVO; § 4 f BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln von dem Bussche AF (2016) Art. 35, 36, 37, 38 DSGVO; § 4 f BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Zurück zum Zitat von dem Bussche AF, Zeiter A, Brombach T (2016) Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen. DB 69(23):1359–1365 von dem Bussche AF, Zeiter A, Brombach T (2016) Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen. DB 69(23):1359–1365
Zurück zum Zitat von dem Bussche AF, Voigt P (2014) Auftragsdatenverarbeitung im Konzern; Der Datenschutzbeauftragte; Rechtliche Anforderungen an Datenverarbeitungen; Verarbeitungsübersicht und Verfahrensverzeichnis. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München von dem Bussche AF, Voigt P (2014) Auftragsdatenverarbeitung im Konzern; Der Datenschutzbeauftragte; Rechtliche Anforderungen an Datenverarbeitungen; Verarbeitungsübersicht und Verfahrensverzeichnis. In: von dem Bussche AF, Voigt P (Hrsg) Konzerndatenschutz Rechtshandbuch, 1. Aufl. C.H. Beck, München
Zurück zum Zitat von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581 von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581
Zurück zum Zitat Weber MP, Voigt P (2011) Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 1(2):74–78 Weber MP, Voigt P (2011) Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 1(2):74–78
Zurück zum Zitat Weidenkaff W (2017) § 626 BGB. In: Palandt, BGB, 76. Aufl. C.H. Beck, München Weidenkaff W (2017) § 626 BGB. In: Palandt, BGB, 76. Aufl. C.H. Beck, München
Zurück zum Zitat Wichtermann, M (2016) Einführung eines Datenschutz-Management-Systems im Unternehmen–Pflicht oder Kür? – Kurzüberblick über die Erweiterungen durch die DSGVO. ZD 6(9):421–422 Wichtermann, M (2016) Einführung eines Datenschutz-Management-Systems im Unternehmen–Pflicht oder Kür? – Kurzüberblick über die Erweiterungen durch die DSGVO. ZD 6(9):421–422
Zurück zum Zitat Worms C (2017) § 19 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München Worms C (2017) § 19 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Zurück zum Zitat Wronka G (2014) Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft. RdV 30(2):93–96 Wronka G (2014) Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft. RdV 30(2):93–96
Zurück zum Zitat Wybitul T (2016) Welche Folgen hat die Datenschutz-Grundverordnung für Compliance? CCZ 9(5):194–198 Wybitul T (2016) Welche Folgen hat die Datenschutz-Grundverordnung für Compliance? CCZ 9(5):194–198
Zurück zum Zitat Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB (35):2101–2107 Wybitul T, Draf O (2016) Projektplanung und Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen. BB (35):2101–2107
Metadaten
Titel
Anforderungen an die Datenschutzorganisation
verfasst von
Paul Voigt
Axel von dem Bussche
Copyright-Jahr
2018
Verlag
Springer Berlin Heidelberg
DOI
https://doi.org/10.1007/978-3-662-56187-4_3